工业网络安全：新的威胁
　　全聚合的IT及工业自动化网络已为我们创造了巨大的机会www.cechina.cn，但是它同时也增加了来自黑客，蠕虫和病毒的安全威胁。
　　研究表明很多威胁（83%）都是来源于内部网络，而不像大家所认为的来源于外部网络连接。然而PLCs及RTUs在网络分布上，它并不是被设计用于支持传统的防火墙和杀毒软件保护控制工程网版权所有，例如：它将被用于一个IT网络中。
　　这样的案例很简单，比如说员工或者设备供应商使用公司的笔记本电脑在外面办公，它的工作网络将很容易吸引到各种蠕虫，病毒以及其他故意损害他人财产的侵害。那些相同的笔记本电脑将被重新连接到公司网络并传播这些威胁,甚至都不需要经过网络防火墙。
　　类似的攻击来源包括U盘,恶意邮件,或其他周边设备（智能手机，平板电脑等等）这些都是可以连接到本地局域网的。
　　近期有一个引人注目的案例www.cechina.cn，2010年一个已在全球范围内使用的SCADA系统被一只名为Stuxnet的蠕虫锁定，这只蠕虫特别被设计用 PLC 来攻击基于 Windows的自动化系统。结果显示这个巨大的安全重要性现已成为工业自动化网络中的必要因素了。
　　管理员可以按照以下来执行去防止一些安全漏洞：
　　●   VPNs: 虚拟私有网络允许网络通过内部和外部包括互联网来进行安全的远程访问。
　　●   防火墙: 隔离自动化网络中来源于企业网络及外部网络。
　　●   局域网安全: 为了防止未经授权的访问网络和重要节点。

图一：以水泵站为例，缺乏网络安全的传统网络架构

　　远程访问：与宽广的地理位置的站点连接时需要远程访问。黑客可以使用这些包来解释网络拓扑和命令结构并最终按照自己的喜好来控制系统,所以防止访问传输是绝对有必要的。
　　视频监控：一般来说,工业以太网对延迟相当敏感,因此引进安全措施后不能在网络系统中发生延迟。
　　视频监控要求网络延迟保持在最低限度。视频数据包通常使用UDP流，接受视频必须不受安全措施影响。
　　WAN冗余：关键资源被远程监控时需要高度可靠的连接。也就是说，如果没有数据备份或者冗余的网络连接，那这个设计方案在广域网中将会非常的危险控制工程网版权所有，
　　在严酷的环境下操作: 对于硬件安装的是否坚固，并且是否能承受宽泛的温度和湿度的波动性而不出现失效这是非常重要的。硬件的坚固安装是为了避免在调度工人维护时所产生的费用，甚至避免系统损坏时造成的损失。

图二：以水泵站为例，具备网络安全的传统网络架构

　　IPSec VPN服务器和客户端进行远程访问
　　多个VPN技术中CONTROL ENGINEERING China版权所有, IPSec 是主流的安全VPN协议。IPSec基本上建立了可能通过多个网络的安全通道：包括私人、公共或结合网络。它提供了请求VPN通道和数据包完整性的一方的身份验证与保密。
　　局域网安全、端口访问, 802.1 x: 第一道防线对于任何网络或智能装置是为了防止未经授权进入该系统。
　　某些协议如RADIUS和TACACS +提供凭据的身份验证机制,让攻击者很难通过使用公共网络,试图探测系统直接获得网络或设备访问。802.1 x使用基于端口的认证方法来验证设备。
　　防火墙在PLC/RTU控制器之间的外部通信: PLC和RTUs极易受到攻击,因为这些设备无法支持防火墙、病毒防治软件。
　　由于这个弱点，网络规划需要在控制设备和外部连接之间包含一个新一代的状态检测(stateful inspection)防火墙。
　　一个状态检测防火墙"检查"或监听所有传入和传出的数据包，基于预先配置的规则允许通过或拒绝数据包。防火墙需要能进一步防范恶意攻击同时不会降低网络性能。
　　为公用或共享的服务器使用DMZs
　　为了维护或远程监控,一些数据服务器或HTTP服务器。将需要通过公共网络或互联网来访问。为了确保安全，我们应该将整合这些共享服务器跟SCADA到不同的网络。通过这样的方式，普通用户只需访问共享服务器，不被允许访问控制网络。
　　工业级设备：
　　硬件需要被设计成符合宽温操作。如果选择的是一家非常便宜的IT供应商，那么它出事故的概率会非常的高，因为这些设备通常只针对室内温度范围。
　　三防涂层：不断变化的外部湿度条件可以很容易地导致水珠凝结在容器，可能损坏设备硬件，导致操作失败。当务之急是利用保护涂层的方法。塑料薄膜可以用来保护硬件被污染和进一步的防止腐蚀。