此外,由于工业网络连接到公司网络的其余部分,恶意应用程序或用户可能会导致工业网络中断,从而导致收入损失。安全是所有工厂设计不可忽视的组成部分。
令人欣慰的是,今天的以太网网络设备提供了内置的安全措施,以防止未经授权的访问。通过使用工厂和公司网络通用的安全技术,制造商可以确保公司范围内的网络安全。在这里,我们将回顾在企业网络中使用的最常见的安全措施,这些措施也可以作为工厂网络的基础。
中间的男人了
首先,让我们看看保护单个网络设备的方法。如果网络设备有console口,则应该对其进行密码保护。如果设备允许telnet或Web访问,那么应该启用更安全的机制,如安全shell (SSH)和安全套接字层(SSL)协议。通过使用这两种协议,可以对流量(包括密码)进行加密。这就阻止了常见的“中间人”攻击获取专有数据。
此外,还可以使用一组集中的密码。在集中式数据库中使用RADIUS或TACACS+安全协议可以消除在每个设备中使用本地密码的需求,还可以方便地升级或更改密码。如果网络设备支持对消息进行加密的简单网络管理协议(SNMP)版本3,则应该使用它。
大多数工厂管理人员都不愿意对普通通信开放他们的网络。在这种情况下,可以使用访问控制列表(Access Control Lists, acl)来限制哪些设备可以通过哪种协议与哪些设备进行通信。通过使用ACL,可以对流量模式进行分类,并在单个端口上显式地允许或拒绝流量模式。安全acl还可以用于基于媒体访问控制(MAC)地址限制对特定端口或交换机的访问。通过使用特定的MAC地址和掩码值,可以创建一个过滤器,只允许特定供应商的可编程逻辑控制器(PLC)连接到特定的端口,而不管设备上的唯一MAC地址。
入侵检测
在任何网络中,无论是工业网络还是其他网络,管理员都希望知道设备何时加入或离开网络。网络设备可以配置为向网络管理控制台发送trap消息,使用它连接或断开连接的特定MAC地址、端口和交换机。这有助于入侵检测和故障管理。
出于安全目的,限制或阻止到终端设备端口的流量可能很重要。这确保了交换机上的这些访问端口之间没有单播、广播或多播流量的交换。受保护端口不会将任何流量转发到任何其他同样是受保护端口的端口。七层OSI (Open Systems Interconnection)模型第二层受保护端口之间不能转发流量;所有流经受保护端口的流量都必须通过三层设备转发。
对于无线应用,IEEE 802.1x协议定义了一种基于密码方案对用户进行身份验证的方法。这允许用户在移动的同时在网络中提供一层安全。
在802.1x中,每个客户端设备必须通过中央服务器进行身份验证,然后才能对端口的访问开放给正常流量。通过EAP (Extensible Authentication Protocol)协议,每个客户端设备发送设备代码和密码。这些信息通过访问层开关传递到身份验证服务器上。如果客户端通过了身份验证,一条消息将返回到交换机,告诉它打开该端口。
一般情况下,公共接入端口使用802.1x。希望未来的工业自动化设备在其协议栈中包括对802.1x的支持。