将数据从机器控制器传输到云端需要连接互联网。然而,这却会导致它容易受到网络攻击。因此,具有云连接的机器需要受到特殊保护。
在工业物联网(IIoT)之前,机器控制器仅在彼此之间,或与公司网络中的上位系统进行通信。直接连接到互联网是非常少见的。因此,机器制造商和运营商没有理由关注网络安全问题。
“但这种情况正在发生改变,”贝加莱控制系统产品经理Andreas Hager解释道。在工业物联网解决方案中,工业PC和其它硬件都可以用作边缘设备,直接连接到互联网。这使他们成为了黑客的潜在攻击目标。
DDoS攻击
黑客可以使控制器瘫痪,从而使整个机器瘫痪,例如,通过大流量进行攻击。这被称为DDoS(分布式拒绝服务)攻击:黑客在所谓的僵尸网络上分发攻击程序,将其中的数百到数千台计算机、智能手机和平板电脑有效地武装起来作为攻击平台。然后,这些僵尸会根据命令联合起来攻击一个机器控制器,使其在超负荷下宕机,并致使机器停机 – 最近一家微处理器制造商所受到的恶意软件攻击便证明了这一点。
开放的端口
要将数据传输至云端,必须开放机器控制器上的端口。“只要控制器和云网关之间的通信通道是开放的,这些端口就为黑客敞开了窗口,”Hager解释道。然而,这并非是唯一的问题。直接连接到互联网的设备必须定期更新,以关闭新发现的安全漏洞。
“许多机器连续运行数周或数月,”Hager声称道。然而,只有在机器停止时才会安装更新。更新后,甚至可能需要调整应用程序。“这个工作量很大,从长远来看根本不是一个可行的方案。”
幸运的是,有一个简单的解决方案:控制功能和通信功能必须彼此分开。这样,DDoS攻击就无法深入到足以影响机器控制的程度。“在最糟糕的情况下,你可能会失去与云端的通信,但机器本身却可以继续运行,”Hager强调说。
贝加莱为此目的推出了SiteManager。该设备具有集成的防火墙,可以执行网络安全所需要的所有任务,如保持云证书更新和应用补丁来关闭安全漏洞。
云连接
为了将数据传输至云端,控制器需要通过OPC UA与SiteManager连接。在配置期间,用户可以定义要传输的数据。还可以将不同的数据传输给不同的云服务提供商。配置很简单,只需要在SiteManager基于Web的用户界面中选中复选框即可。
如果云证书需要更新,机器操作员则不需要进行任何操作。SiteManager会自动下载并安装更新,不会影响机器操作。这还确保能够始终遵守云服务提供商的安全准则,并迅速关闭任何潜在的安全漏洞。
安全远程维护
“远程维护的安全要求与云通信的安全要求非常相似,”Hager解释道。因此,SiteManager也非常适合运用于此。
该设备允许维护技术人员通过安全的VPN连接连接到机器控制系统,并搜索错误。用户管理系统提供了明确定义和防篡改控制,规定哪些技术人员可以访问哪些控制器。“然后,现场的技术人员就可以开始有针对性地进行故障排除工作,”Hager说道。“SiteManager确保了在机器与公司网络外部应用程序之间传输的任何数据都是受保护的,以防未经授权的访问和网络攻击。”
作者:Carmen Klingler-Deiseroth,自由撰稿人
边缘计算
边缘计算是一种在数据源头收集大量数据的方法,以便在传输到上位系统之前对其进行压缩和汇总。机器和过程层(OT = 运营技术)实时系统与IT世界之间的链接设备被称为边缘设备。贝加莱提供三种不同类型的边缘设备,涵盖了所有应用:边缘控制器、嵌入式边缘节点和边缘连接。
贝加莱SiteManager现有三种版本,通过LAN、WLAN或移动网络提供互联网连接。这三种版本都配有集成防火墙。为了避免与工厂防火墙发生冲突,使用了兼容防火墙的加密网络协议来处理互联网通信。
除了这三种SiteManager的硬件版本之外,还有一种可以将SiteManager与机器控制器融为一体的软件版本。这可以通过使用贝加莱Hypervisor在工业PC上安装两种操作系统来实现:用于机器控制的实时操作系统和用于SiteManager的Linux或Windows系统。这两种操作系统完全独立运行。即使SiteManager受攻击而阻塞,亦或通用操作系统崩溃,机器控制也不会受到任何影响。