西門子工業(yè)信息安全

時(shí)間：2021-04-25作者：上海騰希電氣技術(shù)有限公司瀏覽：171

對(duì)于公司、協(xié)會(huì)和政 府機(jī)構(gòu)的網(wǎng)絡(luò)攻擊已經(jīng)是顯而易見，所謂的“網(wǎng)絡(luò)戰(zhàn)”已經(jīng)成為現(xiàn)實(shí)。近年來在世界各地不斷發(fā)生的安全事件證明：越來越多的工業(yè)企業(yè)和工廠已經(jīng)成了被攻擊的目標(biāo)。攻擊的目標(biāo)和策略發(fā)著巨大的變化。攻擊正變得越來越具有侵略性而且所使用的攻擊工具正變得較加有效。這種變化的威脅情況需要從根本上重新思考信息和訪問保護(hù)措施，以及建立安全流程的安全理念。攻擊者正在升級(jí)——產(chǎn)品制造商和自動(dòng)化系統(tǒng)運(yùn)營商必須應(yīng)對(duì)這些威脅。

西門子的工業(yè)安全理念是多層防御，也被稱為“縱深防御”。這個(gè)概念對(duì)自動(dòng)化系統(tǒng)提供了全面和深入的保護(hù)。一方面，不同的、互補(bǔ)的保護(hù)機(jī)制應(yīng)對(duì)各種威脅（全面保護(hù)）。另一方面，攻擊者需要突破多重的防護(hù)。

西門子工業(yè)安全理念包含了工廠安全，網(wǎng)絡(luò)安全和系統(tǒng)完整三個(gè)重要部分（如下圖1）







圖1、西門子縱深防御

一、工廠安全

工廠安全是實(shí)現(xiàn)技術(shù)措施無法實(shí)現(xiàn)的安全。它包括了物理訪問保護(hù)措施如圍墻、十字轉(zhuǎn)門、攝像頭或者讀卡器及相應(yīng)的組織措施，尤其是安全的管理流程可以保證工廠的長期的安全。

1、物理訪問保護(hù)

可歸納如下類別：

制定相關(guān)措施和流程，防止未經(jīng)授權(quán)的人員訪問工廠 （見圖2）。

不同的工藝段需要采用各自的物理隔離，并制定相應(yīng)的訪問授權(quán) .

自動(dòng)化組件的關(guān)鍵部件需要采用物理訪問保護(hù)。例如，控制箱需要加鎖

物理訪問保護(hù)措施指導(dǎo)會(huì)影響所需的IT安全措施及其程度。例如授權(quán)的人可以進(jìn)入一個(gè)區(qū)域。那么網(wǎng)絡(luò)訪問接口或自動(dòng)化系統(tǒng)不需要獲得相同程度的公開。







圖2 未經(jīng)授權(quán)的物理訪問保護(hù)

2、安全管理

安全管理策略和組織措施是工業(yè)信息安全的重要組成部分。組織措施和技術(shù)措施必須相輔相成。要達(dá)到保護(hù)的目標(biāo)必須將這兩種措施**結(jié)合。

組織措施是建立一套完善的安全管理流程。

信息安全相關(guān)政策示例:

對(duì)于可接受的風(fēng)險(xiǎn)制定統(tǒng)一的規(guī)定

對(duì)于不尋常的活動(dòng)和事件制定上報(bào)機(jī)制

對(duì)于信息安全事件，做到交流通暢并編制文檔

規(guī)范移動(dòng)PC，智能手機(jī)和數(shù)據(jù)存儲(chǔ)等設(shè)備在工廠范圍內(nèi)的使用 （例如，禁止在工廠以外的地區(qū)使用這些設(shè)備）

信息安全相關(guān)流程示例 :

對(duì)于所使用的設(shè)備部件，需要處理并修正已知的脆弱點(diǎn)

發(fā)生安全事件時(shí)的流程（安全響應(yīng)計(jì)劃）

發(fā)生安全事件后恢復(fù)生產(chǎn)系統(tǒng)的流程

記錄和評(píng)估安全事件，并記錄配置變化

在工廠范圍內(nèi)使用外部數(shù)據(jù)存儲(chǔ)設(shè)備之前，要執(zhí)行測(cè)試程序和檢查程序

在制定安全措施之前必須作風(fēng)險(xiǎn)分析。風(fēng)險(xiǎn)分析是對(duì)工廠和機(jī)器進(jìn)行信息安全管理的先決條件，其目的在于識(shí)別和評(píng)估不同 用戶所面臨的危害和風(fēng)險(xiǎn)（見圖3）。 風(fēng)險(xiǎn)分析的典型內(nèi)容：

識(shí)別可能受到威脅的目標(biāo)

分析**和潛在的損失

威脅和弱點(diǎn)分析

識(shí)別已有的信息安全措施

風(fēng)險(xiǎn)評(píng)估







圖3 特定工廠風(fēng)險(xiǎn)分析決策圖

二、網(wǎng)絡(luò)安全

西門子工業(yè)信息安全理念的*元素是網(wǎng)絡(luò)安全。包括了對(duì)自動(dòng)化系統(tǒng)未經(jīng)授權(quán)的訪問保護(hù)和連接到其他網(wǎng)絡(luò)（如辦公網(wǎng)絡(luò)和由于遠(yuǎn)程訪問的需求連接到Internet網(wǎng)絡(luò)）的所有接口安全審查。網(wǎng)絡(luò)安全也包括通信保護(hù)防止通信被攔截和操縱。例如：數(shù)據(jù)加密傳輸和相應(yīng)通信節(jié)點(diǎn)間的身份認(rèn)證。

1、確保辦公網(wǎng)絡(luò)和工廠網(wǎng)絡(luò)之間接口的安全

過渡到其它網(wǎng)絡(luò)時(shí)，可以通過*墻和建立非軍事化區(qū)（DMZ）對(duì)工廠網(wǎng)絡(luò)進(jìn)行監(jiān)控和保護(hù)。DMZ是為了保護(hù)工廠網(wǎng)絡(luò)增加的一道安全防線。DMZ區(qū)對(duì)其它網(wǎng)絡(luò)可以提供數(shù)據(jù)服務(wù)，同時(shí)也確保其它網(wǎng)絡(luò)不能直接訪問自動(dòng)化網(wǎng)絡(luò)。這種設(shè)計(jì)使得從DMZ區(qū)不能訪問和連接到其它系統(tǒng)。即使DMZ區(qū)的計(jì)算機(jī)被黑客劫持，自動(dòng)化網(wǎng)絡(luò)仍然能被保護(hù)（見圖4）。







圖4、辦公網(wǎng)絡(luò)和工廠網(wǎng)絡(luò)之間使用非軍事化區(qū)傳輸數(shù)據(jù)

較簡單的情況，通過一個(gè)*墻實(shí)現(xiàn)隔離。該*墻可以控制和管理不同網(wǎng)絡(luò)之間的通信。較安全的是在各自的網(wǎng)絡(luò)邊界之間的連接一個(gè)非軍事區(qū)（DMZ）實(shí)現(xiàn)隔離。非軍事化區(qū)限制了生產(chǎn)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)之間的直接數(shù)據(jù)通信；通信過程只能通過非軍事化區(qū)（DMZ）中的服務(wù)器間接完成 。

2、網(wǎng)絡(luò)分段和單元保護(hù)概念

網(wǎng)絡(luò)分段是把工廠網(wǎng)絡(luò)被劃分成幾個(gè)獨(dú)立被保護(hù)的自動(dòng)化單元。這樣可以減小風(fēng)險(xiǎn)較進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全性。一個(gè)網(wǎng)絡(luò)的部分（例如一個(gè)IP子網(wǎng)）通過一個(gè)安全來保護(hù)。通過分段來實(shí)現(xiàn)網(wǎng)絡(luò)安全。因此，“單元”中的設(shè)備可以防止來自外部未經(jīng)授權(quán)的訪問且不影響實(shí)時(shí)性能或者其它功能。

*墻可以控制對(duì)單元的訪問，操作員可以定義哪些網(wǎng)絡(luò)節(jié)點(diǎn)之間可以通過什么協(xié)議相互通信。通過此方式不僅拒絕未經(jīng)授權(quán)人員的訪問，也降低網(wǎng)絡(luò)的通信負(fù)載。只有希望和需要的通信是被允許的。

根據(jù)網(wǎng)絡(luò)站點(diǎn)的通信和保護(hù)需求，劃分單元和分配設(shè)備到相應(yīng)的單元。來往于單元的數(shù)據(jù)傳輸是通過安全設(shè)備的*進(jìn)行加密處理。這樣有效的防止窺探和操縱數(shù)據(jù)。通過*技術(shù)認(rèn)證了通信的節(jié)點(diǎn)和授權(quán)了他們需要訪問的地方。例如，單元保護(hù)的概念可以通過集成安全功能的組件SCALANCE S 或SIMATIC S7自動(dòng)化系統(tǒng)的安全CP卡實(shí)現(xiàn)（見圖5）。







圖5、 通過集成安全的產(chǎn)品實(shí)現(xiàn)網(wǎng)絡(luò)分段和單元保護(hù)

網(wǎng)絡(luò)分段和單元保護(hù)可歸納如下：

單元”和“區(qū)域”的概念是出于安全的目的對(duì)網(wǎng)絡(luò)進(jìn)行分段隔離

通過設(shè)置信息安全網(wǎng)絡(luò)組件，對(duì)“單元入口”進(jìn)行訪問控制

將沒有獨(dú)立訪問保護(hù)機(jī)制的設(shè)備置于安全單元內(nèi)加以保護(hù)，這種方式主要針對(duì)已經(jīng)正常運(yùn)行設(shè)備的改造

劃分各個(gè)單元可以防止由于帶寬限制造成的網(wǎng)絡(luò)過載，保護(hù)單元內(nèi)部的數(shù)據(jù)通信不受干擾

在各個(gè)單元內(nèi)部不影響實(shí)時(shí)通信

在網(wǎng)絡(luò)單元內(nèi)部，對(duì)功能安全設(shè)備提供保護(hù)

在單元和單元之間通過建立安全通道實(shí)現(xiàn)安全通信

網(wǎng)絡(luò)分段的單元防護(hù)理念是防止未經(jīng)授權(quán)訪問的一種防護(hù)措施。在安全單元內(nèi)部的數(shù)據(jù)不受信息安全設(shè)備的控制，因此我們假設(shè)各分段網(wǎng)絡(luò)內(nèi)部是安全的，或者在各個(gè)單元內(nèi)部部署了較進(jìn)一步的安全措施，例如，保證交換機(jī)的端口安全。

各個(gè)安全單元的大小的劃分主要取決于被保護(hù)對(duì)象所包含的內(nèi)容，具有相同需求的組件可能會(huì)劃分在一個(gè)安全單元以內(nèi)。建議根據(jù)生產(chǎn)流程規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)。這樣可以保證網(wǎng)絡(luò)分段時(shí)，各個(gè)網(wǎng)絡(luò)單元之間通信數(shù)據(jù)量較少，同時(shí)，可以使*墻配置的例外規(guī)則較小化。

為了保證性能需求，建議客戶遵循如下針對(duì)網(wǎng)絡(luò)規(guī)模和網(wǎng)絡(luò)分段的規(guī)則：

一個(gè) PROFINET IO 系統(tǒng)中的所有設(shè)備規(guī)劃到一個(gè)網(wǎng)絡(luò)單元中

設(shè)備和設(shè)備之間的通信數(shù)據(jù)量非常大的情況下，應(yīng)該將它們規(guī)劃到一個(gè)網(wǎng)絡(luò)單元中

如果一臺(tái)設(shè)備僅僅和一個(gè)網(wǎng)絡(luò)單元之間存在數(shù)據(jù)通信，同時(shí)保護(hù)目標(biāo)是一致的，則應(yīng)該將該設(shè)備和網(wǎng)絡(luò)單元合并到一個(gè)網(wǎng)絡(luò)單元

3、遠(yuǎn)程訪問的安全

越來越多的工廠通過互聯(lián)網(wǎng)被直接地連接到了一起。由于遠(yuǎn)程服務(wù)、遠(yuǎn)程應(yīng)用和監(jiān)控安裝在世界各地的機(jī)械設(shè)備的需求，遠(yuǎn)程的工廠通過移動(dòng)網(wǎng)絡(luò)(GPRS, UMTS, LTE)被連接起來。

這種情形，安全訪問尤其重要。借助搜索引擎、端口掃描或者自動(dòng)化的腳本，黑客*努力就可以很*得發(fā)現(xiàn)不安全的訪問節(jié)點(diǎn)。這就是通信節(jié)點(diǎn)為什么要身份認(rèn)證，數(shù)據(jù)的傳輸需要加密且數(shù)據(jù)的完整性必須保證。特別是對(duì)于工廠的關(guān)鍵基礎(chǔ)設(shè)施訪問。未經(jīng)授權(quán)人員的訪問，機(jī)密數(shù)據(jù)的讀取和控制命令參數(shù)的修改都可能導(dǎo)致相當(dāng)大的破壞，環(huán)境的污染及人員的傷害。

*的機(jī)制提供身份認(rèn)證，加密和完整性保護(hù)，已被證明可以提供有效保護(hù)功能。西門子的Internet 安全產(chǎn)品支持*連接，因此可以安全地傳輸通過互聯(lián)網(wǎng)或移動(dòng)網(wǎng)的控制訪問數(shù)據(jù)。

正常的情況下，設(shè)備認(rèn)證證書和值得信賴的IP地址或域名名稱通過*墻的規(guī)則來阻止或允許。*設(shè)備和SCALANCE S*墻使用特定用戶*墻規(guī)則賦予訪問用戶的權(quán)限。在這種情況下用戶使用他們的名字和密碼登陸Web界面，由于每個(gè)授權(quán)的用戶被分配了特殊的*墻規(guī)則，給用戶根據(jù)其訪問權(quán)限獲得相應(yīng)的訪問能力。優(yōu)勢(shì)在于可以清楚地跟蹤在特定時(shí)間對(duì)系統(tǒng)的訪問情況。

帶有三個(gè)端口的SCALANCE S623*墻給系統(tǒng)集成商、OEM和較終用戶提供了種解決方案。一方面，設(shè)備制造商出于遠(yuǎn)程維護(hù)的目的需要訪問安裝在較終用戶那里的機(jī)器；但另一方面，較終用戶的IT部門不愿意外部訪問機(jī)器所連接的整個(gè)網(wǎng)絡(luò)。通過SCALANCE S623，機(jī)器可以連接到工廠網(wǎng)絡(luò)并且使用*三個(gè)端口連接*墻到Internet。這樣可以從Internet訪問機(jī)器但從Internet訪問工廠網(wǎng)絡(luò)是被拒絕的。因此，技術(shù)服務(wù)人員可以遠(yuǎn)程訪問機(jī)器設(shè)備但不能訪問工廠網(wǎng)絡(luò)（見圖6）。







圖6、 不能訪問工廠網(wǎng)絡(luò)情況下遠(yuǎn)程訪問工廠設(shè)備

三、系統(tǒng)完整性

確保系統(tǒng)完整性被視為安全理念的*三大支柱。這意味著自動(dòng)化系統(tǒng)和控制器組件，SCADA和HMI系統(tǒng)，需要防止未經(jīng)授權(quán)的訪問和惡意軟件或者需要滿足特殊需求，如專有知識(shí)保護(hù)。

1、 在工廠網(wǎng)絡(luò)中保護(hù)基于PC的系統(tǒng)

就像辦公網(wǎng)絡(luò)的電腦系統(tǒng)防止惡意軟件和通過安裝較新和補(bǔ)丁來消除操作系統(tǒng)或用戶軟件已暴露的弱點(diǎn)一樣。在工廠網(wǎng)絡(luò)中的工業(yè)計(jì)算機(jī)和基于PC的控制系統(tǒng)也需要相應(yīng)的保護(hù)措施。在辦公環(huán)境已經(jīng)證明的保護(hù)系統(tǒng)（如病毒掃描器）也可以被使用。因?yàn)椴《緬呙杵鳠o法檢測(cè)到所有的病毒，無力阻止較新病毒模板之前的型病毒，特別在自動(dòng)化環(huán)境中不能及時(shí)的較新軟件例如需要24/7操作期。所以根據(jù)情況來選擇。

使用一種所謂的白名單軟件可以替代病毒掃描器。白名單只允許運(yùn)行用戶定義的程序列表。如果一個(gè)用戶或惡意軟件試圖安裝一個(gè)新的程序，白名單會(huì)拒絕來防止對(duì)系統(tǒng)的破環(huán)。

作為一個(gè)工業(yè)軟件的制造商，西門子支持被測(cè)試過且兼容的病毒掃描器或白名單軟件。

2、 控制層級(jí)的保護(hù)

我們已經(jīng)擁有計(jì)算機(jī)和網(wǎng)絡(luò)采取保護(hù)的知識(shí)。但對(duì)于特殊的設(shè)備及專有系統(tǒng)又如何保護(hù)呢？如何保護(hù)一個(gè)可編程控制器（PLC）和不使用商用操作系統(tǒng)或運(yùn)行了數(shù)年甚至數(shù)十年的老版本系統(tǒng)的操作員站？

第三方的安全軟件針對(duì)此是不能提供解決方案。訪問此類設(shè)備系統(tǒng)的功能幾乎不可能或訪問的功能非常有限。對(duì)于控制層級(jí)的安全方案，自動(dòng)化硬件制造商被要求提供相應(yīng)的安全機(jī)制和提供用戶特殊系統(tǒng)的安全設(shè)置項(xiàng)。同時(shí)，鼓勵(lì)用戶詢問制造商是否有安全機(jī)制和如何激活并設(shè)置安全選項(xiàng)。

對(duì)控制層級(jí)的保護(hù)的實(shí)質(zhì)是確?，F(xiàn)場控制器的可用性和對(duì)知識(shí)產(chǎn)權(quán)的保護(hù)。由于自動(dòng)化與IT的互連及集成不斷增加，訪問保護(hù)和防止操縱的要求在生產(chǎn)的工廠也發(fā)生著變化。這是現(xiàn)代控制系統(tǒng)不可缺少的部分。西門子新一代的控制器S7-1500已經(jīng)集成了此功能。除此之外，西門子控制提供的功能還有密碼保護(hù)、程序塊保護(hù)和復(fù)制保護(hù)等確保工廠網(wǎng)絡(luò)安全。

各個(gè)功能塊可以得到保護(hù)，也就意味著未經(jīng)授權(quán)的人無法訪問功能塊的內(nèi)容及對(duì)功能塊的算法的復(fù)制和修改。同時(shí)通過版權(quán)保護(hù)防止對(duì)設(shè)備的仿制。程序塊與存儲(chǔ)卡序列號(hào)的綁定使得被保護(hù)的程序只能運(yùn)行在合法的機(jī)器設(shè)備中。這些功能有助于保護(hù)機(jī)器設(shè)備制造商的投資和維護(hù)他們的技術(shù)優(yōu)勢(shì)。


上海騰希電氣技術(shù)有限公司專注于西門子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說明

• 移動(dòng)無線電 連接檢查

  連接檢查此功能用于確保保持與移動(dòng)無線網(wǎng)絡(luò)的連接。在此頁面上，可*用作連接監(jiān)視的參考的 WAN 地址（IPv4 地址或 FQDN）。設(shè)備會(huì)定期 (Ping Time Interval) 向已組態(tài)的 WAN 地址發(fā)送回送消息 (ping)。例如，如果組態(tài)了三個(gè) WAN 地址，設(shè)備將向**個(gè) WAN 地址發(fā)送一個(gè) ping。如果該 WAN 地址可訪問，則會(huì)發(fā)送回復(fù)。經(jīng)過組態(tài)的間隔后，設(shè)備會(huì)發(fā)送下一個(gè)

• 全局安全設(shè)置 更換證書

  更換證書簡介可以使用其它證書更換現(xiàn)有證書。操作步驟若要更換證書，請(qǐng)按照以下步驟進(jìn)行操作：打開項(xiàng)目樹中全局安全設(shè)置下的證書管理器。為要替換的證書選擇匹配表（根證書頒發(fā)機(jī)構(gòu)的 CA 證書、設(shè)備證書、受信證書）。單擊右鍵，打開所選證書的快捷菜單。單擊“更換”(Replace)。在用于更改證書頒發(fā)機(jī)構(gòu)的對(duì)話框中，可使用新證書更換項(xiàng)目的現(xiàn)有 CA 證書或 CA 組證書。將再次衍生“涉及的證書”(Certif

• 查找I/O設(shè)備未使用的 GSD 文件

  查找未使用的 GSD 文件簡介在硬件配置中添加一個(gè)基于 GSD 的硬件組件時(shí)，可將不同的 GSD 文件添加到項(xiàng)目數(shù)據(jù)中。如果從該組態(tài)再次刪除該基于 GSD 的硬件組件，則 GSD 文件將保留在該項(xiàng)目的數(shù)據(jù)庫中。如果硬件配置中不再使用基于 GSD 的相應(yīng)硬件組件，則項(xiàng)目中*包含這些 GSD 文件。使用搜索功能，可查找到項(xiàng)目中*使用的文件并進(jìn)行刪除。要求項(xiàng)目必須已打開。該項(xiàng)目不得在線。該項(xiàng)目不能設(shè)

• S7-1200PLC項(xiàng)目下載

  S7-1200的CPU本體上集成了PROFINET通信口，通過這個(gè)通信口可以實(shí)現(xiàn)CPU與編程設(shè)備的通信。此外，S7-1200 可以通過連接CM1243-5擴(kuò)展模塊，然后電腦通過PC ADAPTER USB A2電纜、或者電腦上的CP卡（例如CP5612）通過PROFIBUS DP線進(jìn)行下載。當(dāng)然，S7-1200 還可以通過連接CP1243-1擴(kuò)展模塊，然后電腦通過網(wǎng)線進(jìn)行下載。在這里只介紹較常用的