加强关键基础设施保护基于 PlantStruxureTM 协同自动化解决方案架构的网络安全解决方案

施耐德电气

善用其效 尽享其能

施耐德电气在中国

1987年，施耐德电气在天津成立第一家合资工厂梅兰日兰，将断路器技术带到中国，取代传统保

险丝，使得中国用户用电安全性大为增强，并为断路器标准的建立作出了卓越的贡献。90年代

初，施耐德电气旗下品牌奇胜率先将开关面板带入中国，结束了中国使用灯绳开关的时代。

施耐德电气的高额投资有力地支持了中国的经济建设，并为中国客户提供了先进的产品支持和完

善的技术服务，中低压电器、变频器、接触器等工业产品大量运用在中国国内的经济建设中，促

进了中国工业化的进程。

目前，施耐德电气在中国共建立53个办事处，28家工厂，7个物流中心，1 个研修学院，3个全

球研发中心，1000多名研发工程师，1 个实验室，1 所能源大学，700多家分销商和遍布全国

的销售网络。施耐德电气中国目前员工数近28,000人。通过与合作伙伴以及大量经销商的合

作，施耐德电气为中国创造了成千上万个就业机会。

施耐德电气 能效管理平台

凭借其对五大市场的深刻了解、对集团客户的悉心关爱，以及在能效管理领域的丰富经验，施耐

德电气从一个优秀的产品和设备供应商逐步成长为整体解决方案提供商。今年，施耐德电气首次

集成其在建筑楼宇、IT、安防、电力及工业过程和设备等五大领域的专业技术和经验，将其高质

量的产品和解决方案融合在一个统一的架构下，通过标准的界面为各行业客户提供一个开放、透

明、节能、高效的 能效管理平台，为企业客户节省高达30％的投资成本和运

营成本。

全球能效管理专家施耐德电气为世界100多个国家提供整体解决方案，其中在能

源与基础设施、工业过程控制、楼宇自动化和数据中心与网络等市场处于世界领

先地位，在住宅应用领域也拥有强大的市场能力。致力于为客户提供安全、可

靠、高效的能源，施耐德电气2012年的销售额为240亿欧元，拥有超过140,000

名员工。施耐德电气助您——善用其效，尽享其能！

4

您是否面临这些挑战？ 技术更新令控制系统在面临外部危险时更加不堪一击。

必须符合 NERC CIP 或 ISA99 等官方安全标准。

需要保持电厂的安全生产与企业声誉。

阅读免费白皮书：由 Frost & Sullivann 撰写的

《工业自动化与控制环境中的网络安全防护》

5

在施耐德电气，我们深知系统安全是实现绩效目标的关键。

网络技术的不断发展与日新月异的安全威胁

正改变着我们设计、开发产品的思维方式。

这意味着除性能、可靠性、易用性和通用性

等关键功能之外，施耐德电气专家团队需要

认真考虑我们解决方案中潜在的或已确定的

漏洞问题。他们与网络安全研究人员通力合

作，分析我们的系统，通过提供传统产品的

更新补丁与缓解建议相结合，帮助我们的客

户保护其设施安全。

一旦发现漏洞，我们会迅速采取措施，通过

提供详尽的漏洞描述、漏洞缓解行动计划和

软件补丁计划表，帮助客户降低风险。我们

鼓励我们的客户注册其产品，这为我们提供

了最直接的信息及更新的沟通途径。我们所有的新产品都符

合工业安全标准

IEC62443 标准与 ISA

安全认证。我们的传统

产品通过预先配置的安

全措施得到了保护。

了解更多

摆脱网络安全困境，现在有解决方案

6

“如何减少网络攻击漏洞？”

“SCADA 系统安全：挑战与解决方案”

“如何减少控制室漏洞？”

PlantStruxure 协同自动化解决方案：安全架构、设备与网络

纵深防御方案

网络安全设备

专用网络安全门户

我们提供高度安全的基于 PlantStruxure 协同

自动化架构的解决方案，该方案经过全球领

先的安全专家验证，并且适用于本地团队和

专家合作伙伴。

纵深防御六步方案 (DiD) 是我们网络安全建

议的基础。

首先，使用我们的评估服务识别最易遭受攻

击的系统区域。然后，利用设计与实施服务，

通 过 定 制 化 的 安 全 策 略 构 建 安 全 的

PlantStruxure 协同自动化架构。最后，也是

最重要的，使用我们的监控与管理服务追踪

并分析安全等级和安全生产。

登陆我们的专用网络安全网站，及时了解相

关的漏洞时讯、最新信息、漏洞修复技巧、

建议和漏洞信息。即刻订阅，即可获取最新

资讯。

阅读免费白皮书：

一套满足您系统安全需求的全面解决方案

7

Process

EcoS

trux

ure

Web

Ser

vice

sE W

Cont

rol

Ope

ratio

nEn

terp

rise

SAL 3Secured against advanced cyber attacks

SAL 2Secured against simple cyber attacks

SAL 1Secured against operator errors

Resource AdvisorEnterprise

Resource Planning

3rd PartyAsset OperationEnergy Operation

SupervisionMaintenanceEngineering Supervision

Area 3Area 2Area 1Line 1Area 3Area 2Area 1Remote

site 3Remote

site 2Remote

site 1Remote Monitoring and Control

TelemetryPlant & Infrastructure

PLC + SCADAProcess Automation

DCS

ProfibusHart

Profibus

CellularNetworkRadio Network

3

1 2 3Protect your control system

Protect your network

Protect your remote sites

2

1

PlantStruxure ™协同自动化解决方案是施耐德电气面向工业与基础设施客户推出的协作型自动化集成架构。它融合了

我们的遥测技术、PLC / SCADA 和 DCS 解决方案以及完善的全生命周期服务，从初始设计到现代化升级，实现更高

效的运行。借助于 PlantStruxure 协同自动化解决方案，可以无缝地连接业务的控制、运营与企业的各个层面，为各

个层面提供合适的安全服务。

针对各个层面架构的预定义安全策略

8

增强架构、设备和网络的安全性

1 | 保护控制系统

2 | 保护网络

3 | 保护远程站点

一直以来，工业过程控制系统和商业系统之间相互独立。但如今的各

系统是一个更加整合的运行环境，需要一个更加积极、更加全面的安

全防护体系。

VijeoTM Citect 通过支持纵深防御方案，最大程度地帮助客户减少网络

安全隐患。它能够在确保架构安全的基础上，使得配置与管理功能更

加简便、可靠。

想通过最小化过程中断风险，增强控制和自动化系统的防护功能吗？

可以选择一个完全可由现有人员自行维护的解决方案。

ConneXium 防火墙方案帮助在控制系统内建立一个安全区域。只有

经过授权的信息方可通过防火墙进入安全区域内的设备，用户可以定

义允许的通信类型。

每天，控制系统都可能遇到新的潜在风险，关键基础设施系统内部可

能出现安全漏洞。在这种不断变化的环境下，您最好的帮手是制定一

个能够满足您长期和随时需要的安全计划。

TRSS 遥测解决方案提供开放标准与最佳实践解决方案，为您的远程

基础设施增加安全性、可靠性和稳定性。

施耐德电气所有的人机界面设备均支持内嵌式网络安全保护。Vijeo Designer

软件允许用户自定义证书。更改每个客户应用程序的登录名和密码，保护设

备下载的应用程序和固件。

PlantStruxure PES 是我们推出的创新型过程自动化系统，集成了 PLC/SCADA

和 DCS 领域内的最佳技术，并整合能源管理功能，在工厂的整个生命周期内

提供卓越价值。PlantStruxure PES 可提供与 PlantStruxure 协同自动化解决方

案相同的安全防护等级。

MaintenanceEngineering

Radio Network

Energy Operation Business Operation Asset Operation 3rd Party

Supervision Supervision

Remote site 1 Remote site 2

Process AutomationDCS

Remote Monitoring and ControlTelemetry

Area 1 Area 2 Area 3

Engineering

Remote site 3

Resource AdvisorEnterprise

Resource Planning

CellularNetworkCo

ntrol

Ope

ratio

nEn

terp

rise

HartPro�bus

EcoS

trux

ure

Web

Ser

vice

s

Line 1

Plant & InfrastructurePLC + SCADA

Area 1 Area 2 Area 3

Pro�bus

9

增强监控系统 (SCADA) 的安全1

了解更多：

Vijeo Citect StruxureWare PlantOperation Ampla Vijeo Historian

确保 SCADA 构架的安全

增强工厂内访问和控制时的用户安全。

使用 DMZ 缓冲区，缓冲外部客户端对 SCADA 系统的访问。

在 SCADA 客户端 / 服务器之间使用安全的通讯机制。

利用各种可行的安全防护功能保护 SCADA 与设备间的通讯。

10

增强工业网络安全2

ConneXium 防火墙为网络安全保驾护航

ConneXium 工业以太网多功能设备

极高的安全防护功能旨在为当今工业自动

化系统使用的协议、通信标准和设备提供

安全防护。

易于安装的基于 Web 配置方式，可缩短

系统调试时间、降低调试难度及成本，可

配置的安全策略适应了各种复杂系统的应

用需求。

状态检测防火墙

支持路由

IPSec VPN

DHCP/NAT/VLAN

支持冗余 / 时间同步

工业级品质，适应于各种恶劣环境，如极

限温度、震动、电气噪声、热冲击等。

便于维护操作和故障诊断，包含有被拒绝

的通信记录的日志文件。

ConneXium 工业以太网多功能设备

功能一览：

状态检测防火墙

MBTCP 数据包深度解析技术

支持网桥

了解更多防火墙和 DMZ 信息

点击了解更多

了解更多：

11

增强远程基础设施的安全3

商业系统：

p Oraclep SAPp Osisoftp Arcgis

当今世界充满变数，控制系统的安全和完整性无时无刻不面临着威胁，而且日

益甚之。这也是为何迫在眉睫需要制定并实施一个周密的安全计划的原因，

使关键基础设施资产可能出现漏洞的风险降至最低。请使用我们行之有效

的基于专家技术的 TRSS 遥测解决方案，提高远程基础设施的可靠性与

稳定性。

SCADA Expert ClearSCADA：p 应用于 WWW、O&G 和电能关键基础设施等领域，面向对象、

应用广泛的 SCADA。p 集成 SCADA 与随时可用的遥测功能

p 广泛的开放协议与接口：DNP3、IEC60870-5、Modbus、OPC、SQL 等。

Trio：p 针对串行与以太网通信的许可 / 无需许可的数传

电台

p 支持 Modbus 、DNP3 、IEC60870-5-101 / 104 等协议

SCADAPack:p 具有经济、可扩展的智能 RTU 产

品：SCADAPack 控制器 (Modbus 协议 ) 和 SCADAPack E 控制器

(DNP3/IEC60870 协议 )。

Accutech:p 可实现快速部署、由电

池供电、独立无线仪

表。

StruxureWare SCADA ExpertClearSCADA

Trio 数据无线电通信设备

SCADAPacks ESmart RTUs

Accutech 无线通信仪表

了解更多：

BusinessSystems

BusinessApplication Servers

BackboneIP Network

ClearSCADA SoftwareControl room

Remote assets

Security

SCADAPackGas Flow Computers

& TransmittersInstruments & Controls PLCs & Drives

SCADAPackSmart RTU

Base Radio

AccutechWireless

Instrumentation

Field devices

Remote communication network

12

网络安全服务一览

评估

设计与实施

监控与管理

评估是落实任何安全计划的起点。系统与安全评估是对已设计或已实施系统的当前状态做出

评价，并识别漏洞。基于威胁和已识别的漏洞，该评估可对系统进行风险量化。

下一步，设计完全定制化的网络安全计划——从开发安全策略到设计适合的基础设施。设计

并计划一个全面的安全计划、基础设施与业务连续性计划。

管理和监控服务可帮助检测您的控制系统，诊断长期潜在的网络与安全漏洞。服务范围包括

连续监测或网络诊断监测、定期监测或应急响应。

13

服务交付

为高效提供以上服务，缩短上市时间，我们决定与三家久负盛名的公司建立合作伙伴关系：

与 Wurldtech 和 SiS 合作：

与 Industrial Defender 合作：

安全评估领域的领导者

安全标准领域的专家

智能电网安全领域的领导者 ( 派克研究公司 )

硬件与服务提供商

14

StruxureWare 节能增效管理软件Plant Operation Ampla

15

StruxureWare 节能增效管理软件Plant Operation Ampla

使用最低权限的深度防护 (DiD)

Plant Operation Ampla 多领域的网络安全战略（应用与信息安全、灾难恢复、最低权限、日

志与审计、沙箱等），减少了受攻击、破坏或未经授权访问的安全风险。

签署软件

受保护的通信

基于角色的安全性

面向客户端与服务包的 VeriSign 数字签名

只有授权用户使用签署部署包才能安装客户端

平台插件已由施耐德电气提供数字签名

缺省情况下利用 Windows 身份认证连接 SQL

客户端到服务端的通信加密

Plant Operation Ampla 细致入微的安全配置、角色支持、范围和运营的设计，实现了最低权

限原则。

16

Vijeo Historian

17

使用微软安全标准的用户身份认证

Vijeo Historian 与 Citect Historian 支持微软的用户身份认证安全标准和原则，借助于 Window

用户账户与 SQL 服务器权限模型。

服务器安全

用户 / 客户端安全

服务与数据 / 资源访问可使用以下任一种方法进行管理：

p Windows 用户账户

p SQL 服务器权限

经过身份认证的 CtAPI 连接 Vijeo Citect

具有 Windows COM 安全保障的 OPC 技术

在授权访问已发布的数据之前，必须解决 Historian 安全问题。

p 客户端应用程序会话需要登录认证

p 可配置的发布信息用户 / 数据访问模型

p 具有 HTTPS 安全保障的 Historian 查询连接 (Microsoft Excel 客户端应用程序 )

Vijeo Historian

18

SCADA

19

基于角色的用户访问工厂方式

Vijeo Citect SCADA 客户端采用定义了角色的用户访问工厂可视化与控制的方式。

基于角色的访问

Windows 集成的安全

授权命令

用户 / 角色 / 区域 / 权限

新用户的默认状态为无权限访问

工程项目为查看工厂区域、数据和访问命令设定明确限制

登录认证

规定时间无操作，可选择会话注销

简化安全访问与管理

Citect 用户角色与 Windows 用户组相互关联

向 Windows 用户组添加特定用户时，可授权该用户在 SCADA 系统内具有相同的角色

用户帐户管理的单一定位适用于系统生产的企业安全标准

发布命令时，具备双重授权的能力

向工厂发布命令前，用户访问需重新获得服务器验证

SCADA 客户端

20

仅限授权服务器，具备审计跟踪日志

Vijeo Citect SCADA 服务器同属于可信的通信网络，所有用户操作都会被记录。

可信的服务器网络

审计跟踪

控制

通信仅限于可信的服务器间

基于密钥的可信服务器的识别模式，登录物理 PC 时，受到单向加密保护

连接前实施点对点通信认证

记录所有的身份认证活动：用户登录、注销、添加或删除的会话用户、认证成功 / 失败

与认证活动相关的用户名、用户类型、本地或远程登录

发布任何控制动作前需进行用户身份认证

服务器的用户身份再认证模式，确保了免遭非授权客户端的攻击

对于可能存在的数据链接，建议使用物理安全

对于公开的链接，建议使用 VPN

SCADA 服务器

21

安全安装

Vijeo Citect SCADA 服务器同属于可信的通信网络，所有用户操作都会被记录。

本地电脑

仅安装运行系统

建议安装杀毒软件和恶意软件扫描软件

禁用 USB 端口访问

建议经常更新 Windows 补丁，以减少威胁

安装时关闭不必要的网络连接和网络服务，仅运行必要的服务，以减少威胁

防止安装额外的配置工具

需额外的安全层级来保护可修改项目配置的计算机

安装

22

StruxureWare SCADA ExpertClearSCADA

23

增强安全管理

SCADA 专家软件：ClearSCADA 提供出色解决方案，在管理地理位置分散的资产以及进行广

域网通信时，能够解决它们的关键安全问题。

多层次用户安全处理

支持安全的远程通讯协议

DMZ 后的性能服务器

高度细致化的安全保证，针对个人、组与设备类型，采用基于角色的身份认证

根据本地数据库或 Windows 域，进行登录验证

包括所有的客户端接口：所有客户端、网络、自动化接口、数据库存取

针对所有配置更改、操作活动、安全活动的审计跟踪

提供基于 DNP3 安全认证的 IEC 62351 标准安全协议

独特的安全密钥，确保数据机密性与完整性

通过凭证证书管理，提供受 SSL 保护的网络访问

需要的 SCADA 数据可穿透 SCADA 局域网防火墙

与主服务器的单向通信 ( 只读 )

企业 SCADA 数据没有直接连接到 SCADA 局域网

StruxureWare SCADA ExpertClearSCADA

24

Trio数传电台

25

可靠、安全的远程数据通信

AES 数据加密

密码保护

认证证书管理

无线远程数据传输确保了客户的远程数据的机密性

配置界面可选择启用 / 禁用密码

基于 HTTPS( 安全 HTTP) 与 SSH ( 安全外壳协议 ) 的安全可靠的远程数据通信

Trio数传电台

26

Accutech无线通信仪表

27

安全可靠的无线传感器网络

Accutech 无线通信仪表提供出色功能与技术，有助于在充满挑战的遥测应用环境中，创建安

全、稳定的通讯网络。

增强安防

Accutech无线通信仪表

跳频扩频技术 (FHSS)

Wi-Star 协议

Accutech = 出色传输，保证安全

现场设备身份认证采用四位数字密钥，用于匹配与基地内部电台的通讯

FHSS 以发射器与接收器都了解的伪随机序列为基础

高效的顺序传输方案，每个现场设备传输时间极短 (ms)，无需 IP 寻址

DCS/Host

WAN

PLC/RTU Base radio

Trio Long Haul Radio

AES encryption used in the BR20 and Trio long haul base radios

28

ConneXium防火墙

29

ConneXium 防火墙

防火墙能够保护控制系统免受以太网上非授

权设备或流量构成的安全威胁。只有授权的

设备和数据能够通过防火墙，与安全区域内

ConneXium防火墙

的设备进行通信。利用防火墙，还可在控制

网络内部创建安全区域。用户能够定义哪些

设备类型与数据有权访问安全区域中的设备。

Control device

Switch

Authorized traffic

Internal port connection

All communication traffic

External port connection

Unprotected Zone Secure ZoneFirewall

Unauthorized traffic

30

ConneXium Tofino以太网防火墙

工业级以太网 ConneXium Tofino 防火墙，型号 TCSEFEA23F3F20

功能一览

满足工业自动化系统所需的网络安全等级

无需专门的 IT 或网络知识，也能轻松完成参数配置

内置安全设置功能，包括：

p 防火墙：根据安全策略决定数据交互

p Modbus TCP Enforcer： 基于 Modbus 数据包的深度解析

p 事件记录器：记录安全事件、可发送报警信息至防火墙内存与外部报警管理系统

针对 Modbus 数据包的深度解析

类似于 PLC 的菜单配置模式

简化配置过程的预定义模版

31

ConneXium 工业以太网防火墙

三种 ConneXium 工业级以太网防火墙型号

功能一览

型号： TCSEFEC23F3F20 - 10/100BASE TX ( 铜对铜电缆 )

型号： TCSEFEC23FCF20 - 10/100BASE TX / 100BASE FX ( 铜对纤电缆 )

型号： TCSEFEC2CF3F20 - 100BASE FX / 10/100BASE TX ( 纤对铜电缆 )

用户可使用内置网页创建防火墙安全策略

所有防火墙功能均内置，功能全面

可通过路由功能连接两个网络

在不安全的网络环境中，能够通过 VPN 在两点之间建立加密连接

专为工业环境设计

善用其效，尽享其能 SM

2013 年 8 月

施耐德电气

总部地址：

35, rue Joeseph Monier92500 Rueil Malmaison Cedex France电话：+33(0) 1 41 29 70 00http://www.schneider-electric.com

2013 施耐德电气 版权所有。Schneider Electric 商标由施耐德电气工业有限公司

及其联营机构所有。其他所有商标归其各自所有者拥有。