服務(wù)熱線
86-132-17430013
產(chǎn)品展示PRODUCTS
品牌 | 其他品牌 |
---|
西門子代理商 西門子一級(jí)代理商 西門子SM332數(shù)字量輸入模塊 西門子SM332數(shù)字量輸入模塊
數(shù)字通訊技術(shù)使得生產(chǎn)過(guò)程日益互聯(lián)互通,但也由此招來(lái)了網(wǎng)絡(luò)犯罪。西門子中央研究院IT安全技術(shù)領(lǐng)域,正在研發(fā)能夠防御網(wǎng)絡(luò)犯罪的*解決方案,并對(duì)其進(jìn)行嚴(yán)格測(cè)試,包括由西門子自有團(tuán)隊(duì)發(fā)動(dòng)襲擊。
IT犯罪日益猖獗。曾主要限于攻擊個(gè)人網(wǎng)民的網(wǎng)絡(luò)犯罪,逐漸對(duì)工業(yè)界和商界構(gòu)成重大威脅,網(wǎng)絡(luò)襲擊和工業(yè)間諜活動(dòng)造成的損失,每年已高達(dá)數(shù)十億美元。許多工業(yè)企業(yè)都擔(dān)心,隨著數(shù)字技術(shù)的普及,整條產(chǎn)業(yè)鏈上的機(jī)器和設(shè)備互聯(lián)互通日益緊密,這會(huì)引起額外的重大安全風(fēng)險(xiǎn)。但是,為了加快生產(chǎn)速度,提高靈活性,同時(shí)保持高成本效益,企業(yè)不得不將過(guò)去在很大程度上自成一體的設(shè)施改造為開放式生產(chǎn)系統(tǒng)。為化解困境,西門子已有解決方案:如果工業(yè)界采用*的、整體性安全概念,風(fēng)險(xiǎn)就是可控的。為此,西門子在西門子中央研究院設(shè)立了IT安全技術(shù)領(lǐng)域,這支IT專家小組,專門為西門子各業(yè)務(wù)部門研發(fā)全面的安*方案。
系統(tǒng)地解決漏洞
“過(guò)去,門禁和警報(bào)系統(tǒng)保護(hù)著工廠。如今則是另一種情形,工業(yè)安全專家的首要任務(wù)是比行動(dòng)更迅速,搶先發(fā)現(xiàn)安全漏洞。”IT安全專家Klaus Lukas如是說(shuō)。
他的ProductCert小組——IT安全技術(shù)領(lǐng)域的組成部分之一——專門解決公司內(nèi)部及外部報(bào)告的西門子產(chǎn)品安全漏洞。Lukas指出,“西門子各業(yè)務(wù)部門的數(shù)字化轉(zhuǎn)型,要求我們快速響應(yīng),消除這些威脅。”這樣一來(lái),如果發(fā)現(xiàn)薄弱點(diǎn),他的團(tuán)隊(duì)將立即通知客戶,并盡快研發(fā)出解決方案彌補(bǔ)漏洞。
與此同時(shí),這支團(tuán)隊(duì)與一個(gè)安全專家網(wǎng)絡(luò)保持密切接觸。Lukas表示,“這一點(diǎn)*,不僅是為了建立相互信任的基礎(chǔ),也是為了擴(kuò)展我們自身的知識(shí)范圍。”因此,他的團(tuán)隊(duì)成員也參加重要的會(huì)議和IT活動(dòng),以便與來(lái)自這個(gè)領(lǐng)域的其他人士交流。譬如,在BlackhatUSA和DefCon等會(huì)議上,研究人員將發(fā)表他們的發(fā)現(xiàn)。
掃描數(shù)據(jù),查找異常
IT經(jīng)理必須迅速發(fā)現(xiàn)漏洞并采取對(duì)策。
另一個(gè)構(gòu)成IT安全的重要部分是一個(gè)能夠近乎實(shí)時(shí)地查明網(wǎng)絡(luò)襲擊的監(jiān)測(cè)系統(tǒng)。Heiko Patzlaff博士表示,“總體而言,發(fā)現(xiàn)襲擊的速度還不夠快。惡意程序一旦侵入系統(tǒng),它能從容地查找數(shù)據(jù)并達(dá)成目標(biāo),不論是竊取數(shù)據(jù)還是操縱數(shù)據(jù)。”監(jiān)控系統(tǒng)旨在改善這種狀況。他補(bǔ)充道,“我們正在研發(fā)能夠掃描數(shù)據(jù)流異常的算法。”譬如,日間或夜間非正常時(shí)刻,發(fā)生大量數(shù)據(jù)轉(zhuǎn)移,可能表明受到襲擊。同樣,莫名其妙連續(xù)執(zhí)行無(wú)數(shù)次的命令,也可能表明遭遇到了襲擊?;蛘撸绻麅H白天工作的用戶突然在夜間登錄,這也可能是網(wǎng)絡(luò)襲擊的信號(hào)。Patzlaff指出,“每個(gè)IT系統(tǒng)都有其自身的常規(guī)和行為模式,因此,必須根據(jù)這些特點(diǎn)來(lái)調(diào)整線索搜索。”監(jiān)測(cè)系統(tǒng)一旦發(fā)現(xiàn)異常,將自動(dòng)通知安全中心。他說(shuō):“安全中心的IT安全專家,將分析入侵企圖并采取對(duì)策。”
西門子中央研究院研發(fā)出有助于識(shí)別危險(xiǎn)襲擊的監(jiān)測(cè)服務(wù)。
預(yù)測(cè)表明,未來(lái)的挑戰(zhàn)將是多么艱巨。隨著“工業(yè)4.0”信息物理融合技術(shù)的日益普及,終不是成百上千,而是數(shù)以億計(jì)的機(jī)器、系統(tǒng)、傳感器和單獨(dú)產(chǎn)品將實(shí)現(xiàn)相互通訊。
實(shí)時(shí)識(shí)別襲擊模式
還有一個(gè)重要的構(gòu)成IT安全的組成部分是通過(guò)監(jiān)測(cè)設(shè)施運(yùn)行環(huán)境來(lái)檢測(cè)襲擊,如制造工廠或電站等。Martin Otto博士帶領(lǐng)的CERT研究小組,正在研發(fā)新的解決方案,以支持安全專家盡早發(fā)現(xiàn)這些襲擊并成功地抵御襲擊。舉例來(lái)講,CERT每天都要調(diào)查和分析新的襲擊模式,并與其他部門合作,研發(fā)有效對(duì)策和檢測(cè)方法,大幅降低襲擊風(fēng)險(xiǎn)。Otto解釋道,“有了這樣的網(wǎng)絡(luò)安全智能,我們可以理解當(dāng)前的威脅形勢(shì),更加有的放矢地保護(hù)我們的系統(tǒng)和客戶。”
CERT和ProductCERT的專家也在研發(fā)能夠獨(dú)立識(shí)別新的襲擊模式,并生成識(shí)別方法的新技術(shù)。此外,研究人員也在研究如何提高運(yùn)行網(wǎng)絡(luò)抵御襲擊的能力,避免發(fā)生故障。
燃?xì)廨啓C(jī)的運(yùn)行數(shù)據(jù)必須實(shí)時(shí)分析,數(shù)據(jù)發(fā)送之前必須加密。
機(jī)器ID核查
工業(yè)領(lǐng)域需要特殊安*方案。譬如,一個(gè)想法是讓機(jī)器先“表明身份”,然后才能相互交換數(shù)據(jù),或?qū)?shù)據(jù)發(fā)送至數(shù)據(jù)庫(kù)。Hendrik Brockhaus說(shuō):“這將提升IT基礎(chǔ)設(shè)施的防御能力。”在西門子IT安全技術(shù)領(lǐng)域,他的團(tuán)隊(duì)為西門子交通集團(tuán)裝配了一個(gè)試點(diǎn)系統(tǒng),用于展示這種類型的機(jī)器ID系統(tǒng)如何工作。Brockhaus*將公共密鑰基礎(chǔ)設(shè)施(PKI)用于工業(yè)設(shè)施,并利用數(shù)字證書來(lái)驗(yàn)證機(jī)器、傳感器或組件的真實(shí)性。譬如,在試點(diǎn)系統(tǒng)環(huán)境中,如果控制系統(tǒng)向現(xiàn)場(chǎng)設(shè)備的控制單元發(fā)送切換指令,那么,控制系統(tǒng)和控制單元雙方都要根據(jù)PKI證書來(lái)確認(rèn)對(duì)方身份屬實(shí),且沒(méi)有襲擊企圖。PKI證書由按很高安全標(biāo)準(zhǔn)運(yùn)行的“授信中心”發(fā)放,因而確保PKI證書的可信度。
與此同時(shí),除IT基礎(chǔ)設(shè)施和西門子產(chǎn)品之外,IT安全專家也會(huì)*審視該部門的自有解決方案。只有這樣,才能看出IT安全專家樹立的保護(hù)墻是否足夠高,以及安全檢查點(diǎn)是否足夠嚴(yán)格。
PROFIBUS-DP主從接口、RAM容量、溫度范圍等),并在西門子公司的技術(shù)支持下進(jìn)行,以獲得合理的選型;四是編程軟件的選擇,這主要考慮對(duì)CPU的支持狀況。
STEP7 V4.0對(duì)有些型號(hào)的CPU不支持,硬件組態(tài)時(shí)會(huì)發(fā)生故障出錯(cuò),而STEP7V5.0則不存在這種問(wèn)題。
系統(tǒng)軟硬件選擇。一是擴(kuò)展方式選擇,S7-300 PLC有多種擴(kuò)展方式,實(shí)際選用時(shí),可通過(guò)控制系統(tǒng)接口模塊擴(kuò)展機(jī)架、Profibus-DP現(xiàn)場(chǎng)總線、通信模塊、運(yùn)程I/O及PLC子站等多種方式來(lái)擴(kuò)展PLC或預(yù)留擴(kuò)展口;二是PLC的聯(lián)網(wǎng),包括PLC與計(jì)算機(jī)聯(lián)網(wǎng)和PLC之間相互聯(lián)網(wǎng)兩種方式。
有關(guān)參數(shù)確定。一是輸入/輸出點(diǎn)數(shù)(I/O點(diǎn)數(shù))確定。這是確定PLC規(guī)模的一個(gè)重要依據(jù),一定要根據(jù)實(shí)際情況留出適當(dāng)余量和擴(kuò)展余地。
因S7-300 PLC的工業(yè)通信網(wǎng)絡(luò)淡化了PLC與DCS的界限,聯(lián)網(wǎng)的解決方案很多,用戶可根據(jù)企業(yè)的要求選用;三是CPU的選擇,CPU的選型是合理配置系統(tǒng)資源的關(guān)鍵,選擇時(shí)必須根據(jù)控制系統(tǒng)對(duì)CPU的要求(包括系統(tǒng)集成功能、程序塊數(shù)量限制、各種位資源、MPI接口能力