西門子工業(yè)信息安全理念的中央元素是網(wǎng)絡(luò)安全。包括了對自動化系統(tǒng)未經(jīng)授權(quán)的訪問保護(hù)和連接到其他網(wǎng)絡(luò)（如辦公網(wǎng)絡(luò)和由于遠(yuǎn)程訪問的需求連接到Internet網(wǎng)絡(luò)）的所有接口安全審查。網(wǎng)絡(luò)安全也包括通信保護(hù)防止通信被攔截和操縱。例如：數(shù)據(jù)加密傳輸和相應(yīng)通信節(jié)點間的身份認(rèn)證。

  1、確保辦公網(wǎng)絡(luò)和工廠網(wǎng)絡(luò)之間接口的安全

過渡到其它網(wǎng)絡(luò)時，可以通過防火墻和建立非軍事化區(qū)（DMZ）對工廠網(wǎng)絡(luò)進(jìn)行監(jiān)控和保護(hù)。DMZ是為了保護(hù)工廠網(wǎng)絡(luò)增加的一道安全防線。DMZ區(qū)對其它網(wǎng)絡(luò)可以提供數(shù)據(jù)服務(wù)，同時也確保其它網(wǎng)絡(luò)不能直接訪問自動化網(wǎng)絡(luò)。這種設(shè)計使得從DMZ區(qū)不能訪問和連接到其它系統(tǒng)。即使DMZ區(qū)的計算機被劫持，自動化網(wǎng)絡(luò)仍然能被保護(hù)（見圖4）。

圖4、辦公網(wǎng)絡(luò)和工廠網(wǎng)絡(luò)之間使用非軍事化區(qū)傳輸數(shù)據(jù)

***簡單的情況，通過一個防火墻實現(xiàn)隔離。該防火墻可以控制和管理不同網(wǎng)絡(luò)之間的通信。更安全的是在各自的網(wǎng)絡(luò)邊界之間的連接一個非軍事區(qū)（DMZ）實現(xiàn)隔離。非軍事化區(qū)限制了生產(chǎn)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)之間的直接數(shù)據(jù)通信；通信過程只能通過非軍事化區(qū)（DMZ）中的服務(wù)器間接完成 。

2、網(wǎng)絡(luò)分段和單元保護(hù)概念

網(wǎng)絡(luò)分段是把工廠網(wǎng)絡(luò)被劃分成幾個獨立被保護(hù)的自動化單元。這樣可以減小風(fēng)險更進(jìn)一步增強網(wǎng)絡(luò)的安全性。一個網(wǎng)絡(luò)的部分（例如一個IP子網(wǎng)）通過一個安全來保護(hù)。通過分段來實現(xiàn)網(wǎng)絡(luò)安全。因此，“單元”中的設(shè)備可以防止來自外部未經(jīng)授權(quán)的訪問且不影響實時性能或者其它功能。

防火墻可以控制對單元的訪問，操作員可以定義哪些網(wǎng)絡(luò)節(jié)點之間可以通過什么協(xié)議相互通信。通過此方式不僅拒絕未經(jīng)授權(quán)人員的訪問，也降低網(wǎng)絡(luò)的通信負(fù)載。只有希望和需要的通信是被允許的。

根據(jù)網(wǎng)絡(luò)站點的通信和保護(hù)需求，劃分單元和分配設(shè)備到相應(yīng)的單元。來往于單元的數(shù)據(jù)傳輸是通過安全設(shè)備的VPN進(jìn)行加密處理。這樣有效的防止窺探和操縱數(shù)據(jù)。通過VPN技術(shù)認(rèn)證了通信的節(jié)點和授權(quán)了他們需要訪問的地方。例如，單元保護(hù)的概念可以通過集成安全功能的組件SCALANCE  S  或SIMATIC S7自動化系統(tǒng)的安全CP卡實現(xiàn)（見圖5）。

圖5、 通過集成安全的產(chǎn)品實現(xiàn)網(wǎng)絡(luò)分段和單元保護(hù)

網(wǎng)絡(luò)分段和單元保護(hù)可歸納如下：

單元”和“區(qū)域”的概念是出于安全的目的對網(wǎng)絡(luò)進(jìn)行分段隔離

通過設(shè)置信息安全網(wǎng)絡(luò)組件，對“單元入口”進(jìn)行訪問控制

將沒有獨立訪問保護(hù)機制的設(shè)備置于安全單元內(nèi)加以保護(hù)，這種方式主要針對已經(jīng)正常運行設(shè)備的改造

劃分各個單元可以防止由于帶寬限制造成的網(wǎng)絡(luò)過載，保護(hù)單元內(nèi)部的數(shù)據(jù)通信不受干擾

在各個單元內(nèi)部不影響實時通信

在網(wǎng)絡(luò)單元內(nèi)部，對功能安全設(shè)備提供保護(hù)

在單元和單元之間通過建立安全通道實現(xiàn)安全通信

網(wǎng)絡(luò)分段的單元防護(hù)理念是防止未經(jīng)授權(quán)訪問的一種防護(hù)措施。在安全單元內(nèi)部的數(shù)據(jù)不受信息安全設(shè)備的控制，因此我們假設(shè)各分段網(wǎng)絡(luò)內(nèi)部是安全的，或者在各個單元內(nèi)部部署了更進(jìn)一步的安全措施，例如，保證交換機的端口安全。

各個安全單元的大小的劃分主要取決于被保護(hù)對象所包含的內(nèi)容，具有相同需求的組件可能會劃分在一個安全單元以內(nèi)。建議根據(jù)生產(chǎn)流程規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)。這樣可以保證網(wǎng)絡(luò)分段時，各個網(wǎng)絡(luò)單元之間通信數(shù)據(jù)量***少，同時，可以使防火墻配置的例外規(guī)則***小化。

為了保證性能需求，建議客戶遵循如下針對網(wǎng)絡(luò)規(guī)模和網(wǎng)絡(luò)分段的規(guī)則：

一個 PROFINET IO 系統(tǒng)中的所有設(shè)備規(guī)劃到一個網(wǎng)絡(luò)單元中

設(shè)備和設(shè)備之間的通信數(shù)據(jù)量非常大的情況下，應(yīng)該將它們規(guī)劃到一個網(wǎng)絡(luò)單元中

如果一臺設(shè)備僅僅和一個網(wǎng)絡(luò)單元之間存在數(shù)據(jù)通信，同時保護(hù)目標(biāo)是一致的，則應(yīng)該將該設(shè)備和網(wǎng)絡(luò)單元合并到一個網(wǎng)絡(luò)單元

3、遠(yuǎn)程訪問的安全

越來越多的工廠通過互聯(lián)網(wǎng)被直接地連接到了一起。由于遠(yuǎn)程服務(wù)、遠(yuǎn)程應(yīng)用和監(jiān)控安裝在世界各地的機械設(shè)備的需求，遠(yuǎn)程的工廠通過移動網(wǎng)絡(luò)(GPRS,  UMTS,  LTE)被連接起來。

這種情形，安全訪問尤其重要。借助搜索引擎、端口掃描或者自動化的腳本，無需努力就可以很容易得發(fā)現(xiàn)不安全的訪問節(jié)點。這就是通信節(jié)點為什么要身份認(rèn)證，數(shù)據(jù)的傳輸需要加密且數(shù)據(jù)的完整性必須保證。特別是對于工廠的關(guān)鍵基礎(chǔ)設(shè)施訪問。未經(jīng)授權(quán)人員的訪問，機密數(shù)據(jù)的讀取和控制命令參數(shù)的修改都可能導(dǎo)致相當(dāng)大的破壞，環(huán)境的污染及人員的傷害。

VPN的機制提供身份認(rèn)證，加密和完整性保護(hù)，已被證明可以提供有效保護(hù)功能。西門子的Internet 安全產(chǎn)品支持VPN連接，因此可以安全地傳輸通過互聯(lián)網(wǎng)或移動網(wǎng)的控制訪問數(shù)據(jù)。

正常的情況下，設(shè)備認(rèn)證證書和值得信賴的IP地址或域名名稱通過防火墻的規(guī)則來阻止或允許。VPN設(shè)備和SCALANCE S防火墻使用特定用戶防火墻規(guī)則賦予訪問用戶的權(quán)限。在這種情況下用戶使用他們的名字和密碼登陸Web界面，由于每個授權(quán)的用戶被分配了特殊的防火墻規(guī)則，給用戶根據(jù)其訪問權(quán)限獲得相應(yīng)的訪問能力。優(yōu)勢在于可以清楚地跟蹤在特定時間對系統(tǒng)的訪問情況。

帶有三個端口的SCALANCE S623防火墻給系統(tǒng)集成商、OEM和***終用戶提供了種解決方案。一方面，設(shè)備制造商出于遠(yuǎn)程維護(hù)的目的需要訪問安裝在***終用戶那里的機器；但另一方面，***終用戶的IT部門不愿意外部訪問機器所連接的整個網(wǎng)絡(luò)。通過SCALANCE S623，機器可以連接到工廠網(wǎng)絡(luò)并且使用第三個端口連接防火墻到Internet。這樣可以從Internet訪問機器但從Internet訪問工廠網(wǎng)絡(luò)是被拒絕的。因此，技術(shù)服務(wù)人員可以遠(yuǎn)程訪問機器設(shè)備但不能訪問工廠網(wǎng)絡(luò)（見圖6）。

圖6、 不能訪問工廠網(wǎng)絡(luò)情況下遠(yuǎn)程訪問工廠設(shè)備