服務熱線
86-132-17430013
品牌 | 其他品牌 |
---|
西門子代理商 西門子一級代理商 西門子SM332數字量輸入模塊 西門子SM332數字量輸入模塊
數字通訊技術使得生產過程日益互聯互通,但也由此招來了網絡犯罪。西門子中央研究院IT安全技術領域,正在研發能夠防御網絡犯罪的*解決方案,并對其進行嚴格測試,包括由西門子自有團隊發動襲擊。
IT犯罪日益猖獗。曾主要限于攻擊個人網民的網絡犯罪,逐漸對工業界和商界構成重大威脅,網絡襲擊和工業間諜活動造成的損失,每年已高達數十億美元。許多工業企業都擔心,隨著數字技術的普及,整條產業鏈上的機器和設備互聯互通日益緊密,這會引起額外的重大安全風險。但是,為了加快生產速度,提高靈活性,同時保持高成本效益,企業不得不將過去在很大程度上自成一體的設施改造為開放式生產系統。為化解困境,西門子已有解決方案:如果工業界采用*的、整體性安全概念,風險就是可控的。為此,西門子在西門子中央研究院設立了IT安全技術領域,這支IT專家小組,專門為西門子各業務部門研發全面的安*方案。
系統地解決漏洞
“過去,門禁和警報系統保護著工廠。如今則是另一種情形,工業安全專家的首要任務是比行動更迅速,搶先發現安全漏洞。”IT安全專家Klaus Lukas如是說。
他的ProductCert小組——IT安全技術領域的組成部分之一——專門解決公司內部及外部報告的西門子產品安全漏洞。Lukas指出,“西門子各業務部門的數字化轉型,要求我們快速響應,消除這些威脅。”這樣一來,如果發現薄弱點,他的團隊將立即通知客戶,并盡快研發出解決方案彌補漏洞。
與此同時,這支團隊與一個安全專家網絡保持密切接觸。Lukas表示,“這一點*,不僅是為了建立相互信任的基礎,也是為了擴展我們自身的知識范圍。”因此,他的團隊成員也參加重要的會議和IT活動,以便與來自這個領域的其他人士交流。譬如,在BlackhatUSA和DefCon等會議上,研究人員將發表他們的發現。
掃描數據,查找異常
IT經理必須迅速發現漏洞并采取對策。
另一個構成IT安全的重要部分是一個能夠近乎實時地查明網絡襲擊的監測系統。Heiko Patzlaff博士表示,“總體而言,發現襲擊的速度還不夠快。惡意程序一旦侵入系統,它能從容地查找數據并達成目標,不論是竊取數據還是操縱數據。”監控系統旨在改善這種狀況。他補充道,“我們正在研發能夠掃描數據流異常的算法。”譬如,日間或夜間非正常時刻,發生大量數據轉移,可能表明受到襲擊。同樣,莫名其妙連續執行無數次的命令,也可能表明遭遇到了襲擊。或者,如果僅白天工作的用戶突然在夜間登錄,這也可能是網絡襲擊的信號。Patzlaff指出,“每個IT系統都有其自身的常規和行為模式,因此,必須根據這些特點來調整線索搜索。”監測系統一旦發現異常,將自動通知安全中心。他說:“安全中心的IT安全專家,將分析入侵企圖并采取對策。”
西門子中央研究院研發出有助于識別危險襲擊的監測服務。
預測表明,未來的挑戰將是多么艱巨。隨著“工業4.0”信息物理融合技術的日益普及,終不是成百上千,而是數以億計的機器、系統、傳感器和單獨產品將實現相互通訊。
實時識別襲擊模式
還有一個重要的構成IT安全的組成部分是通過監測設施運行環境來檢測襲擊,如制造工廠或電站等。Martin Otto博士帶領的CERT研究小組,正在研發新的解決方案,以支持安全專家盡早發現這些襲擊并成功地抵御襲擊。舉例來講,CERT每天都要調查和分析新的襲擊模式,并與其他部門合作,研發有效對策和檢測方法,大幅降低襲擊風險。Otto解釋道,“有了這樣的網絡安全智能,我們可以理解當前的威脅形勢,更加有的放矢地保護我們的系統和客戶。”
CERT和ProductCERT的專家也在研發能夠獨立識別新的襲擊模式,并生成識別方法的新技術。此外,研究人員也在研究如何提高運行網絡抵御襲擊的能力,避免發生故障。
燃氣輪機的運行數據必須實時分析,數據發送之前必須加密。
機器ID核查
工業領域需要特殊安*方案。譬如,一個想法是讓機器先“表明身份”,然后才能相互交換數據,或將數據發送至數據庫。Hendrik Brockhaus說:“這將提升IT基礎設施的防御能力。”在西門子IT安全技術領域,他的團隊為西門子交通集團裝配了一個試點系統,用于展示這種類型的機器ID系統如何工作。Brockhaus*將公共密鑰基礎設施(PKI)用于工業設施,并利用數字證書來驗證機器、傳感器或組件的真實性。譬如,在試點系統環境中,如果控制系統向現場設備的控制單元發送切換指令,那么,控制系統和控制單元雙方都要根據PKI證書來確認對方身份屬實,且沒有襲擊企圖。PKI證書由按很高安全標準運行的“授信中心”發放,因而確保PKI證書的可信度。
與此同時,除IT基礎設施和西門子產品之外,IT安全專家也會*審視該部門的自有解決方案。只有這樣,才能看出IT安全專家樹立的保護墻是否足夠高,以及安全檢查點是否足夠嚴格。
PROFIBUS-DP主從接口、RAM容量、溫度范圍等),并在西門子公司的技術支持下進行,以獲得合理的選型;四是編程軟件的選擇,這主要考慮對CPU的支持狀況。
STEP7 V4.0對有些型號的CPU不支持,硬件組態時會發生故障出錯,而STEP7V5.0則不存在這種問題。
系統軟硬件選擇。一是擴展方式選擇,S7-300 PLC有多種擴展方式,實際選用時,可通過控制系統接口模塊擴展機架、Profibus-DP現場總線、通信模塊、運程I/O及PLC子站等多種方式來擴展PLC或預留擴展口;二是PLC的聯網,包括PLC與計算機聯網和PLC之間相互聯網兩種方式。
有關參數確定。一是輸入/輸出點數(I/O點數)確定。這是確定PLC規模的一個重要依據,一定要根據實際情況留出適當余量和擴展余地。
因S7-300 PLC的工業通信網絡淡化了PLC與DCS的界限,聯網的解決方案很多,用戶可根據企業的要求選用;三是CPU的選擇,CPU的選型是合理配置系統資源的關鍵,選擇時必須根據控制系統對CPU的要求(包括系統集成功能、程序塊數量限制、各種位資源、MPI接口能力