食品制造行业的网络安全

食品制造行业的网络安全

食品制造商因运营技术与信息技术的融合而受益,即产量增加并且可以更加深入地实时了解关键绩效指标。他们在制造领域的未来一片光明。

不再使用笔和纸来收集信息,因而不会使数据集受到限制。

不再需要有人根据手写记录手动将数值输入到电子表格中,从而避免输错数值的风险。

不再分析数小时甚至数天前的数据,因为此时这些数据已成为历史。

相反,他们在设想是否能够随时都能获得与所处情境相关的实时数据。他们设想中的愿景其实就是互联企业

如果没有用于信息共享的通信基础设施,而只有自动化孤岛,则设想的目标都是不可能实现的。

换言之:EtherNet/IP™ 技术。对于互联企业,无论您的目标是什么,第一步都是建立一个对用户透明、不会受到威胁并且能够实时传递信息的网络基础设施。

不过,提供对信息的访问权会改变食品制造商面临的威胁形势。

这个领域受到了恶意黑客以及一些善意员工的影响,这些员工往往不熟悉自己看似平常的行为会产生什么影响。

危险包括产品污染到知识产权流失。

请不要搞错:公开、容易获得的信息是未来制造业必须面对的风险。

现在,您可以快速地跟踪并分析某件产品、某批次产品或者大量产品的原料来源。

您可以了解每个产品生产时所处的条件以及其最终目的地。您可以买一个蛋糕,了解其面粉的来源地,确定其中是否含有过敏原,然后再把它吃掉!

我们有信心能够做到这一点,因为我们有各种方法可以将安全风险降到最低,同时保护配方以及保护您的品牌。

不过,降低整个工厂融合网络的安全风险的方法必须是全方位、多层次的,既要评估外部威胁,又要评估内部威胁。

受保护的环境可以激发创新

网络安全可能看起来很复杂。而实际上,网络安全其实非常复杂。不过,如果以一家假想的食品制造商为例,则可以更好地解释一些重要概念。

例如,假设某曲奇生产商希望将人工测量原料、配置设备及报告生产情况的方式,升级成一个可以使用 EtherNet/IP 技术进行远程访问的自动化系统。

我们的生产商对工厂进行检查后,发现了可以提高安全性的两大机会。

第一,并不是所有员工都需要对生产服务器和客户端进行同等程度的物理访问。第二,工厂之外的员工需要经过身份认证和授权,以阻止恶意之人进入。

我们的曲奇生产商认识到,实施 EtherNet/IP 技术会导致员工以不熟悉的方式与设备交互。

例如,大家都知道 USB 端口,不过,HMI 服务器和客户端上的 USB 端口虽看起来很普通,但需要知道使用它的规则。

USB 端口存在哪些安全风险?心怀恶意的人有时会故意把拇指驱动器遗留在食品制造工厂外面。

这个拇指驱动器最初似乎不会对发现它的人造成损害,但当病毒或间谍软件被下载到可在制造网络和企业网络之间直接传递信息的网络上之后,它的破坏行为就开始了。

这里所说的是易于窃取的知识产权,竞争对手可以通过窃取知识产权来减少研发投资。

被恶意利用的不止是拇指驱动器。USB 端口常常被用来给手机、音乐播放器等设备充电。我们善良的员工并未意识到这类设备可以传播病毒和间谍软件。

因此,只有授权人员才可以对设备、机器和控制室进行物理访问,这一点非常重要。例如,上锁挂牌设备将有助于阻止对诸如 USB 等开放端口的未经授权访问。

由于我们的曲奇生产商想顺利地完善和学习新的自动化过程,所以他们希望员工能够随时随地查看信息。

管理人员可以查看批次计划、材料使用情况和类似项目。维护人员可以在任何非现场位置诊断运行故障。

但是,为工厂外的员工提供访问权限(即使是访问工厂内任何地方的平板电脑),意味着为那些也在试图远程访问网络的恶意人员提供了访问机会。

我们的生产商开始发现网络安全技术的重要性。

在这种情况下,身份验证解决方案会依据用户具有的授权级别来限制其对控制器的远程访问,某些用户完全无法访问,而某些用户仅有只读访问权限。

这里的重点是通过仅向确定身份的用户、来源、目的地和协议授予访问权限,允许或阻止某人登录网络。

总而言之:应当保护物理层、对用户进行身份验证和相应授权,并使用对工厂初步审查后制定的适当解决方案。

复杂世界中的安全性

当然,我们假想的曲奇生产商所处的世界比我们的世界要简单。

制造商在其工厂中部署了不同类型的技术,他们需要思考实际使用的设备和应用程序方面的安全性。

那么,该如何去做呢?工厂的逻辑拓扑结构应当将各个地带都考虑在内 — 从单元/区域地带到企业地带。

当连接至企业业务系统时,要考虑能够为工厂与更大的组织之间共享信息提供安全保障的工业隔离区。

对现实世界中的食品制造商来说,幸运的是,最佳范例的存在有助于指引 EtherNet/IP 技术的安全部署。

要想进一步了解如何实现安全的工业网络,请查看关于保护工业自动化和控制系统网络安全的设计注意事项Industrial IP Advantage 电子学习系列课程。

EtherNet/IP 是 ODVA Inc 的商标。

Scott Johnston
发布 2016-九月-12 作者 Scott Johnston, Principal Consultant, Network and Security Services, Rockwell Automation

联系

Rockwell Automation 和我们的合作伙伴拥有卓越的知识,可以帮助您设计、实施自动化投资并提供相关支持。

最新消息

订阅罗克韦尔自动化并直接在您的收件箱中收到最新的新闻和信息。