目前以太网技术,已经占具了办公室环境下的数据传输的大部分,同时在工业自动化应用的地位也越发重要。其优势包括,首先是标准的通信系统;其次,是一个无缝的结构,从办公室的桌面扩大到生产环境中的机器。这样,过程和生产数据不仅仅能在现场级得以应用,也能在工厂环境中的数据记录系统中使用。
这就产生了新的安全需求。防火墙需要适用于工业环境,能提供一个完整的方案。
但来自于外部的威胁很多,例如来自于因特网,这些威胁都能通过使用现成的办公室环境中的IT设备,如防火墙,和常用更新病毒扫描等方式得以解决。
这与内部产生的风险不同,例如,网络超载(拒绝服务),或者终端错误,或运行错误。为了成功解决这一风险,需要技术和元件都能适用工业应用。这些不仅能保护所有的生产网络,而且也能保护子网络和各个终端。
&nbs
p; 不同的安全环境
当外部工作人员在维护或调试系统或机器时,通常在进入不使用的以太网端口时,没有访问的限制。而对于笔记本的使用,一般也不经过预先检查,这就增加将病毒带入工作网络的可能性。当切换到这个网络时,会安装安全功能,但仅限在这类情况下。因此,即使规模更小的网络,如一个生产单元,连接有四个的终端的网络,都会对整个网络带来风险。
另一个会破坏安全性标准的情况是,无意识的进入。在进入IP地址时,手指的无意动作就会产生错误的系统访问,因此,如果没有授权机制,在使用网络访问时,任何系统就在未受检查的情况下被改变。
安全系统的主要任务是,只允许重要的信息流在生产网络中传送。任何其他的数据交换,都须经过各种适当的过滤规范。但是这些规范与系统完全不同,因为通常不同的网络服务在各个子网段中十分必要。当运行安全功能时,一个重要的前决条件是相关的通信关系的精确了解。
适用于工业的安全元件
对一个工业安全系统来说,当将安全性应用在自动化网络中,不同的应用以分散的方法实现。
为了给系统操作员、服务供应人员和网络工程系统制造商等人员进行基于以太网数据网络的安全措施的计划, 2003年初成立了“ JTWG 网络安全('JTWG Network Security')工作组,其归属于IAONA。这些指导包括首先应该观察一下具体情况和方案,其次为网络服务,如DHCP、FTP或SNMP应该被分成各种不同的安全类别。初级的版本能在网上免费下载,(www.iaona-eu.com/home/downloads.php).
集成的安全性
安全性能集成在基于以太网的生产网络中,能使用与办公室环境相似的结构,如防火墙或VPN。但是无论是软件和硬件,都必须能针对特殊的自动化需求。
集成到网络的先决条件是通信关系的了解,在各种相关的系统中,必须更为精确:谁需要做什么,什么时候,什么地方?通信关系在各个系统网段中也是截然不同的,通常需要在各个局部安装安全元件,也就是说,靠近设备或机械的附近。但是即使是已经应用在网络中的安全规范,安全的过程仍然是保持不变的,例如,分析记录文件。 因此,对我们来说,没有最佳的方案。
