現(xiàn)代的工業(yè)控制網(wǎng)絡(luò)已經(jīng)越來越多地被連接到辦公網(wǎng)絡(luò)和企業(yè)內(nèi)部互聯(lián)網(wǎng)(Intranet)，無線局域網(wǎng)的使用也日益增多，加上遠(yuǎn)程維護(hù)等新技術(shù)的采用，工業(yè)通信網(wǎng)絡(luò)與信息技術(shù)(IT)環(huán)境的交互越來越多。由于PLC等現(xiàn)場(chǎng)控制設(shè)備通過Web服務(wù)器和電子郵件等與互聯(lián)網(wǎng)上的設(shè)備交換信息，辦公和IT環(huán)境中常見的威脅，例如黑客程序、病毒、蠕蟲和木馬程序等，也會(huì)威脅到控制系統(tǒng)的安全。

  用于辦公環(huán)境的數(shù)據(jù)安全解決方案不能簡(jiǎn)單地照搬到工業(yè)應(yīng)用場(chǎng)合，西門子提供了適用于工業(yè)自動(dòng)化工程的安全解決方案，以防止敏感系統(tǒng)和生產(chǎn)網(wǎng)絡(luò)被惡意操縱和破壞。

  以下是在工業(yè)環(huán)境中防止操縱和丟失數(shù)據(jù)的最重要的預(yù)防措施：

  1)通過虛擬專用網(wǎng)(VPN)來過濾和檢查數(shù)據(jù)通信。虛擬專用網(wǎng)用于在辦公網(wǎng)絡(luò)(例如互聯(lián)網(wǎng))中交換私有數(shù)據(jù)。最常用的VPN技術(shù)是IPsec。IPsec是一個(gè)協(xié)議集，用于保證在網(wǎng)絡(luò)層使用IP的信息的安全性。

  2)在受保護(hù)的自動(dòng)化單元中進(jìn)行分段，用安全模塊來保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)，一組受保護(hù)的設(shè)備構(gòu)成一個(gè)受保護(hù)的自動(dòng)化單元。只有同一類型的安全模塊或它們保護(hù)的設(shè)備之間才能互相交換數(shù)據(jù)。

  3)通過對(duì)節(jié)點(diǎn)進(jìn)行身份驗(yàn)證，安全模塊可以通過安全(加密)通道相互識(shí)別。未經(jīng)授權(quán)不能訪問受保護(hù)的網(wǎng)段。

  4)通過對(duì)數(shù)據(jù)通信加密來確保數(shù)據(jù)的機(jī)密性。為每個(gè)安全模塊提供一個(gè)包含密鑰的VPN 證書。

  5)在PROFINET和控制設(shè)備之間設(shè)置Scalance s安全模塊(見圖10-9)。安全模塊的防火墻用于保護(hù)PLC免受未經(jīng)授權(quán)的訪問。在驗(yàn)證通信伙伴身份的可靠性和發(fā)送數(shù)據(jù)的加密性方面，防火墻可以作VPN的替代或補(bǔ)充。

  圖10-9 防火墻與安全模塊

  從邏輯上看，防火墻是分離器、限制器和分析器。從物理上看，防火墻由路由器、計(jì)算機(jī)和軟件組成。防火墻可以過濾數(shù)據(jù)包，根據(jù)過濾表來禁用或啟用通信連接。進(jìn)入和離開通信、IP地址、MAC地址和通信協(xié)議(端口)都可以被過濾。

  Scalance s 可以作 SOFTNET的安全客戶機(jī)，用于PC 安全地訪問受 Scalance s 保護(hù)的PLC。即使沒有專業(yè)的IT知識(shí)，也可以很簡(jiǎn)單地進(jìn)行組態(tài)。只需創(chuàng)建和組態(tài)需要相互之間進(jìn)行安全通信的安全模塊或Softnet安全客戶機(jī)。如果發(fā)生故障，無需編程設(shè)備就可以快速更換安全模塊。