《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 西門子TIA 博途 V17及SIMATIC控制器信息安全性能提升

西門子TIA 博途 V17及SIMATIC控制器信息安全性能提升

2021-07-13
來源:網(wǎng)絡安全應急技術國家工程實驗室

  隨著物聯(lián)網(wǎng)的飛速發(fā)展以及OT和IT的融合, OT與IT的連接使得OT面臨著與IT相同的網(wǎng)絡威脅,也為OT領域帶來了更加嚴苛的信息安全要求。

  單一的安全產(chǎn)品并不能解決所有的問題,全方位多層次的信息安全防護體系已經(jīng)成為信息安全工作尤其是工業(yè)信息安全的核心內(nèi)容并形成共識。要全面保護工業(yè)設施實現(xiàn)信息安全目標,一種同時涵蓋所有層面——從運營層到現(xiàn)場設備層,從訪問控制到版權保護的方法至關重要。通過重新配置或者更新現(xiàn)有系統(tǒng)內(nèi)的組件,都能夠作為有效的防護方法。保護具有安全通信和訪問保護等綜合安全功能的自動化系統(tǒng)對于“縱深防御”理念的實現(xiàn),和為工廠和機器實施有效的安全防護都非常重要。

微信圖片_20210713143400.jpg

  早在2013年,西門子將信息安全需求引入全集成的安全框架TIA 博途V12,以實現(xiàn)設備、客戶程序和工業(yè)控制系統(tǒng)網(wǎng)絡設備間通信的安全目標“完整性保護”和“數(shù)據(jù)機密性”。經(jīng)過歷代版本更新,新一代的TIA 博途 V17提供了更強的安全功能使之更好地符合了最新的中國網(wǎng)絡安全法規(guī)及標準:

  一、SIMATICPG/HMI 增強通信安全

  SIMATIC的下一代進階在于TIA Portal V17可以實現(xiàn)端到端的加密通信,S7-1200/1500的控制器與控制器之間、S7-1200/1500控制器與TIA 博途工程師站之間和S7-1200/1500控制器與HMI系統(tǒng)之間的通信基于TLS加強保護。TLS1.3(Transport Layer Security)使得整個通信過程的機密性和完整性保護更強,每個PLC都可以基于由TIA Portal生成的各自的證書進行唯一標識。敏感的PLC配置數(shù)據(jù),例如各自證書,可以通過為每個PLC設置用戶自定義密碼的方式進行保護,以防止未經(jīng)授權的訪問。

微信圖片_20210713143403.jpg

為了降低技術復雜性,確定通過設置向?qū)У姆绞酵瓿膳渲眠^程,降低使用過程復雜性和產(chǎn)生錯誤的風險,提高透明度,并最大限度地方便了用戶的處理。向?qū)Ы忉尭鱾€選項和設置的優(yōu)缺點,因此用戶更容易選擇正確的配置。如有必要,用戶也可以在確認后停用向?qū)А?/p>

微信圖片_20210713143406.jpg

  二、用戶管理和訪問控制

  對于訪問保護一致性的要求,可以配置為不同用戶角色的工程師站和運行版配置不同功能權限。不同于先前的僅劃分只讀、可讀可寫兩種模式,最新功能支持根據(jù)責任劃分用戶角色,同一工作站登錄相同項目可以選擇不同的用戶角色,以此防止未授權的用戶入侵受保護的系統(tǒng)。另外,如果工程師暫時離開工作站,可以根據(jù)用戶配置時間自動鎖定項目,以防止對項目的任意更改。

微信圖片_20210713143408.jpg

微信圖片_20210713143416.jpg

  用戶管理組件 (User Management Component)可選組件允許建立中央用戶管理的??蛻艨梢詫崿F(xiàn)跨軟件和設備定義并管理用戶和用戶組,也可以接收微軟的活動目錄(Active Directory)傳輸?shù)挠脩艉陀脩艚M。

  TIA 博途 V17配合SIMATIC S7-1200V4.5.0和S7-1500 V2.9.2 控制器最新固件版本(S7-1200 CPU V4.5.0 / S7-1500 CPU V2.9.2)可以實現(xiàn)以上功能,西門子強烈建議客戶更新到最新版本。此外S7-1200 和S7-1500最新發(fā)布的版本固件解決了CVE-2020-15782內(nèi)存保護繞過漏洞[1],未經(jīng)認證攻擊者利用該漏洞可以將任意數(shù)據(jù)和代碼寫入受保護的內(nèi)存區(qū)域或讀取敏感數(shù)據(jù)以發(fā)動進一步攻擊。針對該漏洞防護的特定方法,參考西門子工業(yè)信息安全建議SSA-434534[3]中提供的對抗措施:

  1. 采用密碼保護S7通信;

  2.通過S7-1200或S7-1500的ENDIS_PW 指令禁止客戶端連接(即使客戶端可以提供正確的密碼,也會阻止遠程客戶端連接);

  3.使用S7-1500 CPU 的顯示屏配置附加訪問保護(這會阻止遠程客戶端連接,即使客戶端可以提供正確的密碼);

  4.采用西門子工業(yè)信息安全指南[2]中描述的“縱深防御”解決方案,尤其是:

  工廠安全:采用物理防護措施防止訪問關鍵組件

  網(wǎng)絡安全:確保PLC系統(tǒng)不連接到不受信的網(wǎng)絡

  系統(tǒng)完整性:通過采用適當?shù)难a償控制和內(nèi)置的安全功能配置、維護和保護設備

  5.最后,將系統(tǒng)更新到TIA Portal V17并通過設備各自的證書實現(xiàn)PLC、HMI和PG/PC之間基于TLS的安全通信,增強工廠的信息安全保護等級。




電子技術圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者。如涉及作品內(nèi)容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。