IT 安全
應(yīng)用與選項
SIMATIC PCS 7 以其開創(chuàng)性的安全理念,為加工工程工廠的保護提供了全面的解決方案。該理念以嵌套的安全體系結(jié)構(gòu)為基礎(chǔ)(縱深防御),且代表了一種集成方法。它不局限于使用個別的安全方法(例如等級權(quán)力分配、身份驗證和加密)或設(shè)備(例如防火墻)。相反,它的長處在于,將各種安全措施相結(jié)合,配合應(yīng)用于工廠網(wǎng)絡(luò)中。運用本質(zhì)上安全的封閉安全區(qū)建設(shè)工廠,最終會使封閉系統(tǒng)符合美國食品和藥物管理局 (FDA) 第 21 條 CFR 法規(guī)的第 11 部分。 返回頁首
產(chǎn)品和功能
嵌套的安全體系結(jié)構(gòu)(縱深防御)
SIMATIC PCS 7 安全理念以軍事上的“縱深防御”戰(zhàn)略為基礎(chǔ),根據(jù)該戰(zhàn)略,防御并不集中在單線圖上,而是分成若干層,迫使攻擊者客服多重障礙。在 IT 安全方面,縱深防御安全體系結(jié)構(gòu)指的是若干關(guān)鍵元素的結(jié)合。這種全面的方法不局限于使用個別的安全方法(例如數(shù)據(jù)加密或像防火墻之類的設(shè)備),相反,它以在系統(tǒng)的不同位置實施的各種安全方法的交互為基礎(chǔ)。 將工廠分成幾個安全區(qū) 基本上講,要將加工工廠劃分成單獨、有組織且可管理的片區(qū),每個片區(qū)都形成自己的安全區(qū)。安全區(qū)的大小可有所不同,小到自動化裝置大到整個廠房。通過根據(jù)位置和/或功能將工廠分為幾個邏輯片區(qū),定義這些安全區(qū)。這些片區(qū)受所有必要的安全機制的保護,且可完全獨立運行。各個安全區(qū)之間數(shù)據(jù)和人員的流動受所定義和監(jiān)督訪問的管制。
病毒防護和防火墻
所有接入點的防火墻和病毒掃描程序?qū)⒎乐刮唇?jīng)授權(quán)便訪問安全區(qū)內(nèi)的各個計算機或網(wǎng)絡(luò)。因此,安全區(qū)內(nèi)不再需要額外的防火墻。這便簡化了計算機的管理并保持了系統(tǒng)性能。
SIMATIC PCS 7 安全理念支持使用 Microsoft Internet Security 和 Acceleration Server 2006 (ISA Server 2006)、Windows 防火墻和 Scalance S 安全模塊。因這些模塊具有的工業(yè)功能 (IP30) 及過程信息的優(yōu)化通信,其與辦公設(shè)備有所不同。除防火墻之外,病毒掃描程序是最知名的安全防護措施。SIMATIC PCS 7 支持三種最常用的針對生產(chǎn)和控制系統(tǒng)的病毒掃描程序。
-
TrendmicroTM Office Scan Corporate Edition
-
SymantecTM Antivirus Corporate Edition
-
McAfeeTM VirusScan Enterprise
Windows 安全補丁管理
SIMATIC PCS 7 安全理念建議安裝相應(yīng)的安全補丁,以保護經(jīng)常在 Windows 操作系統(tǒng)下運行的過程控制系統(tǒng)內(nèi)部的各個工作站。為了評估計算機在防御安全威脅方面的漏洞,Microsoft Baseline Security Analyzer (MBSA) 可掃描并分析存在問題的計算機。該安全分析器將在報告中總結(jié)檢測出的漏洞并列出缺失的安全補丁。根據(jù)這份報告,用戶便可在沒有適當?shù)陌踩a丁保護的情況下繼續(xù)運行的風險與安裝這些補?。赡苄枰匦聠佑嬎銠C)要花費的精力和費用之間進行權(quán)衡。Microsoft 會定期發(fā)布這些補丁供用戶使用,以修復(fù)最近識別出的安全漏洞。SIMATIC PCS 7 安全實驗室會不斷審查這些補丁,確定其是否與當前版本的 SIMATIC PCS 7 相兼容,且會即時在線發(fā)布這些測試結(jié)果。
用戶管理和權(quán)限管理
借助精確的訪問控制進行一致的用戶管理和權(quán)限管理是安全理念的另一關(guān)鍵元素。它應(yīng)用最低權(quán)限原則。單個用戶或單個應(yīng)用僅擁有進行手頭的實際任務(wù)時所需的權(quán)限。這是避免有意或無意的操作失誤的最佳方式。SIMATIC PCS 7 支持借助 SIMATIC Logon 軟件包進行中央用戶管理,以為 SIMATIC 應(yīng)用程序和工廠區(qū)域分配權(quán)限。SIMATIC Logon 利用了 Windows 用戶管理工具的自動注銷和密碼自動失效的功能。 時間同步 SIMATIC PCS 7 工廠內(nèi)的時間同步將幫助最小化時間差,并支持所有時間關(guān)鍵型過程的同步、審計、記錄和歸檔。時間同步經(jīng)常會被忽略,但不應(yīng)被低估。非同步系統(tǒng)中的潛在威脅在于,系統(tǒng)可能會拒絕域客戶端登錄到其域控制器的權(quán)限。這是由 Windows 中的安全功能引起的,當超過客戶端與服務(wù)器之間指定的時間差時,將阻止可能未經(jīng)授權(quán)便訪問現(xiàn)有會話。
服務(wù)和遠程訪問(VPN、IPSec)
使用 IPSec VPN 將降低“外部”計算機臨時進入工廠系統(tǒng)以進行維護和支持工作時所產(chǎn)生的潛在危險。虛擬專用網(wǎng) (VPN) 提供了從外部設(shè)備到受保護的控制系統(tǒng)可靠而安全的連接。西門子安全理念建議使用此方法,并將 Microsoft ISA Server 2006 與隔離網(wǎng)絡(luò)結(jié)合使用。如果通過 Web 瀏覽器訪問工廠數(shù)據(jù),則安全理念建議通過具有 HTTPS 的安全套接字層 (SSL) 或者基于 IPSec 和用戶身份驗證的用戶名和密碼,進行數(shù)據(jù)加密和服務(wù)器身份驗證。
網(wǎng)絡(luò)結(jié)構(gòu)和管理
我們提供了以下功能,包括實施 DHCP 服務(wù)器、分配 IP 地址、將工廠分區(qū)映射到子網(wǎng)以及借助 Windows Active Directory 集中管理工廠的計算機或用戶,以支持 SIMATIC PCS 7 系統(tǒng)靈活的網(wǎng)絡(luò)結(jié)構(gòu)和高效的管理。
災(zāi)難恢復(fù)
災(zāi)難恢復(fù)的目的是在發(fā)生自然或人為事故后,能夠重新訪問數(shù)據(jù)、硬件和軟件,并重新開始運行。由于過程工程越來越多地受數(shù)據(jù)的推動,因此快速恢復(fù)數(shù)據(jù)的能力就變得非常重要了。在 SIMATIC PCS 7 系統(tǒng)中,每臺 PC 都具有系統(tǒng)軟件的完整映像,若出現(xiàn)數(shù)據(jù)丟失,可隨時用來恢復(fù)系統(tǒng)分區(qū)。西門子提供了幾個用于歸檔過程數(shù)據(jù)的程序,例如:Storage Plus、Central Archive Server (CAS) 和 Simatic IT Historian。
SIMATIC PCS 7 安全實驗室
早在開發(fā)過程中,IT 安全已被視為系統(tǒng)測試的組成部分,且是發(fā)布產(chǎn)品的先決條件。SIMATIC PCS 7 安全實驗室的工作人員一直潛心致力于 IT 安全,其測試的結(jié)果直接流入產(chǎn)品和軟件開發(fā)中。
西門子專門針對過程工程工廠的特定需求,提供了集成的全面安全性解決方案。
安全理念有效降低了風險、防止安全事故的發(fā)生,從而提高了工廠的可用性。
作為防火墻的工業(yè)安全模塊 SCALANCE S,還可通過采用加密和身份驗證 (VPN),保護系統(tǒng)/設(shè)備之間或網(wǎng)絡(luò)分段之間的數(shù)據(jù)傳輸免遭數(shù)據(jù)操縱和竊取的威脅。
優(yōu)勢一覽