現(xiàn)代的工業(yè)控制網(wǎng)絡已經(jīng)越來越多地被連接到辦公網(wǎng)絡和企業(yè)內(nèi)部互聯(lián)網(wǎng)(Intranet)，無線局域網(wǎng)的使用也日益增多，加上遠程維護等新技術的采用，工業(yè)通信網(wǎng)絡與信息技術(IT)環(huán)境的交互越來越多。由于PLC等現(xiàn)場控制設備通過Web服務器和電子郵件等與互聯(lián)網(wǎng)上的設備交換信息，辦公和IT環(huán)境中常見的威脅，例如黑客程序、病毒、蠕蟲和木馬程序等，也會威脅到控制系統(tǒng)的安全。

  用于辦公環(huán)境的數(shù)據(jù)安全解決方案不能簡單地照搬到工業(yè)應用場合，西門子提供了適用于工業(yè)自動化工程的安全解決方案，以防止敏感系統(tǒng)和生產(chǎn)網(wǎng)絡被惡意操縱和破壞。

  以下是在工業(yè)環(huán)境中防止操縱和丟失數(shù)據(jù)的最重要的預防措施：

  1)通過虛擬專用網(wǎng)(VPN)來過濾和檢查數(shù)據(jù)通信。虛擬專用網(wǎng)用于在辦公網(wǎng)絡(例如互聯(lián)網(wǎng))中交換私有數(shù)據(jù)。最常用的VPN技術是IPsec。IPsec是一個協(xié)議集，用于保證在網(wǎng)絡層使用IP的信息的安全性。

  2)在受保護的自動化單元中進行分段，用安全模塊來保護網(wǎng)絡節(jié)點，一組受保護的設備構(gòu)成一個受保護的自動化單元。只有同一類型的安全模塊或它們保護的設備之間才能互相交換數(shù)據(jù)。

  3)通過對節(jié)點進行身份驗證，安全模塊可以通過安全(加密)通道相互識別。未經(jīng)授權(quán)不能訪問受保護的網(wǎng)段。

  4)通過對數(shù)據(jù)通信加密來確保數(shù)據(jù)的機密性。為每個安全模塊提供一個包含密鑰的VPN 證書。

  5)在PROFINET和控制設備之間設置Scalance s安全模塊(見圖10-9)。安全模塊的防火墻用于保護PLC免受未經(jīng)授權(quán)的訪問。在驗證通信伙伴身份的可靠性和發(fā)送數(shù)據(jù)的加密性方面，防火墻可以作VPN的替代或補充。

  圖10-9 防火墻與安全模塊

  從邏輯上看，防火墻是分離器、限制器和分析器。從物理上看，防火墻由路由器、計算機和軟件組成。防火墻可以過濾數(shù)據(jù)包，根據(jù)過濾表來禁用或啟用通信連接。進入和離開通信、IP地址、MAC地址和通信協(xié)議(端口)都可以被過濾。

  Scalance s 可以作 SOFTNET的安全客戶機，用于PC 安全地訪問受 Scalance s 保護的PLC。即使沒有專業(yè)的IT知識，也可以很簡單地進行組態(tài)。只需創(chuàng)建和組態(tài)需要相互之間進行安全通信的安全模塊或Softnet安全客戶機。如果發(fā)生故障，無需編程設備就可以快速更換安全模塊。