如今����,各家工廠都會直接或間接地連接到因特網(wǎng)中�,這就為他們的生產(chǎn)過程�、產(chǎn)品質(zhì)量控制以及利潤保障帶來風(fēng)險��。SIMATIC PCS 7 的信息安全解決方案�����,可有效防范這些安全隱患�����,確保生產(chǎn)系統(tǒng)的正常運(yùn)行��。
概覽
• 應(yīng)用
• 優(yōu)勢
• 安全產(chǎn)品與服務(wù)
應(yīng)用
SIMATIC PCS 7 的基于縱深防御的信息安全理念為生產(chǎn)過程提供安全解決方案����。這種集成的安全理念并不局限于實(shí)施單獨(dú)的安全過程(例如�,層級權(quán)限分配、身份認(rèn)證和加密)或安全設(shè)備(例如防火墻)����。相反,它綜合所有安全措施并在工廠網(wǎng)絡(luò)進(jìn)行完美協(xié)作�。而且,這種解決方案中將工廠分隔為多個安全單元����,符合IEC62443 / ISA 99 - 工業(yè)自動化與控制系統(tǒng)的信息安全標(biāo)準(zhǔn)�。
優(yōu)勢
西門子可根據(jù)工廠過程控制的特定需求����,為用戶量身定制完整的信息安全解決方案
縱深防御安全理念不但增強(qiáng)了對系統(tǒng)的信息安全防護(hù),同時還降低了各種潛在風(fēng)險�,極大提高了工廠的可用性
覆蓋整個生命周期的信息安全機(jī)制,可全方位保護(hù)工廠安全
產(chǎn)品安全與服務(wù)
將工廠分段為多個安全單元
網(wǎng)絡(luò)分段是將工廠生產(chǎn)過程分隔為彼此獨(dú)立�、組織有序且易于管理的多個區(qū)域,即各自形成一個安全單元��������?梢愿鶕(jù)位置或者功能���,將工廠分隔為各個安全單元。這種安全單元可大可小����,既可以是一個小型的自動化設(shè)備,也可以是一整棟樓宇���。所有安全單元都實(shí)行安全機(jī)制進(jìn)行完善保護(hù)�����,并保證可以自主運(yùn)行�����。系統(tǒng)會事先定義各個安全單元間的數(shù)據(jù)通訊和人員流動規(guī)則�,并對訪問進(jìn)行嚴(yán)密監(jiān)控。
病毒防護(hù)軟件和防火墻
在專用接入點(diǎn)處安裝防火墻和病毒掃描程序�����,可以保護(hù)安全單元中的各個計算機(jī)或網(wǎng)絡(luò)�����,防止未經(jīng)授權(quán)的訪問或者入侵���。因此,在安全單元中就無需再安裝其它防火墻����。這種安全措施不但簡化了計算機(jī)的管理和維護(hù)�����,同時還可提高系統(tǒng)性能��。SIMATIC PCS 7 信息安全理念中還可使用 Microsoft® Forefront Threat Management Gateway安全網(wǎng)關(guān)����、Windows 防火墻以及 Scalance S 安全模塊和基于 IPSec 的 VPN 連接方式等其它安全措施��。這些安全模塊與其它辦公設(shè)備不同���,不但具有優(yōu)良的工業(yè)性能同時還可優(yōu)化信息通信��。除了防火墻��,病毒掃描程序也是一種最為常用的安全防范措施����。SIMATIC PCS 7 系統(tǒng)可支持市面上最常用的 3 種用于生產(chǎn)和控制系統(tǒng)的防病毒軟件����。
• Trendmicro™ Office Scan 企業(yè)版
• SymaSymantec™ Antivirus 企業(yè)版
• McAMcAfee™ VirusScan 企業(yè)版
Windows 安全補(bǔ)丁管理
SIMATIC PCS 7 安全理念中,建議用戶安裝相應(yīng)的安全補(bǔ)丁程序,及時對過程控制系統(tǒng)的各個工作站進(jìn)行有效保護(hù)��。并使用微軟基線安全性分析器 Microsoft Baseline Security Analyzer (MBSA) 對計算機(jī)進(jìn)行掃描和分析�,查找安全漏洞并防范各種安全威脅。MBSA會將檢測到的安全漏洞以及未安裝的安全補(bǔ)丁以報表形式列出������;谶@份報告,用戶可以對未安裝這些安全補(bǔ)丁并繼續(xù)運(yùn)行系統(tǒng)的風(fēng)險以及安裝這些補(bǔ)丁程序的工作量和成本(安裝補(bǔ)丁程序的過程中可能需要重新啟動計算機(jī))進(jìn)行權(quán)衡,并最終確定否安裝補(bǔ)丁程序。Microsoft 會定期發(fā)布安全補(bǔ)丁以修復(fù)最新發(fā)現(xiàn)的各種安全漏洞��。與此同時,SIMATIC PCS 7 信息安全實(shí)驗(yàn)室會持續(xù)地檢測這些補(bǔ)丁程序與當(dāng)前 SIMATIC PCS 7 版本的兼容性���,并在測試結(jié)束后��,立即在線發(fā)布測試結(jié)果。
用戶和權(quán)限管理
通過明確定義訪問控制權(quán)限����,對用戶和權(quán)限進(jìn)行統(tǒng)一管理,是安全理念的要素之一�����。在這種安全理念中,通常采用最低權(quán)限原則����。這意味著每個用戶或應(yīng)用程序只能獲得處理當(dāng)前任務(wù)所需要的權(quán)限。通過這種方式�,可以有效避免有意或無意的操作失誤。在 SIMATIC PCS 7 中��,可通過SIMATIC Logon 軟件包進(jìn)行用戶統(tǒng)一管理����,為 SIMATIC 應(yīng)用程序和工廠區(qū)域指定相應(yīng)的權(quán)限。 SIMATIC Logon 通過調(diào)用 Windows 用戶管理工具���,實(shí)現(xiàn)例如自動注銷和自動密碼失效等用戶管理功能��。
時間同步
利用 SIMATIC PCS 7 的時間同步���,不但可將時間誤差降至最低,還可以實(shí)現(xiàn)對時間要求嚴(yán)格的過程進(jìn)行同步�、文檔記錄和歸檔。時間同步是一個非常重要的安全措施����,但往往會被人們忽視�����。未同步的系統(tǒng)往往存在一個潛在風(fēng)險�����。即域控制器可能會拒絕域客戶端的登錄操作���。導(dǎo)致這一問題的原因是 Windows 自帶的一個安全功能,當(dāng)客戶端與服務(wù)器間的時間差超過設(shè)定值時���,該安全功能將阻止對現(xiàn)有會話的未經(jīng)授權(quán)訪問�����。
服務(wù)和遠(yuǎn)程訪問
通過 VPN 連接可降低在進(jìn)行維護(hù)和技術(shù)支持時臨時允許“外部”計算機(jī)訪問工廠內(nèi)部所帶來的潛在危險����。通過虛擬專用網(wǎng) (VPN)�����,可確保外部設(shè)備與受保護(hù)控制系統(tǒng)間通信連接可靠安全��。在西門子信息安全理念中����,建議在受保護(hù)網(wǎng)絡(luò)中采用這種連接方式的同時,安裝 Microsoft® Forefront Threat Management Gateway (TMG)安全網(wǎng)關(guān)���。在需要通過 Web 瀏覽器訪問工廠數(shù)據(jù)時����,信息安全理念建議使用數(shù)據(jù)加密和服務(wù)器認(rèn)證這兩種安全措施�,而無需考慮是采用 HTTPS 協(xié)議的安全套接字層 (SSL) 進(jìn)行連接,還是采用 IPSec 和基于用戶名和密碼的用戶認(rèn)證等機(jī)制���。
網(wǎng)絡(luò)架構(gòu)和管理
通過在 SIMATIC PCS 7 系統(tǒng)中定義 DHCP 服務(wù)器���、分配 IP 地址、將各個網(wǎng)絡(luò)分段映射到不同子網(wǎng)中���,同時通過 Windows Active Directory 對工廠中的計算機(jī)或用戶進(jìn)行統(tǒng)一管理�,不但可以滿足網(wǎng)絡(luò)結(jié)構(gòu)靈活性的需求�����,同時還增加了系統(tǒng)管理的高效性。
應(yīng)用程序白名單機(jī)制
采用應(yīng)用程序白名單保護(hù)機(jī)制��,可以確保在 SIMATIC PCS 7 過程控制系統(tǒng)的工作站中僅運(yùn)行可信的應(yīng)用程序���。這種機(jī)制可以有效阻止非法軟件的運(yùn)行和對所安裝應(yīng)用程序的更改�����,進(jìn)一步提高了對惡意軟件的防范能力���。
自動化防火墻
自動化防火墻的運(yùn)行基于微軟的安全網(wǎng)關(guān) Microsoft® Forefront Threat Management Gateway 2010,具有數(shù)據(jù)包過濾器狀態(tài)檢測�、應(yīng)用層防火墻、VPN 網(wǎng)關(guān)功能�����、URL 址址過濾�、Web 代理、病毒掃描以及入侵防御等多種功能���,因而可確保從辦公室�����、公司內(nèi)網(wǎng)或者因特網(wǎng)通過接入點(diǎn)訪問生產(chǎn)網(wǎng)絡(luò)時數(shù)據(jù)通信的安全性���。根據(jù)工廠規(guī)模的不同,可采用以下保護(hù)措施:
• 對于過程工廠和 IT 網(wǎng)絡(luò)中的安全遠(yuǎn)程訪問����,可設(shè)置接入點(diǎn)防火墻
• 對于采用復(fù)雜邊界網(wǎng)絡(luò)的工廠,可設(shè)置三宿主防火墻
• 對于帶有大量邊界網(wǎng)絡(luò)的大型工廠��,則可采用前端和后端防火墻實(shí)現(xiàn)最大程度的安全保護(hù)
自動化防火墻在供貨交付時已完成預(yù)安裝��,并采用界面友好的組態(tài)向?qū)лo助用戶進(jìn)行安裝設(shè)置��。
災(zāi)備恢復(fù)
災(zāi)備恢復(fù)機(jī)制旨在經(jīng)歷了自然或人為事故之后恢復(fù)對數(shù)據(jù)���、硬件和軟件的訪問��,并重新啟動生產(chǎn)操作�����。由于當(dāng)前的過程工程組態(tài)中越來越多采用數(shù)據(jù)驅(qū)動機(jī)制�,因而快速數(shù)據(jù)恢復(fù)功能也變得非常重要。
在 SIMATIC PCS 7 系統(tǒng)中�,每臺計算機(jī)都備有完整的系統(tǒng)軟件映像文件。一旦發(fā)生數(shù)據(jù)丟失���,可隨時使用這些映像文件對系統(tǒng)分區(qū)進(jìn)行恢復(fù)�。除此之外�,西門子還推出了諸如 StoragePlus、中央歸檔服務(wù)器 (CAS)��、歷史數(shù)據(jù)歸檔和 SIMATIC IT Historian 等軟件對過程數(shù)據(jù)進(jìn)行歸檔����。
西門子工業(yè)信息安全控制系統(tǒng)的應(yīng)用
下圖中,我們簡要介紹了如何設(shè)計一個安全系統(tǒng)�,實(shí)現(xiàn)最高等級的安全防護(hù)。
SIMATIC 工業(yè)信息安全實(shí)驗(yàn)室
工業(yè)信息安全是西門子安全理念的一部分�����,所有產(chǎn)品在面市發(fā)布之前都必需通過包含工業(yè)信息安全在內(nèi)的嚴(yán)密系統(tǒng)測試��。 SIMATIC 信息安全實(shí)驗(yàn)室����,持續(xù)研究工業(yè)數(shù)據(jù)的安全性并將這些測試結(jié)果直接應(yīng)用到后續(xù)的產(chǎn)品和軟件研發(fā)過程中���。
