近，小編的好友向小編抱怨，在外地旅游，但公司的工作又沒有人幫忙處理，還得要自己處理，這可愁壞了好友，小編說沒關系呀，我聽說中國移動有云電腦，你出門在外，只要有電腦、手機，有網絡就可以接入公司的內網，處理工作。好友聽說后十分地開心，她說要是那這樣的話，以后不管在哪里，就再也不用煩惱嘍。中國移動云電腦為用戶提供急取急用的云端Windows系統，用戶可通過多終端設備，隨時隨地接入云端系統，隨時隨地暢享，更便捷，更安全，更經濟的電腦體驗。云電腦是中國移動聯合生態合作伙伴推出的安全、便捷的云端虛擬化技術，具有集中管理、信息安全，彈性擴展，多端接等多種優勢。如果你需要臨時登錄公司內網，手機登錄云電腦，連接公司VPN，即可訪問OA系統，當你臨時需要居家辦公，手邊沒有電腦，機頂盒登錄云電腦投屏至電視，外接鼠標鍵盤，就可輕松搞定工作；孩子上網課，手機電腦屏幕小傷眼，電腦登錄云電腦，網課內容大屏顯示，保護視力，暢享互動；企業電腦運維成本高，機密數據怕泄露，使用云電腦，隨需改配更靈活，批量管控更便捷，云上數據更安全。小編好友說，那我還等什么呢，趕緊去辦一個吧！

作者 | Daymon

“

在移動人機界面（HMI）的遠程訪問和連接中如何尋求更多的網絡安全性。

”

在許多工業自動化應用中移動人機界面（HMI）訪問都是必需的。目前有兩種常用的方法——無需VPN的標準路由器和由云托管的VPN 路由器，來實現與路由器和虛擬專用網（VPN）的這種連接。

第一個是標準路由器，盡管它安全性不高，但很多現有的移動HMI 應用仍在使用，甚至有一些較新的應用也在使用。一個主要的優勢是它的成本低廉，但是并不建議使用此方法，因為在防火墻中啟用端口轉發時，它會將網絡暴露給外部威脅，因此會帶來重大的網絡安全風險。

另外一個方法是采用云托管的VPN 路由器，通過創建從本地VPN 路由器到互聯網的云托管VPN 路由器的加密連接，簡化了信息技術（IT）的復雜性。遠程用戶可以通過云托管的VPN 路由器安全地訪問本地組件和系統。這不僅降低了網絡安全風險，也簡化了配置和維護。

本文中沒有考慮使用傳統VPN 路由器實現的第三種類型的路由器連接， 是因為它涉及打開入站連接并產生類似于標準路由器所面臨的的復雜性和風險。

標準路由器

許多工業應用都采用標準路由器和防火墻用于保護公司和工廠網絡，這要求用戶手動配置和管理所有路由和防火墻設置。這種類型的路由器通常沒有VPN 來加密數據，但會在防火墻中創建端口用于轉發，以供遠程用戶訪問工廠網絡中的特定應用程序和組件。

大多數HMI 用戶都希望進行遠程和本地訪問。將便攜式計算機通常連接到HMI 網頁服務器，以監視數據并更改設置點和其它參數，或者使用編程軟件連接到HMI 進行故障排除或程序變更。

要使用標準路由器進行遠程連接，通常將端口轉發配置為允許訪問HMI 或運行遠程訪問軟件的本地PC。本地PC 為遠程用戶提供了運行HMI 編程軟件的能力。

HMI 移動應用程序還需要端口轉發，以便遠程用戶可以訪問本地HMI 來控制或查看數據。這些應用程序通常提供與基于瀏覽器的遠程訪問相同的功能，只是通過應用程序而非瀏覽器進行訪問。

這種方法的主要問題是在移動應用以及基于PC 的應用程序中的與端口轉發相關的安全風險。黑客很容易確定在防火墻上打開了哪些端口，并可通過路由器訪問公司或工廠網絡。

在公司或工廠網絡中，雖然端口轉發非常高效和有用，但在因特網和公司內網接口上使用此功能極其危險。制造企業應避免在新裝置中使用這種路由器方法，而應將現有的標準路由器裝置轉換為更安全的連接，例如云托管的VPN路由器。

云托管的VPN路由器

云托管的VPN 可通過簡單的設置和網絡配置提供安全的連接。典型的云托管VPN 選項，包括本地VPN 路由器、云托管VPN 服務器、VPN 客戶端和相互連接的自動化組件（圖1）。

▎圖1 ：A u t o m a t i o nD i r e c t 公司的StrideLinx 云托管 VPN可為筆記本電腦、智能手機和平板電腦上托管的移動HMI 應用程序提供安全連接。

在本地路由器（位于工廠/ 控制網絡）和VPN 客戶端（安裝在用戶便攜式電腦或移動設備上的軟件）分別連接到云托管VPN 服務器后，將建立安全連接。本地路由器在啟動時立即建立此連接，但VPN 客戶端僅在收到遠程用戶的驗證請求時連接。一旦兩個連接都建立起來，通過此VPN 通道的所有數據都是安全的。

大多數云托管的VPN 每月為基本運營提供免費的帶寬分配，如果在此限值之外還需要數據訪問，可以申請額外的高級帶寬計劃。例如， 一款產品每月提供5GB 的免費VPN 數據交換，可能足以滿足大多數故障排除、監控和編程的需求。

當本地路由器通過標準開放端口（例如HTTPS）經由出站連接，啟動與服務器的通信時，就會降低安全風險。這通常可以避免對公司IT 防火墻的更改，并且可以滿足IT 安全性的考慮。為了增強信心，用戶可以尋找具有行業認證的信息安全管理系統（例如ISO/IEC27001 ：2013）的云托管VPN。這表明供應商已實施了全面的安全計劃和控制措施。

云托管VPN 的另一個優勢是路由器配置簡單。由于是將安全的本地路由器連接到預定義的云服務器，因此該路由器預先配置了復雜的VPN 網絡設置，從而允許非IT 人員進行安裝。所需要做的，就是了解連接到局域網的自動化組件的IP 地址，以及因特網服務提供商（ISP）或企業范圍的網絡路由器（不是云托管的VPN路由器）是動態還是靜態提供IP地址。

其它高級選項可能包括云數據記錄和報警通知，提供HMI 功能的子集，并且比自定義編程更易于使用。這些服務允許用戶在其移動設備或便攜式電腦上，記錄系統數據并接收自定義的嚴重警報，從而在需要時提供方便的、基于網頁系統性能的歷史記錄。

基于移動應用程序的遠程訪問

越來越多地移動應用程序開始支持工業HMI 和可編程邏輯控制器（PLC）組件。通過監視和控制功能，用戶可以隨時隨地進行遠程訪問。為了安全地訪問工業設備，移動設備還必須使用VPN 技術來加密從移動設備到工廠網絡的數據。如果沒有移動VPN，將需要打開工廠的防火墻端口，從而創建與標準路由器類似的場景，并使工廠網絡容易受到網絡攻擊。

使用托管的VPN 可為筆記本電腦和移動設備提供安全的VPN 連接。后者通過完全支持VPN 的移動應用程序完成。通過移動VPN 應用安全地連接到工廠網絡后，就可以打開第三方HMI或PLC 應用，并將其連接到本地HMI 和PLC 組件，該移動用戶虛擬出現在現場，就像真的在現場一樣。

一些路由器也可以為托管的VPN 提供筆記本電腦和移動設備的連接。蘋果iOS 和谷歌安卓移動設備應用程序，為用戶提供了安全的工廠網絡連接。一些云托管的VPN 供應商還提供對基于云的數據記錄軟件的應用程序的訪問，以及用于配置自定義儀表板以進行遠程查看的小部件（圖2）。

▎圖2 ：與安全的StrideLinx VPN 路由器一起使用時，Automation Direct 的C-more HMI移動應用程序可以安全運行。它還適用于谷歌安卓系統。

這種內置的云日志記錄，對于原始設備制造商（OEM）特別有用，很多OEM 廠商在全球數百個地點安裝了數千臺機器，每個機器都有多個用戶。OEM 將為每臺機器提供一個VPN 路由器，預先配置記錄數據，并包含用于在移動應用程序上進行遠程查看的自定義儀表板。除了在智能手機或平板電腦上安裝應用程序外，OEM 客戶無需進行其它配置、安裝或維護遠程訪問軟件。

為了更廣泛地訪問儀表板，遠程用戶可以使用托管VPN 供應商提供的移動VPN，通過應用程序訪問本地HMI 和PLC。與供應商的VPN 路由器一起使用時，某些移動HMI 軟件可以更安全地工作。PC 也可以從本地安全地訪問本地設備，以進行編程、監視或故障排除。

關鍵概念：

■ 移動HMI 訪問的選項包括標準路由器和基于云的VPN 路由器連接。

■ 移動HMI 訪問需要考慮安全性。

■ 簡化訪問選項具有優勢。

思考一下：

更多的移動HMI訪問，可以幫助您更好地完成工作嗎？

著移動互聯技術的發展，越來越多的人使用智能移動終端，智能手機、平板電腦、PDA等產品，通過互聯網處理各種業務。企業員工在家或在其他地方辦公時，移動作業的應用需求也不斷增加，他們通過移動設備(如智能手機、智能平板)訪問公司內網信息，處理工作上的應用業務。因而企事業單位就提出在移動的狀態下安全接入公司內網的需求。如何使各企事業單位的出差人員，分支機構人員以及在家辦公人員能夠快速、安全地通過Internet遠程接入總部網絡，實現各種業務的遠程處理及數據交換，就是移動安全接入解決的核心問題。

移動安全接入方案概述

為滿足眾多移動用戶方便快捷地接入公司網絡的互連需求，防止用戶直接從互聯網接入導致的安全問題，解決數據在互聯網傳輸中的安全問題，天融信提供了全面的移動接入解決方案。網絡結構如圖1所示，用戶可以根據自身的網絡和業務特點選擇以下兩種方式：

·SSL VPN方式接入，針對不同的業務分別使用不同的客戶端，目前天融信VPN網關支持的客戶端有天融信自開發的Topconnect，Topbrowser，SSLVpnClient。

·IPSEC 客戶端方式接入，可以處理所有的業務數據。目前天融信VPN網關支持IOS系統系統自帶VPN中的IPSEC接入。Android系統可以支持部分手機自帶VPN的IPSEC接入，支持開源NCP軟件的IPSEC接入。

移動安全接入優勢與特點

安全的遠程連接可以通過天融信各種客戶端和VPN之間建立SSL隧道或IPSEC隧道進行。天融信可以提供一體化設備，同時支持這兩種接入方式，無需分別部署、管理獨立的設備，就能夠獲得最高的靈活性和應用接入。

采用SSL方式進行移動接入時，用戶端只需具備安裝SSL客戶端，在可以接入互聯網的任何位置，都能夠遠程訪問內網資源。發起者首先通過客戶端與VPN網關建立SSL隧道，在經過嚴格的身份認證后，用戶可根據預先分配好的訪問控制策略進行安全數據傳輸。SSL 接入方式可以處理虛擬應用、虛擬桌面、OA、WEB等大部分應用訪問。SSL VPN可以提供完整的身份認證、數據加密、Session保護、歷史信息清除等安全功能。

IPSEC 接入方式具備完善的遠程接入功能，能夠完全訪問公司內網資源。利用IPSEC，用戶可以訪問任何應用，就好像自己與總部局域網建立了實際連接。而IPSEC協議眾多的安全特性也保證了采用該方式進行接入時數據的安全性。

移動安全接入的優勢可總結為以下幾個方面：

·擴展企業網絡和應用

采用移動安全接入可以顯著擴展企業的網絡邊界和應用服務范圍，極大提高生產效率。如OA、ERP、財務、內部郵件遠程擴展等業務系統提供一個安全的網絡互聯平臺。

·提供隨時隨地的移動安全接入

天融信移動安全接入方案提供了多種靈活的接入方式，即：基于SSL以及IPSEC 協議的VPN接入，只要Internet能夠到達的地方即可進行遠程接入。同時，基于標準SSL和IPSEC協議的認證、強加密等屬性也保證了數據在傳輸過程中不被竊取和篡改，在連接的用戶認證、應用資源訪問控制、用戶流量審計等方面均具備相應的安全措施。

·提供SSL與IPSEC 一體化網關，應用更靈活

天融信可提供一體化的網關設備，同時支持SSL與IPSEC兩種接入方式，吸收最主流的IPSec VPN和SSL VPN 各自的優點，使得用戶在擁有一臺設備的同時擁有更廣泛的功能，可自主選擇更適用的方式。

移動安全產品

天融信安全移動接入方案中IPSEC接入客戶端主要使用的是智能終端系統自帶的VPN，這里不進行介紹。SSL VPN方式接入主要使用的是天融信自開發的Topbrowser，Topconnect，SSLVpnClient。對于天融信自開發的SSL VPN不同的接入方式，可應用于不同的應用場景。

TopBrowser，是將瀏覽器、SOCKS5代理服務器和SSLVPN端口轉發模塊相結合，實現基于SSLVPN的安全瀏覽器。該產品基于SSLVPN端口轉發功能，為用戶提供內置VPN的安全瀏覽器客戶端。該APP支持iOS和Android系統。支持國密協議、國密算法和專用國密硬件Key，支持用戶名口令、證書、雙因子、硬件證書、硬件證書雙因子、圖形認證碼、短信認證碼的認證方式。該APP接入只適用于B/S系統的應用訪問，如，如CRM、OA、ERP等。

TopConnect，天融信SSL VPN設備的TopConnect功能和終端服務器搭建移動辦公平臺，通過遠程發布Windows應用的形式，將辦公系統延伸到個人PC或智能終端上，通過如個人PC、iPad、iPhone、Android等平板電腦或智能手機實現遠程便捷辦公，TopConnect將數據保存在終端服務器上，只有鼠標鍵盤點擊的控制信息和屏幕更新經過網絡傳輸，TopConnect讓管理員可以為指定的用戶群分配應用訪問。用戶的各種終端通過天融信SSL VPN接入業務數據中心，可以實現跨平臺的快速訪問，為用戶提供與桌面操作系統一致的用戶體驗。該APP支持iOS和Android系統。支持國密協議、國密算法和專用國密硬件Key，支持用戶名口令、證書、雙因子、硬件證書、硬件證書雙因子、圖形認證碼、短信認證碼的認證方式。

SSLVpnClient，是SSLVPN全網接入方式的移動VPN客戶端。該產品基于SSLVPN全網接入功能，為用戶提供內置VPN的全網接入客戶端。該APP只支持Android系統。支持國密協議、國密算法和專用國密硬件Key，支持用戶名口令、證書、雙因子、硬件證書、硬件證書雙因子、圖形認證碼、短信認證碼的認證方式。該APP接入不僅適用于B/S系統的應用訪問，還適用于C/S系統的應用訪問。