網(wǎng)絡(luò)安全意味著計(jì)算機(jī)應(yīng)用和數(shù)字式資產(chǎn)的機(jī)密性、完整性和可用性。在大多數(shù)組織中，網(wǎng)絡(luò)安全由企業(yè)IT小組負(fù)責(zé)。不幸的是，每當(dāng)IT小組遇到實(shí)時(shí)控制系統(tǒng)時(shí)，問(wèn)題總會(huì)出現(xiàn)。因此，當(dāng)IT小組執(zhí)行不同的Windows域和防火墻時(shí)，首先遭殃的是典型的分布式組件對(duì)象模型（DCOM）的通信，因而影響了OPC的通信。

    在當(dāng)今世界，無(wú)論是家用、商用還是在工業(yè)設(shè)施上，微軟Windows視窗都是最流行的桌面操作系統(tǒng)，這是不爭(zhēng)的事實(shí)。因此，Windows也就成為了受惡意網(wǎng)絡(luò)攻擊最廣泛的目標(biāo)。事實(shí)上，黑客們經(jīng)常開(kāi)發(fā)出新的蠕蟲(chóng)和病毒來(lái)試圖攻擊穿透每個(gè)網(wǎng)絡(luò)。這些惡意的應(yīng)用程序具有很強(qiáng)的傳染性，以至于當(dāng)一個(gè)被感染的筆記本電腦連入到一個(gè)未曾受到感染的網(wǎng)絡(luò)中時(shí)都可以導(dǎo)致一個(gè)企業(yè)系統(tǒng)在很短時(shí)間內(nèi)崩潰。

    正因如此，IT部門(mén)需要參與到網(wǎng)絡(luò)安全問(wèn)題上來(lái)。他們的目標(biāo)是要保護(hù)用戶以及所有互聯(lián)的設(shè)備。不幸的是，IT部門(mén)并不清楚商業(yè)生產(chǎn)方面的操作需求，所以，很快就出現(xiàn)了通信和兼容性方面的問(wèn)題。首先出現(xiàn)的問(wèn)題之一是分布式組件對(duì)象模型（DCOM）。

    微軟開(kāi)發(fā)的DCOM為遠(yuǎn)程Windows應(yīng)用和計(jì)算機(jī)工作提供了易于使用的通信基礎(chǔ)。DCOM使得開(kāi)發(fā)者能夠在自己的應(yīng)用程序中重復(fù)使用微軟的方法和程序。這些加速了應(yīng)用程序的發(fā)展，增加了可靠性。這正是OPC基金會(huì)選擇DCOM作為基本構(gòu)件用于OPC通信的原因。

    DCOM來(lái)自于IT世界，程序員能方便地使用它，但是需要付出代價(jià)。DCOM需要許多端口用于尋找其他主機(jī)、解析名稱、請(qǐng)求服務(wù)、取得認(rèn)證、發(fā)送數(shù)據(jù)和其他功能。如果這些端口不可用，DCOM會(huì)自動(dòng)搜尋其他端口。當(dāng)然，DCOM使用的任何端口和服務(wù)都是網(wǎng)絡(luò)攻擊（病毒和蠕蟲(chóng)）的目標(biāo)。所以，當(dāng)DCOM遇到安全問(wèn)題時(shí)，包括OPC應(yīng)用在內(nèi)的所有應(yīng)用都會(huì)受到感染。最近出現(xiàn)的Blaster和Sasser病毒攻擊了OPC使用的同一組件，正在使用OPC的任何人將來(lái)都可能極易受到此類(lèi)病毒的攻擊。

    如果過(guò)程控制網(wǎng)絡(luò)想要與商業(yè)網(wǎng)絡(luò)結(jié)合，那么網(wǎng)絡(luò)安全對(duì)其來(lái)說(shuō)是必需的。再次提醒，由于Windows和DCOM內(nèi)在的性質(zhì)，當(dāng)IT部門(mén)開(kāi)放通信時(shí)，包括OPC在內(nèi)的許多應(yīng)用將會(huì)立刻受到頻繁的攻擊。但是如果工廠和商業(yè)系統(tǒng)進(jìn)行過(guò)正確的配置和維護(hù)的話，網(wǎng)絡(luò)安全和OPC將能很好的共存下去，這是個(gè)不錯(cuò)的消息。

    在工廠生產(chǎn)和商業(yè)系統(tǒng)間發(fā)展網(wǎng)絡(luò)安全是項(xiàng)復(fù)雜的任務(wù)，以至于大多數(shù)IT和自動(dòng)化部門(mén)都在猶豫是否要進(jìn)行此項(xiàng)任務(wù)。ＩＴ部門(mén)可能不熟悉復(fù)雜的工業(yè)系統(tǒng)，任何錯(cuò)誤都會(huì)對(duì)生產(chǎn)起到反作用。從工業(yè)自動(dòng)化的前景和與ＩＴ安全的挑戰(zhàn)來(lái)看，自動(dòng)化部門(mén)寧可選擇獨(dú)立運(yùn)行，在這些系統(tǒng)中留下通信“缺口”。工業(yè)網(wǎng)絡(luò)安全至少需要考慮下面列出的范圍。

　　•過(guò)濾和存取控制
　　•書(shū)面的最優(yōu)方法和策略
　　•反病毒
　　•修復(fù)程序
　　•數(shù)據(jù)備份策略
　　•事件處理程序
　　•積極的監(jiān)控和檢測(cè)
　　•不間斷培訓(xùn)和通告
　　•修補(bǔ)處理
　　•第三方驗(yàn)證

    以上的簡(jiǎn)短列表只是一個(gè)簡(jiǎn)介，要建立網(wǎng)絡(luò)安全則需要考慮更多的因素。通常來(lái)說(shuō)，技術(shù)和人是需要重點(diǎn)考慮的兩個(gè)因素，哪個(gè)先考慮則無(wú)所謂。需要記住的最重要的事是企業(yè)IT策略必須重視實(shí)時(shí)控制系統(tǒng)的需求，因?yàn)樵S多規(guī)則會(huì)因此而改變。

    優(yōu)先考慮網(wǎng)絡(luò)和網(wǎng)絡(luò)安全使得防火墻成為必需，防火墻的出現(xiàn)對(duì)ＤＣＯＭ造成了新的挑戰(zhàn)。因?yàn)镈COM需要對(duì)如此多的端口進(jìn)行操作，而這對(duì)于防火墻來(lái)說(shuō)并不友好。因此，DCOM經(jīng)常不是終止于不同網(wǎng)絡(luò)之間的通信就是對(duì)蠕蟲(chóng)攻擊大開(kāi)其門(mén)。

    幸運(yùn)的是，已經(jīng)出現(xiàn)了新的解決方法。例如，OPC能夠利用隧道技術(shù)使其在不同的系統(tǒng)和防火墻間工作。類(lèi)似于虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）和點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP），OPC隧道將數(shù)據(jù)有效載荷封裝入另一協(xié)議中。從隧道外看，它就像是數(shù)據(jù)流，但是，在數(shù)據(jù)流內(nèi)卻是非常重要的產(chǎn)品數(shù)據(jù)。隧道技術(shù)也能夠利用端口限制、用戶認(rèn)證和數(shù)據(jù)流加密來(lái)克服大多數(shù)IT安全缺陷。

    網(wǎng)絡(luò)和網(wǎng)絡(luò)安全對(duì)工業(yè)系統(tǒng)來(lái)說(shuō)十分重要，因?yàn)樗鼈兡軌蛴绊懣刂葡到y(tǒng)的產(chǎn)品生產(chǎn)。一個(gè)復(fù)雜的任務(wù)需要得到具備現(xiàn)場(chǎng)經(jīng)驗(yàn)的專(zhuān)家們的幫助。專(zhuān)家們會(huì)為每個(gè)安全集中領(lǐng)域推薦解決方案，比如將OPC隧道技術(shù)用于防火墻中。在網(wǎng)絡(luò)安全影響到產(chǎn)品生產(chǎn)之前盡快地做冒安全風(fēng)險(xiǎn)的準(zhǔn)備是相當(dāng)重要的。

    作者簡(jiǎn)介：BAIST-NM，CET 的Donovan Tindill，他是Matrikon網(wǎng)絡(luò)服務(wù)組的技術(shù)帶頭人。Donovan給工業(yè)部門(mén)的客戶提供專(zhuān)業(yè)級(jí)的咨詢服務(wù)，并提供具有容錯(cuò)能力、安全性高、可擴(kuò)展和具成本效益的解決方案。Donovan將時(shí)間花在了研究尖端科技及其趨勢(shì)上，他親自檢查工業(yè)設(shè)施，設(shè)計(jì)工廠信息系統(tǒng)，尋求關(guān)于工廠ＩＴ安全、可靠性和性能的建議。