為了增加靈活性和提高生產效率,,制造商在他們的工業(yè)自動化和控制系統(tǒng)中采用開放網(wǎng)絡標準。使用開放標準網(wǎng)絡的益處之一就是具有遠程訪問自動化系統(tǒng)的能力,。工程人員和合作伙伴可以共享工廠數(shù)據(jù),、應用和資源,而與他們的物理位置無關,。
這種靈活性對當今的制造商而言是非常重要的,,因為提高全球化能力和降低生產成本,需要共享信息數(shù)據(jù)和快速解決生產中的問題,,這對每個制造商都是巨大的挑戰(zhàn),。本文就如何實現(xiàn)高度安全的遠程訪問進行了探討。
1 實施遠程訪問的原則
當允許遠程訪問工廠數(shù)據(jù)和資源時,,要堅守一些原則,。這些原則也被羅克韋爾自動化開發(fā)的參考架構所使用,包含在嚴格控制遠程訪問自動化和控制應用的重要概念中,。
1.1 使用IT認可的用戶訪問,、驗證策略和訪問程序
對企業(yè)資源和服務的訪問要進行監(jiān)視和記錄。企業(yè)應該事先知道每個用戶的背景,,并且分配一個獨有的帳號,。用戶每次訪問網(wǎng)絡,要通過驗證并且給予適當在企業(yè)內的授權,。出于審計目的,,對訪問要進行跟蹤和記錄。對工廠現(xiàn)場數(shù)據(jù)和資源訪問的批準,,應該遵照企業(yè)IT部門的流程進行,。
合作伙伴、遠程工程師或供應商采用其他方案(諸如:因特網(wǎng)直接訪問)訪問工廠和制造區(qū),可能產生對工廠和企業(yè)網(wǎng)絡的風險,,除非這些方案遵從IT的政策和流程,。
1.2 只在工廠內自動化和控制協(xié)議
羅克韋爾自動化參考架構中的關鍵原則是“CIP只在工廠”使用。CIP,、通用工業(yè)協(xié)議和其他核心的自動化和控制協(xié)議,,包括FactoryTalk實時數(shù)據(jù)、OPC-DA,、Modbus TCP應在工廠內使用,。這些運行在設備上的協(xié)議,在安全防御上非常有限,。因為工廠的流程是通過它們對自動化設備實現(xiàn)啟動,、停止和操作,所以它們對工業(yè)自動化和控制系統(tǒng)有舉足輕重的影響,。
因此,,自動化和控制協(xié)議不應該脫離工廠。在工廠里,,自動化和控制設備是在熟悉的物理邊界里,,由工控人員安裝、操作和維護,。對這個區(qū)域的協(xié)議限制,,可以確保自動化和控制設備在熟知的設備和應用之間正常通信。另外,,這些設備和應用的用戶是經過驗證并對于他們的角色給予了相應的授權。
這個原則也許在今后會重新考慮,,因為存在的安保設備(諸如防火墻)可以嚴格管轄來自制造區(qū)之外的自動化和控制數(shù)據(jù)流,。這會要求這些“應用”防火墻具有一個適當?shù)膽没騾f(xié)議知曉等級,可以對網(wǎng)絡部分通信包和數(shù)據(jù)部分充分檢查,,建立設備的知名度和信任度,。在現(xiàn)代企業(yè)級防火墻上實現(xiàn)這項技術之前,我們推薦自動化和控制協(xié)議“只在制造區(qū)”使用,。
1.3 控制應用
工廠現(xiàn)場應用考慮的要點是由遠程伙伴或工程師控制應用,。當遠程訪問工廠現(xiàn)場時,做為一種最佳實踐,,合作伙伴和遠程工程師應使用在控制應用服務器上的自動化和控制應用版本(諸如FactoryTalk View或RSLogix 5000),,原因如下:
使得工廠能夠嚴格地控制應用程序的版本升級。
控制訪問的等級和遠程人員的授權,。使用安裝在遠程系統(tǒng)的應用(諸如FactoryTalk View)很難區(qū)分用戶是在本地還是在遠程,,這可能造成自動化和控制協(xié)議離開制造區(qū)。
防止在遠程系統(tǒng)的病毒或其他危險影響制造區(qū)的應用和系統(tǒng)。
在遠程用戶的計算機上使用自動化和控制應用,,對自動化和控制會帶來極大的風險,,作為最佳實踐,應該避免這種情況發(fā)生,。
1.4 沒有直接數(shù)據(jù)流
就像圖1中紅色拒絕圈所標出的,,在企業(yè)網(wǎng)和控制網(wǎng)之間,不允許有直接的數(shù)據(jù)流通過,。如果存在交互必須要有兩個步驟,,先把數(shù)據(jù)流引到IDMZ中的業(yè)務服務器當中,然后再從此服務器送到控制網(wǎng)的設備當中,。
圖1 帶有工業(yè)隔離區(qū)的6層工廠結構
在控制系統(tǒng)中,,數(shù)據(jù)通訊按照上面描述的兩個階段進行,因為數(shù)據(jù)到生產控制系統(tǒng)之前,,必須先在IDMZ中進行驗證,。遠程訪問控制網(wǎng)絡上的設備需要登錄,或至少通過一個堡壘服務器,。遠程訪問服務器像一條咽喉要道,,遠程訪問需要進一步驗證、登錄和過濾,,才能到達那臺服務器,。這就提供了深度的控制機制。
在這個架構中,,工業(yè)防火墻成為遠程用戶與工廠自動化和控制應用之間的網(wǎng)關,,嚴格管轄進出每個區(qū)域的數(shù)據(jù)流,因而保持了最佳實踐,。
1.5 關閉非工業(yè)協(xié)議端口
關閉非工業(yè)協(xié)議之外的端口,,盡量減少對外開放的窗口,穿越一個防火墻再穿過另一個防火墻,,如圖1所示,。這就防止了蠕蟲,如:震網(wǎng)(Stuxnet)穿過上層防火墻,,在工業(yè)隔離區(qū)感染系統(tǒng),,進而在控制區(qū)域傳播病毒。
1.6 單通道入或出
從IDMZ通過低層防火墻進入工廠的通道僅有一條,,或進或出,。從企業(yè)網(wǎng)通過核心防火墻進入IDMZ的通道也只有一條。
以上的原則其實包含了一個重要的概念,,就是首先要嚴格控制對自動化和控制應用的遠程訪問,,而不是盲目信賴遠程用戶在訪問工廠應用時不做錯事,。
2 體系架構
按照羅克韋爾自動化參考架構的原則,實施對工廠現(xiàn)場應用和數(shù)據(jù)的高安全遠程訪問,,已成為要直接面對的問題,。實現(xiàn)遠程訪問要基于已經存在架構:
最佳實踐企業(yè)的遠程工作方案,大多由IT部門負責實施和操作,。
羅克韋爾自動化融合工廠以太網(wǎng)的參考架構,,采用了在工業(yè)隔離區(qū)IDMZ部署工業(yè)防火墻的方案,使用工業(yè)防火墻管理和檢查出入IDMZ的數(shù)據(jù)流,。
圖2 簡化的遠程訪問架構
圖2表示了一種遠程訪問架構的簡單版本,。
IDMZ設計為:允許不在本地生產現(xiàn)場的用戶或應用共享數(shù)據(jù)和應用。這就意味著可以把關鍵數(shù)據(jù)復制到IDMZ的一個服務器中,,使得在其他區(qū)域的用戶/應用可以看見那些數(shù)據(jù),。IDMZ相當于一個代理服務器,允許其他用戶間接連接網(wǎng)絡,,讀取位于其他網(wǎng)絡區(qū)域中數(shù)據(jù)和應用,。
當把數(shù)據(jù)復制到IDMZ時,數(shù)據(jù)在控制網(wǎng)和企業(yè)網(wǎng)之間快速而高效地傳輸,。在實時訪問實際生產系統(tǒng)和應用時,,多數(shù)是要解決具體問題,收集實時信息,,或進行過程調節(jié),。遠程訪問能力除了針對IDMZ使用的終端服務,還可以通過代理服務器實時連接安裝在控制網(wǎng)的專用遠程訪問服務器,,訪問自動化和控制應用,。本文強調的安全機制,使得外部用戶對企業(yè)的訪問具有高度的安全,,從企業(yè)網(wǎng)絡訪問外部的情況也一樣,。
經過互聯(lián)網(wǎng),遠程用戶(伙伴或雇員)也能通過遠程訪問服務器訪問工業(yè)自動化和控制系統(tǒng),。遠程用戶的位置通常沒有高帶寬、低延時的連接,??梢圆捎妙愃剖菘蛻魴C,可以在低帶寬,、大延時的網(wǎng)絡環(huán)境下較好地運行,。這里沒有提出任何帶寬或延時的要求,也沒有探究任何管理或監(jiān)視應用在低帶寬,、大延時情況下的性能,。
3 羅克韋爾自動化的解決方案
羅克韋爾自動化融合企業(yè)以太網(wǎng)的參考架構包括下面組件:
(1)工業(yè)防火墻:Stratix5950工業(yè)防火墻提供了對關鍵區(qū)域的防衛(wèi),包括工業(yè)隔離區(qū)IDMZ的定義和保護,。工業(yè)防火墻可以實現(xiàn)多種先進功能,,包括防火墻功能,諸如有狀態(tài)(stateful)包檢查,、應用級防火墻和DPI協(xié)議檢查,。Stratix5950還可以加入更多的先進功能,諸如侵入檢測和防護,、VPN功能等,。選用相適應、多功能防火墻是建立牢固的區(qū)域防衛(wèi),、達到預防目標的一個重要步驟,。
(2)CPwE體系架構:安全網(wǎng)絡平臺可集成多種安保功能的應用,,這對控制網(wǎng)和企業(yè)網(wǎng)都很重要,,諸如虛擬局域網(wǎng)VLAN,訪問控制列表ACL,,端口安全特性和網(wǎng)絡保護特性,。
(3)遠程訪問服務器:在控制網(wǎng)的房間內安裝遠程訪問服務器,,僅用于遠程工程師和合作伙伴對自動化和控制應用的訪問,。遠程訪問服務器是一種專用的物理服務器,具有相應的終點安保功能,。作為一種專用服務器,,它可以配置在一條專用的遠程訪問VLAN中,能夠很好地管理進出服務器的數(shù)據(jù)流,。
?。?)生產的控制和信息:為整個工廠生產控制系統(tǒng)設計的一個公共控制和信息平臺,羅克韋爾自動化的集成架構是一個控制和信息架構,,由Logix硬件控制平臺和FactoryTalk生產與管理系列軟件組成,,支持EtherNet/IP和其他開放標準。FactoryTalk由模塊化生產策略和多個服務平臺組成,, 通過EtherNet/IP緊密地與Logix控制平臺結合,。Logix可編程自動化控制器是一種單一的控制架構,提供了離散量,、變頻器,、運動控制、連續(xù)流程和批次生產控制系統(tǒng),。
?。?)使用羅克韋爾自動化的Stratix 5410核心管理型交換機:羅克韋爾自動化的工業(yè)以太網(wǎng)交換機使用Logix固件為工業(yè)控制人員提供可以在RSLOGIX5000中編程和組態(tài),,同時還提供web界面為IT人員所熟悉,同時為用戶配備了簡單的安裝方法和基于羅克韋爾自動化集成架構的完整診斷信息,。
4 結語
在工業(yè)自動化和控制系統(tǒng)中,,采用開放網(wǎng)絡標準,為制造商提高生產力和快速響應生產過程中的突發(fā)事件,,創(chuàng)造了新的機會,。使用標準網(wǎng)絡技術,諸如用以太網(wǎng)和TCP/IP連接自動化和控制系統(tǒng),,制造商可以實時與遠程的工程師和合作伙伴共享工廠的數(shù)據(jù),、應用和資源。這些能力是非常重要的,,因為制造商運行在更復雜和全球化的環(huán)境下,,系統(tǒng)需要保持每周7天、每天24小時的可用性,?;谒伎坪土_克韋爾自動化融合工廠以太網(wǎng)參考架構的遠程訪問,為制造商在恰當?shù)臅r間提供了正確的方法和資源,,與他們的物理位置無關,。這樣可以在生產運行過程中實現(xiàn)高效率、少停機和低成本,。