信息化是一项系统工程，信息化安全也是信息化建设的关键环节。特别是随着汽车企业信息化整合的加强，企业网络应用的范围在不断扩大，企业信息化网络不再是单纯意义上的 Intranet，而更多的则是基于Internet的网络和应用。但网络开放的同时，带来的安全问题就更加严峻了，各种安全问题如病毒、攻击和入侵等已经引起了人们的高度重视。
        影响工业网络安全的因素
        影响工业网络安全的因素很多，譬如：未经授权擅自使用远程维护服务 ；通过办公/企业网络的在线攻击；攻击在ICS网络中的标准组件；(D)DoS 攻击；人为的错误和破坏；通过移动介质和外部硬件引进恶意代码等等。
        如果发生如上的安全漏洞，会发生：
        ■  知识产权或配方被盗；
        ■ 生产厂被破坏；
        ■ 工厂停机例如由于病毒和木马；
        ■ 数据或应用软件被操纵；
        ■ 未经授权的使用系统。
        作为信息化集成度较高的汽车企业，如何避免这些影响工业网络安全的因素，保证企业高效、稳定地运营呢？西门子工业网络安全团队针对汽车行业的特殊性，量身定制了完整的网络安全解决方案。以下分享两个典型的案例供读者参考。
        案例一：汽车喷涂车间的生产控制网络安全保护
        某汽车厂家的喷涂车间生产控制网络，就采用了西门子的工业网络安全解决方案。在改造之前，经常会发生一些由于安全问题导致的网络故障，造成设备停机，影响生产。因此，用户下定决心要解决网络安全问题，通过30个Scalance S612模块，通过NAT（网络地址转换）功能，把整个车间划分成30个区域。S612模块的外网口，接入生产控制主干网，模块的内网口，接入各个PLC和其他终端设备。这样，每个区域都是使用的它们内部IP子网地址，生产控制主干网又是另外一个IP子网CONTROL ENGINEERING China版权所有，网络规划清晰且好管理。

图1 某汽车厂家喷涂车间的网络安全拓扑图

        接着在每个S612模块内，做一些防火墙规则，譬如：允许特定的源地址或者目的地址通过过外网进入内网 ；或是CONTROL ENGINEERING China版权所有，允许特定的源地址或目的地址通过内网进入外网 ；或是CONTROL ENGINEERING China版权所有，允许特定的端口数据通过 ；或是CONTROL ENGINEERING China版权所有，允许特定的协议数据通过 。总之，通过这些灵活的防火墙规则，能满足所有工业生产网络的安全需求。
        这个项目是限定只有特定PC才能访问设备，在根本处杜绝了很多恶意的非授权访问。

图2 Scalance S612 模块不仅能支持1 ：1 的NAT 地址转换控制工程网版权所有，也能支持基于端口的NAPT 网络地址端口转换。

        通过上述网络改造，目前用户的生产控制网得到了前所未有的安全保护，未经网络管理员的授权，任何人持任何设备都无法访问到现场PLC和终端设备。当然，这也需要配合安全管理措施，因此，减少了因为网络安全故障的因素，减少了网络安全事故的发生，也减少了停产时间，从而给客户带来了很多直接利益。
        案例二：通过VPN实现远程访问和维护，同时安全保护每个生产单元
        某汽车设备供应商，在给厂家安装调试完成后，顺利得交付给厂家使用。在最初的方案设计阶段，这家设备供应商充分考虑到了工业网络安全问题，要求每个生产单元之间数据交换都要有安全保护；并且生产控制网络要留有接入Internet访问的接口，允许他们能在公司总部，就实现访问厂家生产控制网络的功能。这样能把维护的成本和时间，降到最低。为自己，也为用户节约了成本，提高了效率。

图3 基于Scalance S 和Scalance M（支持3G 网络）的网络安全访问

        西门子给这家设备供应商提供了如图3的解决方案。在现场生产控制单元侧，每个生产控制单元都配有一台Scalance S安全模块，支持防火墙功能和Router路由功能，以及VPN功能，或是在控制PLC配备具有安全功能的CP卡（见图4）；在工程师站的PC上，安装有SOFTNET Security Client软件，它使得这台PC作为VPN Client工作，可以和Scalance S安全模块之间建立VPN连接；另外，在设备供应商公司总部的PC上也装有SOFTNET Security Client软件，只要这台PC可以访问Internet，它就能穿透公网，和某台Scalance S安全模块建立VPN连接，这样就可以实现远程访问厂家生产控制网络的功能。

图4 集成安全功能的CP343-1 Advanced

        另外，在偏远的地方，由于没有条件宽带接入Internet，也可以放置一台Scalance M（支持GPRS和3G网络），用于把远处的控制单元，接入到中控系统中来，实现数据采集或是远程维护。
        通过上述的工业网络安全解决方案，汽车生产厂家减少了因未授权维护人员误操作，或病毒，或他人恶意访问造成的网络故障，从而减少了停机时间，实现了连续生产，提高了效率和业绩。对于设备供应商来说，这套解决方案不仅解决了本地网络安全问题，也同时实现了远程维护的目的，为他们减少了维护成本和时间，提高了服务的质量。因此，这是一个双赢的解决方案。
        完整的纵深防御体系
        因为西门子一直致力于工业领域，所以，西门子在工业网络安全这方面，是有着得天独厚的优势的。西门子能在工业网络控制层和现场层，提供丰富的，完善的产品和解决方案。
        鉴于前车之鉴，工业网络需要一个纵深的防御保护，不仅仅是在工业网络控制层和现场层，因此，西门子提出了自己的一套完整的纵深防御体系（见图5）。

图5 西门子工业网络安全纵深防御体系

        一般企业局域网和外部Internet网都有一个商业防火墙，例如：思科防火墙产品，这里一般不适用工业级防火墙。而在第二道防线，都有工业级要求的防火墙设备，来保证了企业生产网络的安全。第三道防线是通过在PC上安装安全防护产品，来抵制病毒扫描，以及做一些安全部署。在第四、第五道防线，是西门子工业以太网安全产品的用武之地，这些产品贴合了工业控制系统的特点，做到更好得兼容工业协议，从而满足了企业生产控制网络的安全保护。这里特别提一下，在第四、第五道防线可以用Scalance S模块来保护控制单元，可以使用CP 343-1 Advanced（适用于S7-300 PLC） 或者CP 443-1 Advanced（适用于S7-400 PLC） 或者CP 1543-1 （适用于S7-1500 PLC）来保护现场PLC控制器。
        对于企业生产控制网络来说，又可划分为操作层、控制层、设备层。在这三层网络构架里，西门子工业网络安全产品又可满足不同的需要。
        在操作层，通过Scalance S623安全模块，实现了操作层网络和外部网络的保护，同时也能实现特定的PC才能访问控制层网络。在控制层，通过Scalance S模块可以给S7-200/1200等产品保护控制工程网版权所有，通过CP 343-1 Advanced或CP 443-1 Advanced或CP 1543-1模块可以给S7-300/400/1500等产品保护，通过CP1628模块可以保护操作站PC。这些模块都具有Firewall和VPN功能。
        此外，还可以通过西门子的Scalance M模块（支持3G 网络）,提供远程访问，它可以和Scalance S安全模块之间建立跨公网的VPN连接。这样系统维护人员在异地也可以轻松访问控制网络，从而维护系统。
        居安思危 防范未然
        近几年，因网络病毒引起的工业事件层出不穷，工业网络安全问题已经日益严峻CONTROL ENGINEERING China版权所有，针对目前我国工业控制系统信息安全面临的严峻形势，2011年10 月27日，工信部下发《关于加强工业控制系统信息安全管理的通知》，强调了加强工业控制系统信息安全管理的重要性和紧迫性，并明确了重点领域如：石油石化、电力、钢铁、化工等行业工业控制系统信息安全管理要求。维护网络安全，确保生产系统的稳定可靠、防止来自内部或外部攻击，采取高安全性的防护措施都是信息系统安全不可忽视的组成部分。西门子工业网络安全体系能提供从第二道到第五道的防御，给用户的工业网络保驾护航。