SIMATIC PCS 7 过程自动化的信息安全
如今,各家工厂都会直接或间接地连接到因特网中,这就为他们的生产过程、产品质量控制以及利润保障带来风险。SIMATIC PCS 7 的信息安全解决方案,可有效防范这些安全隐患,确保生产系统的正常运行。
概览
应用
优势
安全产品与服务
应用
SIMATIC PCS 7 的基于纵深防御的信息安全理念为生产过程提供安全解决方案。这种集成的安全理念并不局限于实施单独的安全过程(例如,层级权限分配、身份认证和加密)或安全设备(例如防火墙)。相反,它综合所有安全措施并在工厂网络进行完美协作。而且,这种解决方案中将工厂分隔为多个安全单元,符合IEC62443 / ISA 99 - 工业自动化与控制系统的信息安全标准。
Enlarge
To the top of the page
优势
西门子可根据工厂过程控制的特定需求,为用户量身定制完整的信息安全解决方案
纵深防御安全理念不但增强了对系统的信息安全防护,同时还降低了各种潜在风险,极大提高了工厂的可用性
覆盖整个生命周期的信息安全机制,可全方位保护工厂安全
To the top of the page
安全产品与服务
Enlarge
将工厂分段为多个安全单元
网络分段是将工厂生产过程分隔为彼此独立、组织有序且易于管理的多个区域,即各自形成一个安全单元。可以根据位置或者功能,将工厂分隔为各个安全单元。这种安全单元可大可小,既可以是一个小型的自动化设备,也可以是一整栋楼宇。所有安全单元都实行安全机制进行完善保护,并保证可以自主运行。系统会事先定义各个安全单元间的数据通讯和人员流动规则,并对访问进行严密监控。
病毒防护软件和防火墙
在专用接入点处安装防火墙和病毒扫描程序,可以保护安全单元中的各个计算机或网络,防止未经授权的访问或者入侵。因此,在安全单元中就无需再安装其它防火墙。这种安全措施不但简化了计算机的管理和维护,同时还可提高系统性能。SIMATIC PCS 7 信息安全理念中还可使用 Microsoft® Forefront Threat Management Gateway安全网关、Windows 防火墙以及 Scalance S 安全模块和基于 IPSec 的 VPN 连接方式等其它安全措施。这些安全模块与其它办公设备不同,不但具有优良的工业性能同时还可优化信息通信。除了防火墙,病毒扫描程序也是一种最为常用的安全防范措施。SIMATIC PCS 7 系统可支持市面上最常用的 3 种用于生产和控制系统的防病毒软件。
Trendmicro™ Office Scan 企业版
SymaSymantec™ Antivirus 企业版
McAMcAfee™ VirusScan 企业版
Windows 安全补丁管理
SIMATIC PCS 7 安全理念中,建议用户安装相应的安全补丁程序,及时对过程控制系统的各个工作站进行有效保护。并使用微软基线安全性分析器 Microsoft Baseline Security Analyzer (MBSA) 对计算机进行扫描和分析,查找安全漏洞并防范各种安全威胁。MBSA会将检测到的安全漏洞以及未安装的安全补丁以报表形式列出。基于这份报告,用户可以对未安装这些安全补丁并继续运行系统的风险以及安装这些补丁程序的工作量和成本(安装补丁程序的过程中可能需要重新启动计算机)进行权衡,并最终确定否安装补丁程序。Microsoft 会定期发布安全补丁以修复最新发现的各种安全漏洞。与此同时,SIMATIC PCS 7 信息安全实验室会持续地检测这些补丁程序与当前 SIMATIC PCS 7 版本的兼容性,并在测试结束后,立即在线发布测试结果。
用户和权限管理
通过明确定义访问控制权限,对用户和权限进行统一管理,是安全理念的要素之一。在这种安全理念中,通常采用最低权限原则。这意味着每个用户或应用程序只能获得处理当前任务所需要的权限。通过这种方式,可以有效避免有意或无意的操作失误。在 SIMATIC PCS 7 中,可通过SIMATIC Logon 软件包进行用户统一管理,为 SIMATIC 应用程序和工厂区域指定相应的权限。 SIMATIC Logon 通过调用 Windows 用户管理工具,实现例如自动注销和自动密码失效等用户管理功能。
时间同步
利用
SIMATIC PCS 7 的时间同步,不但可将时间误差降至最低,还可以实现对时间要求严格的过程进行同步、文档记录和归档。时间同步是一个非常重要的安全措施,但往往会被人们忽视。未同步的系统往往存在一个潜在风险。即域控制器可能会拒绝域客户端的登录操作。导致这一问题的原因是 Windows 自带的一个安全功能,当客户端与服务器间的时间差超过设定值时,该安全功能将阻止对现有会话的未经授权访问。
服务和远程访问
通过 VPN 连接可降低在进行维护和技术支持时临时允许“外部”计算机访问工厂内部所带来的潜在危险。通过虚拟专用网 (VPN),可确保外部设备与受保护控制系统间通信连接可靠安全。在西门子信息安全理念中,建议在受保护网络中采用这种连接方式的同时,安装 Microsoft® Forefront Threat Management Gateway (TMG)安全网关。在需要通过 Web 浏览器访问工厂数据时,信息安全理念建议使用数据加密和服务器认证这两种安全措施,而无需考虑是采用 HTTPS 协议的安全套接字层 (SSL) 进行连接,还是采用 IPSec 和基于用户名和密码的用户认证等机制。
网络架构和管理
通过在 SIMATIC PCS 7 系统中定义 DHCP 服务器、分配 IP 地址、将各个网络分段映射到不同子网中,同时通过 Windows Active Directory 对工厂中的计算机或用户进行统一管理,不但可以满足网络结构灵活性的需求,同时还增加了系统管理的高效性。
应用程序白名单机制
采用应用程序白名单保护机制,可以确保在 SIMATIC PCS 7 过程控制系统的工作站中仅运行可信的应用程序。这种机制可以有效阻止非法软件的运行和对所安装应用程序的更改,进一步提高了对恶意软件的防范能力。
自动化防火墙
自动化防火墙的运行基于微软的安全网关 Microsoft® Forefront Threat Management Gateway 2010,具有数据包过滤器状态检测、应用层防火墙、VPN 网关功能、URL 址址过滤、Web 代理、病毒扫描以及入侵防御等多种功能,因而可确保从办公室、公司内网或者因特网通过接入点访问生产网络时数据通信的安全性。根据工厂规模的不同,可采用以下保护措施:
对于过程工厂和 IT 网络中的安全远程访问,可设置接入点防火墙
对于采用复杂边界网络的工厂,可设置三宿主防火墙
对于带有大量边界网络的大型工厂,则可采用前端和后端防火墙实现最大程度的安全保护
自动化防火墙在供货交付时已完成预安装,并采用界面友好的组态向导辅助用户进行安装设置。
灾备恢复
灾备恢复机制旨在经历了自然或人为事故之后恢复对数据、硬件和软件的访问,并重新启动生产操作。由于当前的过程工程组态中越来越多采用数据驱动机制,因而快速数据恢复功能也变得非常重要。
在 SIMATIC PCS 7 系统中,每台计算机都备有完整的系统软件映像文件。一旦发生数据丢失,可随时使用这些映像文件对系统分区进行恢复。除此之外,西门子还推出了诸如 StoragePlus、中央归档服务器 (CAS)、历史数据归档和 SIMATIC IT Historian 等软件对过程数据进行归档。
西门子工业信息安全控制系统的应用
下图中,我们简要介绍了如何设计一个安全系统,实现最高等级的安全防护。
西门子SIMATIC PCS 7 Enlarge
SIMATIC 工业信息安全实验室
工业信息安全是西门子安全理念的一部分,所有产品在面市发布之前都必需通过包含工业信息安全在内的严密系统测试。 SIMATIC 信息安全实验室,持续研究工业数据的安全性并将这些测试结果直接应用到后续的产品和软件研发过程中。
本文地址:http://www.btone-mro.com/BtoneInform/newsContent.aspx?id=2369