关于工业信息安全随着工业设施与机器的数字化和网络化日益加深,遭受网络攻击的风险也不断增大。因此,尤其要对重要的基础设施采取相应的保护措施。为了能使工业设施全方位防范来自公司内外部的网络攻击,必须全面部署同时覆盖所有层级(从管理层到现场层,从访问控制到防拷贝)的保护措施。详细信息请访问网页工业控制系统信息安全about this documentation内容本“工业信息安全”文档将介绍在规划和构建一套安全系统或设备时要采取哪些措施并注意哪些事项。它是规划和实施信息安全的工具书和指导书。世界上不存在百分百的信息安全,而且现今的安全威胁形式多样并且错综复杂,因此,本文档不能帮助您实现一劳永逸的百分百安全。本文档涵盖了在一个安全环境中配置系统时需要采取的所有必要的安全保护措施。这些措施可以为机械制造商提供支持,确保其控制系统或设备的安全运行。而您作为运营方/用户,须承担实施安全措施的责任。目标使用人群本文档供机械制造商阅读,尤其是以下人员:? 机械的规划与设计人员? 设备制造商(OEM)和最终用户的 IT 技术人员此类人员应具备以下知识,方可实施本文档描述的信息安全策略:? 了解如何管理办公区域内的 IT 设备? 了解使用的 SINUMERIK / SIMOTION / SINAMICS 产品的配置结构本手册主要分为三个部分:? 介绍工业环境中的工业信息安全? 一般信息安全措施:此章节将介绍针对所有产品普遍通用的系统信息安全措施。? 产品特定措施:此章节将按照 MC 产品并针对产品的特定功能介绍所应采取的系统保护措施。标准功能范畴本文档描述了标准功能范畴。该描述可能和交付的系统的功能有所不同。交付的系统的功能仅以订购资料为准。在系统中也可能会运行本文档中未说明的功能,但这并不表示在交付系统时必须提供这些功能以及相关的维修服务。引言1.2 about this documentation工业信息安全8 配置手册, 01/2023, 6FC5397-5EP40-6RA2为使文档简明清晰,本文档并不包含所有产品类型的所有详细信息,也无法对安装、运行和维护中可能出现的各种情况逐一进行说明。机床制造商在产品上增添或者更改的功能,由机床制造商进行说明。第三方网页本文档可能包含第三方网页链接。西门子对此类网页的内容不承担任何责任,也不会声明或认可此类网页或其内容为西门子所有。西门子并不能控制此类网页上的信息,也不对上述网页的内容和信息负责。使用上述网页的风险由用户承担。引言1.2 about this documentation工业信息安全配置手册, 01/2023, 6FC5397-5EP40-6RA2 91.3 技术文档反馈对于西门子工业在线支持上发布的任何技术文档,如有疑问、建议或改进意见,请点击文章末尾的链接“发送反馈”。引言1.3 技术文档反馈工业信息安全10 配置手册, 01/2023, 6FC5397-5EP40-6RA21.4 mySupport 文档使用网页版“mySupport 文档”可以自由组合西门子文档内容,创建自己的文档。在 SiePortal 页面“mySupport 链接和工具”服务与支持产品支持有关产品的详细信息请访问网址:产品支持 在该网址下可以提供:? 最新产品信息(产品公告)? FAQ(常见问题与解答)? 手册? 下载链接? 持续提供产品最新信息的新闻。? “技术论坛”,供全球用户和专家交流经验、分享信息? “联系人”,提供全球联系人信息,方便查找本地联系人? “售后服务”,提供现场服务、维修、备件等信息访问网址下的“联系方式”,便可以获取各个国家技术支持的电话号码。如需咨询技术疑问,请使用“支持请求”一栏下的在线表格。培训访问网址使用荣获大奖的“西门子工业在线支持”App,您可以随时随地查看超过 30 万份的西门子工业领域的产品文件。该应用也可帮助您:? 解决项目实施中出现的问题? 排除故障? 进行设备扩展或重新规划此外,您还可以登录技术论坛,查看我们的专家为您撰写的其他文章:? 常见问题与解答? 应用实例? 手册? 证书? 产品公告等“西门子工业在线支持”App 提供 Apple iOS 版和安卓版。铭牌上的二维码铭牌上的二维码包含了各设备的数据。使用任一智能手机通过“西门子工业在线支持”App 扫描该二维码,便可获取相应设备的技术信息。可获取有关 SITRAIN 的相关信息。SITRAIN 为西门子的驱动和自动化产品、系统和解决方案提供培训。
OpenSSL本产品可包含以下软件:? 由 OpenSSL 项目开发并应用在 OpenSSL Toolkit 中的软件? 由 Eric Young 开发的加密软件? 由 Eric Young 开发的软件基本数据保护准则西门子遵守通用数据保护条例,特别是隐私保护设计(privacy by design)规定。对于本产品意味着:产品不会处理或保存个人相关数据,只会处理或保存技术功能数据(例如:时间戳)。用户如果将此类技术功能数据与其他数据(例如:排班表)关联或者将个人相关数据存储在同一介质(例如:硬盘)上而产生个人相关性,则应由用户自行确保遵循数据保护法规。忽视随附硬件文档中的安全说明和遗留风险会导致重伤或死亡。? 遵守硬件文档中的安全说明。? 进行风险评估时应考虑到遗留风险。警告因参数设置错误或修改参数设置引起机器故障参数设置错误可导致机器出现故障,从而导致人员重伤或死亡。? 采取保护措施,防止未经授权的参数设置。? 采取适当措施(如驻停或急停)处理可能出现的故障。应用示例的质保规定应用示例在组态和配置以及各种突发事件方面对设备没有强制约束力,无需一一遵循。应用示例不会提供客户专用的解决方案,仅在典型任务设置中提供保护。用户自行负责上述产品的规范运行事宜。应用示例并没有解除您在应用、安装、运行和维护时确保安全环境的责任。安全性信息Siemens 为其产品及解决方案提供了工业信息安全功能,以支持工厂、系统、机器和网络的安全运行。为了防止工厂、系统、机器和网络受到网络攻击,需要实施并持续维护先进且全面的工业信息安全保护机制。Siemens 的产品和解决方案构成此类概念的其中一个要素。客户负责防止其工厂、系统、机器和网络受到未经授权的访问。只有在有必要连接时并仅在采取适当安全措施(例如,防火墙和/或网络分段)的情况下,才能将该等系统、机器和组件连接到企业网络或 Internet。关于可采取的工业信息安全措施的更多信息,请访问 https://www.siemens.com/industrialsecuritySiemens 不断对产品和解决方案进行开发和完善以提高安全性。Siemens 强烈建议您及时更新产品并始终使用最新产品版本。如果使用的产品版本不再受支持,或者未能应用最新的更新程序,客户遭受网络攻击的风险会增加。要及时了解有关产品更新的信息,请订阅 Siemens 工业信息安全 RSS 源,? 总是使用最新版本的软件。? 将自动化和驱动组件集成到设备或机器上的整套先进工业信息安全方案中。? 全面考虑整套工业信息安全方案中使用的所有产品。? 采取相应的保护措施(如:使用杀毒软件)防止移动存储设备中的文件受到恶意软件的破坏。? 在调试结束后,检查所有和安全相关的设置。什么是工业控制系统信息安全(Industrial Security)? 3工业信息安全的定义工业信息安全(Industrial Security)通常指为保持信息的以下状态而实施的所有安全措施:? 保密性,防止信息被非法访问? 完整性,防止信息被操纵? 可用性,防止数据被破坏或者拒绝服务(DoS)工业信息安全的目标工业信息安全的目标有:? 确保工业设备和生产过程正常、连续地运转? 防止网络攻击对人员安全和生产安全构成危险? 防止工业通信信息被窃取和操纵? 防止工业自动化系统及其组件被非法访问或数据丢失? 为没有信息安全功能的旧设备和旧机器提供既实用又经济的信息安全方案? 利用目前久经验证的开放式信息安全标准? 符合法律法规的要求工业信息安全方案是针对自动化与驱动应用进行了调整和改进的安全方案。安全措施本身不能阻碍生产或危及生产。工业信息安全配置手册, 01/2023, 6FC5397-5EP40-6RA2 21什么是工业控制系统信息安全(Industrial Security)?工业信息安全22 配置手册, 01/2023, 6FC5397-5EP40-6RA2为什么工业信息安全如此重要? 44.1 新技术发展给工业信息安全带来了全新挑战全球趋势目前,众多新技术飞速发展,给工业信息安全带来了全新挑战。这些挑战强调了安全功能和安全措施的重要性。? 云计算全球网络连接的数量与日剧增,新技术发展迅猛,比如:云计算以及关联的云计算应用。在云计算发展的同时,诸如移动电话和平板电脑等移动设备的数量出现爆炸性增长。? 无线通信技术移动设备的大量使用离不开移动网络的全面覆盖。与此同时,无线网络的规模也日益扩大。新的无线网络和移动网络标准不断发展? 对系统和设备的全球远程访问以及移动应用? 物联网:Internet of Things (IoT)目前已有数百万台电子设备可以联网,通过互联网通信。为了使联网组件和应用正常运行,您的设备需要能够可靠地防御网络攻击的网络基础设施和应用程序。工业信息安全配置手册, 01/2023, 6FC5397-5EP40-6RA2 234.2 企业的潜在安全漏洞企业的潜在安全漏洞企业安全链中最薄弱的环节决定了该企业的安全水平。企业内可能出现安全漏洞的地方很多,例如:? 员工、访客? 生产设备? 网络基础设施? 计算机、工作站? 手提电脑、平板电脑? 打印机? 智能手机、智能手表? 移动数据存储盘为了确定安全问题并找到解决方案,需要一个整体方案。具有约束力的准则和法规必须触及到企业的所有相关领域:设备、系统、流程和员工。数据安全主题在工业环境中变得越来越重要,特别是由于全球对数据保护的法律要求不断提高。潜在的安全威胁可能的安全威胁包括机密性、完整性和可用性。威胁的示例包括:? 窃取数据? 操纵数据或软件? 恶意破坏生产设备? 通过病毒或恶意软件使设备停机? 非法使用系统功能信息安全事件可能产生的后果? 知识产权被侵犯? 生产线停产或生产率下降? 公司形象受损,遭受经济损失为什么工业信息安全如此重要?4.2 企业的潜在安全漏洞工业信息安全24 配置手册, 01/2023, 6FC5397-5EP40-6RA2? 发生灾难性的环境污染? 对人员和机器构成危险自动化和驱动产品中的信息安全措施 5西门子为其自动化和驱动产品提供以下几种信息安全措施:? 应用安全 (Application Security) 指考虑了自动化环境中信息安全因素的功能和产品,尤其是考虑了自动化设备上的应用、任务和操作人员这些因素。它们大大简化了信息安全在生产流程中的实施。? 安全支持 (Security Support) 指由具有网络知识或行业专业知识的专家组成的团队,他们为信息安全策略的分析、规划、实施、审核和改进供强有力的支持,使生产设备达到尽可能高的信息安全等级和生产能力。西门子提供“Industrial Cybersecurity Services”服务,为客户提供全面支持:客户因此可以通过实施安全措施提高系统和生产车间的安全水平。安全措施随着数字化的发展,如何保证自动化系统的全面信息安全变得日益重要,因此,对于每个可以联网的产品而言,信息安全都是关键因素。将信息安全设计集成到产品中以下措施可确保将信息安全集成到当前的西门子自动化和驱动技术产品中:? 实施 IEC 62443-4-1 中针对产品生命周期管理流程 (PLM) 规定的要求。实施已通过 T?V 认证。? 威胁和风险分析 (TRA)用于分析和评估可能的威胁。针对发现的严重漏洞,在产品中根据Security by Design 原则来予以保护,并且该保护功能是产品上不可或缺的基本功能。? 代码分析可识别并更正可能的错误。? 西门子在其产品以及生产流程中实施了一些措施,以便确保完整性。这增强了对操纵企图的检测。? 西门子持续不断地检查系统强化措施:– 操作系统经过合理配置,以最大程度地减少攻击点(比如:非必要服务的端口)。– 西门子测试其产品,以便尽早发现薄弱环节。– 西门子提供有针对性的热补丁/补丁管理服务。强大的研发后盾和可靠供应链作为自动化和驱动产品的制造商,西门子拥有强大的研发后盾和可靠供应链,为产品在客户处的安全运行提供保障:? 西门子 ProductCERT (Cyber Emergency Readiness Team)应急响应小组是负责处理西门子产品和解决方案信息安全事故的中央部门。西门子ProductCERT 为研发部门提供咨询和服务支持。ProductCERT 可提供最新安全威胁和薄弱环节方面的信息以及相应的应对措施。? 工业信息安全形势不断变化并且错综复杂,需要予以持续监视,并不断采取新的安全措施。您可以访问网址 ,了解西门子如何针对网络攻击为其自己产品和解决方案提供防护,以及工业领域如何获益于西门子的专业技术。提供补丁、安全组件以及配套的安全服务作为自动化和驱动产品的制造商,西门子不仅为系统集成商和运营商提供直接支持,而且还提供补丁、安全组件以及配套的安全服务,为产品在客户处的安全运行提供保障:? 西门子提供 SIEM 系统,用于监测安全残余风险。SIEM 全称是“Security Information andEvent Management”,即安全信息和事件管理系统,在 IT 信息安全领域,已成为一个专有名词。该系统可以识别信息安全事件,并予以评估,并随后向管理员示警。? 为完善工业控制系统安全性,西门子还提供通过 OSA(OT Security Appliance,OT 安全设备) 进行的监测服务。OSA 针对 OT 安全监测市场,是一个整体的 OT SIEM(安全信息与事件管理)解决方案,它一方面考虑了 OT 系统的属性,另一方面使得 OT 系统完全透明,包括资产和操作风险。参见全天候保证安全 。