在一些領(lǐng)域中，安全問(wèn)題可能被忽視。例如在制造業(yè)，日志記錄應(yīng)構(gòu)成所有IT 安全策略的基礎(chǔ)。然而，在很多情況下，它卻被遺忘了。以下內(nèi)容能了解zenon 能如何確保達(dá)成安全這一重要目標(biāo)，即如何將安全需求整合進(jìn)集中日志記錄管理系統(tǒng)中。

在IT 領(lǐng)域，日志記錄是指在系統(tǒng)中記錄與安全相關(guān)的進(jìn)程信息。這包括用戶登錄和注銷、創(chuàng)建新工作站或是訪問(wèn)權(quán)限、保存進(jìn)程、數(shù)據(jù)訪問(wèn)實(shí)例，以及錯(cuò)誤消息和狀態(tài)。簡(jiǎn)而言之，日志記錄意味著記錄誰(shuí)在系統(tǒng)中做什么，什么時(shí)候做的。通常記錄在日志文件中的數(shù)據(jù)可以被授權(quán)用戶可以訪問(wèn)日志文件以分析決策。

在物聯(lián)網(wǎng)時(shí)代，公司的機(jī)器、設(shè)備、測(cè)量?jī)x器和其他生產(chǎn)單元需要在其IT 基礎(chǔ)設(shè)施上實(shí)現(xiàn)數(shù)字化和網(wǎng)絡(luò)化。但是在做以上任務(wù)的同時(shí)，為它們各自不同的通訊方式而建立一個(gè)集中式日志管理系統(tǒng)的目標(biāo)卻往往被置于次要地位。這部分歸因于工業(yè)部門通常使用的是異構(gòu)控制系統(tǒng)，以及對(duì)系統(tǒng)日志信息作用的相關(guān)信息的缺乏。此外，也是基于并非所有在使用的自動(dòng)化組件內(nèi)都具有適當(dāng)?shù)募夹g(shù)接口或配置選項(xiàng)。

盡管存在以上問(wèn)題和挑戰(zhàn)，一個(gè)現(xiàn)代化的自動(dòng)化系統(tǒng)平臺(tái)（如zenon）仍可為用戶的此類日志記錄的安全需求提供終極的解決方案和策略。為此要將所有的單元操作系統(tǒng)納入集中日志戰(zhàn)略體系。為此所有相關(guān)安全標(biāo)準(zhǔn)——如 ISO 27001 或 IEC 62443 ——必須規(guī)定為用戶 IT 的整體要求之一。

作為一名IT 安全負(fù)責(zé)人，首先需要考慮的是可能納入系統(tǒng)下的數(shù)據(jù)源的范圍。通 常，HMI/SCADA 系 統(tǒng)（ 如 zenon supervisor 或zenon operator）可提供用于這類日志記錄的信息。

事件列表、操作日志在所有的自動(dòng)化解決方案中通?？捎?，并包含與安全相關(guān)的信息以及生產(chǎn)數(shù)據(jù)。例如，包括該類系統(tǒng)用戶的登錄和注銷信息，以及詳細(xì)描述客戶端何時(shí)登錄到服務(wù)器的信息。在最新的 zenon 版本中，用戶還可以篩選此類信息。

報(bào)警信息列表可以提供各類關(guān)鍵系統(tǒng)狀態(tài)的特定信息。這些信息可以與實(shí)際生產(chǎn)過(guò)程相關(guān)，也可用于監(jiān)視IT 的基本組件。在zenon 中就包括有計(jì)算機(jī)硬件的利用，CPU 的負(fù)載，以及應(yīng)用程序?qū)?nèi)存的要求等。用戶可有針對(duì)性地對(duì)一些運(yùn)維指標(biāo)進(jìn)行監(jiān)控。這意味著，使用集中日志記錄系統(tǒng)可以輕松指定和識(shí)別與操作狀態(tài)相關(guān)的非典型事件，例如，對(duì)生產(chǎn)處于停頓狀態(tài)時(shí)（如夜間停工）發(fā)生數(shù)據(jù)盜竊事件的觀測(cè)。

zenon 提供了許多方法來(lái)監(jiān)控網(wǎng)絡(luò)和單個(gè)zenon 驅(qū)動(dòng)程序的通訊狀態(tài)。借助驅(qū)動(dòng)程序的系統(tǒng)變量，和每個(gè)驅(qū)動(dòng)程序可用的通訊詳細(xì)信息，可以保持獲得每次通信的所有詳細(xì)信息。例如，在時(shí)間順序排列的事件列表（CEL）中就記錄有應(yīng)按標(biāo)準(zhǔn)操作的網(wǎng)絡(luò)各參與方的活動(dòng)、連接的嘗試信息，以及數(shù)據(jù)包的數(shù)量。這樣在發(fā)生非常情況時(shí)，可以通過(guò)報(bào)警消息列表（AML）或 CEL 模塊通知用戶和中央安全日志記錄系統(tǒng)。

幾乎每個(gè)自動(dòng)化解決方案都應(yīng)包含一個(gè)日志記錄系統(tǒng)（通常為本地布置），該系統(tǒng)通常僅用于錯(cuò)誤診斷。這些日志文件的信息通常很廣泛，在集成到中央日志管理系統(tǒng)之前應(yīng)仔細(xì)分析。此類數(shù)據(jù)源往往可用于對(duì)事件進(jìn)行取證分析，但它不太適合于實(shí)時(shí)的記錄事件。而zenon則提供了含全部功能的日志記錄系統(tǒng)，用戶可以單獨(dú)配置所需要的詳細(xì)信息的級(jí)別。通常應(yīng)將正常操作產(chǎn)生的日志記錄保持在較低級(jí)別上，以最大限度地減少系統(tǒng)的負(fù)擔(dān)。如果懷疑有安全漏洞，則可根據(jù)上述數(shù)據(jù)源的信息，適當(dāng)增加日志記錄的深度。然后就可以根據(jù)這些更廣泛的信息進(jìn)行取證分析。

上述開始運(yùn)行時(shí)，應(yīng)確定企業(yè)可適用系統(tǒng)的數(shù)據(jù)源，并定義系統(tǒng)關(guān)鍵狀態(tài)。通常體系內(nèi)部會(huì)廣泛存在的可用的應(yīng)用數(shù)據(jù)。但是在某些情況下，如果此信息在應(yīng)用程序中尚未可用，則必須及時(shí)添加此類信息。

如果您不想對(duì)現(xiàn)存的zenon 應(yīng)用程序進(jìn)行根本修改的話，則多項(xiàng)目管理功能可以幫助企業(yè)實(shí)現(xiàn)跨網(wǎng)絡(luò)的集成，以達(dá)到將單個(gè)獨(dú)立的日志記錄集中監(jiān)視的目標(biāo)。此功能可以將其他項(xiàng)目的日志記錄數(shù)據(jù)添加到中央日志記錄項(xiàng)目中。例如可以將SNMP 客戶端集成到zenon 中，該客戶端會(huì)從IT 設(shè)備（例如網(wǎng)卡或路由器）接收SNMP traps 的信息，同時(shí)檢查其ping 狀態(tài)，并將此類信息傳送到日志記錄系統(tǒng)中。這種策略能夠集中維護(hù)日志實(shí)例，并整合一個(gè)接口上的所有信息。

作為集成商或系統(tǒng)操作員，將此類信息傳輸?shù)絀T 總部系統(tǒng)的最簡(jiǎn)單方法是什么？現(xiàn)有IT 環(huán)境中使用的哪些接口是有效的？zenon 為此類問(wèn)題提供了兩種技術(shù)方案，每種技術(shù)方案都是使用了單獨(dú)的進(jìn)程網(wǎng)關(guān)。這意味著可以輕松地將來(lái)自 zenon 應(yīng)用程序的任何信息集成到中央日志記錄系統(tǒng)中。

簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）是用于監(jiān)視和控制網(wǎng)絡(luò)組件的標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，例如集中控制室的路由器、服務(wù)器、交換機(jī)、打印機(jī)等。該協(xié)議規(guī)范會(huì)監(jiān)視設(shè)備和監(jiān)控站點(diǎn)之間的通信。SNMP 規(guī)定可以發(fā)送的數(shù)據(jù)包的結(jié)構(gòu)以及通信的過(guò)程。該協(xié)議可以將任何與網(wǎng)絡(luò)兼容的設(shè)備合并到監(jiān)控系統(tǒng)中。由于SNMP 的簡(jiǎn)單、模塊化和多樣性，現(xiàn)已發(fā)展成為大多數(shù)管理程序和最終設(shè)備支持的標(biāo)準(zhǔn)。

最新8.20 版本還提供 Syslog 的集成，規(guī)定了用于在IP 網(wǎng)絡(luò)中傳輸日志消息的全局標(biāo)準(zhǔn)。該協(xié)議的結(jié)構(gòu)非常簡(jiǎn)單。Syslog 客戶端向收件人發(fā)送不多于1024 字節(jié)的短信息。此信息能通過(guò) zenon 基于 UDP 的協(xié)議進(jìn)行傳輸。這使得在集中目錄中集成各種日志數(shù)據(jù)變得非常容易。

相信所有優(yōu)秀的IT 安全理念都是基于其有效的日志記錄，這不僅適用在傳統(tǒng)的 IT 環(huán)境中，同樣也針對(duì)數(shù)字工廠的建設(shè)。為此 zenon 已經(jīng)提供了用戶許多這方面的選項(xiàng)，以幫助您實(shí)施此類戰(zhàn)略，并在數(shù)字工廠環(huán)境中最大限度地提高系統(tǒng)的安全性。