工業網路應用實務：如何強化鐵道系統及IP影像監控的安全與可靠

裝置綁定(Device Binding)。

鐵道交通系統與影像監視系統是很多已開發及開發中國家的重要技術，精心打造的高速鐵道基礎設施可為整個國家帶來快速的經濟成長。另一方面，影像監視系統是必要的視覺監視工具，使我們社會的治安，效率，及生產力達到最理想的境界。在2種不同的應用領域上，工業等級的網路架構提供迫切需要的效能，使其能正確並不間斷的處理龐大的即時交通與監控資訊。

可是對於鐵道交通系統與影像監視系統來說，工業等級的網路架構會遇到2個挑戰─鐵道交通的網路定點故障(停電或其他因素引起)與 IP影像監視系統 遭受駭客攻擊。當網路定點故障(尤其是2個以上的網路定點)在高速行駛的火車上發生時，往往會來不及修復這些問題點，且此時會有關鍵任務的資訊需要即時經過這些問題點。另一方面，若網路沒有一個安全可靠的防護科技機制，駭客可輕易的闖入基於IP影像監視系統的網路並發動DDoS攻擊，淹沒整個監視系統網路架構，並在此時隨心所欲的、不被人發現的囂張犯案。

針對以上鐵路安全監控問題，可以透過實體繞過問題定點的Hardware Bypass(硬體繞路)與主動防護駭客攻擊的Device Binding(裝置綁定)來獲得解決。

Hardware Bypass(硬體繞路)：有效的網路繞行來跳過單點或多點的網路停電故障。冗餘技術對網路架構來說是很重要的，當一個定點故障時，系統很快的找到另一個路徑讓網路再度運作。可是，當環網架構有2個以上的定點故障，或是只要1個菊花鏈網架構定點故障時，網路連線就無法修復，直到定點問題解決為止。

Hardware Bypass(硬體繞路)技術可有效使網路連線成功繞過菊花鏈網架構中單個定點故障，亦成功繞過環網架構2個以上的定點故障。Copper Interface Bypass(銅線介面繞路)是為傳統乙太網路接線而設計的。威力工業網路具有Copper Interface Bypass的交換機就配有2個可作為繞路用途的連接埠，在正常情形下，這2個連接埠與一般連接埠相同；然而，當停電發生時，內建繞路線路則將這2個特殊連接埠連接起來，有效的讓網路訊號成功通過這停電而無法運作的乙太網交換機。

光纖硬體繞路解決方案具有Optical Interface Bypass的光纖繞路交換機，在正常情形下，光纖繞路交換機將傳輸資料從網路光纖埠指引到監控光纖埠，當停電發生時，來自網路光纖埠的網路傳輸資料交通則直接被指引到另一個網路光纖埠，同時來自監控光纖埠的網路傳輸資料交通則直接被指引到另一個監控光纖埠。除此之外，光纖繞路交換機具有relay輸出，來對其他裝置發佈停電警告。

Device Binding (裝置綁定)：結合特定裝置與指定乙太網連接埠作主動網路保護及健康檢查。裝置綁定(Device Binding)技術有效將特定裝置的IP/MAC地址與指定乙太網連接埠作堅固的結合。若連接到某乙太網連接埠的裝置的IP/MAC地址不符合此連接埠的綁定資訊，此裝置則會被封鎖以策安全。另外，綁定的裝置亦得到一些主動網路保護及維護工具的益處—alive checking(存活檢查)、streaming check(串流檢查)與DoS/DDoS主動預防機制。

裝置綁定(Device Binding)能主動阻擋駭客攻擊並確保所有綁定裝置的健康運作，因此在工業級的網路應用上，可透過網管軟體套件，像是威力工業網絡提供的應用技術，可使駭客企圖蓄意破壞的定點及被攻擊的網路裝置，都以視覺的方式顯示在網管軟體套件的網路架構圖上，讓管理者清楚知道遭受攻擊的網路裝置，才能以較快的時間完成修復，讓系統持續安全運作。(本文由威力工業網絡提供，黃愷橙整理)