过程自动化中的系统完整性

如今,各家过程工厂都会直接或间接地连接到 Internet 中,这同时也将他们的生产过程、产品质量控制以及利润置于危险之中。

System integrity for process automation

过程自动化中的系统完整性

西门子的 SIMATIC PCS 7 系统可根据工厂过程控制的特定需求,为用户量身定制全面的信息安全解决方案,大幅提升安全保护、降低相关风险、防止安全事件,进而显著提高工厂设施的可用性。



SIMATIC PCS7 中的信息安全机制

SIMATIC PCS 7 中的安全机制可以为确保过程工厂信息安全提供各种解决方案。这种集成的信息安全解决方案基于一种嵌套式安全架构体系。这种信息安全解决方案并不仅仅只是实施单个的安全措施(例如,层级权限分配、身份认证和加密)或安全设备(如防火墙)。相反,它可以综合所有安全措施并在工厂网络进行完美协作。而且,这种解决方案中将工厂分隔为多个安全单元,分别形成一个个符合工业自动化与控制系统 ISA 99 标准的封闭系统。

信息安全产品与服务

将工厂分隔为多个安全单元

网络分段是将过程工厂分隔为彼此独立、组织有序且易于管理的多个区域,即各自形成一个安全单元。这种安全单元可大可小,既可以是一个小型的自动化设备,也可以是一整栋楼宇。而且可以根据位置和/或功能,将工厂分隔为各个逻辑段来定义这些安全单元。这些安全单元均使用所有必备安全机制进行完善保护,并可自主运行。系统会事先定义各个安全单元间的数据和人员流动规则,并对访问进行严密监控。

防病毒软件和防火墙

在专用接入点处安装防火墙和病毒扫描程序,可以保护安全单元中的各个 PC 或网络,防止未经授权的访问或侵入。从而,在安全单元内部就无需再安装其它防火墙。这种安全措施不但简化了 PC 的管理流程,同时还可确保系统的高可靠性。

SIMATIC PCS 7 信息安全解决方案中还可使用 Microsoft® Forefront Threat Management Gateway、Windows 防火墙以及 SCALANCE S 安全模块和基于 IPSec 的 VPN 连接方式等其它安全措施。这些安全模块与其它办公设备不同,不但具有优良的工业功能同时还可对过程信息通信进行优化。除了防火墙,病毒扫描程序也是一种最为常用的安全防范措施。

SIMATIC PCS 7 系统可支持市面上最常用的防病毒软件,对生产和控制系统进行有效防护:

  • Trendmicro™ Office Scan 企业版

  • Symantec™ Antivirus 企业版

  • McAfee™ VirusScan 企业版

Windows 安全补丁管理

SIMATIC PCS 7 信息安全解决方案中,建议用户安装相应的安全补丁程序,及时对过程控制系统的各个工作站进行有效保护。并使用 Microsoft Baseline Security Analyzer (MBSA) 对 PC 进行扫描和分析,查找安全漏洞并防范各种安全威胁。这种安全分析程序会将检测到的安全漏洞以及未安装的安全补丁以报表形式列出。基于这份报告,用户可以对未安装这些安全补丁并继续运行系统的风险以及安装这些补丁程序的工作量和成本(安装补丁程序的过程中可能需要重新启动 PC )进行权衡,并最终确定否安装补丁程序。

Microsoft 会定期发布安全补丁以修复最新发现的各种安全漏洞。与此同时,SIMATIC PCS 7 Security Lab 会不间断地检测这些补丁程序与当前 SIMATIC PCS 7 版本的兼容性,并在测试结束后,立即在线发布测试结果。

用户和权限管理

易于组态,且无需具备专业的安全知识

通过精准定义的访问控制权限对用户和权限进行统一管理,是另外一种重要的信息安全解决方案措施。在这种信息安全解决方案中,通常采用最低权限原则。即,每个用户或应用程序只能获得处理实际任务所需要的权限。通过这种方式,可以有效避免有意或无意的操作错误。

在 SIMATIC PCS 7 中,还可通过 SIMATIC Logon 软件包进行用户统一管理,为 SIMATIC 应用程序和工厂区域分配相应的权限。而 SIMATIC Logon 则会调用 Windows 用户管理工具,实现诸如自动注销和自动密码过期等功能。

时间同步

在 SIMATIC PCS 7 的工厂中采用时间同步,不但可将时间误差降至最低,同时还可以对所有与时间相关的过程进行同步、文档记录和归档。时间同步是一项非常重要的安全措施,但往往会被人们忽视。未同步的系统往往存在一个潜在风险。即,域控制器可能会拒绝域客户端的登录操作。导致这一问题的原因是 Windows 自带的一个安全功能。当客户端与服务器间的时间差超过指定值时,该安全功能将阻止对现有会话的可能出现的未经授权访问。

服务和远程访问

通过 VPN 连接可降低在进行维护和技术支持时临时允许“外部” PC 访问工厂内部所带来的潜在危险。通过虚拟专用网 (VPN),可确保外部设备与受保护控制系统间通信连接可靠安全。在西门子信息安全解决方案中,建议在受保护网络中采用这种连接方式的同时安装 Microsoft® Forefront Threat Management Gateway (TMG)。

在需要通过 Web 浏览器访问工厂数据时,该信息安全解决方案中建议使用数据加密和服务器认证这两种安全措施,而无需考虑是采用 HTTPS 协议的安全套接字层 (SSL) 进行连接,还是采用 IPSec 和基于用户名和密码的用户认证等机制。

网络架构和管理

通过在 SIMATIC PCS 7 系统中定义 DHCP 服务器、分配 IP 地址、将各个厂区映射到不同子网中,以及通过 Windows Active Directory 对工厂中的 PC 或用户进行统一管理,不但可以提高网络结构的灵活性,同时还增加了系统管理的高效性。

应用程序白名单机制

采用应用程序白名单保护机制,可以确保在 SIMATIC PCS 7 过程控制系统的工作站中仅运行可信应用程序。这种机制可以有效阻止非法软件的运行和对所安装应用程序的更改,进一步提高了对恶意软件的防范能力。

自动化防火墙

自动化防火墙的运行基于 Microsoft® Forefront Threat Management Gateway 2010,具有数据包过滤器状态检测、应用层防火墙、VPN 网关功能、URL 址址过滤、Web 代理、病毒扫描以及入侵防御等多种功能,因而可确保从办公室或公司内网/ Internet 通过接入点访问生产网络时数据通信的安全性。

根据工厂规模的不同,可采用以下保护措施:

  • 对于过程工厂和 IT 网络中的安全远程访问,可设置接入点防火墙

  • 对于采用复杂边界网络的工厂,可设置三宿主防火墙

  • 对于带有大量边界网络的大型工厂,则可采用前端和后端防火墙实现最大程度的安全保护

  • 自动化防火墙在供货交付时已完成预安装,并采用界面友好的组态向导辅助用户进行安装设置

灾备恢复

灾备恢复机制旨在经历了自然或人为事故之后恢复对数据、硬件和软件的访问,并重新启动生产操作。由于当前的过程工程组态中越来越多采用数据驱动机制,因而具有快速数据恢复功能也随之变得非常重要。

在 SIMATIC PCS 7 系统中,每台 PC 都备有完整的系统软件映像文件。一旦发生数据丢失,可随时使用这些映像文件对系统分区进行恢复。除此之外,西门子还推出了诸如 StoragePlus、Central Archive Server (CAS)、Process Historian 和 SIMATIC IT Historian 等软件对过程数据进行归档。

西门子工业信息安全控制系统的应用

下图中,我们简要介绍了如何设计一个安全系统,实现最高等级的安全防护。

SIMATIC PCS7 network security architecture

SIMATIC 工业信息安全实验室

工业信息安全是西门子信息安全解决方案的一部分,所有产品在发布之前都必需通过包含工业信息安全在内的严密系统测试。为此,SIMATIC 信息安全实验室,持续研究工业数据的安全性并将这些测试结果直接应用到后续的产品和软件研发过程中。

更多信息