工業4.0浪潮下,眾多製造企業加緊推進智能化工廠的規劃與改造,面對各種龐雜的工業自動化系統和產品,綜合自身需求、成本因素等多方面考慮後,SCADA、DCS和PLC成為了不少製造企業的首選,但這也為企業的生產安全帶來了隱憂。
安全的隱憂
製造企業在日常的生產運營環節中最擔心的問題,就是由於IT系統故障導致生產停頓。試想一下,一家製造企業如果因為控制系統故障,無法對生產過程中的壓力、溫度、溼度等參數進行監控,一旦指標出現異常而不能及時做出應對處理,很容易導致製造的產品質量不合格,甚至災難事故的發生。
而為實現對生產過程狀態的數據採集和監控,製造企業大多實施SCADA、DCS和PLC來保障生產製造環節的有序進行。
先說PLC,儘管如今的PLC功能已經非常強大,但不少PLC產品依舊保留著類似於繼電器一樣的特徵,專注於邏輯運算,適合於進行以順序控制為主的自動化工程中,提供精確的過程管理。作為重要的控制部件,很多PLC會被默認嵌入到SCADA和DCS系統中。
SCADA系統是不少企業進行工業控制的核心,負責採集生產過程中的數據,同時監控生產狀態。而分布式控制的DCS系統,主要是在同一地理位置環境下,對生產過程進行控制。目前大多數企業的SCADA系統部署採用的是傳統伺服器做監控計算機。
SCADA、DCS是一種系統,而PLC是一種產品,但它們都非常依賴於網絡,對於網絡安全都有比較高的要求。而一旦網絡安全出現了問題,整個製造企業將無法正常有序的進行生產製造。
怎樣提升SCADA系統的網絡安全呢?
SCADA系統安全五步走
製造企業在數位化的過程中,也會面臨新的危機。包括試探、黑客攻擊、惡意軟體下載,或是其他的網絡攻擊形式在內,由於不安全的遠程訪問程序和應用程式,可以讓不良分子的遠程入侵超越防火牆配置和其他外圍保護。而為了鎖定這些未經授權和潛在破壞性的訪問,在SCADA系統的網絡安全方面,需要遵守以下五個步驟進行防護:
1、提升訪問權限。僅限授權用戶內部和遠程系統進行訪問,同時要根據員工、承包商、供應商等不同的身份和工作需求,設置不同的訪問級別,開放不同的應用程式、網絡區域和數據。
此外,絕對禁止訪客或是默認帳戶進行登錄,日常生產製造環節中,很多應用程式和計算機都預先安裝了訪客帳戶,這些帳戶可以通過默認密碼列表訪問,而那些不法分子很容易通過算法捕獲這些密碼列表。
2、不定期更換密碼。建議每60天就不定期更新一次SCADA系統和其他應用程式密碼,密碼使用時間最長不超過三個月。在更換密碼時要使用更長的密碼,至少要10-15個字符。這些複雜的密碼,無疑會讓SCADA系統甚至整個製造生產系統更加安全。
3、為每個用戶提供唯一的憑據,不要讓他們共享用戶名或密碼,這會影響管理員的對整個系統的把控力。同樣的,也不能使用默認用戶名或密碼,這樣會很容易被潛在的入侵者和攻破。與此同時還要通過限制登錄的嘗試次數來保護登錄系統。
4、使用雙因素認證(two-factor authentication)的方式,這就要求用戶在登錄時不僅僅要輸入用戶名和密碼,同時還要用其他方式進行驗證,因此來保護遠程應用程式免受強力密碼攻擊。使用雙因素身份進行驗證時,至少需要知道三個選項中的兩個:用戶知道的密碼,用戶可以訪問的內容,指紋或者手機驗證之類的其他驗證方式。
5、建立訪問控制列表,以此來配置防火牆,這些訪問控制列表可以明確的規定出防火牆的規則,確定哪些用戶在哪裡可以訪問允許他訪問的數據。這基本上是將IP位址列入白名單的同時將其列入黑名單,還能儘可能地限制網絡流量。那出現緊急情況時怎麼辦?可以為需要遠程訪問的用戶,設置臨時的虛擬專用網絡。
結語
當前,如何提高生產設備及產品線運行狀態數據的採集效率,採用SCADA系統的企業越來越多,工業網際網路和工業物聯網在創造便利的同時,也為不法分子的入侵打開了新的缺口。提前一步做好網絡安全的防護,提升製造企業內的網絡安全等級勢在必行,防患於未然終究沒有錯的。
(文章內容來源於中國電氣傳動網,轉載請註明出處)