1704018660
1704018661
网络分段和单元保护可归纳如下:
1704018662
1704018663
1)“单元”和“区域”是出于安全的目的对网络进行分段隔离产生的。
1704018664
1704018665
2)通过设置信息安全网络组件,对“单元入口”进行访问控制。
1704018666
1704018667
3)将没有独立访问保护机制的设备置于安全单元内加以保护,这种方式主要是针对已经正常运行的设备进行改造。
1704018668
1704018669
4)划分各个单元可以防止由于带宽限制造成的网络过载,保护单元内部的数据通信不受干扰。
1704018670
1704018671
5)在各个单元内部不影响实时通信。
1704018672
1704018673
6)在网络单元内部,对功能安全设备提供保护。
1704018674
1704018675
7)在单元和单元之间通过建立安全通道实现安全通信。
1704018676
1704018677
网络分段的单元防护是防止未经授权访问的一种防护措施。在安全单元内部的数据不受信息安全设备的控制,因此假设各分段网络内部是安全的,或者在各个单元内部部署了更进一步的安全措施,例如,保证交换机的端口安全。
1704018678
1704018679
各个安全单元的大小划分主要取决于被保护对象所包含的内容,具有相同需求的组件可能会划分在同一个安全单元以内。建议根据生产流程规划网络结构。这样可以保证网络分段时各个网络单元之间的通信数据量最少,同时,可以使防火墙配置的例外规则最小化。
1704018680
1704018681
为了保证性能需求,建议客户遵循如下针对网络规模和网络分段的规则:
1704018682
1704018683
1)一个PROFINET I/O系统中的所有设备都规划到一个网络单元中。
1704018684
1704018685
2)在设备和设备之间的通信数据量非常大的情况下,应该将它们规划到一个网络单元中。
1704018686
1704018687
3)如果一台设备仅仅和一个网络单元之间存在数据通信,同时保护目标是一致的,则应该将该设备和网络单元合并到一个网络单元中。
1704018688
1704018689
2.办公网络和工厂网络联网的安全
1704018690
1704018691
从一种网络过渡到其他网络时,可以通过防火墙和建立非军事区(DMZ)对工厂网络进行监控与保护。DMZ是为了保护工厂网络增加的一道安全防线。DMZ对其他网络可以提供数据服务,同时也确保其他网络不能直接访问自动化网络。即使DMZ中的计算机被黑客劫持,自动化网络仍然能被保护(见图7-13)
1704018692
1704018693
3.远程访问的安全
1704018694
1704018695
越来越多的工厂通过互联网连接到了一起。由于世界各地的械设备对远程服务、远程应用和实时监控的需求,远程的工厂通过移动网络(GPRS、UMTS、LTE)连接起来。
1704018696
1704018697
在这种情形下,安全访问尤其重要。借助搜索引擎、端口扫描或者自动化的脚本,黑客能够轻易发现不安全的访问节点。这就是通信节点要身份认证,数据的传输需要加密且数据的完整性必须保证的原因,特别是对于工厂的关键基础设施的访问而言。未经授权人员的访问、机密数据的读取和控制命令参数的修改都可能导致相当大的破坏、环境的污染及人员的伤害。
1704018698
1704018699
1704018700
1704018701
1704018702
图7-13 办公网络和工厂网络联网的安全
1704018703
1704018704
VPN机制提供身份认证、加密和完整性保护,是可以提供有效保护的一种措施。西门子的互联网安全产品支持VPN连接,因此可以安全地通过互联网或移动网进行数据传输、控制和访问。
1704018705
1704018706
正常的情况下,设备认证证书和值得信赖的IP地址或域名名称通过防火墙的规则来阻止或允许。VPN设备和SCALANCE S防火墙使用特定用户防火墙规则赋予访问用户权限。在这种情况下,用户使用他们的名字和密码登陆Web界面,由于每个已授权的用户被分配了特殊的防火墙规则,所以该用户根据其访问权限获得相应的访问能力。使用用户防火墙规则的优势在于可以清楚地跟踪特定时间内对系统的访问情况。
1704018707
1704018708
带有三个端口的SCALANCE S623防火墙给系统集成商、OEM和最终用户提供了相应的解决方案。一方面,设备制造商出于远程维护的目的需要访问安装在最终用户那里的机器;但另一方面,最终用户的IT部门不愿意在外部访问工厂机器时连接工厂的整个网络。通过SCALANCE S623,机器可以连接到工厂网络并且使用第三个端口连接防火墙到互联网。这样可以从互联网访问机器而不能从互联网访问该工厂网络。也就是,技术服务人员可以远程访问机器设备但不可以访问工厂网络(见图7-14)。
1704018709