欢迎来到西门子工业支持中心网站!

  1. 移动端入口
    • 工业服务小程序
    • 支持中心移动端首页
    • 智能小西-智能问答与在线预约
    • SIEMENS工业找答案小程序
    • SIEMENS工业专家大讲堂小程序
    • 西门子工业1847俱乐部
    • 自动化So酷
  2. 签到有奖
  3. 登录后可享:

    学技术视频
    查海量资料
    论话题经验
    问常见问题
    立即登录

    还没有账号?

    立即注册
  4. 会员
  5. 消息

    登录后可查看消息记录

    立即登录
  6. 收藏

    登录后可查看收藏记录

    立即登录
  7. 历史

    登录后可查看历史记录

  8. 公告
搜索

热搜词:1847工业学习平台3TF退市声明售前选型

  • 技术支持
    • 首页
    • 智能小西-自动预约
    • 风驰卡
    • 产品入门
  • 下载中心
    • 首页
    • 售前文档(样本、宣传册等)
    • 售后文档(FAQ、手册等)
  • 工业学习平台
    • 首页
    • 了解会员权益
    • 立即开通1847会员
  • 培训认证
    • 首页
    • 取证训练营
    • 教室培训
    • 证书查询
  • 技术论坛
    • 首页
    • 最新发帖
    • 精华帖
    • 发新帖
  • 找答案
    • 首页
    • 已解决问题
    • 精华常见问题
    • 发布新问题
  • 售后服务
    • 首页
    • 提交服务需求
    • 查询服务进程

西门子官方商城

西门子中国
  • 工业自动化
  • 驱动技术
  • 客户服务
  • 冶金技术
  • 行业市场解决方案
  • 工业支持中心
工业支持中心
  • 我的支持中心
  • 下载中心
  • 全球技术资源
  • 1847工业学习平台
  • 产品入门新手必读
  • 找答案
  • 技术论坛
  • 售后服务
  • 网络资源新手必读
  • 高级搜索
技术论坛
  • 论坛公告
  • 用户指南
  • 用户排行榜
  • 热门帖子
  • 最高收藏帖
  • 精华帖
  • 分享帖
  • 高端推荐帖
  • 在线用户列表
  • 论坛管理
1847大咖专栏 / 冯工聊工业网络
西门子工业信息安全知识介绍
 • 产品分类
自动化系统
    SIMATIC S7-1500(T) 
    SIMATIC S7-1200 
    SIMATIC S7-200
    SIMATIC S7-200 SMART 
    SIMATIC S7-300/400 
    SIMATIC S5
    SIMATIC Net
    Profinet技术开发专区
    工业边缘计算
    SIMATIC WinCC / Panel 
    SIMATIC WinCC OA (原PVSS)
    SIMATIC PCS 7
    IPC/PG
    LOGO!
    SIMATIC IOT2000
    工业电源
驱动技术
    MicroMaster 
    MasterDrives
    直流调速器
    电机
    SIMOTION
    SINAMICS 
    驱动技术综合产品
数控系统
    SINUMERIK 
    SIMODRIVE
低压电器
    低压电器
传感器与通讯
    过程仪表
    分析仪器
    工厂传感器
谈天说地
    谈天说地
 • 咱工程师的故事
网友专栏
    网友专栏 
1847大咖专栏
    电气传动系统漫谈
    崔工谈博途与PLC
    漫谈SCADA进阶之路
    运动控制产品天地
    聊聊收放卷
    运动控制应用天地
    驱动诊断
    西家讲师教学精要
    漫谈过程自动化
    PROFINET工业通信详解
    冯工聊工业网络
    EMC问题及处理
特别专题
    专家大讲堂课后探讨
    西家技术派
    专家诊断专栏
    西家传动
    自动化so酷
    西门子工业1847俱乐部
 • 培训与认证答疑专区
培训与认证答疑专区
    S7-1200精英训练营
    WinCC精英训练营
    S7-200SMART精英训练营
    小型自动化系统
    V90精英训练营
    G120变频器精英训练营
    PLC编程精英训练营
 • 服务合作伙伴专区
服务合作伙伴专区
    西门子工业技术π圈
    Networks and Communication
    GMC蓝黄带考试-G120
    GMC蓝黄带考试-V90
    GMC 合作伙伴专区
  • 西门子工业信息安全知识介绍
  • 作者: 1847会员 冯学卫发布时间:2017-05-27 14:21:41浏览次数:5711次 锁帖 精华帖星级4级 精华帖 回复本帖
  • 标签:
    • 通信(通讯)
    • Internet
    • 层级
    • PROFINET

     

           对于公司、协会和政 府机构的网络攻击已经是显而易见,所谓的“网络战”已经成为现实。近年来在世界各地不断发生的安全事件证明:越来越多的工业企业和工厂已经成了被攻击的目标。攻击的目标和策略发着巨大的变化。攻击正变得越来越具有侵略性而且所使用的攻击工具正变得更加有效。这种变化的威胁情况需要从根本上重新思考信息和访问保护措施,以及建立安全流程的安全理念。攻击者正在升级——产品制造商和自动化系统运营商必须应对这些威胁。

        西门子的工业安全理念是多层防御,也被称为“纵深防御”。这个概念对自动化系统提供了全面和深入的保护。一方面,不同的、互补的保护机制应对各种威胁(全面保护)。另一方面,攻击者需要突破多重的防护。

         

            西门子工业安全理念包含了工厂安全,网络安全和系统完整三个重要部分(如下图1)

    11.jpg

     

     

    图1、西门子纵深防御

    一、工厂安全     

    工厂安全是实现技术措施无法实现的安全。它包括了物理访问保护措施如围墙、十字转门、摄像头或者读卡器及相应的组织措施,尤其是安全的管理流程可以保证工厂的长期的安全。

    1、物理访问保护

    可归纳如下类别:

    制定相关措施和流程,防止未经授权的人员访问工厂 (见图2)。

    不同的工艺段需要采用各自的物理隔离,并制定相应的访问授权 .

    自动化组件的关键部件需要采用物理访问保护。例如,控制箱需要加锁

    物理访问保护措施指导会影响所需的IT安全措施及其程度。例如授权的人可以进入一个区域。那么网络访问接口或自动化系统不需要获得相同程度的公开。

    22.jpg

     

     

    图2 未经授权的物理访问保护

       2、安全管理

        安全管理策略和组织措施是工业信息安全的重要组成部分。组织措施和技术措施必须相辅相成。要达到保护的目标必须将这两种措施有机结合。

    组织措施是建立一套完善的安全管理流程。

    信息安全相关政策示例:

    对于可接受的风险制定统一的规定

    对于不寻常的活动和事件制定上报机制

    对于信息安全事件,做到交流通畅并编制文档

    规范移动PC,智能手机和数据存储等设备在工厂范围内的使用 (例如,禁止在工厂以外的地区使用这些设备)

    信息安全相关流程示例 :

    对于所使用的设备部件,需要处理并修正已知的脆弱点

    发生安全事件时的流程(安全响应计划)

    发生安全事件后恢复生产系统的流程

    记录和评估安全事件,并记录配置变化

    在工厂范围内使用外部数据存储设备之前,要执行测试程序和检查程序

    在制定安全措施之前必须作风险分析。风险分析是对工厂和机器进行信息安全管理的先决条件,其目的在于识别和评估不同 用户所面临的危害和风险(见图3)。 风险分析的典型内容:

    识别可能受到威胁的目标

    分析价值和潜在的损失

    威胁和弱点分析

    识别已有的信息安全措施

    风险评估

    33.jpg

     

     

              图3 特定工厂风险分析决策图

     

    二、网络安全

           西门子工业信息安全理念的中央元素是网络安全。包括了对自动化系统未经授权的访问保护和连接到其他网络(如办公网络和由于远程访问的需求连接到Internet网络)的所有接口安全审查。网络安全也包括通信保护防止通信被拦截和操纵。例如:数据加密传输和相应通信节点间的身份认证。

      1、确保办公网络和工厂网络之间接口的安全

    过渡到其它网络时,可以通过防火墙和建立非军事化区(DMZ)对工厂网络进行监控和保护。DMZ是为了保护工厂网络增加的一道安全防线。DMZ区对其它网络可以提供数据服务,同时也确保其它网络不能直接访问自动化网络。这种设计使得从DMZ区不能访问和连接到其它系统。即使DMZ区的计算机被黑客劫持,自动化网络仍然能被保护(见图4)。

    44.jpg

     

     

    图4、办公网络和工厂网络之间使用非军事化区传输数据

    最简单的情况,通过一个防火墙实现隔离。该防火墙可以控制和管理不同网络之间的通信。更安全的是在各自的网络边界之间的连接一个非军事区(DMZ)实现隔离。非军事化区限制了生产网络和办公网络之间的直接数据通信;通信过程只能通过非军事化区(DMZ)中的服务器间接完成 。

    2、网络分段和单元保护概念

    网络分段是把工厂网络被划分成几个独立被保护的自动化单元。这样可以减小风险更进一步增强网络的安全性。一个网络的部分(例如一个IP子网)通过一个安全来保护。通过分段来实现网络安全。因此,“单元”中的设备可以防止来自外部未经授权的访问且不影响实时性能或者其它功能。

    防火墙可以控制对单元的访问,操作员可以定义哪些网络节点之间可以通过什么协议相互通信。通过此方式不仅拒绝未经授权人员的访问,也降低网络的通信负载。只有希望和需要的通信是被允许的。

    根据网络站点的通信和保护需求,划分单元和分配设备到相应的单元。来往于单元的数据传输是通过安全设备的VPN进行加密处理。这样有效的防止窥探和操纵数据。通过VPN技术认证了通信的节点和授权了他们需要访问的地方。例如,单元保护的概念可以通过集成安全功能的组件SCALANCE  S  或SIMATIC S7自动化系统的安全CP卡实现(见图5)。

    55.jpg

     

     

    图5、 通过集成安全的产品实现网络分段和单元保护

    网络分段和单元保护可归纳如下:

    单元”和“区域”的概念是出于安全的目的对网络进行分段隔离

    通过设置信息安全网络组件,对“单元入口”进行访问控制

    将没有独立访问保护机制的设备置于安全单元内加以保护,这种方式主要针对已经正常运行设备的改造

    划分各个单元可以防止由于带宽限制造成的网络过载,保护单元内部的数据通信不受干扰

    在各个单元内部不影响实时通信

    在网络单元内部,对功能安全设备提供保护

    在单元和单元之间通过建立安全通道实现安全通信

    网络分段的单元防护理念是防止未经授权访问的一种防护措施。在安全单元内部的数据不受信息安全设备的控制,因此我们假设各分段网络内部是安全的,或者在各个单元内部部署了更进一步的安全措施,例如,保证交换机的端口安全。

    各个安全单元的大小的划分主要取决于被保护对象所包含的内容,具有相同需求的组件可能会划分在一个安全单元以内。建议根据生产流程规划网络结构。这样可以保证网络分段时,各个网络单元之间通信数据量最少,同时,可以使防火墙配置的例外规则最小化。

    为了保证性能需求,建议客户遵循如下针对网络规模和网络分段的规则:

    一个 PROFINET IO 系统中的所有设备规划到一个网络单元中

    设备和设备之间的通信数据量非常大的情况下,应该将它们规划到一个网络单元中

    如果一台设备仅仅和一个网络单元之间存在数据通信,同时保护目标是一致的,则应该将该设备和网络单元合并到一个网络单元

    3、远程访问的安全

    越来越多的工厂通过互联网被直接地连接到了一起。由于远程服务、远程应用和监控安装在世界各地的机械设备的需求,远程的工厂通过移动网络(GPRS,  UMTS,  LTE)被连接起来。

    这种情形,安全访问尤其重要。借助搜索引擎、端口扫描或者自动化的脚本,黑客无需努力就可以很容易得发现不安全的访问节点。这就是通信节点为什么要身份认证,数据的传输需要加密且数据的完整性必须保证。特别是对于工厂的关键基础设施访问。未经授权人员的访问,机密数据的读取和控制命令参数的修改都可能导致相当大的破坏,环境的污染及人员的伤害。

    VPN的机制提供身份认证,加密和完整性保护,已被证明可以提供有效保护功能。西门子的Internet 安全产品支持VPN连接,因此可以安全地传输通过互联网或移动网的控制访问数据。

    正常的情况下,设备认证证书和值得信赖的IP地址或域名名称通过防火墙的规则来阻止或允许。VPN设备和SCALANCE S防火墙使用特定用户防火墙规则赋予访问用户的权限。在这种情况下用户使用他们的名字和密码登陆Web界面,由于每个授权的用户被分配了特殊的防火墙规则,给用户根据其访问权限获得相应的访问能力。优势在于可以清楚地跟踪在特定时间对系统的访问情况。

    带有三个端口的SCALANCE S623防火墙给系统集成商、OEM和最终用户提供了种解决方案。一方面,设备制造商出于远程维护的目的需要访问安装在最终用户那里的机器;但另一方面,最终用户的IT部门不愿意外部访问机器所连接的整个网络。通过SCALANCE S623,机器可以连接到工厂网络并且使用第三个端口连接防火墙到Internet。这样可以从Internet访问机器但从Internet访问工厂网络是被拒绝的。因此,技术服务人员可以远程访问机器设备但不能访问工厂网络(见图6)。

    66.jpg

     

     

    图6、 不能访问工厂网络情况下远程访问工厂设备

    三、系统完整性

           确保系统完整性被视为安全理念的第三大支柱。这意味着自动化系统和控制器组件,SCADA和HMI系统,需要防止未经授权的访问和恶意软件或者需要满足特殊需求,如专有知识保护。

    1、 在工厂网络中保护基于PC的系统

    就像办公网络的电脑系统防止恶意软件和通过安装更新和补丁来消除操作系统或用户软件已暴露的弱点一样。在工厂网络中的工业计算机和基于PC的控制系统也需要相应的保护措施。在办公环境已经证明的保护系统(如病毒扫描器)也可以被使用。因为病毒扫描器无法检测到所有的病毒,无力阻止更新病毒模板之前的型病毒,特别在自动化环境中不能及时的更新软件例如需要24/7操作期。所以根据情况来选择。

    使用一种所谓的白名单软件可以替代病毒扫描器。白名单只允许运行用户定义的程序列表。如果一个用户或恶意软件试图安装一个新的程序,白名单会拒绝来防止对系统的破环。

    作为一个工业软件的制造商,西门子支持被测试过且兼容的病毒扫描器或白名单软件。

    2、 控制层级的保护

           我们已经拥有计算机和网络采取保护的知识。但对于特殊的设备及专有系统又如何保护呢?如何保护一个可编程控制器(PLC)和不使用商用操作系统或运行了数年甚至数十年的老版本系统的操作员站?

    第三方的安全软件针对此是不能提供解决方案。访问此类设备系统的功能几乎不可能或访问的功能非常有限。对于控制层级的安全方案,自动化硬件制造商被要求提供相应的安全机制和提供用户特殊系统的安全设置项。同时,鼓励用户询问制造商是否有安全机制和如何激活并设置安全选项。

    对控制层级的保护的实质是确保现场控制器的可用性和对知识产权的保护。由于自动化与IT的互连及集成不断增加,访问保护和防止操纵的要求在生产的工厂也发生着变化。这是现代控制系统不可缺少的部分。西门子新一代的控制器S7-1500已经集成了此功能。除此之外,西门子控制提供的功能还有密码保护、程序块保护和复制保护等确保工厂网络安全。

    各个功能块可以得到保护,也就意味着未经授权的人无法访问功能块的内容及对功能块的算法的复制和修改。同时通过版权保护防止对设备的仿制。程序块与存储卡序列号的绑定使得被保护的程序只能运行在合法的机器设备中。这些功能有助于保护机器设备制造商的投资和维护他们的技术优势。

    推荐帖推荐理由:(推荐人:)  修改
    有帮助(48)


  • 华山松柏:11楼2017-06-02 22:29:00
  • 网络的发展也带来了不安定的因素,必然会蔓延到工业网络这一块,防患于未来从现在开始。

    精华帖版主置评:
    推荐帖推荐理由:(推荐人:)
    有帮助(1)

      
  • Mr S:10楼2017-06-02 15:00:38
  • 对于工业网络安全一直未涉足,感谢分享,长见识了。

    精华帖版主置评:
    推荐帖推荐理由:(推荐人:)
    有帮助(1)

      
  • 威师爷:9楼2017-06-02 13:30:14
  •  感谢分享!工业的发达,也会带来一些安全问题,例如勒索病毒就是一个典型的案例!所以要做好安全工作,保护设备的数据信息安全,保护安全生产。

    精华帖版主置评:
    推荐帖推荐理由:(推荐人:)
    有帮助(1)

      
  • aa13123:8楼2017-05-30 09:08:52
  • 大数据信息共享的同时也需要隐私保密,安全尤为重要。
    精华帖版主置评:
    推荐帖推荐理由:(推荐人:)
    有帮助(4)

      
  • zhou_7:7楼2017-05-29 13:51:08
  • 工控系统的安全问题应该得到重视,虽然发生的概率不高,但一旦发生,损失和影响会很大。


    精华帖版主置评:
    推荐帖推荐理由:(推荐人:)
    有帮助(7)

      
  • ifang:6楼2017-05-29 09:28:33
  • 然而其实大多数的安全隐患却是社会工程层面的~

    精华帖版主置评:
    推荐帖推荐理由:(推荐人:)
    有帮助(7)

      
  • 淡泊的阳光 :5楼2017-05-29 07:38:03
  • 涨见识!学习一下!

    精华帖版主置评:
    推荐帖推荐理由:(推荐人:)
    有帮助(5)

      
  • HUANGZE75:4楼2017-05-28 14:05:23
  • 学习了,不错的知识介绍。虽然自己暂且使用不上。

    精华帖版主置评:
    推荐帖推荐理由:(推荐人:)
    有帮助(8)

      
  • leon1120:3楼2017-05-28 09:14:11
  • 希望官方多出一些技术贴

    精华帖版主置评:
    推荐帖推荐理由:(推荐人:)
    有帮助(11)

      
  • 天平童虎98:2楼2017-05-27 19:55:22
  • 将安全上升到功能之上,才体现了西门子超前和超人性化的特点

    精华帖版主置评:
    推荐帖推荐理由:(推荐人:)
    有帮助(17)

      
  • 刘玉锋:1楼2017-05-27 17:39:40
  • 西门子安全系统是越做越好了,界面也越来越简介方便,人性化!

    精华帖版主置评:
    推荐帖推荐理由:(推荐人:)
    有帮助(22)

      
    收起
    西门子工业信息安全知识介绍
    • 收藏

    • 有帮助

    • 回复
    回复
     *帖子内容
    上传附件要求

    1. 文件大小:上传文件的大小请限制在1M以内。

    2. 文件格式:请不要上传.exe文件,系统支持的格式有:.jpg, .jpeg, .pdf, .gif, .zip, .rar, .doc,.docx, .xls,.xlsx, .ppt, .mp3, .wma, .wmv .asf, .avi, .bmp, .png, .txt, .7z

    发布帖子
    • 分享帖
    • 故事帖
    • 技术探讨帖
    • 求助帖
    • 西家杂谈
    • 投票帖
    邮件
    只看
    楼主
    只看
    精华
    只看
    精编
    发帖
    回复
    二维
    码
    ×
    ◆
    扫描打开手机版

    全球技术资源

    • 推荐文档
    • 新手必读文档
    • mySupport
    • 常问问题
    • 手册
    • 应用与工具
    • 证书
    • 软件
    • 产品通知
    • 特性曲线
    • 技术数据
    • 订阅文档 

    取证训练营

    • 首页
    • 取证训练营
    • 精品课程
    • 证书查询

    技术论坛

    • 首页
    • 发帖
    • 精华贴
    • 高赞帖
    • 分享帖
    • 当前热门
    • 为您推荐
    • 最新发帖
    • 季度标兵
    • 精华之星
    • 用户荣誉榜
    • 我的关注

    找答案

    • 首页
    • 精华问答
    • 高赞问答
    • 有奖问答
    • 全部已解决问题
    • 待解决问题
    • 待推荐问题
    • 快侠榜
    • 上周排行
    • 总分排行
    • 历届夺魁答侠

    产品入门新手必读

    • 首页
    • S7-200产品入门
    • S7-1500产品入门
    • PCS 7产品入门
    • WinCC产品入门
    • MM4系列变频器产品入门
    • S120变频器产品入门
    • SINUMERIK 808D产品入门
    • 国产V系列变频器和数控产品入门
    • 网站新手必读

    售后服务

    • 售后服务简介
    • 服务网络及联系方式
    • 提交服务需求
    • 查询服务进程
    • 下载服务登记表格
    • 我的售后服务信息
    • 售后服务常见问题
    • 服务合作伙伴
    西门子中国  © 西门子(中国)有限公司 1996 – 2021  企业信息   隐私政策  使用条款  京ICP备06054295号  京公网安备 11010502040638号

    系统提示

    新密码:

    密码至少8位,包含大、小写字母,数字和符号至少三种。

    确认密码:

    密码至少8位,包含大、小写字母,数字和符号至少三种。

    取消 确定

    系统提示

    手机号
    验证码
    获取验证码
    暂不验证
    绑 定

    系统提示

    新密码:

    密码至少8位,包含大、小写字母,数字和符号至少三种。

    确认密码:

    密码至少8位,包含大、小写字母,数字和符号至少三种。

    取消 确定

    验证码登录

    密码登录

    获取验证码

    未注册手机验证后自动登录,登录即代表同意
    《支持中心网站注册协议和隐私政策》

    微信登录
    获取验证码
    忘记密码 没有账号?立即注册
    微信登录
     

     短信登录

     

    获取动态密码

     

    登录

     

    ×
    立即
    签到
    已签到
    已签到0天
    累计可抽西币次数:0次抽奖机会
    累计可抽大奖次数:0次抽奖机会
    信息提示
    很抱歉!您所访问的页面不存在,或网址发生了变化,请稍后再试。
    编辑推荐: 关闭

    请填写推广理由:

    正在加载...
     
    发分享帖
    爱工控,乐分享,
    分享您的经验与案例
    发故事
    发表您的精彩故事,
    参与征文活动
    技术探讨帖
    阐述您的观点,
    表达我的看法
    西家杂谈
    海侃天南地北,
    闲聊工控世界
    发求助帖
    求道解惑,“刨根问底”
    解决问题
    发投票帖
    邀投票,做调查,
    网友帮您来作主