实施远程访问的原则
当允许远程访问工厂数据和资源时,要坚守一些原则。这些原则也被思科和罗克韦尔自动化开发的参考架构所使用,包含在严格控制远程访问自动化和控制应用的重要概念中。
1. 使用IT认可的用户访问、验证策略和访问程序
对企业资源和服务的访问要进行监视和记录。企业应该事先知道每个用户的背景,并且分配一个独有的账号。用户每次访问网络,要通过验证并且给予适当在企业内的授权。出于审计目的,对访问要进行跟踪和记录。对工厂现场数据和资源访问的批准,应该遵从企业IT部门的流程进行。
合作伙伴、远程工程师或供应商采用其他方案(诸如:调制解调器、电话线和因特网直接访问)访问工厂和制造区,可能产生对工厂和企业网络的风险,除非这些方案遵从IT的政策和流程。
2. 只在制造区使用自动化和控制协议
思科和罗克韦尔自动化参考架构中的关键原则是“CIP只在制造区”使用。CIP,公共工业协议,和其他核心的自动化和控制协议,包括FactoryTalk®实时数据、OPC-DA、Mo*us TCP应在制造区内使用。这些运行在设备上的协议,信息安全能力非常有限。因为工厂的流程是通过它们对自动化机械实现启动、停止和操作,所以它们对工业自动化和控制系统有举足轻重的影响。
因此,自动化和控制协议不应该脱离制造区。在制造区里,自动化和控制设备是在熟悉的物理边界里,由训练有素的人员安装、操作和维护。对这个区域的协议限制,可以确保自动化和控制设备在熟知的设备和应用之间正常通信。另外,这些设备和应用的用户是经过验证并对于他们的角色给予了相应的授权。
这个原则也许在今后会重新考虑,因为存在的信息安全设备(诸如防火墙)可以严格管辖来自制造区之外的自动化和控制数据流。这会要求这些“应用”防火墙具有一个适度的应用或协议知晓等级,可以对网络部分通信包和数据部分充分检查,建立设备的知名度和信任度。在现代企业级防火墙上实现这项技术之前,我们推荐自动化和控制协议“只在制造区”使用。
以质量打造品质,以诚信共赢未来!
专注、专心、更专业 值得信赖!
下面是我公司的优势产品,还有不常用的未列出,但都有销售,欢迎您来电询价!
优势产品:ABB、西门子6SN/6FC、施耐德140/TSX、AB等品牌DCS系统卡件、机器人系统备件、伺服控制器模块卡件等…
不买贵的,只选对的。
阿米控工控长期供应:一手货源!产品图片信息仅供参考,详情请来电咨询!
竭诚欢迎您来电!
Siemens 6DM1001-7WD02
Innolas Laser Trigger Board PL30_45
Allen Bradley 1756-L62
Siemens 6SE6436-5BD23-0BA0
Antek BY 150 BY150-01
E1-M2-KA/ZK/P1/S51/SA
KU-BF1
MXA81A-002-503-00 F XFE24A
6SN1123-1AA00-0HA2
E94APNE03641 E94APNE03641C
M0800
MPL-B420P-MK24AA
6AV7861-3TB00-1AA0
E48S-SF
MDX60A0220-503-4-00
FR-A240E-15K-ER
09L51-RS0B0-A14N-ST5S00N-R0SU
20AC030F0AYNANC0
VLT6008HT4B20STR3D0F00A00C0
Bosch VM 60-T 1070077371