由于要與其它的公司部門(mén)進(jìn)行聯(lián)網(wǎng)，現(xiàn)今的過(guò)程工廠都直接或間接地連接 Internet，因此會(huì)受到網(wǎng)絡(luò)犯罪的威脅?？紤]到加工工程工廠的特殊需求，SIMATIC PCS 7 提供了一種安全概念，以可靠地防御這種潛在的危險(xiǎn)，并為生產(chǎn)系統(tǒng)提供全面的保護(hù)。

概述

• 應(yīng)用與選項(xiàng)

• 產(chǎn)品和功能

• 優(yōu)勢(shì)一覽

應(yīng)用與選項(xiàng)

SIMATIC PCS 7 以其開(kāi)創(chuàng)性的安全理念，為加工工程工廠的保護(hù)提供了全面的解決方案。該理念以嵌套的安全體系結(jié)構(gòu)為基礎(chǔ)（縱深防御），且代表了一種集成方法。它不局限于使用個(gè)別的安全方法（例如等級(jí)權(quán)力分配、身份驗(yàn)證和加密）或設(shè)備（例如防火墻）。相反，它的長(zhǎng)處在于，將各種安全措施相結(jié)合，配合應(yīng)用于工廠網(wǎng)絡(luò)中。運(yùn)用本質(zhì)上安全的封閉安全區(qū)建設(shè)工廠，最終會(huì)使封閉系統(tǒng)符合美國(guó)食品和藥物管理局 (FDA) 第 21 條 CFR 法規(guī)的第 11 部分。 返回頁(yè)首

產(chǎn)品和功能

嵌套的安全體系結(jié)構(gòu)（縱深防御）

SIMATIC PCS 7 安全理念以軍事上的“縱深防御”戰(zhàn)略為基礎(chǔ)，根據(jù)該戰(zhàn)略，防御并不集中在單線圖上，而是分成若干層，迫使攻擊者客服多重障礙。在 IT 安全方面，縱深防御安全體系結(jié)構(gòu)指的是若干關(guān)鍵元素的結(jié)合。這種全面的方法不局限于使用個(gè)別的安全方法（例如數(shù)據(jù)加密或像防火墻之類(lèi)的設(shè)備），相反，它以在系統(tǒng)的不同位置實(shí)施的各種安全方法的交互為基礎(chǔ)。 將工廠分成幾個(gè)安全區(qū) 基本上講，要將加工工廠劃分成單獨(dú)、有組織且可管理的片區(qū)，每個(gè)片區(qū)都形成自己的安全區(qū)。安全區(qū)的大小可有所不同，小到自動(dòng)化裝置大到整個(gè)廠房。通過(guò)根據(jù)位置和/或功能將工廠分為幾個(gè)邏輯片區(qū)，定義這些安全區(qū)。這些片區(qū)受所有必要的安全機(jī)制的保護(hù)，且可完全獨(dú)立運(yùn)行。各個(gè)安全區(qū)之間數(shù)據(jù)和人員的流動(dòng)受所定義和監(jiān)督訪問(wèn)的管制。

病毒防護(hù)和防火墻

所有接入點(diǎn)的防火墻和病毒掃描程序?qū)⒎乐刮唇?jīng)授權(quán)便訪問(wèn)安全區(qū)內(nèi)的各個(gè)計(jì)算機(jī)或網(wǎng)絡(luò)。因此，安全區(qū)內(nèi)不再需要額外的防火墻。這便簡(jiǎn)化了計(jì)算機(jī)的管理并保持了系統(tǒng)性能。

SIMATIC PCS 7 安全理念支持使用 Microsoft Internet Security 和 Acceleration Server 2006 (ISA Server 2006)、Windows 防火墻和 Scalance S 安全模塊。因這些模塊具有的工業(yè)功能 (IP30) 及過(guò)程信息的優(yōu)化通信，其與辦公設(shè)備有所不同。除防火墻之外，病毒掃描程序是最知名的安全防護(hù)措施。SIMATIC PCS 7 支持三種最常用的針對(duì)生產(chǎn)和控制系統(tǒng)的病毒掃描程序。

• TrendmicroTM Office Scan Corporate Edition

• SymantecTM Antivirus Corporate Edition

• McAfeeTM VirusScan Enterprise

Windows 安全補(bǔ)丁管理

SIMATIC PCS 7 安全理念建議安裝相應(yīng)的安全補(bǔ)丁，以保護(hù)經(jīng)常在 Windows 操作系統(tǒng)下運(yùn)行的過(guò)程控制系統(tǒng)內(nèi)部的各個(gè)工作站。為了評(píng)估計(jì)算機(jī)在防御安全威脅方面的漏洞，Microsoft Baseline Security Analyzer (MBSA) 可掃描并分析存在問(wèn)題的計(jì)算機(jī)。該安全分析器將在報(bào)告中總結(jié)檢測(cè)出的漏洞并列出缺失的安全補(bǔ)丁。根據(jù)這份報(bào)告，用戶(hù)便可在沒(méi)有適當(dāng)?shù)陌踩a(bǔ)丁保護(hù)的情況下繼續(xù)運(yùn)行的風(fēng)險(xiǎn)與安裝這些補(bǔ)?。赡苄枰匦聠?dòng)計(jì)算機(jī)）要花費(fèi)的精力和費(fèi)用之間進(jìn)行權(quán)衡。Microsoft 會(huì)定期發(fā)布這些補(bǔ)丁供用戶(hù)使用，以修復(fù)最近識(shí)別出的安全漏洞。SIMATIC PCS 7 安全實(shí)驗(yàn)室會(huì)不斷審查這些補(bǔ)丁，確定其是否與當(dāng)前版本的 SIMATIC PCS 7 相兼容，且會(huì)即時(shí)在線發(fā)布這些測(cè)試結(jié)果。

用戶(hù)管理和權(quán)限管理

借助精確的訪問(wèn)控制進(jìn)行一致的用戶(hù)管理和權(quán)限管理是安全理念的另一關(guān)鍵元素。它應(yīng)用最低權(quán)限原則。單個(gè)用戶(hù)或單個(gè)應(yīng)用僅擁有進(jìn)行手頭的實(shí)際任務(wù)時(shí)所需的權(quán)限。這是避免有意或無(wú)意的操作失誤的最佳方式。SIMATIC PCS 7 支持借助 SIMATIC Logon 軟件包進(jìn)行中央用戶(hù)管理，以為 SIMATIC 應(yīng)用程序和工廠區(qū)域分配權(quán)限。SIMATIC Logon 利用了 Windows 用戶(hù)管理工具的自動(dòng)注銷(xiāo)和密碼自動(dòng)失效的功能。 時(shí)間同步 SIMATIC PCS 7 工廠內(nèi)的時(shí)間同步將幫助最小化時(shí)間差，并支持所有時(shí)間關(guān)鍵型過(guò)程的同步、審計(jì)、記錄和歸檔。時(shí)間同步經(jīng)常會(huì)被忽略，但不應(yīng)被低估。非同步系統(tǒng)中的潛在威脅在于，系統(tǒng)可能會(huì)拒絕域客戶(hù)端登錄到其域控制器的權(quán)限。這是由 Windows 中的安全功能引起的，當(dāng)超過(guò)客戶(hù)端與服務(wù)器之間指定的時(shí)間差時(shí)，將阻止可能未經(jīng)授權(quán)便訪問(wèn)現(xiàn)有會(huì)話。

服務(wù)和遠(yuǎn)程訪問(wèn)（VPN、IPSec）

使用 IPSec VPN 將降低“外部”計(jì)算機(jī)臨時(shí)進(jìn)入工廠系統(tǒng)以進(jìn)行維護(hù)和支持工作時(shí)所產(chǎn)生的潛在危險(xiǎn)。虛擬專(zhuān)用網(wǎng) (VPN) 提供了從外部設(shè)備到受保護(hù)的控制系統(tǒng)可靠而安全的連接。西門(mén)子安全理念建議使用此方法，并將 Microsoft ISA Server 2006 與隔離網(wǎng)絡(luò)結(jié)合使用。如果通過(guò) Web 瀏覽器訪問(wèn)工廠數(shù)據(jù)，則安全理念建議通過(guò)具有 HTTPS 的安全套接字層 (SSL) 或者基于 IPSec 和用戶(hù)身份驗(yàn)證的用戶(hù)名和密碼，進(jìn)行數(shù)據(jù)加密和服務(wù)器身份驗(yàn)證。

Enlarge

網(wǎng)絡(luò)結(jié)構(gòu)和管理

我們提供了以下功能，包括實(shí)施 DHCP 服務(wù)器、分配 IP 地址、將工廠分區(qū)映射到子網(wǎng)以及借助 Windows Active Directory 集中管理工廠的計(jì)算機(jī)或用戶(hù)，以支持 SIMATIC PCS 7 系統(tǒng)靈活的網(wǎng)絡(luò)結(jié)構(gòu)和高效的管理。

災(zāi)難恢復(fù)

災(zāi)難恢復(fù)的目的是在發(fā)生自然或人為事故后，能夠重新訪問(wèn)數(shù)據(jù)、硬件和軟件，并重新開(kāi)始運(yùn)行。由于過(guò)程工程越來(lái)越多地受數(shù)據(jù)的推動(dòng)，因此快速恢復(fù)數(shù)據(jù)的能力就變得非常重要了。在 SIMATIC PCS 7 系統(tǒng)中，每臺(tái) PC 都具有系統(tǒng)軟件的完整映像，若出現(xiàn)數(shù)據(jù)丟失，可隨時(shí)用來(lái)恢復(fù)系統(tǒng)分區(qū)。西門(mén)子提供了幾個(gè)用于歸檔過(guò)程數(shù)據(jù)的程序，例如：Storage Plus、Central Archive Server (CAS) 和 Simatic IT Historian。

To the top of the page

SIMATIC PCS 7 安全實(shí)驗(yàn)室

早在開(kāi)發(fā)過(guò)程中，IT 安全已被視為系統(tǒng)測(cè)試的組成部分，且是發(fā)布產(chǎn)品的先決條件。SIMATIC PCS 7 安全實(shí)驗(yàn)室的工作人員一直潛心致力于 IT 安全，其測(cè)試的結(jié)果直接流入產(chǎn)品和軟件開(kāi)發(fā)中。

To the top of the page

優(yōu)勢(shì)一覽

• 西門(mén)子專(zhuān)門(mén)針對(duì)過(guò)程工程工廠的特定需求，提供了集成的全面安全性解決方案。

• 安全理念有效降低了風(fēng)險(xiǎn)、防止安全事故的發(fā)生，從而提高了工廠的可用性。

• 作為防火墻的工業(yè)安全模塊 SCALANCE S，還可通過(guò)采用加密和身份驗(yàn)證 (VPN)，保護(hù)系統(tǒng)/設(shè)備之間或網(wǎng)絡(luò)分段之間的數(shù)據(jù)傳輸免遭數(shù)據(jù)操縱和竊取的威脅。