《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 西門子TIA 博途 V17及SIMATIC控制器信息安全性能提升

西門子TIA 博途 V17及SIMATIC控制器信息安全性能提升

2021-07-13
來源:網(wǎng)絡(luò)安全應(yīng)急技術(shù)國家工程實驗室
關(guān)鍵詞: OT 網(wǎng)絡(luò)威脅 安全

  隨著物聯(lián)網(wǎng)的飛速發(fā)展以及OT和IT的融合,, OT與IT的連接使得OT面臨著與IT相同的網(wǎng)絡(luò)威脅,,也為OT領(lǐng)域帶來了更加嚴苛的信息安全要求,。

  單一的安全產(chǎn)品并不能解決所有的問題,,全方位多層次的信息安全防護體系已經(jīng)成為信息安全工作尤其是工業(yè)信息安全的核心內(nèi)容并形成共識,。要全面保護工業(yè)設(shè)施實現(xiàn)信息安全目標,,一種同時涵蓋所有層面——從運營層到現(xiàn)場設(shè)備層,從訪問控制到版權(quán)保護的方法至關(guān)重要,。通過重新配置或者更新現(xiàn)有系統(tǒng)內(nèi)的組件,,都能夠作為有效的防護方法。保護具有安全通信和訪問保護等綜合安全功能的自動化系統(tǒng)對于“縱深防御”理念的實現(xiàn),,和為工廠和機器實施有效的安全防護都非常重要,。

微信圖片_20210713143400.jpg

  早在2013年,西門子將信息安全需求引入全集成的安全框架TIA 博途V12,,以實現(xiàn)設(shè)備,、客戶程序和工業(yè)控制系統(tǒng)網(wǎng)絡(luò)設(shè)備間通信的安全目標“完整性保護”和“數(shù)據(jù)機密性”。經(jīng)過歷代版本更新,,新一代的TIA 博途 V17提供了更強的安全功能使之更好地符合了最新的中國網(wǎng)絡(luò)安全法規(guī)及標準:

  一,、SIMATICPG/HMI 增強通信安全

  SIMATIC的下一代進階在于TIA Portal V17可以實現(xiàn)端到端的加密通信,S7-1200/1500的控制器與控制器之間,、S7-1200/1500控制器與TIA 博途工程師站之間和S7-1200/1500控制器與HMI系統(tǒng)之間的通信基于TLS加強保護,。TLS1.3(Transport Layer Security)使得整個通信過程的機密性和完整性保護更強,每個PLC都可以基于由TIA Portal生成的各自的證書進行唯一標識,。敏感的PLC配置數(shù)據(jù),,例如各自證書,可以通過為每個PLC設(shè)置用戶自定義密碼的方式進行保護,,以防止未經(jīng)授權(quán)的訪問,。

微信圖片_20210713143403.jpg

為了降低技術(shù)復雜性,確定通過設(shè)置向?qū)У姆绞酵瓿膳渲眠^程,,降低使用過程復雜性和產(chǎn)生錯誤的風險,,提高透明度,并最大限度地方便了用戶的處理,。向?qū)Ы忉尭鱾€選項和設(shè)置的優(yōu)缺點,,因此用戶更容易選擇正確的配置。如有必要,,用戶也可以在確認后停用向?qū)А?/p>

微信圖片_20210713143406.jpg

  二,、用戶管理和訪問控制

  對于訪問保護一致性的要求,可以配置為不同用戶角色的工程師站和運行版配置不同功能權(quán)限,。不同于先前的僅劃分只讀,、可讀可寫兩種模式,最新功能支持根據(jù)責任劃分用戶角色,,同一工作站登錄相同項目可以選擇不同的用戶角色,,以此防止未授權(quán)的用戶入侵受保護的系統(tǒng)。另外,如果工程師暫時離開工作站,,可以根據(jù)用戶配置時間自動鎖定項目,,以防止對項目的任意更改。

微信圖片_20210713143408.jpg

微信圖片_20210713143416.jpg

  用戶管理組件 (User Management Component)可選組件允許建立中央用戶管理的,??蛻艨梢詫崿F(xiàn)跨軟件和設(shè)備定義并管理用戶和用戶組,也可以接收微軟的活動目錄(Active Directory)傳輸?shù)挠脩艉陀脩艚M,。

  TIA 博途 V17配合SIMATIC S7-1200V4.5.0和S7-1500 V2.9.2 控制器最新固件版本(S7-1200 CPU V4.5.0 / S7-1500 CPU V2.9.2)可以實現(xiàn)以上功能,,西門子強烈建議客戶更新到最新版本。此外S7-1200 和S7-1500最新發(fā)布的版本固件解決了CVE-2020-15782內(nèi)存保護繞過漏洞[1],,未經(jīng)認證攻擊者利用該漏洞可以將任意數(shù)據(jù)和代碼寫入受保護的內(nèi)存區(qū)域或讀取敏感數(shù)據(jù)以發(fā)動進一步攻擊,。針對該漏洞防護的特定方法,參考西門子工業(yè)信息安全建議SSA-434534[3]中提供的對抗措施:

  1. 采用密碼保護S7通信,;

  2.通過S7-1200或S7-1500的ENDIS_PW 指令禁止客戶端連接(即使客戶端可以提供正確的密碼,,也會阻止遠程客戶端連接);

  3.使用S7-1500 CPU 的顯示屏配置附加訪問保護(這會阻止遠程客戶端連接,,即使客戶端可以提供正確的密碼),;

  4.采用西門子工業(yè)信息安全指南[2]中描述的“縱深防御”解決方案,尤其是:

  工廠安全:采用物理防護措施防止訪問關(guān)鍵組件

  網(wǎng)絡(luò)安全:確保PLC系統(tǒng)不連接到不受信的網(wǎng)絡(luò)

  系統(tǒng)完整性:通過采用適當?shù)难a償控制和內(nèi)置的安全功能配置,、維護和保護設(shè)備

  5.最后,,將系統(tǒng)更新到TIA Portal V17并通過設(shè)備各自的證書實現(xiàn)PLC、HMI和PG/PC之間基于TLS的安全通信,,增強工廠的信息安全保護等級,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。