西門(mén)子電機技術(shù)樣本,6SE64302AD330DA0
SIMATIC PCS 7 安全理念以軍事上的“縱深防御”戰略為基礎,
根據該戰略,防御并不集中在單線(xiàn)圖上,而是分成若干層,
通過(guò)根據位置和/或功能將分為幾個(gè)邏輯片區,定義這些安全區。
這些片區受所有必要的安全機制的保護,且可完全獨立運行。
各個(gè)安全區之間數據和人員的流動(dòng)受所定義和監督訪(fǎng)問(wèn)的管制。
所有接入點(diǎn)的防火墻和病毒掃描程序將防止未經(jīng)便訪(fǎng)問(wèn)安全區內的各個(gè)計算機或網(wǎng)絡(luò )。
因此,安全區內不再需要額外的防火墻。這便簡(jiǎn)化了計算機的管理并保持了系統性能。
SIMATIC PCS 7 安全理念支持使用Microsoft Internet Security和
Acceleration Server 2006 (ISA Server 2006)、Windows防火墻
和Scalance S 安全模塊。因這些模塊具有的工業(yè)功能(IP30)及過(guò)程信息的優(yōu)化通信,
其與辦公設備有所不同。除防火墻之外,病毒掃描程序是的安全防護措施。
SIMATIC PCS 7 支持三種常用的針對和控制系統的病毒掃描程序。
SIMATIC PCS 7 安全理念建議安裝相應的安全補丁,
以保護經(jīng)常在 Windows 操作系統下運行的過(guò)程控制系統內部的各個(gè)工作站。
為了評估計算機在防御安全威脅方面的漏洞,
Microsoft Baseline Security Analyzer(MBSA)可掃描并分析存在問(wèn)題的計算機。
該安全分析器將在報告中總結檢測出的漏洞并列出缺失的安全補丁。
迫使攻擊者客服多重障礙。在 IT 安全方面,
縱深防御安全體系結構指的是若干關(guān)鍵元素的結合。
系統可能會(huì )拒絕域客戶(hù)端登錄到其域控制器的權限。
這是由 Windows 中的安全功能引起的,
當過(guò)客戶(hù)端與服務(wù)器之間的時(shí)間差時(shí),將阻止可能未經(jīng)便訪(fǎng)問(wèn)現有會(huì )話(huà)。
使用 IPSec VPN 將降“外部”計算機臨時(shí)進(jìn)入系統以進(jìn)行維護和支持工作時(shí)所產(chǎn)生的潛在危險。
虛擬專(zhuān)用網(wǎng) (VPN) 提供了從外部設備到受保護的控制系統而安全的連接。
西門(mén)子安全理念建議使用此方法,并將MicrosoftISAServer2006與隔離網(wǎng)絡(luò )結合使用。
如果通過(guò) Web 瀏覽器訪(fǎng)問(wèn)數據,則安全理念建議通過(guò)具有HTTPS的安全套接字層
(SSL)或者基于IPSec和用戶(hù)身份驗證的用戶(hù)名和密碼,進(jìn)行數據加密和服務(wù)器身份驗證。
我們提供了以下功能,包括實(shí)施 DHCP 服務(wù)器、分配 IP 地址、將分區映射到子網(wǎng)以及借助
Windows Active Directory 集中管理的計算機或用戶(hù),
Microsoft 會(huì )定期發(fā)布這些補丁供用戶(hù)使用,以修復近識別出的安全漏洞。
SIMATIC PCS 7 安全實(shí)驗室會(huì )不斷審查這些補丁,
確定其是否與當前版本的SIMATICPCS7相兼容,且會(huì )即時(shí)發(fā)布這些測試結果。
借助精 確的訪(fǎng)問(wèn)控制進(jìn)行一致的用戶(hù)管理和權限管理是安全理念的另一關(guān)鍵元素。
它應用 權限原則。單個(gè)用戶(hù)或單個(gè)應用僅擁有進(jìn)行手頭的實(shí)際任務(wù)時(shí)所需的權限。
以支持SIMATICPCS7系統靈活的網(wǎng)絡(luò )結構和高效的管理。
災難恢復的目的是在發(fā)生自然或人為事故后,
這種全面的方法不局限于使用個(gè)別的安全方法(例如數據加密或像防火墻之類(lèi)的設備),
相反,它以在系統的不同位置實(shí)施的各種安全方法的交互為基礎。
將分成幾個(gè)安全區 基本上講,要將加工劃分成單獨、有組織且可管理的片區,
每個(gè)片區都形成自己的安全區。安全區的大小可有所不同,小到自動(dòng)化裝置大到整個(gè)廠(chǎng)房。
根據這份報告,用戶(hù)便可在沒(méi)有適當的安全補丁保護的情況下繼續運行的風(fēng)險與安裝這些補丁
(可能需要重新啟動(dòng)計算機)要花費的精力和費用之間進(jìn)行權衡。
這是避免有意或無(wú)意的操作失誤的 佳方式。SIMATICPCS7支持借助SIMATICLogon軟件包進(jìn)行用戶(hù)管理,
以為 SIMATIC 應用程序和區域分配權限。SIMATIC Logon 利用了 Windows
用戶(hù)管理工具的自動(dòng)注銷(xiāo)和密碼自動(dòng)失效的功能。
時(shí)間同步SIMATICPCS7內的時(shí)間同步將幫助小化時(shí)間差,
并支持所有時(shí)間關(guān)鍵型過(guò)程的同步、審計、記錄和歸檔。
時(shí)間同步經(jīng)常會(huì )被忽略,但不應被估。非同步系統中的潛在威脅在于,
能夠重新訪(fǎng)問(wèn)數據、硬件和軟件,并重新開(kāi)始運行。
由于過(guò)程工程越來(lái)越多地受數據的推動(dòng),因此快速恢復數據的能力就變得非常重要了。
在 SIMATIC PCS 7 系統中,每臺 PC 都具有系統軟件的完整映像,
OpenPCS7在控制系統和 MES 之間提供了直接界面:
通過(guò)服務(wù)器,您可讓上位系統使用SIMATICPCS7的過(guò)程數據,
以進(jìn)行規劃、過(guò)程數據分析和管理。
OpenPCS7服務(wù)器將收集分布在OPC客戶(hù)端的各種SIMATICPCS7站
(OS服務(wù)器、歸檔服務(wù)器 CAS)上的數據;數據的分布取決于系統組態(tài)。
這意味著(zhù)不管存儲位置、時(shí)間段或體系結構(例如冗余)如何,均可從單個(gè) OPC 界面獲得所有數據。
OpenPCS 7 界面以 OPC 規范為基礎,用于主要使用 Microsoft DCOM
(分布式組件對象模型)技術(shù)的應用程序之間的通訊。它支持下列標準化訪(fǎng)問(wèn)選項:
OPC DA:OPC 數據訪(fǎng)問(wèn):根據 OPC 規范 OPC DA V1.00、V2.05a 和 V3.00,用于對當前過(guò)程值進(jìn)行讀取和寫(xiě)入訪(fǎng)問(wèn)
OPC HAD:OPC 歷史數據訪(fǎng)問(wèn):根據 OPC 規范 OPC HDA V1.20,用于對已歸檔的過(guò)程數據進(jìn)行讀取訪(fǎng)問(wèn)
OPC A&E:OPC 警報與事件:根據 OPC 規范 OPC A&E V1.10,用于對當前的警報和事件進(jìn)行讀取訪(fǎng)問(wèn)
OPC "H" A&E:歷史警報與事件:用于對已歸檔的警報和事件進(jìn)行讀取訪(fǎng)問(wèn)
OLE 數據庫:用于以標準化方式直接訪(fǎng)問(wèn)操作員系統的 Microsoft SQL Server 數據庫中的歸檔數據
若出現數據丟失,可隨時(shí)用來(lái)恢復系統分區。西門(mén)子提供了幾個(gè)用于歸檔過(guò)程數據的程序,
例如:Storage Plus、Central Archive Server (CAS) 和 Simatic IT Historian。
早在開(kāi)發(fā)過(guò)程中,IT 安全已被視為系統測試的組成部分,
且是發(fā)布產(chǎn)品的先決條件。SIMATICPCS7安全實(shí)驗室的工作人員一直潛心致力于IT安全,
其測試的結果直接流入產(chǎn)品和軟件開(kāi)發(fā)中。
西門(mén)子專(zhuān)門(mén)針對過(guò)程工程的特定需求,提供了集成的全面安全性解決方案。
安全理念有效降了風(fēng)險、防止安全事故的發(fā)生,從而提高了的可用性。
作為防火墻的工業(yè)安全模塊 SCALANCE S,還可通過(guò)采用加密和身份驗證
(VPN),保護系統/設備之間或網(wǎng)絡(luò )分段之間的數據傳輸免遭數據操縱和竊取的威脅。
管理層面上使用的執行系統 (MES) 在此處將起關(guān)鍵作用。
西門(mén)子電機技術(shù)樣本,6SE64302AD330DA0
021-39526589
網(wǎng)址:www.admorocco.com
地 址:上海市嘉定區嘉涌路99弄
6號樓713室