資安管理是保護(hù)企業(yè)營運(yùn)的關(guān)鍵防線。透過個(gè)人化權(quán)限管理與資安措施,不僅防止資料泄露,更確保生產(chǎn)不中斷與人員安全。如何有效防范未經(jīng)授權(quán)操作并提升效率?本文敘述實(shí)用技術(shù)與最隹化策略協(xié)助全面保護(hù)企業(yè)安全。
我們在重要區(qū)域使用門、鎖和鑰匙來限制存取,工業(yè)環(huán)境中的安全防護(hù)也是如此。對於企業(yè)而言,必須保護(hù)的不僅是人員(安全),還有機(jī)械設(shè)備和敏感資料(工業(yè)資安)。欠缺安全與資安可能帶來的後果包括不當(dāng)操作、意外事故,甚至是嚴(yán)重的網(wǎng)路攻擊。因此,清晰定義存取權(quán)限并進(jìn)行全方位的進(jìn)入管理,有助於確保整體性安全和工業(yè)資安,保障設(shè)備的穩(wěn)定運(yùn)行。
| 圖一 : 全方位識別進(jìn)入管理 (I.A.M.) 可控制對應(yīng)用的存取,由此確保安全功能和措施的完整性 - 包含安全和工業(yè)資安。 |
|
全面性存取管理:保護(hù)機(jī)器與資料的雙重防線
在工業(yè)生產(chǎn)中,常見的場景是透過安全門向人員傳遞訊息,警示危險(xiǎn)區(qū)域的存在。人員可以透過人機(jī)介面(HMI)或鑰匙來存取安全圍欄後的程序,但若這些人員未經(jīng)授權(quán)或不具資格,便可能危及自身或他人的安全。
此外,惡意人士也可能非法修改程序,無論是透過直接操作機(jī)器還是遠(yuǎn)端存取。這顯示出安全與工業(yè)資安的緊密關(guān)聯(lián),而工業(yè)資安能確保機(jī)器安全的完整性。例如,工業(yè)資安可防止外部未經(jīng)授權(quán)的存取,并保護(hù)敏感資料免於內(nèi)部篡改或遺失。
安全與資安的雙向協(xié)作:建立清晰的權(quán)限管理
工廠與機(jī)械設(shè)備的操作人員必須明確地分配任務(wù)與權(quán)限,以有效建立識別進(jìn)入管理系統(tǒng)。這不僅包括操作指示或定期檢查等組織性措施,還需在生產(chǎn)環(huán)境中整合適當(dāng)?shù)馁Y安解決方案。
如果忽視這些措施,在發(fā)生意外事故或生產(chǎn)停工時(shí),公司可能面臨嚴(yán)重責(zé)任問題。過去,這類資安措施多為自愿性質(zhì),但隨著安全與資安連結(jié)的重要性被立法者認(rèn)可,現(xiàn)在已成為強(qiáng)制性要求,新機(jī)械規(guī)章也規(guī)定了強(qiáng)制性的資安措施。
操作模式與安全性提升:確保功能安全的最隹實(shí)踐
依據(jù)各種 CE 標(biāo)準(zhǔn),不同的操作模式必須具備對應(yīng)的安全功能。這些操作模式包括自動(dòng)模式、限制條件下的手動(dòng)干預(yù),以及服務(wù)模式等。
根據(jù) EN ISO 16090-1 規(guī)范,加工中心和專用機(jī)械設(shè)備至少需要具備兩種操作模式,以確保功能安全。
最重要的是,一次只能選擇并啟用一種操作模式,且其狀態(tài)必須清楚顯示,這樣才能確保操作的安全性。
防止匿名存取:精準(zhǔn)控管操作權(quán)限
如何決定哪些人員在特定操作模式下具備存取權(quán)限,甚至可以變更操作模式?為此,需明確定義不同的人員群組,例如操作人員、清潔人員或維護(hù)人員,并根據(jù)其任務(wù)和資格分配存取權(quán)限。
依公司規(guī)模不同,啟動(dòng)和存取權(quán)限可以針對不同使用者群組或整個(gè)公司使用的機(jī)器類型設(shè)置。在風(fēng)險(xiǎn)評估期間,安全專家會評估匿名存取帶來的風(fēng)險(xiǎn),并進(jìn)行等級評分。最終,為降低風(fēng)險(xiǎn)而采取的措施將根據(jù)最新技術(shù)并符合統(tǒng)一標(biāo)準(zhǔn)。
簡化操作以防止擅改:提升系統(tǒng)可靠性
在實(shí)施資安措施時(shí),確保操作簡便和實(shí)用性是防止擅改的關(guān)鍵。這些概念已在機(jī)器制造商的開發(fā)過程中得以應(yīng)用。直覺式的操作系統(tǒng)可減少人員省略安全預(yù)防措施或不當(dāng)操作的風(fēng)險(xiǎn),從而提升整體系統(tǒng)的安全性。
同時(shí),周全的安全系統(tǒng)設(shè)計(jì)有助於提高生產(chǎn)效率,避免不必要的停工時(shí)間。「破壞安全防護(hù)」的問題是 EN ISO 14119 的重要層面,該標(biāo)準(zhǔn)定義了安全門系統(tǒng)的設(shè)計(jì)和選擇原則,提供了防止擅改的實(shí)用指引。
量身打造的防護(hù)安全門:靈活與智慧的安全系統(tǒng)
Pilz 的 PSENmlock 等模組化安全門系統(tǒng)將安全門監(jiān)控與防護(hù)鎖定整合在同一系統(tǒng)中,并提供緊急停止、逃脫釋放和機(jī)械重新啟動(dòng)聯(lián)鎖等安全功能。這些系統(tǒng)具有高度靈活性和分散式智慧,適用於多種安全應(yīng)用。
個(gè)別解決方案由感測器、逃脫釋放裝置、門把以及控制與按鈕單元組成,使用者可以根據(jù)應(yīng)用需求設(shè)計(jì)專屬的安全門解決方案。隨著工業(yè)資安需求的增加,存取和權(quán)限管理已成為設(shè)計(jì)的重點(diǎn)。
| 圖二 : 具適當(dāng)把手模組(左上)的安全門系統(tǒng)PSENmlock、具整合式存取權(quán)限系統(tǒng) PITreader(右上)的按鈕單元 PITgatebox 及可程式小型安全控制器 PNOZmulti2(右下)的靈活組合,加上診斷解決方案 Safety Device Diagnostics(左下)可提供具存取權(quán)限的完整安全門解決方案。 |
|
安全與資安的整合解決方案:操作模式與存取控制
防止未經(jīng)授權(quán)的存取可透過操作模式選擇與存取權(quán)限系統(tǒng)來實(shí)行,這種結(jié)合安全與工業(yè)資安的解決方案由 Pilz PITmode 系列產(chǎn)品提供。PITmode 裝置能在不同操作模式之間切換,并精準(zhǔn)控管存取權(quán)限,所有操作直覺簡單。每位使用者都會獲得個(gè)別的傳收器,以進(jìn)行清楚的身分驗(yàn)證并防止擅改。
| 圖三 : Pilz 的 PITmode 組合版本是將安全和工業(yè)資安結(jié)合於一個(gè)系統(tǒng)中的模組化操作模式選擇與存取權(quán)限系統(tǒng)。 |
|
個(gè)別管理存取與操作模式的靈活應(yīng)用
PITmode 系列提供多種版本,以便針對不同的安全需求進(jìn)行個(gè)別設(shè)計(jì)。PITmode 作為小巧的全功能裝置,包含操作模式選擇按鈕與評定單元,有效節(jié)省安裝空間。模組化的 PITmode 組合版本包括 RFID 技術(shù)的讀取單元 PITreader、整合式網(wǎng)頁伺服器和安全評定單元(SEU)。
此外,PITmode flex 版本則將 PITreader 與 Pilz 控制器及安全評定的軟體模塊結(jié)合使用,讓存取權(quán)限與操作模式選擇整合到現(xiàn)有控制臺中,并可利用現(xiàn)有按鈕選擇操作模式,操作簡易。PITreader 負(fù)責(zé)進(jìn)行傳收器識別,PITmode 和組合版本能提供高達(dá) PLd 等級的安全操作模式選擇與存取控制。
簡單身分驗(yàn)證 - 支援遠(yuǎn)端操作
若要選擇操作模式,使用者只需將傳收器直接連接至 PITmode,并按下 HMI 上設(shè)定的操作模式按鈕或?qū)?yīng)按鈕。若使用者擁有相應(yīng)權(quán)限,即可存取系統(tǒng)程序。同樣地,維修員工可透過遠(yuǎn)端維護(hù)來存取機(jī)器,但僅在現(xiàn)場人員授權(quán)并啟用對應(yīng)權(quán)限的情況下進(jìn)行。
維護(hù)作業(yè)完成以後,系統(tǒng)會在機(jī)器重新啟動(dòng)之前關(guān)閉存取權(quán)限,以避免未經(jīng)授權(quán)的操作或在維護(hù)後意外開放的端囗。這樣一來,營運(yùn)公司能夠精準(zhǔn)控制誰擁有何種權(quán)限,進(jìn)一步提升工業(yè)資安。
?
完整的進(jìn)入管理解決方案:靈活應(yīng)用與整合
如果僅需要進(jìn)行存取控制,PITreader 也可作為獨(dú)立裝置或與 Pilz 控制器結(jié)合使用,形成存取權(quán)限管理系統(tǒng)。結(jié)合 PNOZmulti 2 可程式小型控制器,系統(tǒng)管理員能透過 PNOZmulti Configurator 工具進(jìn)行簡單的「拖放」配置,來設(shè)定工廠和機(jī)械設(shè)備的存取權(quán)限。這些設(shè)定會透過讀取單元 PITreader 傳輸至 RFID 傳收器密鑰。
| 圖四 : RFID 傳收器密鑰將在 PITreader 中讀取與教導(dǎo)。使用相關(guān)聯(lián)網(wǎng)頁伺服器,輕松即可進(jìn)行存取權(quán)限和操作模式的分配。 |
|
此外,PITreader S 版本支援 OPC UA 標(biāo)準(zhǔn),能與其他制造商的設(shè)備整合使用,使其應(yīng)用不受限於 Pilz 控制器。PITmode 裝置也能輕松整合至現(xiàn)有的控制面板中,進(jìn)一步提升系統(tǒng)的靈活性。
選擇鑰匙、卡或貼紙:靈活應(yīng)用的身分驗(yàn)證
PITreader 卡單元為操作人員和使用者提供額外的靈活性。支援 RFID 的卡和貼紙可與 RFID 傳收器密鑰一起或取代其使用。如果公司已在使用支援 RFID 的卡,這些卡片也可以搭配 PITreader 使用,使得使用者僅需一張卡即可完成多項(xiàng)功能。這些 RFID 傳收器(無論是密鑰、卡片或貼紙)具有結(jié)合多種功能的優(yōu)勢,讓使用者只需攜帶一個(gè)識別媒體,方便實(shí)用。此外,系統(tǒng)管理員在管理和維護(hù)密鑰時(shí)也能節(jié)省大量時(shí)間和工作量。
提供更多資安:強(qiáng)化操作的透明度
資安層面同樣考量使用者身分驗(yàn)證、資格和存取保護(hù)。即使在所有安全措施都已到位的情況下,若意外事故或資安事件發(fā)生,RFID 傳收器也能讀取相關(guān)信息,以判定誰進(jìn)行了哪些變更。如果需要,控制系統(tǒng)還可利用內(nèi)部不可修改的審核軌跡記錄存取時(shí)間,確保操作透明并提高安全性。
謹(jǐn)慎管理的關(guān)鍵:確保全生命周期安全
為了確保安全和工業(yè)資安在應(yīng)用的整個(gè)生命周期中得以保障,系統(tǒng)管理員在維護(hù)權(quán)限方面需投入大量精力。為了簡化管理,Pilz 提供了適當(dāng)?shù)能涹w工具來支援使用者和傳收器的組織管理。這意味著復(fù)雜的權(quán)限矩陣或群組層級規(guī)范可以被隱藏在小型 RFID 密鑰中。透過整合的 PITreader 網(wǎng)頁伺服器,系統(tǒng)管理員可以對 PITmode 或 PITreader 的 RFID 傳收器進(jìn)行編程,并將使用者資料和權(quán)限儲存在其上。所有重要的設(shè)定皆直接在讀取單元上完成,這不僅加速了試運(yùn)轉(zhuǎn),還包括介面的配置,大大提高了管理效率。
限制存取介面:強(qiáng)化 USB 連接埠的安全性
識別進(jìn)入管理的應(yīng)用可擴(kuò)展至特殊工業(yè) USB 連接埠,這些介面往往是資安事件中的主要漏洞之一。透過將存取權(quán)限系統(tǒng) PITreader 與具備 USB 2.0 主機(jī)介面的 PIT oe USB 操作元件結(jié)合,此解決方案能有效防止未經(jīng)授權(quán)的程式匯入、資料外流,以及鍵盤或滑鼠的非法連接。由於 USB 介面僅能在相應(yīng)權(quán)限啟用的情況下使用,因此生產(chǎn)設(shè)施的資料流量能得到有效保護(hù)。搭配 Pilz 的 SecurityBridge 工業(yè)防火墻,可以進(jìn)一步防止未經(jīng)授權(quán)的存取和擅改,確保工業(yè)自動(dòng)化網(wǎng)路的安全性。
現(xiàn)有機(jī)械設(shè)備 - 安全且可靠的升級
若現(xiàn)有機(jī)械設(shè)備需更新至最新技術(shù),或在風(fēng)險(xiǎn)評估中被識別為需要安全升級的一部分,存取權(quán)限系統(tǒng) PITreader 可輕松進(jìn)行翻新。該裝置可直接安裝於標(biāo)準(zhǔn) 22.5 mm 直徑的鑰匙開關(guān)切囗。與 Pilz 控制器結(jié)合後,所需的資安功能可以直接設(shè)置。
| 圖五 : 維護(hù)安全防護(hù)系統(tǒng)「隨身鑰匙」是由存取權(quán)限系統(tǒng) PITreader、按鈕單元 PITgatebox 及可程式小型控制器 PNOZmulti 2或自動(dòng)化系統(tǒng) PSS 4000 等 Pilz 控制器構(gòu)成。 |
|
若使用第三方控制器,則 PITmode 組合版本可用於整合存取權(quán)限和操作模式的評定。依據(jù)使用的傳收器媒體,公司現(xiàn)有的 RFID 密鑰卡也可以用於身分驗(yàn)證。
結(jié)論
為了保護(hù)最重要的資產(chǎn)(即我們的安全),有必要設(shè)計(jì)整體性的安全概念,并定期檢驗(yàn)其是否隨時(shí)符合最新要求。清楚規(guī)定公司內(nèi)部的權(quán)限與存取管理是至關(guān)重要的要素。
這一解決方案包含適當(dāng)?shù)拇胧┖鸵?guī)范,并整合了全面的安全與資安功能。當(dāng)輔以組織使用者和傳收器的輔助軟體元件,PITreader 等存取權(quán)限系統(tǒng)能成為理想的硬體模塊。安全門系統(tǒng)、控制器及相關(guān)軟體等附加元件,以及操作模式選擇等功能,能強(qiáng)化整體性安全與工業(yè)資安的概念,使系統(tǒng)對使用者來說操作簡便,并確保每位使用者都能掌握其所需的鑰匙。
