如今,各家工廠都會直接或間接地連接到因特網(wǎng)中,這就為他們的生產(chǎn)過程、產(chǎn)品質(zhì)量控制以及利潤保障帶來風險。西門子SIMATIC PCS 7 的信息安全解決方案,可有效防范這些安全隱患,確保生產(chǎn)系統(tǒng)的正常運行。
應用
SIMATIC PCS 7 的基于縱深防御的信息安全理念為生產(chǎn)過程提供安全解決方案。這種集成的安全理念并不局限于實施單獨的安全過程(例如,層級權限分配、身份認證和加密)或安全設備(例如防火墻)。相反,它綜合所有安全措施并在工廠網(wǎng)絡進行完美協(xié)作。而且,這種解決方案中將工廠分隔為多個安全單元,符合IEC62443 / ISA 99 - 工業(yè)自動化與控制系統(tǒng)的信息安全標準。
優(yōu)勢
●西門子可根據(jù)工廠過程控制的特定需求,為用戶量身定制完整的信息安全解決方案
●縱深防御安全理念不但增強了對系統(tǒng)的信息安全防護,同時還降低了各種潛在風險,極大提高了工廠的可用性
●覆蓋整個生命周期的信息安全機制,可全方位保護工廠安全
安全產(chǎn)品與服務
將工廠分段為多個安全單元
網(wǎng)絡分段是將工廠生產(chǎn)過程分隔為彼此獨立、組織有序且易于管理的多個區(qū)域,即各自形成一個安全單元?梢愿鶕(jù)位置或者功能,將工廠分隔為各個安全單元。這種安全單元可大可小,既可以是一個小型的自動化設備,也可以是一整棟樓宇。所有安全單元都實行安全機制進行完善保護,并保證可以自主運行。系統(tǒng)會事先定義各個安全單元間的數(shù)據(jù)通訊和人員流動規(guī)則,并對訪問進行嚴密監(jiān)控。
病毒防護軟件和防火墻
在專用接入點處安裝防火墻和病毒掃描程序,可以保護安全單元中的各個計算機或網(wǎng)絡,防止未經(jīng)授權的訪問或者入侵。因此,在安全單元中就無需再安裝其它防火墻。這種安全措施不但簡化了計算機的管理和維護,同時還可提高系統(tǒng)性能。SIMATIC PCS 7 信息安全理念中還可使用 Microsoft? Forefront Threat Management Gateway安全網(wǎng)關、Windows 防火墻以及 Scalance S 安全模塊和基于 IPSec 的 VPN 連接方式等其它安全措施。這些安全模塊與其它辦公設備不同,不但具有優(yōu)良的工業(yè)性能同時還可優(yōu)化信息通信。除了防火墻,病毒掃描程序也是一種最為常用的安全防范措施。SIMATIC PCS 7 系統(tǒng)可支持市面上最常用的 3 種用于生產(chǎn)和控制系統(tǒng)的防病毒軟件。
●Trendmicro? Office Scan 企業(yè)版
●SymaSymantec? Antivirus 企業(yè)版
●McAMcAfee? VirusScan 企業(yè)版
Windows 安全補丁管理
SIMATIC PCS 7 安全理念中,建議用戶安裝相應的安全補丁程序,及時對過程控制系統(tǒng)的各個工作站進行有效保護。并使用微軟基線安全性分析器 Microsoft Baseline Security Analyzer (MBSA) 對計算機進行掃描和分析,查找安全漏洞并防范各種安全威脅。MBSA會將檢測到的安全漏洞以及未安裝的安全補丁以報表形式列出;谶@份報告,用戶可以對未安裝這些安全補丁并繼續(xù)運行系統(tǒng)的風險以及安裝這些補丁程序的工作量和成本(安裝補丁程序的過程中可能需要重新啟動計算機)進行權衡,并最終確定否安裝補丁程序。Microsoft 會定期發(fā)布安全補丁以修復最新發(fā)現(xiàn)的各種安全漏洞。與此同時,SIMATIC PCS 7 信息安全實驗室會持續(xù)地檢測這些補丁程序與當前 SIMATIC PCS 7 版本的兼容性,并在測試結束后,立即在線發(fā)布測試結果。
用戶和權限管理
通過明確定義訪問控制權限,對用戶和權限進行統(tǒng)一管理,是安全理念的要素之一。在這種安全理念中,通常采用最低權限原則。這意味著每個用戶或應用程序只能獲得處理當前任務所需要的權限。通過這種方式,可以有效避免有意或無意的操作失誤。在 SIMATIC PCS 7 中,可通過SIMATIC Logon 軟件包進行用戶統(tǒng)一管理,為 SIMATIC 應用程序和工廠區(qū)域指定相應的權限。 SIMATIC Logon 通過調(diào)用 Windows 用戶管理工具,實現(xiàn)例如自動注銷和自動密碼失效等用戶管理功能。