對工業網絡安全性的關注如今越來越高。網絡正使它們自己和他們的數據越來越易于結合,通過Ethernet TCP/IP、與IT相關的系統,或者是Internet。但同時,它們在技術上也正面臨著其自身潛在的弱點。問題是,用戶如何既能通過遠程網絡,又可免受非法入侵的危害。
開始提高安全性時,對于經理、控制工程師和系統管理人員來說,首要的一點是必須認同網絡的一體性,并能充分考慮到整個公司范圍的結構。首先,能詳細地描述出整個網絡是非常有用的;詳細記錄任何連接到網絡上的設備;然后,并弄清這個網絡是連接到廠級的intranet還是Internet上?以及,所有的網絡是硬連接的還是連接了無線的元件?然后,經理必須檢查目前能采用的安全措施是什么,并且保證這些措施是可運行的,可操作的。
路由器
毋庸質疑的是,提高安全性的最重要的工具是在本地網絡和大型系統上設置一個路由器/防火墻,特別在連接到Internet時。當交換機運行在數據鏈接層(第2層),通常路由器運行在網絡層(第三層),此時大多數路由器處理TCP/IP信息。一個路由器/防火墻對應一個單獨的Internet地址,可允許通過特殊信息。這樣,沒有未驗證的信息幾乎不能通過路由器。
另一個安全問題是,廠級的高重復性的通信是否能夠處理公司級的數據傳輸大小和帶寬?為了管理通信,用戶會采用具有broadcast storm control功能的交換機,它能阻擋過于嘈雜的端口。
而且,這些交換機為每一個端口指定不同的帶寬。這就確保了每個設備只能收到其能接收的信息。
VLAN
在基本方案上,一些用戶在其工廠級網絡和辦公系統之間運行虛擬局域網(VLAN)。由交換機的硬件,VLAN阻止了網絡端口之間未經認證的信息。
另外一個方法是簡單地在兩個地點之間安裝一個額外的路由器,專門用于兩地之間的數據傳輸。這種策略安全且無需掩碼,但是需要廠級地址和辦公室地址之間的特殊通信。這種方法與VLAN有點類似,但是取代了附加路由器的功能。
檢查所連接的PC
根據基本設施,網絡經理必須注意什么樣的設備會占用較多的廠級帶寬。以太網交換機在設計上比較巧妙,當插入一個可用的RJ-45端口能潛在地阻止或消除系統受到的未經認證或未經測試的網絡通信的入侵。
因此,除了檢查某個網絡的安全性,經理還必須小心PC或筆記本電腦上安裝的協議,電腦可能連接到廠級網絡的交換機上。經理通過在安全模式下運行網絡設備或通過建立小型測試網絡能測試新的軟件和設備。
