西门子6ES7155-5BA00-0AB0

概述

通过 Security Integrated 组件实现安全通信、网络访问保护和网络分段

工业网络安全

*保护

在数字化快速发展的推动下，工业通信中出现了具有深远影响的趋势和变化。由于对以前独立运行的机器设备的联网不断增加、云技术的采用或直至现场级日益采用基于以太网的协议，相关安全问题变得越来越明显。这是因为，生产系统的开放式通信以及不断加强的联网不仅提供巨大的机会，也带来遭受网络攻击的重大风险。为了针对攻击为工厂提供全面工业安全保护，必须采取适当措施。在这种情况下，必须保护生产免受破坏或活动，而不会对可用性产生不利影响。西门子可帮助您实现这一目标，使您对一般威胁有一个基本了解，并有针对性地实施保护措施，使其成为一体业信息安全方案的一部分。

此威胁清单是BSI（德国联邦信息安全办公室）与工业界代表的紧密合作之下制定的。

BSI（德国联邦信息安全办公室）定期发布有关网络安全的新主题文档。读者可以将自己的建议和相关信息发送至info@cyber-allianz.de

西门子工业安全 – 对工厂实施连续保护

只有基于一种整体和连续的方法，才能成功建立和保持可靠和一体化的工业信息安全解决方案。这意味着，必须能够根据不断变化的威胁来调整整体解决方案，并且需要考虑工厂运营者、系统集成商、服务提供商和产品供应商之间的相互作用。一般而言，从生产中所使用的所有部件的开发阶段开始，就必须考虑网络安全问题。为了朝着安全数字化环境的方向再向前迈进一步，西门子成为基于 IEC 62443-4-1 标准进行 TÜV SÜD（德国技术监督协会/南方）认证的公司，以便实现开发西门子自动化与驱动产品的跨学科过程；同时，西门子也是“信任宪章”的发起者。以 10 个主要原则为基础，“信任宪章”的成员为自己设定了三个目标：保护个人和公司的数据资料，防止对人员、公司和基础设施造成伤害，创造一个建立信任并能够在一个连接在一起的数字化世界中成长的可靠基础。

但是，尽管我们做出大努力，也不会有**安全这种事情。为了保持尽可能低的残余风险，除全面的安全产品产品线外，我们还基于深入的建议、合作伙伴关系以及安全措施的不断进一步开发，建立了一种保护方案。

”深度防御“- 全面深入的保护

通过深度防御，西门子提供了一种多层安全方案，可为工厂实施全面而深入的保护。该方案基于工厂和网络安全要素以及系统完整性，符合有关工业自动化领域信息安全的主导标准 IEC 62443 中提出的建议。传统工厂保护主要是对整个工厂采取物理保护，而网络安全和系统完整性保护则将重点放在网络或终端设备自身上面，使它们免遭网络攻击、未授权的访问或疏忽操作。通过使用零信任原则扩展“纵深防御”概念，可以从办公室或旅途中的工作场所，安全访问生产网络中的运营技术 (OT) 系统和应用程序。

网络安全是西门子工业安全方案的中心内容

成功因素：网络安全性

简言之，网络安全意味着为自动化网络提供保护，防止人员未经授权对其进行访问。其中包括监控所有接口（如办公室与工厂网络之间的接口）以及通过 Internet 进行的远程维护访问，这种监控可借助于防火墙以及（如果适用）通过建立受保护的安全“隔离区”(DMZ) 来实现。DMZ 用于将数据提供给其它网络，而不是让其它网络直接访问自动化网络本身。通过将工厂网络额外分隔为受保护的具体自动化单元，可大限度降，如针对软件的水平传播提供保护，从而也有助于提高安全性。根据具体通信和保护要求，将网络划分为多个单元并分配相关设备。各单元之间的可用虚拟**网 (*) 进行加密，从而针对和破坏提供保护，通信事先安全通过认证。

单元保护概念可以根据需要实施，并使用西门子的“集成安全功能”网络组件进行通信保护，例如工业安全设备 SCALANCE S、用于有线和无线网络 (4G/5G) 的 SCALANCE M 工业路由器和 SIMATIC 安全通信处理器。
通过将单元保护概念和 IT 领域的零信任原则相结合，可以实现端到端 OT-IT 安全概念的特定应用远程访问。根据“小权限访问”，零信任仅允许明确识别和授权的用户进行特定应用程序的访问。为了集成零信任原则，Zscaler 公司安全解决方案 Zscaler Private Access 可在本地处理平台 SCALANCE LPE 上使用。结合现有的 OT 安全机制（例如小区保护防火墙），可以实现细粒度访问解决方案。
此外，还提供有可满足各种安全要求的软件产品。SINEMA Remote Connect 是一种远程网络管理平台，可以用来对广泛分布的各种机器设备和工厂进行保护式的、简便的远程访问。使用 SINEC NMS 网络管理系统，可以对多达数万个站点的网络进行全天候的集中监控、管理和组态。它还可以根据标准 IEC 62443 实现高效的安全管理。例如，通过用户角色管理可以精确控制每个授权用户对系统的访问和可用功能的范围。SINEC INS（基础设施网络服务）是一种*网络服务软件工具，以直观、简便的方式提供通用网络服务。该工具包括与安全相关的服务器，例如用于网络中用户和设备身份验证（ 身份验证）的 RADIUS 服务器，例如检查谁可以访问哪些设备。

初步风险评估和互联网信息

您是否想了解工厂的安全程度如何？或者，您的系统可采用哪些进一步安全措施？我们可为您提供有关您的领域内存在的特殊安全需求的详细信息。请利用这一机会，就任何未解决的问题与我们的咨询团队联系。我们的*将欣然为您制定出一个满足您的工厂或过程基础设施需要的安全方案。您可以下载有关西门子保护概念的附加信息以及特定指南，其中包含许多建议，以保护您的生产工厂免受我们的 web 页面影响：集成信息安全

工业通信是企业获得成功的一个关键因素，因此，必须对网络和终端设备进行全面保护。作为合作伙伴，西门子可为其提供各种 Security Integrated 组件，它们不仅具有通信功能，而且包括专门的安全功能（如防火墙和 * 性能），以便实现单元保护方案。由于安全功能已全面集成在 TIA Portal 工程组态平台中，可在工厂组态期间对这些功能进行组态和管理。在单元保护概念的范围内，集成防火墙可帮助您将工厂网络划分为单独的受保护自动化单元，在这些单元中，所有设备都可以彼此进行安全的通信。这些单元也通过虚拟**网 (*) 安全连接到工厂网络。这些有针对性的措施可减少整个工厂范围内的故障，从而提高工厂可用性。各种各样具有集成保护机制的产品可用于实现面向需求的单元保护方案：

PLC产生、发展的条件及其给工业控制带来的变化
随着计算机控制技术的不断发展，可编程控制器的应用已广泛普及，成为自动化技术的重要组成。可编程控制器先出现在美国，1968年，美国的汽车制造公司通用汽车公司(GM)提出了研制一种新型控制器的要求，并从用户角度提出新一代控制器应具备以下条件：
（1）编程简单，可在现场修改程序；
（2）维护方便，好是插件式；
（3）可靠性**继电器控制柜；
（4）体积小于继电器控制柜；
（5）可将数据直接送入管理计算机；
  （6）在成本上可与继电器控制柜竞争；
（7）输入可以是交流115V（即用美国的电网电压）；
（8）输出为交流115V、2A以上，能直接驱动电磁阀；
（9）在扩展时，原有系统只需要很小的变；
（10）用户程序存储器容量至少能扩展到4KB。
条件提出后，立即引起了开发热潮。1969年，美国数字设备公司（DEC）研制出了世界上台可编程序控制器，并应用于通用汽车公司的生产线上。当时叫可编程逻辑控制器PLC（Programmable Logic Controller），目的是用来取代继电器，以执行逻辑判断、计时、计数等顺序控制功能。紧接着，美国MODICON公司也开发出同名的控制器，1971年，日本从美国引进了这项新技术，很快研制成了日本台可编程控制器。1973年，西欧国家也研制出他们的台可编程控制器。


随着半导体技术，尤其是微处理器和微型计算机技术的发展，到70年代中期以后，特别是进入80年代以来，PLC已广泛地使用16位甚至32位微处理器作为*处理器，输入输出模块和电路也都采用了中、大规模甚至大规模的集成电路，使PLC在概念、设计、性能价格比以及应用方面都有了新的突破。这时的PLC已不仅仅是逻辑判断功能，还同时具有数据处理、PID调节和数据通信功能，称之为可编程序控制器（Programmable Controller）为合适，简称为PC，但为了与个人计算机（Persona1  Computer）的简称PC相区别，一般仍将它简称为PLC（Programmable Logic Controller）。

SIMATIC S7-1200 I/O模块

信号模块和通讯模块具有大量可供选择的信号板，可量身定做控制器系统以满足需求，而不必增加其体积。

多达8个信号模块可连接到扩展能力高的CPU。一块信号板就可连接至所有的 CPU，由此您可以通过向控制器添加数字或模拟量输入/输出信号来量身定做 CPU，而不必改变其体积。

6ES72111AD300XB0 CPU 1211C，紧凑型 CPU，DC/DC/DC，板载 I/O： 6 DI 24V DC;4 DO 24 V DC;2 AI 0 - 10V DC 或 0 - 20MA，电源： DC 20.4 - 28.8 V DC，程序/数据存储器： 25 KB

6ES72111BD300XB0 CPU 1211C，紧凑型 CPU，AC/DC/继电器，板载 I/O： 6 DI 24V DC;4 DO 继电器 0.5A;2 AI 0 - 10V DC 或 0 - 20MA，电源： AC 85 - 264 V AC @ 47 - 63 HZ，程序/数据存储器： 25 KB

6ES72111HD300XB0 CPU 1211C，紧凑型 CPU，DC/DC/继电器，板载 I/O： 6 DI 24V DC;4 DO 继电器 0.5A;2 AI 0 - 10V DC 或 0 - 20MA，电源： AC 20.4 - 28.8 V DC，程序/数据存储器： 25 KB

6ES72121AD300XB0 CPU 1212C，紧凑型 CPU，DC/DC/DC，板载 I/O： 8 DI 24V DC;6 DO 24 V DC;2 AI 0 - 10V DC 或 0 - 20MA，电源： DC 20.4 - 28.8 V DC，程序/数据存储器： 25 KB

6ES72121BD300XB0 CPU 1212C，紧凑型 CPU，AC/DC/继电器，板载 I/O： 8 DI 24V DC;6 DO 继电器 0.5A;2 AI 0 - 10V DC 或 0 - 20MA，电源： AC 85 - 264 V AC @ 47 - 63 HZ，程序/数据存储器： 25 KB

6ES72121HD300XB0 CPU 1212C，紧凑型 CPU，DC/DC/继电器，板载 I/O： 8 DI 24V DC;6 DO 继电器 0.5A;2 AI 0 - 10V DC 或 0 - 20MA，电源： AC 20.4 - 28.8 V DC，程序/数据存储器： 25 KB

6ES72141AE300XB0 CPU 1214C，紧凑型 CPU，DC/DC/DC，板载 I/O： 14 DI 24V DC;10 DO 24 V DC;2 AI 0 - 10V DC 或 0 - 20MA，电源： DC 20.4 - 28.8 V DC，程序/数据存储器： 50 KB

6ES72141BE300XB0 CPU 1214C，紧凑型 CPU，AC/DC/继电器，板载 I/O： 14 DI 24V DC;10 DO 继电器 0.5A;2 AI 0 - 10V DC 或 0 - 20MA，电源： AC 85 - 264 V AC @ 47 - 63 HZ，程序/数据存储器： 50 KB

6ES72141HE300XB0 CPU 1214C，紧凑型 CPU，DC/DC/继电器，板载 I/O： 14 DI 24V DC;10 DO 继电器 0.5A;2 AI 0 - 10V DC 或 0 - 20MA，电源： AC 20.4 - 28.8 V DC，程序/数据存储器： 50 KB

DI/DO

6ES72211BF300XB0 SM 1221 数字量输入模板，8 点数字量输入，直流 24 V，漏/源输入

6ES72211BH300XB0 SM 1221 数字量输入模板，16 点数字量输入，直流 24 V，漏/源输入

6ES72221BF300XB0 SM 1222 数字量输出模板，8 点数字量输出，直流 24V，晶体管

6ES72221BH300XB0 SM 1222 数字量输出模板，16 点数字量输出，直流 24V，晶体管 0.5A

6ES72221HF300XB0 SM 1222 数字量输出模板，8 点数字量输出，继电器 2A

6ES72221HH300XB0 SM 1222 数字量输出模板，16 点数字量输出，继电器 2A

6ES72231BL300XB0 SM 1223 数字量 I/O 模板，16 点数字量输入/输出，16 点数字量输入 DC 24 V，漏/源，16 点数字量输出，晶体管 0.5A

6ES72231PH300XB0 SM 1223 数字量 I/O 模板，8 点数字量输入/输出，8 点数字量输入 DC 24 V，漏/源，8 点数字量输出，继电器 2A

6ES72231PL300XB0 SM 1223 数字量 I/O 模板，16 点数字量输入/输出，16 点数字量输入 DC 24 V，漏/源，16 点数字量输出，继电器 2A

AI/AO

6ES72314HD300XB0 SM 1231 模拟量输入模板，4 点模拟量输入，+/-10V、+/-5V、+/-2.5V、或 0-20 MA 12 位 + 符号位(13 位 ADC)

6ES72324HB300XB0 SM 1232 模拟量输出模板，2 点模拟量输出，+/-10V，14 位分辨率，或 0-20 MA，13 位分辨率

6ES72344HE300XB0 SM 1234 模拟量 I/O 模板，4 点模拟量输入/2 点模拟量输出，+/-10V，14 位分辨率，或 0-20 MA，13 位分辨率

SB

6ES72230BD300XB0 SB 1223 数字量 I/O 模板，2 点数字量输入/输出，2 点数字量输入24V DC/2 点数字量输出 24VDC

6ES72324HA300XB0 SB 1232 模拟量输出模板，1 点模拟量输出，+/- 10VDC (12 位分辨率) 或 0 - 20 MA (11 位分辨率

CP

6ES72411AH300XB0 CM 1241 通讯模板，RS232，9 针 SUB D(阴)，支持基于信息的自由端口

6ES72411CH300XB0 CM 1241 通讯模板，RS485，9 针 SUB D(阳)，支持基于信息的自由端口

SIM

6ES72741XF300XA0 仿真模块，8 通道仿真器，直流输入开关

6ES72741XH300XA0 仿真模块，14 通道仿真器，直流输入开关

ESM

6GK72771AA000AA0 紧凑型交换机模块 CSM 1277