siemens武漢西門子PLC模塊總代理

通過 Security Integrated 組件實現安全通信、網絡訪問保護和網絡分段

全方位保護

在數字化快速發展的推動下，工業通信中出現了具有深遠影響的趨勢和變化。由于對以前獨立運行的機器設備的聯網不斷增加、云技術的采用或直至現場級日益采用基于以太網的協議，相關安全問題變得越來越明顯。這是因為，生產系統的開放式通信以及不斷加強的聯網不僅提供巨大的機會，也帶來遭受網絡攻擊的重大風險。為了針對攻擊為工廠提供全面工業安全保護，必須采取適當措施。在這種情況下，必須保護生產免受破壞或間諜活動，而不會對可用性產生不利影響。西門子可幫助您實現這一目標，使您對一般威脅有一個基本了解，并有針對性地實施保護措施，使其成為一體化工業信息安全方案的一部分。

此威脅清單是BSI（德國聯邦信息安全辦公室）與工業界代表的緊密合作之下制定的。

BSI（德國聯邦信息安全辦公室）定期發布有關網絡安全的新主題文檔。讀者可以將自己的建議和相關信息發送至info@cyber-allianz.de

西門子工業安全 – 對工廠實施連續保護

只有基于一種整體和連續的方法，才能成功建立和保持可靠和一體化的工業信息安全解決方案。這意味著，必須能夠根據不斷變化的威脅來調整整體解決方案，并且需要考慮工廠運營者、系統集成商、服務提供商和產品供應商之間的相互作用。一般而言，從生產中所使用的所有部件的開發階段開始，就必須考慮網絡安全問題。為了朝著安全數字化環境的方向再向前邁進一步，西門子率先成為基于 IEC 62443-4-1 標準進行 TüV SüD（德國技術監督協會/南方）認證的公司，以便實現開發西門子自動化與驅動產品的跨學科過程；同時，西門子也是“信任憲章”的發起者。以 10 個主要原則為基礎，“信任憲章”的成員為自己設定了三個目標：保護個人和公司的數據資料，防止對人員、公司和基礎設施造成傷害，創造一個建立信任并能夠在一個連接在一起的數字化世界中成長的可靠基礎。

詳細了解關鍵原則和我們的合作伙

但是，盡管我們做出大努力，也不會有安全這種事情。為了保持盡可能低的殘余風險，除全面的安全產品產品線外，我們還基于深入的建議、合作伙伴關系以及安全措施的不斷進一步開發，建立了一種保護方案。

”深度防御“- 全面深入的保護

通過深度防御，西門子提供了一種多層安全方案，可為工廠實施全面而深入的保護。該方案基于工廠和網絡安全要素以及系統完整性，符合有關工業自動化領域信息安全的主導標準 IEC 62443 中提出的建議。傳統工廠保護主要是對整個工廠采取物理保護，而網絡安全和系統完整性保護則將重點放在網絡或終端設備自身上面，使它們免遭網絡攻擊、未授權的訪問或疏忽操作。通過使用零信任原則擴展“縱深防御”概念，可以從辦公室或旅途中的工作場所，安全訪問生產網絡中的運營技術 (OT) 系統和應用程序。

網絡安全是西門子工業安全方案的中心內容

成功因素：網絡安全性

簡言之，網絡安全意味著為自動化網絡提供保護，防止人員未經授權對其進行訪問。其中包括監控所有接口（如辦公室與工廠網絡之間的接口）以及通過 Internet 進行的遠程維護訪問，這種監控可借助于防火墻以及（如果適用）通過建立受保護的安全“隔離區”(DMZ) 來實現。DMZ 用于將數據提供給其它網絡，而不是讓其它網絡直接訪問自動化網絡本身。通過將工廠網絡額外分隔為受保護的具體自動化單元，可大限度降低風險，如針對惡意軟件的水平傳播提供保護，從而也有助于提高安全性。根據具體通信和保護要求，將網絡劃分為多個單元并分配相關設備。各單元之間的數據傳輸可用虛擬專用網 (VPN) 進行加密，從而針對竊取和惡意破壞提供保護，通信伙伴事先安全通過認證。

單元保護概念可以根據需要實施，并使用西門子的“集成安全功能”網絡組件進行通信保護，例如工業安全設備 SCALANCE S、用于有線和無線網絡 (4G/5G) 的 SCALANCE M 工業路由器和 SIMATIC 安全通信處理器。
通過將單元保護概念和 IT 領域的零信任原則相結合，可以實現端到端 OT-IT 安全概念的特定應用遠程訪問。根據“小權限訪問”，零信任僅允許明確識別和授權的用戶進行特定應用程序的訪問。為了集成零信任原則，Zscaler 公司安全解決方案 Zscaler Private Access 可在本地處理平臺 SCALANCE LPE 上使用。結合現有的 OT 安全機制（例如小區保護防火墻），可以實現細粒度訪問解決方案。
此外，還提供有可滿足各種安全要求的軟件產品。SINEMA Remote Connect 是一種遠程網絡管理平臺，可以用來對廣泛分布的各種機器設備和工廠進行保護式的、簡便的遠程訪問。使用 SINEC NMS 網絡管理系統，可以對多達數萬個站點的網絡進行全天候的集中監控、管理和組態。它還可以根據標準 IEC 62443 實現高效的安全管理。例如，通過用戶角色管理可以控制每個授權用戶對系統的訪問和可用功能的范圍。SINEC INS（基礎設施網絡服務）是一種中央網絡服務軟件工具，以直觀、簡便的方式提供通用網絡服務。該工具包括與安全相關的服務器，例如用于網絡中用戶和設備身份驗證（MAC 身份驗證）的 RADIUS 服務器，例如檢查誰可以訪問哪些設備。