西门子6ES7313-6BG04-0AB0

使用安全集成组件实现安全通信、网络访问保护和网络分段

工业网络安全

*保护

在数字化发展的推动下，工业通信领域正在出现具有深远影响的趋势和变化。由于以前独立机器的网络随之增加，基于云的技术的使用以及基于以太网的协议的使用越来越多，一直到现场级别，相关的安全问题变得越来越重要。这是因为开放的通信和日益强大的生产系统网络不仅提供了巨大的机会，而且还带来了遭受网络攻击的重大风险。为了向工业厂房提供全面的工业安全保护，防止此类攻击，采取适当的措施。在这种情况下，保护生产免受破坏或活动，而不会对可用性产生负面影响。西门子通过提供支持，帮助您对一般威胁情况达成共识，并作为集成工业安全概念的一部分，有针对性地实施适当的保护措施，从而帮助您实现这一目标。

BSI（德国联邦信息安全办公室）和行业代表密切合作编制了一份威胁清单。

BSI（德国联邦信息安全办公室）定期发布有关网络安全当前主题的文件。读者可以向 info@cyber-allianz.de 发送评论和信息

西门子工业信息安全 – 为您的工厂提供持续保护

可靠和集成的工业安全解决方案只有在基于整体和持续的方法时才能成功建立和维护。这意味着，除其他事项外，能够使整体解决方案适应不断变化的威胁，并且始终考虑工厂运营商，系统集成商，服务提供商和产品供应商之间的相互作用。一般来说，从生产中使用的所有组件的开发阶段就考虑到网络安全问题。为了向安全的数字世界迈出进一步，西门子是一家获得基于IEC 62443-4-1的TÜV SÜD（德国技术检验局/南方）认证的公司，用于开发西门子自动化和驱动技术产品的跨学科过程，也是“信任宪章”的发起者。基于10项关键原则，“信任宪章”的成员为自己设定了三个目标，即保护个人和公司的数据，防止对人员，公司和基础设施造成伤害，并为建立信任奠定可靠的基础，并在互联的数字世界中发展。

然而，尽管我们尽了大努力，却没有**的安全。为了尽可能降低剩余风险，除了全面的安全产品组合外，我们还建立了基于深入建议、合作伙伴关系和不断进一步发展安全措施的保护概念。

“纵深防御” - 全面、深入的保护

通过“纵深防御”，西门子提供了一个多层次的概念，为您的工厂提供*和深入的保护。该概念基于工厂和网络安全元素以及系统完整性，并符合工业自动化安全良好标准IEC 62443中规定的建议。经典的工厂保护主要涉及整个工厂的物理保护，而网络安全和系统完整性保护则侧重于网络或终端设备本身，使其免受网络攻击、未经授权的访问或疏忽处理。使用零信任原则扩展“深度防御”概念，可以从办公室或旅途中的工作场所安全访问生产网络中的运营技术 （OT） 系统和应用程序。

网络安全是西门子工业安全概念的核心组成部分

成功因素：网络安全

简而言之，网络安全意味着保护自动化网络免受未经授权的访问。它包括监控所有接口，例如办公室和工厂网络之间的接口或对互联网的远程维护访问，可以通过防火墙和（如果适用）建立安全和受保护的“非军事区”（DMZ）来实现。DMZ 用于使数据可供其他网络使用，而*授予它们对自动化网络本身的直接访问权限。将工厂网络额外分段为单独的受保护的自动化单元，用于大限度地降，例如防止软件的水平传播，因此也有助于增强安全性。单元的划分和相关设备的分配基于通信和保护要求。小区之间的数据传输可以使用虚拟**网络（*）进行加密，从而可以防止数据和篡改，并事先对通信合作伙伴进行安全。

小区保护概念可根据需要实施，并使用西门子的“安全集成”网络组件保护通信，例如 SCALANCE S 工业安全设备、用于有线和无线网络 （4G/5G） 的 SCALANCE M 工业路由器以及用于 SIMATIC 的安全通信处理器。
通过将小区保护概念和IT部门的零信任原则相结合，可以实现端到端OT-IT安全概念的特定应用远程访问。根据“小特权访问”，零信任仅允许明确标识和授权的用户进行特定于应用程序的访问。为了集成零信任原则，Zscaler Inc.的安全解决方案Zscaler Private Access在本地处理平台SCALANCE LPE上提供。结合现有的OT安全机制，如小区保护防火墙，可以实施精细的访问概念。
此外，还提供满足各种安全要求的软件产品。可以添加用于远程网络的管理平台 SINEMA Remote Connect，以便对分布广泛的机器和工厂进行受保护且方便的远程访问。借助 SINEC NMS 网络管理系统，可以全天候集中监控、管理和配置多达数万个站点的网络。它还可以根据IEC 62443指令实现高效的安全管理。例如，可以通过用户角色管理精确控制对系统的访问以及每个授权用户可用的功能范围。SINEC INS（基础设施网络服务）是*网络服务的软件工具，以清晰简单的方式提供一般网络服务。该工具包括与安全相关的服务器，例如用于网络中的用户和设备身份验证（身份验证）的RADIUS服务器，例如检查谁可以访问哪些设备。

初步风险评估和互联网信息

想要了解您的工业设备的安全性，或者您的系统有哪些进一步的安全措施？我们可以为您提供有关您所在行业特殊安全需求的详细信息。利用这个机会联系我们的咨询团队，了解任何未解决的问题。我们的*将很乐意根据您的生产工厂或工艺基础设施的需求准备安全概念。您可以从我们的网页下载有关西门子保护概念的多信息以及具体指南，其中包含保护您的生产设备的众多建议：集成安全性

工业通信是企业成功的关键因素，这就是为什么网络和终端设备得到很好的保护。因此，作为合作伙伴，西门子为其客户提供安全集成组件，这些组件不仅具有集成的通信功能，而且还包括防火墙和*功能等特殊安全功能，以实现以需求为导向的保护概念。由于完全集成在 TIA 博途工程平台中，因此可以在工厂配置期间配置和管理安全功能。在单元保护概念的范围内，集成防火墙可帮助您将工厂网络划分为单独的、受保护的自动化单元，其中所有设备都能够安全地相互通信。这些单独的单元也通过虚拟**网络（*）安全地连接到工厂网络。这些有针对性的措施降低了整个生产工厂发生故障的敏感性，从而提高了其可用性。具有集成保护机制的各种产品可用于实现以需求为导向的细胞保护概念：