优化信息访问和安全生产之间实现平衡.pdfVIP

封 面 故 事 本 地 新 闻 制造商如何在 优化信息访问和 安全生产之间 实现平衡 保障生产设施需要对生产的 各个方面有彻底的了解。 了满足当今生产力要求，从工程 为师到高管在内的每个人都需要对 车间运营有更深入的了解。而随 着技术的进步，这已成为可能，借助从信 息化的可编程控制器一直到现代化的人机 界面(HMI) 技术，组织上下任何层级的人 员均可访问所需的数据。但这些进步同样 也会带来一定的安全隐患，可导致停机、 数据丢失等后果。 采用一个可靠的安全程序，不仅可 帮助制造商充分利用电子技术的巨大优 势，还可帮助消除其固有的风险，避免意 外发生可能的故障事件。但正如没有两个 生产运营是完全相同的，也没有一个 “万 能”的安全解决方案。 要实施一项成功的工业控制系统安 理 Brad Hegrat 介绍说，在设计安全系统 分制造商都只能访问系统的一两个方面， 全策略，首先需要对整个企业上下的各个 方面的资产进行风险评估。并进而形成一 时，制造商应首先了解生产的各个方面。 例如网络流量数据或通信路径。由于无法 个定制式路线图，其中包括基于最佳实践 然后才可为彼此关联的资产、数据和终端 了解系统的其它方面，工程师无法执行大 的安全策略，以及可降低风险并保护制造 构建多层保护。而了解其中的每层是保障 量诊断和安全功能，无法保护设备、控制 资产的先进技术。 安全的关键所在，这可帮助延长机器的正 室、高度敏感区域和其它宝贵资产。 常运行时间，并进而提高最终收益。 Heg rat 解释，构建最佳的安全系统 构建安全系统 一个全面的安全程序可为安全性和 需从一个跨职能的团队开始。为获得最 罗克韦尔自动化工业安全业务经 信息访问之间的平衡奠定基础。当前大部 有效的安全程序，需要将控制工程师和IT 88 || 今今日日自自动动化化年11月月 封 面 故 事 专员的知识与专业技术结合起来。但衔接 的软件套件以及其它软件工具可实现这一 存在着严格的技术控制机制，以便防止 这两组人员非常困难，因为他们的目标、 点，这些工具可带来身份验证和按角色授 该终端的未授权使用；员工操作此设备 重点和流程都不相同。 权等功能，并从而帮助实现访问控制。 时使用的帐户不属于管理员组，而是属 例如，对于数据，IT 专员最重视机 此项服务会对尝试进入自动化系统的用户 于权限有限的一个组，例如标准用户 密性，然后是完整性，最后是可用性。而 进行身份验证，只有那些已授权可对系统 组。为帐户设定可满足工作需要的最低 控制工程师通常与此相反，即最重视可用 功能和资源执行特定动作的用户才可进行 权限，便是最小权限原则的一个很好的 性，然后是完整性，最后是机密性。另 访问。 示例。 外，IT 专员认为98% 的正常运行时间对 此外，通过开发网络安全层也可帮 第二条 “最少路线原则”要求设备 于企业网络已非常理想，但这对于大部 助保护控制和信息数据。防火墙和隔离区 只能进行单一功能的访问网络。例如，在 分负责高精度过程的控制工程师来说却 (DMZ – 在制造区和企业区之间构建的一 办公室环境的网络层中，没有对不良层2 是无法接受的。 个缓冲区，可防止通信直接在两个区之间 通信(交换数数据) 的防护机制。本质上， 出现这种情况的一部分原因是业 传送) 可帮助防止人员、病毒和间谍软件 无论符合还是不符合商业需要，网内的一 务模型不同。IT 专员可任意地进行横向 对这两个区域的有害侵入。 个员工始终都可通过网络与相邻办公室的 扩展，他们可以连接多个充当单个逻辑 但同时安全水平也不可设置得过 员工进行通信。因为企业网络的构建目的 单元的硬件或软件部分，例如服务器。 高，因为这样会对合法的访问和必要的 即是，使整个公司内所有节点