“通信”千万条,安全第一条 — SIMATIC WinCC 安全通信技术分享
- SIMATIC WinCC支持安全访问S7-1200/1500 CPU配置,通过加密验证访问CPU,避免不必要的连接。在发布TIA Portal V17的新CPU固件版本之后,SIMATIC WinCC还支持使用S7-1200/1500 CPU配置加密进行安全通信,该函数加密基于TLS协议的通信数据.大大降低数据盗窃和伪造的风险,铜墙和铁墙为安全通讯而建.
- 全权访问(没有保护)
- 读访问权
- 无法访问(全面保护)
- 机密性
- 完整性
- 端点认证
- S7-1500 固态版本V2.9以上版本 S7-1200 和 V4.5以上版本 SIMATIC WinCC V7.5 SP2 UPD4以上版本
最后更新:2022-06-21 00:25:49 手机定位技术交流文章
Siemens 1847 工业学习平台
1.1概述
工业控制系统如数据采集和监控系统(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等在工业、能源、交通、水资源和市政领域广泛应用,控制生产设备的运行。
一旦工业控制系统信息安全具有脆弱性,就给工业生产经营和国家经济安全造成重大风险,因此, SCADA系统信息安全已成为一个热门话题,劳工及福利部已于2011年发出关于加强工业控制系统信息安全的通知。
2010年“地震网”病毒事件反映了工业控制系统信息安全面临的严峻挑战。
作为经典的SCADA软件,SIMATIC WinCC还引入了信息安全领域的新功能,以满足工业数字化过程中工业信息安全不断的需求。
1.安全访问2和S7-1200/1500
SIMATIC WinCC和S7-1200/1500 CPU安全访问,当设备建立通信连接时,通常会添加密码保护。只有具有正确的密码的WinCC项目才允许在特定CPU中读写数据。这阻止了未经授权的访问CPU。
图1SIMATIC WinCC和S7-1200/1500安全访问
目前,SIMATIC WinCC提供SIMATIC S7-1200,而S7-1500驱动程序只支持Ethernet通信。SIMATIC WinCC V7.2以上支持安全访问S7-1500 CPU。SIMATIC WinCC V7.版本3以上开始支持安全访问S7-1200。
在S7-1200/1500 CPU的硬件配置中,提供了四个访问级别来限制访问特定功能。
图2S7-1200/1500 CPU访问级别设置
四个访问级别的功能简要说明(详情请参阅手册):
允许完全无保护状态访问CPU。 知道这个密码的用户可以不受限制访问CPU。
虽然知道密码,但知道密码的用户只能读取到CPU。 而且用户可以访问HMI数据。
· HMI 访问
允许进入 read/write保护状态的CPU。 被告知密码的用户只能访问HMI数据。
CPU访问不允许,知道密码的用户可以根据与密码关联的保护级别访问它。
以上4种访问级别,如果 S7-1200/1500 CPU 的访问等级选择的是全权访问(没有保护)/读访问权/ HMI 访问权限这3种,SIMATIC WinCC在连接到配置通信时不需要CPU访问密码。如果访问等级选择的是无法访问(全面保护),上述三个级别的密码必须填妥,才能与S7-1200/1500握手并建立沟通关系。
1.3与S7-1200/1500进行安全通信
前一部分介绍SIMATIC WinCC和S7-1200/1500 CPU连接时的安全访问。连接建立完成后,SIMATIC WinCC与S7-1200/1500 CPU之间的通信数据也以明确的方式给出。数据交换没有加密。
TIA Portal V17 S7-1200/1500新软件版本支持HMI(HMI为人机接口,英文缩写为SIMATIC WinCC也属于HMI安全通信。这种安全通讯具有以下特点:
也就是说,数据是安全的/不是被盗的。
也就是说,在传输过程中没有对数据进行操纵。
即, 确定端口通讯伙伴的身份.
图3SIMATIC WinCC和S7-1200/1500安全通讯
点击更多PLC相关技术服务
为了实现安全的通信,SIMATIC WinCC和S7-1200/1500 CPU必须满足以下条件:
S7-1200/1500和SIMATIC WinCC通过签字证书建立信任关系(握手)以确保数据的真实性和完整性;使用TLS协议加密通信数据(数据交换)以确保数据的机密性。
TLS(传输层安全协议,传输层安全是SSL协议的继承者。在网络ISO模型中,它位于对话层。TLS最初用于加密HTTP协议。TLS现在也用于HMI安全通信应用层协议。
图4ISO模型中的TLS协议
HMI安全通信配置非常简单:首先您需要在PLC程序中选择由TIA Portal或第三方机构生成的证书,然后您需要使用该工具将证书导入SIMATIC WinCC项目,然后您需要下载PLC程序。
图5下载安全通讯证书
在PLC程序选择接口中,显示“只支持PG/PC和HMI安全通信”选项(此选项仅适用于S7-1500 V2).9以上/S7-1200 V4.5以上)。
图6S7-1200/1500安全通讯机制设置
这个选项的意思是不要激活HMI安全通信功能,这是一个与HMI不安全的通信的兼容问题.由于版本低于V7.5 SP2 UPD4 SIMAITC WinCC软件不支持HMI安全通信,为了配合早期温CC项目,S7-1200/S7-1500具有新的固件版本需要取消此选项,才能与之通信。下面的表是SIMATIC WinCC和S7-1200/S7-1500 CPU安全通信的配置选项的参考。
表1SIMATIC WinCC和S7-1200安全通讯版本的选项
表二SIMATIC WinCC和S7-1500安全通讯版本的选项
上述表列出建立HMI安全通讯和设置信息所需的版本。在SIMATIC WinCC项目中建立符合条件的良好通讯连接,然后从TIA门户项目上载入SCADA数据包,从而导入证书。
下面的图示了如何从TIA门户项目导出SCADA数据包,SCADA数据包包含在PLC中可访问的证书和变量信息。然后将SCADA包复制到您需要配置或运行的SIMAITC WinCC项目计算机上。
图7TIA门户项目SCADA数据包
SIMATIC WinCC V7. 在5SP2 UPD4和更高版本的项目中,可以通过创建通信连接来加载SCADA数据包,当加载时将提示证书的进口。
图8 WinCC项目输入证书
SIMATIC WinCC安全通讯过程,同时注意运行SIMATIC WinCC项目计算机和PLC的系统时间,尤其是PLC系统时间不能是工厂时间.因为HMI的安全通讯通过证书建立,因此,有关通讯的设备,系统时间必须在证书指定的有效期限内。
图九 证书详细信息
1.4 总结
过去,工业设备和控制系统经常使用单元保护机制来保护通过防火墙或VPN连接的自动化单元安全。
如今,包含敏感数据的工业设备和控制系统面临信息安全高风险。
由于这些设备也实现了网络互连,它们必须满足严格的数据交换安全要求。 确保设备之间的通信不仅要有效保护敏感数据的完整性和机密性,而且要确保它符合认可的安全标准,以便应付未来的挑战。
请注意我,或每天搜索"西摩工业1847"获取一些技术知识!
本文由 在线网速测试 整理编辑,转载请注明出处。
