皮尔磁：IEC 62443—工业信息安全标准（下）

在工业自动化领域，“安全”一词指的是设备的功能安全，意思是保护人员和环境不受来自机器的可预见威胁的伤害，剩余风险或多或少总是存在的，只是剩余风险不能超过可接受的水平。通过使用安全继电器和安全开关等部件，以确保机器处于安全的状态，即使出现出问题时，也不会对人、机器和环境造成危害。

工业信息安全的威胁来源

随着IT技术的融入，设备还面临着来自网络世界的威胁，工业信息安全的威胁来源主要来自以下三个方面：

1.外部攻击

a.恶意网络攻击

b.工业间谍活动

c.勒索病毒

2.内部攻击

a.通过U盘等植入恶意软件

b.通过骗取员工信任等方式，将其作为自愿的工具

3.无意的违规

设备配置错误或者操作失误

安全策略的实施

在安全防护策略方面，硬件相关的主要有如下几类措施：

1.防火墙

实施安全策略的一种措施是通过专用设备对网络进行保护。尽管路由器和交换机可以支持安全机制，但防火墙仍然扮演着重要的角色。这里涉及的是软件解决方案或设备（硬件和软件的组合），它们基于单独定义的规则监视整个数据流量并具有深度包检查或入侵检测等功能。防火墙的配置通常比较复杂，需要具备丰富的IT 知识，而这恰恰是生产部门所欠缺的。

2.区域和通道

按“区域和通道”对网络进行划分，比如将管理网络和生产网络分开。如果需要，网络也可以被分段为单个的制造单元，首先将具有相同安全要求的设备划入同一区域，然后使用防火墙或安全路由器将这些区域相互隔离，这样就可以确保只有获得相应授权的设备才能通过区域之间的线路（通道）发送和接收信息。

3.深度防御

该原则的基础是总是在入侵者的路径上设置新的和不同的障碍。网络的区域和通道相当于城堡的大门，由防火墙和安全路由器等不同安全机制的安全设备作为城墙和其他障碍，组成多层次的深度防御“工事”。

4.补丁管理

及时更新及打补丁可有效降低系统遭受最新的网络威胁的风险。此外，不仅要考虑制造商发布的补丁和更新，还要考虑第三方软件（如Office应用程序、PDF阅读器）。

Pilz的工业信息安全解决方案

皮尔磁对工业信息安全领域也非常关注，推出了一系列的产品，如操作模式选择和访问授权系统PITmode fusion、模块化安全门系统、PNOZmulti 2小型控制器、防火墙工业安全网桥等，可以根据用户的实际需求，提供全面的安全解决方案，即包括机械安全需求，又涵盖信息数据安全需求，同时还可以为员工根据不同的角色定义不一样的权限。确保员工不会受到机器可能带来的危险伤害，机器也不会受到操作人员失误（无心之过）和操纵（有意为之）的影响。

 ● PITmode fusion可以帮助您保护设备和机器免受未经授权的访问，并防止因不当使用造成设备损坏。除了使用PITreader控制访问权限，您还可以使用PITmode fusion选择功能安全的操作模式。将安全和防护功能统一在单一系统中。

 ● 如果外部攻击者能够侵入您的控制网络并操纵控制系统，那么即使您的设备和机器采用最安全的访问控制也将无济于事。SecurityBridge是Pilz开发的一种行业标准防火墙，即插即用的设计，通过特定于应用的预设置轻松投入使用，保护控制器数据不被篡改。它监控PC机和控制器之间的数据流量，并报告未经授权的控制项目更改。通过这种方式，保护下游控制器免受基于网络的攻击和未经授权的访问。