现代的工业控制网络已经越来越多地被连接到办公网络和企业内部互联网(Intranet),无线局域网的使用也日益增多,加上远程维护等新技术的采用,工业通信网络与信息技术(IT)环境的交互越来越多。由于PLC等现场控制设备通过Web服务器和电子邮件等与互联网上的设备交换信息,办公和IT环境中常见的威胁,例如黑客程序、病毒、蠕虫和木马程序等,也会威胁到控制系统的安全。
用于办公环境的数据安全解决方案不能简单地照搬到工业应用场合,西门子提供了适用于工业自动化工程的安全解决方案,以防止敏感系统和生产网络被恶意操纵和破坏。
以下是在工业环境中防止操纵和丢失数据的最重要的预防措施:
1)通过虚拟专用网(VPN)来过滤和检查数据通信。虚拟专用网用于在办公网络(例如互联网)中交换私有数据。最常用的VPN技术是IPsec。IPsec是一个协议集,用于保证在网络层使用IP的信息的安全性。
2)在受保护的自动化单元中进行分段,用安全模块来保护网络节点,一组受保护的设备构成一个受保护的自动化单元。只有同一类型的安全模块或它们保护的设备之间才能互相交换数据。
3)通过对节点进行身份验证,安全模块可以通过安全(加密)通道相互识别。未经授权不能访问受保护的网段。
4)通过对数据通信加密来确保数据的机密性。为每个安全模块提供一个包含密钥的VPN证书。(www.xing528.com)
5)在PROFINET和控制设备之间设置ScalanceS安全模块(见图10-9)。安全模块的防火墙用于保护PLC免受未经授权的访问。在验证通信伙伴身份的可靠性和发送数据的加密性方面,防火墙可以作VPN的替代或补充。
图10-9 防火墙与安全模块
从逻辑上看,防火墙是分离器、限制器和分析器。从物理上看,防火墙由路由器、计算机和软件组成。防火墙可以过滤数据包,根据过滤表来禁用或启用通信连接。进入和离开通信、IP地址、MAC地址和通信协议(端口)都可以被过滤。
Scalance S可以作SOFTNET的安全客户机,用于PC安全地访问受Scalance S保护的PLC。即使没有专业的IT知识,也可以很简单地进行组态。只需创建和组态需要相互之间进行安全通信的安全模块或Softnet安全客户机。如果发生故障,无需编程设备就可以快速更换安全模块。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
