http://www.gkong.com 2021-11-03 13:47 来源:皮尔磁
IT技术的发展改变着各行各业,自动化也不例外,生产设备的联网程度和使用以太网等标准协议进行数据物理传输的几率大大增加,OPC UA 之类的标准化协议允许通过IT系统访问控制器,使得数据通信变得更加开放。
在自动化领域,“安全防护”一词主要指的是保护设备或机器免受外部未经授权的访问,以及保护敏感数据免受内部损坏、丢失和未经授权的访问。它从工厂大门的访问控制开始,一直延伸到针对黑客攻击的防御措施。德国IT安全专家Ralph Langner认为,造成破坏的并不总是“坏人”。许多安全违规发生在无意之中,例如同事和员工操作错误等。
工业信息安全vs IT信息安全
工业信息安全和IT信息安全的目标都是要保护网络的保密性、完整性和可用性。只是各个目标的优先级会有所不同。
IT信息安全实现目标优先级
IT信息安全,为了保护用户信息安全,防止信息盗取事件的发生,故将保密性放在首位,可用性排在最后。
工业信息安全实现目标优先级
工业信息安全实现目标优先级的顺序则正好相反。首要考虑的是所有部件的可用性,完整性排在第二位,保密性通常是最后考虑。
因为工业数据都是原始格式,需要有关使用环境进行分析才能获取其价值。而系统的可用性则直接影响到企业生产,生产线停机或者误动作都可能导致巨大的经济损失,甚至人员生命危险。即使工业控制系统的保护被突破后,仍必须保证生产过程的安全,尽可能降低对人员、环境和资产的损失。
实时性是工业信息安全和IT信息安全的另一大区别。IT网络系统能够接受任务在1秒或数秒内完成,而工业控制系统的要求响应时间大多在毫秒级别。
此外,工业信息安全还要必须保证持续的可操作性及稳定的系统访问、系统性能。
因此传统的信息安全技术不能简单的应用到工业自动化领域。
IEC 62443——工业信息安全方面的国际标准
IEC62443《工业通信网络-网络和系统安全》作为一个国际标准,全面涵盖了自动化领域的信息安全问题,为工厂运营商和设备制造商有效实施安全防护提供了方向性指导。
IEC62443标准分为四个部分,12个文档:
在工业自动化领域,“安全”一词指的是设备的功能安全,意思是保护人员和环境不受来自机器的可预见威胁的伤害,剩余风险或多或少总是存在的,只是剩余风险不能超过可接受的水平。通过使用安全继电器和安全开关等部件,以确保机器处于安全的状态,即使出现出问题时,也不会对人、机器和环境造成危害。
工业信息安全的威胁来源
随着IT技术的融入,设备还面临着来自网络世界的威胁,工业信息安全的威胁来源主要来自以下三个方面:
1、外部攻击
2、内部攻击
3、无意的违规
安全策略的实施
在安全防护策略方面,硬件相关的主要有如下几类措施:
1. 防火墙
实施安全策略的一种措施是通过专用设备对网络进行保护。尽管路由器和交换机可以支持安全机制,但防火墙仍然扮演着重要的角色。这里涉及的是软件解决方案或设备(硬件和软件的组合),它们基于单独定义的规则监视整个数据流量并具有深度包检查或入侵检测等功能。防火墙的配置通常比较复杂,需要具备丰富的IT 知识,而这恰恰是生产部门所欠缺的。
2. 区域和通道
按“区域和通道”对网络进行划分,比如将管理网络和生产网络分开。如果需要,网络也可以被分段为单个的制造单元,首先将具有相同安全要求的设备划入同一区域,然后使用防火墙或安全路由器将这些区域相互隔离,这样就可以确保只有获得相应授权的设备才能通过区域之间的线路(通道)发送和接收信息。
3. 深度防御
该原则的基础是总是在入侵者的路径上设置新的和不同的障碍。网络的区域和通道相当于城堡的大门,由防火墙和安全路由器等不同安全机制的安全设备作为城墙和其他障碍,组成多层次的深度防御“工事”。
4. 补丁管理
及时更新及打补丁可有效降低系统遭受最新的网络威胁的风险。此外,不仅要考虑制造商发布的补丁和更新,还要考虑第三方软件(如Office应用程序、PDF阅读器)。
Pilz的工业信息安全解决方案
皮尔磁对工业信息安全领域也非常关注,推出了一系列的产品,如操作模式选择和访问授权系统PITmode fusion、模块化安全门系统、PNOZmulti 2小型控制器、防火墙工业安全网桥等,可以根据用户的实际需求,提供全面的安全解决方案,即包括机械安全需求,又涵盖信息数据安全需求,同时还可以为员工根据不同的角色定义不一样的权限。确保员工不会受到机器可能带来的危险伤害,机器也不会受到操作人员失误(无心之过)和操纵(有意为之)的影响。