北京西门子授权总代理商-2023已更新
以下是在工业环境中防止操纵和丢失数据的*重要的预防措施:
1)通过虚拟专用网(VPN)来过滤和检查数据通信。虚拟专用网用于在办公网络(例如互联网)中交换私有数据。*常用的VPN技术是IPsec。IPsec是一个协议集,用于保证在网络层使用IP的信息的安全性。
2)在受保护的自动化单元中进行分段,用安全模块来保护网络节点,一组受保护的设备构成一个受保护的自动化单元。只有同一类型的安全模块或它们保护的设备之间才能互相交换数据。
3)通过对节点进行身份验证,安全模块可以通过安全(加密)通道相互识别。未经授权不能访问受保护的网段。
4)通过对数据通信加密来确保数据的机密性。为每个安全模块提供一个包含密钥的VPN 证书。
5)在PROFINET和控制设备之间设置Scalance s安全模块(见图10-9)。安全模块的防火墙用于保护PLC免受未经授权的访问。在验证通信伙伴身份的可靠性和发送数据的加密性方面,防火墙可以作VPN的替代或补充。
图10-9 防火墙与安全模块
从逻辑上看,防火墙是分离器、限制器和分析器。从物理上看,防火墙由路由器、计算机和软件组成。防火墙可以过滤数据包,根据过滤表来禁用或启用通信连接。进入和离开通信、IP地址、MAC地址和通信协议(端口)都可以被过滤。
Scalance s 可以作 SOFTNET的安全客户机,用于PC 安全地访问受 Scalance s 保护的PLC。即使没有专业的IT知识,也可以很简单地进行组态。只需创建和组态需要相互之间进行安全通信的安全模块或Softnet安全客户机。如果发生故障,无需编程设备就可以快速更换安全模块。
现代的工业控制网络已经越来越多地被连接到办公网络和企业内部互联网(Intranet),无线局域网的使用也日益增多,加上远程维护等新技术的采用,工业通信网络与信息技术(IT)环境的交互越来越多。由于PLC等现场控制设备通过Web服务器和电子邮件等与互联网上的设备交换信息,办公和IT环境中常见的威胁,例如黑客程序、病毒、蠕虫和木马程序等,也会威胁到控制系统的安全。
用于办公环境的数据安全解决方案不能简单地照搬到工业应用场合,西门子提供了适用于工业自动化工程的安全解决方案,以防止敏感系统和生产网络被恶意操纵和破坏。
工业以太网的地址如何获取
1. MAC地址洪阳设备
在0SI(开放系统互连)7层网络协议参考模型中,第2层(数据链路层)由MAC(Media Access Control,媒体访问控制)子层和LLC(逻辑链路控制)子层组成。
MAC地址也叫物理地址、硬件地址或链路地址。MAC地址是识别LAN(局域网)节点的标识,即以太网接口设备的物理地址。它通常由设备生产厂家写入EEPROM或闪存芯片,在传输数据时,用MAC地址标识发送和接收数据的主机的地址。在网络底层的物理传输过程中,通过MAC地址来识别主机。MAC地址是48位二进制数,通常分为6段(6B),一般用十六进制数表示,例如00-05-BA-CE-07-0C。其中的前6位十六进制数是网络硬件制造商的编号,它由IEEE(电气与电子工程师协会)分配,后6位十六进制数代表该制造商制造的某个网络产品(例如网卡)的系列号。形象地说,MAC地址就像我们的身份证号码,具有全球唯一性。
在Windows XP中,执行菜单命令“开始”→“运行”,在出现的“运行”对话框中输入“CMD”后按(Enter)键,在出现的DOS窗口中输入命令行“ipconfig/all”后按《Enter)键,将显示出计算机网卡的物理地址(即MAC地址)、IP地址和子网掩码等。
MAC地址是以太网包头的组成部分,以太网交换机根据以太网包头中的MAC源地址和 MAC 目的地址实现包的交换和传递。如果使用 ISO 协议,必须输入模块的 MAC 地址。
可以通过下载组态信息,修改SIMATIC以太网CP模块的MAC地址。
3. 子网掩码
子网掩码(Subnet mask)是一个32位地址,用于将网络划分为一些小的子网。IP 地址由子网地址和子网内的节点地址组成,子网掩码用于将这两个地址分开。由子网掩码确定的两个IP地址段分别用于寻址子网IP和节点IP。二进制的子网掩码的高位应是连续的1,低位应是连续的0。以子网掩码255.255.255.0为例,其高24位二进制数为1,表示IP地址中的网络标识(类似于长途电话的地区号)为24位低8位二进制数为0,表示子网内节点的标识(类似于长途电话的电话号)为8位。IP 地址和子网掩码进行“与”逻辑运算,得到子网地址。IP地址和子网掩码取反后得到的0.0.255进行“与”逻辑运算,得到节点地址。
2. IP地址
为了使信息能在以太网上准确快捷地传送到目的地,连接到以太网的每台计算机必须拥有一个唯一的地址。为每台计算机指定的地址称为IP地址。
IP地址由32位二进制数(4B)组成,是Internet(网际)协议地址,每个Internet包必须有IP地址,每个Internet服务提供商(ISP)必须向有关组织申请一组IP地址,一般是动态分配给其用户,用户也可以根据接入方式向ISP申请一个IP地址。
IP地址通常用十进制数表示,用小数点分隔,例如192.168.0.117。
同一个IP地址可以使用具有不同MAC地址的网卡,更换网卡后可以使用原来的IP 地址。
保养编辑
设备定期测试、调整
(1) 每半年或季度检查PLC柜中接线端子的连接情况,若发现松动的地方及时重新坚固连接;
(2) 对柜中给主机供电的电源每月重新测量工作电压;
设备定期清扫
(1) 每六个月或季度对PLC进行清扫,切断给PLC供电的电源把电源机架、CPU主板及输入/输出板依次拆下,进行吹扫、清扫后再依次原位安装好,将全部连接恢复后送电并启动PLC主机。认真清扫PLC箱内卫生;
(2) 每三个月更换电源机架下方过滤网;
检修前准备
(1) 检修前准备好工具;
(2) 为保障元件的功能不出故障及模板不损坏,必须用保护装置及认真作防静电准备工作;
(3) 检修前与调度和操作工联系好,需挂检修牌处挂好检修牌;
设备拆装顺序及方法
(1) 停机检修,必须两个人以上监护操作;
(2) 把CPU前面板上的方式选择开关从“运行”转到“停”位置;
(3) 关闭PLC供电的总电源,然后关闭其它给模坂供电的电源;
(4) 把与电源架相连的电源线记清线号及连接位置后拆下,然后拆下电源机架与机柜相连的螺丝,电源机架就可拆下;
(5) CPU主板及I/0板可在旋转模板下方的螺丝后拆下;
(6) 安装时以相反顺序进行;
