罗克韦尔自动化工业网络远程访问解决方案

厂商:罗克韦尔自动化
作者:王宏善
  点击数:2334  发布时间:2017-11-06 00:51
本文描述实施工厂级别远程访问的原则,给出了远程访问的用例,搭建了典型的体系架构,提出了罗克韦尔自动化公司建议的解决方案。
关键词:安全策略 ,工业隔离区 ,远程访问

王宏善 罗克韦尔自动化(中国)有限公司


为了增加灵活性和提高生产效率,制造商在他们的工业自动化和控制系统中采用开放网络标准。使用开放标准网络的益处之一就是具有远程访问自动化系统的能力。工程人员和合作伙伴可以共享工厂数据、应用和资源,而与他们的物理位置无关。


这种灵活性对当今的制造商而言是非常重要的,因为提高全球化能力和降低生产成本,需要共享信息数据和快速解决生产中的问题,这对每个制造商都是巨大的挑战。本文就如何实现高度安全的远程访问进行了探讨。


1 实施远程访问的原则


当允许远程访问工厂数据和资源时,要坚守一些原则。这些原则也被罗克韦尔自动化开发的参考架构所使用,包含在严格控制远程访问自动化和控制应用的重要概念中。


1.1 使用IT认可的用户访问、验证策略和访问程序


对企业资源和服务的访问要进行监视和记录。企业应该事先知道每个用户的背景,并且分配一个独有的帐号。用户每次访问网络,要通过验证并且给予适当在企业内的授权。出于审计目的,对访问要进行跟踪和记录。对工厂现场数据和资源访问的批准,应该遵照企业IT部门的流程进行。


合作伙伴、远程工程师或供应商采用其他方案(诸如:因特网直接访问)访问工厂和制造区,可能产生对工厂和企业网络的风险,除非这些方案遵从IT的政策和流程。


1.2 只在工厂内自动化和控制协议


罗克韦尔自动化参考架构中的关键原则是“CIP只在工厂”使用。CIP、通用工业协议和其他核心的自动化和控制协议,包括FactoryTalk实时数据、OPC-DA、Modbus TCP应在工厂内使用。这些运行在设备上的协议,在安全防御上非常有限。因为工厂的流程是通过它们对自动化设备实现启动、停止和操作,所以它们对工业自动化和控制系统有举足轻重的影响。


因此,自动化和控制协议不应该脱离工厂。在工厂里,自动化和控制设备是在熟悉的物理边界里,由工控人员安装、操作和维护。对这个区域的协议限制,可以确保自动化和控制设备在熟知的设备和应用之间正常通信。另外,这些设备和应用的用户是经过验证并对于他们的角色给予了相应的授权。


这个原则也许在今后会重新考虑,因为存在的安保设备(诸如防火墙)可以严格管辖来自制造区之外的自动化和控制数据流。这会要求这些“应用”防火墙具有一个适当的应用或协议知晓等级,可以对网络部分通信包和数据部分充分检查,建立设备的知名度和信任度。在现代企业级防火墙上实现这项技术之前,我们推荐自动化和控制协议“只在制造区”使用。


1.3 控制应用


工厂现场应用考虑的要点是由远程伙伴或工程师控制应用。当远程访问工厂现场时,做为一种最佳实践,合作伙伴和远程工程师应使用在控制应用服务器上的自动化和控制应用版本(诸如FactoryTalk View或RSLogix 5000),原因如下:


使得工厂能够严格地控制应用程序的版本升级。


控制访问的等级和远程人员的授权。使用安装在远程系统的应用(诸如FactoryTalk View)很难区分用户是在本地还是在远程,这可能造成自动化和控制协议离开制造区。


防止在远程系统的病毒或其他危险影响制造区的应用和系统。


在远程用户的计算机上使用自动化和控制应用,对自动化和控制会带来极大的风险,作为最佳实践,应该避免这种情况发生。


1.4 没有直接数据流


就像图1中红色拒绝圈所标出的,在企业网和控制网之间,不允许有直接的数据流通过。如果存在交互必须要有两个步骤,先把数据流引到IDMZ中的业务服务器当中,然后再从此服务器送到控制网的设备当中。


1.jpg

图1 带有工业隔离区的6层工厂结构


在控制系统中,数据通讯按照上面描述的两个阶段进行,因为数据到生产控制系统之前,必须先在IDMZ中进行验证。远程访问控制网络上的设备需要登录,或至少通过一个堡垒服务器。远程访问服务器像一条咽喉要道,远程访问需要进一步验证、登录和过滤,才能到达那台服务器。这就提供了深度的控制机制。


在这个架构中,工业防火墙成为远程用户与工厂自动化和控制应用之间的网关,严格管辖进出每个区域的数据流,因而保持了最佳实践。


1.5 关闭非工业协议端口


关闭非工业协议之外的端口,尽量减少对外开放的窗口,穿越一个防火墙再穿过另一个防火墙,如图1所示。这就防止了蠕虫,如:震网(Stuxnet)穿过上层防火墙,在工业隔离区感染系统,进而在控制区域传播病毒。


1.6 单通道入或出


从IDMZ通过低层防火墙进入工厂的通道仅有一条,或进或出。从企业网通过核心防火墙进入IDMZ的通道也只有一条。


以上的原则其实包含了一个重要的概念,就是首先要严格控制对自动化和控制应用的远程访问,而不是盲目信赖远程用户在访问工厂应用时不做错事。


2 体系架构


按照罗克韦尔自动化参考架构的原则,实施对工厂现场应用和数据的高安全远程访问,已成为要直接面对的问题。实现远程访问要基于已经存在架构:


最佳实践企业的远程工作方案,大多由IT部门负责实施和操作。


罗克韦尔自动化融合工厂以太网的参考架构,采用了在工业隔离区IDMZ部署工业防火墙的方案,使用工业防火墙管理和检查出入IDMZ的数据流。


2.jpg

图2 简化的远程访问架构


图2表示了一种远程访问架构的简单版本。


IDMZ设计为:允许不在本地生产现场的用户或应用共享数据和应用。这就意味着可以把关键数据复制到IDMZ的一个服务器中,使得在其他区域的用户/应用可以看见那些数据。IDMZ相当于一个代理服务器,允许其他用户间接连接网络,读取位于其他网络区域中数据和应用。


当把数据复制到IDMZ时,数据在控制网和企业网之间快速而高效地传输。在实时访问实际生产系统和应用时,多数是要解决具体问题,收集实时信息,或进行过程调节。远程访问能力除了针对IDMZ使用的终端服务,还可以通过代理服务器实时连接安装在控制网的专用远程访问服务器,访问自动化和控制应用。本文强调的安全机制,使得外部用户对企业的访问具有高度的安全,从企业网络访问外部的情况也一样。


经过互联网,远程用户(伙伴或雇员)也能通过远程访问服务器访问工业自动化和控制系统。远程用户的位置通常没有高带宽、低延时的连接。可以采用类似瘦客户机,可以在低带宽、大延时的网络环境下较好地运行。这里没有提出任何带宽或延时的要求,也没有探究任何管理或监视应用在低带宽、大延时情况下的性能。


3 罗克韦尔自动化的解决方案


罗克韦尔自动化融合企业以太网的参考架构包括下面组件:


(1)工业防火墙:Stratix5950工业防火墙提供了对关键区域的防卫,包括工业隔离区IDMZ的定义和保护。工业防火墙可以实现多种先进功能,包括防火墙功能,诸如有状态(stateful)包检查、应用级防火墙和DPI协议检查。Stratix5950还可以加入更多的先进功能,诸如侵入检测和防护、VPN功能等。选用相适应、多功能防火墙是建立牢固的区域防卫、达到预防目标的一个重要步骤。


(2)CPwE体系架构:安全网络平台可集成多种安保功能的应用,这对控制网和企业网都很重要,诸如虚拟局域网VLAN,访问控制列表ACL,端口安全特性和网络保护特性。


(3)远程访问服务器:在控制网的房间内安装远程访问服务器,仅用于远程工程师和合作伙伴对自动化和控制应用的访问。远程访问服务器是一种专用的物理服务器,具有相应的终点安保功能。作为一种专用服务器,它可以配置在一条专用的远程访问VLAN中,能够很好地管理进出服务器的数据流。


(4)生产的控制和信息:为整个工厂生产控制系统设计的一个公共控制和信息平台,罗克韦尔自动化的集成架构是一个控制和信息架构,由Logix硬件控制平台和FactoryTalk生产与管理系列软件组成,支持EtherNet/IP和其他开放标准。FactoryTalk由模块化生产策略和多个服务平台组成, 通过EtherNet/IP紧密地与Logix控制平台结合。Logix可编程自动化控制器是一种单一的控制架构,提供了离散量、变频器、运动控制、连续流程和批次生产控制系统。


(5)使用罗克韦尔自动化的Stratix 5410核心管理型交换机:罗克韦尔自动化的工业以太网交换机使用Logix固件为工业控制人员提供可以在RSLOGIX5000中编程和组态,同时还提供web界面为IT人员所熟悉,同时为用户配备了简单的安装方法和基于罗克韦尔自动化集成架构的完整诊断信息。


4 结语


在工业自动化和控制系统中,采用开放网络标准,为制造商提高生产力和快速响应生产过程中的突发事件,创造了新的机会。使用标准网络技术,诸如用以太网和TCP/IP连接自动化和控制系统,制造商可以实时与远程的工程师和合作伙伴共享工厂的数据、应用和资源。这些能力是非常重要的,因为制造商运行在更复杂和全球化的环境下,系统需要保持每周7天、每天24小时的可用性。基于思科和罗克韦尔自动化融合工厂以太网参考架构的远程访问,为制造商在恰当的时间提供了正确的方法和资源,与他们的物理位置无关。这样可以在生产运行过程中实现高效率、少停机和低成本。


作者简介


王宏善(1978-),男,天津人,高级程序员,硕士,现任罗克韦尔自动化(中国)有限公司客户与服务部门网络安全服务产品经理,主要研究方向为工业网络安全的攻击与防御。


摘自《工业控制系统信息安全》专刊第四辑

相关文章


热点新闻
推荐产品
 
  • 在线反馈
1.我有以下需求:



2.详细的需求:
姓名:
单位:
电话:
邮件: