Herunterladen Inhalt Inhalt
Teilen
Diese Seite drucken
  1. Anleitungen
  2. Marken
  3. Siemens Anleitungen
  4. Steuergeräte
  5. SIMATIC PCS 7
  6. Inbetriebnahmehandbuch

Konzept - Siemens SIMATIC PCS 7 Inbetriebnahmehandbuch

Prozessleitsystem support- und remote-einwahl
Vorschau ausblenden Andere Handbücher für SIMATIC PCS 7:
Inhaltsverzeichnis

Werbung

Support- und Remote-Einwahl

3.2 Konzept

3.2
Konzept
Beschreibung Konzept
Durch die zunehmende Vernetzung und die Anbindung von Anlagen an Firmennetze und das
Internet, sowie den immer größer werdenden Distanzen zwischen Supportmitarbeitern und
den Anlagen (z.B. Supportmitarbeiter auf dem Festland, die zu unterstützende Anlage auf
einem Schiff), gewinnt die Support- und Remote-Einwahl zunehmend an Bedeutung.
Dies bringt aber auch zusätzliche Gefahren mit sich. Zum einen müssen an den Zugangspunkt-
Firewalls Ausnahmen für die Support- und Remote-Einwahl definiert werden, wodurch
zusätzliche Angriffspunkte entstehen, zum anderen können so unbeabsichtigt durch den
Supportmitarbeiter Schadsoftware (Malware), z.B. Viren, Trojaner, usw., in die Anlage
gebracht werden.
Um dieses Risiko zu minimieren, empfiehlt sich bei der Support- und Remote-Einwahl, genau
so wie beim gesamten Sicherheitskonzept PCS 7 & WinCC, eine "Defense in Depth" Strategie
zu realisieren. Das bedeutet, es wird keine "Direkt-Einwahl" auf das zu wartende Endgerät,
sondern eine Kombination mehrerer Techniken und Sicherheitsmechanismen über einen
zentralen Zugangspunkt realisiert, um so eine größtmögliche Sicherheit für die gesamte
Anlage zu gewährleisten.
Der im folgenden beschriebene VPN-Server ist Teil der Back-Firewall und damit in der
Verantwortung des Anlagenadministrators und wird über die Front-Firewall ins WAN (Intranet/
Office-Netzwerk) veröffentlicht. Als Alternative zu einer eigenen VPN-Lösung kann die von
Siemens für PCS 7-Anlagen favorisierte externe VPN-Lösung Siemens Remote Service (SRS)
genutzt werden. Siemens Remote Service basiert auf einer Platform Technologie. "Common
Remote Service Platform (cRSP)" (näheres hierzu siehe Kapitel Hinweise für die Praxis
(Seite 21)).
Durch diese Konfiguration wird sichergestellt, dass die Front-Firewall keine
Routinginformationen zum Process Control Network (PCN) oder gar Informationen über die
Netzwerkstruktur innerhalb der Manufacturing Control System Ebene (MCS) überhaupt
besitzt. So ist selbst bei einer Übernahme der Front-Firewall durch einen Angreifer kein Zugriff
auf die Anlage möglich. In den folgenden Bildern ist ein Microsoft Internet Security and
Acceleration Server (MS ISA Server) als Firewall zu sehen. Es kann auch der 2010
erschienene Nachfolger Microsoft Thread Management Gateway (MS TMG) genutzt werden
oder die von Siemens angebotene Automation Firewall 2. Weitere Informationen zur
Konfiguration eines ISA Server\TMG als Firewalls finden sich im Detailbericht
MS ISA Server/MS TMG als Zugangspunkt .
10
Support- und Remote-Einwahl
Inbetriebnahmehandbuch, 11/2016, A5E39250001-AA
Verwalten des

Werbung

Inhaltsverzeichnis
loading

Verwandte Anleitungen für Siemens SIMATIC PCS 7

Verwandte Inhalte für Siemens SIMATIC PCS 7

Inhaltsverzeichnis