Confidential / © Siemens AG 2013. All Rights Reserved. siemens.com.cn/industrial-security

工业信息安全 Industrial Security

纵深防御 信息安全 – 西门子工业信息安全解决方案助力企业更上一层楼

Confidential / © Siemens AG 2013. All Rights Reserved.

Page 2

一套完备的安全架构应该是 ...

尽可能简单 Make things as simple as possible but not simpler (Albert Einstein). 应该能够被所有参与者理解，从而实施。绝不应该仅仅被安全专家掌握。

尽可能一致 适用于某种情况的规则，也应该适用于其他可类比的情况，大量异常规则会为识别威胁

和缺陷带来困难。

相关各方都能理解并支持 团队成员都知道 Why, How, 以及其中的相关性，团队才能高效工作

所有团队成员都可以提出质疑 查漏补缺，群策群力，尽力做到防患于未然

形成一个动态过程 不断改进完善，贯穿工艺流程的整个生命周期

Confidential / © Siemens AG 2013. All Rights Reserved.

Page 3

IEC 62443 工控网络与系统信息安全标准

综述

用户业主

系统集成商

组件供应商

IEC 62443-2-1建立 IACS 信息安全程

序

IEC 62443-2-2运行 IACS 信息安全程

序

IEC 62443-2-3IACS 环境中的补丁更

新管理

IEC 62443-1-1术语、概念和模型

IEC/TR 62443-1-2术语和缩略语

IEC 62443-1-3系统信息安全符合性度

量

IEC/TR 62443-3-1针对 IACS 的安全技术

IEC 62443-3-2对各区域和通道的安全

级别的保证

IEC 62443-3-3系统安全需求和安全级

别的保证

IEC 62443-4-1产品开发的需求

IEC 62443-4-2对 IACS 组件的安全需

求

IEC 62443-1-4系统信息安全生命周期和使用环境（计划中）

IEC 62443-2-3对 IACS 制造商信息安全政策与实践的认证

Confidential / © Siemens AG 2013. All Rights Reserved.

Page 4

西门子专注于产品安全研发与产品生命周期流程中的信息安全

标准化 与 IEC62443 (ISA99) / VDI2182 等标准组织积极合作，并全面支持工业信息安全

培训 & 交流 广泛提供针对社会工程与工业信息安全的专题研讨会、网络培训课程

需求

在产品规划阶段充分考虑安全需求

实现

( 安全设计 / 安全编码 )

提供安全专门知识 / 指定联络人负责回答安全相关问题

确保所有安全相关需求都得到实现

在 R&D 及系统测试中扩大安全测试工具的应用 ，包括源代码分析、网络健壮性测试等

测试

在 PLM 流程中集成理论及实际安全评估(“Hacking tests”)

Confidential / © Siemens AG 2013. All Rights Reserved.

Page 5

西门子工业信息安全产品

集成信息安全功能的产品

S7-1200 & S7-1500 PLC•知识产权及防拷贝保护•防恶意操纵保护•定义不同的访问保护等级

网络组件•集成防火墙和 VPN 功能•Scalance S 交换机和针对移动应用的 Scalance M

•配合 S7控制器的通信处理器

驱动系统•知识产权保护•通过在线 /离线比较，检测代码篡改•通过 SIMATIC Logon 管理用户和访问权限

信息安全服务•通过安全评估了解目前的安全状态•按步骤执行具体的安全措施•利用持续的检测更新安全解决方案

方案执行 持续监控风险评估

Confidential / © Siemens AG 2013. All Rights Reserved.

Page 6

步骤 2:

方案执行

帮助客户设计、研发并执行整体安全解决方案

西门子帮助客户逐步实现长期的工业控制系统安全防护

• 漏洞分析• 差距分析• 威胁分析• 风险分析

• 来自全球的安全专家• 事件侦测及补救措施• 应对新型安全威胁的及时响应

• 信息安全培训• 定制安全条例和措施• 实施最先进的信息安全技术

步骤 1:

风险评估

全面的帮助客户了解信息安全状况，并制定相应的安全规划路线

图

步骤 3:

持续性服务

通过持续监测和主动防御，为客户提供信息安全保护

Confidential / © Siemens AG 2013. All Rights Reserved.

Page 7

工业信息安全 - 纵深防御理念

工厂网络

功能安全 可用性 专有技术 …

保护控制级 访问保护，完整性和对非法操纵防护 专有技术保护，防拷贝保护 IP协议栈加固（网络健壮性 )

办公网络

远程访问

出于防护目的而实行的网络分段 防火墙 VPN- 网关

工厂安全

保护基于计算机的系统 用户管理 / 策略 (例如，密码使用周期 ) 病毒软件 / 白名单软件

办公网络接口 / 用于远程维护 防火墙 代理服务器 入侵检测 / 防护系统 (IDS/IPS)

网络信息安全

系统完整性

Confidential / © Siemens AG 2013. All Rights Reserved.

Page 8

西门子工业信息安全理念五要素 – 覆盖自动化系统所有层级

针对办公网络和因特网、办公网络和企业内部网之间的接口，制定规则并实施监控

通过自动化和驱动组件所集成的各种信息安全功能实现对控制层的保护

基于计算机的系统 (人机接口 , 工程师站和基于计算机的控制器 ) 必须通过部署防病毒软件、白名单和集成的安全机制，实施防护

通信必须可监控，并且通过防火墙实行分段

建设可行的、全方位的工业信息安全管理

Confidential / © Siemens AG 2013. All Rights Reserved.

Page 9

Industrial security – 工业信息安全

工业信息安全概念 保护联网的工厂和设备，防止攻击、 恶意软件、未经授权的访问、恶意篡改等等 利用政策措施和技术手段防止攻击 基于纵深防御理念执行信息安全标准

重要功能 兼容最新版本的病毒扫描 使用本地 Windows 防火墙 调整已有的安全相关参数 利用 Simatic Logon 实施用户管理 集成信息安全模块 应用白名单机制

应用举例 安全单元 非军事区 病毒扫描 防火墙

收益 防护 :

- 未经授权的人员访问- 网络过载 / 崩溃- 窃取密码- 访问内部数据- 覆盖过程自动化- 蓄意破坏

保护知识产权 增加可用性

纵深防御安全架构纵深防御安全架构

时间同步时间同步用户权限和访问权限用户权限和访问权限

病毒扫描和防火墙病毒扫描和防火墙

支持远程访问和远程服务 (VPN, IPSec)

支持远程访问和远程服务 (VPN, IPSec)

Windows 安全补丁管理Windows 安全补丁管理

活动目录和Windows 工作组

活动目录和Windows 工作组

网络，子网 ,IP- 地址 ., 域名解析 .

网络，子网 ,IP- 地址 ., 域名解析 .

网络分段和安全单元网络分段和安全单元

Confidential / © Siemens AG 2013. All Rights Reserved.

Page 10

西门子工业信息安全 – 贯穿自动化系统所有层级

工业信息安全不是单纯的技术层面的问题，而是必须受到管理层重视的持续过程

取决于自动化系统内在的特定风险，必须考虑恰当的组织机构和技术措施，并定期检查

如果要最大程度保障安全，所有相关机构必须紧密合作

西门子工业自动化不仅提供产品和系统，同时还提供信息安全服务，以保证为用户提供完整的工业信息安全解决方案

工业信息安全

Confidential / © Siemens AG 2013. All Rights Reserved.

Page 11

Wang Ai Peng 王爱鹏I IA AS FA CoC

Industrial security marketing manager

aipeng.wang@siemens.com

www.siemens.com.cn/industrial-security

Thanks for your attention!