资安管理是保护企业营运的关键防线。透过个人化权限管理与资安措施，不仅防止资料泄露，更确保生产不中断与人员安全。如何有效防范未经授权操作并提升效率？本文叙述实用技术与最隹化策略协助全面保护企业安全。

我们在重要区域使用门、锁和钥匙来限制存取，工业环境中的安全防护也是如此。对於企业而言，必须保护的不仅是人员（安全），还有机械设备和敏感资料（工业资安）。欠缺安全与资安可能带来的後果包括不当操作、意外事故，甚至是严重的网路攻击。因此，清晰定义存取权限并进行全方位的进入管理，有助於确保整体性安全和工业资安，保障设备的稳定运行。

图一 : 全方位识别进入管理 (I.A.M.) 可控制对应用的存取，由此确保安全功能和措施的完整性 － 包含安全和工业资安。

全面性存取管理：保护机器与资料的双重防线

在工业生产中，常见的场景是透过安全门向人员传递讯息，警示危险区域的存在。人员可以透过人机介面（HMI）或钥匙来存取安全围栏後的程序，但若这些人员未经授权或不具资格，便可能危及自身或他人的安全。

此外，恶意人士也可能非法修改程序，无论是透过直接操作机器还是远端存取。这显示出安全与工业资安的紧密关联，而工业资安能确保机器安全的完整性。例如，工业资安可防止外部未经授权的存取，并保护敏感资料免於内部篡改或遗失。

安全与资安的双向协作：建立清晰的权限管理

工厂与机械设备的操作人员必须明确地分配任务与权限，以有效建立识别进入管理系统。这不仅包括操作指示或定期检查等组织性措施，还需在生产环境中整合适当的资安解决方案。

如果忽视这些措施，在发生意外事故或生产停工时，公司可能面临严重责任问题。过去，这类资安措施多为自愿性质，但随着安全与资安连结的重要性被立法者认可，现在已成为强制性要求，新机械规章也规定了强制性的资安措施。

操作模式与安全性提升：确保功能安全的最隹实践

依据各种 CE 标准，不同的操作模式必须具备对应的安全功能。这些操作模式包括自动模式、限制条件下的手动干预，以及服务模式等。

根据 EN ISO 16090-1 规范，加工中心和专用机械设备至少需要具备两种操作模式，以确保功能安全。

最重要的是，一次只能选择并启用一种操作模式，且其状态必须清楚显示，这样才能确保操作的安全性。

防止匿名存取：精准控管操作权限

如何决定哪些人员在特定操作模式下具备存取权限，甚至可以变更操作模式？为此，需明确定义不同的人员群组，例如操作人员、清洁人员或维护人员，并根据其任务和资格分配存取权限。

依公司规模不同，启动和存取权限可以针对不同使用者群组或整个公司使用的机器类型设置。在风险评估期间，安全专家会评估匿名存取带来的风险，并进行等级评分。最终，为降低风险而采取的措施将根据最新技术并符合统一标准。

简化操作以防止擅改：提升系统可靠性

在实施资安措施时，确保操作简便和实用性是防止擅改的关键。这些概念已在机器制造商的开发过程中得以应用。直觉式的操作系统可减少人员省略安全预防措施或不当操作的风险，从而提升整体系统的安全性。

同时，周全的安全系统设计有助於提高生产效率，避免不必要的停工时间。「破坏安全防护」的问题是 EN ISO 14119 的重要层面，该标准定义了安全门系统的设计和选择原则，提供了防止擅改的实用指引。

量身打造的防护安全门：灵活与智慧的安全系统

Pilz 的 PSENmlock 等模组化安全门系统将安全门监控与防护锁定整合在同一系统中，并提供紧急停止、逃脱释放和机械重新启动联锁等安全功能。这些系统具有高度灵活性和分散式智慧，适用於多种安全应用。

个别解决方案由感测器、逃脱释放装置、门把以及控制与按钮单元组成，使用者可以根据应用需求设计专属的安全门解决方案。随着工业资安需求的增加，存取和权限管理已成为设计的重点。

图二 : 具适当把手模组（左上）的安全门系统PSENmlock、具整合式存取权限系统 PITreader（右上）的按钮单元 PITgatebox 及可程式小型安全控制器 PNOZmulti2（右下）的灵活组合，加上诊断解决方案 Safety Device Diagnostics（左下）可提供具存取权限的完整安全门解决方案。

安全与资安的整合解决方案：操作模式与存取控制

防止未经授权的存取可透过操作模式选择与存取权限系统来实行，这种结合安全与工业资安的解决方案由 Pilz PITmode 系列产品提供。PITmode 装置能在不同操作模式之间切换，并精准控管存取权限，所有操作直觉简单。每位使用者都会获得个别的传收器，以进行清楚的身分验证并防止擅改。

图三 : Pilz 的 PITmode 组合版本是将安全和工业资安结合於一个系统中的模组化操作模式选择与存取权限系统。

个别管理存取与操作模式的灵活应用

PITmode 系列提供多种版本，以便针对不同的安全需求进行个别设计。PITmode 作为小巧的全功能装置，包含操作模式选择按钮与评定单元，有效节省安装空间。模组化的 PITmode 组合版本包括 RFID 技术的读取单元 PITreader、整合式网页伺服器和安全评定单元（SEU）。

此外，PITmode flex 版本则将 PITreader 与 Pilz 控制器及安全评定的软体模块结合使用，让存取权限与操作模式选择整合到现有控制台中，并可利用现有按钮选择操作模式，操作简易。PITreader 负责进行传收器识别，PITmode 和组合版本能提供高达 PLd 等级的安全操作模式选择与存取控制。

简单身分验证 － 支援远端操作

若要选择操作模式，使用者只需将传收器直接连接至 PITmode，并按下 HMI 上设定的操作模式按钮或对应按钮。若使用者拥有相应权限，即可存取系统程序。同样地，维修员工可透过远端维护来存取机器，但仅在现场人员授权并启用对应权限的情况下进行。

维护作业完成以後，系统会在机器重新启动之前关闭存取权限，以避免未经授权的操作或在维护後意外开放的端囗。这样一来，营运公司能够精准控制谁拥有何种权限，进一步提升工业资安。

?

完整的进入管理解决方案：灵活应用与整合

如果仅需要进行存取控制，PITreader 也可作为独立装置或与 Pilz 控制器结合使用，形成存取权限管理系统。结合 PNOZmulti 2 可程式小型控制器，系统管理员能透过 PNOZmulti Configurator 工具进行简单的「拖放」配置，来设定工厂和机械设备的存取权限。这些设定会透过读取单元 PITreader 传输至 RFID 传收器密钥。

图四 : RFID 传收器密钥将在 PITreader 中读取与教导。使用相关联网页伺服器，轻松即可进行存取权限和操作模式的分配。

此外，PITreader S 版本支援 OPC UA 标准，能与其他制造商的设备整合使用，使其应用不受限於 Pilz 控制器。PITmode 装置也能轻松整合至现有的控制面板中，进一步提升系统的灵活性。

选择钥匙、卡或贴纸：灵活应用的身分验证

PITreader 卡单元为操作人员和使用者提供额外的灵活性。支援 RFID 的卡和贴纸可与 RFID 传收器密钥一起或取代其使用。如果公司已在使用支援 RFID 的卡，这些卡片也可以搭配 PITreader 使用，使得使用者仅需一张卡即可完成多项功能。这些 RFID 传收器（无论是密钥、卡片或贴纸）具有结合多种功能的优势，让使用者只需携带一个识别媒体，方便实用。此外，系统管理员在管理和维护密钥时也能节省大量时间和工作量。

提供更多资安：强化操作的透明度

资安层面同样考量使用者身分验证、资格和存取保护。即使在所有安全措施都已到位的情况下，若意外事故或资安事件发生，RFID 传收器也能读取相关信息，以判定谁进行了哪些变更。如果需要，控制系统还可利用内部不可修改的审核轨迹记录存取时间，确保操作透明并提高安全性。

谨慎管理的关键：确保全生命周期安全

为了确保安全和工业资安在应用的整个生命周期中得以保障，系统管理员在维护权限方面需投入大量精力。为了简化管理，Pilz 提供了适当的软体工具来支援使用者和传收器的组织管理。这意味着复杂的权限矩阵或群组层级规范可以被隐藏在小型 RFID 密钥中。透过整合的 PITreader 网页伺服器，系统管理员可以对 PITmode 或 PITreader 的 RFID 传收器进行编程，并将使用者资料和权限储存在其上。所有重要的设定皆直接在读取单元上完成，这不仅加速了试运转，还包括介面的配置，大大提高了管理效率。

限制存取介面：强化 USB 连接埠的安全性

识别进入管理的应用可扩展至特殊工业 USB 连接埠，这些介面往往是资安事件中的主要漏洞之一。透过将存取权限系统 PITreader 与具备 USB 2.0 主机介面的 PIT oe USB 操作元件结合，此解决方案能有效防止未经授权的程式汇入、资料外流，以及键盘或滑鼠的非法连接。由於 USB 介面仅能在相应权限启用的情况下使用，因此生产设施的资料流量能得到有效保护。搭配 Pilz 的 SecurityBridge 工业防火墙，可以进一步防止未经授权的存取和擅改，确保工业自动化网路的安全性。

现有机械设备 － 安全且可靠的升级

若现有机械设备需更新至最新技术，或在风险评估中被识别为需要安全升级的一部分，存取权限系统 PITreader 可轻松进行翻新。该装置可直接安装於标准 22.5 mm 直径的钥匙开关切囗。与 Pilz 控制器结合後，所需的资安功能可以直接设置。

图五 : 维护安全防护系统「随身钥匙」是由存取权限系统 PITreader、按钮单元 PITgatebox 及可程式小型控制器 PNOZmulti 2或自动化系统 PSS 4000 等 Pilz 控制器构成。

若使用第三方控制器，则 PITmode 组合版本可用於整合存取权限和操作模式的评定。依据使用的传收器媒体，公司现有的 RFID 密钥卡也可以用於身分验证。

结论

为了保护最重要的资产（即我们的安全），有必要设计整体性的安全概念，并定期检验其是否随时符合最新要求。清楚规定公司内部的权限与存取管理是至关重要的要素。

这一解决方案包含适当的措施和规范，并整合了全面的安全与资安功能。当辅以组织使用者和传收器的辅助软体元件，PITreader 等存取权限系统能成为理想的硬体模块。安全门系统、控制器及相关软体等附加元件，以及操作模式选择等功能，能强化整体性安全与工业资安的概念，使系统对使用者来说操作简便，并确保每位使用者都能掌握其所需的钥匙。