應(yīng)用與選項

SIMATIC PCS 7 以其開創(chuàng)性的安全理念，為加工工程工廠的保護提供了全面的解決方案。該理念以嵌套的安全體系結(jié)構(gòu)為基礎(chǔ)（縱深防御），且代表了一種集成方法。它不局限于使用個別的安全方法（例如等級權(quán)力分配、身份驗證和加密）或設(shè)備（例如防火墻）。相反，它的長處在于，將各種安全措施相結(jié)合，配合應(yīng)用于工廠網(wǎng)絡(luò)中。運用本質(zhì)上安全的封閉安全區(qū)建設(shè)工廠，最終會使封閉系統(tǒng)符合美國食品和藥物管理局 (FDA) 第 21 條 CFR 法規(guī)的第 11 部分。 返回頁首

產(chǎn)品和功能

嵌套的安全體系結(jié)構(gòu)（縱深防御）

SIMATIC PCS 7 安全理念以軍事上的“縱深防御”戰(zhàn)略為基礎(chǔ)，根據(jù)該戰(zhàn)略，防御并不集中在單線圖上，而是分成若干層，迫使攻擊者客服多重障礙。在 IT 安全方面，縱深防御安全體系結(jié)構(gòu)指的是若干關(guān)鍵元素的結(jié)合。這種全面的方法不局限于使用個別的安全方法（例如數(shù)據(jù)加密或像防火墻之類的設(shè)備），相反，它以在系統(tǒng)的不同位置實施的各種安全方法的交互為基礎(chǔ)。 將工廠分成幾個安全區(qū) 基本上講，要將加工工廠劃分成單獨、有組織且可管理的片區(qū)，每個片區(qū)都形成自己的安全區(qū)。安全區(qū)的大小可有所不同，小到自動化裝置大到整個廠房。通過根據(jù)位置和/或功能將工廠分為幾個邏輯片區(qū)，定義這些安全區(qū)。這些片區(qū)受所有必要的安全機制的保護，且可完全獨立運行。各個安全區(qū)之間數(shù)據(jù)和人員的流動受所定義和監(jiān)督訪問的管制。

病毒防護和防火墻

所有接入點的防火墻和病毒掃描程序?qū)⒎乐刮唇?jīng)授權(quán)便訪問安全區(qū)內(nèi)的各個計算機或網(wǎng)絡(luò)。因此，安全區(qū)內(nèi)不再需要額外的防火墻。這便簡化了計算機的管理并保持了系統(tǒng)性能。

SIMATIC PCS 7 安全理念支持使用 Microsoft Internet Security 和 Acceleration Server 2006 (ISA Server 2006)、Windows 防火墻和 Scalance S 安全模塊。因這些模塊具有的工業(yè)功能 (IP30) 及過程信息的優(yōu)化通信，其與辦公設(shè)備有所不同。除防火墻之外，病毒掃描程序是最知名的安全防護措施。SIMATIC PCS 7 支持三種最常用的針對生產(chǎn)和控制系統(tǒng)的病毒掃描程序。

• TrendmicroTM Office Scan Corporate Edition

• SymantecTM Antivirus Corporate Edition

• McAfeeTM VirusScan Enterprise

Windows 安全補丁管理

SIMATIC PCS 7 安全理念建議安裝相應(yīng)的安全補丁，以保護經(jīng)常在 Windows 操作系統(tǒng)下運行的過程控制系統(tǒng)內(nèi)部的各個工作站。為了評估計算機在防御安全威脅方面的漏洞，Microsoft Baseline Security Analyzer (MBSA) 可掃描并分析存在問題的計算機。該安全分析器將在報告中總結(jié)檢測出的漏洞并列出缺失的安全補丁。根據(jù)這份報告，用戶便可在沒有適當?shù)陌踩a丁保護的情況下繼續(xù)運行的風險與安裝這些補?。赡苄枰匦聠佑嬎銠C）要花費的精力和費用之間進行權(quán)衡。Microsoft 會定期發(fā)布這些補丁供用戶使用，以修復(fù)最近識別出的安全漏洞。SIMATIC PCS 7 安全實驗室會不斷審查這些補丁，確定其是否與當前版本的 SIMATIC PCS 7 相兼容，且會即時在線發(fā)布這些測試結(jié)果。

用戶管理和權(quán)限管理

借助精確的訪問控制進行一致的用戶管理和權(quán)限管理是安全理念的另一關(guān)鍵元素。它應(yīng)用最低權(quán)限原則。單個用戶或單個應(yīng)用僅擁有進行手頭的實際任務(wù)時所需的權(quán)限。這是避免有意或無意的操作失誤的最佳方式。SIMATIC PCS 7 支持借助 SIMATIC Logon 軟件包進行中央用戶管理，以為 SIMATIC 應(yīng)用程序和工廠區(qū)域分配權(quán)限。SIMATIC Logon 利用了 Windows 用戶管理工具的自動注銷和密碼自動失效的功能。 時間同步 SIMATIC PCS 7 工廠內(nèi)的時間同步將幫助最小化時間差，并支持所有時間關(guān)鍵型過程的同步、審計、記錄和歸檔。時間同步經(jīng)常會被忽略，但不應(yīng)被低估。非同步系統(tǒng)中的潛在威脅在于，系統(tǒng)可能會拒絕域客戶端登錄到其域控制器的權(quán)限。這是由 Windows 中的安全功能引起的，當超過客戶端與服務(wù)器之間指定的時間差時，將阻止可能未經(jīng)授權(quán)便訪問現(xiàn)有會話。

服務(wù)和遠程訪問（VPN、IPSec）

使用 IPSec VPN 將降低“外部”計算機臨時進入工廠系統(tǒng)以進行維護和支持工作時所產(chǎn)生的潛在危險。虛擬專用網(wǎng) (VPN) 提供了從外部設(shè)備到受保護的控制系統(tǒng)可靠而安全的連接。西門子安全理念建議使用此方法，并將 Microsoft ISA Server 2006 與隔離網(wǎng)絡(luò)結(jié)合使用。如果通過 Web 瀏覽器訪問工廠數(shù)據(jù)，則安全理念建議通過具有 HTTPS 的安全套接字層 (SSL) 或者基于 IPSec 和用戶身份驗證的用戶名和密碼，進行數(shù)據(jù)加密和服務(wù)器身份驗證。

Enlarge

網(wǎng)絡(luò)結(jié)構(gòu)和管理

我們提供了以下功能，包括實施 DHCP 服務(wù)器、分配 IP 地址、將工廠分區(qū)映射到子網(wǎng)以及借助 Windows Active Directory 集中管理工廠的計算機或用戶，以支持 SIMATIC PCS 7 系統(tǒng)靈活的網(wǎng)絡(luò)結(jié)構(gòu)和高效的管理。

災(zāi)難恢復(fù)

災(zāi)難恢復(fù)的目的是在發(fā)生自然或人為事故后，能夠重新訪問數(shù)據(jù)、硬件和軟件，并重新開始運行。由于過程工程越來越多地受數(shù)據(jù)的推動，因此快速恢復(fù)數(shù)據(jù)的能力就變得非常重要了。在 SIMATIC PCS 7 系統(tǒng)中，每臺 PC 都具有系統(tǒng)軟件的完整映像，若出現(xiàn)數(shù)據(jù)丟失，可隨時用來恢復(fù)系統(tǒng)分區(qū)。西門子提供了幾個用于歸檔過程數(shù)據(jù)的程序，例如：Storage Plus、Central Archive Server (CAS) 和 Simatic IT Historian。