由于要与其它的公司部门进行联网，现今的过程工厂都直接或间接地连接 Internet，因此会受到网络犯罪的威胁。考虑到加工工程工厂的特殊需求，SIMATIC PCS 7 提供了一种安全概念，以可靠地防御这种潜在的危险，并为生产系统提供全面的保护。

　　应用与选项

　　SIMATIC PCS 7 以其开创性的安全理念，为加工工程工厂的保护提供了全面的解决方案。该理念以嵌套的安全体系结构为基础（纵深防御），且代表了一种集成方法。它不局限于使用个别的安全方法（例如等级权力分配、身份验证和加密）或设备（例如防火墙）。相反，它的长处在于，将各种安全措施相结合，配合应用于工厂网络中。运用本质上安全的封闭安全区建设工厂，最终会使封闭系统符合美国食品和药物管理局 (FDA) 第 21 条 CFR 法规的第 11 部分。 返回页首

　　产品和功能

　　嵌套的安全体系结构（纵深防御）

　　SIMATIC PCS 7 安全理念以军事上的“纵深防御”战略为基础，根据该战略，防御并不集中在单线图上，而是分成若干层，迫使攻击者客服多重障碍。在 IT 安全方面，纵深防御安全体系结构指的是若干关键元素的结合。这种全面的方法不局限于使用个别的安全方法（例如数据加密或像防火墙之类的设备），相反，它以在系统的不同位置实施的各种安全方法的交互为基础。 将工厂分成几个安全区 基本上讲，要将加工工厂划分成单独、有组织且可管理的片区，每个片区都形成自己的安全区。安全区的大小可有所不同，小到自动化装置大到整个厂房。通过根据位置和/或功能将工厂分为几个逻辑片区，定义这些安全区。这些片区受所有必要的安全机制的保护，且可完全独立运行。各个安全区之间数据和人员的流动受所定义和监督访问的管制。

　　病毒防护和防火墙

　　所有接入点的防火墙和病毒扫描程序将防止未经授权便访问安全区内的各个计算机或网络。因此，安全区内不再需要额外的防火墙。这便简化了计算机的管理并保持了系统性能。

　　SIMATIC PCS 7 安全理念支持使用 Microsoft Internet Security 和 Acceleration Server 2006 (ISA Server 2006)、Windows 防火墙和 Scalance S 安全模块。因这些模块具有的工业功能 (IP30) 及过程信息的优化通信，其与办公设备有所不同。除防火墙之外，病毒扫描程序是最知名的安全防护措施。SIMATIC PCS 7 支持三种最常用的针对生产和控制系统的病毒扫描程序。

　　•    TrendmicroTM Office Scan Corporate Edition

　　•    SymantecTM Antivirus Corporate Edition

　　•    McAfeeTM VirusScan Enterprise

　　 Windows 安全补丁管理

　　SIMATIC PCS 7 安全理念建议安装相应的安全补丁，以保护经常在 Windows 操作系统下运行的过程控制系统内部的各个工作站。为了评估计算机在防御安全威胁方面的漏洞，Microsoft Baseline Security Analyzer (MBSA) 可扫描并分析存在问题的计算机。该安全分析器将在报告中总结检测出的漏洞并列出缺失的安全补丁。根据这份报告，用户便可在没有适当的安全补丁保护的情况下继续运行的风险与安装这些补丁（可能需要重新启动计算机）要花费的精力和费用之间进行权衡。Microsoft 会定期发布这些补丁供用户使用，以修复最近识别出的安全漏洞。SIMATIC PCS 7 安全实验室会不断审查这些补丁，确定其是否与当前版本的 SIMATIC PCS 7 相兼容，且会即时在线发布这些测试结果。

　　用户管理和权限管理

　　借助精确的访问控制进行一致的用户管理和权限管理是安全理念的另一关键元素。它应用最低权限原则。单个用户或单个应用仅拥有进行手头的实际任务时所需的权限。这是避免有意或无意的操作失误的最佳方式。SIMATIC PCS 7 支持借助 SIMATIC Logon 软件包进行中央用户管理，以为 SIMATIC 应用程序和工厂区域分配权限。SIMATIC Logon 利用了 Windows 用户管理工具的自动注销和密码自动失效的功能。 时间同步 SIMATIC PCS 7 工厂内的时间同步将帮助最小化时间差，并支持所有时间关键型过程的同步、审计、记录和归档。时间同步经常会被忽略，但不应被低估。非同步系统中的潜在威胁在于，系统可能会拒绝域客户端登录到其域控制器的权限。这是由 Windows 中的安全功能引起的，当超过客户端与服务器之间指定的时间差时，将阻止可能未经授权便访问现有会话。

　　服务和远程访问（VPN、IPSec）

　　使用 IPSec VPN 将降低“外部”计算机临时进入工厂系统以进行维护和支持工作时所产生的潜在危险。虚拟专用网 (VPN) 提供了从外部设备到受保护的控制系统可靠而安全的连接。西门子安全理念建议使用此方法，并将 Microsoft ISA Server 2006 与隔离网络结合使用。如果通过 Web 浏览器访问工厂数据，则安全理念建议通过具有 HTTPS 的安全套接字层 (SSL) 或者基于 IPSec 和用户身份验证的用户名和密码，进行数据加密和服务器身份验证。

　　SIMATIC PCS 7 安全实验室

　　早在开发过程中，IT 安全已被视为系统测试的组成部分，且是发布产品的先决条件。SIMATIC PCS 7 安全实验室的工作人员一直潜心致力于 IT 安全，其测试的结果直接流入产品和软件开发中。

　　优势一览

　　•    西门子专门针对过程工程工厂的特定需求，提供了集成的全面安全性解决方案。

　　•    安全理念有效降低了风险、防止安全事故的发生，从而提高了工厂的可用性。

　　•    作为防火墙的工业安全模块 SCALANCE S，还可通过采用加密和身份验证 (VPN)，保护系统/设备之间或网络分段之间的数据传输免遭数据操纵和窃取的威胁。