提供补丁、安全组件以及配套的安全服务作为自动化和驱动产品的制造商,西门子不仅为系统集成商和运营商提供直接支持,而且还提供补丁、安全组件以及配套的安全服务,为产品的安全运行提供保障: • 西门子提供 SIEM 系统,用于监测安全残余风险。SIEM全称是“Security Information and Event Management”,即安全信息和事件管理系统,在 IT网络安全领域,已成为一个专 有名词。该系统可以识别安全事件,并予以评估,并随后向系统管理员示警。 标准和指令西门子在整个开发过程中都考虑了工业网络安全领域的适用标准和法规: • ISO 2700X:信息安全风险管理 • IEC62443-4-1:工业自动化系统的 IT 安全:安全产品开发的生命周期要求 更多信息关于工业网络安全领域内适用的认证和标准的更多信息,请访问网址:操作步骤 1.首先进行信息安全风险分析。确定所有潜在风险,制定对策将风险降低到可接受的范围内。 信息安全风险分析包含以下步骤: –查明存在安全威胁的设备 – 分析价值及破坏潜力 – 分析安全威胁因素及薄弱环节 – 查明现有的安全措施 – 风险评估 –评定风险对三个保护目标产生的影响:保密性、完整性和可用性 2. 然后制定安全方针以及对应的组织措施,为此要加强企业所有级别员工的工业网络安全意识。另外,还要制定标准的工作流程和指南, 统一行为准则,推动安全措施的实施。 3.第三步是制定和管理措施相辅相成的技术措施, 4. Zui后一步是安全审计,检查所有的措施是否落实,这些措施是否确实减轻或排除了查明的风险。说明 安全管理流程是一个持续流程 安全威胁因素不断变化,安全管理流程必须持续实施。因此,安全管理流程是一个周而复始、不断重复的持续流程。 信息安全管理 工业网络安全 24 配置手册工作环境和常规安全措施“纵深防御”方案 简介 纵深防御是指根据IEC 62443 的建议,对网络攻击和风险进行深度防御的综合概念。 说明随着工业设施与机器的数字化和网络化日益加深,遭受网络攻击的风险也不断增大。对于针对来自公司内部和外部的网络攻击为工业设施提供全面保护来说,一种同时覆盖所有层级的方法(从管理层到现场层,从访问控制到防拷贝)至关重要, “纵深防御”方案分为几个层级: • 工厂安全工厂安全包含了关键组件的各种物理保护措施,从传统的门禁、再到使用密码卡保护的 敏感区域。 • 网络安全网络安全涵盖了和规划、实施、监测网络安全相关的所有措施,它包括了对连接到其他网络(如办公网络、生产网络和远程维护访问)的所有接口安全审查。 • 系统完整性 系统完整性的保护目标有:防范网络攻击,保护基于 PC的系统,保护控制和现场层级。 措施比如有: – 集成访问保护机制,避免未经授权的人员经由工程配置系统或在维护期间修改配置。 –保护通讯免受未经授权的操纵,以确保设备的高可用性。 – 使用杀毒软件和允许列表,防止恶意软件侵入 PC 系统。 –发布服务包和更新包,使自动化和驱动系统保持在Zui新状态。
针对专门设置的运行环境的安全设定前提 变频器是机器、生产设备或建筑基础设施的一部分。它们只能在根据“纵深防御”方案进行保护的指定保护区内运行。 关于网络安全中“单元保护方案”的更多信息,可查看章节“网络隔离 (页 28)”。 设备安全企业的物理安全存在漏洞时,未经授权的人员便有机会进入生产车间,损坏或修改生产设备,导致机密信息丢失。因此无论是整个企业还是关键生产区域,都有必要采取物理保护措施, 防止未经授权的人员进入。关键生产区域的物理保护 简介关键生产区域的物理保护分为 2 部分: • 企业级物理安全 • 生产区域的物理安全 企业级物理安全 企业级物理安全措施须包括: •设置围栏和监视器 • 门锁、芯片卡、门卫进行门禁控制 • 外部人员由企业员工陪同进入 •所有企业员工都经过了安全流程的培训并在实际工作中落实 生产区域的物理安全 针对本手册中描述的产品,生产区域物理安全措施必须包括: •关键生产区域设置单独的门禁。 • 重要组件安装在可上锁的控制柜/控制室内控制柜/控制室必须配备锁,并安装监视器和报警器。请勿使用结构简单的锁,比如:万 能锁、三角锁、四角锁或双齿锁。 • 保护电源线和数据线变频器和其他驱动组件之间的动力电缆和数据电缆要加以保护,防止有人擅自操作,比 如:切断电缆。 • 仔细规划和部署无线网络WLAN,避免其覆盖半径超出规定范围。 • 制定并发布移动数据存储介质(例如:U 盘和存储卡)的使用指南 •制定并发布操作单元(例如:PG/PC 或移动终端设备)的使用指南网络安全网络安全涵盖了和规划、实施、监测网络安全相关的所有措施,它包括了对连接到其他网络(如办公网络、生产网络和远程维护访问)的所有接口安全审查。关于如何构建架构、保障生产网络和办公网络安全的说明,可查看西门子发布的白皮书: Industrial Network SecurityArchitecture(工业网络安全架构)。生产网络与办公网络的隔离 简介严格隔离生产网络和其他企业网络,可以为生产网络设置保护区。 说明 本手册介绍的产品只允许在规定的保护区中运行。 单元保护方案在单元保护方案中,一个生产网络被细分为一个个“保护单元”,在这些单元之间,所有组件都能在受保护的状态下相互通讯。保护单元构成了规定的保护区,保护区又通过防火墙系 统等方法和其他保护区以及其他公司网络分隔开。安全威胁和安全事件因此被控制在单个保护单元内。由此降低了整个生产设备的故障发生概 率,从而提高了可用性。 常规安全措施在保护单元和保护区内同样也需要采取常规的安全措施。 更多信息可查看章节“减少攻击面 (页 72)”。 防火墙系统Zui简单的情况,通过一个防火墙实现隔离。该防火墙可以控制和检查不同网络之间的通讯。DMZ 网络 单独的 DMZ网络可在生产和办公网络之间提供更安全的连接。生产网络和办公网络之间的 直接通讯被防火墙系统所阻止。通讯只通过 DMZ网络中的服务器间接进行。 说明 保护关键的通讯机制 生产网络应分为保护区,保护区再细分成单独的保护单元,以保护关键的通讯机制。 使用SCALANCE S 实现网络隔离 简介 西门子提供 SCALANCE S工业网络安全设备,以满足网络保护和网络分段的安全要求。 前提条件 上游的 SCALANCE S工业网络安全设备与需要保护的变频器组件一起安装在一个上锁的控制 柜或控制室内。这样可防止在该位置数据以不被察觉的方式被操纵。 说明SCALANCE S 工业网络安全设备提供以下功能: • Stateful Inspection 防火墙可针对不同用户设置防火墙规则,赋予访问用户权限并记录下用户的访问情况。 • 数据加密和身份验证 借助通过 IPsec 实现的VPN,可在验证用户之间形成一条 VPN 安全数据传送通道。 • 通过 NAT/NATP 进行地址转换 •用于宽带互联网接入的路由器功能 • 与非军事化区(DMZ)的连接等组件有一个额外的 VPN 端口,可以实现开展服务和远程维护所需的、到 DMZ 的安全连接。 • 对不同网络拓扑结构的保护 SCALANCE S615 等组件有 5 个以太网端口,可以通过防火墙或VPN(IPsec 和 OpenVPN) 为各种网络拓扑提供保护。应用示例 下面是一个使用多个 SCALANCE S模块实现网络分段的实例。SCALANCE S 的防火墙可以过滤和控制一个生产网络内设备和设备之间的数据通讯。在必要情况下,保护区和保护区之间 的数据可进行加密并需要身份验证。服务和端口 建议开放的服务和端口是安全隐患之一。为降低风险、消除隐患,在所有自动化设备上应只开启必要的服务,而关闭所有不必要的服务。有关配置端口和协议的更多信息请参阅“端口和协 议的Zui低功能 (页 72)”一章。所有开启的服务都必须纳入安全方案中。特别包括:网络服务器、FTP、远程服务。 更多信息有关变频器所用端口的更多信息请见相应产品的以下文档。 • 设备手册 • 操作说明用户账户 建议每个激活的账户都可以访问系统,也是安全遗患之一。因此请您采取以下安全措施: •对用户账号使用安全的登录数据。这尤其包括安全密码的分配。 • 减少用户账号数量到所需的Zui小数量。禁用或删除未使用的用户账号。 •仅为用户账号分配所需的权限。在工业环境中使用的操作单元 建议 在工业环境中使用的操作单元(例如PG/PC、平板电脑和智能手机)必须符合普遍适用的安 全要求。 工作环境和常规安全措施 6.5 系统完整性 工业网络安全配置手册, 为尽量减少风险,请采取以下安全措施: •由职能部门负责工厂中操作单元的统一管理,包括:设置、管理、定期检查和补丁安装。 对于操作单元的安全配置,这意味着: –在操作单元上只安装由制造商支持并定期维护的程序和操作系统。 – 在操作单元上定期为已安装的操作系统安装安全更新和补丁。 关于Windows 操作系统补丁管理的更多信息,可查看章节“Windows 补丁管理 (页 37)”。 –在操作单元上安装杀毒软件并定期更新该软件。可以使用以下措施作为补充:“允许 清单 (页 36)”和“使用 SCALANCES 实现网络隔离 (页 29)”的方法。 – 在操作单元上激活防火墙并选择合适的防火墙设置。 –对存储介质(如硬盘、SSD、eMMC)进行加密,防止敏感数据被未经授权访问。 –在操作单元上使用没有管理员权限的配置,即管理员权限jinxian系统管理员,以避免未 经授权的更改。 •只在规定保护区中使用操作单元。不得在办公室网络或互联网上使用操作单元。 生产网络和办公网络之间的隔离,可查看章节“网络安全(页 28)”。 • 给 PG/PC 上锁,防止偷盗或妥善保管。 • 确保操作单元的屏幕在非活动时自动锁定。 •禁用不需要的接口,例如:USB 端口。