西門子代理商 西門子一級(jí)代理商 西門子SM331數(shù)字量輸入模塊 西門子SM331數(shù)字量輸入模塊

網(wǎng)絡(luò)罪犯越來越多地襲擊工業(yè)設(shè)施,，試圖在安全墻上找到漏洞,。作為對(duì)策，專家們不斷升級(jí)防御措施,。西門子已制定出一套防御策略來協(xié)助他們,。

2017年是安全專家們難忘的一年。5月,，WannaCry病毒爆發(fā),，所到之處一片狼藉，為之震驚,。在德國,，許多火車站的電子告示牌一度關(guān)閉，英國的一些醫(yī)院不得不推遲手術(shù),，世界各地的汽車制造商紛紛發(fā)現(xiàn)裝配線停滯不動(dòng),。但事情遠(yuǎn)未就此結(jié)束。時(shí)隔短短一個(gè)月,，在6月,，一個(gè)名為NotPetya的類似病毒再次爆發(fā)。這里僅舉一例來說明其影響之惡劣：受其影響,，大航運(yùn)公司馬士基（Maersk）無法知道有哪些貨物已出海,，有哪些貨物還在集裝箱碼頭。此次網(wǎng)絡(luò)襲擊造成了高達(dá)3億歐元的損失,。

確保數(shù)字系統(tǒng)的安全至關(guān)重要,，因?yàn)榫W(wǎng)絡(luò)襲擊不僅影響到消費(fèi)者，而且影響到越來越多的工業(yè)企業(yè),。據(jù)俄羅斯網(wǎng)絡(luò)犯罪專家卡巴斯基實(shí)驗(yàn)室收集的統(tǒng)計(jì)數(shù)據(jù),，2017年它在范圍內(nèi)調(diào)查的1000家公司中，三分之一表示它們?cè)艿接嗅槍?duì)性的網(wǎng)絡(luò)襲擊——比上一年的數(shù)據(jù)增加了8%,。不僅如此,，網(wǎng)絡(luò)襲擊變得越來越復(fù)雜，有時(shí)要在幾周之后才會(huì)被發(fā)現(xiàn),。

未來,，生產(chǎn)線將能獨(dú)立響應(yīng)變化的需求,，如要求生產(chǎn)不同車型，所需部件都有存貨,。當(dāng)這樣的發(fā)展成為現(xiàn)實(shí),，隨之而來的密集信息成為了犯罪分子垂涎的目標(biāo)。

量身定制的襲擊

挑戰(zhàn)在于,，當(dāng)今的工業(yè)制造工廠不僅嚴(yán)重依賴數(shù)字系統(tǒng),，而且聯(lián)網(wǎng)日益緊密。這樣一來,，效力于政府,、犯罪組織或其他機(jī)構(gòu)的將找到越來越多的薄弱點(diǎn)，從而進(jìn)行蓄意破壞,、工業(yè)間諜活動(dòng)或敲詐勒索,。他們不再使用隨機(jī)擴(kuò)散的分布式拒絕服務(wù)（DDoS）發(fā)動(dòng)攻擊，通過狂轟濫炸似的詢問導(dǎo)致網(wǎng)站崩潰,。西門子工業(yè)安全服務(wù)主管Henning Rudolf博士表示,，“網(wǎng)絡(luò)罪犯越來越多地發(fā)起針對(duì)特定工業(yè)設(shè)施量身定制的襲擊,。作為自動(dòng)化解決方案制造商,，我們每天都要遭遇這樣的襲擊。確保這些系統(tǒng)的安全是我們的日常工作,。”

要想獲得成功,，比起這些需要?jiǎng)佑么罅抠Y源、使用高度專業(yè)化手段的復(fù)雜襲擊而言,，西門子這樣的公司必須一步,，先發(fā)制人。Rudolf說：“這是一場貓鼠游戲,。當(dāng)然,，這意味著安全措施必須隨時(shí)跟上技術(shù)。”哪怕它們保護(hù)的設(shè)備已不再那么*,，仍須如此,。辦公設(shè)備的生命周期通常為2到4年，而工業(yè)設(shè)施的使用壽命則長達(dá)20年乃至30年,。

亟需保護(hù)：模擬,、3D打印、輕型機(jī)器人——這些都是推動(dòng)第四次工業(yè)革命（或稱工業(yè)4.0）的創(chuàng)新技術(shù),。在德國埃爾蘭根的西門子電子制造工廠,，它們已經(jīng)成為現(xiàn)實(shí)。

100多萬臺(tái)設(shè)備使用安全的MindSphere

有鑒于此,，西門子工業(yè)安全服務(wù)部門的專家制定出一套基于“縱深防御”概念的階段式防御策略,，以支持西門子提供的工業(yè)技術(shù)和其他制造商生產(chǎn)的設(shè)備適應(yīng)不斷變化的威脅,。這一策略包含三個(gè)相互協(xié)調(diào)的連續(xù)保護(hù)功能。首先是設(shè)施安全系統(tǒng),，如采用生物特征識(shí)別的物理門禁系統(tǒng),。第二條防御線是網(wǎng)絡(luò)安全系統(tǒng)，譬如,，借助防火墻和虛擬專網(wǎng)（VPN）等手段來保護(hù)生產(chǎn)系統(tǒng)和工業(yè)通訊,。第三道保護(hù)墻是系統(tǒng)集成，為終端和自動(dòng)化系統(tǒng)提供密碼保護(hù),，或者僅允許通過白名單殺毒軟件授予權(quán)限的特定軟件進(jìn)行訪問,。

多虧有1275名網(wǎng)絡(luò)安全員工，西門子得以做好充分的準(zhǔn)備抵御網(wǎng)絡(luò)襲擊,。這些專家發(fā)揮他們數(shù)字工廠技術(shù)專長,，充分利用MindSphere——西門子基于云的開放式物聯(lián)網(wǎng)操作系統(tǒng)，支持設(shè)施管理者執(zhí)行預(yù)測性維護(hù)和能源數(shù)據(jù)管理或優(yōu)化利用資源,。目前已有超過100萬臺(tái)設(shè)備連接至MindSphere,，預(yù)計(jì)到2018年底，這個(gè)數(shù)字將增至125萬臺(tái),。盡管“云”聽起來短暫易逝,，但將數(shù)據(jù)保存在云端比保存在許多企業(yè)計(jì)算機(jī)中更加安全。MindSphere符合主流安全標(biāo)準(zhǔn),，如規(guī)定了自動(dòng)化系統(tǒng)IT安全等級(jí)的標(biāo)準(zhǔn)IEC62443,。MindSphere對(duì)數(shù)據(jù)流量進(jìn)行加密，并使用高度安全的計(jì)算機(jī)中心,。

保護(hù)理念的專家：西門子工業(yè)安全服務(wù)主管Henning Rudolf

自適應(yīng)的安全架構(gòu)

不幸的是,，許多工業(yè)設(shè)施的安全之門敞開著，網(wǎng)絡(luò)罪犯輕而易舉就能向它們發(fā)起攻擊,。當(dāng)Henning Rudolf這樣的專家造訪客戶時(shí),，他們常常遇到像“123456”或“Password”這樣的密碼。此外,，許多公司都不及時(shí)下載安全更新,。去年，如果及時(shí)安裝了這樣的更新,，那么,，一些系統(tǒng)或許根本不會(huì)受到WannaCry和NotPetya的影響。

長遠(yuǎn)來看,，西門子專家認(rèn)為,，僅僅確保主要生產(chǎn)設(shè)施的安全是不夠的，還必須全天候監(jiān)測安全系統(tǒng),。Rudolf說：“對(duì)于西門子設(shè)施,，我們使用了一個(gè)包含約40000個(gè)網(wǎng)絡(luò)襲擊指示參數(shù)的監(jiān)測系統(tǒng),。”一些公司無力承擔(dān)這樣的監(jiān)測，因此,，單獨(dú)的安全中心,，包括西門子提供的安全中心，終將為它們提供監(jiān)測服務(wù),。Rudolf表示,，“未來，自適應(yīng)安全架構(gòu)也將有助于確保安全,，它們可利用數(shù)據(jù)來測試操作系統(tǒng),。然而，現(xiàn)在網(wǎng)絡(luò)罪犯也在使用人工智能,。”換句話說,，網(wǎng)絡(luò)安全的貓鼠游戲?qū)⑹且粓鰰缛粘志玫膶?duì)峙。

運(yùn)行 CPU 所需的 SIMATIC 存儲(chǔ)卡

CPU 1517-3 PN/DP 是具有極大容量程序及數(shù)據(jù)存儲(chǔ)器的 CPU,，適用于除集中式 I/O 外還包含分布式自動(dòng)化結(jié)構(gòu)的應(yīng)用中要求十分苛刻的任務(wù),。

可被用作 PROFINET IO 控制器或分布智能系統(tǒng)（PROFINET 智能設(shè)備）。集成式 PROFINET IO IRT 接口設(shè)計(jì)為 2-端口交換機(jī)以便在系統(tǒng)中設(shè)立總線型拓?fù)洹?/span>

附加的集成 PROFINET 接口,，具有單獨(dú)的 IP 地址,，可用于網(wǎng)絡(luò)分離等。

分布式 I/O 可通過 PROFIBUS 以及集成 PROFIBUS 接口進(jìn)行連接,。

另外,，CPU 還提供全面的控制功能,，并能夠通過標(biāo)準(zhǔn)化的 PLC-open 塊連接變頻器,。

西門子CPU 1515-2 PN產(chǎn)品信息：

• 性能
  • 指令處理速度更快, 取決于 CPU 型號(hào)、語言擴(kuò)展和新的數(shù)據(jù)類型
  • 由于背板總線速度顯著提高,，CPU 的響應(yīng)時(shí)間縮短
  • 功能強(qiáng)大的網(wǎng)絡(luò)連接：
    每個(gè) CPU 均標(biāo)配PROFINET IO IRT（2 端口交換機(jī)）標(biāo)準(zhǔn)接口,。
• 集成技術(shù)
  • 通過標(biāo)準(zhǔn)化的塊 (PLCopen) 連接模擬驅(qū)動(dòng)器和具有 PROFIdrive 功能的驅(qū)動(dòng)器
  • 支持轉(zhuǎn)速控制軸和定位軸以及外部編碼器
  • 具有所有 CPU 變量的跟蹤功能，用于實(shí)時(shí)診斷和偶發(fā)故障檢測
  • 全面的控制功能,，例如,，通過便于組態(tài)的塊可自動(dòng)優(yōu)化控制參數(shù)實(shí)現(xiàn)優(yōu)控制質(zhì)量
• 集成安全功能
  • 通過密碼進(jìn)行知識(shí)保護(hù)，防止未經(jīng)授權(quán)讀取和修改程序塊
  • 通過復(fù)制保護(hù),，可綁定 SIMATIC 存儲(chǔ)卡的程序塊和序列號(hào)：只有在將配置的存儲(chǔ)卡插到 CPU 中時(shí),，該程序塊才可運(yùn)行。
  • 4-級(jí) 授權(quán)理念：
    也可以對(duì)和 HMI設(shè)備之間進(jìn)行的通信進(jìn)行限制,。
  • 操作保護(hù)：
    該控制器可以識(shí)別工程組態(tài)數(shù)據(jù)的更改和未授權(quán)傳輸,。
• 設(shè)計(jì)與操作
  • 顯示器，用于顯示概覽信息,，
    例如：站名,、高級(jí)別名稱,、位置名稱等概覽信息、診斷信息,、模塊信息和顯示器設(shè)置,。
  • 顯示器上可能的操作： 
    設(shè)置 CPU 或者所連接以太網(wǎng)通信處理器的地址、設(shè)置日期和時(shí)間,、選擇 CPU 的操作模式,、復(fù)位 CPU 至默認(rèn)設(shè)置、禁用/啟用顯示器,、激活保護(hù)等級(jí),。
• 集成式系統(tǒng)診斷
  • 顯示屏上、TIA Portal 中,、人機(jī)界面設(shè)備上以及 Web 服務(wù)器上以普通文本形式*顯示系統(tǒng)診斷信息（甚至能顯示來自變頻器的消息）,，即使 CPU 處于停止模式也會(huì)進(jìn)行更新。
  • 集成在 CPU 的固件中,，無須進(jìn)行特殊組態(tài)
• SIMATIC 存儲(chǔ)卡（運(yùn)行 CPU 所需）
  • 用作插入式裝載存儲(chǔ)器,，或用于更新固件。
  • 還可用于存儲(chǔ)附加文檔或 csv 文件（用于配方和歸檔）
  • 通過用戶程序的系統(tǒng)函數(shù)創(chuàng)建數(shù)據(jù)塊實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)/讀取
• 數(shù)據(jù)記錄（歸檔）和配方
  • csv 格式配方文件存儲(chǔ)并歸檔在 SIMATIC 存儲(chǔ)卡中,；
    利用辦公工具或 Web 瀏覽器可以方便地訪問與設(shè)備相關(guān)的運(yùn)行數(shù)據(jù)
  • 通過網(wǎng)頁瀏覽器或 SD 讀卡器,，可方便地訪問機(jī)器的組態(tài)數(shù)據(jù)（與控制器之間的雙向數(shù)據(jù)交換）
• 編程
  • 使用 STEP 7 Professional V13 或更高版本進(jìn)行編程
  • 移植工具，用于 SIMATIC S7-300/S7-400 至 S7-1500 的移植操作,，可以自動(dòng)地完成大部分程序代碼的轉(zhuǎn)換工作,。記錄不可轉(zhuǎn)換的代碼，并可以手動(dòng)進(jìn)行調(diào)整,。