自动化中的数据安全--(待整理)

!-----------未整理
数据安全和访问保护（安全）这一主题在工业环境中变得越来越重要。由于整体工业设备
联网、公司内部的垂直整合和各层级的联网以及新技术的增加，导致保护工业设备的需求
不断增长。安全是所有保护措施的通用术语：
● 由于未经授权访问数据而导致机密性丧失
● 由于篡改数据而导致完整性丧失
● 由于数据损坏而导致可用性丧失
要防止对敏感设备和生产网络进行篡改，仅将用于办公室的数据安全解决方案不做更改地
直接应用到工业应用中是不够的。
要求
对工业环境中的通信有特殊要求（例如实时通信），因而导致对工业应用中的安全性有额
外要求：
● 防止自动化单元之间的交互
● 防止网络分段
● 避免未经授权的访问
● 安全功能的可扩展性
● 对网络结构无影响。
威胁
外部和内部篡改可能会导致威胁。数据安全性的丧失并非都是由有意行为导致的。
以下因素可能导致内部威胁：
● 技术故障
● 操作错误
● 程序错误
这种内部威胁因外部威胁而加剧。外部威胁与已知的办公室环境中的威胁并无不同：
● 计算机病毒和计算机蠕虫
● 特洛伊木马
● 未经授权的访问
● 密码网络钓鱼。
密码网络钓鱼指企图通过在电子邮件中伪装成不同身份来让用户泄露访问数据和密码。
预防措施
在工业环境中防止篡改和丧失数据安全性的最重要预防措施是：
● 通过虚拟专用网络 (VPN) 筛选和验证数据通信。虚拟专用网络用于在公共网络
（例如 Internet）中交换私人数据。最常用的 VPN 技术是 IPsec。IPsec
是基于网络层 IP 协议的协议集合。
● 细分为受保护的自动化单元。该概念的目的是通过安全模块来保护网络中的设备。一
组受保护的设备可构成受保护的自动化单元。只有同一组中的安全模块或所保护的设
备才可以互换。
● 对联网设备进行身份验证（识别）。安全模块使用身份验证程序通过安全（加密）通
道进行标识以用于相互识别。由此可防止外部未经授权的人员对受保护的部分进
行访问。
● 加密数据通信。通过加密数据通信来确保数据的机密性。为此，会为每个安全模块都
分配一个包含加密密钥的 VPN 证书。
工业自动化信息安全的 VDI 准则
德国工程师协会 VDI/VDE“测量和自动化”组已在 VDI
准则“VDI/VDE 2182 表 1，工业自动化 IT 安全 -
通用模型”中发布了工业环境中安全架构的实施准则。在 VDI 主页的“VDI
标准”下可以找到该准则：VDI 准则 (http://www.vdi.de/43460.0.html)
工业自动化信息安全的 PROFINET 安全准则
PROFIBUS 和 PROFINET 用户组织支持按照 PROFINET
安全准则建立公司内部安全标准。可以在 PROFIBUS 和 PROFINET
用户组织主页的下载部分找到这些准则：PI - PROFIBUS 和 PROFINET International
主页 (http://www.profibus.com)