西門子電機技術樣本，6SE64302AD330DA0

SIMATIC PCS 7 安全理念以軍事上的“縱深防御”戰略為基礎，

根據該戰略，防御并不集中在單線圖上，而是分成若干層，

通過根據位置和/或功能將分為幾個邏輯片區，定義這些安全區。

這些片區受所有必要的安全機制的保護，且可完全獨立運行。

各個安全區之間數據和人員的流動受所定義和監督訪問的管制。

所有接入點的防火墻和病毒掃描程序將防止未經便訪問安全區內的各個計算機或網絡。

因此，安全區內不再需要額外的防火墻。這便簡化了計算機的管理并保持了系統性能。

SIMATIC PCS 7 安全理念支持使用Microsoft Internet Security和

Acceleration Server 2006 (ISA Server 2006)、Windows防火墻

和Scalance S 安全模塊。因這些模塊具有的工業功能(IP30)及過程信息的優化通信，

其與辦公設備有所不同。除防火墻之外，病毒掃描程序是的安全防護措施。

SIMATIC PCS 7 支持三種常用的針對和控制系統的病毒掃描程序。

SIMATIC PCS 7 安全理念建議安裝相應的安全補丁，

以保護經常在 Windows 操作系統下運行的過程控制系統內部的各個工作站。

為了評估計算機在防御安全威脅方面的漏洞，

Microsoft Baseline Security Analyzer(MBSA)可掃描并分析存在問題的計算機。

該安全分析器將在報告中總結檢測出的漏洞并列出缺失的安全補丁。

迫使攻擊者客服多重障礙。在 IT 安全方面，

縱深防御安全體系結構指的是若干關鍵元素的結合。

系統可能會拒絕域客戶端登錄到其域控制器的權限。

這是由 Windows 中的安全功能引起的，

當過客戶端與服務器之間的時間差時，將阻止可能未經便訪問現有會話。

使用 IPSec VPN 將降“外部”計算機臨時進入系統以進行維護和支持工作時所產生的潛在危險。

虛擬專用網 (VPN) 提供了從外部設備到受保護的控制系統而安全的連接。

西門子安全理念建議使用此方法，并將MicrosoftISAServer2006與隔離網絡結合使用。

如果通過 Web 瀏覽器訪問數據，則安全理念建議通過具有HTTPS的安全套接字層

(SSL)或者基于IPSec和用戶身份驗證的用戶名和密碼，進行數據加密和服務器身份驗證。

我們提供了以下功能，包括實施 DHCP 服務器、分配 IP 地址、將分區映射到子網以及借助

Windows Active Directory 集中管理的計算機或用戶，

Microsoft 會定期發布這些補丁供用戶使用，以修復近識別出的安全漏洞。

SIMATIC PCS 7 安全實驗室會不斷審查這些補丁，

確定其是否與當前版本的SIMATICPCS7相兼容，且會即時發布這些測試結果。

借助精 確的訪問控制進行一致的用戶管理和權限管理是安全理念的另一關鍵元素。

它應用 權限原則。單個用戶或單個應用僅擁有進行手頭的實際任務時所需的權限。

以支持SIMATICPCS7系統靈活的網絡結構和高效的管理。

災難恢復的目的是在發生自然或人為事故后，

這種全面的方法不局限于使用個別的安全方法（例如數據加密或像防火墻之類的設備），

相反，它以在系統的不同位置實施的各種安全方法的交互為基礎。

將分成幾個安全區 基本上講，要將加工劃分成單獨、有組織且可管理的片區，

每個片區都形成自己的安全區。安全區的大小可有所不同，小到自動化裝置大到整個廠房。

根據這份報告，用戶便可在沒有適當的安全補丁保護的情況下繼續運行的風險與安裝這些補丁

（可能需要重新啟動計算機）要花費的精力和費用之間進行權衡。

這是避免有意或無意的操作失誤的 佳方式。SIMATICPCS7支持借助SIMATICLogon軟件包進行用戶管理，

以為 SIMATIC 應用程序和區域分配權限。SIMATIC Logon 利用了 Windows 

用戶管理工具的自動注銷和密碼自動失效的功能。

時間同步SIMATICPCS7內的時間同步將幫助小化時間差，

并支持所有時間關鍵型過程的同步、審計、記錄和歸檔。

時間同步經常會被忽略，但不應被估。非同步系統中的潛在威脅在于，

能夠重新訪問數據、硬件和軟件，并重新開始運行。

由于過程工程越來越多地受數據的推動，因此快速恢復數據的能力就變得非常重要了。

在 SIMATIC PCS 7 系統中，每臺 PC 都具有系統軟件的完整映像，

OpenPCS7在控制系統和 MES 之間提供了直接界面：

通過服務器，您可讓上位系統使用SIMATICPCS7的過程數據，

以進行規劃、過程數據分析和管理。

OpenPCS7服務器將收集分布在OPC客戶端的各種SIMATICPCS7站

（OS服務器、歸檔服務器 CAS）上的數據；數據的分布取決于系統組態。

這意味著不管存儲位置、時間段或體系結構（例如冗余）如何，均可從單個 OPC 界面獲得所有數據。

OpenPCS 7 界面以 OPC 規范為基礎，用于主要使用 Microsoft DCOM

（分布式組件對象模型）技術的應用程序之間的通訊。它支持下列標準化訪問選項：

OPC DA：OPC 數據訪問：根據 OPC 規范 OPC DA V1.00、V2.05a 和 V3.00，用于對當前過程值進行讀取和寫入訪問

OPC HAD：OPC 歷史數據訪問：根據 OPC 規范 OPC HDA V1.20，用于對已歸檔的過程數據進行讀取訪問

OPC A&E：OPC 警報與事件：根據 OPC 規范 OPC A&E V1.10，用于對當前的警報和事件進行讀取訪問

OPC "H" A&E：歷史警報與事件：用于對已歸檔的警報和事件進行讀取訪問

OLE 數據庫：用于以標準化方式直接訪問操作員系統的 Microsoft SQL Server 數據庫中的歸檔數據

若出現數據丟失，可隨時用來恢復系統分區。西門子提供了幾個用于歸檔過程數據的程序，

例如：Storage Plus、Central Archive Server (CAS) 和 Simatic IT Historian。

早在開發過程中，IT 安全已被視為系統測試的組成部分，

且是發布產品的先決條件。SIMATICPCS7安全實驗室的工作人員一直潛心致力于IT安全，

其測試的結果直接流入產品和軟件開發中。

西門子專門針對過程工程的特定需求，提供了集成的全面安全性解決方案。

安全理念有效降了風險、防止安全事故的發生，從而提高了的可用性。

作為防火墻的工業安全模塊 SCALANCE S，還可通過采用加密和身份驗證

(VPN)，保護系統/設備之間或網絡分段之間的數據傳輸免遭數據操縱和竊取的威脅。

管理層面上使用的執行系統 (MES) 在此處將起關鍵作用。

西門子電機技術樣本，6SE64302AD330DA0