由于要與其它的公司部門進行聯網，現今的過程工廠都直接或間接地連接 Internet，因此會受到網絡犯罪的威脅。考慮到加工工程工廠的特殊需求，SIMATIC PCS 7 提供了一種安全概念，以可靠地防御這種潛在的危險，并為生產系統提供全面的保護。

概述

• 應用與選項

• 產品和功能

• 優勢一覽

應用與選項

SIMATIC PCS 7 以其開創性的安全理念，為加工工程工廠的保護提供了全面的解決方案。該理念以嵌套的安全體系結構為基礎（縱深防御），且代表了一種集成方法。它不局限于使用個別的安全方法（例如等級權力分配、身份驗證和加密）或設備（例如防火墻）。相反，它的長處在于，將各種安全措施相結合，配合應用于工廠網絡中。運用本質上安全的封閉安全區建設工廠，最終會使封閉系統符合美國食品和藥物管理局 (FDA) 第 21 條 CFR 法規的第 11 部分。 返回頁首

產品和功能

嵌套的安全體系結構（縱深防御）

SIMATIC PCS 7 安全理念以軍事上的“縱深防御”戰略為基礎，根據該戰略，防御并不集中在單線圖上，而是分成若干層，迫使攻擊者客服多重障礙。在 IT 安全方面，縱深防御安全體系結構指的是若干關鍵元素的結合。這種全面的方法不局限于使用個別的安全方法（例如數據加密或像防火墻之類的設備），相反，它以在系統的不同位置實施的各種安全方法的交互為基礎。 將工廠分成幾個安全區 基本上講，要將加工工廠劃分成單獨、有組織且可管理的片區，每個片區都形成自己的安全區。安全區的大小可有所不同，小到自動化裝置大到整個廠房。通過根據位置和/或功能將工廠分為幾個邏輯片區，定義這些安全區。這些片區受所有必要的安全機制的保護，且可完全獨立運行。各個安全區之間數據和人員的流動受所定義和監督訪問的管制。

病毒防護和防火墻

所有接入點的防火墻和病毒掃描程序將防止未經授權便訪問安全區內的各個計算機或網絡。因此，安全區內不再需要額外的防火墻。這便簡化了計算機的管理并保持了系統性能。

SIMATIC PCS 7 安全理念支持使用 Microsoft Internet Security 和 Acceleration Server 2006 (ISA Server 2006)、Windows 防火墻和 Scalance S 安全模塊。因這些模塊具有的工業功能 (IP30) 及過程信息的優化通信，其與辦公設備有所不同。除防火墻之外，病毒掃描程序是最知名的安全防護措施。SIMATIC PCS 7 支持三種最常用的針對生產和控制系統的病毒掃描程序。

• TrendmicroTM Office Scan Corporate Edition

• SymantecTM Antivirus Corporate Edition

• McAfeeTM VirusScan Enterprise

Windows 安全補丁管理

SIMATIC PCS 7 安全理念建議安裝相應的安全補丁，以保護經常在 Windows 操作系統下運行的過程控制系統內部的各個工作站。為了評估計算機在防御安全威脅方面的漏洞，Microsoft Baseline Security Analyzer (MBSA) 可掃描并分析存在問題的計算機。該安全分析器將在報告中總結檢測出的漏洞并列出缺失的安全補丁。根據這份報告，用戶便可在沒有適當的安全補丁保護的情況下繼續運行的風險與安裝這些補丁（可能需要重新啟動計算機）要花費的精力和費用之間進行權衡。Microsoft 會定期發布這些補丁供用戶使用，以修復最近識別出的安全漏洞。SIMATIC PCS 7 安全實驗室會不斷審查這些補丁，確定其是否與當前版本的 SIMATIC PCS 7 相兼容，且會即時在線發布這些測試結果。

用戶管理和權限管理

借助精確的訪問控制進行一致的用戶管理和權限管理是安全理念的另一關鍵元素。它應用最低權限原則。單個用戶或單個應用僅擁有進行手頭的實際任務時所需的權限。這是避免有意或無意的操作失誤的最佳方式。SIMATIC PCS 7 支持借助 SIMATIC Logon 軟件包進行中央用戶管理，以為 SIMATIC 應用程序和工廠區域分配權限。SIMATIC Logon 利用了 Windows 用戶管理工具的自動注銷和密碼自動失效的功能。 時間同步 SIMATIC PCS 7 工廠內的時間同步將幫助最小化時間差，并支持所有時間關鍵型過程的同步、審計、記錄和歸檔。時間同步經常會被忽略，但不應被低估。非同步系統中的潛在威脅在于，系統可能會拒絕域客戶端登錄到其域控制器的權限。這是由 Windows 中的安全功能引起的，當超過客戶端與服務器之間指定的時間差時，將阻止可能未經授權便訪問現有會話。

服務和遠程訪問（VPN、IPSec）

使用 IPSec VPN 將降低“外部”計算機臨時進入工廠系統以進行維護和支持工作時所產生的潛在危險。虛擬專用網 (VPN) 提供了從外部設備到受保護的控制系統可靠而安全的連接。西門子安全理念建議使用此方法，并將 Microsoft ISA Server 2006 與隔離網絡結合使用。如果通過 Web 瀏覽器訪問工廠數據，則安全理念建議通過具有 HTTPS 的安全套接字層 (SSL) 或者基于 IPSec 和用戶身份驗證的用戶名和密碼，進行數據加密和服務器身份驗證。

Enlarge

網絡結構和管理

我們提供了以下功能，包括實施 DHCP 服務器、分配 IP 地址、將工廠分區映射到子網以及借助 Windows Active Directory 集中管理工廠的計算機或用戶，以支持 SIMATIC PCS 7 系統靈活的網絡結構和高效的管理。

災難恢復

災難恢復的目的是在發生自然或人為事故后，能夠重新訪問數據、硬件和軟件，并重新開始運行。由于過程工程越來越多地受數據的推動，因此快速恢復數據的能力就變得非常重要了。在 SIMATIC PCS 7 系統中，每臺 PC 都具有系統軟件的完整映像，若出現數據丟失，可隨時用來恢復系統分區。西門子提供了幾個用于歸檔過程數據的程序，例如：Storage Plus、Central Archive Server (CAS) 和 Simatic IT Historian。

To the top of the page

SIMATIC PCS 7 安全實驗室

早在開發過程中，IT 安全已被視為系統測試的組成部分，且是發布產品的先決條件。SIMATIC PCS 7 安全實驗室的工作人員一直潛心致力于 IT 安全，其測試的結果直接流入產品和軟件開發中。

To the top of the page

優勢一覽

• 西門子專門針對過程工程工廠的特定需求，提供了集成的全面安全性解決方案。

• 安全理念有效降低了風險、防止安全事故的發生，從而提高了工廠的可用性。

• 作為防火墻的工業安全模塊 SCALANCE S，還可通過采用加密和身份驗證 (VPN)，保護系統/設備之間或網絡分段之間的數據傳輸免遭數據操縱和竊取的威脅。