在許多工業(yè)自動(dòng)化應(yīng)用中移動(dòng)人機(jī)界面（HMI）訪問都是必需的。目前有兩種常用的方法——無需VPN的標(biāo)準(zhǔn)路由器和由云托管的VPN路由器，來實(shí)現(xiàn)與路由器和虛擬專用網(wǎng)（VPN）的這種連接。

　　第一個(gè)是標(biāo)準(zhǔn)路由器，盡管它安全性不高，但很多現(xiàn)有的移動(dòng)HMI應(yīng)用仍在使用，甚至有一些較新的應(yīng)用也在使用。一個(gè)主要的優(yōu)勢(shì)是它的成本低廉，但是并不建議使用此方法，因?yàn)樵诜阑饓χ袉⒂?a target="_blank">端口轉(zhuǎn)發(fā)時(shí)，它會(huì)將網(wǎng)絡(luò)暴露給外部威脅，因此會(huì)帶來重大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

　　另外一個(gè)方法是采用云托管的VPN路由器，通過創(chuàng)建從本地VPN路由器到互聯(lián)網(wǎng)的云托管VPN路由器的加密連接，簡(jiǎn)化了信息技術(shù)（IT）的復(fù)雜性。遠(yuǎn)程用戶可以通過云托管的VPN路由器安全地訪問本地組件和系統(tǒng)。這不僅降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，也簡(jiǎn)化了配置和維護(hù)。

　　本文中沒有考慮使用傳統(tǒng)VPN路由器實(shí)現(xiàn)的第三種類型的路由器連接，是因?yàn)樗婕按蜷_入站連接并產(chǎn)生類似于標(biāo)準(zhǔn)路由器所面臨的的復(fù)雜性和風(fēng)險(xiǎn)。

　　圖1：AutomationDirect公司的StrideLinx云托管VPN可為筆記本電腦、智能手機(jī)和平板電腦上托管的移動(dòng)HMI應(yīng)用程序提供安全連接。

　　標(biāo)準(zhǔn)路由器

　　許多工業(yè)應(yīng)用都采用標(biāo)準(zhǔn)路由器和防火墻用于保護(hù)公司和工廠網(wǎng)絡(luò)，這要求用戶手動(dòng)配置和管理所有路由和防火墻設(shè)置。這種類型的路由器通常沒有VPN來加密數(shù)據(jù)，但會(huì)在防火墻中創(chuàng)建端口用于轉(zhuǎn)發(fā)，以供遠(yuǎn)程用戶訪問工廠網(wǎng)絡(luò)中的特定應(yīng)用程序和組件。

　　大多數(shù)HMI用戶都希望進(jìn)行遠(yuǎn)程和本地訪問。將便攜式計(jì)算機(jī)通常連接到HMI網(wǎng)頁服務(wù)器，以監(jiān)視數(shù)據(jù)并更改設(shè)置點(diǎn)和其它參數(shù)，或者使用編程軟件連接到HMI進(jìn)行故障排除或程序變更。

　　要使用標(biāo)準(zhǔn)路由器進(jìn)行遠(yuǎn)程連接，通常將端口轉(zhuǎn)發(fā)配置為允許訪問HMI或運(yùn)行遠(yuǎn)程訪問軟件的本地PC。本地PC為遠(yuǎn)程用戶提供了運(yùn)行HMI編程軟件的能力。

　　HMI移動(dòng)應(yīng)用程序還需要端口轉(zhuǎn)發(fā)，以便遠(yuǎn)程用戶可以訪問本地HMI來控制或查看數(shù)據(jù)。這些應(yīng)用程序通常提供與基于瀏覽器的遠(yuǎn)程訪問相同的功能，只是通過應(yīng)用程序而非瀏覽器進(jìn)行訪問。

　　這種方法的主要問題是在移動(dòng)應(yīng)用以及基于PC的應(yīng)用程序中的與端口轉(zhuǎn)發(fā)相關(guān)的安全風(fēng)險(xiǎn)。黑客很容易確定在防火墻上打開了哪些端口，并可通過路由器訪問公司或工廠網(wǎng)絡(luò)。

　　在公司或工廠網(wǎng)絡(luò)中，雖然端口轉(zhuǎn)發(fā)非常高效和有用，但在因特網(wǎng)和公司內(nèi)網(wǎng)接口上使用此功能極其危險(xiǎn)。制造企業(yè)應(yīng)避免在新裝置中使用這種路由器方法，而應(yīng)將現(xiàn)有的標(biāo)準(zhǔn)路由器裝置轉(zhuǎn)換為更安全的連接，例如云托管的VPN路由器。

　　云托管的VPN路由器

　　云托管的VPN可通過簡(jiǎn)單的設(shè)置和網(wǎng)絡(luò)配置提供安全的連接。典型的云托管VPN選項(xiàng)，包括本地VPN路由器、云托管VPN服務(wù)器、VPN客戶端和相互連接的自動(dòng)化組件（圖1）。

　　在本地路由器（位于工廠/控制網(wǎng)絡(luò)）和VPN客戶端（安裝在用戶便攜式電腦或移動(dòng)設(shè)備上的軟件）分別連接到云托管VPN服務(wù)器后，將建立安全連接。本地路由器在啟動(dòng)時(shí)立即建立此連接，但VPN客戶端僅在收到遠(yuǎn)程用戶的驗(yàn)證請(qǐng)求時(shí)連接。一旦兩個(gè)連接都建立起來，通過此VPN通道的所有數(shù)據(jù)都是安全的。

　　大多數(shù)云托管的VPN每月為基本運(yùn)營提供免費(fèi)的帶寬分配，如果在此限值之外還需要數(shù)據(jù)訪問，可以申請(qǐng)額外的高級(jí)帶寬計(jì)劃。例如，一款產(chǎn)品每月提供5GB的免費(fèi)VPN數(shù)據(jù)交換，可能足以滿足大多數(shù)故障排除、監(jiān)控和編程的需求。

　　當(dāng)本地路由器通過標(biāo)準(zhǔn)開放端口（例如HTTPS）經(jīng)由出站連接，啟動(dòng)與服務(wù)器的通信時(shí)，就會(huì)降低安全風(fēng)險(xiǎn)。這通?？梢员苊鈱?duì)公司IT防火墻的更改，并且可以滿足IT安全性的考慮。為了增強(qiáng)信心，用戶可以尋找具有行業(yè)認(rèn)證的信息安全管理系統(tǒng)（例如ISO/IEC27001：2013）的云托管VPN。這表明供應(yīng)商已實(shí)施了全面的安全計(jì)劃和控制措施。

　　云托管VPN的另一個(gè)優(yōu)勢(shì)是路由器配置簡(jiǎn)單。由于是將安全的本地路由器連接到預(yù)定義的云服務(wù)器，因此該路由器預(yù)先配置了復(fù)雜的VPN網(wǎng)絡(luò)設(shè)置，從而允許非IT人員進(jìn)行安裝。所需要做的，就是了解連接到局域網(wǎng)的自動(dòng)化組件的IP地址，以及因特網(wǎng)服務(wù)提供商（ISP）或企業(yè)范圍的網(wǎng)絡(luò)路由器（不是云托管的VPN路由器）是動(dòng)態(tài)還是靜態(tài)提供IP地址。

　　其它高級(jí)選項(xiàng)可能包括云數(shù)據(jù)記錄和報(bào)警通知，提供HMI功能的子集，并且比自定義編程更易于使用。這些服務(wù)允許用戶在其移動(dòng)設(shè)備或便攜式電腦上，記錄系統(tǒng)數(shù)據(jù)并接收自定義的嚴(yán)重警報(bào)，從而在需要時(shí)提供方便的、基于網(wǎng)頁系統(tǒng)性能的歷史記錄。

　　圖2：與安全的StrideLinxVPN路由器一起使用時(shí)，AutomationDirect的C-moreHMI移動(dòng)應(yīng)用程序可以安全運(yùn)行。它還適用于谷歌安卓系統(tǒng)。

　　基于移動(dòng)應(yīng)用程序的遠(yuǎn)程訪問

　　越來越多地移動(dòng)應(yīng)用程序開始支持工業(yè)HMI和可編程邏輯控制器（PLC）組件。通過監(jiān)視和控制功能，用戶可以隨時(shí)隨地進(jìn)行遠(yuǎn)程訪問。為了安全地訪問工業(yè)設(shè)備，移動(dòng)設(shè)備還必須使用VPN技術(shù)來加密從移動(dòng)設(shè)備到工廠網(wǎng)絡(luò)的數(shù)據(jù)。如果沒有移動(dòng)VPN，將需要打開工廠的防火墻端口，從而創(chuàng)建與標(biāo)準(zhǔn)路由器類似的場(chǎng)景，并使工廠網(wǎng)絡(luò)容易受到網(wǎng)絡(luò)攻擊。

　　使用托管的VPN可為筆記本電腦和移動(dòng)設(shè)備提供安全的VPN連接。后者通過完全支持VPN的移動(dòng)應(yīng)用程序完成。通過移動(dòng)VPN應(yīng)用安全地連接到工廠網(wǎng)絡(luò)后，就可以打開第三方HMI或PLC應(yīng)用，并將其連接到本地HMI和PLC組件，該移動(dòng)用戶虛擬出現(xiàn)在現(xiàn)場(chǎng)，就像真的在現(xiàn)場(chǎng)一樣。

　　一些路由器也可以為托管的VPN提供筆記本電腦和移動(dòng)設(shè)備的連接。蘋果iOS和谷歌安卓移動(dòng)設(shè)備應(yīng)用程序，為用戶提供了安全的工廠網(wǎng)絡(luò)連接。一些云托管的VPN供應(yīng)商還提供對(duì)基于云的數(shù)據(jù)記錄軟件的應(yīng)用程序的訪問，以及用于配置自定義儀表板以進(jìn)行遠(yuǎn)程查看的小部件（圖2）。

　　這種內(nèi)置的云日志記錄，對(duì)于原始設(shè)備制造商（OEM）特別有用，很多OEM廠商在全球數(shù)百個(gè)地點(diǎn)安裝了數(shù)千臺(tái)機(jī)器，每個(gè)機(jī)器都有多個(gè)用戶。OEM將為每臺(tái)機(jī)器提供一個(gè)VPN路由器，預(yù)先配置記錄數(shù)據(jù)，并包含用于在移動(dòng)應(yīng)用程序上進(jìn)行遠(yuǎn)程查看的自定義儀表板。除了在智能手機(jī)或平板電腦上安裝應(yīng)用程序外，OEM客戶無需進(jìn)行其它配置、安裝或維護(hù)遠(yuǎn)程訪問軟件。

　　為了更廣泛地訪問儀表板，遠(yuǎn)程用戶可以使用托管VPN供應(yīng)商提供的移動(dòng)VPN，通過應(yīng)用程序訪問本地HMI和PLC。與供應(yīng)商的VPN路由器一起使用時(shí)，某些移動(dòng)HMI軟件可以更安全地工作。PC也可以從本地安全地訪問本地設(shè)備，以進(jìn)行編程、監(jiān)視或故障排除。