工控網(wǎng)首頁
>

應(yīng)用設(shè)計(jì)

>

如何提升工業(yè)無線網(wǎng)絡(luò)的安全性?

如何提升工業(yè)無線網(wǎng)絡(luò)的安全性?

2017/7/3 9:45:28

  對于所有工業(yè)網(wǎng)絡(luò)來講,不管是有線的或者是無線的,安全問題正在獲得越來越多的關(guān)注,但是由于無線數(shù)據(jù)在空中傳輸,因此會產(chǎn)生一些特殊的關(guān)注點(diǎn)。比如,經(jīng)常會有類似這樣的問題,“我的信息真的安全嗎?”或者“這和有線網(wǎng)絡(luò)一樣安全嗎?” 如果在系統(tǒng)的規(guī)劃階段,能夠?qū)⒏鞣N因素考慮周全,確保其盡可能的安全,那么無線網(wǎng)絡(luò)也可以和有線網(wǎng)絡(luò)一樣安全。   構(gòu)建一個(gè)安全的無線網(wǎng)絡(luò)   在考察無線網(wǎng)絡(luò)平臺時(shí),除了從安全方面,還應(yīng)從靈活性、功能以及未來的擴(kuò)展性等方面對產(chǎn)品進(jìn)行全面的考察,這一點(diǎn)非常重要。能否對無線網(wǎng)絡(luò)進(jìn)行變更,取決于系統(tǒng)是基于開放還是專有的標(biāo)準(zhǔn)。開放的無線網(wǎng)絡(luò)標(biāo)準(zhǔn),比如Wi-Fi 或藍(lán)牙,運(yùn)行在開放的標(biāo)準(zhǔn)之上,任何人都可以使用該標(biāo)準(zhǔn)。利用谷歌,簡單的搜索一下如何攻擊Wi-Fi網(wǎng)絡(luò),就可以找到數(shù)以百萬計(jì)的搜索結(jié)果。   專有無線系統(tǒng),只能與來自于同一個(gè)生產(chǎn)廠家的設(shè)備進(jìn)行通訊,具有內(nèi)置的安全防護(hù)層。對于入侵者來講,學(xué)習(xí)這些設(shè)備的相關(guān)知識要困難,因?yàn)榈谌皆O(shè)備沒有連接到那些特定網(wǎng)絡(luò)上。   然而,在很多應(yīng)用場合,由于反向兼容性或互操作性等原因,公共無線網(wǎng)絡(luò)有時(shí)也是一種更好的選擇。由于這些技術(shù)是公開的,因此被廣泛理解,易于安裝。一個(gè)Wi-Fi網(wǎng)絡(luò),可以有多個(gè)由不同廠家生產(chǎn)的設(shè)備,彼此之間相互通訊。然而,事情總是兩面的,如果某人動機(jī)不純,那么“廣泛理解”就是一個(gè)缺點(diǎn)。同樣的,通過選擇適當(dāng)?shù)募夹g(shù)并充分利用智能的安裝實(shí)踐,就可以大大降低非預(yù)期網(wǎng)絡(luò)通訊故障發(fā)生的幾率。

圖1

  圖1:很多工廠,通過Wi-Fi 和藍(lán)牙將筆記本電腦和智能手機(jī)接入到工藝流程中。這樣,使用者就可以更容易進(jìn)行互動,但是如果沒有適當(dāng)?shù)念A(yù)防措施,這樣做就是為網(wǎng)絡(luò)攻擊打開了大門。

  確保無線網(wǎng)絡(luò)的安全   1. 加密。加密獲取數(shù)據(jù)后,利用密鑰來使數(shù)據(jù)不可讀,然后再進(jìn)行網(wǎng)絡(luò)傳輸。如果某人在網(wǎng)絡(luò)上進(jìn)行“竊聽”,即使入侵者獲得數(shù)據(jù),也沒有任何意義。加密可以分成不同的等級,包括有線等效加密(WEP)、無線網(wǎng)絡(luò)安全存取(WPA)以及 WPA2。   盡管它們都是某種形式的加密,但是WEP和WPA都比較容易被破解。WPA2利用先進(jìn)加密標(biāo)準(zhǔn)(AES)來進(jìn)行加密,為無線網(wǎng)絡(luò)提供了最高等級的安全保護(hù)?,F(xiàn)在,即使WPA2也有被攻破的可能,但是與其它類型的最優(yōu)實(shí)踐結(jié)合起來,可以降低被攻破的風(fēng)險(xiǎn)。   2. 授權(quán)。授權(quán)就是為自己網(wǎng)絡(luò)上的所有人定義角色,并確定權(quán)限范圍。網(wǎng)絡(luò)會問你,“你是該網(wǎng)絡(luò)的一份子嗎?如果是,那么你能和哪個(gè)層級通訊?”   權(quán)限范圍變化很大,從對網(wǎng)絡(luò)有安全的控制權(quán)、到只能接觸某些特定設(shè)備,不一而足。例如:生產(chǎn)線網(wǎng)絡(luò)上可能存儲所有的保密信息,只有特定的使用者才具有接入權(quán)限。而客戶網(wǎng)絡(luò)則對所有希望接入該網(wǎng)絡(luò)的用戶開放。

  3. 縱深防御。一個(gè)無線網(wǎng)絡(luò),即使具有最高等級的加密和授權(quán),它仍可能是不安全的。對整個(gè)網(wǎng)絡(luò)采用縱深防御措施(無論是在有線還是無線側(cè))意味著可以實(shí)施以下步驟:   ■ 限制發(fā)射功率:考慮無線系統(tǒng)所使用的環(huán)境和應(yīng)用。大多數(shù)無線設(shè)施都可以配置發(fā)射功率。如果應(yīng)用范圍較小,則可以考慮降低發(fā)射功率,這樣在規(guī)定的區(qū)域之外,使其網(wǎng)絡(luò)ID不可見。   ■ 在必要的地方安裝防火墻,并采取其它措施來限制網(wǎng)絡(luò)接入:嚴(yán)格來講,大多數(shù)網(wǎng)絡(luò)設(shè)備都是某種數(shù)據(jù)管道。盡管某些設(shè)備確實(shí)安裝了防火墻和路由功能,但其實(shí)很多只是提供了一個(gè)數(shù)據(jù)通道。如果在主要無線網(wǎng)絡(luò)設(shè)備的有線側(cè)安裝硬件防火墻,這樣就可以為網(wǎng)絡(luò)提供保護(hù),因?yàn)楫?dāng)有些人接入無線網(wǎng)絡(luò)、或者遠(yuǎn)程接入有線網(wǎng)絡(luò)時(shí),它可以提供額外的保護(hù)層。   ■ 執(zhí)行嚴(yán)格的密碼和移動存儲政策:任何無線系統(tǒng)的完整性,都會隨著其保護(hù)政策的增強(qiáng)而增強(qiáng)。強(qiáng)密碼的實(shí)施需求(不要使用“password”,系統(tǒng)默認(rèn)密碼或者你家小狗的名字作為你的密碼),要求周期性地修改密碼,并且嚴(yán)格限制對網(wǎng)絡(luò)設(shè)備物理端信息口的獲取。   ■ IT部門和工廠部門之間的良好溝通:由于設(shè)備相互連接,這樣也就使得工廠車間和IT部門也就有了聯(lián)系。兩個(gè)部門之間的定時(shí)溝通,彼此之間就能相互了解在各自領(lǐng)域正在發(fā)生的事情,這樣兩個(gè)部門就可以更順利的集成在一起。舉個(gè)例子:如果工廠車間想要在庫房安裝一個(gè)Wi-Fi系統(tǒng),IT部門就可以提供能夠使用的通訊頻道,從而確保通信盡可能的可靠。還有非常重要的一點(diǎn)是,人員發(fā)生變動時(shí),也需要及時(shí)溝通。如果員工離開公司,非常關(guān)鍵的一點(diǎn)就是要盡快更改網(wǎng)絡(luò)密碼,以避免從公司外部非法登錄。   工業(yè)網(wǎng)絡(luò)遭到破壞的后果包括停機(jī)、生產(chǎn)暫停、環(huán)境問題,甚至對工廠的形象造成損壞?;ㄙM(fèi)一定的時(shí)間,來考慮多種選擇,最后制定決策,盡可能的確保網(wǎng)絡(luò)的安全,這一點(diǎn)非常重要。大多數(shù)生產(chǎn)制造商提供培訓(xùn)、技術(shù)支持以及無線產(chǎn)品的白皮書等等,從而可以對現(xiàn)有的安全選項(xiàng)進(jìn)行評估。現(xiàn)在,是時(shí)候采取確保工業(yè)網(wǎng)絡(luò)安全的措施來應(yīng)對下次攻擊。   “一個(gè)無線網(wǎng)絡(luò),即使具有最高等級的加密和授權(quán),它仍可能是不安全的,所以對整個(gè)網(wǎng)絡(luò)采用縱深防御措施,無論是有線還是無線都是大有裨益的?!?/p>

審核編輯(
王靜
)
投訴建議

提交

查看更多評論
其他資訊

查看更多

新大陸自動識別精彩亮相2024華南國際工業(yè)博覽會

派拓網(wǎng)絡(luò)被Forrester評為XDR領(lǐng)域領(lǐng)導(dǎo)者

智能工控,存儲強(qiáng)基 | ??低晭砭手黝}演講

展會|Lubeworks路博流體供料系統(tǒng)精彩亮相AMTS展會

中國聯(lián)通首個(gè)量子通信產(chǎn)品“量子密信”亮相!