第一个PROFINET规范发布的时候,PI就同期发布了全面的安全理念,该理念后来又经过多次细化和调整。不管怎样,需求和现在也一样,即仅仅保护工厂网络和自动化组件是不够的——所使用的保护机制和概念必须不干扰正在进行的生产运营。此外,保护的理念必须易于实施并且负担得起。
成熟的概念
PROFINET的IT安全概念基于纵深防御方法。在这种方法中,生产工厂通过一个包括防火墙在内的多级边界来防止攻击,特别是来自外部的攻击。此外,通过使用防火墙将工厂划分为多个区域,可以进一步保护工厂。此外,安全组件测试确保PROFINET组件在一定程度上能够抵抗过载。作为安全管理系统的一部分,这一安全理念由生产企业有组织的措施来支持实现。因此,安全需要在各个层级采取措施。
图:PROFINET集成了信息安全特征
然而,安全是一个必须不断适应当前事态发展的主题,因此永远不会完成。尤其是在生产设施网络化程度不断提高的背景下。
列举几个关键点:
1、开放式通信:提供附加价值的PROFINET组件或功能,如Web服务或OPC-UA连接,会导致增加与定义的安全区域之外的更高级别系统的直接通信。与此同时,隔离PROFINET网络变得越来越困难。这也会增加网络攻击的风险。
2、更庞大的网络:越来越多的组件被连接到一个网络上并相互作用,因此,对某个单元内的单个(PC)系统的成功攻击有可能绕过更高一级的保护措施。
3 、大范围的系统:分布广泛的设施阻碍了对网络和AP的物理保护。导致未经授权的人可以获得对PROFINET网络的访问。
4、附加保护措施:以前的概念主要依赖于封闭生产设施,现在必须辅之以新的概念,即在单元内提供保护。因此,现有措施要通过进一步的保护措施加以扩展。其中包括证书管理,例如设备认证,以及作为配置选项的PROFINET通信端到端安全扩展。
由于每个应用程序都有不同的安全要求,PROFINET提供了不同的安全等级。
