760E1EAAAGN2B6

纵深防御” 安全结构示例 随着控制系统的不断标准化、开放化和网络化，过程控制工厂 的安全风险也在不断增加。破坏性程序或由未授权人员的访 问引起的潜在危险包括：网络过载或故障、密码和数据被盗及 对过程自动化的未授权访问。除了物质损坏，特定目标的破坏 可能还会对人员或环境带来危险。 SIMATIC PCS 7 安全性方案 SIMATIC PCS 7 以层级安全结构（纵深防御）为基础，为保护 过程工程组态工厂提供了综合解决方案。这种方案的特点在于 它考虑的是整个工厂的防御架构。该方法不会限制只能采用一 种安全方法（如加密）或设备（如防火墙），相反却加强了工 厂网络中各种安全方法的交互使用。 SIMATIC PCS 7 安全概念包括以下方面的建议（最优应用设计）： ? 使用分级安全（纵深防御）设计网络结构，并将工厂划分 为多个安全工厂单元。 ? 网络管理，网络分段管理 ? 在 Windows 域中执行工厂操作 ? 对 Microsoft Windows 和 SIMATIC PCS 7 操作员权限进行管理； 将 SIMATIC PCS 7 的操作员权限集成到 Windows 管理中 ? 可靠控制时钟同步 ? Microsoft 产品的安全补丁管理 ? 使用病毒扫描程序和防火墙 ? 支持远程访问（VPN、IPSec） 有关安全理念和自动化工厂保护的建议措施，请参阅《PCS 7& WinCC 安全方案基础知识》和其它相关文档。 安全方案的系统支持 在系统方面， SIMATIC PCS 7 支持通过以下方式实现安全概念 的指导和建议： ? 兼容以下病毒扫描程序的最新版本： - Trend Micro OfficeScan Client-Server Suite - McAfee VirusScan Enterprise - Symantec Endpoint Protection ? 使用本地 Windows 防火墙 ? 在安装过程中自动设置安全相关的参数，如 DCOM、注册 表和 Windows 防火墙 ? 通过 SIMATIC Logon 进行用户管理和身份验证 ? CP 1628 工业以太网接口集成安全功能（防火墙、VPN） ? 集成 SCALANCE S 工业安全模块 ? 自动化防火墙 ? 通过McAfee Application Control 设置应用程序白名单 SCALANCE S 工业安全模块 可以使用坚固耐用的 SCALANCE S602、S612、和 S623 工业 安全模块确保自动化系统组件与过程控制系统组件之间跨工 厂单元数据的安全交换。这些工业安全模块具有各种安全功 能, 如状态检测防火墙、端口过滤器、NAT 和 NAPT 地址转换， 以及 DHCP 服务器。除此之外，S612 和 S623 还可以使用虚拟 专用网络通过 IPsec 隧道进行数据进行访问授权和数据加密。 自动化防火墙 自动化防火墙则具有状态检测包过滤器、应用层防火墙、VPN 网关功能、URL 地址过滤、Web 代理器、病毒扫描和入侵防御 等功能。因此，可以用于确保从办公室或内部网/ 互联网中访问 生产设备的安全性。根据工厂规模的不同，可以进行以下防护： ? 小型工厂接入点防火墙和远程访问安全防护 ? 中小型工厂微边界网络的三方连接防火墙 ? 大型工厂中大型边界网络的前后端防火墙，提供最大程度 的保护 与此同时, 集成的诸如热线支持、替换服务以及软件更新服务 之类的服务进一步加强了自动化防火墙的安全保护功能。通 过这些额外的服务，可以定制防火墙解决方案或者将防火墙集 成到客户系统中。