HMI,OI

选择HMI远程访问选项

目前有两种领先的方法来建立移动人机界面(HMI)连接;一个是提供更多的网络安全。参见远程访问HMI连接比较表。

乔纳森格里菲斯 2019年9月20日
礼貌:自动化指导

对于许多工业自动化应用来说,移动人机界面(HMI)访问是必需的,有两种典型的方法来实现路由器和虚拟专用网(vpn)的连接:

  • 没有VPN的标准路由器
  • 云托管的VPN路由器。

第一个是标准路由器,虽然它不安全,但它仍然在许多现有的移动HMI应用程序中使用,甚至在某些较新的应用程序中。主要吸引力是其低成本,但这种方法是气馁,因为当在防火墙中启用了端口转发时它会带来显着的网络安全风险,因为这将网络暴露于外部威胁。

云托管的VPN路由器通过互联网创建一个从本地VPN路由器到云托管VPN路由器的加密连接,从而简化了信息技术(IT)的复杂性。远程用户可以通过云托管的VPN路由器安全地访问本地组件和系统。这个选项提供了高度的网络安全,以及更简单的配置和维护。

由于部署此类连接的复杂性,此处不考虑具有传统VPN路由器实现的第三种路由器连接。它涉及打开入站连接,并创建类似于标准路由器实现的并发症和风险。

为了评估移动HMI的两种类型的远程访问,从笔记本电脑,智能手机或平板电脑访问,请参阅概述差异的表。

表比较远程访问HMI连接

标准路由器 云托管VPN Router.
HMI从笔记本电脑编程 不安全 安全
3.rd.派对移动应用支持 由于端口转发而不安全 通过移动VPN保护
安全风险 - 笔记本电脑 高的
安全风险-移动 高的
更改现有防火墙 必需的 不需要,虽然可能需要出站规则
外部成本
最初的 中等的
维持 带宽依赖
需要技术专长 中等的
数据仪表板,警报 通常不可用 通过订阅可用

标准路由器

在许多工业应用中,标准路由器和防火墙用于保护公司和工业设备网络(图1),要求用户手动配置和管理所有路由和防火墙设置。这种类型的路由器通常不具有vpn来加密数据,但它在防火墙中创建端口转发“孔”以获取远程用户的特定应用程序和组件。

图1:由于网络安全风险,不建议使用标准路由器远程访问本地自动化组件。礼貌:自动化指导

图1:由于网络安全风险,不建议使用标准路由器远程访问本地自动化组件。礼貌:自动化指导

大多数HMI用户想要相同级别的访问,无论是远程还是本地。笔记本电脑通常连接到HMI web服务器,用于监控数据和更改设定点和其他参数,或者通过编程软件连接到HMI,以排除故障或进行程序更改。

要使用标准路由器远程连接,端口转发通常配置为允许访问HMI,或运行远程访问软件的本地PC。本地PC为远程用户提供运行HMI编程软件的能力。

HMI移动应用程序还需要端口转发,因此远程用户可以访问本地HMI以进行控制或查看数据。这些应用程序通常提供与基于浏览器的远程访问相同的功能,而是通过应用程序而不是浏览器提供相同的功能。

这种方法的主要问题是与移动和基于PC的应用程序中的端口转发相关的安全风险。对于黑客来说,很容易确定防火墙上打开哪些端口,从而通过路由器增加对公司或工厂网络的入口。

虽然在公司或工厂网络完成时端口转发可能非常有效,并且有用,但在Internet-Corporate界面中使用此功能非常危险。组织应避免此路由器方法进行新安装,并应将现有的标准路由器安装转换为更安全的连接,例如云托管的VPN路由器。

云托管的VPN路由器

云托管的vpn通过简单的设置和网络配置提供了安全连接。典型的云托管VPN选项包括本地VPN路由器、云托管VPN服务器、VPN客户端和连接的自动化组件(图2)。

图2:AutomationDirect的StridelinX云托管VPN为移动HMI应用程序提供安全的HMI应用程序,托管在笔记本电脑,智能手机和平板电脑上。礼貌:自动化指导

图2:AutomationDirect的StridelinX云托管VPN为移动HMI应用程序提供安全的HMI应用程序,托管在笔记本电脑,智能手机和平板电脑上。礼貌:自动化指导

本地路由器(工厂/控制网络)和VPN客户端(安装在用户笔记本电脑或移动设备上的软件)分别连接到云托管的VPN服务器后,就建立了安全连接。本地路由器在启动时立即建立此连接,但VPN客户端只有在验证了远程用户的请求后才进行连接。一旦建立了两个连接,通过这个VPN隧道的所有数据都是安全的。

大多数云托管的VPN为基本操作提供了免费的每月带宽分配,然后达到此分配后,节气门数据访问,并提供额外带宽的高级计划。

例如,一个产品每月提供5GB的免费VPN数据交换,这足以满足大多数故障排除、监控和编程需求。当本地路由器通过标准开放端口(如HTTPS)通过出站连接向服务器发起通信时,安全风险就降低了。这通常不需要更改企业IT防火墙,并满足IT安全问题。为了增加安全信心,用户应该寻找具有行业认证的信息安全管理系统(如ISO/IEC 27001:2013)的云托管vpn。这表明供应商实施了全面的安全计划和控制。

简单的路由器配置

云托管VPN的另一个优点是简单的路由器配置。由于安全本地路由器(图3)将连接到预定义的云服务器,因此路由器预先配置了复杂的VPN网络设置,允许非IT人员安装它。所需的所有都是了解连接到局域网的自动化组件的IP地址,以及Internet服务提供商(ISP)或公司范围的区域网络路由器(不是云托管的VPN路由器),动态或静态地提供IP地址。

其他高级选项可能包括云数据记录和警报通知,它提供了HMI功能的子集,并且比自定义编程更易于使用。这些服务允许用户记录系统数据并在其移动设备或笔记本电脑上接收定制的严重警报,提供方便,基于网络的基于网络性能的历史记录。

基于移动应用程序的远程访问

移动应用程序越来越多地支持工业HMI和可编程逻辑控制器(PLC)组件。这为用户随时随地随时随地提供了远程访问,监控和控制功能。为了安全地访问工业设备,移动设备还必须采用VPN技术将数据从移动设备加密到工厂网络。没有移动VPN,需要打开工厂的防火墙端口,为标准路由器创建类似的场景,并将植物网络易受网络攻击。

图3:这些自动化Direct Stridelinx VPN路由器提供基于云的连接,简化实现所需的预配置功能。它们每月包括5GB的免费VPN数据交换,足以用于最疑难解答,监控和编程需求。礼貌:自动化指导

图3:这些自动化Direct Stridelinx VPN路由器提供基于云的连接,简化实现所需的预配置功能。它们每月包括5GB的免费VPN数据交换,足以用于最疑难解答,监控和编程需求。礼貌:自动化指导

使用托管VPN为笔记本电脑和移动设备提供了安全的VPN连接;后者是通过一个完全支持的移动应用程序与VPN。一旦通过移动VPN应用程序安全地连接到工厂网络,第三方HMI或PLC应用程序就可以打开并连接到本地HMI和PLC组件,就像移动用户在现场一样,因为用户是虚拟的。

某些路由器提供带有用于笔记本电脑和移动设备的连接的托管VPN。Apple IOS和Google Android移动设备应用程序可用,为用户提供与工厂网络的安全连接。

基于应用的Action访问权限

一些云托管的VPN供应商还提供基于应用的访问到云中运行的数据记录软件,以及用于将要远程查看的自定义仪表板的小部件(图4)。

这种内置的云日志记录对于原始设备制造(OEM)机器制造商尤其有效,因为它们在全球数百个地点安装了数千台机器,每个机器都有多个用户。OEM会为每台机器提供VPN路由器,预先配置的日志数据,包括自定义仪表板遥视的手机应用程序,没有努力需要OEM客户的配置、安装或维护远程访问软件——除了在智能手机或平板电脑上安装一个应用程序。

图4:AutomationDirect的C-more HMI移动应用程序与安全的StrideLinx VPN路由器一起使用时工作安全。谷歌Android也可以使用。礼貌:自动化指导

图4:AutomationDirect的C-more HMI移动应用程序与安全的StrideLinx VPN路由器一起使用时工作安全。谷歌Android也可以使用。礼貌:自动化指导

为了超越仪表板的更全面的访问,远程用户可以通过使用托管VPN供应商提供的移动VPN访问本地HMIS和PLC。例如,一些移动HMI软件在与特定于供应商的VPN路由器结合使用时牢固地工作。本地设备也可以通过PC远程访问,用于编程,监视或故障排除。

基于云的VPN安全性

通过移动设备和笔记本电脑访问本地HMIS和自动化系统是许多OEM和其他公司的必要条件。使用云托管的VPN可在安全系统中提供此访问,安装,配置和维护简单。

乔纳森·格里菲思工业通信和电源产品经理在吗AutomationDirect。由Mark T. Hoske,Content Manager编辑,控制工程《媒体mhoske@cfemedia.com.

关键词:移动HMI,安全VPN监控

移动HMI接入选项包括标准路由器,基于云的VPN路由器,或创建入站连接。

存在安全风险使用标准路由器和入站连接。

更简单的选项有优势。

考虑一下这一点

可以更多移动HMI访问可帮助您更好地完成工作吗?


乔纳森·格里菲思
作者生物:Jonathan Griffith是AutomationDirect的工业通信和电源的产品经理。在2015年加入AutomationDirect之前,他于2002年到2014年的Anadigics工作,Wi-Fi网络公司。Jonathan举办了一个MBA,曼德省和BSEE,来自佐治亚州理工学院。