您現(xiàn)在的位置：中國傳動網(wǎng) > 技術(shù)頻道 > 應(yīng)用方案 > 太過冒險？一把雙刃劍？——如何設(shè)計安全的控制系統(tǒng)遠(yuǎn)程訪問？

太過冒險？一把雙刃劍？——如何設(shè)計安全的控制系統(tǒng)遠(yuǎn)程訪問？

時間：2019-06-18 14:16:51來源：控制工程網(wǎng) TOM GILBERT

導(dǎo)語：?為任何供應(yīng)商、承包商或最有價值的客戶提供遠(yuǎn)程訪問，可能都是非常冒險的業(yè)務(wù)，但依然無法阻擋遠(yuǎn)程訪問通常被視為一種解決遠(yuǎn)程故障、縮短意外停機(jī)的有效方法。為了這種方法的降低風(fēng)險，可以是采用雙因素身份驗(yàn)證技術(shù)，該技術(shù)旨在實(shí)現(xiàn)整個組織的安全連接和面向未來的違規(guī)預(yù)防。

為任何供應(yīng)商、承包商或最有價值的客戶提供遠(yuǎn)程訪問，可能都是非常冒險的業(yè)務(wù)，但依然無法阻擋遠(yuǎn)程訪問通常被視為一種解決遠(yuǎn)程故障、縮短意外停機(jī)的有效方法。為了這種方法的降低風(fēng)險，可以是采用雙因素身份驗(yàn)證技術(shù)，該技術(shù)旨在實(shí)現(xiàn)整個組織的安全連接和面向未來的違規(guī)預(yù)防。

想要快速了解網(wǎng)絡(luò)安全意識的重要性，建議去問問Target、索尼和美國人事管理辦公室（OPM）的人員。由于外部網(wǎng)用戶的憑據(jù)被盜而導(dǎo)致的數(shù)據(jù)泄露，使它們在權(quán)威安全媒體CSO的21世紀(jì)最大數(shù)據(jù)泄露事件排名中獲得了一席之地。

這些類型的攻擊不局限于企業(yè)。例如，當(dāng)黑客在2017年滲透到美國公用事業(yè)公司的控制室時，在可信賴的供應(yīng)商網(wǎng)絡(luò)被入侵后，造成了停電事故。

然而，在工業(yè)環(huán)境中，遠(yuǎn)程系統(tǒng)或分布在多個組織的職責(zé)范圍內(nèi)，維護(hù)關(guān)鍵任務(wù)的操作取決于提供外部網(wǎng)訪問。當(dāng)制造企業(yè)將生產(chǎn)優(yōu)先于安全，并且不愿意添加安全措施時，安全基礎(chǔ)架構(gòu)就會出現(xiàn)漏洞，更容易遭受攻擊。

但是，當(dāng)無法控制連接中涉及的所有組件時，這相當(dāng)于向攻擊者發(fā)出了公開的邀請，通過不屬于托管企業(yè)的計算機(jī)惡意軟件技術(shù)來竊取憑據(jù)。

遠(yuǎn)程訪問，一把雙刃劍

許多遠(yuǎn)程訪問情況是無規(guī)劃的，例如當(dāng)一臺設(shè)備發(fā)生故障而技術(shù)人員不在現(xiàn)場時，公司需要引入可信賴的第三方進(jìn)行維修。這種即時、無計劃訪問的緊迫性，增加了網(wǎng)絡(luò)安全風(fēng)險。也許憑證是通過電話提供的，這為黑客獲取訪問權(quán)限發(fā)出了公開邀請。

遠(yuǎn)程訪問可能是一把雙刃劍：保持高生產(chǎn)率的必要性，同時也讓黑客有了低成本、輕松的接入點(diǎn)。面臨的挑戰(zhàn)是許多用于驗(yàn)證用戶登錄的主要市場選項(xiàng)，例如RSASecurID和智能卡，從未在外聯(lián)網(wǎng)用戶中獲得太多吸引力。主要由于它們不僅是為企業(yè)設(shè)計的，而且成本高昂，難以支持并給最終用戶帶來太多負(fù)擔(dān)。

需要雙因素身份驗(yàn)證

美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）建議對所有工業(yè)控制系統(tǒng)使用強(qiáng)認(rèn)證。許多人認(rèn)為通信加密可以降低安全風(fēng)險，但即使在建立連接之前，憑證暴露也可能發(fā)生并產(chǎn)生漏洞。此外，實(shí)用性和成本往往會成為障礙。

將認(rèn)證保留在用戶手中遲早會發(fā)生問題。更大的挑戰(zhàn)是驗(yàn)證沒有強(qiáng)力加密虛擬專用網(wǎng)絡(luò)基礎(chǔ)的第三方用戶，這使得進(jìn)行身份驗(yàn)證變得不可能和不切實(shí)際。如果沒有這種級別的憑證，您就相當(dāng)于與陌生人進(jìn)行私密談話。

為了最好地保護(hù)遠(yuǎn)程訪問，應(yīng)該使用公鑰加密，這是用于身份驗(yàn)證的黃金準(zhǔn)則。有些人可能認(rèn)為它復(fù)雜且昂貴，除非它內(nèi)置于應(yīng)用程序中。相互公鑰認(rèn)證是確保沒有惡意第三方干預(yù)通信的最有效的技術(shù)解決方案；在這種情況下，只有參與連接的雙方才能交換信息。

6個遠(yuǎn)程訪問的安全建議

為了確保遠(yuǎn)程訪問的安全性，請檢查以下技術(shù)和選項(xiàng)：

1.內(nèi)置強(qiáng)制性相互身份驗(yàn)證：用戶不能自行決定訪問企業(yè)的資源。

2.自動創(chuàng)建端到端加密通道。

3.操作透明，以適應(yīng)現(xiàn)有的網(wǎng)絡(luò)安全系統(tǒng)：提供額外的、而不是替代的安全層。

4.獨(dú)立協(xié)議，適用于任何通信組合，無論是WAN、LAN還是其任何組合。

5.響應(yīng)計劃外部署：能夠快速部署以支持安全連接。

6.無軟件方法：使用小型硬件設(shè)備直接插入網(wǎng)絡(luò)，無需更改軟件或網(wǎng)絡(luò)配置。

每個企業(yè)都面臨著艱難的權(quán)衡。在網(wǎng)絡(luò)安全方面，當(dāng)迫切需要意外的遠(yuǎn)程訪問時，幾乎不可能測量引入的風(fēng)險。正如我們經(jīng)?？吹降哪菢樱恍枰粋€不安全的進(jìn)入點(diǎn)，就可能完成破壞企業(yè)的安全防線。企業(yè)所需要的是內(nèi)置的雙因素身份驗(yàn)證，以實(shí)現(xiàn)整個企業(yè)的安全連接和面向未來的違規(guī)預(yù)防。

聲明：本文為轉(zhuǎn)載類文章，如涉及版權(quán)問題，請及時聯(lián)系我們刪除（QQ: 2737591964），不便之處，敬請諒解！

標(biāo)簽：

分享到：

上一篇：引接線選擇不當(dāng)會導(dǎo)致電機(jī)致...

下一篇：還在用單點(diǎn)觸控嗎？—— 部署...

中國傳動網(wǎng)版權(quán)與免責(zé)聲明：凡本網(wǎng)注明[來源：中國傳動網(wǎng)]的所有文字、圖片、音視和視頻文件，版權(quán)均為中國傳動網(wǎng)(www.wangxinlc.cn)獨(dú)家所有。如需轉(zhuǎn)載請與0755-82949061聯(lián)系。任何媒體、網(wǎng)站或個人轉(zhuǎn)載使用時須注明來源“中國傳動網(wǎng)”，違反者本網(wǎng)將追究其法律責(zé)任。

本網(wǎng)轉(zhuǎn)載并注明其他來源的稿件，均來自互聯(lián)網(wǎng)或業(yè)內(nèi)投稿人士，版權(quán)屬于原版權(quán)人。轉(zhuǎn)載請保留稿件來源及作者，禁止擅自篡改，違者自負(fù)版權(quán)法律責(zé)任。

相關(guān)資訊

技術(shù)熱點(diǎn)