1756-L62

1756-L62縱深防御” 安全結(jié)構(gòu)示例
隨著控制系統(tǒng)的不斷標(biāo)準(zhǔn)化、開(kāi)放化和網(wǎng)絡(luò)化，過(guò)程控制工廠
的安全風(fēng)險(xiǎn)也在不斷增加。破壞性程序或由未授權(quán)人員的訪
問(wèn)引起的潛在危險(xiǎn)包括：網(wǎng)絡(luò)過(guò)載或故障、密碼和數(shù)據(jù)被盜及
對(duì)過(guò)程自動(dòng)化的未授權(quán)訪問(wèn)。除了物質(zhì)損壞，特定目標(biāo)的破壞
可能還會(huì)對(duì)人員或環(huán)境帶來(lái)危險(xiǎn)。
SIMATIC PCS 7 安全性方案
SIMATIC PCS 7 以層級(jí)安全結(jié)構(gòu)（縱深防御）為基礎(chǔ)，為保護(hù)
過(guò)程工程組態(tài)工廠提供了綜合解決方案。這種方案的特點(diǎn)在于
它考慮的是整個(gè)工廠的防御架構(gòu)。該方法不會(huì)限制只能采用一
種安全方法（如加密）或設(shè)備（如防火墻），相反卻加強(qiáng)了工
廠網(wǎng)絡(luò)中各種安全方法的交互使用。
SIMATIC PCS 7 安全概念包括以下方面的建議（優(yōu)應(yīng)用設(shè)計(jì)）：
? 使用分級(jí)安全（縱深防御）設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)，并將工廠劃分
為多個(gè)安全工廠單元。
? 網(wǎng)絡(luò)管理，網(wǎng)絡(luò)分段管理
? 在 Windows 域中執(zhí)行工廠操作
? 對(duì) Microsoft Windows 和 SIMATIC PCS 7 操作員權(quán)限進(jìn)行管理；
將 SIMATIC PCS 7 的操作員權(quán)限集成到 Windows 管理中
? 可靠控制時(shí)鐘同步
? Microsoft 產(chǎn)品的安全補(bǔ)丁管理
? 使用病毒掃描程序和防火墻
? 支持遠(yuǎn)程訪問(wèn)（VPN、IPSec）
有關(guān)安全理念和自動(dòng)化工廠保護(hù)的建議措施，請(qǐng)參閱《PCS 7& WinCC 安全方案基礎(chǔ)知識(shí)》和其它相關(guān)文檔。
安全方案的系統(tǒng)支持
在系統(tǒng)方面， SIMATIC PCS 7 支持通過(guò)以下方式實(shí)現(xiàn)安全概念
的指導(dǎo)和建議：
? 兼容以下病毒掃描程序的新版本：
- Trend Micro OfficeScan Client-Server Suite
- McAfee VirusScan Enterprise
- Symantec Endpoint Protection
? 使用本地 Windows 防火墻
? 在安裝過(guò)程中自動(dòng)設(shè)置安全相關(guān)的參數(shù)，如 DCOM、注冊(cè)
表和 Windows 防火墻
? 通過(guò) SIMATIC Logon 進(jìn)行用戶管理和身份驗(yàn)證
? CP 1628 工業(yè)以太網(wǎng)接口集成安全功能（防火墻、VPN）
? 集成 SCALANCE S 工業(yè)安全模塊
? 自動(dòng)化防火墻
? 通過(guò)McAfee Application Control 設(shè)置應(yīng)用程序白名單
SCALANCE S 工業(yè)安全模塊
可以使用堅(jiān)固耐用的 SCALANCE S602、S612、和 S623 工業(yè)
安全模塊確保自動(dòng)化系統(tǒng)組件與過(guò)程控制系統(tǒng)組件之間跨工
廠單元數(shù)據(jù)的安全交換。這些工業(yè)安全模塊具有各種安全功
能, 如狀態(tài)檢測(cè)防火墻、端口過(guò)濾器、NAT 和 NAPT 地址轉(zhuǎn)換，
以及 DHCP 服務(wù)器。除此之外，S612 和 S623 還可以使用虛擬
專(zhuān)用網(wǎng)絡(luò)通過(guò) IPsec 隧道進(jìn)行數(shù)據(jù)進(jìn)行訪問(wèn)授權(quán)和數(shù)據(jù)加密。
自動(dòng)化防火墻
自動(dòng)化防火墻則具有狀態(tài)檢測(cè)包過(guò)濾器、應(yīng)用層防火墻、VPN
網(wǎng)關(guān)功能、URL 地址過(guò)濾、Web 代理器、病毒掃描和入侵防御
等功能。因此，可以用于確保從辦公室或內(nèi)部網(wǎng)/ 互聯(lián)網(wǎng)中訪問(wèn)
生產(chǎn)設(shè)備的安全性。根據(jù)工廠規(guī)模的不同，可以進(jìn)行以下防護(hù)：
? 小型工廠接入點(diǎn)防火墻和遠(yuǎn)程訪問(wèn)安全防護(hù)
? 中小型工廠微邊界網(wǎng)絡(luò)的三方連接防火墻
? 大型工廠中大型邊界網(wǎng)絡(luò)的前后端防火墻，提供大程度
的保護(hù)
與此同時(shí), 集成的諸如熱線支持、替換服務(wù)以及軟件更新服務(wù)
之類(lèi)的服務(wù)進(jìn)一步加強(qiáng)了自動(dòng)化防火墻的安全保護(hù)功能。通
過(guò)這些額外的服務(wù)，可以定制防火墻解決方案或者將防火墻集
成到客戶系統(tǒng)中。

1756-L62

1756-L62

Kollmorgen  CE06250   

Kollmorgen  CE062502G306B1   

Kollmorgen  CE06260   

Kollmorgen  CE10250   

Kollmorgen  CE10260   

Kollmorgen  CE20560   

Kollmorgen  CEO3560   

Kollmorgen  CR03250   

Kollmorgen  CR03550   

Kollmorgen  CR06250   

Kollmorgen  CR06250-2G405A   

Kollmorgen  CR06251-000000   

Kollmorgen  CR06550   

Kollmorgen  CR10250   

Kollmorgen  CR10251   

Kollmorgen  CR10260   

Kollmorgen  CR10550   

Kollmorgen  CR10560   

Kollmorgen  D101A-93-1215-0?01   

Kollmorgen  D101B-93-1210-0?14   

Kollmorgen  D55001-00000000   

Kollmorgen  DBZX55C39   

Kollmorgen  DH083A-13-1210   

Kollmorgen  DH102A-22-1210   

Kollmorgen  DH103A-13-1210   

Kollmorgen  DIGIFAS7201   

Kollmorgen  EB-104-A-11-B3   

Kollmorgen  EB-202-B11B3005   

Kollmorgen  EB-404-C-11   

Kollmorgen  EB-404-D-91-B3-?00   

Kollmorgen  H-344-H-0212   

Kollmorgen  IC22-030A1P1   

Kollmorgen  IC22-030A1P1114