西門子工業信息安全理念的中央元素是網絡安全。包括了對自動化系統未經授權的訪問保護和連接到其他網絡（如辦公網絡和由于遠程訪問的需求連接到Internet網絡）的所有接口安全審查。網絡安全也包括通信保護防止通信被攔截和操縱。例如：數據加密傳輸和相應通信節點間的身份認證。

  1、確保辦公網絡和工廠網絡之間接口的安全

過渡到其它網絡時，可以通過防火墻和建立非軍事化區（DMZ）對工廠網絡進行監控和保護。DMZ是為了保護工廠網絡增加的一道安全防線。DMZ區對其它網絡可以提供數據服務，同時也確保其它網絡不能直接訪問自動化網絡。這種設計使得從DMZ區不能訪問和連接到其它系統。即使DMZ區的計算機被劫持，自動化網絡仍然能被保護（見圖4）。

圖4、辦公網絡和工廠網絡之間使用非軍事化區傳輸數據

***簡單的情況，通過一個防火墻實現隔離。該防火墻可以控制和管理不同網絡之間的通信。更安全的是在各自的網絡邊界之間的連接一個非軍事區（DMZ）實現隔離。非軍事化區限制了生產網絡和辦公網絡之間的直接數據通信；通信過程只能通過非軍事化區（DMZ）中的服務器間接完成 。

2、網絡分段和單元保護概念

網絡分段是把工廠網絡被劃分成幾個獨立被保護的自動化單元。這樣可以減小風險更進一步增強網絡的安全性。一個網絡的部分（例如一個IP子網）通過一個安全來保護。通過分段來實現網絡安全。因此，“單元”中的設備可以防止來自外部未經授權的訪問且不影響實時性能或者其它功能。

防火墻可以控制對單元的訪問，操作員可以定義哪些網絡節點之間可以通過什么協議相互通信。通過此方式不僅拒絕未經授權人員的訪問，也降低網絡的通信負載。只有希望和需要的通信是被允許的。

根據網絡站點的通信和保護需求，劃分單元和分配設備到相應的單元。來往于單元的數據傳輸是通過安全設備的VPN進行加密處理。這樣有效的防止窺探和操縱數據。通過VPN技術認證了通信的節點和授權了他們需要訪問的地方。例如，單元保護的概念可以通過集成安全功能的組件SCALANCE  S  或SIMATIC S7自動化系統的安全CP卡實現（見圖5）。

圖5、 通過集成安全的產品實現網絡分段和單元保護

網絡分段和單元保護可歸納如下：

單元”和“區域”的概念是出于安全的目的對網絡進行分段隔離

通過設置信息安全網絡組件，對“單元入口”進行訪問控制

將沒有獨立訪問保護機制的設備置于安全單元內加以保護，這種方式主要針對已經正常運行設備的改造

劃分各個單元可以防止由于帶寬限制造成的網絡過載，保護單元內部的數據通信不受干擾

在各個單元內部不影響實時通信

在網絡單元內部，對功能安全設備提供保護

在單元和單元之間通過建立安全通道實現安全通信

網絡分段的單元防護理念是防止未經授權訪問的一種防護措施。在安全單元內部的數據不受信息安全設備的控制，因此我們假設各分段網絡內部是安全的，或者在各個單元內部部署了更進一步的安全措施，例如，保證交換機的端口安全。

各個安全單元的大小的劃分主要取決于被保護對象所包含的內容，具有相同需求的組件可能會劃分在一個安全單元以內。建議根據生產流程規劃網絡結構。這樣可以保證網絡分段時，各個網絡單元之間通信數據量***少，同時，可以使防火墻配置的例外規則***小化。

為了保證性能需求，建議客戶遵循如下針對網絡規模和網絡分段的規則：

一個 PROFINET IO 系統中的所有設備規劃到一個網絡單元中

設備和設備之間的通信數據量非常大的情況下，應該將它們規劃到一個網絡單元中

如果一臺設備僅僅和一個網絡單元之間存在數據通信，同時保護目標是一致的，則應該將該設備和網絡單元合并到一個網絡單元

3、遠程訪問的安全

越來越多的工廠通過互聯網被直接地連接到了一起。由于遠程服務、遠程應用和監控安裝在世界各地的機械設備的需求，遠程的工廠通過移動網絡(GPRS,  UMTS,  LTE)被連接起來。

這種情形，安全訪問尤其重要。借助搜索引擎、端口掃描或者自動化的腳本，無需努力就可以很容易得發現不安全的訪問節點。這就是通信節點為什么要身份認證，數據的傳輸需要加密且數據的完整性必須保證。特別是對于工廠的關鍵基礎設施訪問。未經授權人員的訪問，機密數據的讀取和控制命令參數的修改都可能導致相當大的破壞，環境的污染及人員的傷害。

VPN的機制提供身份認證，加密和完整性保護，已被證明可以提供有效保護功能。西門子的Internet 安全產品支持VPN連接，因此可以安全地傳輸通過互聯網或移動網的控制訪問數據。

正常的情況下，設備認證證書和值得信賴的IP地址或域名名稱通過防火墻的規則來阻止或允許。VPN設備和SCALANCE S防火墻使用特定用戶防火墻規則賦予訪問用戶的權限。在這種情況下用戶使用他們的名字和密碼登陸Web界面，由于每個授權的用戶被分配了特殊的防火墻規則，給用戶根據其訪問權限獲得相應的訪問能力。優勢在于可以清楚地跟蹤在特定時間對系統的訪問情況。

帶有三個端口的SCALANCE S623防火墻給系統集成商、OEM和***終用戶提供了種解決方案。一方面，設備制造商出于遠程維護的目的需要訪問安裝在***終用戶那里的機器；但另一方面，***終用戶的IT部門不愿意外部訪問機器所連接的整個網絡。通過SCALANCE S623，機器可以連接到工廠網絡并且使用第三個端口連接防火墻到Internet。這樣可以從Internet訪問機器但從Internet訪問工廠網絡是被拒絕的。因此，技術服務人員可以遠程訪問機器設備但不能訪問工廠網絡（見圖6）。

圖6、 不能訪問工廠網絡情況下遠程訪問工廠設備