深层防御信息安全结构的示例
由于标准化、开放性和联网的不断发展,过程控制系统的信息安全风险显著上升。破坏性程序或由未授权人员的访问引起的潜在危险包括:网络过载或故障、密码和数据被盗及对过程自动化的未授权干预。除了财物损坏,目标的破坏可能还会对人员或环境带来危险。
通过为 SIMATIC PCS 7开发的信息安全方案,可针对各种危险为过程控制系统提供全面保护。西门子可为您提供所需的附加服务,包括信息安全评估、信息安全实施和运行中的信息安全管理(详细信息,请见摴こ畔踩駭部分)。
SIMATIC PCS 7 安全性方案
手册《PCS 7 和 WinCC (Basic) 信息安全方案》中以及其它文档中详细介绍的 SIMATIC PCS 7信息安全方案提供了大量建议(佳做法),用于以深层防御信息安全架构为基础为过程工厂提供保护。该方法不会限制只能采用一种安全方法(如加密)或设备(如防火墙),
这种全盘方案的优点在于工厂网络中大量信息安全措施的相互作用:
将工厂划分为若干安全单元,形成具有深层防御安全机制的网络架构
| CPU 1211C,紧凑型CPU,AC/DC/继电器,板载 I/O: 6 DI 24V DC;4 DO 继电器 0.5A;2 AI 0 - 10V DC 或 0- 20MA,电源: AC 85 - 264 V AC @ 47 - 63 HZ,程序/数据存储器: 25 KB | 6ES7211-1BE31-0XB0 | 6ES7211-1BE40-0XB0 |
| CPU 1211C,紧凑型CPU,DC/DC/继电器,板载 I/O: 6 DI 24V DC;4 DO 继电器 0.5A;2 AI 0 - 10V DC 或 0- 20MA,电源: AC 20.4 - 28.8 V DC,程序/数据存储器: 25 KB | 6ES7211-1HE31-0XB0 | 6ES7 211-1HE40-0XB0 |
| CPU 1212C,紧凑型CPU,DC/DC/DC,板载 I/O: 8 DI 24V DC;6 DO 24 V DC;2 AI 0 - 10V DC 或 0 -20MA,电源: DC 20.4 - 28.8 V DC,程序/数据存储器: 25 KB | 6ES7212-1AE31-0XB0 | 6ES7 212-1AE40-0XB0 |
| CPU 1212C,紧凑型CPU,AC/DC/继电器,板载 I/O: 8 DI 24V DC;6 DO 继电器 0.5A;2 AI 0 - 10V DC 或 0- 20MA,电源: AC 85 - 264 V AC @ 47 - 63 HZ,程序/数据存储器: 25 KB | 6ES7212-1BE31-0XB0 | 6ES7 212-1BE40-0XB0 |
| CPU 1212C,紧凑型CPU,DC/DC/继电器,板载 I/O: 8 DI 24V DC;6 DO 继电器 0.5A;2 AI 0 - 10V DC 或 0- 20MA,电源: AC 20.4 - 28.8 V DC,程序/数据存储器: 25 KB | 6ES7212-1HE31-0XB0 | 6ES7 212-1HE40-0XB0 |
| CPU 1214C,紧凑型CPU,DC/DC/DC,板载 I/O: 14 DI 24V DC;10 DO 24 V DC;2 AI 0 - 10V DC 或 0- 20MA,电源: DC 20.4 - 28.8 V DC,程序/数据存储器: 50 KB | 6ES7214-1AG31-0XB0 | 6ES7 214-1AG40-0XB0 |
| CPU 1214C,紧凑型CPU,AC/DC/继电器,板载 I/O: 14 DI 24V DC;10 DO 继电器 0.5A;2 AI 0 - 10V DC 或0 - 20MA,电源: AC 85 - 264 V AC @ 47 - 63 HZ,程序/数据存储器: 50 KB | 6ES7214-1AG31-0XB0 | 6ES7 214-1BG40-0XB0 |
| CPU 1214C,紧凑型CPU,DC/DC/继电器,板载 I/O: 14 DI 24V DC;10 DO 继电器 0.5A;2 AI 0 - 10V DC 或0 - 20MA,电源: AC 20.4 - 28.8 V DC,程序/数据存储器: 50 KB | 6ES7214-1HG31-0XB0 | 6ES7 214-1HG40-0XB0 |
| SIMATIC S7-1200,firmare V4.0,CPU 1215C AC/DC/Rly,14输入/10输出,集成2AI/2AO | 6ES7 215-1BG31-0XB0 | 6ES7 215-1BG40-0XB0 |
| SIMATIC S7-1200,firmare V4.0,CPU 1215C DC/DC/DC,14输入/10输出,集成2AI/2AO | 6ES7 215-1AG31-0XB0 | 6ES7 215-1AG40-0XB0 |
| SIMATIC S7-1200,firmare V4.0,CPU 1215C DC/DC/Rly,14输入/10输出,集成2AI/2AO | 6ES7 215-1AG31-0XB0 | 6ES7 215-1HG40-0XB0 |
| SIMATIC S7-1200,firmare V4.0,CPU 1217C DC/DC/DC,14输入/10输出,集成2AI/2AO | 6ES7 217-1AG40-0XB0 |
设计
在系统方面,SIMATIC PCS 7 支持通过以下方式实现信息安全方案的指导和建议:
可与下列防病毒软件的新版本兼容:Trend Micro OfficeScan、Symantec Norton AntiVirus 和McAfee Virusscan
使用本地 Windows 防火墙
在安装过程中自动设置安全相关的参数,如 DCOM、注册表和 Windows 防火墙
通过 SIMATIC Logon 进行操作员管理和认证(有关详细信息,请参阅“SIMATIC Logon”一节)
具有集成安全功能(防火墙、VPN)的 CP 1628 通信模块可作为实现 SIMATIC PCS 7工业工作站的工业以太网连接的一种替代方法
SCALANCE S602、S612、S623 和 S627-2M 工业信息安全模块的集成
自动化防火墙
应用程序白名单
CP1628 通信模块
CP1628 通信模块
CP 1628 是自身带有微处理器和集成式 2 端口交换机(2 个 RJ45 接口, Mbit/s)的 PCI Express 卡(PCIe x1),用于将 SIMATIC PCS 7 工作站连接至工业以太网。
与类似的 CP 1623 相比,它具有一些附加功能:
利用状态检测防火墙,基于其 IP/端口地址来过滤连接
通过限制带宽来避免通信过载
通过 IPsec 隧道上的虚拟专用网进行安全通信
可以将网络分析信息安全传输到网络管理系统 (SNMP V3)
安全的时间传输 (NTP V3)
通过日志文件进行监控,并使用系统日志服务器进行分析
通过内置的安全机制,CP 1628 可以保护自动化网络中的 PCS 7站及其数据通信以及通过互联网进行的远程访问。它可以实现对由安全模块加以保护的各个站或整个自动化单元进行安全访问。也可以将不同的安全措施(如防火墙和IPsec 隧道上 VPN)进行组合。
有关 CP 1628 通信模块的详细信息和技术规格,请参见产品目录 IK PI中“工业以太网”部分中“系统实用工具”下面的“编程器/PC/IPC 的系统连接”。
