一個小小的硬件，可確保設備安全地連接至云端，并且經濟劃算，適于大眾市場。這對工業物聯網來說是一個很大的進步，因為只有確保高度安全，工業物聯網才能充分發揮其潛力。西門子新研制的數據二極管可以阻止在互聯網上控制各種系統，這對于關鍵型基礎設施的運營者而言至關重要。

如火如荼的數字化和網絡化進程，對關鍵基礎設施的運營者提出了新的要求。舉例而言，通過收集和分析諸如軌道網絡、電網和生產設施等系統的狀態數據，來幫助縮短停機時間，從未像現在這樣容易。但另一方面，襲擊危險與日俱增，因為軌道交通基礎設施連接至互聯網甚或云平臺，讓有可乘之機非法訪問數據和系統，從而對軌道交通造成嚴重破壞。

硬件助推數字化進程

現在，西門子新推出的一個硬件為網絡安全帶來了各種新的可能性。西門子的研發部門——西門子中央研究院的IT安全專家Martin Wimmer解釋道，“在此之前，不可能以這種形式通過云平臺來連接關鍵基礎設施，并提供新的數字服務。交通集團與我們合作，研發出一個硬件設備，可以既安全又經濟可行地實現這樣的連接。”

大馬德里地區的Chamartín至Torrejón de Velasco鐵路路段：盡管能夠讀取數據并確定信號塔狀態，但這并不影響網關和道岔的安全。更重要的是它們不會受到影響。

這種從新的維度確保安全的銀色小盒子，是一個數據二極管（數據捕獲單元，簡稱DCU）。它的大小與電腦移動硬盤差不多，雖然它其貌不揚，但卻蘊含無窮潛力。DCU通過單向數據通道，安全地將封閉式網絡連接至存儲介質、服務器或云平臺。Wimmer表示，“這有點像數據單行道。這個二極管允許我們監測數據流并記錄所有操作。一般而言，不論未經授權的人員能否看到數據流，都目標應用領域的安全無關。”以信號塔為例。在本例中，盡管能夠讀取數據并確定系統狀態，但這并不影響網關和道岔的安全。由于二極管基于物理原理，數據僅可單向傳輸，因此，不可能從互聯網接入二極管。這樣，就可以將系統連接至云端。

獲得聯邦鐵路管理局審批，在比利時開展試點

在數據保密至關重要的領域，包括政府機關和，已經在使用數據二極管。西門子交通集團的數據二極管研發合作負責人Matthias Seifert指出，“然而，這些設備的功能復雜得多，因而價格更為昂貴。不僅如此，這些系統的供應商用來證明系統安全性的方法十分復雜。相比之下，DCU的安全性淺顯易懂。”聯邦鐵路管理局已經批準使用新的DCU。現在，當德國客戶向西門子訂購信號塔時，這個能夠安全地將它連接至物聯網的設備就已經安裝完畢。Seifert補充道，“我們的DCU比此前市場上的其他同類設備的價格低廉得多。”對于大眾市場產品，這是一個基本標準。譬如，在比利時開展的試點項目中，一個鐵路網絡的運營者使用DCU，通過云連接來監測軌道電路。

Seifert解釋道，“我們的設備采用物理原理。只要將二極管掛到線路上，就可以監測線路上傳輸的信號。”他解釋道，這是利用線路電感耦合實現的。他進一步解釋說：“它是一個只能讀取不能寫入的半導體電子設備。當我把它夾到電纜上時，我可以讀取電流信息，也就是抽取出1和0。”二極管單向發送這些數據，在客戶系統中，它的工作方式類似于“以太網分流器”——一種用于監測數據信號但不能更改它們的設備。它沒有自己的IP地址，第三方找不到它的位置。它具有優良的抗沖擊和防振性能，可耐受溫度變化，并且防電磁振蕩，因而非常適于在惡劣環境中使用，如列車和工廠等。

記錄數據用于法律用途

Seifert表示安裝也極為簡便，“可以不為人知地將DCU裝到任何數據傳輸系統上，并連接至由一臺或多臺計算機構成的外部評估系統。拆除或關閉DCU亦不會被監測系統檢測出。客戶的系統繼續照常工作。”因此，他胸有成竹地說，DCU也能被用作所謂的入侵檢測系統（IDS）：用可控方式地掃描網絡以檢測異常或惡意活動；和司法記錄系統（JRS）：記錄數據用于法律用途。Wimmer補充道，“取決于我在上游和下游為應用加裝多少設備，它還可以保證數據記錄的完整性和保密性。”

傳統上，注重安全的領域里，網絡采用防火墻甚或所謂的“氣隙隔離”加以保護，這意味著它們是*孤立的數據孤島。這兩種解決方案各有缺點。舉例來講，電站網絡使用的氣隙隔離不允許向網絡外部傳輸任何實時數據。因此，現有的豐富數據的潛力得不到充分挖掘。而防火墻的缺點則是容易出現配置錯誤和后門。以具備強大的通訊能力和多種功能的機器為例，必須經常檢查并調整防火墻的過濾規則，因為新的網絡威脅層出不窮。

DCU是典型的專為交通集團研發的特定解決方案，結果成為對于西門子戰略性推進數字化轉型至關重要的、通用型網絡安全應用的設備。西門子交通集團執行官Michael Peter說：“多虧數據二極管，用戶不僅能為實現安全的智能交通作出貢獻，而且可以推進能源和工業生產的數字化轉型。”