太过冒险？一把双刃剑？——如何设计安全的控制系统远程访问？

　　为任何供应商、承包商或最有价值的客户提供远程访问，可能都是非常冒险的业务，但依然无法阻挡远程访问通常被视为一种解决远程故障、缩短意外停机的有效方法。为了这种方法的降低风险，可以是采用双因素身份验证技术，该技术旨在实现整个组织的安全连接和面向未来的违规预防。

　　想要快速了解网络安全意识的重要性，建议去问问Target、索尼和美国人事管理办公室（OPM）的人员。由于外部网用户的凭据被盗而导致的数据泄露，使它们在权威安全媒体CSO的21世纪最大数据泄露事件排名中获得了一席之地。

　　远程访问，一把双刃剑

　　许多远程访问情况是无规划的，例如当一台设备发生故障而技术人员不在现场时，公司需要引入可信赖的第三方进行维修。这种即时、无计划访问的紧迫性www.cechina.cn，增加了网络安全风险。也许凭证是通过电话提供的，这为黑客获取访问权限发出了公开邀请。

　　远程访问可能是一把双刃剑：保持高生产率的必要性，同时也让黑客有了低成本、轻松的接入点。面临的挑战是许多用于验证用户登录的主要市场选项，例如RSA SecurID和智能卡，从未在外联网用户中获得太多吸引力。主要由于它们不仅是为企业设计的，而且成本高昂，难以支持并给最终用户带来太多负担。

　　需要双因素身份验证

　　美国国家标准与技术研究院（NIST）建议对所有工业控制系统使用强认证。许多人认为通信加密可以降低安全风险，但即使在建立连接之前，凭证暴露也可能发生并产生漏洞。此外，实用性和成本往往会成为障碍。

　　将认证保留在用户手中迟早会发生问题。更大的挑战是验证没有强力加密虚拟专用网络基础的第三方用户，这使得进行身份验证变得不可能和不切实际。如果没有这种级别的凭证，您就相当于与陌生人进行私密谈话。

　　6个远程访问的安全建议

　　为了确保远程访问的安全性，请检查以下技术和选项：

　　1.内置强制性相互身份验证：用户不能自行决定访问企业的资源。

　　2.自动创建端到端加密通道。

　　3.操作透明，以适应现有的网络安全系统：提供额外的、而不是替代的安全层。

　　4.独立协议，适用于任何通信组合，无论是WAN、LAN还是其任何组合。

　　5.响应计划外部署：能够快速部署以支持安全连接。

　　6.无软件方法：使用小型硬件设备直接插入网络，无需更改软件或网络配置。

　　每个企业都面临着艰难的权衡。在网络安全方面，当迫切需要意外的远程访问时，几乎不可能测量引入的风险。正如我们经常看到的那样，只需要一个不安全的进入点，就可能完成破坏企业的安全防线。企业所需要的是内置的双因素身份验证，以实现整个企业的安全连接和面向未来的违规预防。（作者：TOM GILBERT）

图说工控