保障网络安全

工业网络安全越来越关注网络，因为它们不断发展，超越了历史上的孤立。网络正在通过以太网TCP/IP、it相关系统和/或Internet访问它们自己和它们的数据，并且正面临着这些技术固有的漏洞。问题是，用户如何才能远程访问他们的网络，而不会让自己暴露于未经授权的入侵?

为了开始提高安全性，管理人员、控制工程师和系统管理员必须首先把他们的网络作为一个整体来考虑，并意识到他们公司范围内的基础设施。从字面上勾勒出整个网络是有用的;盘点所有与网络相连的东西;然后问“这个网络是连接到公司的内部网还是互联网?”以及“网络是完全硬连线还是有无线组件?”接下来，管理人员应该检查当前可用的安全措施，并确保它们已启用并在运行。

路由器的规则

毫无疑问，提高安全性的最重要工具是在本地网络和大型系统(尤其是那些与Internet相连的系统)之间设置路由器/防火墙。交换机在数据链路层(第2层)运行，而路由器通常在网络层(第3层)运行，大多数路由器处理TCP/IP消息。路由器/防火墙将私有互联网地址与数据请求相匹配，只允许通过指定的消息。很少有未经授权的消息通过路由器。

另一个安全问题是:“工厂车间的高度可重复通信是否能够处理企业级别的数据传输大小和带宽?”为了管理这些通信，许多用户使用具有广播风暴控制功能的交换机，它可以阻止来自过度噪声端口的广播。

此外，这些交换机为访问网络上的每个端口分配的带宽略有不同。这确保了每个设备只收到它应该接收的消息。

vlan至关重要

除了基本路由之外，一些用户还在工厂网络和办公系统之间实现虚拟局域网(vlan)。vlan位于交换机的硬件中，用于阻止网口之间的非法消息。

事实上，两个重叠到特定程度的VLAN可以共享数据，例如，如果工厂车间的一台设备也位于公司VLAN上。这只暴露了一个设备的潜在漏洞，并使其他设备受到保护。

另一种选择是在两个位置之间安装一个额外的路由器，它可以专门用于在它们之间发送数据。这种安全策略不屏蔽地址，但它也只允许工厂地址和办公室地址之间的特定流量。这种方法类似于VLAN，但是使用添加的路由器来完成它的工作。

检查已连接的pc

回到基础设施方面，网络管理人员也必须谨慎对待哪些设备可能会耗尽工厂的可用带宽。以太网交换机的设计非常诱人，有人插入可用的RJ-45端口可能会阻碍或破坏未经授权或未经测试的网络流量的制造过程。

因此，除了检查自己网络的安全性外，管理人员还必须注意可能连接到工厂网络交换机的个人电脑和笔记本电脑上使用的协议。管理人员可以通过在安全模式下运行工厂网络或设置小型测试网络来测试新的软件或设备。

bennett Levine, Contemporary Controls的研发经理，www.ccontrols.com

锁定安全待办事项列表

把网络看作一个整体，并把它画出来

库存什么网络连接到互联网?无线?

检查现有的安全特性，并确保它们已启用

在车间网络和其他网络之间安装路由器、交换机/防火墙

启用路由器的广播风暴控制能力

使用vlan (virtual local area network)来阻止端口之间的非法消息

重叠两个vlan，实现特定的数据共享

使用额外的专用路由器，只允许两个网络之间的授权流量

测试pc和笔记本电脑是否接入工厂网络

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。