西门子电机技术样本，6SE64302AD330DA0

西门子电机技术样本，6SE64302AD330DA0

SIMATIC PCS 7 安全理念以军事上的“纵深防御”战略为基础，

根据该战略，防御并不集中在单线图上，而是分成若干层，

通过根据位置和/或功能将分为几个逻辑片区，定义这些安全区。

这些片区受所有必要的安全机制的保护，且可完全独立运行。

各个安全区之间数据和人员的流动受所定义和监督访问的管制。

所有接入点的防火墙和病毒扫描程序将防止未经便访问安全区内的各个计算机或网络。

因此，安全区内不再需要额外的防火墙。这便简化了计算机的管理并保持了系统性能。

SIMATIC PCS 7 安全理念支持使用Microsoft Internet Security和

Acceleration Server 2006 (ISA Server 2006)、Windows防火墙

和Scalance S 安全模块。因这些模块具有的工业功能(IP30)及过程信息的优化通信，

其与办公设备有所不同。除防火墙之外，病毒扫描程序是的安全防护措施。

SIMATIC PCS 7 支持三种常用的针对和控制系统的病毒扫描程序。

SIMATIC PCS 7 安全理念建议安装相应的安全补丁，

以保护经常在 Windows 操作系统下运行的过程控制系统内部的各个工作站。

为了评估计算机在防御安全威胁方面的漏洞，

Microsoft Baseline Security Analyzer(MBSA)可扫描并分析存在问题的计算机。

该安全分析器将在报告中总结检测出的漏洞并列出缺失的安全补丁。

迫使攻击者客服多重障碍。在 IT 安全方面，

纵深防御安全体系结构指的是若干关键元素的结合。

系统可能会拒绝域客户端登录到其域控制器的权限。

这是由 Windows 中的安全功能引起的，

当过客户端与服务器之间的时间差时，将阻止可能未经便访问现有会话。

使用 IPSec VPN 将降“外部”计算机临时进入系统以进行维护和支持工作时所产生的潜在危险。

虚拟专用网 (VPN) 提供了从外部设备到受保护的控制系统而安全的连接。

西门子安全理念建议使用此方法，并将MicrosoftISAServer2006与隔离网络结合使用。

如果通过 Web 浏览器访问数据，则安全理念建议通过具有HTTPS的安全套接字层

(SSL)或者基于IPSec和用户身份验证的用户名和密码，进行数据加密和服务器身份验证。

我们提供了以下功能，包括实施 DHCP 服务器、分配 IP 地址、将分区映射到子网以及借助

Windows Active Directory 集中管理的计算机或用户，

Microsoft 会定期发布这些补丁供用户使用，以修复近识别出的安全漏洞。

SIMATIC PCS 7 安全实验室会不断审查这些补丁，

确定其是否与当前版本的SIMATICPCS7相兼容，且会即时发布这些测试结果。

借助精 确的访问控制进行一致的用户管理和权限管理是安全理念的另一关键元素。

它应用 权限原则。单个用户或单个应用仅拥有进行手头的实际任务时所需的权限。

以支持SIMATICPCS7系统灵活的网络结构和高效的管理。

灾难恢复的目的是在发生自然或人为事故后，

这种全面的方法不局限于使用个别的安全方法（例如数据加密或像防火墙之类的设备），

相反，它以在系统的不同位置实施的各种安全方法的交互为基础。

将分成几个安全区 基本上讲，要将加工划分成单独、有组织且可管理的片区，

每个片区都形成自己的安全区。安全区的大小可有所不同，小到自动化装置大到整个厂房。

根据这份报告，用户便可在没有适当的安全补丁保护的情况下继续运行的风险与安装这些补丁

（可能需要重新启动计算机）要花费的精力和费用之间进行权衡。

这是避免有意或无意的操作失误的 佳方式。SIMATICPCS7支持借助SIMATICLogon软件包进行用户管理，

以为 SIMATIC 应用程序和区域分配权限。SIMATIC Logon 利用了 Windows 

用户管理工具的自动注销和密码自动失效的功能。

时间同步SIMATICPCS7内的时间同步将帮助小化时间差，

并支持所有时间关键型过程的同步、审计、记录和归档。

时间同步经常会被忽略，但不应被估。非同步系统中的潜在威胁在于，

能够重新访问数据、硬件和软件，并重新开始运行。

由于过程工程越来越多地受数据的推动，因此快速恢复数据的能力就变得非常重要了。

在 SIMATIC PCS 7 系统中，每台 PC 都具有系统软件的完整映像，

OpenPCS7在控制系统和 MES 之间提供了直接界面：

通过服务器，您可让上位系统使用SIMATICPCS7的过程数据，

以进行规划、过程数据分析和管理。

OpenPCS7服务器将收集分布在OPC客户端的各种SIMATICPCS7站

（OS服务器、归档服务器 CAS）上的数据；数据的分布取决于系统组态。

这意味着不管存储位置、时间段或体系结构（例如冗余）如何，均可从单个 OPC 界面获得所有数据。

OpenPCS 7 界面以 OPC 规范为基础，用于主要使用 Microsoft DCOM

（分布式组件对象模型）技术的应用程序之间的通讯。它支持下列标准化访问选项：

OPC DA：OPC 数据访问：根据 OPC 规范 OPC DA V1.00、V2.05a 和 V3.00，用于对当前过程值进行读取和写入访问

OPC HAD：OPC 历史数据访问：根据 OPC 规范 OPC HDA V1.20，用于对已归档的过程数据进行读取访问

OPC A&E：OPC 警报与事件：根据 OPC 规范 OPC A&E V1.10，用于对当前的警报和事件进行读取访问

OPC "H" A&E：历史警报与事件：用于对已归档的警报和事件进行读取访问

OLE 数据库：用于以标准化方式直接访问操作员系统的 Microsoft SQL Server 数据库中的归档数据

若出现数据丢失，可随时用来恢复系统分区。西门子提供了几个用于归档过程数据的程序，

例如：Storage Plus、Central Archive Server (CAS) 和 Simatic IT Historian。

早在开发过程中，IT 安全已被视为系统测试的组成部分，

且是发布产品的先决条件。SIMATICPCS7安全实验室的工作人员一直潜心致力于IT安全，

其测试的结果直接流入产品和软件开发中。

西门子专门针对过程工程的特定需求，提供了集成的全面安全性解决方案。

安全理念有效降了风险、防止安全事故的发生，从而提高了的可用性。

作为防火墙的工业安全模块 SCALANCE S，还可通过采用加密和身份验证

(VPN)，保护系统/设备之间或网络分段之间的数据传输免遭数据操纵和窃取的威胁。

管理层面上使用的执行系统 (MES) 在此处将起关键作用。

西门子电机技术样本，6SE64302AD330DA0