今日頭條
官方微信
官方抖音
資訊頻道自動化領域的不斷發展給公司帶來了新的安全挑戰。現如今,沒有工業安防就無法保證安全。安防既要包括對機器設備的直接接觸,也要涵蓋通過網絡對控制器和流程進行數字訪問。
安全要求機械設備的殘留風險不得超過可接受的值,這不僅包括設備周圍的危險,也包括設備內部的危險。工業安防涉及保護機械設備免受外部的未經授權的訪問以及保護敏感數據不受損壞、丟失和內部未經授權的訪問。這當中包括明確的攻擊以及意外的安防事件。
長期以來,安防在傳統的IT中扮演著核心的角色,這也是為什么會有一系列的標準,如“ISO/IEC 27000信息技術—安防技術—信息安防管理系統— 概述及詞匯表(ISO/IEC 27000:2016);德語版EN ISO/IEC 27000:2017”。然而,將需求轉化到自動化的過程并沒有那么簡單。因為這當中最重要的因素是數據的可用性,它是保持平穩的生產過程的關鍵要求。另外,在IT方面,數據的保密性是第一要義。
各種組織都在制定適當的標準,以實現自動化的有效安全解決方案。然而,這些標準描述的是某些特定的方面,如安全和安防的區別,更為重要的是,他們既不是其草案也不是官方的標準,而僅僅是技術參考。
與之相對應的是,IEC 62443“工業通訊網絡—網絡和系統安防”則是一個國際性的系列標準,全面處理自動化中的IT安防問題,涉及范圍從系統集成到設備操作到安全產品研發(設計的安全)。因此,IEC 62443目前為設備的操作人員和制造商提供有效實施安全性的最佳指導。
聯邦信息安全局(BSI)出版的“ICS安全概要”特別針對工業控制系統的操作人員。對基本原則以及特殊要求和相關標準進行了說明,并且引入了適當的措施,闡述了措施的具體事實方法。
IEC 62443和“ICS安全概要”更適合專家使用,而VDI指南VDI/vde2182對相關主題進行了相對簡單的介紹。鑒于工業安防的復雜性,只要不是在實施階段,建議最好能夠讓外部的專家的參與進來。
安全和安防作為一個整體,但是在邏輯上又分開獨立,是最高效的解決方案。這種解決方案是怎樣的呢?
機器訪問理念
將安全建立在人與機器嚴格分離的時代已經一去不復返了,生產流程變得越來越動態,而且隨著生產效率要求的提高,對生產流程的受控訪問的需求也在不斷增加,逐漸改變中流程中的安全技術。接近設備或流程的訪問點是非常重要的,必須對其進行保護,防止未經授權的打開(故意的或是無意的),并且必須確保機器啟動時,沒有人在危險區域內。這些經典的安全任務往往是基于各種傳感器技術來完成的,從光幕到安全門系統。
現在,必須能夠在不中斷整個生產流程的前提下,在設備的指定檢測區域內工作。誰能夠在哪臺機器上做什么以及什么時候可以做?只有能夠回答這些問題的人,才能夠創造更高的生產效率。
操作模式選擇和訪問授權系統PITmode將安全和安防功能結合在一個系統中。這些設備既能夠進行功能安全的模式選擇也可以對機械設備進行訪問權限的控制。如果機械設備在需要的時候,要在不同的控制序列和操作模式之間進行切換,則可以選擇PITmode。采用了RFID的編碼發射器鑰匙,可以對每個員工分配與其能力相匹配的機器啟動權限。安全評估單元檢測指定的操作模式,如自動模式、在有限條件下的手動干預模式或服務模式等,對它們進行評估并提供功能安全切換。因此,防止了錯誤的使用和操縱,保護了人和機器。
系統解決方案包括可配置的小型控制器PNOZmulti 2和PITmode,可實現全面的訪問控制和功能安全的操作模式選擇。這種擴展系統的解決方案涵蓋了從機器的某個子功能的啟用和驗證到復雜的分層權限矩陣所有可能性。因此能夠提供對訪問權限的用戶友好的配置,高度防操縱保護。進一步簡化了防操作的管理,用戶也可以從更少的停機時間中獲益。
為接近機器的點增加安全的傳感器技術,用戶將獲得一個靈活的安全理念 — 不僅僅是從安全的角度:也考慮了安防的層面,如用戶驗證、資格確認和訪問保護等。
如果機器和工業流程智能聯網,那么這些網絡會變得脆弱,這也是未來機器需要更大保護的地方:皮爾磁的應用防火墻安全網橋SecurityBridge能夠保護控制器如可配置的安全小型控制器PNOZmulti和自動化系統PSS4000,不受到來自基于網絡的攻擊和未經授權的訪問。
SecurityBridge工業安全網橋可以連接到控制器基礎單元的上游,充當一個VPN服務器,用來創建一個連接一個或多個客戶端PC的虛擬專用網絡。這樣,PC和設備之間的連接時安全的。只有具有相關權限的用戶才能對項目配置進行更改,從而防止未經授權訪問受保護的網絡。客戶端PC和SecurityBridge之間的數據傳輸也就不會被竊聽和操縱。
與一般的防火墻不同,它們不需要進行復雜的配置:基于具體應用的默認設置,即插即用的原則讓調試更加容易。SecurityBridge還可以控制流程數據的流量并且監控安全系統的完整性。校驗和的更改提供了有關應用程序項目的任何更改的信息。皮爾磁在研發SecurityBridge的時候,還參考了符合TUV IEC 62443-4-1的認證過程中的安全。
從一開始就考慮到了威脅的場景以及協議或者加密方法的優缺點等方面。對于安防來說,重要的不僅僅是必要的技術,還需要有對威脅的意識。無論是對計算機還是機器設備,人始終扮演著關鍵的角色。一個不安全的端口或魯莽地打開危險地電子郵件就足以讓惡意軟件訪問公司網絡。
如果未經授權地人員可以通過IT系統訪問機器設備,那么最好的門保護或訪問控制都是毫無意義的。需要一個整體的安全理念,即考慮機械安全,也考慮工業安防。如果出現了安防漏洞,可能出現的場景就是質量不合格或機器的意外停機。因此,對于機械設備的保護,更加重要的是:只有經過授權的人員才能夠進入工廠或設備區域,并防止外部攻擊對控制系統進行操縱。
可持續的自動化解決方案必須從一開始就考慮安全問題。安全不應該僅僅理解為硬件,而應是一種功能,遠遠超過了純技術方面的考量。
北京市公安局海淀分局備案號:11010802023656號