西门子代理|电线电缆总代理

  西门子工业信息安全理念的中央元素是网络安全。包括了对自动化系统未经授权的访问保护和连接到其他网络（如办公网络和由于远程访问的需求连接到Internet网络）的所有接口安全审查。网络安全也包括通信保护防止通信被拦截和操纵。例如：数据加密传输和相应通信节点间的身份认证。

  1、确保办公网络和工厂网络之间接口的安全

过渡到其它网络时，可以通过防火墙和建立非军事化区（DMZ）对工厂网络进行监控和保护。DMZ是为了保护工厂网络增加的一道安全防线。DMZ区对其它网络可以提供数据服务，同时也确保其它网络不能直接访问自动化网络。这种设计使得从DMZ区不能访问和连接到其它系统。即使DMZ区的计算机被劫持，自动化网络仍然能被保护（见图4）。

图4、办公网络和工厂网络之间使用非军事化区传输数据

***简单的情况，通过一个防火墙实现隔离。该防火墙可以控制和管理不同网络之间的通信。更安全的是在各自的网络边界之间的连接一个非军事区（DMZ）实现隔离。非军事化区限制了生产网络和办公网络之间的直接数据通信；通信过程只能通过非军事化区（DMZ）中的服务器间接完成 。

2、网络分段和单元保护概念

网络分段是把工厂网络被划分成几个独立被保护的自动化单元。这样可以减小风险更进一步增强网络的安全性。一个网络的部分（例如一个IP子网）通过一个安全来保护。通过分段来实现网络安全。因此，“单元"中的设备可以防止来自外部未经授权的访问且不影响实时性能或者其它功能。

防火墙可以控制对单元的访问，操作员可以定义哪些网络节点之间可以通过什么协议相互通信。通过此方式不仅拒绝未经授权人员的访问，也降低网络的通信负载。只有希望和需要的通信是被允许的。

根据网络站点的通信和保护需求，划分单元和分配设备到相应的单元。来往于单元的数据传输是通过安全设备的VPN进行加密处理。这样有效的防止窥探和操纵数据。通过VPN技术认证了通信的节点和授权了他们需要访问的地方。例如，单元保护的概念可以通过集成安全功能的组件SCALANCE  S  或SIMATIC S7自动化系统的安全CP卡实现（见图5）。

图5、 通过集成安全的产品实现网络分段和单元保护

网络分段和单元保护可归纳如下：

单元"和“区域"的概念是出于安全的目的对网络进行分段隔离

通过设置信息安全网络组件，对“单元入口"进行访问控制

将没有独立访问保护机制的设备置于安全单元内加以保护，这种方式主要针对已经正常运行设备的改造

划分各个单元可以防止由于带宽限制造成的网络过载，保护单元内部的数据通信不受干扰

在各个单元内部不影响实时通信

在网络单元内部，对功能安全设备提供保护

在单元和单元之间通过建立安全通道实现安全通信

网络分段的单元防护理念是防止未经授权访问的一种防护措施。在安全单元内部的数据不受信息安全设备的控制，因此我们假设各分段网络内部是安全的，或者在各个单元内部部署了更进一步的安全措施，例如，保证交换机的端口安全。

各个安全单元的大小的划分主要取决于被保护对象所包含的内容，具有相同需求的组件可能会划分在一个安全单元以内。建议根据生产流程规划网络结构。这样可以保证网络分段时，各个网络单元之间通信数据量***少，同时，可以使防火墙配置的例外规则***小化。

为了保证性能需求，建议客户遵循如下针对网络规模和网络分段的规则：

一个 PROFINET IO 系统中的所有设备规划到一个网络单元中

设备和设备之间的通信数据量非常大的情况下，应该将它们规划到一个网络单元中

如果一台设备仅仅和一个网络单元之间存在数据通信，同时保护目标是一致的，则应该将该设备和网络单元合并到一个网络单元

3、远程访问的安全

越来越多的工厂通过互联网被直接地连接到了一起。由于远程服务、远程应用和监控安装在世界各地的机械设备的需求，远程的工厂通过移动网络(GPRS,  UMTS,  LTE)被连接起来。

这种情形，安全访问尤其重要。借助搜索引擎、端口扫描或者自动化的脚本，无需努力就可以很容易得发现不安全的访问节点。这就是通信节点为什么要身份认证，数据的传输需要加密且数据的完整性必须保证。特别是对于工厂的关键基础设施访问。未经授权人员的访问，机密数据的读取和控制命令参数的修改都可能导致相当大的破坏，环境的污染及人员的伤害。

VPN的机制提供身份认证，加密和完整性保护，已被证明可以提供有效保护功能。西门子的Internet 安全产品支持VPN连接，因此可以安全地传输通过互联网或移动网的控制访问数据。

正常的情况下，设备认证证书和值得信赖的IP地址或域名名称通过防火墙的规则来阻止或允许。VPN设备和SCALANCE S防火墙使用特定用户防火墙规则赋予访问用户的权限。在这种情况下用户使用他们的名字和密码登陆Web界面，由于每个授权的用户被分配了特殊的防火墙规则，给用户根据其访问权限获得相应的访问能力。优势在于可以清楚地跟踪在特定时间对系统的访问情况。

带有三个端口的SCALANCE S623防火墙给系统集成商、OEM和***终用户提供了种解决方案。一方面，设备制造商出于远程维护的目的需要访问安装在***终用户那里的机器；但另一方面，***终用户的IT部门不愿意外部访问机器所连接的整个网络。通过SCALANCE S623，机器可以连接到工厂网络并且使用第三个端口连接防火墙到Internet。这样可以从Internet访问机器但从Internet访问工厂网络是被拒绝的。因此，技术服务人员可以远程访问机器设备但不能访问工厂网络（见图6）。

图6、 不能访问工厂网络情况下远程访问工厂设备