西门子代理商 赤峰西门子代理商 赤峰西门子代理商

数字通讯技术使得生产过程日益互连互通，但也由此招来了网络犯罪。西门子中央研究院 IT安全技术领域，正在研发能够防御网络犯罪的*解决方案，并对其进行严格测试，包括由西门子自有 团队进行袭击。

IT犯罪与日俱增。曾主要限于攻击个人网民的网络犯罪，逐渐对工业界和商界构成重大威胁，网络袭击和工业间谍活动造成的损失，已高达每年数十亿美元。许多工业企业都担心随着数字技术的普及，整条产业链上的机器和设施互连互通日益紧密，会造成额外的重大安全风险。但是，为了加快生产速度，提高灵活性，同时保持高成本效益，企业不得不将过去在很大程度上独立的设施改造为开放式生产系统。对于化解这个困境，Rolf Reinema博士有一个现成的答案：“如果工业界采用*的、整体性安全概念，风险将会是可控的。”Reinema是西门子中央研究院IT安全技术领域负责人，他带领一支IT专家小组，专门为西门子各业务部门研发全面的安全解决方案。

逐一排查薄弱点

“过去，门禁和警报系统保护着工厂。如今则是另一种情形，工业安全专家的首要任务是比 行动更迅速，抢先发现安全漏洞。”IT安全专家Heiko Patzlaff博士说。他领导的“网络安全情报与调查”小组——西门子IT安全技术领域的组成部分之一——研发出一种程序，帮助企业可将之用于快速、简便地核查其IT系统的安全特性是否处于新状态。它可查找过时软件、缺失更新，或访问权限及密码管理不善问题。在西门子的一个业务集团开展的基于这款软件的试点项目已圆满结束。现在，西门子准备将这个易于使用的软件包打造成一种服务。

扫描数据，查找异常

IT经理必须迅速发现薄弱点并采取对策。

Patzlaff的团队研发的另一个IT安全解决方案，是一个能接近实时查明网络袭击的全新监测系统。Patzlaff表示，“总体而言，发现袭击的速度还不够快。恶意软件一旦侵入系统，它能从容地查找数据并达成目标，不论其目标是窃取数据还是操纵数据。”监控系统旨在改善这种状况。他补充道，“我们正在研发能够扫描数据流异常的算法。”譬如，日间或夜间非正常时刻，发生大量数据转移，可能表明受到袭击。同样，莫名其妙连续执行无数次命令，也可能是遭遇到了袭击。或者，如果仅白天工作的用户突然在夜间登录，这也可能是网络袭击的信号。Patzlaff指出，“每个IT系统都有其自身的常规和行为模式，因此，必须根据这些特点来调整线索搜索。”监测系统一旦发现异常，将自动通知安全中心。他说：“安全中心的IT安全专家，将分析入侵企图并采取对策。”

西门子中央研究院研发出有助于识别危险袭击的监测服务。

预测表明，在未来挑战将是多么艰巨。随着称为“工业4.0”的信息物理融合技术的日益普及，最终将有不是成百上千，而是数以亿计的机器、系统、传感器和单独产品相互通讯。

机器ID核查

工业领域需要特殊安全解决方案。譬如，一个解决想法是让机器先“表明身份”，然后才能相互交换数据，或将数据发送至数据库。Hendrik Brockhaus说：“这将提升IT基础设施的防御能力。”在西门子IT安全技术领域，他的团队为西门子交通集团装配了一个试点系统，用于展示这种类型的机器ID系统如何工作。Brockhaus首次将公共密钥基础设施（PKI）用于工业设施，并利用数字证书来验证机器、传感器或组件的真实性。

譬如，在试点系统环境中，如果控制系统向现场设备的控制单元发送切换指令，那么，控制系统和控制单元双方都要根据PKI证书来确认对方身份属实，且没有袭击企图。PKI证书由按很高安全标准运行的“授信中心”发放，因而确保PKI证书的可信度。

必须持续分析燃气轮机的运行数据，数据发送之前，必须加密。

工业数据分析免疫系统

针对来自网络的新威胁，许多工业组件都已通过更新，具备了防御特性。然而，西门子新的数据平台和服务，则是在研发过程中就已配备强健而又全面的安全机制。一个例子是建立了工业数据分析平台（IDA），其安全概念是由智能数据安全高级核心专家Fabienne Waidelich博士和她的同事共同研发的。

IDA平台，可以从诸如燃气轮机等机器的传感器和电子维护日志收集数据，并利用高级分析工具进行数据分析。这对运营者有用，从而对西门子客户有用，因为他们可以察觉早期征兆，譬如，是否需要更换组件，以防止运行故障，或如何调节气体燃烧室温度设置，以优化性能。Waidelich说：“如果未经授权的人员获得客户数据，他们可能操纵数据，作些手脚，比如模拟一个维护方面的问题，事实上并没发生这样的事情。”因此，西门子在设计这个数据平台时，非常重视其安全性。Waidelich表示，“整个平台仅可从公司内网访问，并且受到附加防火墙的保护。”不仅如此，除配备鉴权认证芯片的卡之外，所有用户还必须用公共密钥基础设施ID来证实其身份。

数据源，在本例中或许是燃气轮机的存储设备，也必须在完成鉴权认证过程之后，才能登录服务器。这意味着它必须具备适当的加密密钥，才能传送任何数据。一旦IDA——也就是数据的着陆平台——获得数据，就能从中提炼出有价值的信息。诸如TIBCO Spotfire和Tableau等报告工具以仪表板形式能使这些信息可视化。Waidelich说：“每个应用都必须用自有登录凭证，登录数据存储系统，才能获取数据。”

与此同时，除IT基础设施和西门子产品之外，Reinema的IT安全专家，也会*审视本部门的自有解决方案。只有这样，才能看出Fabienne Waidelich及其团队树立的围墙是否足够高，以及安全检查点是否足够严格。