随着以太网在工业领域中的高歌猛进，无论是生产设备的生产商还是经营商，在处理生产数据时都拥有了更加灵活的空间。比如直接有效地将生产融入到ERP（企业资源规划）流程中去（垂直融合），简单的维护、探伤以及设备零件的参数化。但是开放的后果不仅仅是方便，还会给生产层面带来新的危险源和潜在的攻击。

　　要想实现数据的灵活应用，就要求各个生产单元之间、以及生产单元和现有的IT网络之间更加密切地进行联网。随着信息的开放，机床或设备零件的供应商们也不得不面临更大的挑战，他们必须保护自己的系统不受恶意存取和有害软件的侵袭。

　　风险源与潜在的攻击

　　当人们讨论生产环境中的安全策略时，所谈论的往往是统一的、由单独的网络运营商控制的整体设备。然而在实践过程中却并非如此。恰恰相反，大型的生产设备通常是由多个单独的构件组成的，它们是针对特定的应用目标而组合起来的。机床或生产零件——比如压床或机器人生产线——的供应商开始面临新的挑战，他们的客户希望获得实时生产信息，并且直接掌握有关机床的信息。如果这些针对机床网络的攻击无法得到管理的话，就会首先对现有的担保要求形成很高的风险。随着机床与客户网络的一体化，远程维护（Remote Access）就有了全新的意义。过去技术员只会将企业内部的两台设备通过模拟或数字的电话连接进行联网，以便对指定机床进行远程访问，现在人们则需要考虑远程访问客户网络，以及客户远程登录公司网络的问题了。这对客户网络以及系统供应商的网络都构成了风险。即使是出于服务目的的本地登录权限（Local access）也被看作是一种潜在的风险。在很多情况下，一些对技术人员在维护或调试时往往对所有端口拥有不受限制的权限，即使某些以太网接口在生产中根本不会被用到。即使是非恶意的误操作，比如在输入IP地址时输错数字，也会导致技术员在无意识的情况对该机床发起攻击。除此之外，他也可能通过网络对任意一个系统作出无意识的、不受控制的操作，从而引起灾难性的财务混乱，甚至危及他人的生命。另一个风险就是在生产网络中传播有害软件。

　　比如一台用于维护工作的笔记本可能会从生产网络上感染病毒。发生此类攻击的根源在于网络内部。在这种情况下，安装在企业网络与因特网之间或生产网络与办公室网络中间的安全功能只能发挥有限的作用。在办公室中，大多数情况下都是利用所有终端设备上现有的、带有防火墙的IT基础设施和现有的病毒扫描工具，以及最新的操作系统补丁来解决这些问题。但是在自动化技术领域中，由于设备内部所使用的操作系统各不相同，而且调试过程太过缓慢，因此无法选择通用的软件补丁进行管理。而且很多自动化系统根本就不支持本地安全技术。

　　解决方案概况

　　由于上述原因，每一家设备或机床提供商就有义务提供适合自身产品的安全解决方案。机械制造商的目标是，一方面防止未经许可登录本公司的网络，另一方面让自己的员工能够很方便地进入设备系统进行存取操作。这些存取操作不能对用户网络造成威胁，否则将会影响到用户对企业的信任。这也意味着，即使存在全球性的安全基础设施，它也不会是设备提供商唯一的选择；如果用户尚未准备好为设备可用性的提高而承担该安全策略可能会造成的后果，并且考虑相应的担保赔偿，那么这样的基础设施就不能提供给用户。有一种方案可以遏制上述安全风险，那就是将机床网络与一般的客户生产网络隔离开来，形成非拓扑学的安全区间。毋庸置疑，至少在担保有效期内，供应商必须对机床隔离间的通道进行监控。根据机床的复杂性，这类安全区域的大小也各不相同，有的仅仅是几个以太网接口，而有的则达到几百个以太网接口。

　　对安全设备的要求

　　机床制造商对用于隔离的安全元件提出的要求，不仅处于理论上的考虑，而且也跟一系列实践内容相关：

　　为了能够与其它网络在任意物理位置上进行连接，人们通常只会考虑能够适应恶劣的工业环境的产品。在技术上，人们往往会选择对状态比较敏感的防火墙。由于本地的网络拓扑学结构差别很大，所以要求防火墙不仅能够在路由器模式下得到应用，而且也能够在Layer-2模式下工作。

　　安全系统的管理必须非常灵活，可以应用于任意地点、任意计算机，同时还必须非常安全。非常重要的一点就是，如果防火墙出现了故障，不管是白天还是夜里，即使是非专业人员也可以对其进行更换、设置和应用。

　　由于人们经常会要求整个系统拥有很高的可靠性，因此还要求防火墙拥有丰富的注释，并且能够在很短的时间里进行调用。

　　由于人们在对新机床进行调试时常常会遇到不合适的子网结构，因此要求安全设备能够在网络间进行快速的地址切换。

　　为了能够在公司总部对系统进行远程登录，就要求系统能够支持多种类型的远程登录模式。尤为重要的是，系统不仅要支持目前常用的直接电话连接，而且要支持将来可能流行的VPN方案。

　　实践中的应用

　　将机床与其它网络连接的主要方式有三种。每种方案均有各自的框架条件。

　　一旦机床与某个工序——比如机床的物料供应——之间的连接出现中断，往往会导致停产，因此各个设备之间必须结合得十分紧密。为了避免连接中断，可以使用带有冗余结构的防火墙。通过冗余环形耦合或Dual Homing（双主机）等工业Layer-2机制，可以将这种冗余结构应用在平面结构的网络中。除此之外，一款优秀的防火墙还要支持冗余设备中的状态表平衡，并且可以像VRRP路由器一样提供虚拟的防火墙端口（防火墙冗余）。当然，除了可用性之外，还有另外一个目标，也是决定性的目标，那就是要阻止工序中并不需要的子系统间的通讯。在实际应用中，可以通过相应的端口、IP地址以及MAC地址层面的防火墙规则来实现这一目标。如果在此前未知的IP子网络间设置防火墙系统，且安全设备1：1-NAT能够与路由器平行工作，不仅可以产生很好的效果，而且还能够节省时间。如果需要修改网络中的IP地址，可以对安全设备中拥有唯一表格项目的子网络进行调节。

　　与用户的IT网络相连接

　　当用户登录到某个机床的生产商的生产网络时，他们可能并没有察觉到，他们已经与某个不熟悉的网络连接起来了。这与连接到陌生的工序网络的情形非常相似。但是，由于客户往往会提出一些特殊要求，因此很难像上一种情况那样应用严格的安全政策，或者让整个用户端口位于机床之外。在这种情况下，与客户方面的网络责任人订立正规的协议就成为必不可少的步骤了。用于保护机床的标准化元件最好能够与用户网络中的其它设备良好兼容，并且实现高度的参数化。如果机械制造商的管理工具能够应用到一般性的工作流程中的话，将会为他赢得更多的加分。

　　机床的维护入口

　　今天，由于设备组件以及机床之间越来越多地进行联网，常见的远程维护入口也逐渐进入人们的视野。一方面，这种客户“从后门进入”企业网络的方式越来越被看作是一种潜在的危险。另一方面，机床制造商们也在努力寻找一种更加灵活的连接方式，不仅可以通过固定电话拨号来登录，而且维修人员也能够通过任意的因特网端口进行登录。从中长期来看，现有的模拟或数字调制解调器将会被现代化的VPN技术所取代。但是，这种理论上来说非常完美的VPN方案在实践中却表现出了一定的恶意，尤其是当它通过客户网络或客户的因特网端口发挥作用时。因此，通常情况下需要在相应的设备，比如维修员工的电脑上建立VPN隧道。对于客户，这就意味着他必须允许在他的中央因特网防火墙上由外而内建立VPN隧道，这样可能会给他带来无法估量的风险。如果用户想避免这一点，就必须设置认证和密码的封闭式整体方案，并且向供应商提供必要的硬件和软件以及必要的技术支持。这种方法的缺点在于，客户本身必须花费很多精力投入到项目中去，而机械制造商则需要面对各个安装地点的不同方案。通常情况下，客户会希望供应商在提供产品的同时也能提供适当的远程登录解决方案。重要的是，这种方案必须与常见的中央防火墙系统兼容。此外，对于习惯使用调制解调器的用户而言，他们希望这种方案可以具有针对性，即根据访问对象决定是否开放存取权限。