面向原始设备制造商的可扩展式安全远程访问解决方案.pdfVIP

面向原始设备制造商的可扩展式 安全远程访问解决方案 原始设备 制造商 引言 如果能对生产资产、数据和应用进行安全远程访问，并能利用最 新的协作工具，则制造商无论处于什么位置，都可以在正确的时 间应用恰当的技能和资源。而对于原始设备制造商来说，他们渴 望降低成本、希望为制造业客户提供更多价值，并期待从竞争中 脱颖而出。因此，本白皮书列出了从远程位置安全访问工厂应用 和数据的多种方式，旨在为原始设备制造商提供安全远程访问设 计指导，帮助原始设备制造商提升与客户之间的协作水平 工业全厂级系统 技术挑战 长期以来，在对工业自动化和控制系统 (IACS) 的支持方面，原始设备制造商或是依靠部署现场人 员，或是采用无防火墙的独立拨号访问等类似方法。而这样的远程访问往往都会绕开边界防护机 制，从而使制造系统产生“后门”，并带来巨大的安全风险。鉴于原始设备制造商希望远程提供安全 支持，并实时响应问题，这一方法已不能满足需求。 对传统企业网络进行远程访问的技术已问世很长一段时间，虚拟专用网络?(VPN)?便是一例。但 要成功应用这些技术对工业自动化和控制系统?(IACS)?进行有效的远程访问一直以来都是一项? 挑战。 2 | 面向原始设备制造商的可扩展式安全远程访问解决方案 其中的原因有很多： ? IACS 通常由生产制造部门管理，而像 VPN 这样的企业级远程访问解决方案却属 IT 部门的责任 范畴。要成功实施对 IACS 的远程访问，需要 IT 和制造工厂紧密协作。 ? 远程访问会将关键的制造系统暴露于病毒和恶意软件的危险之下，倘若远程或伙伴计算机中存 在这些危险源，可能会对生产造成影响。 ? 用于访问的终端设备（计算机）的安全性很难保证，同时该设备中也不一定包含进行远程访问与 控制所需的适当版本的应用程序。 ? 很难将远程用户的操作限制在适合他们进行的操作范围内，那些因为视线或其他类似要求而需 要在本地操作的功能仍然会在远端显示出来。 ? 制造商通常无法限制合作伙伴或远程员工的访问操作，无法将访问限于他们负责或已获得授权 的特定机器、应用或网络部分。 ? 没有一种通用方法能适合所有人。对一个客户适用的 IACS 远程访问解决方案并不一定适用于其 他客户。某个客户需要的 IACS 远程访问解决方案可能会对另一个客户造成过大的负担，甚至不 实用。如下文所述，可行的远程访问解决方案取决于行业要求、客户要求（安全策略和规程）、客 户规模及其支持基础架构。 因此，远程访问解决方案虽然在企业网络中广泛部署，但在支持 IACS 网络方面却没有被大规模 采用。使用 VPN 技术后，通常都会面临之前提到的各项挑战，因此即使仅限员工（非合作伙伴）使 用，如果不正确实施，仍会导致一定的安全风险，包括病毒感染和非授权访问。为真正实现协作制 造，访问需要摆脱位置或公司的限制，随心扩展。访问需要足够安全，从而可以有效地通信、诊断