通过 Security Integrated 组件实现安全通讯、网络访问保护和网络分段

在数字化快速发展的推动下，工业通讯中出现了具有深远影响的趋势和变化。由于对以前独立运行的机器设备的联网不断增加、云技术的采用或直至现场级日益采用基于以太网的协议，相关安全问题变得越来越明显。这是因为，生产系统的开放式通讯以及不断加强的联网不仅提供巨大的机会，也带来遭受网络攻击的重大风险。为了针对攻击为工厂提供全面工业安全保护，必须采取适当措施。在这种情况下，必须保护生产免受破坏或间谍活动，而不会对可用性产生不利影响。西门子可帮助您实现这一目标，使您对一般威胁有一个基本了解，并有针对性地实施保护措施，使其成为一体化工业信息安全方案的一部分。

 

只有基于一种整体和连续的方法，才能成功建立和保持可靠和一体化的工业信息安全解决方案。这意味着，必须能够根据不断变化的威胁来调整整体解决方案，并且需要考虑工厂运营者、系统集成商、服务提供商和产品供应商之间的相互作用。一般而言，从生产中所使用的所有部件的开发阶段开始，就必须考虑网络安全问题。为了朝着安全数字化环境的方向再向前迈进一步，西门子率先成为基于 IEC 62443-4-1 标准进行 TÜV SÜD（德国技术监督协会/南方）认证的公司，以便实现开发西门子自动化与驱动工艺产品的跨学科过程；同时，西门子也是“信任宪章”的发起者。以 10 个主要原则为基础，“信任宪章”的成员为自己设定了三个目标：保护个人和公司的数据资料，防止对人员、公司和基础设施造成伤害，创造一个建立信任并能够在一个连接在一起的数字化世界中成长的可靠基础。

 

但是，尽管我们做出努力，也不会有***安全这种事情。为了保持尽可能低的残余风险，除全面的安全产品产品线外，我们还基于深入的建议、合作伙伴关系以及安全措施的不断进一步开发，建立了一种保护方案。
 

通过深度防御，西门子提供了一种多层安全方案，可为工厂实施全面而深入的保护。该方案基于工厂和网络安全要素以及系统完整性，符合有关工业自动化领域信息安全的主导标准 IEC 62443 中提出的建议。传统工厂保护主要是对整个工厂采取物理保护，而网络安全和系统完整性保护则将重点放在网络或终端设备自身上面，使它们免遭网络攻击、未授权的访问或疏忽操作。通过使用零信任原则扩展“纵深防御”概念，可以从办公室或旅途中的工作场所，安全访问生产网络中的运营技术 (OT) 系统和应用程序。

网络安全是西门子工业安全方案的中心内容

简言之，网络安全意味着为自动化网络提供保护，防止人员未经授权对其进行访问。其中包括监控所有接口（如办公室与工厂网络之间的接口）以及通过 Internet 进行的远程维护访问，这种监控可借助于防火墙以及（如果适用）通过建立受保护的安全“隔离区”(DMZ) 来实现。DMZ 用于将数据提供给其它网络，而不是让其它网络直接访问自动化网络本身。通过将工厂网络额外分隔为受保护的具体自动化单元，可***大限度降低风险，如针对恶意软件的水平传播提供保护，从而也有助于提高安全性。根据具体通讯和保护要求，将网络划分为多个单元并分配相关设备。各单元之间的数据传输可用虚拟专用网 (VPN) 进行加密，从而针对窃取和恶意破坏提供保护，通讯伙伴事先安全通过认证。

单元保护概念可以根据需要实施，并使用西门子的“集成安全功能”网络组件进行通讯保护，例如工业安全设备 SCALANCE S、用于有线和无线网络 (4G/5G) 的 SCALANCE M 工业路由器和 SIMATIC 安全通讯处理器。
通过将单元保护概念和 IT 领域的零信任原则相结合，可以实现端到端 OT-IT 安全概念的特定应用远程访问。根据“***小权限访问”，零信任仅允许明确识别和授权的用户进行特定应用程序的访问。为了集成零信任原则，Zscaler 公司安全解决方案 Zscaler Private Access 可在本地处理平台 SCALANCE LPE 上使用。结合现有的 OT 安全机制（例如小区保护防火墙），可以实现细粒度访问解决方案。
此外，还提供有可满足各种安全要求的软件产品。SINEMA Remote Connect 是一种远程网络管理平台，可以用来对广泛分布的各种机器设备和工厂进行保护式的、简便的远程访问。使用 SINEC NMS 网络管理系统，可以对多达数万个站点的网络进行全天候的集中监控、管理和组态。它还可以根据标准 IEC 62443 实现**的安全管理。例如，通过用户角色管理可以***控制每个授权用户对系统的访问和可用功能的范围。SINEC INS（基础设施网络服务）是一种中央网络服务软件工具，以直观、简便的方式提供通用网络服务。该工具包括与安全相关的服务器，例如用于网络中用户和设备身份验证（MAC 身份验证）的 RADIUS 服务器，例如检查谁可以访问哪些设备。

 

工业通讯是企业获得成功的一个关键因素，因此，必须对网络和终端设备进行全面保护。作为合作伙伴，西门子可为其提供各种 Security Integrated 组件，它们不仅具有通讯功能，而且包括专门的安全功能（如防火墙和 VPN 性能），以便实现单元保护方案。由于安全功能已全面集成在 TIA Portal 工程组态平台中，可在工厂组态期间对这些功能进行组态和管理。在单元保护概念的范围内，集成防火墙可帮助您将工厂网络划分为单独的受保护自动化单元，在这些单元中，所有设备都可以彼此进行安全的通讯。这些单元也通过虚拟专用网 (VPN) 安全连接到工厂网络。这些有针对性的措施可减少整个工厂范围内的故障，从而提高工厂可用性。各种各样具有集成保护机制的产品可用于实现面向需求的单元保护方案：