西门子工业综合安全方案西门子非常重视保护其自身产品中处理数据的完整性和机密性。西门子也重视保护产品中包含的知识产权和专有技术。为此,西门子采用一套西门子工业综合安全方案(HSC)来为研发部门和生产工厂提供保护(详见下图)。在该方案中,西门子部署了多层安全系统以及 IT 基础设施的基本安全改进措施。同时,西门子还引入了流程改进措施,并努力提高研发与生产部门的安全意识。这些都是西门子持续采取的措施,这些措施在所有已实现的安全层级的是透明的。HSC 还会让在工业解决方案方面选择与西门子合作的客户或者也想遵循这一方案的客户受益。西门子供应商的信息安全也将被考虑在内,从而确保西门子在采购产品时遵循与其自身生产产品时相同的安全标准。信息安全管理流程标准和指令西门子在整个开发流程中都考虑了和工业信息安全相关的标准和指令:? ISO 2700X :信息安全风险管理? IEC 62443:工控系统的 IT 安全 - 网络和系统保护关于工业信息安全领域内适用的认证和标准的更多信息,信息安全管理 6符合 IEC 62443 和 ISO 27001 的信息安全管理流程是成功实施工业信息安全的基础。信息安全管理流程步骤1. 执行威胁和风险分析。确定所有潜在风险,制定对策将风险降低到可接受的范围内。威胁和风险分析包含以下步骤:– 查明存在安全威胁的设备– 分析价值及破坏潜力– 分析安全威胁因素及薄弱环节– 查明现有的安全措施– 风险评估– 评估对保护目标的影响:保密性、完整性和可用性2. 然后制定安全方针以及对应的组织措施,在企业的各个层面建立对工业信息安全高度重视的认识。定义准则和流程,以实现一致的信息安全措施。工业信息安全配置手册, 01/2023, 6FC5397-5EP40-6RA2 333. 第三步是制定和管理措施相辅相成的技术措施,4. 通过安全审核确保所有的措施已落实,且这些措施减轻或排除了查明的风险。说明信息安全管理流程是一个持续流程由于不断变化的威胁场景,必须不断重复此流程。将信息安全管理流程作为连续流程实施。参见常规安全措施 (页 35)产品特殊的安全措施 (页 55)信息安全管理工业信息安全34 配置手册, 01/2023, 6FC5397-5EP40-6RA2常规安全措施 7本章将介绍您必须采取哪些常规的安全措施来防范安全威胁,保护系统。SINUMERIK、SIMOTION 和 SINAMICS 产品上采取的一些额外特殊措施请参见“产品特殊的安全措施 (页 55)”一章。工业信息安全配置手册, 01/2023, 6FC5397-5EP40-6RA2 357.1 “纵深防御”方案对于针对来自公司内部和外部的网络攻击为工业设施提供全面保护来说,一种同时覆盖所有层级的方法(从管理层到现场层,从访问控制到防拷贝)至关重要,这就是我们根据lingxian的工业自动化安全标准 ISA99 / IEC 62443 将“纵深防御”(Defense in Depth)作为总体保护方案的原因纵深防御”方案关于“纵深防御”方案以及如何为工业系统规划安全方案的更多信息,保护层“纵深防御”方案分为三个层级:? 工厂安全工厂安全是纵深防御理念中最靠外的一道防线。工厂安全包括了诸如门禁等物理保护措施,这些措施必须和 IT 安全措施有机结合,相辅相成。? 网络安全工业信息安全方案的核心元素是网络安全。网络安全包括了网络分段和防火墙实现的接口管控;网络分段指把工厂网络划分成几个独立的子单元“Secure Islands”,子单元之间采取安全通信。? 系统完整性系统完整性包含了两个重要的保护目标:防范网络攻击,保护基于 PC 的系统,保护控制层级。措施比如有:– 在自动化组件中集成访问保护机制,避免未经授权的人员经由工程组态系统或在维护期间修改组件。– 使用杀毒软件和白名单软件,防止恶意软件侵入 PC 系统。– 发布服务包和更新包,使自动化系统保持在最新状态,比如:补丁管理和固件升级等。常规安全措施7.1 “纵深防御”方案工业信息安全配置手册, 01/2023, 6FC5397-5EP40-6RA2 377.2 设备安全企业的物理安全存在漏洞时,未经授权的人员便有机会进入生产车间,损坏或修改生产设备,导致机密信息丢失。因此无论企业还是生产区域,都有必要采取物理保护措施,防止未经授权的人员进入。关键生产区域的物理保护办公区域的物理安全办公区域的物理保护措施必须包括:? 设置围栏和监视器? 门禁、门锁、读卡器和或门卫? 外部人员由企业员工陪同进入? 所有企业员工都经过了安全流程的培训并在实际工作中落实生产区域的物理安全生产区域的物理保护措施必须包括:? 诸如生产车间等关键区域设置单独的门禁。? 重要组件安装在可上锁的控制柜或可上锁的控制室内(建议安装监视器和报警器)。如果控制室无法上锁或者组件安装在可上锁的控制室外,必须用一个圆柱锁锁上控制柜。请勿使用结构简单的锁,比如:wanneng锁、三角锁、四角锁或双齿锁。? 仔细规划和部署无线网络 WLAN,避免其覆盖半径超出规定范围,比如:超出车间。? 禁止在系统上使用第三方、未经安全验证的数据存储器(比如:U 盘)和 IT 设备(比如:笔记本电脑)。关于西门子集成安全解决方案的的更多信息,网络安全涵盖了和规划、实施、监测网络安全相关的所有措施,它包括了对连接到其他网络(如办公网络、生产网络和由于远程访问的需求连接到互联网)的所有接口安全审查。网络隔离生产网络与办公网络的隔离对于自动化产品和驱动产品而言,严格隔离生产网络和办公网络是一项重要的防范措施。这种严格隔离相当于给生产网络设置了保护区。说明本手册介绍的产品只允许在规定的保护区中运行。通过防火墙系统隔离最简单的情况,通过一个防火墙实现隔离。该防火墙可以控制和管理不同网络之间的通信。另见 使用 SCALANCE S 实现网络分段 (页 41)通过 DMZ 网络隔离更安全的是在各自的网络边界之间的连接一个非军事化区(DMZ)实现隔离。非军事化区限制了生产网络和办公网络之间的直接数据通信;通信过程只能通过非军事化区(DMZ)中的服务器间接完成。说明和办公网络一样,我们也建议将生产网络细分成一个个“自动化单元”,以保护关键的通信机制。常规安全措施7.3 网络安全工业信息安全40 配置手册, 01/2023, 6FC5397-5EP40-6RA2常规安全措施在保护区内同样也需要采取常规的安全措施,详见“系统强化 (页 48)”。7.3.1.2 使用 SCALANCE S 实现网络分段西门子提供 SCALANCE S 安全模块,以满足网络保护和网络分段的要求。关于西门子SCALANCE S 的更多信息,请访问SCALANCE S 安全模块带 Security Integrated 的 SCALANCE S 安全模块提供以下功能:? Stateful Inspection 防火墙可针对不同用户设置防火墙规则,赋予访问用户权限并记录下用户的访问情况。? 通过 IPsec(数据加密和验证)实现的 VPN借助 VPN,可在验证用户之间形成一条安全通道,防止数据被拦截或操纵。最重要的是防止通过互联网的外部访问。? NAT/NATP(地址转换)? 为宽带互联网连接(DSL、光缆)提供路由功能(PPPoE、DDNS)? SCALANCE S623 具有额外的 VPN 端口(DMZ),可以实现开展服务和远程维护所需的、到其他网络的安全连接。另外,S623 还可以通过路由器冗余和防火墙冗余功能建立到下级网络的安全冗余连接。? SCALANCE S615 安全模块配备 5 个以太网端口,可以通过防火墙或虚拟专有网络 VPN(IPsec 和 OpenVPN)为各种网络拓扑提供保护,并能够灵活实现安全机制。前提条件注意数据滥用目标保护设备和连接的安全模块之间相距太远,潜在有数据滥用风险。? 注意,必须将 SCALANCE S 等安全模块安装在封闭的控制柜内靠近目标保护设备的位置上,以防止在该位置数据以不被察觉的方式被操纵。下面是一个使用多个 SCALANCE S 模块实现网络分段的实例,各个模块位于每个自动化单元的上行。SCALANCE S 的防火墙可以过滤和控制一个自动化单元内设备和设备之间的数据通信。在必要情况下,单元和单元之间的数据可进行加密并需要身份验证。安全通道和 PC 对单元的访问可以使用 SOFTNET Security Client 来实现,它是一种安装在 PC 上的 VPN 客户端软件。VPN 访问说明注意,VPN 访问在任何情况下都必须通过 SCALANCE S 安全模块来实现。PROFINET 产品和 SNMP说明产品具有 PROFINET 端口时,可以通过 SNMP (Simple Network Management Protocol,简单网络管理协议,端口 160/161)从产品中读取参数,一些情况下甚至可以写入参数。? 不要光凭 SNMP 参数来判断此类产品,可以一并参照铭牌上的信息,比如:MAC 地址或序列号等来判断此类产品。云安全随着云计算的发展,云应用程序的运用日益广泛,云计算的重要性也日益凸显,如何保证云安全这一问题变得越发重要。下面的网站发布了一些通用的云安全指导和参考。您不仅可从中了解现行的安全要求,还可以了解经过验证的zuijia实践。西门子云解决方案西门子提供yiliu的云管理以及卓越的商业解决方案技术。这为我们的客户确保了最大程度的安全。如需详细了解西门子云解决方案,请访问以下链接:网络智能传感器 (ioT)IoT 传感器或智能传感器(例如:网络摄像头)可在物理世界中执行模拟测量。除了原本的测量数据采集外,此类设备还将信号分析与处理全部集于一体。它们不但处理和交换数据,甚至会运用自己的算法。IoT 传感器所实现的这些与物理世界的交互行为可能会带来不小的网络安全风险和个人隐私安全风险:警告使用 IoT 传感器时的风险? 模拟量测量值容易遭到篡改(光线强度、温度、电压都可能被篡改)。? 随着 IoT 传感器日益广泛的使用,大量的个人数据和敏感数据也会被收集,这些数据必须受到保护。? IoT 传感器也会用于敏感区域的保护。针对此类设备的安全攻击最严重时会威胁生命、造成重大的财产损失或者导致停产等后果。? IoT 网络接口经常被用于远程访问物理系统。制造商、销售商和第三方都能够对 IoT 设备进行远程访问,以便进行管理、监控、维护和排障。这可能会使通过 IoT 访问的物理系统面临前所未有的安全风险。? 很多 IoT 设备必须满足性能、可靠性、耐用性、安全性等众多方面的严苛要求。这些要求可能与企业的一般信息安全要求和规范(例如:定期的安全补丁和更新)是相悖的。与只能接入本地网络的非智能传感器不同,接入互联网的智能传感器可能遭受来自世界任何地方的网络攻击,这大大增加了机器的暴露风险和遭受攻击的风险。如发现此类风险,应将其纳入风险分析并对系统/设备采取适当的保护措施。基于上述风险,在使用 IoT 传感器时要尽可能缩小受攻击范围,此时应采取以下措施:? 确保传感器与西门子产品(SINUMERIK、Edge、SINAMICS)之间的安全数据传输。如可能,应在智能传感器上集成安全措施(例如:通信完整性保护)。? 为传感器设置自保护功能(例如:唯一可识别性、信号处理冗余(功能安全原则))。? 只使用符合法规要求的智能传感器。? 对可能遭受物理攻击的区域采取物理保护措施(西门子工业综合安全方案 (页 30),“纵深防御”方案 (页 36))。系统完整“系统完整性”指数据完好无损或正确,也指系统可以正常运行。系统完整性通过下文介绍的措施实现,这些措施可以防止数据或系统功能被非法操纵,并监测数据/功能操纵事件。 系统强化7 服务和端口开放的服务和端口是安全隐患之一。为降低风险、消除隐患,在所有自动化设备上应只服务和端口开放的服务和端口是安全隐患之一。为降低风险、消除隐患,在所有自动化设备上应只开启必要的服务,而关闭所有不必要的服务。所有开启的服务(尤其是网络服务器、FTP 和远程服务等)都必须纳入安全方案中。关于所有投入使用的端口的说明,请查阅各个产品的手册或功能手册。设置安全密码在设置新密码时,请遵循以下规则:? 在设置新密码时,不得使用易于猜测的密码,例如:简单的单词、容易被猜到的按键组合等。? 密码必须包含大写字母、小写字母、数字和特殊字符。PINS 必须是无规律的一串数字。? 在设置密码时还要遵循公司的现行规定,比如:各个公司自己的密码管理政策。? 注意,根据公司的现行规定,密码要符合最严苛的密码最短长度要求。? 只要条件允许并且 IT 系统和软件予以支持,在选择密码时,必须采用尽可能复杂的字符。您可以使用密码管理程序来管理密码。借助该程序能够对密码和口令进行加密保存和管理并生成安全密码。