5X00300G02 5X00301G01
为了提供统一的授权管理,RBAC工具应该能与令牌、数字证书、目录或保护智能设备的其他授权机制一起工作。RBAC工具对IT领域多数流行平台的授权机制提供接口。然而,老IACS系统或专用的IACS装置需要专用接口软件的开发。对多系统的软件开发可能带来大量工作,这是妨碍多个公司用企业网络实施单一签名功能的**原因。对于使用很多专有操作系统或定制操作系统的工业控制系统,实施和接口这是个大问题。
依靠公司广域网和一些中心RBAC 服务器的健康和可用性,集中式RBAC策略具有实施访问控制系统的潜力。然而,集中式RBAC增加了故障点,可能会影响IACS的可用性。使用RBAC的另一个问题是:它是个相对新的方法论,它的收益和应用至今没有很好理解。同样,一些IACS架构现在不支持这种方法论。
当这项技术报告发布的时候,编写工作组不知道有广泛的RBAC工具,专门开发用于工业控制系统。特别是,没有一种统一授权控制系统中多家产品的工具。然而,一些装置供应商提供部分产品集中授权工具,诸如访问控制器的应用程序。
在工业环境使用的协议需要适应访问控制机制,与RBAC兼容。虽然很多老协议很难达到,但在一些新协议中已经实现。其中的一个例子是用于过程控制的OLE®(OPC®)标准,已经开发了对OPC® 服务器访问控制的信息安全规范。
这些产品的功能可以集成到具有多种信息安全功能的信息安全网关之中。在缺少统一授权工具的情况下,多数IACS的设计人员在控制系统与外部之间采取**小流量的入和出。虽然不同架构都试图阻止从企业系统进入控制系统的数据流,但不能达到全部。
