隨著物聯(lián)網(wǎng)的飛速發(fā)展以及OT和IT的融合,, OT與IT的連接使得OT面臨著與IT相同的網(wǎng)絡(luò)威脅,也為OT領(lǐng)域帶來了更加嚴(yán)苛的信息安全要求,。
單一的安全產(chǎn)品并不能解決所有的問題,,全方位多層次的信息安全防護(hù)體系已經(jīng)成為信息安全工作尤其是工業(yè)信息安全的核心內(nèi)容并形成共識。要全面保護(hù)工業(yè)設(shè)施實現(xiàn)信息安全目標(biāo),,一種同時涵蓋所有層面——從運營層到現(xiàn)場設(shè)備層,,從訪問控制到版權(quán)保護(hù)的方法至關(guān)重要。通過重新配置或者更新現(xiàn)有系統(tǒng)內(nèi)的組件,,都能夠作為有效的防護(hù)方法,。保護(hù)具有安全通信和訪問保護(hù)等綜合安全功能的自動化系統(tǒng)對于“縱深防御”理念的實現(xiàn),和為工廠和機(jī)器實施有效的安全防護(hù)都非常重要,。
早在2013年,,西門子將信息安全需求引入全集成的安全框架TIA 博途V12,以實現(xiàn)設(shè)備,、客戶程序和工業(yè)控制系統(tǒng)網(wǎng)絡(luò)設(shè)備間通信的安全目標(biāo)“完整性保護(hù)”和“數(shù)據(jù)機(jī)密性”,。經(jīng)過歷代版本更新,新一代的TIA 博途 V17提供了更強(qiáng)的安全功能使之更好地符合了最新的中國網(wǎng)絡(luò)安全法規(guī)及標(biāo)準(zhǔn):
一,、SIMATICPG/HMI 增強(qiáng)通信安全
SIMATIC的下一代進(jìn)階在于TIA Portal V17可以實現(xiàn)端到端的加密通信,,S7-1200/1500的控制器與控制器之間、S7-1200/1500控制器與TIA 博途工程師站之間和S7-1200/1500控制器與HMI系統(tǒng)之間的通信基于TLS加強(qiáng)保護(hù),。TLS1.3(Transport Layer Security)使得整個通信過程的機(jī)密性和完整性保護(hù)更強(qiáng),,每個PLC都可以基于由TIA Portal生成的各自的證書進(jìn)行唯一標(biāo)識。敏感的PLC配置數(shù)據(jù),例如各自證書,,可以通過為每個PLC設(shè)置用戶自定義密碼的方式進(jìn)行保護(hù),,以防止未經(jīng)授權(quán)的訪問。
為了降低技術(shù)復(fù)雜性,,確定通過設(shè)置向?qū)У姆绞酵瓿膳渲眠^程,,降低使用過程復(fù)雜性和產(chǎn)生錯誤的風(fēng)險,提高透明度,,并最大限度地方便了用戶的處理。向?qū)Ы忉尭鱾€選項和設(shè)置的優(yōu)缺點,,因此用戶更容易選擇正確的配置,。如有必要,用戶也可以在確認(rèn)后停用向?qū)А?/p>
二,、用戶管理和訪問控制
對于訪問保護(hù)一致性的要求,,可以配置為不同用戶角色的工程師站和運行版配置不同功能權(quán)限。不同于先前的僅劃分只讀,、可讀可寫兩種模式,,最新功能支持根據(jù)責(zé)任劃分用戶角色,同一工作站登錄相同項目可以選擇不同的用戶角色,,以此防止未授權(quán)的用戶入侵受保護(hù)的系統(tǒng),。另外,如果工程師暫時離開工作站,,可以根據(jù)用戶配置時間自動鎖定項目,,以防止對項目的任意更改。
用戶管理組件 (User Management Component)可選組件允許建立中央用戶管理的,??蛻艨梢詫崿F(xiàn)跨軟件和設(shè)備定義并管理用戶和用戶組,也可以接收微軟的活動目錄(Active Directory)傳輸?shù)挠脩艉陀脩艚M,。
TIA 博途 V17配合SIMATIC S7-1200V4.5.0和S7-1500 V2.9.2 控制器最新固件版本(S7-1200 CPU V4.5.0 / S7-1500 CPU V2.9.2)可以實現(xiàn)以上功能,,西門子強(qiáng)烈建議客戶更新到最新版本。此外S7-1200 和S7-1500最新發(fā)布的版本固件解決了CVE-2020-15782內(nèi)存保護(hù)繞過漏洞[1],,未經(jīng)認(rèn)證攻擊者利用該漏洞可以將任意數(shù)據(jù)和代碼寫入受保護(hù)的內(nèi)存區(qū)域或讀取敏感數(shù)據(jù)以發(fā)動進(jìn)一步攻擊,。針對該漏洞防護(hù)的特定方法,參考西門子工業(yè)信息安全建議SSA-434534[3]中提供的對抗措施:
1. 采用密碼保護(hù)S7通信,;
2.通過S7-1200或S7-1500的ENDIS_PW 指令禁止客戶端連接(即使客戶端可以提供正確的密碼,,也會阻止遠(yuǎn)程客戶端連接);
3.使用S7-1500 CPU 的顯示屏配置附加訪問保護(hù)(這會阻止遠(yuǎn)程客戶端連接,,即使客戶端可以提供正確的密碼),;
4.采用西門子工業(yè)信息安全指南[2]中描述的“縱深防御”解決方案,尤其是:
工廠安全:采用物理防護(hù)措施防止訪問關(guān)鍵組件
網(wǎng)絡(luò)安全:確保PLC系統(tǒng)不連接到不受信的網(wǎng)絡(luò)
系統(tǒng)完整性:通過采用適當(dāng)?shù)难a(bǔ)償控制和內(nèi)置的安全功能配置、維護(hù)和保護(hù)設(shè)備
5.最后,,將系統(tǒng)更新到TIA Portal V17并通過設(shè)備各自的證書實現(xiàn)PLC,、HMI和PG/PC之間基于TLS的安全通信,增強(qiáng)工廠的信息安全保護(hù)等級,。