保护控制系统不受互联网的侵害

工厂的控制系统似乎是保护得最好的计算机网络之一，免受那些可能寻求伤害的人的侵害。它通常是如此远离互联网，黑客和病毒应该很难找到控制系统。这对大多数控制工程师来说没什么问题，他们知道任何与互联网的连接都会增加恶作剧的可能性。

但前台希望能立即获得工厂车间的数据。他们要么需要能够接触到控制网络，要么需要发送他们想要的信息。与此同时，当地工厂的官员也受到压力，要求他们通过企业范围的网络向其他地方的个人提供更多数据。

然而，任何时候提供对控制网络的访问，都暴露了控制系统。

通常，大型过程工业工厂有多个专用于过程自动化的网络，以及一个用于补充操作和维护功能的工厂网络。上面是各种业务系统使用的网络。

防火墙通过提供特定于应用程序的过滤来阻止恶意通信，从而帮助保护网络流量，它应该用于阻止应用程序不使用的协议和端口，从而分离和保护每个网络。防火墙还允许在发生攻击时断开部分网络。但是，在业务网络和工厂网络之间使用防火墙要比在工厂和控制网络之间使用防火墙少得多。

三个选项

这里有三种方法可以防止对过程控制系统的潜在入侵。选择哪一种主要取决于你能承受的风险和你所寻求的利益。

1.隔离网络。最安全的方法是保持控制网络锁定，只允许授权人员物理访问操作员站和连接的机器。这是最严格的方法，防止工厂内外的其他人进入。

大多数系统制造商都有很强的保护意识，他们很乐意看到控制网络不受外界影响。例如，艾默生只允许通过控制网络上的一组有限的工作站连接到工厂或业务网络，这些工作站专门为提供这种连接而设置。

2.继续连接。快速、简单和鲁莽的方法是简单地将控制网络连接到工厂和业务网络，并期待最好的结果。最坏的情况可能永远不会发生，但如果真的发生了，后果可能很难解释。

3.以智能、可控的方式建立联系。为了保护控制网络，有几件事可以而且应该做:

• 使用防火墙和路由器对网络进行适当的分段。正确建立的防火墙可以阻止特定的消息或消息类型，从而使网络管理员能够控制哪些类型的流量可以流入和流出控制网络。如果众所周知的端口(如HTTP和RPC端口)必须开放，则渗透到控制网络的风险就会增加。不幸的是，许多应用程序需要打开的正是这些端口。

• 建立维护防火墙的策略和程序，并确保防火墙配置正确。规则应该确定谁可以更改防火墙，定义允许的更改并提供监督。系统安全主要是一个过程问题，而不是一个技术问题。

• 防火墙提供的保护可以通过使用入侵检测系统来增强，入侵检测系统监视网络流量以识别不适当的活动。这些系统可以帮助识别防火墙何时无效，或者何时通过开放端口进行攻击。

• 世界上所有的防火墙都不会保护一个密码弱的系统。自动生成的密码是最好的，但通常需要工具来帮助生成和管理它们，例如Password Minder和Password Safe。最后，让所有非必要的软件远离直接连接到控制网络的计算机。这些计算机上安装的软件越多，感染病毒的风险就越大，病毒可能会破坏或使工厂无法运作。

作者信息

Jon Westbrock是艾默生过程管理公司的高级技术专家;

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。