西门子通信交换机

通过 Security Integrated 组件实现安全通信、网络访问保护和网络分段

全方位保护

在数字化快速发展的推动下，工业通信中出现了具有深远影响的趋势和变化。由于对以前独立运行的机器设备的联网不断增加、云技术的采用或直至现场级日益采用基于以太网的协议，相关安全问题变得越来越明显。这是因为，生产系统的开放式通信以及不断加强的联网不仅提供巨大的机会，也带来遭受网络攻击的重大风险。为了针对攻击为工厂提供全面工业安全保护，必须采取适当措施。在这种情况下，必须保护生产免受破坏或间谍活动，而不会对可用性产生不利影响。西门子可帮助您实现这一目标，使您对一般威胁有一个基本了解，并有针对性地实施保护措施，使其成为一体化工业信息安全方案的一部分。

此威胁清单是BSI（德国联邦信息安全办公室）与工业界代表的紧密合作之下制定的。

BSI（德国联邦信息安全办公室）定期发布有关网络安全的新主题文档。读者可以将自己的建议和相关信息发送至info@cyber-allianz.de

西门子工业安全 – 对工厂实施连续保护

只有基于一种整体和连续的方法，才能成功建立和保持可靠和一体化的工业信息安全解决方案。这意味着，必须能够根据不断变化的威胁来调整整体解决方案，并且需要考虑工厂运营者、系统集成商、服务提供商和产品供应商之间的相互作用。一般而言，从生产中所使用的所有部件的开发阶段开始，就必须考虑网络安全问题。为了朝着安全数字化环境的方向再向前迈进一步，西门子率先成为基于 IEC 62443-4-1 标准进行 TÜV SÜD（德国技术监督协会/南方）认证的公司，以便实现开发西门子自动化与驱动产品的跨学科过程；同时，西门子也是“信任宪章”的发起者。以 10 个主要原则为基础，“信任宪章”的成员为自己设定了三个目标：保护个人和公司的数据资料，防止对人员、公司和基础设施造成伤害，创造一个建立信任并能够在一个连接在一起的数字化世界中成长的可靠基础。

详细了解关键原则和我们的合作伙伴：

但是，尽管我们做出大努力，也不会有安全这种事情。为了保持尽可能低的残余风险，除全面的安全产品产品线外，我们还基于深入的建议、合作伙伴关系以及安全措施的不断进一步开发，建立了一种保护方案。

”深度防御“- 全面深入的保护

通过深度防御，西门子提供了一种多层安全方案，可为工厂实施全面而深入的保护。该方案基于工厂和网络安全要素以及系统完整性，符合有关工业自动化领域信息安全的主导标准 IEC 62443 中提出的建议。传统工厂保护主要是对整个工厂采取物理保护，而网络安全和系统完整性保护则将重点放在网络或终端设备自身上面，使它们免遭网络攻击、未授权的访问或疏忽操作。通过使用零信任原则扩展“纵深防御”概念，可以从办公室或旅途中的工作场所，安全访问生产网络中的运营技术 (OT) 系统和应用程序。

SCALANCE XC106-2，非管理型E交换机，6个10/100 Mbit/s R/45端口，2个100 Mbit/s多模式BFOC，LED诊断，错误信号触点含设置按钮，冗余电源手册可供下载

6GK5106-2BD00-2AC2

SCALANCE XC106-2，非管理型IE交换机，6个10/100 Mbit/s R45端口，2个100 Mbit/s 多模式SC，LED诊断，错误信号触点含设置按钮，冗余电源手册可供下载

6GK5108-OBAOO-2AC2

SCALANCE XC108，非管理型IE交换机，8个10/100 Mbit/s RJ45端口，LED诊断，错误信号触点含设置按钮，冗余电源手册可供下载6GK5116-0BAOO-2AC2

SCALANCE XC116，非管理型正E交换机，16个10/100 Mbit/s RJ45端口，LED诊断，错误信号触点含设置按钮，冗余电源手册可供下载6GK5124-OBAO0-2AC2

SCALANCE XC124，非管理型IE交换机，24个10/100 Mbit/s R45端口，LED诊断，错误信号触点含设置按钮，冗余电源手册可供下载功能

借助于端口中集成的自动交叉功能，可使用非交叉电缆通过集成的交换机功能，断开网络负载

网络拓扑结构和网络组态

SCALANCE X0O5一般可以与所连接的节点一起安装在控制柜中。适用于小型电气星形和总线形拓扑结构。网络拓扑和网络配置易于实现;SCALANCE X005级联没有限制。

网络安全是西门子工业安全方案的中心内容

成功因素：网络安全性

简言之，网络安全意味着为自动化网络提供保护，防止人员未经授权对其进行访问。其中包括监控所有接口（如办公室与工厂网络之间的接口）以及通过 Internet 进行的远程维护访问，这种监控可借助于防火墙以及（如果适用）通过建立受保护的安全“隔离区”(DMZ) 来实现。DMZ 用于将数据提供给其它网络，而不是让其它网络直接访问自动化网络本身。通过将工厂网络额外分隔为受保护的具体自动化单元，可大限度降低风险，如针对恶意软件的水平传播提供保护，从而也有助于提高安全性。根据具体通信和保护要求，将网络划分为多个单元并分配相关设备。各单元之间的数据传输可用虚拟专用网 (VPN) 进行加密，从而针对窃取和恶意破坏提供保护，通信伙伴事先安全通过认证。

单元保护概念可以根据需要实施，并使用西门子的“集成安全功能”网络组件进行通信保护，例如工业安全设备 SCALANCE S、用于有线和无线网络 (4G/5G) 的 SCALANCE M 工业路由器和 SIMATIC 安全通信处理器。
通过将单元保护概念和 IT 领域的零信任原则相结合，可以实现端到端 OT-IT 安全概念的特定应用远程访问。根据“小权限访问”，零信任仅允许明确识别和授权的用户进行特定应用程序的访问。为了集成零信任原则，Zscaler 公司安全解决方案 Zscaler Private Access 可在本地处理平台 SCALANCE LPE 上使用。结合现有的 OT 安全机制（例如小区保护防火墙），可以实现细粒度访问解决方案。此外，还提供有可满足各种安全要求的软件产品。SINEMA Remote Connect 是一种远程网络管理平台，可以用来对广泛分布的各种机器设备和工厂进行保护式的、简便的远程访问。使用 SINEC NMS 网络管理系统，可以对多达数万个站点的网络进行全天候的集中监控、管理和组态。它还可以根据标准 IEC 62443 实现高效的安全管理。例如，通过用户角色管理可以**控制每个授权用户对系统的访问和可用功能的范围。SINEC INS（基础设施网络服务）是一种中央网络服务软件工具，以直观、简便的方式提供通用网络服务。该工具包括与安全相关的服务器，例如用于网络中用户和设备身份验证（MAC 身份验证）的 RADIUS 服务器，例如检查谁可以访问哪些设备。

初步风险评估和互联网信息

您是否想了解工厂的安全程度如何？或者，您的系统可采用哪些进一步安全措施？我们可为您提供有关您的领域内存在的特殊安全需求的详细信息。请利用这一机会，就任何未解决的问题与我们的咨询团队联系。我们的专家将欣然为您制定出一个满足您的工厂或过程基础设施需要的安全方案。您可以下载有关西门子保护概念的附加信息以及特定指南，其中包含许多建议，以保护您的生产工厂免受我们的 web 页面影响：