关于工业互联网的讨论始于15年前，这是一个新趋势的开始，IT系统开始利用自动化和生产的大规模数据。更好的生产视图使优化采购、交付和生产的新方法成为可能。这一趋势也被称为第四次工业革命，即工业4.0，自那时以来，它一直是自动化世界的主要驱动力。

虽然工业互联网和工业4.0使公司能够比以前更有效地工作，但它也使其物理隔离的自动化网络容易受到网络攻击。这需要我们在自动化中实现更好的安全性，因为保护措施与标准IT安全性有很大不同。在自动化领域，您无法非常频繁地更新操作系统，因此存在已知的漏洞，您可能无法在默认情况下为所有计算机安装防病毒软件，并且您可能需要运行安装了XP、NT等Windows版本的旧计算机。

十多年来，我们参与了由芬兰国家应急供应局资助的Coreq-Ve和Kyber-Teo计划等活动，以寻找自动化网络保护的最佳实践。我们还监控我们所属组织的安全工作，如OPC基金会和工业4.0联盟。基于这些知识，我们收集了一些基本技巧，使您的自动化网络攻击面尽可能小，同时仍能利用工业4.0的所有机会。

使用以下三个基本规则将自动化网络攻击面降至最低：

1. 跨越网络边界时使用OPC UA。
2. 在自动化和其他网络之间使用具备聚合功能的OPC UA服务器以及DMZ网络。
3. 绝不允许直接远程访问自动化网络计算机。

1.跨越网络边界时使用OPC UA

使用防火墙时，您可能会很容易限制对某些网络的访问，为了最小化某些网络的攻击面，必须在具有不同特征的不同网络之间使用安全通信。与专有自动化协议或IT协议（如REST/JSON或专有有效负载MQTT）相比，OPC UA支持一种标准的、广受支持但非常安全的通信方式。

内置安全功能包括七个传统安全方面中的六个：

• 保密性
• 完整性
• 可用性（部分）
• 身份验证
• 用户授权
• 可审计性

不可抵赖性是OPC UA规范中唯一未内置的方面。

可用性也一直是一个挑战，因为应对DoS攻击的保护应该在服务层以上完成。通过使用由信誉良好的商业SDK构建的OPC UA应用程序，定期测试这些SDK是否存在拒绝服务漏洞，并通过使用本文稍后介绍的提示将对服务的访问限制在最低程度，以此保证非常高的可用性。

我们建议，当出于数据传输目的从任何其他网络访问自动化网络时，只能使用启用了安全策略的OPC UA。这尤其适用于任何对自动化网络的访问。

2.在自动化和其他网络之间使用聚合OPC UA服务器和DMZ网络

工厂车间OPC UA实施项目的现实情况是，并非所有PLC、机器和设备都具有实现所有安全策略的高质量OPC UA 服务器。OPC UA规范甚至不要求在没有足够资源进行加密计算的最小嵌入式服务器上实现安全性。

为了安全地使用OPC UA，需要在源服务器和网络边界之间安装另一个代理服务器。由于添加了许多这样的服务器，设置变得非常复杂。一种解决方案可以解决这个问题。在自动化和其他网络之间创建一个单独的网段，我们称之为DMZ网络，并在那里放置一个具有聚合功能的OPC UA服务器，该服务器连接自动化网络中的所有OPC UA 服务器，并将其数据合并到一个OPC UA服务器下。

DMZ网络和聚合OPC UA服务器也极大地简化了防火墙配置，只需向边缘开放单个IP和端口。

3.绝不允许直接远程访问自动化网络计算机

一旦您实现了从OT到IT的平滑数据流，以及使用OPC UA和防火墙限制来访问，以此加强对易受攻击的工厂车间计算机的远程维护访问。

虽然在许多故障情况下，远程维护机器通常是顺利恢复生产所需，但这些访问也应该符合安全策略。因此，不应该让个人笔记本电脑或PC直接访问自动化网络中的计算机，而是设置专用跳转机连接DMZ网络。这些机器一般都经过加固，专门运行最新版本的操作系统和防病毒应用程序。所有远程访问都是使用诸如中间点的机器进行的，例如，到跳转计算机的远程桌面会话，以及从跳转计算机到目标计算机的另一个远程桌面会话。此外，所有文件必须传输到跳转计算机，然后才能进一步移动到自动化网络计算机。

当然，这种设置并非100%安全，但它可以在大部分情况下防止病毒或恶意软件感染自动化网络机器。

进一步改进

除了这三条基本规则外，我们建议客户执行更先进的保护方法。当然，这取决于客户的规模和需求。在许多情况下，继续进行网络细分是合理的。白名单过程非常棘手且耗时，但一旦正确完成，将是保护计算机的一种非常有效的方法。有时可以使用诸如数据二极管的纯单向技术。

如果您有兴趣了解我们可以做些什么来实现标准化、协调化和安全的OT与IT集成，请随时联系我们!