西门子工业信息安全解决方案

纵深防御信息安全西门子工业信息安全解决方案助力企业更上一层楼Answersforindustry.siemens.com.cn/industrial-security工业信息安全的概念由于以太网技术的优越性，使其在工业领域的各个方面得到了广泛的应用，甚至被应用到现场总线技术上，对于工业领域中的信息安全的问题也随之而来。生产系统的开放通信和网络规模的不断增大带来了巨大的机遇同时也带来了高风险。为了保护工业信息安全，需要采取相应的措施。西门子向客户提供全面的工业信息安全支持，包括产品、系统、解决方案，以及专业的咨询服务。工业信息安全不是一个单纯的技术问题，而是一个从意识培养开始，涉及到管理、流程、架构、技术、产品等各方面的系统工程。目前，部署纵深防御解决方案是工业领域应对安全挑战的现实方法。工业信息安全是一个动态过程，需要在整个工业基础设施生命周期的各个阶段中持续实施，不断改进。工业信息安全与办公网络安全的不同：信息安全有三个重要因素：可用性、完整性、保密性。•可用性：网络与参与者必须保证通讯在指定的时间内发生。•完整性：数据是正确的、完全的，且直接来源于发送方。•保密性：防止未经授权的人浏览和使用数据。工业信息安全必须满足工厂环境要求：•24/7/365必须保证可用性•可持续操作和系统访问的确定性•系统性能•防止非法操作和蓄意破坏•专有技术保护•系统和数据的完整性•数据必须保证实时性•保护工厂的整个生命周期•信息安全追踪和应变管理工业基础设施中关键控制系统的安全事件会导致：•系统性能下降，影响系统可用性•关键控制数据被篡改或丧失•失去控制•环境灾难•人员伤亡•公司声誉受损•危及公众生活及国家安全•破坏基础设施•严重的经济损失等发生网络安全事件共198起美国工业控制系统计算机应急响应小组2012年报告能源82.41%水行业29.15%网络21.11%交通5.3%核6.3%医疗5.2%政府7.4%食品和饮料2.1%IT1%制造业8.4%通信4.2%商业19.10%化工7.4%银行和金融1%水利1%2工业信息安全的重要性故障安全信息安全工程诊断坚固性通信过程优化易于集成集成法规和标准开放性保护投资节能有效性透明度国际化可用性/可靠性创新灵活性模块化全集成自动化生产生命周期工业信息安全是全集成自动化理念的重要组成由于不同行业的法律法规和所使用的工艺流程不同，因而对工业安全的需求也往往有所不同。但在任何情况下，一个全集成的安全解决方案中都必须考虑到各种行业的所有特定需求。西门子拥有数十年丰富的工业领域自动化解决方案开发经验，熟谙各个行业领域的所有需求。世界上不存在百分之百的信息安全，也不存在一劳永逸的安全机制。只有真正认识到这一点，才能设计出最优秀的工业信息安全解决方案，并不断调整应对各种新威胁。3IEC62443工控网络与系统信息安全标准国际/国家标准工业控制系统信息安全第1部分：评估规范工业控制系统信息安全第2部分：验收规范可编程逻辑控制器（PLC）安全要求集散控制系统（DCS）安全防护标准集散控制系统（DCS）安全管理标准集散控制系统（DCS）安全评估标准集散控制系统（DCS）风险与脆弱性检测标准工业通信网络-网络和系统安全-第2-1部分：建立工业自动化和控制系统信息安全程序行业标准工业过程测量和控制安全—网络和系统安全No.2010-1108T-JB工业通信网络—网络和系统安全第1-1部分：术语、概念和模型No.2010-1120T-JB工业通信网络—网络和系统安全第3-1部分：工业自动化和控制系统的安全技术No.2010-1121T-JB例如部件制造商的职责：自动化产品集成安全性能系统集成商的职责：在整个系统中安全可靠的配置和集成自动化组件用户业主的职责：根据环境变化（例如发现新的安全隐患）进行维护并更新信息安全功能IEC62443/ISA-99概述政策和步骤系统组件1-1术语、概念和模型1-2术语和缩略语1-3系统信息安全符合性度量2-1建立IACS信息安全程序2-2运行IACS信息安全程序2-3对IACS制造商信息安全政策与实践的认证2-4对IACS制造商信息安全政策与实践的认证用户和制造商在建立信息安全程序时的需求3-1IACS信息安全技术3-2区域和通道的信息安全保障等级3-3系统信息安全要求和信息安全保障等级4-1产品开发要求4-2对IACS产品的信息安全技术要求定义指标用户和制造商在建立信息安全程序时的需求安全系统的要求保障系统部件安全的要求完成进行中4工业信息安全纵深防御理念工厂安全是最应该引起注意，却往往被忽视的部分•通过公司ID和门禁、门卫实现物理访问控制•制定安全管理流程•执行信息安全操作指南•执行安全政策和法规并采取灾难恢复措施网络安全是工业信息安全的重要因素•通过网络分段降低风险•设置防火墙，作为安全单元的唯一接入点系统完整性是纵深防御理念的核心•激活设备安全功能•通过用户授权实现访问控制•定期安装补丁和更新•安装防病毒软件和白名单ྺہ௸ѫDCS/SCADA**DCSⅳѳघঅ୷ҋᐳᒁSCADAⅳఌୟ᭗᳐ʸሧ୷ᐳᒁइԕ࠸Сᓝᑾεਦ࠸Сᐳᒁ࠺ఎਇ•ႆᄚᲑ૶••࠸СӺБ֫᳽р˼Ӫ•Ბ࿬ݎ֫VPN•ᐳᒁҵڴ•ᅳ઻ञ઻Ꮦᄚ•ᡃʯᏖᄚ•਩ੰᨷ̓ൠ໦֫Ბ૶5工厂安全管理流程安全管理是形成工业安全管理概念的重要的一部分。定义安全的措施取决于工厂的危险和风险识别。达到和维持必须的安全级别，需要严格的安全管理流程。包括有风险分析及定义相应的对策使风险减小到可接受的级别、协调组织/技术措施、定期事件的重复。需要生产商，系统集成商和操作员考虑工业安全。风险分析对于工厂或者机器设备的安全管理是一个非常主要的前提，主要识别和评估危险及风险。典型的风险分析内容包括如下方面：•鉴定受到威胁的对象•分析威胁程度和损害的可能性•威胁和弱点的分析•认识存在的安全措施•风险评估被评估的且不能接受的风险必须通过某种措施来消减。那些最终被接受的风险仅能用于特定的应用场合。然而，并不能通过一种措施或者组合的措施来保证百分之百安全。西门子实现工业信息安全的基本要素要做到全方位地确保工业企业免于内部和外部的各种网络攻击，必须同时对所有网络层级实施安全保护，从工厂管理级到现场级，从访问控制到防拷贝保护，一应俱全。正因为如此，我们的“纵深防御理念”才能实现所有层级的全方位安全防护。西门子的工业信息安全解决方案并不是一成不变的，而是先对具体的生产和过程设施进行全面分析，根据实际情况为用户量身定制一系列的安全措施。•对于技术、工程和生产过程，在整个系统范围内，实施安全管理系统•对访问办公室IT和因特网/企业内网的接口进行明确规定，并进行相应监控•采用病毒防护软件、白名单和集成的安全机制，保护基于PC的系统（HMI、工程组态和基于PC的控制器）•保护控制层级-在自动化和驱动组件中，集成安全防护功能（例如，IP安全漏洞保护）-使用由程序员激活的安全功能（例如，设置访问密码）•监控所以系统通信监测入侵，同时通过防火墙对网络进行智能分隔风险分析ADBC技术措施验证&改进安全策略&组织措施6网络安全是工业信息安全的重要因素西门子为客户提供集成安全功能的设备组件，为了实施单元保护的理念，这些设备组件在实现通讯功能的同时，还可以实现安全功能，例如集成防火墙和VPN。网络分段理念将网络划分为各个独立的网络单元，并确保网络单元之间的数据安全通信。通过防火墙和VPN来实现各网络单元的划分和保护。网络划分减少了整个工厂宕机的可能性，从而提高系统的可用性。集成安全功能的产品，例如SCALANCES和SIMATICS7/PC通信处理器，可以用于实施网络分段。SIMATICS7-1500CP1543-1SIMATICS7-300CP343-1AdvancedSIMATICS7-400CP443-1AdvancedᗭҹӝӺБ4ᗭҹӝӺБ3ᗭҹӝӺБ2ᗭҹӝӺБ1S7-1200CSM1277PROFINETPROFINETPROFINETइˁ̺ݲᓝPROFINETG_IK10_XX_10351࠸СසۘSCALANCES7系统完整性相关的安全产品SIMATICS7-1200和S7-1500•S7-1200和S7-1500CPU集成访问保护功能-知识产权保护-恶意操纵防护-拷贝保护•通过CP1543-1增强保护功能-集成防火墙-通过VPN防止数据被恶意操纵或篡改SIMATICS7-300和S7-400•通过CP343-1Advanced和CP443-1Advanced通讯处理器集成的防火墙和VPN功能实现系统防护SCALANCES安全模块•SCALANCES623的DMZ端口隔离出独立的通信区域，可用于实现安全的数据访问工业计算机•通过CP1628通信处理器的防火墙和VPN功能，无需特殊的操作系统设定软件•对于被安全集成功能组件保护的系统，可以通过SOFTNETSecurityClient软件实现远程访问远程访问•SCALANCEM875UMTS路由器通过UTMS移动网络访问工厂网络SCALANCESSCALANCEM875CP343-1Adv/CP443-1AdvS7-1200CPU2)S7-1500CPUCP1543-1CP1628SOFTNETSecurityClientᑧৱᲑପᥪβ૶●ᣝᱛβ૶●૔࢝ᣝᱛβ૶ⅡᲑ࿬ݎⅢ●●●●●នଙʻᅳᓝᑾVPN●●●●1)਩ੰ௡ᑙᲑ૶Ⅱ᪦ᣎⅥᬢᓩⅢ●●●●●●●●applies1)VPN(V12SP1orhigher)2)FirmwareV4.0(V12SP1orhigher)8西门子的工业信息安全服务服务内容分为以下部分：•风险评估，确定风险并制定措施•模块化服务，通过标准化的服务模块有目的性的减少脆弱点•可管理的服务，例如为客户量身定制的全方位支持风险评估西门子具有工业信息安全服务资质，根据用户的实际应用识别、量化并区分风险。模块化服务基于风险评估报告，西门子以组合的模块化服务实现信息安全。防火墙实现网络分段，风险管理，并保护外围网络对工厂的访问。系统加固为了降低基于软件的系统的风险需要关闭或者禁止运行不必要的程序和接口。根据需要加固计算机系统、服务器、网络组件或自动化系统定制解决方案。防病毒和白名单用于降低计算机和服务器的受攻击风险。防病毒和白名单服务经过和PCS7和WinCC系统的测试，根据实际需求部署硬件和软件。•防病毒检测抵御病毒、蠕虫、木马的攻击•白名单阻止未授权的应用及恶意软件可管理的服务提供相关咨询、建议和实施服务例如•渗透测试•管理和测试•病毒查杀•执行Windows软件更新服务•网络监控•安全远程访问呢•补丁管理9工业信息安全网站：ܙ୷ҋڍ࠸СᏖᄚႆᄚᲑ૶ᅱ̐ᓝᑾ3ᅱ̐ᓝᑾ5ᅱ̐ᓝᑾ4SIMOTIOND4x5SINAMICS120SIMATICS7-300CP343-1AdvancedSIMATICFieldPG࠸ᡦSOFTNETSecurityClient࠸Сࡈ઻ᎏPCCP1628ಢҶڍˏݶঝൃಢҶڍइԕ࠸Сᐳᒁ࠺ఎਇᓝᑾεਦ࠸Сᅱ̐ᓝᑾҳУᓝᑾSIMATICS7-1500CP1543-1ᅱ̐ᓝᑾ2ᅱ̐ᓝᑾ1S7-1200CSM1277SIMATICS7-400CP443-1AdvancedWEBಢҶڍಢҶڍSIMATICET200SPSINAMICSG120SIMATICTP1200ComfortSIMATICTP700̺ݲᓝ᧢ᅻڍ̺ݲᓝ᧢ᅻڍSCALANCEM875SIMATICS7-1200SIMATICS7-1200SINUMERIK840DslSIMATICET200SSINAMICSS110SIMATICKTP600GPRS/UMTSInternet᳽р˼Ӫइˁ̺ݲᓝPROFINETPROFINETPROFINETSCALANCES623G_IK10_XX_10352SIMATICET200SPSINAMICSG120SIMATICTP700ET200SIMATICTP700SIMATICS7-1200PROFINETPR