رابط کاربری و ماشین های موبایل (HMI) در بسیاری از برنامه های اتوماسیون صنعتی مورد نیاز است. دو روش متداول - روترهای استاندارد وجود دارد که به روترهای VPN و VPN که توسط ابر میزبان هستند - برای دستیابی به این اتصال به روترها و شبکه های خصوصی مجازی (VPN) وجود دارد.
اولین روتر استاندارد است که با وجود امنیت کم آن ، هنوز توسط بسیاری از برنامه های موجود HMI موبایل و حتی برخی از موارد جدید استفاده می شود. یک مزیت مهم این است که ارزان است ، اما توصیه نمی شود زیرا وقتی حمل و نقل بندر در یک فایروال فعال می شود ، شبکه را در معرض تهدیدات خارجی قرار می دهد و بنابراین یک خطر امنیتی مهم شبکه را ایجاد می کند.
رویکرد دیگر استفاده از یک روتر VPN میزبان ابر است که با ایجاد یک اتصال رمزگذاری شده از روتر محلی VPN به یک روتر VPN میزبان در اینترنت ، پیچیدگی فناوری اطلاعات (IT) را ساده می کند. کاربران از راه دور می توانند از طریق روتر VPN میزبان ابر به طور ایمن به قطعات و سیستم های محلی دسترسی پیدا کنند. این نه تنها خطرات امنیتی شبکه را کاهش می دهد ، بلکه پیکربندی و نگهداری را نیز ساده می کند.
نوع سوم اتصال روتر که با استفاده از یک روتر سنتی VPN اجرا می شود ، در این مقاله در نظر گرفته نمی شود زیرا شامل باز کردن اتصالات ورودی است و پیچیدگی ها و خطرات مشابهی را به عنوان مواردی که روترهای استاندارد با آن روبرو هستند ایجاد می کند.
روترهای استاندارد
بسیاری از برنامه های صنعتی از روترهای استاندارد و فایروال ها برای محافظت از شبکه های شرکت و کارخانه استفاده می کنند ، که به کاربران نیاز دارد تا کلیه تنظیمات مسیریابی و فایروال را به صورت دستی پیکربندی و مدیریت کنند. این نوع روتر معمولاً دارای VPN برای رمزگذاری داده ها نیست ، اما درگاه هایی را در فایروال ایجاد می کند تا برای کاربران از راه دور برای دسترسی به برنامه ها و اجزای خاص در شبکه گیاهی ، در فایروال ایجاد شود.
بیشتر کاربران HMI هم دسترسی از راه دور و هم محلی را می خواهند. اتصال یک رایانه قابل حمل به یک سرور وب HMI برای نظارت بر داده ها و تغییر نقاط تنظیم و سایر پارامترها یا استفاده از نرم افزار برنامه نویسی برای اتصال به HMI برای عیب یابی یا تغییر برنامه معمول است.
برای اتصال از راه دور با استفاده از یک روتر استاندارد ، حمل و نقل پورت معمولاً برای دسترسی به HMI یا یک رایانه شخصی محلی که نرم افزار دسترسی از راه دور را اجرا می کند ، پیکربندی می شود. رایانه محلی محلی امکان اجرای نرم افزار برنامه نویسی HMI را به کاربر از راه دور ارائه می دهد.
برنامه های موبایل HMI همچنین به ارسال پورت نیاز دارند تا کاربران از راه دور بتوانند برای کنترل یا مشاهده داده ها به HMI محلی دسترسی پیدا کنند. این برنامه ها به طور معمول عملکرد مشابهی با دسترسی از راه دور مبتنی بر مرورگر را ارائه می دهند ، به جز اینکه دسترسی از طریق برنامه به جای مرورگر است.
مسئله اصلی این رویکرد ، ریسک امنیتی مرتبط با حمل و نقل پورت در برنامه های تلفن همراه و همچنین برنامه های مبتنی بر رایانه شخصی است. یک هکر می تواند به راحتی تعیین کند که کدام درگاه ها روی فایروال باز هستند و می توانند از طریق روتر به یک شرکت یا شبکه کارخانه دسترسی پیدا کنند.
در حالی که حمل و نقل بندر در یک شرکت یا شبکه کارخانه بسیار کارآمد و مفید است ، استفاده از این ویژگی در رابط های اینترنتی و شرکت اینترانت بسیار خطرناک است. سازمان های تولیدی باید از استفاده از این روش روتر در تاسیسات جدید خودداری کنند و در عوض نصب های روتر استاندارد موجود را به اتصالات امن تر مانند روترهای VPN میزبان ابر تبدیل کنند.
روتر VPN میزبان ابر
یک VPN میزبان ابری اتصال ایمن را با تنظیم ساده و پیکربندی شبکه فراهم می کند. یک گزینه معمولی VPN میزبان ابر ، شامل یک روتر محلی VPN ، یک سرور VPN میزبان ابر ، یک مشتری VPN و اجزای اتوماسیون به هم پیوسته است (شکل 1).
اتصال ایمن پس از روتر محلی (واقع در شبکه گیاه/کنترل) برقرار شده است و مشتری VPN (نرم افزاری که بر روی رایانه قابل حمل کاربر یا دستگاه تلفن همراه نصب شده است) هر یک به سرور VPN میزبان ابر متصل می شوند. روتر محلی این اتصال را بلافاصله پس از راه اندازی برقرار می کند ، اما مشتری VPN فقط هنگامی که درخواست تأیید اعتبار را از یک کاربر از راه دور دریافت می کند ، فقط به هم متصل می شود. پس از برقراری هر دو اتصال ، تمام داده های منتقل شده از طریق این کانال VPN ایمن هستند.
بیشتر VPN های میزبان ابری یک پهنای باند ماهانه رایگان برای عملیات اساسی ارائه می دهند و در صورت نیاز به دسترسی به داده ها فراتر از این حد ، می توان برنامه های پهنای باند حق بیمه اضافی را درخواست کرد. به عنوان مثال ، یک محصول 5 گیگابایت تبادل داده VPN رایگان در هر ماه را ارائه می دهد ، که ممکن است برای بیشتر عیب یابی ، نظارت و نیازهای برنامه نویسی کافی باشد.
خطرات امنیتی هنگامی کاهش می یابد که یک روتر محلی ارتباط با سرور را از طریق اتصال برون مرزی از طریق درگاه باز استاندارد مانند HTTPS آغاز کند. این اغلب از تغییر در فایروال IT یک شرکت جلوگیری می کند و می تواند ملاحظات امنیتی IT را برآورده کند. برای اطمینان بیشتر ، کاربران می توانند با یک سیستم مدیریت امنیت اطلاعات دارای مجوز صنعت به دنبال یک VPN میزبان ابری باشند (به عنوان مثال ، ISO/IEC27001: 2013.) این نشان می دهد که ارائه دهنده یک برنامه امنیتی جامع و کنترل را اجرا کرده است.
یکی دیگر از مزیت های VPN های میزبان ابر ، سادگی پیکربندی روتر است. از آنجا که این یک روتر محلی امن است که به یک سرور ابر از پیش تعریف شده متصل می شود ، روتر با تنظیمات پیچیده شبکه VPN از قبل تنظیم می شود ، بنابراین به کارمندان غیر IT اجازه می دهد تا آن را نصب کنند. تمام آنچه لازم است این است که از آدرس های IP اجزای اتوماسیون متصل به LAN و اینکه آیا ارائه دهنده خدمات اینترنت (ISP) یا روتر شبکه گسترده سازمانی (نه روتر VPN میزبان ابری) به صورت پویا یا استاتیک آدرس های IP را ارائه می دهد. بشر
سایر گزینه های پیشرفته ممکن است شامل ورود به سیستم داده های ابری و اعلان های زنگ هشدار باشد که زیر مجموعه ای از عملکرد HMI را ارائه می دهد و استفاده از برنامه نویسی سفارشی آسان تر است. این سرویس ها به کاربران امکان می دهند تا داده های سیستم را وارد کرده و هشدارهای شدت سفارشی را در دستگاه تلفن همراه یا رایانه قابل حمل خود دریافت کنند و در صورت لزوم ، سابقه ای مناسب و مبتنی بر وب را ارائه دهند.
دسترسی از راه دور مبتنی بر برنامه تلفن همراه
به طور فزاینده ، برنامه های کاربردی موبایل از اجزای کنترل کننده منطق HMI صنعتی و قابل برنامه ریزی (PLC) پشتیبانی می کنند. توابع نظارت و کنترل به کاربران امکان می دهد از هر زمان و هر زمان از راه دور به آنها دسترسی پیدا کنند. برای دسترسی ایمن به تجهیزات صنعتی ، دستگاه های تلفن همراه نیز باید از فناوری VPN برای رمزگذاری داده ها از دستگاه تلفن همراه به شبکه گیاه استفاده کنند. بدون VPN موبایل ، لازم است که بنادر فایروال گیاه را باز کنید ، سناریوی مشابهی را برای یک روتر استاندارد ایجاد کنید و شبکه گیاهی را در برابر حملات سایبری آسیب پذیر می کند.
استفاده از یک VPN میزبان یک اتصال VPN ایمن برای لپ تاپ ها و دستگاه های تلفن همراه فراهم می کند. دومی از طریق یک برنامه تلفن همراه کاملاً قابل دسترسی به VPN انجام می شود. هنگامی که از طریق برنامه VPN موبایل به راحتی به شبکه کارخانه متصل شوید ، می توان یک برنامه HMI یا PLC شخص ثالث را به اجزای محلی HMI و PLC وصل کرد ، با این که کاربر تلفن همراه تقریباً در سایت ظاهر می شود.
برخی از روترها همچنین می توانند اتصال لپ تاپ و دستگاه تلفن همراه را برای VPN های میزبان فراهم کنند. برنامه های دستگاه تلفن همراه Apple iOS و Google Android یک اتصال ایمن به شبکه گیاهی را در اختیار کاربران قرار می دهند. برخی از ارائه دهندگان VPN میزبان ابر نیز دسترسی به برنامه های نرم افزاری ورود به سیستم داده های مبتنی بر ابر و همچنین ابزارک هایی را برای پیکربندی داشبورد های سفارشی برای مشاهده از راه دور ارائه می دهند.
این ورود به ابر داخلی به ویژه برای تولید کنندگان تجهیزات اصلی (OEM) مفید است ، که بسیاری از آنها هزاران دستگاه در صدها مکان در سراسر جهان نصب شده اند ، هر کدام دارای چندین کاربر هستند. برای ورود به سیستم از پیش تنظیم شده و حاوی داشبوردهای سفارشی برای مشاهده از راه دور در یک برنامه تلفن همراه است. به غیر از نصب برنامه بر روی تلفن هوشمند یا رایانه لوحی ، مشتری OEM نیازی به پیکربندی ، نصب یا حفظ نرم افزار دسترسی از راه دور در غیر این صورت نخواهد داشت.
برای دسترسی گسترده تر به داشبورد ، کاربران از راه دور می توانند از VPN موبایل ارائه شده توسط ارائه دهنده VPN میزبان برای دسترسی به HMI ها و PLC های محلی از طریق برنامه استفاده کنند. برخی از نرم افزارهای HMI موبایل می توانند در هنگام استفاده از روتر VPN ارائه دهنده ، ایمن تر عمل کنند. یک رایانه شخصی همچنین می تواند به طور ایمن به دستگاه های محلی از منطقه محلی برای برنامه نویسی ، نظارت یا عیب یابی دسترسی پیدا کند.