Sécurité industrielle
Transcription
Sécurité industrielle
KB_SCALANCE_S_frz.FH10 Wed Aug 09 10:45:44 2006 Seite 2 C M Y CM MY CY CMY K Brochure Avril 2006 Sécurité industrielle La sécurité pour le réseau et les données simatic net SCALANCE S s KB_SCALANCE_S_frz.FH10 Wed Aug 09 10:45:44 2006 Seite 3 C M Y CM MY CY CMY K SCALANCE Performance modulable S'appuyant sur de nombreuses applications de par le monde, Totally Integrated Automation de Siemens montre les dimensions que peuvent atteindre aujourd'hui des solutions cohérentes mettant en uvre des outils communs et des mécanismes unifiés. Le perfectionnement ciblé de la communication industrielle avec SIMATIC NET est intimement lié à ce concept. S SCALANCE, la nouvelle génération de constituants actifs pour le déploiement de réseaux de communication homogènes constitue à cet égard un jalon important. Ces constituants de réseau actifs sont harmonisés de façon optimale. Ils sont conçus pour un emploi en environnement industriel rude et permettent la construction homogène, flexible et sûre de réseaux performants. SCALANCE S éc u r it é de don n é e s SCALANCE S Pour la sécurité des données dans l'industrie Grâce à des mécanismes de sécurité tels que l'authentification, le codage des données ou le contrôle d'accès, SCALANCE S assure la protection des réseaux et des données d'une entreprise contre l'espionnage, la falsification et les accès non autorisés. SOFTNET Security Client autorise un accès en toute sécurité aux appareils protégés par SCALANCE S W In d u s t r i a l W i r e l e ss L A N SCALANCE W Une technique radio fiable pour les réseaux industriels sans fil (IWLAN) Sur la base d'un réseau local industriel sans fil, SCALANCE W permet une communication homogène jusque dans des secteurs difficilement accessibles voir inaccessibles jusqu'ici, grâce à la réservation de bande passante ou la surveillance de la liaison radio. SCALANCE W utilise les standards WLAN selon IEEE 802.11a/b/g/h. X Ré seaux c o m m u t é s SCALANCE X Commutateurs Industrial Ethernet depuis l'entrée de gamme jusqu'aux réseaux haute performance SCALANCE X offre une gamme échelonnée de commutateurs Industrial Ethernet dotés de nombreuses fonctionnalités, p. ex. diagnostic via PROFINET, SNMP ou Web, répondant à diverses exigences en terme de structure de réseau, de vitesse de transmission et de nombre de ports. 2 SCALANCE Performance modulable KB_SCALANCE_S_frz.FH10 Wed Aug 09 10:45:44 2006 Seite 4 C M Y CM MY CY CMY K Sécurité des réseaux industriels avec SCALANCE S L'automatisation moderne se base sur la communication et la mise en réseau d'îlots de production. Dans ce contexte, l'intégration de toutes les composantes de fabrication, y compris la mise en réseau avec la bureautique ou l'Intranet de la société, joue un rôle de plus en plus important. Il en va de même de l'utilisation de mécanismes TIC comme le serveur Web et le courrier électronique dans les contrôleurs, ainsi que de l'utilisation des réseaux locaux sans fil (WLAN). La mise en réseau homogène de constituants d'automatisation entre eux ou avec des constituants de l'univers de la bureautique offre la possibilité d'utiliser des technologies connues de la bureautique en conjugaison avec le réseau d'automatisme. Dans le même temps, cela augmente le risque d'attaques depuis le réseau externe. En recourant aux nouvelles technologies, la communication industrielle s'expose dès lors aux mêmes dangers, tels que piratage, virus, vers et chevaux de Troie, bien connus de la bureautique et de l'Internet. Il est donc indispensable d'établir une protection fiable des réseaux d'automatisation contre les accès non autorisés et les perturbations du réseau externe. Les concepts de sécurité existants sont conçus pour la bureautique et exigent un entretien constant ainsi qu'un savoir d'expert. En règle générale, ils ne maîtrisent pas non plus les protocoles spécifiques à la communication industrielle ou ne sont pas à la hauteur des conditions environnementales particulières. Le besoin de sécurité des réseaux augmente. Une étude de marché indépendante a enquêté sur l'importance de la sécurité des réseaux pour les utilisateurs de solutions de mise en réseau Ethernet dans les réseaux de production et d'automatisation et a étudié les risques potentiels encourus par les utilisateurs Ethernet. Cette étude montre que la majeure partie d'entre eux utilise déjà ou prévoit d'utiliser des produits de sécurisation des réseaux. Utilisation de produits de sécurité des réseaux Automatisation manufacturière Utilisateur final, industrie automobile (>300MA) OEM dans l'industrie 27% 7% 53% 17% 66% 30% Automatisation des procédés Utilisateur final, industrie chimique (>300MA) OEM dans le secteur du génie des procédés 25% 48% 10% 65% 25% 27% oui, en service non, mais utilisation vraisemblable non, ni aujourd'hui ni plus tard Sécurité industrielle avec SCALANCE S 3 KB_SCALANCE_S_frz.FH10 Wed Aug 09 10:45:44 2006 Seite 5 C M Y CM MY CY CMY K Industrial Security La sécurité en automatisation La tentation d'utiliser des stratégies TIC typiques de la bureautique est généralement vouée à l'échec, car le secteur de l'automatisation présente un contexte et des objectifs de sécurité différents (p. ex. exigences différentes, risques différents). L'intégration directe de la sécurité informatique dans les solutions d'automatisation présente un avantage décisif par rapport à des solutions TIC conventionnelles, car cette solution est la seule permettant d'éviter que la sécurité informatique et l'application d'automatisation entrent en concurrence et interfèrent négativement. L'industrie enregistre actuellement trois tendances qui l'influencent déjà et qui continueront assurément à l'influencer fortement à l'avenir : L'interpénétration des réseaux de production et de bureautique ne cesse de croître : De ce fait, l'environnement bureautique et l'environnement de la production font appel aux mêmes technologies (p. ex. Ethernet), les ressources sont partagées (p. ex. réseau unique), et les problèmes et les risques liés à l'Internet (p. ex. les virus) se transmettent aussi au niveau automatisation. Les logiciels et les systèmes sur base logicielle jouent un rôle toujours plus important dans le déroulement de la production avec pour conséquence que les exigences exprimées par la bureautique envers les TIC concernent aussi le niveau automatisation. Comme le paysage des TIC est encore très hétérogène dans de nombreuses entreprises, on observe dans chaque secteur industriel une tendance à la consolidation des TIC qui passe par la réorganisation et la rationalisation des infrastructures à l'échelle de l'entreprise. Les installations de production sont impliquées dans ce processus. 4 Sécurité industrielle avec SCALANCE S Avantages de la sécurité industrielle Sécurité TIC de l'installation ou de la machine Systèmes plus stables grâce à des composants durcis Elimination de coûts potentiels liés au comblement ultérieur de lacunes de sécurité ou à la limitation des dégâts. Les OEM peuvent satisfaire aux exigences de sécurité des clients finaux Le respect des dispositions légales de sécurité est plus facile à assurer Amélioration de la gestion des mises à jour de sécurité (gestion des patchs, mises à jour, etc.) KB_SCALANCE_S_frz.FH10 Wed Aug 09 10:45:44 2006 Seite 6 C Avec son concept de sécurité, Siemens offre une solution spécialement conçue pour l'automatisation industrielle, et qui répond aux exigences spécifiques de la communication industrielle. Ce concept utilise des structures Ethernet cohérentes et protège la production et les autres secteurs sensibles au sein de l'entreprise contre les risques liés à la technologie Internet. Siemens est le seul fabricant mondial de systèmes d'automatisation à disposer en interne de tous les constituants et produits nécessaires pour la sécurité des TIC : De l'infrastructure de réseaux jusqu'aux constituants d'automatisme, Siemens est le seul fabricant mondial à proposer tous les ingrédients requis. M Y CM MY CY CMY K SCALANCE S protège les cellules d'automatisation contre les accès non autorisés et les charges de communication inutiles. Même les défauts affectant le réseau externe n'ont aucune influence sur le trafic de données au sein de la cellule d'automatisation. Les modules SCALANCE S protègent la communication indépendamment du protocole d'application utilisé. Tous les protocoles sur base IP ainsi que les protocoles de la couche 2 encore largement répandus en automatisation peuvent donc être protégés sans problèmes, sans restriction du trafic de données productives autorisé. Réseau externe "non sûr" Réseau protégé Modules de sécurité SCALANCE S Modules de sécurité SCALANCE S Réseau protégé Communication sûre avec SCALANCE S Sécurité industrielle avec SCALANCE S 5 KB_SCALANCE_S_frz.FH10 Wed Aug 09 10:45:44 2006 Seite 7 C Réseaux segmentés avec SCALANCE S Avec le concept de sécurité SCALANCE S, il est possible de segmenter le réseau sous l'angle de la sécurité. Il en découle des avantages décisifs. Les modules de sécurité supportent un mode d'apprentissage. Ils détectent automatiquement chaque abonné sur le réseau (même ceux d'autres modules de sécurité). Il n'est plus nécessaire de configurer les abonnés ou de reconfigurer les modules de sécurité existants en cas d'extension de l'installation Avantages du concept de sécurité industrielle : Protection contre l'espionnage et la falsification des données - diagnostic et consignation des tentatives d'attaques Protection contre la surcharge du système de communication Protection contre les interférences Protection contre les erreurs d'adressage Simplicité et convivialité de la configuration et de l'administration, sans connaissances spéciales en sécurité informatique Aucune nécessité de modification ou d'adaptation de la structure de réseau existante Aucune nécessité de modification ou d'adaptation des applications ou des abonnés existants Modulabilité pour les différentes exigences de sécurité Conception robuste, à vocation industrielle 6 Sécurité industrielle avec SCALANCE S M Y CM MY CY CMY K KB_SCALANCE_S_frz.FH10 Wed Aug 09 10:45:44 2006 Seite 8 C M Y CM MY CY CMY K Produits pour la communication sécurisée Modules de sécurité SCALANCE S Les modules de sécurité SCALANCE S offrent une fonctionnalité de sécurité modulable : Pare-feu intégral pour la protection des automates contre les accès non autorisés, indépendamment de la taille du réseau à sécuriser En alternative ou en complément, VPN (Virtual Private Network) pour l'authentification sûre des partenaires de communication et pour le cryptage de la transmission des données SCALANCE S602 Protection avec pare-feu intégral, conversion d'adressage (NAT/NAPT), serveur DHCP et Syslog SCALANCE S612 Protection avec pare-feu intégral Protection pour jusqu'à 32 appareils avec support pour un maximum de 64 tunnels VPN simultanés SCALANCE S613 Protection avec pare-feu intégral Protection pour jusqu'à 64 appareils avec support pour un maximum de 128 tunnels VPN simultanés Plage de température élargie de -20 °C à +70 °C SOFTNET Security Client Le logiciel SOFTNET Security Client sert de VPN-Client pour les consoles de programmation, les PC et les portables en environnement industriel. Il autorise un accès client VPN sécurisé aux systèmes d'automatisation protégés par SCALANCE S. Communication sûre entre automates programmables avec SCALANCE S WAN Ordinateur de maintenance avec logiciel SOFTNET Security Client Pare-feu Ordinateur de conduite de la fabrication avec logiciel SOFTNET Security Client Serveur PC avec logiciel SOFTNET Security Client Serveur PC Module de sécurité SCALANCE S Niveau MES Réseau bureautique PC Serveur Commutateur SCALANCE X-400 Switch SCALANCE X414-3E Réseau d'automatisation Accès sécurisé (tunnel VPN) PROFINET PROFINET Industrial Ethernet Module de sécurité SCALANCE S Panel PC Conduite & supervision Industrial Ethernet Module de sécurité SCALANCE S Module de sécurité SCALANCE S Cellules robots Cellule robot Cellule d'automatisation Sécurité industrielle avec SCALANCE S 7 KB_SCALANCE_S_frz.FH10 Wed Aug 09 10:45:44 2006 Seite 9 C M Y CM MY CY CMY K Applications et solutions Protection du réseau de production interconnecté avec le réseau bureautique Énoncé du problème Le réseau de production doit être protégé contre des accès non autorisés depuis le réseau bureautique et les cellules d'automatisation doivent être protégées contre toute influence mutuelle. Une parfaite fluidité est requise entre le niveau de gestion et le niveau de terrain afin de pouvoir réaliser un diagnostic cohérent des appareils de terrain et des constituants de réseau. Des cellules pour l'essentiel similaires (p. ex. mêmes adresses IP privées) doivent être protégées contre un accès non autorisé. Un serveur syslog doit consigner tous les accès, p. ex. attaques par des pirates ou les surcharges. La fonctionnalité de consignation d'événements permet la surveillance d'accès et consigne les accès et les tentatives d'attaques afin de pouvoir prendre des mesures préventives. Pour une protection efficace des cellules de structure identique, il est nécessaire de disposer d'une conversion d'adressage IP. Les modules de sécurité SCALANCE S602 utilisent à cet effet la fonctionnalité NAT/NAPT. Les informations Syslog, p. ex. les données de process, sont automatiquement envoyées au serveur Syslog. Le réseau de production est donc protégé de manière efficace et sûre contre les accès non autorisés depuis le réseau bureautique, et ce dernier est lui aussi protégé contre les influences venant du réseau de production. Avantages L'acquisition des données de process, p. ex. nombres de pièces, numéros de série, désignations de type, etc. doit être assurée. Protection de l'installation contre les accès non autorisés et la surcharge de la communication grâce à l'utilisation de modules SCALANCE S La configuration doit être facile à réaliser par un personnel de maintenance et de SAV ne disposant pas de connaissances spéciales en matière de sécurité. Protection efficace contre les interférfences entre le réseau de production et le réseau bureautique. Surveillance continue des accès au réseau de production Solution Réduction de coûts grâce à l'économie d'adresses IP publiques L'utilisation de SCALANCE S602 comme pare-feu sert à filtrer les paquets de données et autorise des liaisons de communication selon les règles du pare-feu. Le filtrage peut porter sur les communications entrantes et sortantes, sur les adresses IP et MAC et sur les protocoles de communication (ports). Il est en outre possible de régler une limitation de la surcharge. Maintenance et diagnostic simple, car toutes les cellules protégées peuvent présenter une même structure Le pare-feu intégré dans les modules de sécurité peut être configuré de façon à ne libérer l'accès qu'à des stations données. 8 Applications et solutions avec SCALANCE S KB_SCALANCE_S_frz.FH10 Wed Aug 09 10:45:44 2006 Seite 10 C M Y CM MY CY CMY K Accès à distance Environnement bureautique PC de bureau Station CAO Acquis. données process Systèmes test Serveur anti-virus Serveur fichiers, archive Serveur Syslog Serveur d'imprimantes Serveur DHCPDNS Réseau d'usine Imprimante Centre de recherche usine Industrial Ethernet SCALANCE X414-3E SCALANCE S602 en tant que pare-feu avec NAT/NAPT, DHCP et Syslog Robot S7-400 avec CP 443-1 Surveillance des cordons de colle PC laser PC goujons PC installation Commande Console Visseuses goujons de progr. Commande soudage Robot S7-400 avec CP 443-1 Surveillance des cordons de colle PC laser PC goujons Commande Console Visseuses goujons de progr. Commande soudage G_IK_XX_30043 PC installation Cellules de l'installation Réseau de production de carrosseries SCALANCE S602 en tant que pare-feu avec NAT/NAPT, DHCP et Syslog Réseau sécurisé Réseau non sécurisé Réseau d'installation protégé par SCALANCE S Applications et solutions avec SCALANCE S 9 KB_SCALANCE_S_frz.FH10 Wed Aug 09 10:45:44 2006 Seite 11 C M Y CM MY CY CMY K Protection du système d'automatisation contre les influences du réseau bureautique Énoncé du problème Le système d'automatisation doit permettre la fluidité de l'information du niveau gestion au niveau terrain et donc un diagnostic cohérent des appareils de terrain et des constituants de réseau. L'utilisation de standards ouverts ainsi que d'un système de bus pérenne doit conférer au système une évolutivité vers les applications futures. Les risques potentiels tels que p. ex. l'influence de la surcharge sur la communication ou des erreurs d'accès doivent être exclus grâce aux mécanismes de sécurité. La configuration doit être facile à réaliser par un personnel de maintenance et de SAV sans formation spécialisée. Le pare-feu filtre les paquets de données et inhibe ou autorise les connexions selon la liste de filtrage (pare-feu à filtre de paquets). Le filtrage peut porter sur les communications entrantes et sortantes, sur les adresses IP et MAC et sur les protocoles de communication (ports). Il est en outre possible de régler une limitation de la surcharge. Le pare-feu intégré dans les modules de sécurité peut être configuré de façon à ne libérer l'accès qu'à certaines stations. La fonctionnalité de journalisation permet la surveillance de l'accès et consigne les accès et les tentatives d'attaques afin de pouvoir prendre des mesures préventives. Ces informations sont stockées dans un fichier journal par le module de sécurité. Avantages Solution Protection contre les accès non autorisés et la surcharge de la communication avec des modules SCALANCE S L'utilisation du nouveau standard de communication PROFINET sur la base d'Industrial Ethernet permet d'assurer la fluidité verticale et horizontale. Débits de transmission élevés autorisés par Industrial Ethernet La structure du réseau repose sur des commutateurs Industrial Ethernet de la gamme SCALANCE X-200. La sécurité du réseau d'automatisation vis à vis des influences du réseau bureautique fait appel aux modules de sécurité SCALANCE S-600 utilisés en pare-feu. Intégration simple et non-régressive dans des réseaux existants Flexibilité accrue procurées par les standards ouverts Configuration aisée du diagnostic, tant des constituants de réseau SCALANCE X que des appareils de terrain Maintenance facilitée par des fonctions de diagnostic centrales Protection de cellules d'automatisation par tunnel VPN Supervision avec WinCC Flexible Runtime Field PG IE FC RJ45 Plug 180 STEP 7 configuration, diagnostic SOFTNET Security Client SCALANCE S612 SCALANCE S612 Commutateur SCALANCE X208 Station SIMATIC 1 avec CP 343-1 Transfert de données productives via VPN Station SIMATIC 2 avec CP 343-1 Lean ET 200 S avec IM 151-3 PN Cellule d'automatisation 2 Cellule d'automatisation 1 Réseau sécurisé Réseau non sécurisé 10 Applications et solutions avec SCALANCE S KB_SCALANCE_S_frz.FH10 Wed Aug 09 10:45:44 2006 Seite 12 C M Y CM MY CY CMY K Sécurité des données par cryptage Énoncé du problème Les automates même dépourvus de fonctions de sécurité propres doivent être protégés dans la cellule d'automatisation. Les paramètres existants du réseau (topologie, adresses, protocoles utilisés) ne doivent pas être modifiés par l'implémentation de la sécurité. Des mécanismes d'authentification et de cryptage des données doivent être utilisés afin d'empêcher tout risque de falsification des adresses IP et des données et de protéger contre l'espionnage. La transmission des données est en outre cryptée, ce qui assure sa protection contre l'espionnage et la falsification. Le logiciel SOFTNET Security Client est utilisé pour la réalisation de liaisons VPN de PG/PC avec des segments de réseaux. Cette solution autorise un accès client VPN sécurisé depuis des PC/portables à des systèmes ou à des cellules d'automatisation protégés par SCALANCE S. Avantages Solution Des réseaux VPN (Virtual Private Networks) autorisent une authentification sûre des acteurs de la communication et le cryptage des données transmises. Les modules de sécurité SCALANCE S sont utilisés pour la protection de réseaux d'automatisme et l'échange sécurisé de données entre systèmes d'automatisation. La communication ne peut avoir lieu qu'entre appareils authentifiés et autorisés. Cela protège contre les risques d'erreurs de manipulation, prévient les accès non autorisés et évite les dérangements et la surcharge de la communication. Protection étendue de l'installation contre les accès non autorisés, la falsification, l'espionnage et la surcharge de la communication par l'utilisation de la technologie VPN avec SCALANCE S et SOFTNET Security Client Facilité de configuration des mécanismes de sécurité, même sans connaissances spécialisées Pas besoin de modifier ou d'adapter la structure de réseau existante, les applications ou les abonnés du réseau, d'où une intégration facile dans des structures existantes. Protection de cellules d'automatisation par pare-feu Supervision avec Security Configuration Tool STEP 7 configuration, diagnostic PC 1 avec SOFTNET Security Client SOFTNET Security Client Commutateur SCALANCE X208 Commutateur SCALANCE X414-3E PC 2 S7-300 Module de sécurité SCALANCE S612 ET 200S Commutateur SCALANCE X208 S7-300 Module de sécurité SCALANCE S612 Systèmes de conduite et de supervision Réseau sécurisé Réseau non sécurisé Applications et solutions avec SCALANCE S 11 KB_SCALANCE_S_frz.FH10 Wed Aug 09 10:45:44 2006 Seite 13 C M Y CM MY CY CMY K Protection des données en communication mobile Énoncé du problème Une console Field PG sert de terminal mobile. L'accès mobile pour la mise en service et la maintenance d'appareils de terrain et des commandes ainsi que la conduite et la supervision mobiles ne doivent être accessibles qu'aux personnes autorisées. Le personnel doit pouvoir se déplacer librement dans un local et accéder aux données de composants de machine et de commande dans le champ radio. Cette solution doit réduire au minimum les temps d'arrêt et les coûts de personnel. Les constituants doivent convenir à l'utilisation en intérieur et en extérieur. La configuration de l'accès restreint doit être paramétrable de façon aussi simple que possible, car l'exploitation de l'installation ne sera assurée que par des automaticiens. Solution L'utilisation des modules de sécurité SCALANCE S et du logiciel SOFTNET Security Client permet de réaliser une authentification sûre des abonnés et le cryptage de la transmission des données par des tunnels VPN, d'empêcher des erreurs de manipulation et des accès non autorisés ainsi que l'espionnage et la falsification. Avantages La communication mobile est protégée contre les accès non autorisés, la falsification, l'espionnage et la surcharge de la communication Intégration simple d'autres abonnés mobiles, même dans des systèmes d'automatisation existants Economies de ressources à la maintenance Facilité de configuration des mécanismes de sécurité, même sans connaissances spécialisées Pour garantir une couverture optimale, on réalise tout d'abord une épure de couverture et une planification du champ radio. La couverture du local concerné est assurée par un point d'accès SCALANCE W788-1PRO. Le robuste boîtier métallique avec protection IP65 permet une utilisation aussi bien en intérieur qu'en extérieur. La fonction d'itinérance des réseaux Industrial Wireless LAN (IWLAN) permet aux utilisateurs de se déplacer librement dans le champ radio. Accès sûr par SOFTNET Security Client à des cellules d'automatisation protégées par SCALANCE S PC/IPC avec CP 1612 et logiciel SOFTNET Security Client PC/PG/portable avec CP 7515 et logiciel SOFTNET Security Client Point d'accès SCALANCE W788-1PRO Industrial Ethernet Accès sécurisé (tunnel VPN) Module de sécurité SCALANCE S Cellule d'automatisation 1 Module de sécurité SCALANCE S Cellule d'automatisation 2 Réseau sécurisé Réseau non sécurisé 12 Applications et solutions avec SCALANCE S Module de sécurité SCALANCE S Cellule d'automatisation 3 KB_SCALANCE_S_frz.FH10 Wed Aug 09 10:45:44 2006 Seite 14 C M Y CM MY CY CMY K Sécurité reconnue La famille SCALANCE S a été soumise à une évaluation de la sécurité par la société "escrypt GmbH" (www.escrypt.com) Résultat : "...le module de sécurité (SCALANCE S) autorise une configuration totalement sûre par un renforcement manuel des règles .... De par sa fonctionnalité de pont, l'appareil peut s'intégrer simplement dans des réseaux existants. Le module de sécurité remplit sa mission et protège un réseau d'automatisation. Il convient de souligner la simplicité de la configuration qui ne nuit nullement à la sécurité. Le module SCALANCE S602 est extrêmement robuste et satisfait avec brio aux exigences particulières du secteur de l'automatisation." Security evaluat ed by Cryptage des données transmises - Protection contre l'espionnage - Protection contre la falsification des données Facilité de manipulation grâce à la configuration minimale, pas de connaissances spéciales en sécurité informatique requises Aucune nécessité de modification ou d'adaptation des applications ou des abonnés existants La sécurisation de la communication est indépendante du protocole (PROFINET, Ethernet/IP, MODBUS TCP etc.) Remplacement d'appareil sans recours à une console PG si les données de configuration sont sauvegardées sur une cartouche C-PLUG (non comprise dans la fourniture). Les produits de sécurité SIMATIC NET satisfont aussi aux exigences figurant dans le guide de la sécurité PROFINET (www.profinet.com). Modules de sécurité SCALANCE S602/S612/S613 Les modules de sécurité protègent les réseaux d'automatisation et autorisent un échange de données sécurisé entre systèmes d'automatisation Les modules de sécurité autorisent uniquement la communication entre des appareils authentifiés et autorisés : - Protection contre les fausses manuvres - Inhibition des accès non autorisés - Suppression des perturbations et des risques de surcharge de la communication SOFTNET Security Client SOFTNET Security Client fait partie intégrante du concept de sécurité industrielle destiné à protéger les automates programmables et à assurer la sécurité de l'échange de données entre systèmes d'automatisation : Configuration intuitive sans connaissances spéciales en matière de sécurité. - Un outil de configuration commun avec une base de données commune pour SCALANCE S et SOFTNET Security Client - Génération automatique des certificats par l'outil Security Configuration Tool - Apprentissage automatique des abonnés du réseau interne et détection de modules de sécurité SCALANCE S dans le réseau externe Utilisation des mécanisme IPSec éprouvés pour l'établissement et l'exploitation de VPN Accès sécurisé de consoles de programmation, PC et portables aux automates ou aux cellules d'automatisation complètes protégés par SALANCE S SCALANCE S Produits à vocation industrielle pour la sécurité dans le réseau 13 KB_SCALANCE_S_frz.FH10 Wed Aug 09 10:45:44 2006 Seite 15 C M Y CM MY CY CMY K Sécurité de l'automatisation avec nos partenaires de solution Initialisation du processus de sécurité Du fait de l'utilisation croissante de solutions Industrial Ethernet et TIC, les réseaux de production deviennent des réseaux ouverts dès lors qu'ils sont combinés avec un réseau bureautique. Or, les risques de sécurité augmentent proportionnellement aux possibilités d'accès. Ces risques sont combattus par des concepts de sécurité conçus et réalisés par des spécialistes. L'objectif d'un concept de sécurité est de minimiser ou d'éliminer tous les risques potentiels. Nos partenaires de solution sont des spécialistes de la sécurité des données, expérimentés dans le secteur de la bureautique. Ils offrent une assistance complète pour un concept de sécurité adapté de manière optimale et rentable par une série de mesures. Ces mesures sont implémentées en fonction du degré de risque potentiel et de manière échelonnée selon le niveau de sécurité recherché. Elaboration du concept de sécurité Audit de sécurité, analyse du réseau Réalisation : Réalisation des mesures définies Analyse du processus, analyse des risques Contrôle : Contrôle de la réalisation des mesures Amélioration permanente du concept de sécurité Création d'un catalogue de mesures Partenaires de solution Vos avantages Une expertise actuelle en matière de sécurité des données Des conseils étendus Un concept de sécurité personnalisé, sur mesure Vous trouverez de plus amples informations sur Internet à l'adresse : http://www.siemens.com/simatic-net/partner Une réalisation professionnelle des mesures de sécurité Une assistance continue L'analyse des risques des réseaux existants est un élément central et doit suivre une approche globale. Elle couvre l'interface Internet-Intranet au même titre que les infrastructures WirelessLAN, en s'appuyant sur des standards techniques valides. Une solution technique exclusive telle que l'installation d'un pare-feu ou l'utilisation d'une Security Appliance pour certaines cellules de production n'est pas suffisante. Il importe de prévoir en plus des mesures au plan du personnel et organisationnel qui garantissent la réalisation pratique du concept de sécurité élaboré. La sécurité ne peut pas être atteinte par des mesures temporaires, mais par un processus continu. 14 Sécurité de l'automatisation avec nos partenaires de solution KB_SCALANCE_S_frz.FH10 Wed Aug 09 10:45:44 2006 Seite 16 C M Y CM MY CY CMY K Les avantages de la sécurité industrielle en bref Protection contre : - les accès non autorisés - l'espionnage - la falsification des données - une charge de communication trop élevée Utilisable sans connaissances d'expert en sécurité Aucune nécessité de modification ou d'adaptation des topologies, applications ni des abonnés existants Travail de configuration réduit par l'apprentissage automatique des abonnés protégés et génération automatique des certificats par l'outil de configuration Conception robuste, à vocation industrielle Utilisation de standards de sécurité éprouvés et certifiés Industrial Security SCALANCE S 15 KB_SCALANCE_S_frz.FH10 Wed Aug 09 10:45:44 2006 Seite 1 C M Y CM MY CY CMY K Informations supplémentaires Vous trouverez de plus amples informations sur la sécurité industrielle en automatisation à l'adresse : Visitez notre site SIMATIC NET sur Internet : www.siemens.com/automation/simatic-net Vous y trouverez des informations sur nos produits et solutions, les informations actuelles sur SIMATIC NET ainsi qu'un calendrier de manifestations et les parutions dans la presse spécialisée. Pour nous rencontrer personnellement, vous trouverez votre interlocuteur sous : www.siemens.com/automation/partners Avec A&D Mall, vous pouvez commander directement par Internet : www.siemens.com/automation/mall Divers composants SIMATIC NET (par ex. SCALANCE, OSM/ESM, CP avec fonctions Web) mettent à disposition au travers d'interfaces et de protocoles ouverts des fonctions étendues de paramétrage et de diagnostic (par ex. serveur Web, gestion de réseau). Les interfaces ouvertes constituent un accès aux composants, qui peut aussi être utilisé abusivement pour des activités déloyales. Dans le cas de l'utilisation des fonctions mentionnées ci-dessus et de ces interfaces et protocoles ouverts (comme par exemple SNMP, HTTP, Telnet), il faut prévoir des mesures de sécurité appropriées afin d'interdire l'accès illicite aux constituants ou au réseau, particulièrement à partir du WAN / Internet. A cet effet, il est recommandé de séparer les réseaux d'automatisation du réseau d'entreprise par des systèmes pare-feu appropriés, p. ex. SCALANCE S. www.siemens.com/industrial-security y Siemens AG Automation and Drives Industrial Automation Systems Postfach 48 48 90327 NÜRNBERG ALLEMAGNE w w w. s i e men s .c o m/ s i ma t i c - net Les informations de cette brochure contiennent des descriptions ou des caractéristiques qui, dans des cas d'utilisation concrets, ne sont pas toujours applicables dans la forme décrite ou qui, en raison d'un développement ultérieur des produits, sont susceptibles d'être modifiées. Les caractéristiques particulières souhaitées ne sont obligatoires que si elles sont expressément stipulées en conclusion du contrat. Sous réserve des possibilités de livraison et de modifications techniques. Toutes les désignations de produits peuvent être des marques ou des noms de produits de Siemens AG ou de sociétés tierces agissant en qualité de fournisseurs, dont l'utilisation par des tiers à leurs propres fins peut enfreindre les droits de leurs propriétaires respectifs. Sous réserve de modifications | N° de référence : 6ZB5530-1AP03-0BA0 | Dispo 26000 | BS 0706 2. ROT 16 FR / 601320 | Imprimé en Allemagne | © Siemens AG 2006 www.siemens.com/industrial-security