王宏善 羅克韋爾自動(dòng)化（中國）有限公司

為了增加靈活性和提高生產(chǎn)效率，制造商在他們的工業(yè)自動(dòng)化和控制系統中采用開(kāi)放網(wǎng)絡(luò )標準。使用開(kāi)放標準網(wǎng)絡(luò )的益處之一就是具有遠程訪(fǎng)問(wèn)自動(dòng)化系統的能力。工程人員和合作伙伴可以共享工廠(chǎng)數據、應用和資源，而與他們的物理位置無(wú)關(guān)。

這種靈活性對當今的制造商而言是非常重要的，因為提高全球化能力和降低生產(chǎn)成本，需要共享信息數據和快速解決生產(chǎn)中的問(wèn)題，這對每個(gè)制造商都是巨大的挑戰。本文就如何實(shí)現高度安全的遠程訪(fǎng)問(wèn)進(jìn)行了探討。

1　實(shí)施遠程訪(fǎng)問(wèn)的原則

當允許遠程訪(fǎng)問(wèn)工廠(chǎng)數據和資源時(shí)，要堅守一些原則。這些原則也被羅克韋爾自動(dòng)化開(kāi)發(fā)的參考架構所使用，包含在嚴格控制遠程訪(fǎng)問(wèn)自動(dòng)化和控制應用的重要概念中。

1.1　使用IT認可的用戶(hù)訪(fǎng)問(wèn)、驗證策略和訪(fǎng)問(wèn)程序

對企業(yè)資源和服務(wù)的訪(fǎng)問(wèn)要進(jìn)行監視和記錄。企業(yè)應該事先知道每個(gè)用戶(hù)的背景，并且分配一個(gè)獨有的帳號。用戶(hù)每次訪(fǎng)問(wèn)網(wǎng)絡(luò )，要通過(guò)驗證并且給予適當在企業(yè)內的授權。出于審計目的，對訪(fǎng)問(wèn)要進(jìn)行跟蹤和記錄。對工廠(chǎng)現場(chǎng)數據和資源訪(fǎng)問(wèn)的批準，應該遵照企業(yè)IT部門(mén)的流程進(jìn)行。

合作伙伴、遠程工程師或供應商采用其他方案（諸如：因特網(wǎng)直接訪(fǎng)問(wèn)）訪(fǎng)問(wèn)工廠(chǎng)和制造區，可能產(chǎn)生對工廠(chǎng)和企業(yè)網(wǎng)絡(luò )的風(fēng)險，除非這些方案遵從IT的政策和流程。

1.2　只在工廠(chǎng)內自動(dòng)化和控制協(xié)議

羅克韋爾自動(dòng)化參考架構中的關(guān)鍵原則是“CIP只在工廠(chǎng)”使用。CIP、通用工業(yè)協(xié)議和其他核心的自動(dòng)化和控制協(xié)議，包括FactoryTalk實(shí)時(shí)數據、OPC-DA、Modbus TCP應在工廠(chǎng)內使用。這些運行在設備上的協(xié)議，在安全防御上非常有限。因為工廠(chǎng)的流程是通過(guò)它們對自動(dòng)化設備實(shí)現啟動(dòng)、停止和操作，所以它們對工業(yè)自動(dòng)化和控制系統有舉足輕重的影響。

因此，自動(dòng)化和控制協(xié)議不應該脫離工廠(chǎng)。在工廠(chǎng)里，自動(dòng)化和控制設備是在熟悉的物理邊界里，由工控人員安裝、操作和維護。對這個(gè)區域的協(xié)議限制，可以確保自動(dòng)化和控制設備在熟知的設備和應用之間正常通信。另外，這些設備和應用的用戶(hù)是經(jīng)過(guò)驗證并對于他們的角色給予了相應的授權。

這個(gè)原則也許在今后會(huì )重新考慮，因為存在的安保設備（諸如防火墻）可以嚴格管轄來(lái)自制造區之外的自動(dòng)化和控制數據流。這會(huì )要求這些“應用”防火墻具有一個(gè)適當的應用或協(xié)議知曉等級，可以對網(wǎng)絡(luò )部分通信包和數據部分充分檢查，建立設備的知名度和信任度。在現代企業(yè)級防火墻上實(shí)現這項技術(shù)之前，我們推薦自動(dòng)化和控制協(xié)議“只在制造區”使用。

1.3　控制應用

工廠(chǎng)現場(chǎng)應用考慮的要點(diǎn)是由遠程伙伴或工程師控制應用。當遠程訪(fǎng)問(wèn)工廠(chǎng)現場(chǎng)時(shí)，做為一種最佳實(shí)踐，合作伙伴和遠程工程師應使用在控制應用服務(wù)器上的自動(dòng)化和控制應用版本（諸如FactoryTalk View或RSLogix 5000），原因如下：

使得工廠(chǎng)能夠嚴格地控制應用程序的版本升級。

控制訪(fǎng)問(wèn)的等級和遠程人員的授權。使用安裝在遠程系統的應用（諸如FactoryTalk View）很難區分用戶(hù)是在本地還是在遠程，這可能造成自動(dòng)化和控制協(xié)議離開(kāi)制造區。

防止在遠程系統的病毒或其他危險影響制造區的應用和系統。

在遠程用戶(hù)的計算機上使用自動(dòng)化和控制應用，對自動(dòng)化和控制會(huì )帶來(lái)極大的風(fēng)險，作為最佳實(shí)踐，應該避免這種情況發(fā)生。

1.4　沒(méi)有直接數據流

就像圖1中紅色拒絕圈所標出的，在企業(yè)網(wǎng)和控制網(wǎng)之間，不允許有直接的數據流通過(guò)。如果存在交互必須要有兩個(gè)步驟，先把數據流引到IDMZ中的業(yè)務(wù)服務(wù)器當中，然后再從此服務(wù)器送到控制網(wǎng)的設備當中。

圖1 帶有工業(yè)隔離區的6層工廠(chǎng)結構

在控制系統中，數據通訊按照上面描述的兩個(gè)階段進(jìn)行，因為數據到生產(chǎn)控制系統之前，必須先在IDMZ中進(jìn)行驗證。遠程訪(fǎng)問(wèn)控制網(wǎng)絡(luò )上的設備需要登錄，或至少通過(guò)一個(gè)堡壘服務(wù)器。遠程訪(fǎng)問(wèn)服務(wù)器像一條咽喉要道，遠程訪(fǎng)問(wèn)需要進(jìn)一步驗證、登錄和過(guò)濾，才能到達那臺服務(wù)器。這就提供了深度的控制機制。

在這個(gè)架構中，工業(yè)防火墻成為遠程用戶(hù)與工廠(chǎng)自動(dòng)化和控制應用之間的網(wǎng)關(guān)，嚴格管轄進(jìn)出每個(gè)區域的數據流，因而保持了最佳實(shí)踐。

1.5　關(guān)閉非工業(yè)協(xié)議端口

關(guān)閉非工業(yè)協(xié)議之外的端口，盡量減少對外開(kāi)放的窗口，穿越一個(gè)防火墻再穿過(guò)另一個(gè)防火墻，如圖1所示。這就防止了蠕蟲(chóng)，如：震網(wǎng)（Stuxnet）穿過(guò)上層防火墻，在工業(yè)隔離區感染系統，進(jìn)而在控制區域傳播病毒。

1.6　單通道入或出

從IDMZ通過(guò)低層防火墻進(jìn)入工廠(chǎng)的通道僅有一條，或進(jìn)或出。從企業(yè)網(wǎng)通過(guò)核心防火墻進(jìn)入IDMZ的通道也只有一條。

以上的原則其實(shí)包含了一個(gè)重要的概念，就是首先要嚴格控制對自動(dòng)化和控制應用的遠程訪(fǎng)問(wèn)，而不是盲目信賴(lài)遠程用戶(hù)在訪(fǎng)問(wèn)工廠(chǎng)應用時(shí)不做錯事。

2　體系架構

按照羅克韋爾自動(dòng)化參考架構的原則，實(shí)施對工廠(chǎng)現場(chǎng)應用和數據的高安全遠程訪(fǎng)問(wèn)，已成為要直接面對的問(wèn)題。實(shí)現遠程訪(fǎng)問(wèn)要基于已經(jīng)存在架構：

最佳實(shí)踐企業(yè)的遠程工作方案，大多由IT部門(mén)負責實(shí)施和操作。

羅克韋爾自動(dòng)化融合工廠(chǎng)以太網(wǎng)的參考架構，采用了在工業(yè)隔離區IDMZ部署工業(yè)防火墻的方案，使用工業(yè)防火墻管理和檢查出入IDMZ的數據流。

圖2 簡(jiǎn)化的遠程訪(fǎng)問(wèn)架構

圖2表示了一種遠程訪(fǎng)問(wèn)架構的簡(jiǎn)單版本。

IDMZ設計為：允許不在本地生產(chǎn)現場(chǎng)的用戶(hù)或應用共享數據和應用。這就意味著(zhù)可以把關(guān)鍵數據復制到IDMZ的一個(gè)服務(wù)器中，使得在其他區域的用戶(hù)/應用可以看見(jiàn)那些數據。IDMZ相當于一個(gè)代理服務(wù)器，允許其他用戶(hù)間接連接網(wǎng)絡(luò )，讀取位于其他網(wǎng)絡(luò )區域中數據和應用。

當把數據復制到IDMZ時(shí)，數據在控制網(wǎng)和企業(yè)網(wǎng)之間快速而高效地傳輸。在實(shí)時(shí)訪(fǎng)問(wèn)實(shí)際生產(chǎn)系統和應用時(shí)，多數是要解決具體問(wèn)題，收集實(shí)時(shí)信息，或進(jìn)行過(guò)程調節。遠程訪(fǎng)問(wèn)能力除了針對IDMZ使用的終端服務(wù)，還可以通過(guò)代理服務(wù)器實(shí)時(shí)連接安裝在控制網(wǎng)的專(zhuān)用遠程訪(fǎng)問(wèn)服務(wù)器，訪(fǎng)問(wèn)自動(dòng)化和控制應用。本文強調的安全機制，使得外部用戶(hù)對企業(yè)的訪(fǎng)問(wèn)具有高度的安全，從企業(yè)網(wǎng)絡(luò )訪(fǎng)問(wèn)外部的情況也一樣。

經(jīng)過(guò)互聯(lián)網(wǎng)，遠程用戶(hù)（伙伴或雇員）也能通過(guò)遠程訪(fǎng)問(wèn)服務(wù)器訪(fǎng)問(wèn)工業(yè)自動(dòng)化和控制系統。遠程用戶(hù)的位置通常沒(méi)有高帶寬、低延時(shí)的連接?？梢圆捎妙?lèi)似瘦客戶(hù)機，可以在低帶寬、大延時(shí)的網(wǎng)絡(luò )環(huán)境下較好地運行。這里沒(méi)有提出任何帶寬或延時(shí)的要求，也沒(méi)有探究任何管理或監視應用在低帶寬、大延時(shí)情況下的性能。

3　羅克韋爾自動(dòng)化的解決方案

羅克韋爾自動(dòng)化融合企業(yè)以太網(wǎng)的參考架構包括下面組件：

（1）工業(yè)防火墻：Stratix5950工業(yè)防火墻提供了對關(guān)鍵區域的防衛，包括工業(yè)隔離區IDMZ的定義和保護。工業(yè)防火墻可以實(shí)現多種先進(jìn)功能，包括防火墻功能，諸如有狀態(tài)（stateful）包檢查、應用級防火墻和DPI協(xié)議檢查。Stratix5950還可以加入更多的先進(jìn)功能，諸如侵入檢測和防護、VPN功能等。選用相適應、多功能防火墻是建立牢固的區域防衛、達到預防目標的一個(gè)重要步驟。

（2）CPwE體系架構：安全網(wǎng)絡(luò )平臺可集成多種安保功能的應用，這對控制網(wǎng)和企業(yè)網(wǎng)都很重要，諸如虛擬局域網(wǎng)VLAN，訪(fǎng)問(wèn)控制列表ACL，端口安全特性和網(wǎng)絡(luò )保護特性。

（3）遠程訪(fǎng)問(wèn)服務(wù)器：在控制網(wǎng)的房間內安裝遠程訪(fǎng)問(wèn)服務(wù)器，僅用于遠程工程師和合作伙伴對自動(dòng)化和控制應用的訪(fǎng)問(wèn)。遠程訪(fǎng)問(wèn)服務(wù)器是一種專(zhuān)用的物理服務(wù)器，具有相應的終點(diǎn)安保功能。作為一種專(zhuān)用服務(wù)器，它可以配置在一條專(zhuān)用的遠程訪(fǎng)問(wèn)VLAN中，能夠很好地管理進(jìn)出服務(wù)器的數據流。

（4）生產(chǎn)的控制和信息：為整個(gè)工廠(chǎng)生產(chǎn)控制系統設計的一個(gè)公共控制和信息平臺，羅克韋爾自動(dòng)化的集成架構是一個(gè)控制和信息架構，由Logix硬件控制平臺和FactoryTalk生產(chǎn)與管理系列軟件組成，支持EtherNet/IP和其他開(kāi)放標準。FactoryTalk由模塊化生產(chǎn)策略和多個(gè)服務(wù)平臺組成， 通過(guò)EtherNet/IP緊密地與Logix控制平臺結合。Logix可編程自動(dòng)化控制器是一種單一的控制架構，提供了離散量、變頻器、運動(dòng)控制、連續流程和批次生產(chǎn)控制系統。

（5）使用羅克韋爾自動(dòng)化的Stratix 5410核心管理型交換機：羅克韋爾自動(dòng)化的工業(yè)以太網(wǎng)交換機使用Logix固件為工業(yè)控制人員提供可以在RSLOGIX5000中編程和組態(tài)，同時(shí)還提供web界面為IT人員所熟悉，同時(shí)為用戶(hù)配備了簡(jiǎn)單的安裝方法和基于羅克韋爾自動(dòng)化集成架構的完整診斷信息。

4　結語(yǔ)

在工業(yè)自動(dòng)化和控制系統中，采用開(kāi)放網(wǎng)絡(luò )標準，為制造商提高生產(chǎn)力和快速響應生產(chǎn)過(guò)程中的突發(fā)事件，創(chuàng )造了新的機會(huì )。使用標準網(wǎng)絡(luò )技術(shù)，諸如用以太網(wǎng)和TCP/IP連接自動(dòng)化和控制系統，制造商可以實(shí)時(shí)與遠程的工程師和合作伙伴共享工廠(chǎng)的數據、應用和資源。這些能力是非常重要的，因為制造商運行在更復雜和全球化的環(huán)境下，系統需要保持每周7天、每天24小時(shí)的可用性?；谒伎坪土_克韋爾自動(dòng)化融合工廠(chǎng)以太網(wǎng)參考架構的遠程訪(fǎng)問(wèn)，為制造商在恰當的時(shí)間提供了正確的方法和資源，與他們的物理位置無(wú)關(guān)。這樣可以在生產(chǎn)運行過(guò)程中實(shí)現高效率、少停機和低成本。

作者簡(jiǎn)介

王宏善（1978-），男，天津人，高級程序員，碩士，現任羅克韋爾自動(dòng)化（中國）有限公司客戶(hù)與服務(wù)部門(mén)網(wǎng)絡(luò )安全服務(wù)產(chǎn)品經(jīng)理，主要研究方向為工業(yè)網(wǎng)絡(luò )安全的攻擊與防御。

摘自《工業(yè)控制系統信息安全》專(zhuān)刊第四輯