網絡安全意味著計算機應用和數字式資產的機密性、完整性和可用性。在大多數組織中
，網絡安全由企業IT小組負責。不幸的是，每當IT小組遇到實時控製係統時，問題總會出現。因此，當IT小組執行不同的Windows域和防火牆時，首先遭殃的是典型的分布式組件對象模型（DCOM）的通信，因而影響了OPC的通信。

   在當今世界，無論是家用、商用還是在工業設施上，微軟Windows視窗都是最流行的桌麵操作係統，這是不爭的事實。因此，Windows也ye就jiu成cheng為wei了le受shou惡e意yi網wang絡luo攻gong擊ji最zui廣guang泛fan的de目mu標biao。事shi實shi上shang
，黑hei客ke們men經jing常chang開kai發fa出chu新xin的de蠕ru蟲chong和he病bing毒du來lai試shi圖tu攻gong擊ji穿chuan透tou每mei個ge網wang絡luo。這zhe些xie惡e意yi的de應ying用yong程cheng序xu具ju有you很hen強qiang的de傳chuan染ran性xing，以yi至zhi於yu當dang一yi個ge被bei感gan染ran的de筆bi記ji本ben電dian腦nao連lian入ru到dao一yi個ge未wei曾zeng受shou到dao感gan染ran的de網wang絡luo中zhong時shi都dou可ke以yi導dao致zhi一yi個ge企qi業ye係xi統tong在zai很hen短duan時shi間jian內nei崩beng潰kui。

   正因如此，IT部門需要參與到網絡安全問題上來。他們的目標是要保護用戶以及所有互聯的設備。不幸的是，IT部門並不清楚商業生產方麵的操作需求，所以
，很快就出現了通信和兼容性方麵的問題。首先出現的問題之一是分布式組件對象模型（DCOM）。

   微軟開發的DCOM為遠程Windows應用和計算機工作提供了易於使用的通信基礎。DCOM使得開發者能夠在自己的應用程序中重複使用微軟的方法和程序。這些加速了應用程序的發展，增加了可靠性。這正是OPC基金會選擇DCOM作為基本構件用於OPC通信的原因。

   DCOM來自於IT世界，程序員能方便地使用它，但是需要付出代價。DCOM需要許多端口用於尋找其他主機
、解析名稱
、請求服務、取得認證、發送數據和其他功能。如果這些端口不可用，DCOM會自動搜尋其他端口。當然，DCOM使用的任何端口和服務都是網絡攻擊（病毒和蠕蟲）的目標。所以
，當DCOM遇到安全問題時，包括OPC應用在內的所有應用都會受到感染。最近出現的Blaster和Sasser病毒攻擊了OPC使用的同一組件，正在使用OPC的任何人將來都可能極易受到此類病毒的攻擊。

   如果過程控製網絡想要與商業網絡結合
，那麼網絡安全對其來說是必需的。再次提醒
，由於Windows和DCOM內在的性質，當IT部門開放通信時，包括OPC在內的許多應用將會立刻受到頻繁的攻擊。但是如果工廠和商業係統進行過正確的配置和維護的話，網絡安全和OPC將能很好的共存下去，這是個不錯的消息。

   在工廠生產和商業係統間發展網絡安全是項複雜的任務，以至於大多數IT和自動化部門都在猶豫是否要進行此項任務。ＩＴ部門可能不熟悉複雜的工業係統
，任何錯誤都會對生產起到反作用。從工業自動化的前景和與ＩＴ安全的挑戰來看，自動化部門寧可選擇獨立運行，在這些係統中留下通信“缺口”。工業網絡安全至少需要考慮下麵列出的範圍。

　　•過濾和存取控製
　　•書麵的最優方法和策略
　　•反病毒
　　•修複程序
　　•數據備份策略
　　•事件處理程序
　　•積極的監控和檢測
　　•不間斷培訓和通告
　　•修補處理
　　•第三方驗證

   以yi上shang的de簡jian短duan列lie表biao隻zhi是shi一yi個ge簡jian介jie，要yao建jian立li網wang絡luo安an全quan則ze需xu要yao考kao慮lv更geng多duo的de因yin素su。通tong常chang來lai說shuo，技ji術shu和he人ren是shi需xu要yao重zhong點dian考kao慮lv的de兩liang個ge因yin素su，哪na個ge先xian考kao慮lv則ze無wu所suo謂wei。需xu要yao記ji住zhu的de最zui重zhong要yao的de事shi是shi企qi業yeIT策略必須重視實時控製係統的需求，因為許多規則會因此而改變。

   優先考慮網絡和網絡安全使得防火牆成為必需
，防火牆的出現對ＤＣＯＭ造成了新的挑戰。因為DCOM需要對如此多的端口進行操作，而這對於防火牆來說並不友好。因此
，DCOM經常不是終止於不同網絡之間的通信就是對蠕蟲攻擊大開其門。

   幸運的是，已經出現了新的解決方法。例如，OPC能夠利用隧道技術使其在不同的係統和防火牆間工作。類似於虛擬專用網絡（VPN）和點對點隧道協議（PPTP）
，OPC隧(sui)道(dao)將(jiang)數(shu)據(ju)有(you)效(xiao)載(zai)荷(he)封(feng)裝(zhuang)入(ru)另(ling)一(yi)協(xie)議(yi)中(zhong)。從(cong)隧(sui)道(dao)外(wai)看(kan)

，它(ta)就(jiu)像(xiang)是(shi)數(shu)據(ju)流(liu)，但(dan)是(shi)，在(zai)數(shu)據(ju)流(liu)內(nei)卻(que)是(shi)非(fei)常(chang)重(zhong)要(yao)的(de)產(chan)品(pin)數(shu)據(ju)。隧(sui)道(dao)技(ji)術(shu)也(ye)能(neng)夠(gou)利(li)用(yong)端(duan)口(kou)限(xian)製(zhi)、用戶認證和數據流加密來克服大多數IT安全缺陷。

   網(wang)絡(luo)和(he)網(wang)絡(luo)安(an)全(quan)對(dui)工(gong)業(ye)係(xi)統(tong)來(lai)說(shuo)十(shi)分(fen)重(zhong)要(yao)
，因(yin)為(wei)它(ta)們(men)能(neng)夠(gou)影(ying)響(xiang)控(kong)製(zhi)係(xi)統(tong)的(de)產(chan)品(pin)生(sheng)產(chan)。一(yi)個(ge)複(fu)雜(za)的(de)任(ren)務(wu)需(xu)要(yao)得(de)到(dao)具(ju)備(bei)現(xian)場(chang)經(jing)驗(yan)的(de)專(zhuan)家(jia)們(men)的(de)幫(bang)助(zhu)。專(zhuan)家(jia)們(men)會(hui)為(wei)每(mei)個(ge)安(an)全(quan)集(ji)中(zhong)領(ling)域(yu)推(tui)薦(jian)解(jie)決(jue)方(fang)案(an)
，比(bi)如(ru)將(jiang)OPC隧道技術用於防火牆中。在網絡安全影響到產品生產之前盡快地做冒安全風險的準備是相當重要的。

   作者簡介：BAIST-NM
，CET 的Donovan Tindill，他是Matrikon網絡服務組的技術帶頭人。Donovan給工業部門的客戶提供專業級的谘詢服務，並提供具有容錯能力、安全性高、可擴展和具成本效益的解決方案。Donovan將時間花在了研究尖端科技及其趨勢上，他親自檢查工業設施
，設計工廠信息係統
，尋求關於工廠ＩＴ安全、可靠性和性能的建議。