傅昆,主编

近两年开始，工业网络的安全话题正在成为国际工业自动化领域的一个热门 话题，也是整个工业安全架构下的重要组成部分。对工业网络的数据安全 问题考虑，也反映出数字化仪表无线、总线和以太网等新兴工业通信技术的应用日 趋广泛，日益重要的数据通信使得网络安全成为先进自动化用户更深一步的需求。如果你是从事电力或其他行业工作的，那么你应该如何在你的DCS、SCADA 或其它工业控制网络中实施基本的网络安全措施呢？通常在一个项目开始之前，应 该首先对当前的情况进行一次评估，尤其要对网络中的所有设备做一次清查。你需 要弄清楚设备是怎样连接的，以及设备上运行着何种软件。独立的控制系统虽然很容易保护，但这样的系统已经很少存在了。

如果管理 员要了解工厂当前的情况，那么他获取信息的最简单方法就是查看控制系统。这样 的话，控制系统就要连接到公司的网络中，而公司网络毫无疑问是连接互联网的。 如果这类连接没有得到很好的保护，那么就可能成为了一个主要的突破口。控制系 统与公司网络结合得越全面，潜在的突破口就越多，“攻击面积”越大，所以必须 了解工厂的连接现状。除此之外，关于如何构建工厂的网络安全技术，还有以下几点以供工业网络 用户考虑：

• 物理层：网络数据的安全基础首先要保证物理上的安全。试想，如果用户 首先能保证不让外部入侵者能够有机会接近物理层的网络设施和相关自动化设备， 这些入侵者至少就会更难以获取上层的敏感数据。

• 防火墙：在工厂重要的IT数据设备的各个环节均设置完善的防火墙功能。 • 端口访问控制：除了上述物理手段，尽量防止非授权设备插入交换机或路 由器等网络核心设备的端口上。

• 口令与验证：定期更改网络访问口令，口令必须有足够的长度和复杂性以 增加被盗取的难度。此外，采用比授权更复杂的验证技术，这样可以知道要求授权 者的身份，而不仅仅是直接一定范围的授权。

• 加密：在需要在站点间进行数据中继时，采用光纤比铜缆更安全。而经过 加密的数据可以提升数据的安全保护层次。

• VPN和VLAN：虚拟私有网络VPN和虚拟局域网VLAN也是在跨网络传输数 据时可以考虑采用的安全技术。

• 员工培训问题：这是一个终极问题，因为任何安全策略和安全网络技术都 是需要人来实现的，只有让相关的员工建立起真正的网络安全意识，才能将防火 墙、加密、口令、验证、VPN等技术真正落到实处，发挥最大的技术价值。