對于所有工業(yè)網(wǎng)絡(luò)來講，不管是有線的或者是無線的，安全問題正在獲得越來越多的關(guān)注，但是由于無線數(shù)據(jù)在空中傳輸，因此會產(chǎn)生一些特殊的關(guān)注點(diǎn)。比如，經(jīng)常會有類似這樣的問題，“我的信息真的安全嗎？”或者“這和有線網(wǎng)絡(luò)一樣安全嗎？” 如果在系統(tǒng)的規(guī)劃階段，能夠?qū)⒏鞣N因素考慮周全，確保其盡可能的安全，那么無線網(wǎng)絡(luò)也可以和有線網(wǎng)絡(luò)一樣安全。 　　構(gòu)建一個安全的無線網(wǎng)絡(luò) 　　在考察無線網(wǎng)絡(luò)平臺時，除了從安全方面，還應(yīng)從靈活性、功能以及未來的擴(kuò)展性等方面對產(chǎn)品進(jìn)行全面的考察，這一點(diǎn)非常重要。能否對無線網(wǎng)絡(luò)進(jìn)行變更，取決于系統(tǒng)是基于開放還是專有的標(biāo)準(zhǔn)。開放的無線網(wǎng)絡(luò)標(biāo)準(zhǔn)，比如Wi-Fi 或藍(lán)牙，運(yùn)行在開放的標(biāo)準(zhǔn)之上，任何人都可以使用該標(biāo)準(zhǔn)。利用谷歌，簡單的搜索一下如何攻擊Wi-Fi網(wǎng)絡(luò)，就可以找到數(shù)以百萬計的搜索結(jié)果。 　　專有無線系統(tǒng)，只能與來自于同一個生產(chǎn)廠家的設(shè)備進(jìn)行通訊，具有內(nèi)置的安全防護(hù)層。對于入侵者來講，學(xué)習(xí)這些設(shè)備的相關(guān)知識要困難，因?yàn)榈谌皆O(shè)備沒有連接到那些特定網(wǎng)絡(luò)上。 　　然而，在很多應(yīng)用場合，由于反向兼容性或互操作性等原因，公共無線網(wǎng)絡(luò)有時也是一種更好的選擇。由于這些技術(shù)是公開的，因此被廣泛理解，易于安裝。一個Wi-Fi網(wǎng)絡(luò)，可以有多個由不同廠家生產(chǎn)的設(shè)備，彼此之間相互通訊。然而，事情總是兩面的，如果某人動機(jī)不純，那么“廣泛理解”就是一個缺點(diǎn)。同樣的，通過選擇適當(dāng)?shù)募夹g(shù)并充分利用智能的安裝實(shí)踐，就可以大大降低非預(yù)期網(wǎng)絡(luò)通訊故障發(fā)生的幾率。

圖1

　　圖1：很多工廠，通過Wi-Fi 和藍(lán)牙將筆記本電腦和智能手機(jī)接入到工藝流程中。這樣，使用者就可以更容易進(jìn)行互動，但是如果沒有適當(dāng)?shù)念A(yù)防措施，這樣做就是為網(wǎng)絡(luò)攻擊打開了大門。

　　確保無線網(wǎng)絡(luò)的安全 　　1. 加密。加密獲取數(shù)據(jù)后，利用密鑰來使數(shù)據(jù)不可讀，然后再進(jìn)行網(wǎng)絡(luò)傳輸。如果某人在網(wǎng)絡(luò)上進(jìn)行“竊聽”，即使入侵者獲得數(shù)據(jù)，也沒有任何意義。加密可以分成不同的等級，包括有線等效加密(WEP)、無線網(wǎng)絡(luò)安全存取(WPA)以及 WPA2。 　　盡管它們都是某種形式的加密，但是WEP和WPA都比較容易被破解。WPA2利用先進(jìn)加密標(biāo)準(zhǔn)（AES）來進(jìn)行加密，為無線網(wǎng)絡(luò)提供了最高等級的安全保護(hù)?，F(xiàn)在，即使WPA2也有被攻破的可能，但是與其它類型的最優(yōu)實(shí)踐結(jié)合起來，可以降低被攻破的風(fēng)險。 　　2. 授權(quán)。授權(quán)就是為自己網(wǎng)絡(luò)上的所有人定義角色，并確定權(quán)限范圍。網(wǎng)絡(luò)會問你，“你是該網(wǎng)絡(luò)的一份子嗎？如果是，那么你能和哪個層級通訊？” 　　權(quán)限范圍變化很大，從對網(wǎng)絡(luò)有安全的控制權(quán)、到只能接觸某些特定設(shè)備，不一而足。例如：生產(chǎn)線網(wǎng)絡(luò)上可能存儲所有的保密信息，只有特定的使用者才具有接入權(quán)限。而客戶網(wǎng)絡(luò)則對所有希望接入該網(wǎng)絡(luò)的用戶開放。

　　3. 縱深防御。一個無線網(wǎng)絡(luò)，即使具有最高等級的加密和授權(quán)，它仍可能是不安全的。對整個網(wǎng)絡(luò)采用縱深防御措施（無論是在有線還是無線側(cè)）意味著可以實(shí)施以下步驟： 　　■ 限制發(fā)射功率：考慮無線系統(tǒng)所使用的環(huán)境和應(yīng)用。大多數(shù)無線設(shè)施都可以配置發(fā)射功率。如果應(yīng)用范圍較小，則可以考慮降低發(fā)射功率，這樣在規(guī)定的區(qū)域之外，使其網(wǎng)絡(luò)ID不可見。 　　■ 在必要的地方安裝防火墻，并采取其它措施來限制網(wǎng)絡(luò)接入：嚴(yán)格來講，大多數(shù)網(wǎng)絡(luò)設(shè)備都是某種數(shù)據(jù)管道。盡管某些設(shè)備確實(shí)安裝了防火墻和路由功能，但其實(shí)很多只是提供了一個數(shù)據(jù)通道。如果在主要無線網(wǎng)絡(luò)設(shè)備的有線側(cè)安裝硬件防火墻，這樣就可以為網(wǎng)絡(luò)提供保護(hù)，因?yàn)楫?dāng)有些人接入無線網(wǎng)絡(luò)、或者遠(yuǎn)程接入有線網(wǎng)絡(luò)時，它可以提供額外的保護(hù)層。 　　■ 執(zhí)行嚴(yán)格的密碼和移動存儲政策：任何無線系統(tǒng)的完整性，都會隨著其保護(hù)政策的增強(qiáng)而增強(qiáng)。強(qiáng)密碼的實(shí)施需求（不要使用“password”，系統(tǒng)默認(rèn)密碼或者你家小狗的名字作為你的密碼），要求周期性地修改密碼，并且嚴(yán)格限制對網(wǎng)絡(luò)設(shè)備物理端信息口的獲取。 　　■ IT部門和工廠部門之間的良好溝通：由于設(shè)備相互連接，這樣也就使得工廠車間和IT部門也就有了聯(lián)系。兩個部門之間的定時溝通，彼此之間就能相互了解在各自領(lǐng)域正在發(fā)生的事情，這樣兩個部門就可以更順利的集成在一起。舉個例子：如果工廠車間想要在庫房安裝一個Wi-Fi系統(tǒng)，IT部門就可以提供能夠使用的通訊頻道，從而確保通信盡可能的可靠。還有非常重要的一點(diǎn)是，人員發(fā)生變動時，也需要及時溝通。如果員工離開公司，非常關(guān)鍵的一點(diǎn)就是要盡快更改網(wǎng)絡(luò)密碼，以避免從公司外部非法登錄。 　　工業(yè)網(wǎng)絡(luò)遭到破壞的后果包括停機(jī)、生產(chǎn)暫停、環(huán)境問題，甚至對工廠的形象造成損壞?；ㄙM(fèi)一定的時間，來考慮多種選擇，最后制定決策，盡可能的確保網(wǎng)絡(luò)的安全，這一點(diǎn)非常重要。大多數(shù)生產(chǎn)制造商提供培訓(xùn)、技術(shù)支持以及無線產(chǎn)品的白皮書等等，從而可以對現(xiàn)有的安全選項(xiàng)進(jìn)行評估?，F(xiàn)在，是時候采取確保工業(yè)網(wǎng)絡(luò)安全的措施來應(yīng)對下次攻擊。 　　“一個無線網(wǎng)絡(luò)，即使具有最高等級的加密和授權(quán)，它仍可能是不安全的，所以對整個網(wǎng)絡(luò)采用縱深防御措施，無論是有線還是無線都是大有裨益的?！?/p>