如今，各家工廠都會直接或間接地連接到因特網(wǎng)中，這就為他們的生產(chǎn)過程、產(chǎn)品質(zhì)量控制以及利潤保障帶來風險。西門子SIMATIC PCS 7 的信息安全解決方案，可有效防范這些安全隱患，確保生產(chǎn)系統(tǒng)的正常運行。

應用

SIMATIC PCS 7 的基于縱深防御的信息安全理念為生產(chǎn)過程提供安全解決方案。這種集成的安全理念并不局限于實施單獨的安全過程（例如，層級權(quán)限分配、身份認證和加密）或安全設備（例如防火墻）。相反，它綜合所有安全措施并在工廠網(wǎng)絡進行完美協(xié)作。而且，這種解決方案中將工廠分隔為多個安全單元，符合IEC62443 / ISA 99 - 工業(yè)自動化與控制系統(tǒng)的信息安全標準。

優(yōu)勢

●西門子可根據(jù)工廠過程控制的特定需求，為用戶量身定制完整的信息安全解決方案

●縱深防御安全理念不但增強了對系統(tǒng)的信息安全防護，同時還降低了各種潛在風險，極大提高了工廠的可用性

●覆蓋整個生命周期的信息安全機制，可全方位保護工廠安全

 安全產(chǎn)品與服務

將工廠分段為多個安全單元

網(wǎng)絡分段是將工廠生產(chǎn)過程分隔為彼此獨立、組織有序且易于管理的多個區(qū)域，即各自形成一個安全單元?？梢愿鶕?jù)位置或者功能，將工廠分隔為各個安全單元。這種安全單元可大可小，既可以是一個小型的自動化設備，也可以是一整棟樓宇。所有安全單元都實行安全機制進行完善保護，并保證可以自主運行。系統(tǒng)會事先定義各個安全單元間的數(shù)據(jù)通訊和人員流動規(guī)則，并對訪問進行嚴密監(jiān)控。

病毒防護軟件和防火墻

在專用接入點處安裝防火墻和病毒掃描程序，可以保護安全單元中的各個計算機或網(wǎng)絡，防止未經(jīng)授權(quán)的訪問或者入侵。因此，在安全單元中就無需再安裝其它防火墻。這種安全措施不但簡化了計算機的管理和維護，同時還可提高系統(tǒng)性能。SIMATIC PCS 7 信息安全理念中還可使用 Microsoft? Forefront Threat Management Gateway安全網(wǎng)關(guān)、Windows 防火墻以及 Scalance S 安全模塊和基于 IPSec 的 VPN 連接方式等其它安全措施。這些安全模塊與其它辦公設備不同，不但具有優(yōu)良的工業(yè)性能同時還可優(yōu)化信息通信。除了防火墻，病毒掃描程序也是一種最為常用的安全防范措施。SIMATIC PCS 7 系統(tǒng)可支持市面上最常用的 3 種用于生產(chǎn)和控制系統(tǒng)的防病毒軟件。

●Trendmicro? Office Scan 企業(yè)版

●SymaSymantec? Antivirus 企業(yè)版

●McAMcAfee? VirusScan 企業(yè)版

Windows 安全補丁管理

SIMATIC PCS 7 安全理念中，建議用戶安裝相應的安全補丁程序，及時對過程控制系統(tǒng)的各個工作站進行有效保護。并使用微軟基線安全性分析器 Microsoft Baseline Security Analyzer (MBSA) 對計算機進行掃描和分析，查找安全漏洞并防范各種安全威脅。MBSA會將檢測到的安全漏洞以及未安裝的安全補丁以報表形式列出?；谶@份報告，用戶可以對未安裝這些安全補丁并繼續(xù)運行系統(tǒng)的風險以及安裝這些補丁程序的工作量和成本（安裝補丁程序的過程中可能需要重新啟動計算機）進行權(quán)衡，并最終確定否安裝補丁程序。Microsoft 會定期發(fā)布安全補丁以修復最新發(fā)現(xiàn)的各種安全漏洞。與此同時，SIMATIC PCS 7 信息安全實驗室會持續(xù)地檢測這些補丁程序與當前 SIMATIC PCS 7 版本的兼容性，并在測試結(jié)束后，立即在線發(fā)布測試結(jié)果。

用戶和權(quán)限管理

通過明確定義訪問控制權(quán)限，對用戶和權(quán)限進行統(tǒng)一管理，是安全理念的要素之一。在這種安全理念中，通常采用最低權(quán)限原則。這意味著每個用戶或應用程序只能獲得處理當前任務所需要的權(quán)限。通過這種方式，可以有效避免有意或無意的操作失誤。在 SIMATIC PCS 7 中，可通過SIMATIC Logon 軟件包進行用戶統(tǒng)一管理，為 SIMATIC 應用程序和工廠區(qū)域指定相應的權(quán)限。 SIMATIC Logon 通過調(diào)用 Windows 用戶管理工具，實現(xiàn)例如自動注銷和自動密碼失效等用戶管理功能。

時間同步

利用 SIMATIC PCS 7 的時間同步，不但可將時間誤差降至最低，還可以實現(xiàn)對時間要求嚴格的過程進行同步、文檔記錄和歸檔。時間同步是一個非常重要的安全措施，但往往會被人們忽視。未同步的系統(tǒng)往往存在一個潛在風險。即域控制器可能會拒絕域客戶端的登錄操作。導致這一問題的原因是 Windows 自帶的一個安全功能，當客戶端與服務器間的時間差超過設定值時，該安全功能將阻止對現(xiàn)有會話的未經(jīng)授權(quán)訪問。

服務和遠程訪問

通過 VPN 連接可降低在進行維護和技術(shù)支持時臨時允許“外部”計算機訪問工廠內(nèi)部所帶來的潛在危險。通過虛擬專用網(wǎng) (VPN)，可確保外部設備與受保護控制系統(tǒng)間通信連接可靠安全。在西門子信息安全理念中，建議在受保護網(wǎng)絡中采用這種連接方式的同時，安裝 Microsoft? Forefront Threat Management Gateway (TMG)安全網(wǎng)關(guān)。在需要通過 Web 瀏覽器訪問工廠數(shù)據(jù)時，信息安全理念建議使用數(shù)據(jù)加密和服務器認證這兩種安全措施，而無需考慮是采用 HTTPS 協(xié)議的安全套接字層 (SSL) 進行連接，還是采用 IPSec 和基于用戶名和密碼的用戶認證等機制。

網(wǎng)絡架構(gòu)和管理

通過在 SIMATIC PCS 7 系統(tǒng)中定義 DHCP 服務器、分配 IP 地址、將各個網(wǎng)絡分段映射到不同子網(wǎng)中，同時通過 Windows Active Directory 對工廠中的計算機或用戶進行統(tǒng)一管理，不但可以滿足網(wǎng)絡結(jié)構(gòu)靈活性的需求，同時還增加了系統(tǒng)管理的高效性。

應用程序白名單機制

采用應用程序白名單保護機制，可以確保在 SIMATIC PCS 7 過程控制系統(tǒng)的工作站中僅運行可信的應用程序。這種機制可以有效阻止非法軟件的運行和對所安裝應用程序的更改，進一步提高了對惡意軟件的防范能力。

自動化防火墻

自動化防火墻的運行基于微軟的安全網(wǎng)關(guān) Microsoft? Forefront Threat Management Gateway 2010，具有數(shù)據(jù)包過濾器狀態(tài)檢測、應用層防火墻、VPN 網(wǎng)關(guān)功能、URL 址址過濾、Web 代理、病毒掃描以及入侵防御等多種功能，因而可確保從辦公室、公司內(nèi)網(wǎng)或者因特網(wǎng)通過接入點訪問生產(chǎn)網(wǎng)絡時數(shù)據(jù)通信的安全性。根據(jù)工廠規(guī)模的不同，可采用以下保護措施：

●對于過程工廠和 IT 網(wǎng)絡中的安全遠程訪問，可設置接入點防火墻

●對于采用復雜邊界網(wǎng)絡的工廠，可設置三宿主防火墻

●對于帶有大量邊界網(wǎng)絡的大型工廠，則可采用前端和后端防火墻實現(xiàn)最大程度的安全保護

 自動化防火墻在供貨交付時已完成預安裝，并采用界面友好的組態(tài)向?qū)лo助用戶進行安裝設置。

災備恢復
災備恢復機制旨在經(jīng)歷了自然或人為事故之后恢復對數(shù)據(jù)、硬件和軟件的訪問，并重新啟動生產(chǎn)操作。由于當前的過程工程組態(tài)中越來越多采用數(shù)據(jù)驅(qū)動機制，因而快速數(shù)據(jù)恢復功能也變得非常重要。

在 SIMATIC PCS 7 系統(tǒng)中，每臺計算機都備有完整的系統(tǒng)軟件映像文件。一旦發(fā)生數(shù)據(jù)丟失，可隨時使用這些映像文件對系統(tǒng)分區(qū)進行恢復。除此之外，西門子還推出了諸如 StoragePlus、中央歸檔服務器 (CAS)、歷史數(shù)據(jù)歸檔和 SIMATIC IT Historian 等軟件對過程數(shù)據(jù)進行歸檔。

西門子工業(yè)信息安全控制系統(tǒng)的應用

下圖中，我們簡要介紹了如何設計一個安全系統(tǒng)，實現(xiàn)最高等級的安全防護。