由于要與其它的公司部門進(jìn)行聯(lián)網(wǎng)，現(xiàn)今的過程工廠都直接或間接地連接 Internet，因此會受到網(wǎng)絡(luò)犯罪的威脅?？紤]到加工工程工廠的特殊需求，SIMATIC PCS 7 提供了一種安全概念，以可靠地防御這種潛在的危險，并為生產(chǎn)系統(tǒng)提供全面的保護(hù)。

概述

• 應(yīng)用與選項(xiàng)

• 產(chǎn)品和功能

• 優(yōu)勢一覽

應(yīng)用與選項(xiàng)

SIMATIC PCS 7 以其開創(chuàng)性的安全理念，為加工工程工廠的保護(hù)提供了全面的解決方案。該理念以嵌套的安全體系結(jié)構(gòu)為基礎(chǔ)（縱深防御），且代表了一種集成方法。它不局限于使用個別的安全方法（例如等級權(quán)力分配、身份驗(yàn)證和加密）或設(shè)備（例如防火墻）。相反，它的長處在于，將各種安全措施相結(jié)合，配合應(yīng)用于工廠網(wǎng)絡(luò)中。運(yùn)用本質(zhì)上安全的封閉安全區(qū)建設(shè)工廠，最終會使封閉系統(tǒng)符合美國食品和藥物管理局 (FDA) 第 21 條 CFR 法規(guī)的第 11 部分。 返回頁首

產(chǎn)品和功能

嵌套的安全體系結(jié)構(gòu)（縱深防御）

SIMATIC PCS 7 安全理念以軍事上的“縱深防御”戰(zhàn)略為基礎(chǔ)，根據(jù)該戰(zhàn)略，防御并不集中在單線圖上，而是分成若干層，迫使攻擊者客服多重障礙。在 IT 安全方面，縱深防御安全體系結(jié)構(gòu)指的是若干關(guān)鍵元素的結(jié)合。這種全面的方法不局限于使用個別的安全方法（例如數(shù)據(jù)加密或像防火墻之類的設(shè)備），相反，它以在系統(tǒng)的不同位置實(shí)施的各種安全方法的交互為基礎(chǔ)。 將工廠分成幾個安全區(qū) 基本上講，要將加工工廠劃分成單獨(dú)、有組織且可管理的片區(qū)，每個片區(qū)都形成自己的安全區(qū)。安全區(qū)的大小可有所不同，小到自動化裝置大到整個廠房。通過根據(jù)位置和/或功能將工廠分為幾個邏輯片區(qū)，定義這些安全區(qū)。這些片區(qū)受所有必要的安全機(jī)制的保護(hù)，且可完全獨(dú)立運(yùn)行。各個安全區(qū)之間數(shù)據(jù)和人員的流動受所定義和監(jiān)督訪問的管制。

病毒防護(hù)和防火墻

所有接入點(diǎn)的防火墻和病毒掃描程序?qū)⒎乐刮唇?jīng)授權(quán)便訪問安全區(qū)內(nèi)的各個計(jì)算機(jī)或網(wǎng)絡(luò)。因此，安全區(qū)內(nèi)不再需要額外的防火墻。這便簡化了計(jì)算機(jī)的管理并保持了系統(tǒng)性能。

SIMATIC PCS 7 安全理念支持使用 Microsoft Internet Security 和 Acceleration Server 2006 (ISA Server 2006)、Windows 防火墻和 Scalance S 安全模塊。因這些模塊具有的工業(yè)功能 (IP30) 及過程信息的優(yōu)化通信，其與辦公設(shè)備有所不同。除防火墻之外，病毒掃描程序是最知名的安全防護(hù)措施。SIMATIC PCS 7 支持三種最常用的針對生產(chǎn)和控制系統(tǒng)的病毒掃描程序。

• TrendmicroTM Office Scan Corporate Edition

• SymantecTM Antivirus Corporate Edition

• McAfeeTM VirusScan Enterprise

Windows 安全補(bǔ)丁管理

SIMATIC PCS 7 安全理念建議安裝相應(yīng)的安全補(bǔ)丁，以保護(hù)經(jīng)常在 Windows 操作系統(tǒng)下運(yùn)行的過程控制系統(tǒng)內(nèi)部的各個工作站。為了評估計(jì)算機(jī)在防御安全威脅方面的漏洞，Microsoft Baseline Security Analyzer (MBSA) 可掃描并分析存在問題的計(jì)算機(jī)。該安全分析器將在報(bào)告中總結(jié)檢測出的漏洞并列出缺失的安全補(bǔ)丁。根據(jù)這份報(bào)告，用戶便可在沒有適當(dāng)?shù)陌踩a(bǔ)丁保護(hù)的情況下繼續(xù)運(yùn)行的風(fēng)險與安裝這些補(bǔ)?。赡苄枰匦聠佑?jì)算機(jī)）要花費(fèi)的精力和費(fèi)用之間進(jìn)行權(quán)衡。Microsoft 會定期發(fā)布這些補(bǔ)丁供用戶使用，以修復(fù)最近識別出的安全漏洞。SIMATIC PCS 7 安全實(shí)驗(yàn)室會不斷審查這些補(bǔ)丁，確定其是否與當(dāng)前版本的 SIMATIC PCS 7 相兼容，且會即時在線發(fā)布這些測試結(jié)果。

用戶管理和權(quán)限管理

借助精確的訪問控制進(jìn)行一致的用戶管理和權(quán)限管理是安全理念的另一關(guān)鍵元素。它應(yīng)用最低權(quán)限原則。單個用戶或單個應(yīng)用僅擁有進(jìn)行手頭的實(shí)際任務(wù)時所需的權(quán)限。這是避免有意或無意的操作失誤的最佳方式。SIMATIC PCS 7 支持借助 SIMATIC Logon 軟件包進(jìn)行中央用戶管理，以為 SIMATIC 應(yīng)用程序和工廠區(qū)域分配權(quán)限。SIMATIC Logon 利用了 Windows 用戶管理工具的自動注銷和密碼自動失效的功能。 時間同步 SIMATIC PCS 7 工廠內(nèi)的時間同步將幫助最小化時間差，并支持所有時間關(guān)鍵型過程的同步、審計(jì)、記錄和歸檔。時間同步經(jīng)常會被忽略，但不應(yīng)被低估。非同步系統(tǒng)中的潛在威脅在于，系統(tǒng)可能會拒絕域客戶端登錄到其域控制器的權(quán)限。這是由 Windows 中的安全功能引起的，當(dāng)超過客戶端與服務(wù)器之間指定的時間差時，將阻止可能未經(jīng)授權(quán)便訪問現(xiàn)有會話。

服務(wù)和遠(yuǎn)程訪問（VPN、IPSec）

使用 IPSec VPN 將降低“外部”計(jì)算機(jī)臨時進(jìn)入工廠系統(tǒng)以進(jìn)行維護(hù)和支持工作時所產(chǎn)生的潛在危險。虛擬專用網(wǎng) (VPN) 提供了從外部設(shè)備到受保護(hù)的控制系統(tǒng)可靠而安全的連接。西門子安全理念建議使用此方法，并將 Microsoft ISA Server 2006 與隔離網(wǎng)絡(luò)結(jié)合使用。如果通過 Web 瀏覽器訪問工廠數(shù)據(jù)，則安全理念建議通過具有 HTTPS 的安全套接字層 (SSL) 或者基于 IPSec 和用戶身份驗(yàn)證的用戶名和密碼，進(jìn)行數(shù)據(jù)加密和服務(wù)器身份驗(yàn)證。

Enlarge

網(wǎng)絡(luò)結(jié)構(gòu)和管理

我們提供了以下功能，包括實(shí)施 DHCP 服務(wù)器、分配 IP 地址、將工廠分區(qū)映射到子網(wǎng)以及借助 Windows Active Directory 集中管理工廠的計(jì)算機(jī)或用戶，以支持 SIMATIC PCS 7 系統(tǒng)靈活的網(wǎng)絡(luò)結(jié)構(gòu)和高效的管理。

災(zāi)難恢復(fù)

災(zāi)難恢復(fù)的目的是在發(fā)生自然或人為事故后，能夠重新訪問數(shù)據(jù)、硬件和軟件，并重新開始運(yùn)行。由于過程工程越來越多地受數(shù)據(jù)的推動，因此快速恢復(fù)數(shù)據(jù)的能力就變得非常重要了。在 SIMATIC PCS 7 系統(tǒng)中，每臺 PC 都具有系統(tǒng)軟件的完整映像，若出現(xiàn)數(shù)據(jù)丟失，可隨時用來恢復(fù)系統(tǒng)分區(qū)。西門子提供了幾個用于歸檔過程數(shù)據(jù)的程序，例如：Storage Plus、Central Archive Server (CAS) 和 Simatic IT Historian。

To the top of the page

SIMATIC PCS 7 安全實(shí)驗(yàn)室

早在開發(fā)過程中，IT 安全已被視為系統(tǒng)測試的組成部分，且是發(fā)布產(chǎn)品的先決條件。SIMATIC PCS 7 安全實(shí)驗(yàn)室的工作人員一直潛心致力于 IT 安全，其測試的結(jié)果直接流入產(chǎn)品和軟件開發(fā)中。

To the top of the page

優(yōu)勢一覽

• 西門子專門針對過程工程工廠的特定需求，提供了集成的全面安全性解決方案。

• 安全理念有效降低了風(fēng)險、防止安全事故的發(fā)生，從而提高了工廠的可用性。

• 作為防火墻的工業(yè)安全模塊 SCALANCE S，還可通過采用加密和身份驗(yàn)證 (VPN)，保護(hù)系統(tǒng)/設(shè)備之間或網(wǎng)絡(luò)分段之間的數(shù)據(jù)傳輸免遭數(shù)據(jù)操縱和竊取的威脅。