面向原始设备制造商的可扩展式

安全远程访问解决方案

引言

如果能对生产资产、数据和应用进行安全远程访问，并能利用最新的协作工具，则制造商无论处于什么位置，都可以在正确的时间应用恰当的技能和资源。而对于原始设备制造商来说，他们渴望降低成本、希望为制造业客户提供更多价值，并期待从竞争中脱颖而出。因此，本白皮书列出了从远程位置安全访问工厂应用和数据的多种方式，旨在为原始设备制造商提供安全远程访问设计指导，帮助原始设备制造商提升与客户之间的协作水平

技术挑战

长期以来，在对工业自动化和控制系统 (IACS) 的支持方面，原始设备制造商或是依靠部署现场人员，或是采用无防火墙的独立拨号访问等类似方法。而这样的远程访问往往都会绕开边界防护机制，从而使制造系统产生“后门”，并带来巨大的安全风险。鉴于原始设备制造商希望远程提供安全支持，并实时响应问题，这一方法已不能满足需求。

对传统企业网络进行远程访问的技术已问世很长一段时间，虚拟专用网络 (VPN) 便是一例。但要成功应用这些技术对工业自动化和控制系统 (IACS) 进行有效的远程访问一直以来都是一项 挑战。

原始设备制造商

工业全厂级系统

2 | 面向原始设备制造商的可扩展式安全远程访问解决方案

其中的原因有很多：

• IACS 通常由生产制造部门管理，而像 VPN 这样的企业级远程访问解决方案却属 IT 部门的责任范畴。要成功实施对 IACS 的远程访问，需要 IT 和制造工厂紧密协作。

• 远程访问会将关键的制造系统暴露于病毒和恶意软件的危险之下，倘若远程或伙伴计算机中存在这些危险源，可能会对生产造成影响。

• 用于访问的终端设备（计算机）的安全性很难保证，同时该设备中也不一定包含进行远程访问与控制所需的适当版本的应用程序。

• 很难将远程用户的操作限制在适合他们进行的操作范围内，那些因为视线或其他类似要求而需要在本地操作的功能仍然会在远端显示出来。

• 制造商通常无法限制合作伙伴或远程员工的访问操作，无法将访问限于他们负责或已获得授权的特定机器、应用或网络部分。

• 没有一种通用方法能适合所有人。对一个客户适用的 IACS 远程访问解决方案并不一定适用于其他客户。某个客户需要的 IACS 远程访问解决方案可能会对另一个客户造成过大的负担，甚至不实用。如下文所述，可行的远程访问解决方案取决于行业要求、客户要求（安全策略和规程）、客户规模及其支持基础架构。

因此，远程访问解决方案虽然在企业网络中广泛部署，但在支持 IACS 网络方面却没有被大规模采用。使用 VPN 技术后，通常都会面临之前提到的各项挑战，因此即使仅限员工（非合作伙伴）使用，如果不正确实施，仍会导致一定的安全风险，包括病毒感染和非授权访问。为真正实现协作制造，访问需要摆脱位置或公司的限制，随心扩展。访问需要足够安全，从而可以有效地通信、诊断故障和纠正错误。访问需要限于已被授权访问系统的人员，并且他们的获授权操作行为需要符合公司和工厂的策略与规程。

与客户协作实施 IACS（例如机器）远程访问解决方案时，可通过以下问题了解相应企业的准备 情况：

• 是否实施 IT 安全策略？

• 是否实施 IACS 安全策略？

• 是否具有面向员工的远程访问政策和相应的支持基础架构？采用哪一种 VPN 技术/产品？

• 是否实施“合作伙伴”远程访问策略，即是否具有添加合作伙伴（原始设备制造商、系统集成商、自动化供应商、承包商）的能力和流程？

• 对于合作伙伴，您的解决方案是否能够集成到客户的 IACS 网络基础架构中？您的解决方案是否支持远程访问？您的解决方案是否符合 ISA-99 和 NIST 800-82 等既定的 IACS 安全标准？

其他关键考量因素包括：

• 监视和审核远程用户的活动，以便识别误用情况

• 确定是否存在“视线”（可视化要求）或者在允许特定远程访问功能之前需要确定的其他限制

• 定义可进行远程访问的软件工具

面向原始设备制造商的可扩展式安全远程访问解决方案 | 3

安全远程访问的原则

设计安全远程访问解决方案时，应采用“纵深防御”方法。这种方法将构建多个安全防护层，从而应对远程访问时可发生的不同潜在威胁。尽管没有任何一种技术和方法能够完全确保 IACS 网络的

安全，但通过结合多种安全防护技术，可以对大部分已知类型的威胁和安全侵害行为起到有力的遏制作用。为确保“纵深防御”安全计划得到充分实施，公司需要依靠多种类型的控制。

这些控制可划分为以下类别：

• 管理

- 主要为安全策略和规程。

- 示例包括： 密码策略、安全意识培训等

• 技术

- 也称为“逻辑”控制手段，其中包含硬件、软件和电    子元件部分，用于监视和控制对信息系统的访问。

- 示例包括： 防火墙、IPS/IDS、智能卡等

• 物理

- 基本上为机械式控制手段，用于监视和控制物理访问

- 示例包括：锁、安全防护栏、安全摄像头等

需要注意的是，安全远程访问不仅仅在于技术控制这一个方面，而是一个包含管理、技术和物理控制的完整安全计划。上图是一个有关技术控制的示例，可帮助实现“纵深防御”策略。

远程工程师和合作伙伴

IPsec 加密和 SSL VPN

身份验证、授权和建立帐户

访问控制列表 (ACL)

安全浏览 (HTTPS)

入侵防护和检测

远程终端会话

应用安全

VLAN

IACS 应用与数据

采用的安

全防护技

术

纵深防御

4 | 面向原始设备制造商的可扩展式安全远程访问解决方案

方法

实现 IACS 安全远程访问的方法有多种，但可以划分为直接访问和间接访问两类。具体选择取决于上文提及的条件，例如客户的安全策略和规程。每种方法又都涉及多种设计考量因素，而这些因素会影响 IACS 的正常运行，需要在 IACS 远程访问解决方案的设计和实施中加以考虑。

直接访问

借助直接访问，远程用户可建立一个“直接”连接到 IACS 的安全连接。创建安全 VPN 隧道后，位于远程用户计算机上的软件将直接启动与 IACS 的通信。

• 设计考量因素 - 如何强化以下方面？

- 网络和应用程序的身份验证与授权

- 变更管理、版本控制、法规符合性和软件许可证管理

- 远程客户端（计算机）的健康状况管理

- 符合既定 IACS 安全标准

注意：尽管采用此方法时几乎不需要 IT 支持，最佳安全实践仍需按照既定的 IACS 安全标准 执行。

远程位置

工业全厂级系统

直接访问

面向原始设备制造商的可扩展式安全远程访问解决方案 | 5

间接访问

借助间接访问，远程用户可通过一个中间服务器与 IACS 建立安全连接。此中间服务器通常位于 DMZ（隔离区）中，并为 IACS 中的远程访问服务器 (RAS) 提供远程网关访问。在建立 VPN 会话后，远程客户端即可使用瘦客户端软件应用程序或 Web 浏览器与 RAS 建立连接。

• 设计考量因素

- 多层网络身份验证与授权

- 简化的资产管理，即变更管理、版本控制、法规符合性和软件许可证管理

- 简化的远程客户端健康状况管理

- 更好地符合既定 IACS 安全标准

注意：由于可以更好地符合既定 IACS 安全标准，间接访问是首选的方法。因此，思科和罗克韦尔自动化全厂融合以太网 (CPwE) 架构团队也推荐采用这种方式。

远程位置

工业全厂级系统

间接访问

远程访问服务器 (RAS)

6 | 面向原始设备制造商的可扩展式安全远程访问解决方案

分析安全远程访问解决方案时，必须确定待访问系统的类型，是独立隔离式 IACS 还是企业级集成式 IACS。

• 独立隔离式 IACS 代表示例

- 仅包含少量自动化机器的小型制造厂，可以是小型的单操作员车间、远程位置（非企业集成）

- 几乎没有 IT 支持，几乎没有任何安全策略

- 几乎完全不符合既定的 IACS 安全标准

• 企业级集成 IACS 代表示例

- 大型制造工厂

- 工业网络与企业网络连接

- 强大的 IT 能力，采用纵深防御安全策略

- 符合既定 IACS 安全标准

示例：独立 IACS 的直接访问

工厂工程师机器制造商系统集成商

远程位置

WAN 路由器

UTM 安全设备WAN

面向原始设备制造商的可扩展式安全远程访问解决方案 | 7

示例：独立 IACS 的间接访问（首选方法）

示例：企业级集成 IACS 的间接访问（首选方法）

（将生产系统（制造）与业务 (IT) 系统集成的大型制造商）

工厂工程师机器制造商系统集成商

远程位置

WAN 路由器

UTM 安全设备

WAN 远程访问服务器 (RAS)

工厂工程师机器制造商系统集成商

远程位置企业系统

DMZ

WAN

工业全厂级系统

8 | 面向原始设备制造商的可扩展式安全远程访问解决方案

可能的远程访问解决方案

拨号调制解调器

调制解调器历来很少被用作 IACS 应用的“后门”远程访问方法。而且，通常也是用户访问 IACS 时最不愿意选择的方式。不过，如果因为远程访问策略和物理基础架构的限制而决定使用这种方法，则应采用多层安全方案，并在调制解调器不使用时将其电源断开。

调制解调器应具有以下功能：

• 可配置拨入帐户

• 呼叫人 ID，仅允许特定可编程电话号码的身份验证。

• 回叫功能

• 加密验证

除了部署带有内置安全机制的调制解调器外，另外也应部署其他防御层。这些防御手段包括： 实施支持 CIP 的防火墙、建立 IPsec 或 SSL VPN、配置入侵监测/防护系统 (IDS/IPS)、提供防病毒保护等。大部分现代防火墙都能在一种称为统一威胁管理设备 (UTM) 的单个盒子中提供多层安全防护。

注意：有关调制解调器安全防护的更多指南，请参见：

• 美国国土安全部 – 控制系统调制解调器安全防护

推荐实践

- http://www.us-cert.gov/control_systems/practices/documents/SecuringModems.pdf

• 罗克韦尔自动化网络和安全服务

- http://www.rockwellautomation.com/services/security/

面向原始设备制造商的可扩展式安全远程访问解决方案 | 9

连接由远程向工厂发起（WAN 路由器/调制解调器：DSL、蜂窝网络、卫星网络、电缆线、T1 线路等）

如果因为安装电话线路不可行而无法选择传统调制解调器，通过蜂窝访问建立 WAN 连接的方式是一种极佳的替代方案。而且这种做法因为可扩大覆盖范围、提高速度、降低成本和简便易行的原因而变得越来越受欢迎。

不过，如前文对拨号调制解调器的说明，为提供“纵深防御”，基于蜂窝调制解调器和路由器的蜂窝 WAN 连接应与其他安全技术配合使用，或者至少将这些功能结合到设备中（UTM 组合）。其他 WAN 连接选项包括：DSL、电缆线、T1 线路、卫星网络等。与独立系统建立 WAN 时使用的连接类型取决于制造商的位置、预算限制和访问策略。需要注意的一点是，实施 VPN 时，通常需要由 WAN 提供商分配一个静态 IP 地址。

以下是设计解决方案时需要检查的一些安全功能：

• 是否具有 VPN 功能？是 SSL 还是 IPsec？

• 是否具有防火墙？

- 是否过滤工业协议？CIP、Modbus 等。

- 深度包检测？

• NAT（网络访问转换）？

• 是否面向工业用途？

• 防病毒、垃圾邮件过滤？

• 是否提供审查功能？

• 是否具有入侵检测/防护系统？

远程位置

远程连接到工厂

WAN

WAN 路由器 UTM 安全

设备

工业全厂级系统

10 | 面向原始设备制造商的可扩展式安全远程访问解决方案

连接由工厂向远程发起（Webex、GoToMyPc、网关 VPN 设备等）

如果控制系统在现场派驻人员，并且已存在通过多层安全控制机制建立的安全内部连接，则由最终用户发起的连接也可提供安全的远程访问功能。远程支持人员可通过 Webex 等类似技术请求远程会话。

但现场的 PC/笔记本电脑需要安装所有必要软件才能提供远程功能，并且在 IT 方面也应配置允许出站访问的必要规则。

使用这些服务时存在打开 Internet (http/https) 出站连接的风险，此风险不容忽视，应将访问限于特定的站点和 IP 地址，阻止从控制系统浏览网络。使用 Web 浏览器可带来巨大的风险，并且历来都是一个已知的攻击源。

另一种解决方案是“网关 VPN”设备，此设备位于控制系统中，可通过“托管式 VPN”服务建立远程访问。采用这种解决方案时应谨慎分析“托管”服务提供商、其位置，是否坚持最佳安全实践、是否符合既定 IACS 安全标准（例如 ISA-99 和 NIST 800-82）以及是否符合制造商自身的安全策略要求。

远程位置

远程连接到工厂

WAN

WAN 路由器 UTM 安全

设备

工业全厂级系统

面向原始设备制造商的可扩展式安全远程访问解决方案 | 11

企业级集成式 IACS

可能的解决方案

• 罗克韦尔自动化与思科 CPwE 安全远程访问解决方案

- http://literature.rockwellautomation.com/idc/groups/literature/documents/td/ enet-td001_-en-p.pdf

- http://literature.rockwellautomation.com/idc/groups/literature/documents/wp/ enet-wp009_-en-e.pdf

定制式解决方案

对于定制式解决方案，罗克韦尔的网络和安全服务团队可根据您的需求设计一种安全的解决 方案。

• http://www.rockwellautomation.com/services/networks/

• http://www.rockwellautomation.com/services/security/

12 | 面向原始设备制造商的可扩展式安全远程访问解决方案

总结

随着安全远程访问功能的不断发展，原始设备制造商能够提高生产力、降低成本并以更快的速度对影响客户的事件作出响应。原始设备制造商通过这些安全远程方案解决方案，能够提供实时的远程支持。由于制造运营变得更加复杂，制造工厂分布在全球各地，可在 24 小时为系统提供现场支持的熟练工人越来越少，这些远程支持功能正变得日益重要。借助对独立系统的远程访问功能，原始设备制造商可在恰当的时间应用合适的技能和资源，不受物理位置的限制。进而提高效率、减少停机时间并降低成本。

不过，由于 IACS 应用事关重大，任何远程访问解决方案都必须提供适当的安全级别，需要符合制造商的需求并满足既定 IACS 安全标准的要求。采用“纵深防御”原则后，IACS 应用在任何情况下都不会面临直接进行的不安全远程访问。

其他资源

联盟成员

• 思科 – 集成服务路由器

- http://www.cisco.com/en/US/products/ps10906/Products_Sub_Category_Home.html

罗克韦尔自动化

• 远程访问调制解调器

- http://www.rockwellautomation.com/services/onlinephone/modems/

Encompass 合作伙伴

• http://www.rockwellautomation.com/encompass/

面向原始设备制造商的可扩展式安全远程访问解决方案 | 13

术语表CIP - 通用工业协议

通用工业协议 (CIP) 包含一整套适用于各种制造自动化应用（包括控制、安全、同步、运动、配置和信息）的消息与服务。CIP 由 ODVA 所有并由该组织进行维护。ODVA 是一个由全世界领先的自动化公司组成的国际协会。

DMZ - 隔离区

两个网络区域之间的缓冲区或网络段。DMZ 通常位于公司网络与 Internet 之间，其中的数据和服务可由 Internet 或公司网络中的用户共享/访问。DMZ 通常通过网络防火墙建立，旨在管理和保护来自公司网络和 Internet 两个区域的通信。有关网络 DMZ 的示例，请参见“方案：DMZ 配置”：

http://www.cisco.com/en/US/docs/solutions/Verticals/CPwE/CPwE_chapter4.html#wp1050554

IACS - 工业自动化和控制系统

一组用于对相关制造过程进行自动化和控制的设备与应用。就此意义上还有许多其他词语可以表示，例如生产系统、车间系统，但在本白皮书中，我们统一采用这种说法。这并不意味着在这一方面有任何特定的侧重或限制。根据我们的初衷，文中给出的理念和概念均适用于各种类型的生产情况，包括但不限于批生产、连续生产、离散生产、混合生产和过程生产。其他文档和行业参考资料可能会采用“工业控制系统 (ICS)”的说法。在本文档下，这些说法可以互换。本文档之所以采用 IACS，一方面是这种说法与 ISA 99 标准中的表述一致，另一方面也与思科和罗克韦尔自动化全厂融合以太网 (CPwE) 契合

IPA-3 - Internet 协议

Internet 协议。TCP/IP 栈中的网络层协议，旨在提供无连接的互联网络服务。IP 提供寻址、服务类型指定、分段后重组以及安全功能。在 RFC 791 中定义。有关 IP、TCP 和 UDP 的更多信息，请参见 Internetworking Technology Handbook-Internet Protocols：

http://www.cisco.com/en/US/docs/internetworking/technology/handbook/ Internet-Protocols.html

IP 协议簇

Internet 和大部分企业网络所基于的一组网络标准。其中包含第三层 Internet 协议 (IP)、第四层传输控制协议 (TCP) 和用户数据报协议 (UDP)。

IPS - 入侵防护系统

监视网络活动中有无恶意或不当行为的网络安全防护设备。有关入侵防护系统的更多信息，请参见维基百科的相关介绍： http://en.wikipedia.org/wiki/Intrusion-prevention_system

或

思科 IPS：http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html

IPSec - IP 安全

用于保证数据机密、确保数据完整和提供数据验证的一种开放式标准框架。IPSec 在 IP 层提供这些安全服务。IPSec 通过 IKE（见上文）在本地策略基础上处理不同协议和算法之间的协商，并同样借此生成供 IPSec 使用的加密和验证密钥。IPSec 可保护一对主站之间、一对安全网关之间或安全网关与主站之间的一个或多个数据流。如需更深入地了解 IPsec，请访问以下 URL：

http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tech_ note09186a0080094203.shtml.

14 | 面向原始设备制造商的可扩展式安全远程访问解决方案

ISA-99

集中介绍工业自动化和控制系统的安全性。更多信息，请参见：

http://www.isa.org/MSTemplate.cfm?MicrositeID=988&CommitteeID=6821

NAT - 网络地址转换

减少全局唯一 IP 地址需求的机制。如果一个组织带有多个并非全局唯一的地址，则可借助 NAT 将这些地址转换为可在全球路由的地址空间，以便连接到 Internet。

SSL - 安全套接字层

网络中用于提供安全交易的加密技术，例如在电子商务中用于传输信用卡卡号。

UTM - 统一威胁管理

最近数年在网络安全行业中出现的一种综合性解决方案，但自 2004 年以来已作为企业的主要网络网关防御解决方案得到广泛应用。[1] 理论上来说，这种方案从传统的防火墙演化而来，作为一种全方位的安全产品能够在一个装置中执行多项安全功能： 网络防火墙、网络入侵防护和网关防病毒 (AV)、网关防垃圾邮件、VPN、内容过滤、负载均衡、数据泄漏防护和内置报表。

有关 UTM 的更多信息，请参见维基百科的说明： http://en.wikipedia.org/wiki/Unified_threat_management

VPN - 虚拟专用网络

一种主要在公共通信基础设施（例如 Internet）基础上使用，为远程办公室或出差的用户提供中央组织网络访问功能的网络。VPN 通常需要对网络的远程用户进行身份验证，并且通常都会通过加密技术对数据进行保护，以防将专有信息透露给未授权的对象。VPN 可在任何网络上使用，并可支持各种网络功能，例如共享数据和访问网络资源、打印机、数据库、网站等。VPN 用户在访问中央网络的体验上通常与直接连接到中央网络的体验相同。基于公共 Internet 的 VPN 技术已代替过去部署广域网时租用线路的做法，不再需要申请和维护昂贵的专用通信线路。

有关 VPN 的更多信息，请参见维基百科的说明： http://en.wikipedia.org/wiki/VPN

WAN - 广域网

广域网 (WAN) 是覆盖较大面积的通信网络（例如，任何跨越大城市、区域或国家/地区边界的网络）。许多公司和政府机构都使用 WAN 在位于不同地理位的员工、客户、采购员和供应商之间中继数据。实际上，这种通信方式能够让企业不受所处位置限制有效履行日常职能。

http://en.wikipedia.org/wiki/Wide_area_network

面向原始设备制造商的可扩展式安全远程访问解决方案 | 15

工厂 - 生产设施、工厂或工厂车间

本文档选择使用“工厂”一词来描述制造过程和控制的执行场所。并不等于排除类似词汇，例如生产设施、车间或用于描述制造过程所在区域的其他任何词汇。事实上，这些词汇均可相互替换，这里仅是出于一致性原因而采用“工厂”一词。

远程终端会话

远程桌面指的是支持一台计算机或一个用户从远程位置通过图形化终端仿真程序访问和控制另一台计算机的一组协议和软件。像直接连接的终端一样在远程主站上显示的软件，其中包括 Microsoft 的 RDP、远程桌面协议和 VNC（虚拟网络计算机）。

制造区域

工厂逻辑框架中的网络区域，请参见“Cisco and Rockwell Automation Converged Plantwide Ethernet (CPwE) Design and Implementation Guide”指南的第 2 章。此区域中包含对工厂的持续运营至关重要的整套应用、系统、基础架构和设备。在其他文档（例如 ISA 99）中，此区域也被称为“控制区域”。在此方面，这些术语可以互换。

子网

在 IP 网络中，子网是共享一个特定子网地址的网络。子网络是网络管理员任意划分的网络部分，其作用是提供多层且有层次的路由架构，并避免子网络处理所连网络的复杂事务。

出版物 ENET-WP025A-ZH-E – 2012 年 3 月 ©2012 罗克韦尔自动化公司。保留所有权利。 美国印刷。

Allen-Bradley、Rockwell Automation 和 Rockwell Software 是罗克韦尔自动化公司的注册商标。不属于罗克韦尔自动化的所有商标均是其各自所属公司的财产。