集成器更新:远程访问编程

互联网承诺的更好的远程访问、监控和调整自动化系统已经被恶意软件和其他安全问题拖慢了;可供选择的安全远程访问编程。

通过弗兰克Hurtte 2013年1月7日

远程访问、监控和调整自动化系统的概念早在20世纪80年代末就出现了，互联网似乎是“乐土”，就在眼前。正当我们准备在互联网大潮中跳一段快乐的舞蹈时，恶意软件和安全问题冒了出来，毁了这场派对。

一开始

1988年是主要的PLC制造商第一次对远程访问发出噪音的时候。这是个好主意，但当时唯一可用的选择是拨号调制解调器。这需要大量的修补工作，并面临三个障碍。

首先，网络连接很慢——真的很慢，即使经过20年的发展，网络连接也没有改善。根据芝加哥MAAC机械公司的莱斯利·亚当斯(2012年)的说法，“我记得试图监控机器时的挫败感，因为信息需要很长时间才能通过调制解调器连接返回。有一次，我们用澳大利亚的一台机器工作时，延迟长达15秒。”在这样的速度下，任何在飞行中积极做出改变的想法都是徒劳的。

最致命的一击是在工厂地板上开始寻找电话线。把模拟线连接到机器上是有问题的。当几十台机器分散在整个制造设施时，这几乎是不可能的。即使在今天，电话线路也有问题。MAAC主席James Alongi指出:“我们这些在美国和加拿大的人认为坚实的电话基础设施是理所当然的。在全球其他地方，情况并非如此。”亚洲、拉丁美洲的发展中国家，甚至一些第一世界国家的电话服务经常时断时续。

因此，调制解调器被应用在一些关键任务系统上，这些系统可以关闭整个工厂。像食品加工厂内的主氨冷却器这样的东西可能需要一条线路，但其余的应用却没有得到满足，工程师们继续进行昂贵的计划外的旅行。

让我们有互联网

20世纪90年代末带来了互联网的爆炸，随之而来的是以太网设备的对数增殖。几年后，一切都是以太网。2001年，罗克韦尔自动化(Rockwell Automation)等公司开始推出基于以太网的可编程控制器(然后是驱动器、操作界面设备和其他组件)，远程连接问题似乎已经解决了。

利用工厂范围内连接到互联网的网络，人们可以坐在舒适的办公室里，随时随地对处理器进行微调。在最后一刻前往客户站点的昂贵和体力消耗的旅行将成为过去。

失乐园，恶意软件中的恶魔

在互联网的早期，我们大多数人都无法想象间谍软件、恶意软件和代码的邪恶能够让整个公司屈服。随着企业网络化，一点这种讨厌的东西就可以关闭价值数百万美元的业务。一个不顾一切的黑客侵入整个工厂的网络，可以访问敏感信息，比如私人人力资源信息、商业秘密等等。专有流程、新产品配方和敏感的电子邮件通信都是首选目标。美国的IT部门从公用事业供应商变成了私家侦探。我们仍沉浸在安全戒备升级的红色警报中。对于那些希望使用互联网监控机器的人来说，安全可能会造成障碍。

目前，虚拟专用网络(VPN)是允许员工远程访问公司或工厂网络的最常用方法。如果你可以从家里或汽车旅馆房间访问公司的电子邮件或其他文件(不是基于云计算的)，很可能是通过VPN。当您加入组织时，IT部门的人员为您创建了加密证书，提供安全的网络访问。

VPN被定义为使用公共基础设施(如Internet)为远程办公室或个人用户提供对私有公司网络的安全访问的网络。它的目的是避免昂贵的私人线路或租用线路一次只能供一家公司使用。vpn封装不在同一个专用网络上的两个或多个网络设备之间的数据传输。这样可以保证传输的数据在一个或多个介入的局域网或广域网上的设备上是安全的。

VPN还用于远程访问工厂机器，以允许机器建造者远程工作。主要有四个问题:

必须在机器附近安装一台PC，并安装必要的软件以连接到远程桌面。
必须给机器生成器一个用户名和密码才能访问PC。
根据架构的不同，这个“局外人”也可能有能力访问工厂网络的其余部分，这让大多数公司非常紧张。
缺乏可追溯性。如果没有适当的软件，就不可能验证谁使用过系统，以及他们在何时何地进行了更改。

简单地说，通过网络和VPN的访问是(或应该是)高度保护的。一旦用户进入VPN，他就可以访问整个网络。这就是问题所在。企业IT部门花费大量资源建立新用户并规范对VPN的访问。几乎每家公司都有一个程序，如果有人辞职或被解雇，会自动通知IT组，他们会立即关闭网络访问。

在大多数公司环境中，VPN只在工作前后几天对自动化提供商开放。虽然这将客户网络的风险降到最低，但它消除了主动查看客户系统的机会。对相关工程师来说更糟糕的是，一旦进入客户的网络，工程师必须记住一长串IP地址数字才能找到正确的PLC。控制工程师和企业IT部门之间长达30多年的意志之战可能会增加困难。

从这里可以看到未来

有前途的技术正在进入远程访问领域。许多危机都发生在Stuxnet病毒的边缘，以及计算机安全战争的内在升级。其中一项新技术来自比利时的eWon(一家由系统集成公司转型为制造商)。它在工业案例中使用了独特的硬件、云计算和VPN路由器技术(LAN、PSTN、GPRS、2G、3G)。该产品使用工厂局域网在用户和机器之间建立安全的互联网连接。eWon Talk2M (talk to machine)是一种基于web的智能远程访问方法，它集成了IT安全标准，在用户和远程机器之间启用互联网隧道，而不需要更改任何一端的IT网络安全设置。这使得部署很容易，同时隐藏了IT网络基础设施的复杂性。由于云连接是出站的，防火墙保持完整，以保护网络免受恶意软件和病毒(如Stuxnet)的侵害。

总部位于加州的一家专门从事水处理系统的系统集成商是eWon技术的早期采用者之一。美国水技术公司的Darian Slywka说:“VPN网络连接曾经是一个主要的麻烦。正如您可能想象的那样，与公用事业基础设施相关的安全性存在重大问题。在防火墙中开放端口会给客户和我们自己的系统带来麻烦。”

美国水技术公司使用eWon Talk2M和相关服务，根据工作量、项目动态和业务需求分配工程师和程序员。他们监控设备的使用情况，记录远程工作的时间。他们可以监控，调试，并随后排除任何与以太网连接的设备;像plc、驱动器、仪器仪表和其他设备可以很容易地连接起来，就像它们在手臂的范围内一样。

eWon设备自动抓取IP地址，分配IP地址不存在问题，省时省力。Talk2M Pro服务管理用户和机器之间的控制访问。此外，该软件只允许与eWon设备通信，解决了安全问题。

经济的影响

远程连接是一个很好的经济决策。最后一分钟的机票和酒店房间都要上千美元，旅行成本证明远程访问策略是合理的。如果把离开办公室导致的生产力损失计算在内，成本就会飙升。

MAAC Machinery的莱斯利·亚当斯(Leslie Adams)表示，使用eWon可以减少“我们50%-70%的支持成本，此外还大大减少了通常与等待服务技术人员有关的机器停机时间。浪费在实地考察上的时间相当于一大笔钱。坐在机场，开车去客户那里安装，这意味着大量的非生产性时间——我们希望程序员把这些时间花在开发新机器或微调现有系统上。当这些人离开时，他们根本就没有在做重要的事情。”

其他公司也有类似的理由。Comtec Industries是一家与商业面包店合作的制造商，其技术副总裁Joe Reilly表示:“在烘焙行业，停机时间是昂贵的。2900型的运行速度为每小时3600个外壳，停机时间很容易达到每小时7000美元以上的收入损失。有了这样的数字，可以肯定地说，我们将在这些机器的生命周期内节省数十万美元的生产损失。而且，当我们取消实地考察旅行时，我们为客户节省的钱只是锦上添花(没有双关语)。当我们放下一切，冲到现场紧急情况时，我们的成本就会飙升。”

最后，通过自动化设备的实际远程访问，实现了工程优雅与经济影响的结合。我们在涅槃之门。

- Frank Hurtte是River Heights Consulting的创始合伙人。由CFE Media内容经理马克·t·霍斯克编辑，控制工程而且设备工程，mhoske@cfemedia.com．

上网

www.globalelove.com/safety安全与保安频道

www.americanwatertech.com

www.comtecindustriesltd.com

www.ewon.us

www.riverheightsconsulting.com

关键概念