根据工业自动化和控制系统自然属性和与他们相关独有安保的考虑,确保远程访问具有高度安全是非常重要的。通过使用多层安保的方法,可以防止远程访问各种潜在安保的威胁。思科和罗克韦尔自动化推荐的方法,能够保证远程访问与现有工厂架构兼容,与使用“深度防御”、结合多种安保方案的理念相一致。虽然现在还没有单一技术和方法,能够实现工业网络的安保,但结合不同技术,对好常见类型的威胁和安保漏洞,可以构成了一个牢固的、具有威慑力的方案,限制了危及安全的影响。
实施工业应用远程访问的步骤如下。
1. 使用标准企业远程访问方案,基于客户机的形式,使用IP安保(IPsec)加密的虚拟个人网络(*)技术,通过因特网安全地连接企业的边界。*的建立需要对远程个人进行远程验证拨入用户服务(RADIUS),这通常是由IT部门组织实施和管理。
2. 使用隔离区(DMZ)/防火墙中的访问控制列表(ACL),限制远程伙伴通过IPsec到工厂现场的访问。通过隔离区连接到工厂现场,只能使用一种安全浏览器(HTTPS)。
3. 访问一个安全浏览器(HTTPS)门户应用,它运行于隔离区/防火墙上。这要求再次登录/验证。
4. 在远程客户机和工厂的隔离区防火墙之间,使用一种安全套接字层(SSL)的虚拟个人网络(*)会话,并且限制通过HTTPS使用远程终端会话(比如,远程桌面协议)。
5. 利用在防火墙上的侵入保护和检测系统(IPS/IDS),检查进出远程访问服务器的数据流,防止攻击和威胁,并适当地给予阻截。这对防止来自远程设备穿越防火墙和影响远程访问服务器的病毒和其他威胁是非常重要的。
6. 允许远程用户执行终端会话,访问驻留在远程访问服务器中的自动化和控制应用。需要应用级的登录/验证。
7. 执行应用安保功能,对访问远程访问服务器的用户,限制其应用功能(诸如只读,非在线功能)。
8. 把远程访问服务器分配到不同的虚拟局域网(VLAN),并且让所有在远程访问服务器到制造区域之间的数据流通过防火墙。对这个数据流使用侵入检测和保护服务,保护制造区域免受攻击、蠕虫和病毒的破坏。
以质量打造品质,以诚信共赢未来!
专注、专心、更专业 值得信赖!
下面是我公司的优势产品,还有不常用的未列出,但都有销售,欢迎您来电询价!
优势产品:ABB、西门子6SN/6FC、施耐德140/TSX、AB等品牌DCS系统卡件、机器人系统备件、伺服控制器模块卡件等…
不买贵的,只选对的。
阿米控工控长期供应:一手货源!产品图片信息仅供参考,详情请来电咨询!
竭诚欢迎您来电!
MI720/5 + HMS AB4005
Vega Vegason 560
INFICON BAG110-SP 352-040
KEB F4 09.F4.S1D-1220/1.2
Viessmann Vitodens 300 7456979
Weber SOR 6 Controller WN 125660
6ES5095-8MC02 S5-95U
Siemens S5 6ES5 945-7UA13 6ES5 374-1KH21
AKM13C-ANCNR-00
6SC6100-0NA11 6SC6100-0SA11
*L2M00080-013 M000000000-0034
55010927
RX120LR1015 + SP-60-KX1-10 + BN206R1000
HM15-10/315 Typ 905328 HM 15-1X/315
HC200-HN
OP20/240-B 6AV3520-1EL00
OP84
ATV32HU22N4
6EV3200-0FC
3AO775.6
6AW5463-0AB
Siemens 6SN1118-1NH01-0AA0
FC200204088 0204204159B
200 203 895 FC200203895 + FS 200 202 889 FS200202889 FS200202889
ABB AI523 D2 1SAP250300R0001
NRC12