工业以太网安全
通过 Security Integrated 组件实现安全通信、网络访问保护和网络分段
全方位保护
在数字化快速发展的推动下,工业通信中出现了具有深远影响的趋势和变化。由于对以前独立运行的机器设备的联网不断增加、云技术的采用或直至现场级日益采用基于以太网的协议,相关安全问题变得越来越明显。这是因为,生产系统的开放式通信以及不断加强的联网不仅提供巨大的机会,也带来遭受网络攻击的重大风险。为了针对攻击为工厂提供全面工业安全保护,必须采取适当措施。在这种情况下,必须保护生产免受破坏或间谍活动,而不会对可用性产生不利影响。西门子可帮助您实现这一目标,使您对一般威胁有一个基本了解,并有针对性地实施保护措施,使其成为一体化工业信息安全方案的一部分。
西门子工业安全 – 对工厂实施连续保护
只有基于一种整体和连续的方法,才能*建立和保持可靠和一体化的工业信息安全解决方案。这意味着,必须能够根据不断变化的威胁来调整整体解决方案,并且需要考虑工厂运营者、系统集成商、服务提供商和产品供应商之间的相互作用。一般而言,从生产中所使用的所有部件的开发阶段开始,就必须考虑网络安全问题。为了朝着安全数字化环境的方向再向前迈进一步,西门子率先成为基于 IEC 62443-4-1 标准进行 TÜV SÜD(德国技术协会/南方)的公司,以便实现开发西门子自动化与驱动产品的跨学科过程;同时,西门子也是“信任宪章”的发起者。以 10 个主要原则为基础,“信任宪章”的成员为自己设定了三个目标:保护个人和公司的数据资料,防止对人员、公司和基础设施造成伤害,创造一个建立信任并能够在一个连接在一起的数字化世界中成长的可靠基础。
但是,尽管我们做出*努力,也不会有*安全这种事情。为了保持尽可能低的残余风险,除全面的安全产品产品线外,我们还基于深入的建议、合作伙伴关系以及安全措施的不断进一步开发,建立了一种保护方案。
”深度防御“- 全面深入的保护
通过深度防御,西门子提供了一种多层安全方案,可为工厂实施全面而深入的保护。该方案基于工厂和网络安全要素以及系统完整性,符合有关工业自动化领域信息安全的主导标准 IEC 62443 中提出的建议。传统工厂保护主要是对整个工厂采取物理保护,而网络安全和系统完整性保护则将重点放在网络或终端设备自身上面,使它们免遭网络攻击、未授权的访问或疏忽操作。通过使用零信任原则扩展“纵深防御”概念,可以从办公室或旅途中的工作场所,安全访问生产网络中的运营技术 (OT) 系统和应用程序。
网络安全是西门子工业安全方案的中心内容
*因素:网络安全性
简言之,网络安全意味着为自动化网络提供保护,防止人员未经授权对其进行访问。其中包括监控所有接口(如办公室与工厂网络之间的接口)以及通过 Internet 进行的远程维护访问,这种监控可借助于防火墙以及(如果适用)通过建立受保护的安全“隔离区”(DMZ) 来实现。DMZ 用于将数据提供给其它网络,而不是让其它网络直接访问自动化网络本身。通过将工厂网络额外分隔为受保护的具体自动化单元,可*限度降低风险,如针对恶意软件的水平传播提供保护,从而也有助于提高安全性。根据具体通信和保护要求,将网络划分为多个单元并分配相关设备。各单元之间的数据传输可用虚拟网 (VPN) 进行加密,从而针对窃取和恶意破坏提供保护,通信伙伴事先安全通过。
单元保护概念可以根据需要实施,并使用西门子的“集成安全功能”网络组件进行通信保护,例如工业安全设备 SCALANCE S、用于有线和无线网络 (4G/5G) 的 SCALANCE M 工业路由器和 SIMATIC 安全通信处理器。
通过将单元保护概念和 IT 领域的零信任原则相结合,可以实现端到端 OT-IT 安全概念的特定应用远程访问。根据“*小权限访问”,零信任仅允许明确识别和授权的用户进行特定应用程序的访问。为了集成零信任原则,Zscaler 公司安全解决方案 Zscaler Private Access 可在本地处理平台 SCALANCE LPE 上使用。结合现有的 OT 安全机制(例如小区保护防火墙),可以实现细粒度访问解决方案。
此外,还提供有可满足各种安全要求的软件产品。SINEMA Remote Connect 是一种远程网络管理平台,可以用来对广泛分布的各种机器设备和工厂进行保护式的、简便的远程访问。使用 SINEC NMS 网络管理系统,可以对多达数万个站点的网络进行全天候的集中监控、管理和组态。它还可以根据标准 IEC 62443 实现高效的安全管理。例如,通过用户角色管理可以控制每个授权用户对系统的访问和可用功能的范围。SINEC INS(基础设施网络服务)是一种中央网络服务软件工具,以直观、简便的方式提供通用网络服务。该工具包括与安全相关的服务器,例如用于网络中用户和设备身份验证(MAC 身份验证)的 RADIUS 服务器,例如检查谁可以访问哪些设备。
增强型实时以太网控制器 ERTEC |
创新且经过良好证明
作为一个专门的 PI 成员,西门子从一开始就一直积极推动 PROFINET 的发展。西门子的技术组件获益于由此积累的专门知识。它们在无数产品中得到实际证明,具有极高的性能与功能,可并根据具体要求进行扩展。
这并非全部。西门子应用中心还提供为设备选择适宜技术组件的建议或培训机会,并在整个开发过程中提供支持,直至*通过。
ERTEC 200P-2 – 通往*快速 PROFINET 的道路
ERTEC 200P-2(增强型实时控制器)建立了新的通信标准。
ERTEC 200P-2 进行了 PROFINET 性能升级,循环时间低至 125 靤。借助于它的 250 MHz ARM9 CPU 和集成式 IRT(等时同步实时)交换机,可以实现满足苛刻性能要求的现场设备。由于芯片尺寸减小,便于集成到紧凑型现场设备中。该 CPU 还允许集成用户自己的应用程序,因而根据具体应用,无需使用外部主机 CPU。
ERTEC 200P-2 的开发工具包
该开发工具包包含一个带有示例应用程序的评估板,可在极短时间内完成调试。PROFINET 栈以源代码的形式交付,包括 eCos 开源实时操作系统、所有开发工具、分析程序和文档。使用 ERTEC ASIC,可实现具有 RT(实时)和 IRT(等时同步实时)功能的现场设备。借助于集成式交换机,可以构建带有两个端口的现场设备。
功能:
ERTEC 200P-2 内部结构
开放性工业以太网标准 PROFINET 是一种在自动化中使用的系统解决方案,它的特点是开放性、可扩展性和高性能,尤其是在实时应用领域中。 PROFINET 可满足工厂自动化、过程自动化运动控制应用的要求。 因此,可通过 PROFINET 来满足自动化系统在实时通信方面的特殊要求;由于具有不受限制的开放性,可在单一系统内通过 TCP/IP 实现标准通信。
使用 ERTEC,可以集*能强大的 PROFINET。 例如,可以在同步模式中对轴进行控制,同时将 50% 的带宽专门用于 IT 通信。 从而可实现创新性的工厂和机器设计。
由于集成了强大的 ARM 946 处理器,除了通信栈,还可以在 ERTEC 上实现应用程序。
利用集成 2 端口交换机和*的性能,ASIC ERTEC 200P 可以成为简单和模块化现场设备的*解决方案。
利用集成 2 端口交换机,ASIC ERTEC 200 同等适用于简单和模块化现场设备。
ASIC ERTEC400 是用于实现应用要求苛刻的平台。 ERTEC 400 的目标系统是基于 PC 的系统以及网络部件等复杂自动化设备。
ERTEC 200 和 ERTEC 400 ASIC 都是带有集成交换机功能和 32 位处理器的以太网控制器。 实时 (RT) 和等时同步实时 (IRT) 消息帧的循环 PROFINET IO 数据传输完全由 ERTEC 硬件进行处理。
由于具有集成 ARM 946 处理器,ERTEC 200 和 ERTEC 400 可作为一个集成系统而用于简易现场设备以及复杂和模块化现场设备。 出于此目的,两个 ERTEC 型号都带有一个适用于连接外部主机处理器的集成 LBU 接口。
通过集成 I/O 可以直接连接 I/O 信号、串行接口和定时器。
ASIC ERTEC 200P 是带有集成 2 端口交换机的以太网控制器。 它是按照 PROFINET 规范 V2.3 开发的,从而适用于高达 31.25 µs 的循环时间。 集成式 PHY 针对 PROFINET 通信进行了优化。 由于具有高性能和紧凑式设计,它成为模块化和紧凑型现场设备的*选择。
ERTEC 200P 内部结构
ASIC ERTEC 200 是带有集成 2 端口交换机的以太网控制器。 PHY 也已集成到 ERTEC 200 中。
ERTEC 200 内部结构
ASIC ERTEC 400 是一种以太网控制器,配有集成 4 端口交换机和 PCI 接口。 通过集成式 4 端口交换机,无需使用另外的外部网络部件就可以灵活实现星型、树型和总线型等拓扑结构。 凭借集成的大容量通信存储器,可以实现大容量数量结构。
