IT技術的發展改變著各行各業，自動化也不例外
，生產設備的聯網程度和使用以太網等標準協議進行數據物理傳輸的幾率大大增加，OPC UA 之類的標準化協議允許通過IT係統訪問控製器
，使得數據通信變得更加開放。

在自動化領域
，“安全防護”一詞主要指的是保護設備或機器免受外部未經授權的訪問，以及保護敏感數據免受內部損壞、丟失和未經授權的訪問。它從工廠大門的訪問控製開始，一直延伸到針對黑客攻擊的防禦措施。德國IT安全專家Ralph Langner認為，造成破壞的並不總是“壞人”。許多安全違規發生在無意之中
，例如同事和員工操作錯誤等。

工業信息安全vs IT信息安全

工業信息安全和IT信息安全的目標都是要保護網絡的保密性、完整性和可用性。隻是各個目標的優先級會有所不同。

IT信息安全實現目標優先級

1. 保密性
2. 完整性
3. 可用性

IT信息安全，為了保護用戶信息安全，防止信息盜取事件的發生
，故將保密性放在首位，可用性排在最後。

工業信息安全實現目標優先級

1. 可用性
2. 完整性
3. 保密性

工業信息安全實現目標優先級的順序則正好相反。首要考慮的是所有部件的可用性，完整性排在第二位，保密性通常是最後考慮。

因(yin)為(wei)工(gong)業(ye)數(shu)據(ju)都(dou)是(shi)原(yuan)始(shi)格(ge)式(shi)，需(xu)要(yao)有(you)關(guan)使(shi)用(yong)環(huan)境(jing)進(jin)行(xing)分(fen)析(xi)才(cai)能(neng)獲(huo)取(qu)其(qi)價(jia)值(zhi)。而(er)係(xi)統(tong)的(de)可(ke)用(yong)性(xing)則(ze)直(zhi)接(jie)影(ying)響(xiang)到(dao)企(qi)業(ye)生(sheng)產(chan)，生(sheng)產(chan)線(xian)停(ting)機(ji)或(huo)者(zhe)誤(wu)動(dong)作(zuo)都(dou)可(ke)能(neng)導(dao)致(zhi)巨(ju)大(da)的(de)經(jing)濟(ji)損(sun)失(shi)
，甚(shen)至(zhi)人(ren)員(yuan)生(sheng)命(ming)危(wei)險(xian)。即(ji)使(shi)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)的(de)保(bao)護(hu)被(bei)突(tu)破(po)後(hou)，仍(reng)必(bi)須(xu)保(bao)證(zheng)生(sheng)產(chan)過(guo)程(cheng)的(de)安(an)全(quan)
，盡(jin)可(ke)能(neng)降(jiang)低(di)對(dui)人(ren)員(yuan)、環境和資產的損失。

實時性是工業信息安全和IT信息安全的另一大區別。IT網絡係統能夠接受任務在1秒或數秒內完成，而工業控製係統的要求響應時間大多在毫秒級別。

此外，工業信息安全還要必須保證持續的可操作性及穩定的係統訪問
、係統性能。

因此傳統的信息安全技術不能簡單的應用到工業自動化領域。

IEC 62443——工業信息安全方麵的國際標準

IEC62443《工業通信網絡-網絡和係統安全》作為一個國際標準
，全麵涵蓋了自動化領域的信息安全問題
，為工廠運營商和設備製造商有效實施安全防護提供了方向性指導。

IEC62443標準分為四個部分，12個文檔：

• 第一部分描述了信息安全的通用方麵，如術語、概念、模型、縮略語
  、符合性度量。
• 第二部分主要針對用戶的信息安全程序
  ，主要包括整改信息安全係統的管理、人員和程序設計方麵，是用戶建立其信息安全程序時需要考慮的。

• 第di三san部bu分fen主zhu要yao針zhen對dui係xi統tong集ji成cheng商shang保bao護hu係xi統tong所suo需xu的de技ji術shu性xing信xin息xi安an全quan要yao求qiu。它ta主zhu要yao是shi係xi統tong集ji成cheng商shang在zai把ba係xi統tong組zu裝zhuang到dao一yi起qi時shi需xu要yao處chu理li的de內nei容rong。包bao括kuo將jiang整zheng體ti工gong業ye自zi動dong化hua控kong製zhi係xi統tong設she計ji分fen配pei到dao各ge個ge區qu域yu和he通tong道dao的de方fang法fa，以yi及ji信xin息xi安an全quan保bao障zhang等deng級ji的de定ding義yi和he要yao求qiu。
• 第四部分主要針對製造商提供的單個部件的技術性信息安全要求。包括係統的硬件
  、軟件和信息部分，以及當開發或獲取這些類型的部件時需要考慮的特定技術性信息安全要求。

在工業自動化領域，“安全”yicizhideshishebeidegongnenganquan，yisishibaohurenyuanhehuanjingbushoulaizijiqidekeyujianweixiedeshanghai，shengyufengxianhuoduohuoshaozongshicunzaide
，zhishishengyufengxianbunengchaoguokejieshoudeshuiping。tongguoshiyonganquanjidianqiheanquankaiguandengbujian
，yiquebaojiqichuyuanquandezhuangtai，jishichuxianchuwentishi，yebuhuiduiren

、機器和環境造成危害。

工業信息安全的威脅來源

隨著IT技術的融入，設備還麵臨著來自網絡世界的威脅
，工業信息安全的威脅來源主要來自以下三個方麵：

1、外部攻擊

• 惡意網絡攻擊
• 工業間諜活動
• 勒索病毒

2、內部攻擊

• 通過U盤等植入惡意軟件
• 通過騙取員工信任等方式，將其作為自願的工具

3、無意的違規

• 設備配置錯誤或者操作失誤

安全策略的實施

在安全防護策略方麵，硬件相關的主要有如下幾類措施：

1. 防火牆

實(shi)施(shi)安(an)全(quan)策(ce)略(lve)的(de)一(yi)種(zhong)措(cuo)施(shi)是(shi)通(tong)過(guo)專(zhuan)用(yong)設(she)備(bei)對(dui)網(wang)絡(luo)進(jin)行(xing)保(bao)護(hu)。盡(jin)管(guan)路(lu)由(you)器(qi)和(he)交(jiao)換(huan)機(ji)可(ke)以(yi)支(zhi)持(chi)安(an)全(quan)機(ji)製(zhi)

，但(dan)防(fang)火(huo)牆(qiang)仍(reng)然(ran)扮(ban)演(yan)著(zhe)重(zhong)要(yao)的(de)角(jiao)色(se)。這(zhe)裏(li)涉(she)及(ji)的(de)是(shi)軟(ruan)件(jian)解(jie)決(jue)方(fang)案(an)或(huo)設(she)備(bei)（硬件和軟件的組合）
，它們基於單獨定義的規則監視整個數據流量並具有深度包檢查或入侵檢測等功能。防火牆的配置通常比較複雜，需要具備豐富的IT 知識
，而這恰恰是生產部門所欠缺的。

2. 區域和通道

按“區域和通道”對dui網wang絡luo進jin行xing劃hua分fen，比bi如ru將jiang管guan理li網wang絡luo和he生sheng產chan網wang絡luo分fen開kai。如ru果guo需xu要yao，網wang絡luo也ye可ke以yi被bei分fen段duan為wei單dan個ge的de製zhi造zao單dan元yuan，首shou先xian將jiang具ju有you相xiang同tong安an全quan要yao求qiu的de設she備bei劃hua入ru同tong一yi區qu域yu

，然ran後hou使shi用yong防fang火huo牆qiang或huo安an全quan路lu由you器qi將jiang這zhe些xie區qu域yu相xiang互hu隔ge離li
，這zhe樣yang就jiu可ke以yi確que保bao隻zhi有you獲huo得de相xiang應ying授shou權quan的de設she備bei才cai能neng通tong過guo區qu域yu之zhi間jian的de線xian路lu（通道）發送和接收信息。

3. 深度防禦

該gai原yuan則ze的de基ji礎chu是shi總zong是shi在zai入ru侵qin者zhe的de路lu徑jing上shang設she置zhi新xin的de和he不bu同tong的de障zhang礙ai。網wang絡luo的de區qu域yu和he通tong道dao相xiang當dang於yu城cheng堡bao的de大da門men
，由you防fang火huo牆qiang和he安an全quan路lu由you器qi等deng不bu同tong安an全quan機ji製zhi的de安an全quan設she備bei作zuo為wei城cheng牆qiang和he其qi他ta障zhang礙ai
，組zu成cheng多duo層ceng次ci的de深shen度du防fang禦yu“工事”。

4. 補丁管理

及時更新及打補丁可有效降低係統遭受最新的網絡威脅的風險。此外，不僅要考慮製造商發布的補丁和更新，還要考慮第三方軟件（如Office應用程序、PDF閱讀器）。

　　Pilz的工業信息安全解決方案

　　皮爾磁對工業信息安全領域也非常關注，推出了一係列的產品
，如操作模式選擇和訪問授權係統PITmode fusion
、模塊化安全門係統、PNOZmulti 2小型控製器
、防(fang)火(huo)牆(qiang)工(gong)業(ye)安(an)全(quan)網(wang)橋(qiao)等(deng)，可(ke)以(yi)根(gen)據(ju)用(yong)戶(hu)的(de)實(shi)際(ji)需(xu)求(qiu)，提(ti)供(gong)全(quan)麵(mian)的(de)安(an)全(quan)解(jie)決(jue)方(fang)案(an)，即(ji)包(bao)括(kuo)機(ji)械(xie)安(an)全(quan)需(xu)求(qiu)，又(you)涵(han)蓋(gai)信(xin)息(xi)數(shu)據(ju)安(an)全(quan)需(xu)求(qiu)，同(tong)時(shi)還(hai)可(ke)以(yi)為(wei)員(yuan)工(gong)根(gen)據(ju)不(bu)同(tong)的(de)角(jiao)色(se)定(ding)義(yi)不(bu)一(yi)樣(yang)的(de)權(quan)限(xian)。確(que)保(bao)員(yuan)工(gong)不(bu)會(hui)受(shou)到(dao)機(ji)器(qi)可(ke)能(neng)帶(dai)來(lai)的(de)危(wei)險(xian)傷(shang)害(hai)
，機(ji)器(qi)也(ye)不(bu)會(hui)受(shou)到(dao)操(cao)作(zuo)人(ren)員(yuan)失(shi)誤(wu)（無心之過）和操縱（有意為之）的影響。

• PITmode fusion可以幫助您保護設備和機器免受未經授權的訪問，並防止因不當使用造成設備損壞。除了使用PITreader控製訪問權限
  ，您還可以使用PITmode fusion選擇功能安全的操作模式。將安全和防護功能統一在單一係統中。
• 如果外部攻擊者能夠侵入您的控製網絡並操縱控製係統，那麼即使您的設備和機器采用最安全的訪問控製也將無濟於事。SecurityBridge是Pilz開發的一種行業標準防火牆，即插即用的設計
  ，通過特定於應用的預設置輕鬆投入使用，保護控製器數據不被篡改。它監控PC機ji和he控kong製zhi器qi之zhi間jian的de數shu據ju流liu量liang，並bing報bao告gao未wei經jing授shou權quan的de控kong製zhi項xiang目mu更geng改gai。通tong過guo這zhe種zhong方fang式shi，保bao護hu下xia遊you控kong製zhi器qi免mian受shou基ji於yu網wang絡luo的de攻gong擊ji和he未wei經jing授shou權quan的de訪fang問wen。