从办公室网络小妖精手中拯救控制网络的3种方法
| 根据Contemporary Controls的说法,某些安全措施可以帮助系统集成商和其他人保护控制网络免受互联办公网络的影响。 |
三种技术——重叠vlan、速率限制和端口安全可以帮助系统集成商、最终用户或原始设备制造商保护控制网络免受办公网络或办公设备(如微软Windows pc)的攻击现代控制是一家工业网络产品制造商。
重叠vlan。Contemporary Controls的研发经理班纳特·莱文(Bennet Levine)表示,管理型交换机提供的重叠VLAN(虚拟局域网)可以允许一个或多个设备访问多个VLAN。“也就是说,一个或多个设备可以存在于多个vlan中,”Levine说。其他所有vlan之间的通信都被阻断。例如,这样的安排可以允许在办公网络VLAN和控制网络VLAN之间共享SCADA系统,同时阻止这些VLAN之间的所有其他访问。这使SCADA能够与控制网络设备通信,并允许办公网络设备确定控制网络状态,同时保护控制网络的其余部分免受办公网络问题的影响。任何办公室网络问题只会影响SCADA系统。控制系统的其余部分将继续受到保护。”
速度限制。速率限制是一种管理交换机特性,可以用来限制连接到交换机特定端口的设备所消耗的带宽。用户可以为交换机的每个端口指定最大带宽。例如,这可以用于限制发送到敏感设备的流量水平。此特性的另一个用途是限制从办公网络发送到控制网络的流量。莱文说:“通过这种方式,由办公室网络产生的过度流量问题,如广播风暴或定向消息风暴,可以通过速率限制来控制。”“如果你在控制系统中使用微软Windows电脑,这些设备可能会对控制系统的其余部分造成问题。建议对所有连接Windows pc的交换机端口进行限速。速率限制还可以控制多播消息的级别。
港口安全。此特性可用于控制哪些设备可以通过管理交换机的特定端口进行通信。这样可以确定哪些办公网络设备可以与控制网络通信,从而最大限度地减少办公网络带来的问题。例如,端口安全可用于仅允许工厂经理和工程经理从其办公室网络上的计算机访问控制网络。这将阻止任何其他办公设备引起的问题到达控制网络。
莱文说,这些功能可以保护控制网络免受可能导致生产损失的问题。某些网络设备可以提供这些功能,如Contemporary Controls的以太网管理交换机(EICP、EISX和EISB)的CTRLink线路。Contemporary Controls总部位于伊利诺伊州的Downers Grove。
《被马克·霍斯克,控制工程总编辑
您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献,并获得您和您的公司应得的认可。点击在这里开始这个过程。
