n
这篇faq分为以下几部分。n
简介推荐配置参考总结安全性
西门子提供与工业安全相关的产品和解决方案，可应用于工厂生产，行业解决方案，机械，设备或网络。它们是综合工业安全 理念中的重要元素。西门子的产品与解决方案在工业安全领域持续发展，我们建议您关注这方面的产品升级资讯。为了安全的操作西门子相关的产品和解决方案，采用正确的安全策略（单元保护概念，比如）和在最新的安全理念下集合所有组件来实现整个工业安全都是非常必 须的。这同样也包含了第三方产品的使用。更多关于工业安全的信息可参考：http://www.siemens.com/industrialsecurity. n
为了能够保证咨询的及时性，推荐订阅我们的产品咨询，具体可见：n
http://support.automation.siemens.com.n
简介
以下是关于如何阻止非法访问过程控制系统it环境的措施。这里不仅考虑单台计算机，而且考虑了包括网络组件的整个it环境。取决于现有的配置情况，首先要组合不同的安全措施以使整个过程系统it环境达到一个可接受的安全等级。n
实际上，无意或者非法访问可能有很多方式。可以分为以下两类：n
本地访问（直接在计算机上）n网络访问 n本地网络 (有限范围内的网络访问，比如lan)n非本地网络 (扩展范围内的网络访问，比如internet)注意
对于pcs 7而言，工厂总线上不能使用iwlan (工业无线局域网)。终端总线上的操作限制在一定范围内。n
硬件访问
非法硬件访问通常是通过以下接口对计算机的机械/电子入侵：n
usb 接口n闪存ncd/dvdn硬盘恶意代码（比如木马或病毒）会通过这些接口安装在计算机上并执行。
代码的执行通过或者不通过用户的操作都可以完成：n
用户主动操作n程序安装 n打开pdf，画面，声音文件或类似文件n打开e-mail附件n打开网络页面没有用户操作时的代码自动执行 n某分区内容以表格显示n在网页浏览时产生的被称作”drive-by attack” 或 “drive-by infection”n“man-in-the-middle”攻击软件访问
软件的恶意代码意味着以下几种方式：n
程序接口的使用（比如，服务器服务）n在已感染系统上的特定动作（比如，关机）n在其他系统，本地或非本地网络上的动作执行通过这些方式，即便没有系统密码，或者没有访问权限，系统的数据和程序仍会被攻击。n
推荐配置
以下是在simatic pcs7和wincc环境中防止恶意进攻的推荐配置。n
硬件
simatic pcs 7 工业工作站
为了防止simatic pcs 7工业工作站通过硬件接口被非法访问，推荐在一个可以锁住的柜子中安装计算机系统（比如，办工桌、控制柜），将前门锁住。钥匙需要交给可靠人员保管，比如管理员。n
外部计算机系统
为了阻止外部计算机系统的硬件被非法访问，可以将计算机放在锁住的柜子和房间里（比如，计算机室或者服务器柜）。钥匙需要交给可靠人员保管，比如管理员。只有授权用户才能访问这些计算机和服务器。n
另外，按照如下操作组态计算机bios。n
密码保护bios，密码应该只有管理员才知道。n将硬盘在启动顺序中设置为第一启动媒介。这样的话，系统很难从别的媒介启动。n如果不需要usb接口（比如，鼠标，键盘等等），可以在bios设置中禁止这些接口。操作系统
条目http://support.microsoft.com/kb/967715/en提供了如何在windows操作系统中禁止自动运行功能的方法。这样可以防止外部数据媒介上的程序自动运行。n根据最小化原则分配windows用户权限。权限分配仅要满足用户需求。关于用户权限的更多信息请参考条目号22229786。标准的用户权限可以满足pcs 7和wincc的操作要求。n使用微软发布的安全补丁包定期更新操作系统。和simatic pcs 7兼容的安全补丁包请见条目号18490004。n使用杀毒软件保护系统。条目号2334224提供了pcs 7中可以使用的杀毒软件。n使用称为白名单的技术提供系统的程序保护，文档 id: 88653385介绍了如何使用。n条目http://support.microsoft.com/kb/555324/en 提供了关于如何使用adm模板的描述。通过合适的模板可以定义用户/用户组的规则，比如，usb接口，cd/dvd的锁定。n根据最小化原则在项目文件夹中分配访问权限。工程师站和操作员站
对于os服务器和客户端，用户登陆后应该自动激活wincc运行程序。关于这点的具体描述请参考条目号23061262。n根据最小化原则分配操作员权限。权限分配只要满足用户需求即可。n权限如何分配具体参考手册“simatic process control system pcs 7 operator station (v8.0 sp1)”，章节 “setting user rights”“wincc: working with wincc”，章节 “creating a user administrator”操作员不应该有windows桌面的访问权限（比如，启动一个程序）。具体描述参考条目号332356。332356 (for windows server 2000/2003, windows 2000 prof., windows xp prof, windows vista)n44027453 (for windows 7, windows server 2008)注意
安全概念必须由计算机网管（it管理员）和自动化网络（自动化工程师）共同设计管理。哪些计算机的哪些应用程序需要哪些权限、程序和进程，网络结构如何搭建，这些安全措施都需要明确达成一致。n
参考汇总
白皮书，手册和faq章/节条目idmanual – simatic process control system pcs 7 compendium part f – industrial security (v8.0)77507462manual – simatic process control system pcs7 security concept pcs 7 & wincc (basic)60119725manual – pcs7 and wincc security concept (detail) – administration of virus scaers38625951manual – simatic process control system pcs7 operator station (v8.0 sp1)setting user rights68157026manual – wincc: working with wincccreating a user administrator73506085faq – how can you automatically log in a default user after a runtime reboot without using the simatic login box?19141675faq – with windows server 2000/2003, windows 2000 professional,windows xp professional and windows vista, what should you do if disabling the key combinations is ineffective in wincc?332356faq – how can you lock key combinations in wincc v7.0 sp2 and higher, and in wincc (tia portal) with windows 7 or windows server 2008?44027453faq – how can you have the current picture continued to be shown when you log out of wincc runtime?16626380faq – which microsoft security patches have been tested for compatibility with simatic pcs 7?18490004faq – which microsoft security patches have been tested for compatibility with simatic wincc?18752994faq – compatibility tool for automation and drive technology64847781faq – how do you configure the wincc autostart?23061262faq – how do you configure the windows autologin?23598260updates – using whitelisting protection mechanisms with simatic products49382928using white listing with mcafee application control in the pcs 7 / wincc environment88653385microsoft 条目链接howto: use group policy to disable usb, cd-rom, floppy disk and ls-120 drivershttp://support.microsoft.com/kb/555324/enhow to disable the autorun functionality in windowshttp://support.microsoft.com/kb/967715/en关键词:
网络结构，安全设置，病毒感染，dmz，工厂安全，usb设备