最火无线的透明性给用户带来安全

无线的透明性给用户带来安全

编者语：通过无线络设备制造商的不懈努力，给用户带来了安全、方便、功能与有线络产品丝毫不差的无线络产品。

让我们聚焦于化工厂控制室内的一个操作人员。他（或者她）的眼睛注视着HMI屏幕控，短暂停留在储罐液位显示。这些操作人员是否能够说出传感器的测量值是如何到达控制室的呢？答案很有可能是否定的，而且操作人员也并不关心这些事情。只要信息准确及时就可以，他们不在意信息是如何传递的。正是络的透明性让整个工厂正常运作。

那一点液位信息可以通过模拟连线、数字连线、现场总线或者无线络来传输。传输技术的选择应该是基于工厂现有环境下寻求成本和可靠性的平衡。在过去几年，无线络以在这类良好的市场需求环境下新的方式加入了这个行列，并迅速打破了这种平衡。这引出了一个问题：将无线路集成到现有大型工厂控制环境中是否会给控制体系结构带来新的挑战？

现场总线第二？

在HART和现场总线路平台出现的初期，它们承诺众多，然而并没有迅速被操作人员接纳，因为它们需要对硬件和软件进行升级。无线系统供应商吸取了这个教训，做了很多努力，以避免这些问题再次发生。

“它必须十分简便，连我的妈妈也可以使用。” Emerson Process Man正在计划建设年产100吨的石墨烯原料生产线agement (EPM)公司无线商业部副总裁Bob Karschnia说，“这种技术必须是无

形的，所以我们花了大量时间确保其比我们意愿的更加简便。我们希望一旦将其引入你的现有系统，它便立即可以使用，无需为了使用无线络而升级整个DCS系统。”

“否则的话，这就和基金会现场总线没有区别了。那意味着你需要对工厂体系结构和设备进行彻底改造，以引入无线络。我们力图使其能够与现有系统轻松兼容。”

简便，当然。但是用户仍需要做些工作来使其起作用。虽然一些无线络设备可以自动形成它们自己的络，然而通讯不会自己到达控制室。用户必须找到一些方法，将这些数据节点引入控制体系结构中。

无线设备与关通讯，作为与有线络的接口。Honeywell Process Solutions (HPS)公司全球无线产品商业总监Jeff Becker说道：“我们通过使用Modbus、OPS或HART将信号引入控制系统。一旦它进入控制系统，它就和其他信号别无二致。不管它是有线设备还是无线设备，对于操作人员和控制系统来说都没有关系。控制系统甚至不能判断它是否是无线设备。”

标准的mA模拟量有线仪表的数据输出是连续的，所以其趋势变化形成的图表会显示出一条光滑的曲线。而无线仪表的数据是以一定的更新频率进行报告的，所以趋势图更接近于阶梯状。而操作员就能由此判断出该仪表是采用无线通讯的，当然，也有很多类型的有线设备，由于其数据传输的方式和控制系统更新HMI的频率等因素形成类似的趋势图效果。

安全性问题

集成策略的一个主要考虑方面便是无线络的安全性。如果你认为它是安全的，你更愿意直接将其引入你的控制系统。如果你比较谨慎，你可以先在路径上放置防火墙，在设备或者络和你的控制级操作之间构建安全防护措施。

HPS无线顾问Andrew Nolan说道：“最大的障碍就是安全问题。我不会说它是安全的，因为我并不认为我们能够克服这个问题。但是几乎每一个与我们沟通的用户都在考虑引入无线络，所以对于我们来说最大的问题是如何让无线络与用户们的安全体系结构协同工作，使用户们的IT部门认为这是一个安全的系统。”

安全问题，不管是实际的还是感知的，根据无线应用的种类的不同而不同。在文章旁注处讨论的两个例子反映了工业中两种主要的无线络应用：无线设备和无线以太。它们在实现方法上截然不同，对于集成和安全问题，我们必须分开考虑。

无线设备

目前的讨论多集中在无线设备上，包括带有集成变送器的设备。涉及到的两个主要标准是WirelessHART和ISA SP-100。这些协议的工作方式与单独设备与关通讯的方式类似。大多数时间，为了节省电池电源，设备本身处于睡眠模式，只有在规定的时间循环或者有任务需要汇报的时候才会苏醒。

为此而生的路十分精密，内嵌有高等级的安全性，使用编码加密，严格控制设备的络准入。相应地，对于想要通过仪器闯入络的黑客来说，它也并不容易对付。然而，如果某人想要欺骗控制系统，他也可以试图在系统中伪造一个假节点，或者试图增加一个虚假的测试。

Karschnia说道：“增加一个伪造节点并不能帮助你，因为控制系统中你的数据不被需要。但是如果你不是真正的温度点，你是否可以假装你是呢？要达到这种程度，你必须让真正的设备停止报告数据，然后将你的数据发送出去。这叫做“中间人攻击”，是一种被大家熟知的黑客攻击技术，我们针对它做了防御，令其无法进入我们的系统。安全控制工程版权所有，并不会使攻击消亡，但是我们会尽量使其不会发生。”

当仪器数据到达关，它仍未到达控制系统。有安全意识的用户可能会通过有线Modbus连接或者以太来承载数据。虽然使用无线以太的通路将会扩展无线技术的便利之处，然而，他也同时扩大了系统受到攻击的可能性。

无线以太

一些工业无线体系结构使用802.11无线以太（Wi-Fi），作为扩展有线络的方法，或者作为连接那些从无线设备处收集数据的关。（目前，还没有通过Wi-Fi通讯的独立的工业无线设备。）

Karschnia说道：用户们基本认可设备层面的通讯安全性，但是，那并不是他们唯一关心的。他说：“用户们担心的是通过工厂级无线络从关出发的802.11Wi-Fi连接，那也正是安全问题的焦点。它是基于TCP/IP的，而他们恰恰就担心这个。有很多成功使用无线络的实例。你必须确保采用了经过验证的方法，以避免出现安全问题。”

谨慎是必要的，妥善的保护并不会降低其有效性。Nolan补充道：“在无线络的起始端设置防火墙进行保护，这种方法已经成为约定俗成的标准。让其通过三级络，然后再进入控制系统。对于监控和SCADA应用，它工作良好，但是下一个跳跃是用户希望将其集成到DCS系统中，然后进入控制络。如果要那样做，就必须要设置一个独立的防火墙段，而这并非是最好的路体系结构。”

由于无线技术的很多发展都是在近期才完成的，产品和协议早已经有了内嵌的计算机安全组件。现实的问题是：是否大多数IT部门明白这一点，或者你的无线络策略是否是针对那些老式的不太安全的设备设计的？Nolan说道：“几乎任何工业无线产品供应商今天都明白，安全就是一个必选项。产品必须具备安全特性，而且这些安全特性必须有效，否则他们的产品就不会被接受。无线技术的普及并不会使安全策略更松，恰恰相反，会将当前技术的状态和如何达到安全考虑在内。这将使更多的应用深入到控制系统内部。”

当它奏效时

我为此篇文章曾经访问过一个用户，他讲述了一个不太成功的故事。他的公司在严酷的环境中，他因此尝试使用了无线以太，但是为了节省资金控制工程版权所有，决定购买家用级别的硬件。不幸的是它在现场失效了，以保证安全;电源插头务必要插牢等到他们能够将其更换成工业级别的设备时，操作人员已经重新使用起麻烦的电缆，并且对再一次尝试无线技术不再感兴趣。

当在适宜的应用中采用了合适的设备，工业无线络就能够体现其整体性，不会带来安全风险。正如Honyewell公司的Becker说道：“大多数用户认为无也就是说线设备就是另一种变送器，并没有什么大不了，那是因为他们的应用场合适宜使用无线络。如果我们建议‘在你的轿车里面安装无线络’那就是另一回事了。然而，将其安装在罐区或者为了额外测量，这些都在无线路的能力范畴之内。”

“我们希望使无线现场设备和无线系统的安装尽可能地简便。如果它实现起来都那么困难，那么实施和被接受所面临的困难将更大。但是这些困难在很久以前就已经存在了。”

所以，无线技术是否已经准备好被使用了呢？Karschnia说道：“我们花费了大量的时间确定，我们可以使其集成到系统中去，它允许我们以一种简单的方式实现，便于用户将其与任何固有的系统快速方便地配合使用。这就是技术的透明性，也是无线技术长足发展之时。”

Nolan期待所有这些技术融合的那天的到来。

“我们的系统正在忽视有线和无线I/O之间的差别。逐渐地，它们开始变得像控制系统的I/O，这距离无线技术的承诺越来越近了——让基础体系结构，不管是有线还是无线，都不再成为障碍。它简单地引入I/O，以一种更灵活更具成本效益的方式。”