IT技術的發展改變著各行各業
，自動化也不例外，生產設備的聯網程度和使用以太網等標準協議進行數據物理傳輸的幾率大大增加，OPC UA 之類的標準化協議允許通過IT係統訪問控製器
，使得數據通信變得更加開放。

在自動化領域，“安全防護”一詞主要指的是保護設備或機器免受外部未經授權的訪問，以及保護敏感數據免受內部損壞
、丟失和未經授權的訪問。它從工廠大門的訪問控製開始
，一直延伸到針對黑客攻擊的防禦措施。德國IT安全專家Ralph Langner認為，造成破壞的並不總是“壞人”。許多安全違規發生在無意之中，例如同事和員工操作錯誤等。

工業信息安全vs IT信息安全

工業信息安全和IT信息安全的目標都是要保護網絡的保密性
、完整性和可用性。隻是各個目標的優先級會有所不同。

IT信息安全實現目標優先級

1. 保密性
2. 完整性
3. 可用性

IT信息安全，為了保護用戶信息安全
，防止信息盜取事件的發生，故將保密性放在首位
，可用性排在最後。

工業信息安全實現目標優先級

1. 可用性
2. 完整性
3. 保密性

工業信息安全實現目標優先級的順序則正好相反。首要考慮的是所有部件的可用性，完整性排在第二位，保密性通常是最後考慮。

因yin為wei工gong業ye數shu據ju都dou是shi原yuan始shi格ge式shi，需xu要yao有you關guan使shi用yong環huan境jing進jin行xing分fen析xi才cai能neng獲huo取qu其qi價jia值zhi。而er係xi統tong的de可ke用yong性xing則ze直zhi接jie影ying響xiang到dao企qi業ye生sheng產chan
，生sheng產chan線xian停ting機ji或huo者zhe誤wu動dong作zuo都dou可ke能neng導dao致zhi巨ju大da的de經jing濟ji損sun失shi
，甚shen至zhi人ren員yuan生sheng命ming危wei險xian。即ji使shi工gong業ye控kong製zhi係xi統tong的de保bao護hu被bei突tu破po後hou
，仍reng必bi須xu保bao證zheng生sheng產chan過guo程cheng的de安an全quan，盡jin可ke能neng降jiang低di對dui人ren員yuan、環境和資產的損失。

實時性是工業信息安全和IT信息安全的另一大區別。IT網絡係統能夠接受任務在1秒或數秒內完成
，而工業控製係統的要求響應時間大多在毫秒級別。

此外，工業信息安全還要必須保證持續的可操作性及穩定的係統訪問、係統性能。

因此傳統的信息安全技術不能簡單的應用到工業自動化領域。

IEC 62443——工業信息安全方麵的國際標準

IEC62443《工業通信網絡-網絡和係統安全》作為一個國際標準，全麵涵蓋了自動化領域的信息安全問題

，為工廠運營商和設備製造商有效實施安全防護提供了方向性指導。

IEC62443標準分為四個部分
，12個文檔：

• 第一部分描述了信息安全的通用方麵，如術語、概念、模型
  、縮略語、符合性度量。
• 第二部分主要針對用戶的信息安全程序，主要包括整改信息安全係統的管理、人員和程序設計方麵，是用戶建立其信息安全程序時需要考慮的。

• 第(di)三(san)部(bu)分(fen)主(zhu)要(yao)針(zhen)對(dui)係(xi)統(tong)集(ji)成(cheng)商(shang)保(bao)護(hu)係(xi)統(tong)所(suo)需(xu)的(de)技(ji)術(shu)性(xing)信(xin)息(xi)安(an)全(quan)要(yao)求(qiu)。它(ta)主(zhu)要(yao)是(shi)係(xi)統(tong)集(ji)成(cheng)商(shang)在(zai)把(ba)係(xi)統(tong)組(zu)裝(zhuang)到(dao)一(yi)起(qi)時(shi)需(xu)要(yao)處(chu)理(li)的(de)內(nei)容(rong)。包(bao)括(kuo)將(jiang)整(zheng)體(ti)工(gong)業(ye)自(zi)動(dong)化(hua)控(kong)製(zhi)係(xi)統(tong)設(she)計(ji)分(fen)配(pei)到(dao)各(ge)個(ge)區(qu)域(yu)和(he)通(tong)道(dao)的(de)方(fang)法(fa)，以(yi)及(ji)信(xin)息(xi)安(an)全(quan)保(bao)障(zhang)等(deng)級(ji)的(de)定(ding)義(yi)和(he)要(yao)求(qiu)。
• 第四部分主要針對製造商提供的單個部件的技術性信息安全要求。包括係統的硬件、軟件和信息部分
  ，以及當開發或獲取這些類型的部件時需要考慮的特定技術性信息安全要求。

在工業自動化領域，“安全”一yi詞ci指zhi的de是shi設she備bei的de功gong能neng安an全quan
，意yi思si是shi保bao護hu人ren員yuan和he環huan境jing不bu受shou來lai自zi機ji器qi的de可ke預yu見jian威wei脅xie的de傷shang害hai，剩sheng餘yu風feng險xian或huo多duo或huo少shao總zong是shi存cun在zai的de，隻zhi是shi剩sheng餘yu風feng險xian不bu能neng超chao過guo可ke接jie受shou的de水shui平ping。通tong過guo使shi用yong安an全quan繼ji電dian器qi和he安an全quan開kai關guan等deng部bu件jian，以yi確que保bao機ji器qi處chu於yu安an全quan的de狀zhuang態tai

，即ji使shi出chu現xian出chu問wen題ti時shi，也ye不bu會hui對dui人ren、機器和環境造成危害。

工業信息安全的威脅來源

隨著IT技術的融入

，設備還麵臨著來自網絡世界的威脅，工業信息安全的威脅來源主要來自以下三個方麵：

1、外部攻擊

• 惡意網絡攻擊
• 工業間諜活動
• 勒索病毒

2

、內部攻擊

• 通過U盤等植入惡意軟件
• 通過騙取員工信任等方式，將其作為自願的工具

3、無意的違規

• 設備配置錯誤或者操作失誤

安全策略的實施

在安全防護策略方麵
，硬件相關的主要有如下幾類措施：

1. 防火牆

shishianquancelvedeyizhongcuoshishitongguozhuanyongshebeiduiwangluojinxingbaohu。jinguanluyouqihejiaohuanjikeyizhichianquanjizhi
，danfanghuoqiangrengranbanyanzhezhongyaodejiaose。zhelishejideshiruanjianjiejuefanganhuoshebei（硬件和軟件的組合）
，它們基於單獨定義的規則監視整個數據流量並具有深度包檢查或入侵檢測等功能。防火牆的配置通常比較複雜
，需要具備豐富的IT 知識
，而這恰恰是生產部門所欠缺的。

2. 區域和通道

按“區域和通道”對dui網wang絡luo進jin行xing劃hua分fen
，比bi如ru將jiang管guan理li網wang絡luo和he生sheng產chan網wang絡luo分fen開kai。如ru果guo需xu要yao，網wang絡luo也ye可ke以yi被bei分fen段duan為wei單dan個ge的de製zhi造zao單dan元yuan，首shou先xian將jiang具ju有you相xiang同tong安an全quan要yao求qiu的de設she備bei劃hua入ru同tong一yi區qu域yu
，然ran後hou使shi用yong防fang火huo牆qiang或huo安an全quan路lu由you器qi將jiang這zhe些xie區qu域yu相xiang互hu隔ge離li，這zhe樣yang就jiu可ke以yi確que保bao隻zhi有you獲huo得de相xiang應ying授shou權quan的de設she備bei才cai能neng通tong過guo區qu域yu之zhi間jian的de線xian路lu（通道）發送和接收信息。

3. 深度防禦

該(gai)原(yuan)則(ze)的(de)基(ji)礎(chu)是(shi)總(zong)是(shi)在(zai)入(ru)侵(qin)者(zhe)的(de)路(lu)徑(jing)上(shang)設(she)置(zhi)新(xin)的(de)和(he)不(bu)同(tong)的(de)障(zhang)礙(ai)。網(wang)絡(luo)的(de)區(qu)域(yu)和(he)通(tong)道(dao)相(xiang)當(dang)於(yu)城(cheng)堡(bao)的(de)大(da)門(men)，由(you)防(fang)火(huo)牆(qiang)和(he)安(an)全(quan)路(lu)由(you)器(qi)等(deng)不(bu)同(tong)安(an)全(quan)機(ji)製(zhi)的(de)安(an)全(quan)設(she)備(bei)作(zuo)為(wei)城(cheng)牆(qiang)和(he)其(qi)他(ta)障(zhang)礙(ai)，組(zu)成(cheng)多(duo)層(ceng)次(ci)的(de)深(shen)度(du)防(fang)禦(yu)“工事”。

4. 補丁管理

及時更新及打補丁可有效降低係統遭受最新的網絡威脅的風險。此外，不僅要考慮製造商發布的補丁和更新
，還要考慮第三方軟件（如Office應用程序、PDF閱讀器）。

　　Pilz的工業信息安全解決方案

　　皮爾磁對工業信息安全領域也非常關注，推出了一係列的產品
，如操作模式選擇和訪問授權係統PITmode fusion、模塊化安全門係統
、PNOZmulti 2小型控製器
、防(fang)火(huo)牆(qiang)工(gong)業(ye)安(an)全(quan)網(wang)橋(qiao)等(deng)，可(ke)以(yi)根(gen)據(ju)用(yong)戶(hu)的(de)實(shi)際(ji)需(xu)求(qiu)，提(ti)供(gong)全(quan)麵(mian)的(de)安(an)全(quan)解(jie)決(jue)方(fang)案(an)，即(ji)包(bao)括(kuo)機(ji)械(xie)安(an)全(quan)需(xu)求(qiu)
，又(you)涵(han)蓋(gai)信(xin)息(xi)數(shu)據(ju)安(an)全(quan)需(xu)求(qiu)，同(tong)時(shi)還(hai)可(ke)以(yi)為(wei)員(yuan)工(gong)根(gen)據(ju)不(bu)同(tong)的(de)角(jiao)色(se)定(ding)義(yi)不(bu)一(yi)樣(yang)的(de)權(quan)限(xian)。確(que)保(bao)員(yuan)工(gong)不(bu)會(hui)受(shou)到(dao)機(ji)器(qi)可(ke)能(neng)帶(dai)來(lai)的(de)危(wei)險(xian)傷(shang)害(hai)
，機(ji)器(qi)也(ye)不(bu)會(hui)受(shou)到(dao)操(cao)作(zuo)人(ren)員(yuan)失(shi)誤(wu)（無心之過）和操縱（有意為之）的影響。

• PITmode fusion可以幫助您保護設備和機器免受未經授權的訪問，並防止因不當使用造成設備損壞。除了使用PITreader控製訪問權限，您還可以使用PITmode fusion選擇功能安全的操作模式。將安全和防護功能統一在單一係統中。
• 如果外部攻擊者能夠侵入您的控製網絡並操縱控製係統
  ，那麼即使您的設備和機器采用最安全的訪問控製也將無濟於事。SecurityBridge是Pilz開發的一種行業標準防火牆，即插即用的設計
  ，通過特定於應用的預設置輕鬆投入使用，保護控製器數據不被篡改。它監控PC機(ji)和(he)控(kong)製(zhi)器(qi)之(zhi)間(jian)的(de)數(shu)據(ju)流(liu)量(liang)，並(bing)報(bao)告(gao)未(wei)經(jing)授(shou)權(quan)的(de)控(kong)製(zhi)項(xiang)目(mu)更(geng)改(gai)。通(tong)過(guo)這(zhe)種(zhong)方(fang)式(shi)，保(bao)護(hu)下(xia)遊(you)控(kong)製(zhi)器(qi)免(mian)受(shou)基(ji)於(yu)網(wang)絡(luo)的(de)攻(gong)擊(ji)和(he)未(wei)經(jing)授(shou)權(quan)的(de)訪(fang)問(wen)。