西门子代理商 西门子一级代理商 西门子SM331数字量输入模块 西门子SM331数字量输入模块

网络罪犯越来越多地袭击工业设施，试图在安全墙上找到漏洞。作为对策，专家们不断升级防御措施。西门子已制定出一套防御策略来协助他们。

2017年是安全专家们难忘的一年。5月，WannaCry病毒爆发，所到之处一片狼藉，为之震惊。在德国，许多火车站的电子告示牌一度关闭，英国的一些医院不得不推迟手术，世界各地的汽车制造商纷纷发现装配线停滞不动。但事情远未就此结束。时隔短短一个月，在6月，一个名为NotPetya的类似病毒再次爆发。这里仅举一例来说明其影响之恶劣：受其影响，大航运公司马士基（Maersk）无法知道有哪些货物已出海，有哪些货物还在集装箱码头。此次网络袭击造成了高达3亿欧元的损失。

确保数字系统的安全至关重要，因为网络袭击不仅影响到消费者，而且影响到越来越多的工业企业。据俄罗斯网络犯罪专家卡巴斯基实验室收集的统计数据，2017年它在范围内调查的1000家公司中，三分之一表示它们曾受到有针对性的网络袭击——比上一年的数据增加了8%。不仅如此，网络袭击变得越来越复杂，有时要在几周之后才会被发现。

未来，生产线将能独立响应变化的需求，如要求生产不同车型，所需部件都有存货。当这样的发展成为现实，随之而来的密集信息成为了犯罪分子垂涎的目标。

量身定制的袭击

挑战在于，当今的工业制造工厂不仅严重依赖数字系统，而且联网日益紧密。这样一来，效力于政府、犯罪组织或其他机构的将找到越来越多的薄弱点，从而进行蓄意破坏、工业间谍活动或敲诈勒索。他们不再使用随机扩散的分布式拒绝服务（DDoS）发动攻击，通过狂轰滥炸似的询问导致网站崩溃。西门子工业安全服务主管Henning Rudolf博士表示，“网络罪犯越来越多地发起针对特定工业设施量身定制的袭击。作为自动化解决方案制造商，我们每天都要遭遇这样的袭击。确保这些系统的安全是我们的日常工作。”

要想获得成功，比起这些需要动用大量资源、使用高度专业化手段的复杂袭击而言，西门子这样的公司必须一步，先发制人。Rudolf说：“这是一场猫鼠游戏。当然，这意味着安全措施必须随时跟上技术。”哪怕它们保护的设备已不再那么先进，仍须如此。办公设备的生命周期通常为2到4年，而工业设施的使用寿命则长达20年乃至30年。

亟需保护：模拟、3D打印、轻型机器人——这些都是推动第四次工业革命（或称工业4.0）的创新技术。在德国埃尔兰根的西门子电子制造工厂，它们已经成为现实。

100多万台设备使用安全的MindSphere

有鉴于此，西门子工业安全服务部门的专家制定出一套基于“纵深防御”概念的阶段式防御策略，以支持西门子提供的工业技术和其他制造商生产的设备适应不断变化的威胁。这一策略包含三个相互协调的连续保护功能。首先是设施安全系统，如采用生物特征识别的物理门禁系统。第二条防御线是网络安全系统，譬如，借助防火墙和虚拟专网（VPN）等手段来保护生产系统和工业通讯。第三道保护墙是系统集成，为终端和自动化系统提供密码保护，或者仅允许通过白名单杀毒软件授予权限的特定软件进行访问。

多亏有1275名网络安全员工，西门子得以做好充分的准备抵御网络袭击。这些专家发挥他们数字工厂技术专长，充分利用MindSphere——西门子基于云的开放式物联网操作系统，支持设施管理者执行预测性维护和能源数据管理或优化利用资源。目前已有超过100万台设备连接至MindSphere，预计到2018年底，这个数字将增至125万台。尽管“云”听起来短暂易逝，但将数据保存在云端比保存在许多企业计算机中更加安全。MindSphere符合主流安全标准，如规定了自动化系统IT安全等级的标准IEC62443。MindSphere对数据流量进行加密，并使用高度安全的计算机中心。

保护理念的专家：西门子工业安全服务主管Henning Rudolf

自适应的安全架构

不幸的是，许多工业设施的安全之门敞开着，网络罪犯轻而易举就能向它们发起攻击。当Henning Rudolf这样的专家造访客户时，他们常常遇到像“123456”或“Password”这样的密码。此外，许多公司都不及时下载安全更新。去年，如果及时安装了这样的更新，那么，一些系统或许根本不会受到WannaCry和NotPetya的影响。

长远来看，西门子专家认为，仅仅确保主要生产设施的安全是不够的，还必须全天候监测安全系统。Rudolf说：“对于西门子设施，我们使用了一个包含约40000个网络袭击指示参数的监测系统。”一些公司无力承担这样的监测，因此，单独的安全中心，包括西门子提供的安全中心，终将为它们提供监测服务。Rudolf表示，“未来，自适应安全架构也将有助于确保安全，它们可利用数据来测试操作系统。然而，现在网络罪犯也在使用人工智能。”换句话说，网络安全的猫鼠游戏将是一场旷日持久的对峙。

运行 CPU 所需的 SIMATIC 存储卡

CPU 1517-3 PN/DP 是具有极大容量程序及数据存储器的 CPU，适用于除集中式 I/O 外还包含分布式自动化结构的应用中要求十分苛刻的任务。

可被用作 PROFINET IO 控制器或分布智能系统（PROFINET 智能设备）。集成式 PROFINET IO IRT 接口设计为 2-端口交换机以便在系统中设立总线型拓扑。

附加的集成 PROFINET 接口，具有单独的 IP 地址，可用于网络分离等。

分布式 I/O 可通过 PROFIBUS 以及集成 PROFIBUS 接口进行连接。

另外，CPU 还提供全面的控制功能，并能够通过标准化的 PLC-open 块连接变频器。

西门子CPU 1515-2 PN产品信息：

• 性能
  • 指令处理速度更快, 取决于 CPU 型号、语言扩展和新的数据类型
  • 由于背板总线速度显着提高，CPU 的响应时间缩短
  • 功能强大的网络连接：
    每个 CPU 均标配PROFINET IO IRT（2 端口交换机）标准接口。
• 集成技术
  • 通过标准化的块 (PLCopen) 连接模拟驱动器和具有 PROFIdrive 功能的驱动器
  • 支持转速控制轴和定位轴以及外部编码器
  • 具有所有 CPU 变量的跟踪功能，用于实时诊断和偶发故障检测
  • 全面的控制功能，例如，通过便于组态的块可自动优化控制参数实现优控制质量
• 集成安全功能
  • 通过密码进行知识保护，防止未经授权读取和修改程序块
  • 通过复制保护，可绑定 SIMATIC 存储卡的程序块和序列号：只有在将配置的存储卡插到 CPU 中时，该程序块才可运行。
  • 4-级 授权理念：
    也可以对和 HMI设备之间进行的通信进行限制。
  • 操作保护：
    该控制器可以识别工程组态数据的更改和未授权传输。
• 设计与操作
  • 显示器，用于显示概览信息，
    例如：站名、高级别名称、位置名称等概览信息、诊断信息、模块信息和显示器设置。
  • 显示器上可能的操作： 
    设置 CPU 或者所连接以太网通信处理器的地址、设置日期和时间、选择 CPU 的操作模式、复位 CPU 至默认设置、禁用/启用显示器、激活保护等级。
• 集成式系统诊断
  • 显示屏上、TIA Portal 中、人机界面设备上以及 Web 服务器上以普通文本形式*显示系统诊断信息（甚至能显示来自变频器的消息），即使 CPU 处于停止模式也会进行更新。
  • 集成在 CPU 的固件中，无须进行特殊组态
• SIMATIC 存储卡（运行 CPU 所需）
  • 用作插入式装载存储器，或用于更新固件。
  • 还可用于存储附加文档或 csv 文件（用于配方和归档）
  • 通过用户程序的系统函数创建数据块实现数据存储/读取
• 数据记录（归档）和配方
  • csv 格式配方文件存储并归档在 SIMATIC 存储卡中；
    利用办公工具或 Web 浏览器可以方便地访问与设备相关的运行数据
  • 通过网页浏览器或 SD 读卡器，可方便地访问机器的组态数据（与控制器之间的双向数据交换）
• 编程
  • 使用 STEP 7 Professional V13 或更高版本进行编程
  • 移植工具，用于 SIMATIC S7-300/S7-400 至 S7-1500 的移植操作，可以自动地完成大部分程序代码的转换工作。记录不可转换的代码，并可以手动进行调整。