西门子代理商6AV2124-0UC02-0AX1

概述

通过 Security Integrated 组件实现安全通信、网络访问保护和网络分段

工业网络安全

*保护

在数字化快速发展的推动下，工业通信中出现了具有深远影响的趋势和变化。由于对以前独立运行的机器设备的联网不断增加、云技术的采用或直至现场级日益采用基于以太网的协议，相关安全问题变得越来越明显。这是因为，生产系统的开放式通信以及不断加强的联网不仅提供巨大的机会，也带来遭受网络攻击的重大风险。为了针对攻击为工厂提供全面工业安全保护，必须采取适当措施。在这种情况下，必须保护生产免受破坏或活动，而不会对可用性产生不利影响。西门子可帮助您实现这一目标，使您对一般威胁有一个基本了解，并有针对性地实施保护措施，使其成为一体业信息安全方案的一部分。

此威胁清单是BSI（德国联邦信息安全办公室）与工业界代表的紧密合作之下制定的。

BSI（德国联邦信息安全办公室）定期发布有关网络安全的新主题文档。读者可以将自己的建议和相关信息发送至info@cyber-allianz.de

西门子工业安全 – 对工厂实施连续保护

只有基于一种整体和连续的方法，才能成功建立和保持可靠和一体化的工业信息安全解决方案。这意味着，必须能够根据不断变化的威胁来调整整体解决方案，并且需要考虑工厂运营者、系统集成商、服务提供商和产品供应商之间的相互作用。一般而言，从生产中所使用的所有部件的开发阶段开始，就必须考虑网络安全问题。为了朝着安全数字化环境的方向再向前迈进一步，西门子成为基于 IEC 62443-4-1 标准进行 TÜV SÜD（德国技术监督协会/南方）认证的公司，以便实现开发西门子自动化与驱动产品的跨学科过程；同时，西门子也是“信任宪章”的发起者。以 10 个主要原则为基础，“信任宪章”的成员为自己设定了三个目标：保护个人和公司的数据资料，防止对人员、公司和基础设施造成伤害，创造一个建立信任并能够在一个连接在一起的数字化世界中成长的可靠基础。

但是，尽管我们做出大努力，也不会有**安全这种事情。为了保持尽可能低的残余风险，除全面的安全产品产品线外，我们还基于深入的建议、合作伙伴关系以及安全措施的不断进一步开发，建立了一种保护方案。

”深度防御“- 全面深入的保护

通过深度防御，西门子提供了一种多层安全方案，可为工厂实施全面而深入的保护。该方案基于工厂和网络安全要素以及系统完整性，符合有关工业自动化领域信息安全的主导标准 IEC 62443 中提出的建议。传统工厂保护主要是对整个工厂采取物理保护，而网络安全和系统完整性保护则将重点放在网络或终端设备自身上面，使它们免遭网络攻击、未授权的访问或疏忽操作。通过使用零信任原则扩展“纵深防御”概念，可以从办公室或旅途中的工作场所，安全访问生产网络中的运营技术 (OT) 系统和应用程序。

网络安全是西门子工业安全方案的中心内容

成功因素：网络安全性

简言之，网络安全意味着为自动化网络提供保护，防止人员未经授权对其进行访问。其中包括监控所有接口（如办公室与工厂网络之间的接口）以及通过 Internet 进行的远程维护访问，这种监控可借助于防火墙以及（如果适用）通过建立受保护的安全“隔离区”(DMZ) 来实现。DMZ 用于将数据提供给其它网络，而不是让其它网络直接访问自动化网络本身。通过将工厂网络额外分隔为受保护的具体自动化单元，可大限度降，如针对软件的水平传播提供保护，从而也有助于提高安全性。根据具体通信和保护要求，将网络划分为多个单元并分配相关设备。各单元之间的可用虚拟**网 (*) 进行加密，从而针对和破坏提供保护，通信事先安全通过认证。

单元保护概念可以根据需要实施，并使用西门子的“集成安全功能”网络组件进行通信保护，例如工业安全设备 SCALANCE S、用于有线和无线网络 (4G/5G) 的 SCALANCE M 工业路由器和 SIMATIC 安全通信处理器。
通过将单元保护概念和 IT 领域的零信任原则相结合，可以实现端到端 OT-IT 安全概念的特定应用远程访问。根据“小权限访问”，零信任仅允许明确识别和授权的用户进行特定应用程序的访问。为了集成零信任原则，Zscaler 公司安全解决方案 Zscaler Private Access 可在本地处理平台 SCALANCE LPE 上使用。结合现有的 OT 安全机制（例如小区保护防火墙），可以实现细粒度访问解决方案。
此外，还提供有可满足各种安全要求的软件产品。SINEMA Remote Connect 是一种远程网络管理平台，可以用来对广泛分布的各种机器设备和工厂进行保护式的、简便的远程访问。使用 SINEC NMS 网络管理系统，可以对多达数万个站点的网络进行全天候的集中监控、管理和组态。它还可以根据标准 IEC 62443 实现高效的安全管理。例如，通过用户角色管理可以精确控制每个授权用户对系统的访问和可用功能的范围。SINEC INS（基础设施网络服务）是一种*网络服务软件工具，以直观、简便的方式提供通用网络服务。该工具包括与安全相关的服务器，例如用于网络中用户和设备身份验证（ 身份验证）的 RADIUS 服务器，例如检查谁可以访问哪些设备。

初步风险评估和互联网信息

您是否想了解工厂的安全程度如何？或者，您的系统可采用哪些进一步安全措施？我们可为您提供有关您的领域内存在的特殊安全需求的详细信息。请利用这一机会，就任何未解决的问题与我们的咨询团队联系。我们的*将欣然为您制定出一个满足您的工厂或过程基础设施需要的安全方案。您可以下载有关西门子保护概念的附加信息以及特定指南，其中包含许多建议

可编程控制器（PLC）的工作有两个要点：入出信息变换、可靠物理实现，入出信息变换主要由运行存储于PLC内存中的程序实现。这程序既有系统的（这程序又称监控程序，或操作系统），又有用户的。系统程序为用户程序提供编辑与运行平台，同时，还进行必要的公共处理，如自检，I/O刷新，与外设、上位计算机或其它PLC通讯等处理。用户程序由用户按照控制的要求进行设计。什么样的控制，就有什么样的用户程序。 

      可靠物理实现主要通过输入（I， INPUT）及输出（O， OUTPUT）电路。每一输入点或输出点就有一个I或O电路。而且，总是把若干个这样电路集成在一个模块（或箱体）中，然后再由若干个模块（或箱体）集成为PLC完整的I/O系统（电路）。尽管这些模块相当多，占了PLC体积的大部分，但由于它们都是由高度集成化的，所以，PLC的体积还是不太大的。

输入电路时刻监视着输入点的（通、ON或断、OFF）状态，并将此状态暂存于它的输入暂存器（还可能有别的称谓）中。每一输入点都有一个与其对应的输入暂存器。

      输出电路有输出锁存器（还可能有别的称谓）。它也有两个状态，高、低电位状态，并可锁存。同时，它还有相应的物理电路，可把这个高、低电位的状态传送给输出点。每一输出点都有一个与其对应的输出锁存器。

      这里的输入暂存器及输出锁存器实际是PLC的I/O电路的寄存器。它们与PLC内存交换信息通过PLC I/O总线及运行PLC的系统程序实现。

      把输入暂存器的信息读到PLC的内存中，称输入刷新。PLC内存有专门开辟的存放输入信息的映射区。这个区的每一对应位（bit）称为输入继电器，或称软触点，或称为过程映射输入寄存器（the process-image input register）。这些位（bit）置成1，表示触点通，置成0为触点断。由于它的状态是由输入刷新得到的，所以，它反映的就是输入点的状态。

      输出锁存器与PLC内存中的输出映射区也是对应的。一个输出锁存器也有一个内存位（bit）与其对应，这个位称为输出继电器，或称输出线圈，或称为过程映射输出寄存器（the process-image output register）。通过PLC I/O总线及运行系统程序，输出继电器的状态将映射给输出锁存器。这个映射的完成也称输出刷新。

      PLC除了有可接收开关信号的输入电路，有时，还有接收模拟信号的输入电路（称模拟量输入单元或模块）。只是后者先要进行模、数转换，然后，再把转换后的数据存入PLC相应的内存单元中。

      如要产生模拟量输出，则要配有模拟量输出电路（称模拟量输出模块或单元）。靠它对PLC相应的内存单元的内容进行数、模转换，并产生输出。

这样，用户所要编的程序只是，PLC输入有关的内存区到输出有关的内存区的变换。这是一个数据及逻辑处理问题。由于PLC有强大的指令系统，编写出满足这个要求的程序是完全可能的。

     图1对以上叙述作了说明。其中框图代表信息存储的地点，头代表信息的流向及实现信息流动的手段。这个图，既反映了PLC实现控制的两个基本要点，同时也反映了信息在PLC中的空间关系。

      简单地说，PLC工作过程是：输入刷新---运行用户程序---输出刷新，再输入刷新---再运行用户程序---再输出刷新⋯⋯**停止地循环反复地进行着。

      图2所示的流程图反映的就是上述过程。它也反映了信息间的时间关系。

a- 简作流程图              b – 实际工作流程图

图2 PLC工作流程图

     有了上述过程，用PLC实现控制显然是可能的。因为：有了输入刷新，可把输入电路监视得到的输入信息存入PLC的输入映射区；经运行用户程序，输出映射区将得到变换后的信息；再经输出刷新，输出锁存器将反映输出映射区的状态，并通过输出电路产生相应的输出。又由于这个过程是**停止地循环反复地进行着，所以，输出总是反映输入的变化。只是响应的时间上，略有滞后。但由于PLC的工作速度很快，所以，这个“略有滞后”的时间是很短的，一般也就是几毫秒、几十毫秒，多也不会过100到200毫秒。

图2a所示的是简化的过程，实际的PLC工作过程还要复杂些。除了I/O刷新及运行用户程序，还要做些其它的公共处理工作。公共处理工作有：循环时间监视、外设服务及通讯处理等。

      监视循环时间的目的是避免用户程序“死循环”，保证PLC能正常工作。为避免用户程序“死循环”的办法是用“”（Watching dog），即设一个定时器，监测用户程序的运行时间。只要循环时，即报警，或作相应处理。

      外设服务是让PLC可接受编程器对它的操作，或向编程器输出数据。

通讯处理是实现与计算机，或与其它PLC，或与智能操作器、传感器进行信息交换的。这也是增强PLC控制能力的需要。

      也就是说，实际的PLC工作过程总是：公共处理——I/O刷新——运行用户程序——再公共处理——⋯反复不停地重复着。图2b所示的是实际的过程。

      此外，PLC上电后，也要进行系统自检及内存的初始作，为PLC的正常运行做好准备。

      用这种不断地重复运行程序以实现控制，称扫描方式工作。是PLC基本的工作方式。

      此外，为了应对紧急任务，PLC还有中断工作方式。在中断方式下，需处理的任务先申请中断，被响应后停止正运行的程序，转而去处理中断工作（运行有关中断的服务程序）。待处理完中断，又返回运行原来程序。

      PLC的中断方式的任务，或称事件，是分等级的。同时出现两个或多个中断事件，则**级高的先处理，继而处理低的。直到全部处理完中断任务，再转为执行扫描程序。

      PLC对大量控制都用扫描方式工作，而对个别急需的处理，则用中断方式。这样，既可做到所有的控制都能照顾到，而个别应急的任务也能及时进行处理。

      当然，PLC的实际工作过程比这里讲的还要复杂一些，分析其基本原理，也还有一些理论问题。但如果能弄清上面介绍的思路，也可知到PLC是怎么工作的了。