如今��,各家工廠都會直接或間接地連接到因特網(wǎng)中,這就為他們的生產(chǎn)過程����、產(chǎn)品質(zhì)量控制以及利潤保障帶來風(fēng)險�。SIMATIC PCS 7 的信息安全解決方案,可有效防范這些安全隱患���,確保生產(chǎn)系統(tǒng)的正常運行。
概覽
• 應(yīng)用
• 優(yōu)勢
• 安全產(chǎn)品與服務(wù)
應(yīng)用
SIMATIC PCS 7 的基于縱深防御的信息安全理念為生產(chǎn)過程提供安全解決方案�����。這種集成的安全理念并不局限于實施單獨的安全過程(例如�����,層級權(quán)限分配�、身份認證和加密)或安全設(shè)備(例如防火墻)。相反�����,它綜合所有安全措施并在工廠網(wǎng)絡(luò)進行完美協(xié)作����。而且�����,這種解決方案中將工廠分隔為多個安全單元����,符合IEC62443 / ISA 99 - 工業(yè)自動化與控制系統(tǒng)的信息安全標準����。
優(yōu)勢
西門子可根據(jù)工廠過程控制的特定需求,為用戶量身定制完整的信息安全解決方案
縱深防御安全理念不但增強了對系統(tǒng)的信息安全防護���,同時還降低了各種潛在風(fēng)險���,極大提高了工廠的可用性
覆蓋整個生命周期的信息安全機制,可全方位保護工廠安全
產(chǎn)品安全與服務(wù)
將工廠分段為多個安全單元
網(wǎng)絡(luò)分段是將工廠生產(chǎn)過程分隔為彼此獨立��、組織有序且易于管理的多個區(qū)域�,即各自形成一個安全單元�?梢愿鶕(jù)位置或者功能,將工廠分隔為各個安全單元����。這種安全單元可大可小�,既可以是一個小型的自動化設(shè)備�,也可以是一整棟樓宇。所有安全單元都實行安全機制進行完善保護���,并保證可以自主運行��。系統(tǒng)會事先定義各個安全單元間的數(shù)據(jù)通訊和人員流動規(guī)則��,并對訪問進行嚴密監(jiān)控。
病毒防護軟件和防火墻
在專用接入點處安裝防火墻和病毒掃描程序�,可以保護安全單元中的各個計算機或網(wǎng)絡(luò),防止未經(jīng)授權(quán)的訪問或者入侵�����。因此��,在安全單元中就無需再安裝其它防火墻����。這種安全措施不但簡化了計算機的管理和維護,同時還可提高系統(tǒng)性能��。SIMATIC PCS 7 信息安全理念中還可使用 Microsoft® Forefront Threat Management Gateway安全網(wǎng)關(guān)、Windows 防火墻以及 Scalance S 安全模塊和基于 IPSec 的 VPN 連接方式等其它安全措施�。這些安全模塊與其它辦公設(shè)備不同,不但具有優(yōu)良的工業(yè)性能同時還可優(yōu)化信息通信���。除了防火墻��,病毒掃描程序也是一種最為常用的安全防范措施����。SIMATIC PCS 7 系統(tǒng)可支持市面上最常用的 3 種用于生產(chǎn)和控制系統(tǒng)的防病毒軟件�����。
• Trendmicro™ Office Scan 企業(yè)版
• SymaSymantec™ Antivirus 企業(yè)版
• McAMcAfee™ VirusScan 企業(yè)版
Windows 安全補丁管理
SIMATIC PCS 7 安全理念中����,建議用戶安裝相應(yīng)的安全補丁程序,及時對過程控制系統(tǒng)的各個工作站進行有效保護��。并使用微軟基線安全性分析器 Microsoft Baseline Security Analyzer (MBSA) 對計算機進行掃描和分析�,查找安全漏洞并防范各種安全威脅。MBSA會將檢測到的安全漏洞以及未安裝的安全補丁以報表形式列出�������;谶@份報告,用戶可以對未安裝這些安全補丁并繼續(xù)運行系統(tǒng)的風(fēng)險以及安裝這些補丁程序的工作量和成本(安裝補丁程序的過程中可能需要重新啟動計算機)進行權(quán)衡��,并最終確定否安裝補丁程序���。Microsoft 會定期發(fā)布安全補丁以修復(fù)最新發(fā)現(xiàn)的各種安全漏洞�。與此同時�����,SIMATIC PCS 7 信息安全實驗室會持續(xù)地檢測這些補丁程序與當前 SIMATIC PCS 7 版本的兼容性�����,并在測試結(jié)束后�,立即在線發(fā)布測試結(jié)果��。
用戶和權(quán)限管理
通過明確定義訪問控制權(quán)限�����,對用戶和權(quán)限進行統(tǒng)一管理�,是安全理念的要素之一����。在這種安全理念中�,通常采用最低權(quán)限原則。這意味著每個用戶或應(yīng)用程序只能獲得處理當前任務(wù)所需要的權(quán)限����。通過這種方式,可以有效避免有意或無意的操作失誤����。在 SIMATIC PCS 7 中,可通過SIMATIC Logon 軟件包進行用戶統(tǒng)一管理��,為 SIMATIC 應(yīng)用程序和工廠區(qū)域指定相應(yīng)的權(quán)限�。 SIMATIC Logon 通過調(diào)用 Windows 用戶管理工具,實現(xiàn)例如自動注銷和自動密碼失效等用戶管理功能��。
時間同步
利用 SIMATIC PCS 7 的時間同步���,不但可將時間誤差降至最低���,還可以實現(xiàn)對時間要求嚴格的過程進行同步、文檔記錄和歸檔����。時間同步是一個非常重要的安全措施��,但往往會被人們忽視�。未同步的系統(tǒng)往往存在一個潛在風(fēng)險�����。即域控制器可能會拒絕域客戶端的登錄操作��。導(dǎo)致這一問題的原因是 Windows 自帶的一個安全功能��,當客戶端與服務(wù)器間的時間差超過設(shè)定值時�����,該安全功能將阻止對現(xiàn)有會話的未經(jīng)授權(quán)訪問���。
服務(wù)和遠程訪問
通過 VPN 連接可降低在進行維護和技術(shù)支持時臨時允許“外部”計算機訪問工廠內(nèi)部所帶來的潛在危險。通過虛擬專用網(wǎng) (VPN)����,可確保外部設(shè)備與受保護控制系統(tǒng)間通信連接可靠安全。在西門子信息安全理念中�,建議在受保護網(wǎng)絡(luò)中采用這種連接方式的同時����,安裝 Microsoft® Forefront Threat Management Gateway (TMG)安全網(wǎng)關(guān)��。在需要通過 Web 瀏覽器訪問工廠數(shù)據(jù)時�,信息安全理念建議使用數(shù)據(jù)加密和服務(wù)器認證這兩種安全措施,而無需考慮是采用 HTTPS 協(xié)議的安全套接字層 (SSL) 進行連接�����,還是采用 IPSec 和基于用戶名和密碼的用戶認證等機制�����。
網(wǎng)絡(luò)架構(gòu)和管理
通過在 SIMATIC PCS 7 系統(tǒng)中定義 DHCP 服務(wù)器���、分配 IP 地址���、將各個網(wǎng)絡(luò)分段映射到不同子網(wǎng)中,同時通過 Windows Active Directory 對工廠中的計算機或用戶進行統(tǒng)一管理���,不但可以滿足網(wǎng)絡(luò)結(jié)構(gòu)靈活性的需求��,同時還增加了系統(tǒng)管理的高效性��。
應(yīng)用程序白名單機制
采用應(yīng)用程序白名單保護機制��,可以確保在 SIMATIC PCS 7 過程控制系統(tǒng)的工作站中僅運行可信的應(yīng)用程序�����。這種機制可以有效阻止非法軟件的運行和對所安裝應(yīng)用程序的更改�,進一步提高了對惡意軟件的防范能力。
自動化防火墻
自動化防火墻的運行基于微軟的安全網(wǎng)關(guān) Microsoft® Forefront Threat Management Gateway 2010��,具有數(shù)據(jù)包過濾器狀態(tài)檢測�����、應(yīng)用層防火墻�����、VPN 網(wǎng)關(guān)功能���、URL 址址過濾�����、Web 代理���、病毒掃描以及入侵防御等多種功能,因而可確保從辦公室���、公司內(nèi)網(wǎng)或者因特網(wǎng)通過接入點訪問生產(chǎn)網(wǎng)絡(luò)時數(shù)據(jù)通信的安全性����。根據(jù)工廠規(guī)模的不同�����,可采用以下保護措施:
• 對于過程工廠和 IT 網(wǎng)絡(luò)中的安全遠程訪問����,可設(shè)置接入點防火墻
• 對于采用復(fù)雜邊界網(wǎng)絡(luò)的工廠,可設(shè)置三宿主防火墻
• 對于帶有大量邊界網(wǎng)絡(luò)的大型工廠��,則可采用前端和后端防火墻實現(xiàn)最大程度的安全保護
自動化防火墻在供貨交付時已完成預(yù)安裝���,并采用界面友好的組態(tài)向?qū)лo助用戶進行安裝設(shè)置�。
災(zāi)備恢復(fù)
災(zāi)備恢復(fù)機制旨在經(jīng)歷了自然或人為事故之后恢復(fù)對數(shù)據(jù)�、硬件和軟件的訪問,并重新啟動生產(chǎn)操作。由于當前的過程工程組態(tài)中越來越多采用數(shù)據(jù)驅(qū)動機制�����,因而快速數(shù)據(jù)恢復(fù)功能也變得非常重要����。
在 SIMATIC PCS 7 系統(tǒng)中,每臺計算機都備有完整的系統(tǒng)軟件映像文件���。一旦發(fā)生數(shù)據(jù)丟失��,可隨時使用這些映像文件對系統(tǒng)分區(qū)進行恢復(fù)�����。除此之外�����,西門子還推出了諸如 StoragePlus����、中央歸檔服務(wù)器 (CAS)���、歷史數(shù)據(jù)歸檔和 SIMATIC IT Historian 等軟件對過程數(shù)據(jù)進行歸檔�����。
西門子工業(yè)信息安全控制系統(tǒng)的應(yīng)用
下圖中����,我們簡要介紹了如何設(shè)計一個安全系統(tǒng)��,實現(xiàn)最高等級的安全防護�。
SIMATIC 工業(yè)信息安全實驗室
工業(yè)信息安全是西門子安全理念的一部分,所有產(chǎn)品在面市發(fā)布之前都必需通過包含工業(yè)信息安全在內(nèi)的嚴密系統(tǒng)測試�。 SIMATIC 信息安全實驗室,持續(xù)研究工業(yè)數(shù)據(jù)的安全性并將這些測試結(jié)果直接應(yīng)用到后續(xù)的產(chǎn)品和軟件研發(fā)過程中����。
