IT技術的發展改變著各行各業，自動化也不例外，生產設備的聯網程度和使用以太網等標準協議進行數據物理傳輸的幾率大大增加
，OPC UA 之類的標準化協議允許通過IT係統訪問控製器，使得數據通信變得更加開放。

在自動化領域，“安全防護”一詞主要指的是保護設備或機器免受外部未經授權的訪問，以及保護敏感數據免受內部損壞
、丟失和未經授權的訪問。它從工廠大門的訪問控製開始，一直延伸到針對黑客攻擊的防禦措施。德國IT安全專家Ralph Langner認為
，造成破壞的並不總是“壞人”。許多安全違規發生在無意之中

，例如同事和員工操作錯誤等。

工業信息安全vs IT信息安全

工業信息安全和IT信息安全的目標都是要保護網絡的保密性
、完整性和可用性。隻是各個目標的優先級會有所不同。

IT信息安全實現目標優先級

1. 保密性
2. 完整性
3. 可用性

IT信息安全，為了保護用戶信息安全
，防止信息盜取事件的發生，故將保密性放在首位，可用性排在最後。

工業信息安全實現目標優先級

1. 可用性
2. 完整性
3. 保密性

工業信息安全實現目標優先級的順序則正好相反。首要考慮的是所有部件的可用性，完整性排在第二位
，保密性通常是最後考慮。

因(yin)為(wei)工(gong)業(ye)數(shu)據(ju)都(dou)是(shi)原(yuan)始(shi)格(ge)式(shi)，需(xu)要(yao)有(you)關(guan)使(shi)用(yong)環(huan)境(jing)進(jin)行(xing)分(fen)析(xi)才(cai)能(neng)獲(huo)取(qu)其(qi)價(jia)值(zhi)。而(er)係(xi)統(tong)的(de)可(ke)用(yong)性(xing)則(ze)直(zhi)接(jie)影(ying)響(xiang)到(dao)企(qi)業(ye)生(sheng)產(chan)，生(sheng)產(chan)線(xian)停(ting)機(ji)或(huo)者(zhe)誤(wu)動(dong)作(zuo)都(dou)可(ke)能(neng)導(dao)致(zhi)巨(ju)大(da)的(de)經(jing)濟(ji)損(sun)失(shi)
，甚(shen)至(zhi)人(ren)員(yuan)生(sheng)命(ming)危(wei)險(xian)。即(ji)使(shi)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)的(de)保(bao)護(hu)被(bei)突(tu)破(po)後(hou)，仍(reng)必(bi)須(xu)保(bao)證(zheng)生(sheng)產(chan)過(guo)程(cheng)的(de)安(an)全(quan)，盡(jin)可(ke)能(neng)降(jiang)低(di)對(dui)人(ren)員(yuan)、環境和資產的損失。

實時性是工業信息安全和IT信息安全的另一大區別。IT網絡係統能夠接受任務在1秒或數秒內完成，而工業控製係統的要求響應時間大多在毫秒級別。

此外
，工業信息安全還要必須保證持續的可操作性及穩定的係統訪問、係統性能。

因此傳統的信息安全技術不能簡單的應用到工業自動化領域。

IEC 62443——工業信息安全方麵的國際標準

IEC62443《工業通信網絡-網絡和係統安全》作為一個國際標準，全麵涵蓋了自動化領域的信息安全問題
，為工廠運營商和設備製造商有效實施安全防護提供了方向性指導。

IEC62443標準分為四個部分
，12個文檔：

• 第一部分描述了信息安全的通用方麵
  ，如術語、概念、模型
  、縮略語、符合性度量。
• 第二部分主要針對用戶的信息安全程序，主要包括整改信息安全係統的管理、人員和程序設計方麵
  ，是用戶建立其信息安全程序時需要考慮的。

• disanbufenzhuyaozhenduixitongjichengshangbaohuxitongsuoxudejishuxingxinxianquanyaoqiu。tazhuyaoshixitongjichengshangzaibaxitongzuzhuangdaoyiqishixuyaochulideneirong。baokuojiangzhengtigongyezidonghuakongzhixitongshejifenpeidaogegequyuhetongdaodefangfa
  ，yijixinxianquanbaozhangdengjidedingyiheyaoqiu。
• 第四部分主要針對製造商提供的單個部件的技術性信息安全要求。包括係統的硬件
  、軟件和信息部分，以及當開發或獲取這些類型的部件時需要考慮的特定技術性信息安全要求。

在工業自動化領域，“安全”一yi詞ci指zhi的de是shi設she備bei的de功gong能neng安an全quan

，意yi思si是shi保bao護hu人ren員yuan和he環huan境jing不bu受shou來lai自zi機ji器qi的de可ke預yu見jian威wei脅xie的de傷shang害hai，剩sheng餘yu風feng險xian或huo多duo或huo少shao總zong是shi存cun在zai的de，隻zhi是shi剩sheng餘yu風feng險xian不bu能neng超chao過guo可ke接jie受shou的de水shui平ping。通tong過guo使shi用yong安an全quan繼ji電dian器qi和he安an全quan開kai關guan等deng部bu件jian，以yi確que保bao機ji器qi處chu於yu安an全quan的de狀zhuang態tai，即ji使shi出chu現xian出chu問wen題ti時shi
，也ye不bu會hui對dui人ren

、機器和環境造成危害。

工業信息安全的威脅來源

隨著IT技術的融入
，設備還麵臨著來自網絡世界的威脅，工業信息安全的威脅來源主要來自以下三個方麵：

1
、外部攻擊

• 惡意網絡攻擊
• 工業間諜活動
• 勒索病毒

2

、內部攻擊

• 通過U盤等植入惡意軟件
• 通過騙取員工信任等方式，將其作為自願的工具

3、無意的違規

• 設備配置錯誤或者操作失誤

安全策略的實施

在安全防護策略方麵
，硬件相關的主要有如下幾類措施：

1. 防火牆

實shi施shi安an全quan策ce略lve的de一yi種zhong措cuo施shi是shi通tong過guo專zhuan用yong設she備bei對dui網wang絡luo進jin行xing保bao護hu。盡jin管guan路lu由you器qi和he交jiao換huan機ji可ke以yi支zhi持chi安an全quan機ji製zhi，但dan防fang火huo牆qiang仍reng然ran扮ban演yan著zhe重zhong要yao的de角jiao色se。這zhe裏li涉she及ji的de是shi軟ruan件jian解jie決jue方fang案an或huo設she備bei（硬件和軟件的組合），它們基於單獨定義的規則監視整個數據流量並具有深度包檢查或入侵檢測等功能。防火牆的配置通常比較複雜，需要具備豐富的IT 知識


，而這恰恰是生產部門所欠缺的。

2. 區域和通道

按“區域和通道”duiwangluojinxinghuafen，birujiangguanliwangluoheshengchanwangluofenkai。ruguoxuyao，wangluoyekeyibeifenduanweidangedezhizaodanyuan
，shouxianjiangjuyouxiangtonganquanyaoqiudeshebeihuarutongyiquyu，ranhoushiyongfanghuoqianghuoanquanluyouqijiangzhexiequyuxianghugeli
，zheyangjiukeyiquebaozhiyouhuodexiangyingshouquandeshebeicainengtongguoquyuzhijiandexianlu（通道）發送和接收信息。

3. 深度防禦

該(gai)原(yuan)則(ze)的(de)基(ji)礎(chu)是(shi)總(zong)是(shi)在(zai)入(ru)侵(qin)者(zhe)的(de)路(lu)徑(jing)上(shang)設(she)置(zhi)新(xin)的(de)和(he)不(bu)同(tong)的(de)障(zhang)礙(ai)。網(wang)絡(luo)的(de)區(qu)域(yu)和(he)通(tong)道(dao)相(xiang)當(dang)於(yu)城(cheng)堡(bao)的(de)大(da)門(men)
，由(you)防(fang)火(huo)牆(qiang)和(he)安(an)全(quan)路(lu)由(you)器(qi)等(deng)不(bu)同(tong)安(an)全(quan)機(ji)製(zhi)的(de)安(an)全(quan)設(she)備(bei)作(zuo)為(wei)城(cheng)牆(qiang)和(he)其(qi)他(ta)障(zhang)礙(ai)
，組(zu)成(cheng)多(duo)層(ceng)次(ci)的(de)深(shen)度(du)防(fang)禦(yu)“工事”。

4. 補丁管理

及時更新及打補丁可有效降低係統遭受最新的網絡威脅的風險。此外
，不僅要考慮製造商發布的補丁和更新，還要考慮第三方軟件（如Office應用程序
、PDF閱讀器）。

　　Pilz的工業信息安全解決方案

　　皮爾磁對工業信息安全領域也非常關注
，推出了一係列的產品

，如操作模式選擇和訪問授權係統PITmode fusion
、模塊化安全門係統、PNOZmulti 2小型控製器、防fang火huo牆qiang工gong業ye安an全quan網wang橋qiao等deng，可ke以yi根gen據ju用yong戶hu的de實shi際ji需xu求qiu，提ti供gong全quan麵mian的de安an全quan解jie決jue方fang案an，即ji包bao括kuo機ji械xie安an全quan需xu求qiu
，又you涵han蓋gai信xin息xi數shu據ju安an全quan需xu求qiu，同tong時shi還hai可ke以yi為wei員yuan工gong根gen據ju不bu同tong的de角jiao色se定ding義yi不bu一yi樣yang的de權quan限xian。確que保bao員yuan工gong不bu會hui受shou到dao機ji器qi可ke能neng帶dai來lai的de危wei險xian傷shang害hai
，機ji器qi也ye不bu會hui受shou到dao操cao作zuo人ren員yuan失shi誤wu（無心之過）和操縱（有意為之）的影響。

• PITmode fusion可以幫助您保護設備和機器免受未經授權的訪問，並防止因不當使用造成設備損壞。除了使用PITreader控製訪問權限
  ，您還可以使用PITmode fusion選擇功能安全的操作模式。將安全和防護功能統一在單一係統中。
• 如果外部攻擊者能夠侵入您的控製網絡並操縱控製係統
  ，那麼即使您的設備和機器采用最安全的訪問控製也將無濟於事。SecurityBridge是Pilz開發的一種行業標準防火牆
  ，即插即用的設計，通過特定於應用的預設置輕鬆投入使用
  ，保護控製器數據不被篡改。它監控PC機(ji)和(he)控(kong)製(zhi)器(qi)之(zhi)間(jian)的(de)數(shu)據(ju)流(liu)量(liang)，並(bing)報(bao)告(gao)未(wei)經(jing)授(shou)權(quan)的(de)控(kong)製(zhi)項(xiang)目(mu)更(geng)改(gai)。通(tong)過(guo)這(zhe)種(zhong)方(fang)式(shi)，保(bao)護(hu)下(xia)遊(you)控(kong)製(zhi)器(qi)免(mian)受(shou)基(ji)於(yu)網(wang)絡(luo)的(de)攻(gong)擊(ji)和(he)未(wei)經(jing)授(shou)權(quan)的(de)訪(fang)問(wen)。