“一网到底”带来的安全性之辩

除了可靠性之外，工业安全也始终是生产的基本刚性要求。以前，一谈到工业安全，很多人会马上想到故障安全（功能安全）；而当前工业网络的快速发展，使得工业信息安全的重要性大大提升，使工业安全形成了涵盖故障安全与信息安全的“大安全”概念。在这种跨越多层次、多角度的“大安全”概念里，工业网络技术也扮演着多元而关键的角色。

在智能制造的大背景下，可以说为工厂提供的解决方案越“智能”，“一网到底”带来的安全性问题就更需要被重视。这个道理不难理解。一个对智能化数据基础高度依赖的系统，在面临安全问题时，甚至比传统的工业架构更加脆弱。

其实，工业通信领域对于一些传统的工业安全领域，已经有比较成熟的解决方案了。比如，对于人们一直重视的故障安全领域，工业通信技术就能够提供很好的支持。PROFIsafe安全行规在故障安全中的应用就是一个典型的例子。西门子推出的安全通信协议PROFIsafe使标准设备和安全设备能同时共用一条通信链路，安全通信不通过冗余电缆来实现。这样的特点和其开放架构的特性可以降低用户的成本，并有利于未来对系统进行改造。

工业信息安全的问题，在近年来体现得更为突出。尤其是在倡导“两化融合”的今天，很多企业面临着业务数据与控制数据的整合。在这一过程中，工业以太网的深化应用的确提升了不少效率，但其“一网到底”的开放特性也使其受到攻击的概率大大增加。

一谈到网络攻击的后果，很多人也许会马上想到由攻击导致的生产停滞，甚至设备损坏；但是，一些侵犯知识产权的“隐性”攻击也有可能使企业受到巨大的损失，比如越权访问或窃取企业核心的生产数据及工业数据。因为生产停滞毕竟可以在一定的时间内得到恢复，但企业核心的知识产权一旦被窃取，就有可能对企业的长远竞争力产生无法弥补的影响。

尤其是现在，远程访问的需求越来越多。这种跨区域的应用，往往也意味着终端权限管理和防范攻击的难度加大。通过软、硬件后门，非法读写，甚至是带毒存储介质等途径，外来攻击者都足以让企业蒙受损失，拒绝服务、身份伪装、地址欺骗等不断发展的网络攻击手段今天仍然在层出不穷地涌现出来。

面对这一问题，很多厂商正在采取高度重视的防范和研发策略进行应对。例如，西门子在这方面推出了一系列基于通信的安全产品与“纵深防御”，设置隔离缓冲区的解决方案。如其推出的SCALANCE S工业安全模块，带有基于IP和MAC数据传输的高品质状态监测防火墙，可根据相应的安全性需求组合不同的安全措施，作为工业层与商业应用层之间的安全大坝。

即便攻击者能够绕过外围网络，直接连接上现场控制网络上的PLC，西门子PLC上具有安全功能的CP卡（专门负责分担PLC通信功能）也带有防火墙，可以对SIMATIC S7-300，S7-400，以及S7-1500控制器进行保护。针对远程访问等需求，西门子的SCALANCE M远程通信模块路由器可以支持用户通过UMTS移动网络对各个工业区域进行安全的访问。

可以预言，在智能制造模式下的“一网到底”，其范围必然是远远超出了现有工厂范围内的网络规划，扩展到跨厂区、跨地区的远程网络范围。如果没有上面这类针对网络基础设施的保护措施，“一网到底”就有可能因为安全问题而成为工厂的软肋。