中國自動化學會專家咨詢工作委員會指定宣傳媒體
新聞詳情
gkongbbs

提升安全值!您的工控系統(tǒng)安全有更多保護

http://m.casecurityhq.com 2022-10-27 10:17 來源:羅克韋爾

  隨著智能信息時代的來臨,工業(yè)控制系統(tǒng)正面臨著來自各個方面的安全威脅。有來自工業(yè)控制系統(tǒng)內部的,也有來自企業(yè)信息網絡和互聯(lián)網的威脅。包括人為的蓄意破壞和攻擊、盜取程序及關鍵數據、不可抗拒的自然災害和工作人員安全防范不專業(yè)導致的意外操作等。

  除此之外,安全威脅還存在于未授權訪問和未授權的操作中,一些設備由于無授權訪問機制進而導致設備被非法訪問。因此,安全風險的存在會增加工業(yè)控制系統(tǒng)正常運行中斷、產生安全事故以及知識產權受到侵犯等問題。

  面對工業(yè)控制系統(tǒng)中存在的各式威脅,我們需要使用更加智能高效的方法來應對。羅克韋爾自動化深入工業(yè)控制安全領域不斷探索應對安全威脅的更優(yōu)實踐方式。在安全實踐中,為保護工業(yè)控制系統(tǒng)免受內部和外部威脅的侵害,必須實現(xiàn)縱深防御的安全策略。范圍包括物理安全、網絡安全、計算機加固、應用程序安全和設備加固等方面。

  這個想法的基本思想是,如果攻擊者剝奪了一層防御,總會有另外一層阻止他們的努力,所以,基于該實踐的工業(yè)控制系統(tǒng)應該更加安全,并且可以避免或減輕威脅。除了這些技術上的措施外,為保護工業(yè)控制系統(tǒng)的安全,最重要的還是工業(yè)企業(yè)管理層應該具有安全意識,制定企業(yè)的安全策略和程序,并組織對員工進行安全意識和工業(yè)控制系統(tǒng)安全知識的培訓。

  抵御安全威脅的“保護網”

  一直以來信息安全通訊協(xié)議在IT領域已經被廣泛使用,隨著工業(yè)自動化控制系統(tǒng)和企業(yè)信息技術網絡的不斷融合,在工業(yè)自動化現(xiàn)場也必須使用安全的通訊協(xié)議來抵御存在的安全威脅,所以羅克韋爾自動化和 ODVA 在2015年推出了 CIP Security™ 工業(yè)網絡安全通訊協(xié)議。

  CIP Security™ 是眾所周知的標準傳輸層安全協(xié)議, 同時也是通過 TLS 安全傳輸層協(xié)議和 DTLS 數據報安全傳輸層協(xié)議來封裝 CIP 通訊的 CIP 擴展協(xié)議,并且,EtherNet/IP 的安全傳輸也可通過 CIP Security™ 來幫助實現(xiàn) 。標準的 CIP 協(xié)議使用了 TCP 和 UDP 來包裹封裝,但安全的 CIP 通訊則是使用 TLS 和 DTLS 來進行包裹封裝,例如:我們所熟知和常用的 Https 也是使用TLS進行包裹封裝的。

  同時,CIP Security™ 還具有高適用性,不但常規(guī)的 CIP 協(xié)議可以使用,CIP Security™ 和CIP Motion等都可以使用,也就是說傳輸 CIP Safety 和 CIP Motion 的數據包時也可以通過 TLS 和 DTLS 進行包裹封裝。并且,該協(xié)議是基于 IT 領域已經成熟且廣泛使用的開放式安全標準,設備身份標識是采用 X.509 v3 數字證書,可用于為設備提供加密的安全標識,即加密的身份信息,通過 TLS 傳輸來進行設備的身份驗證,此外,TLS 和 DTLS 也用于之后設備數據的完整性檢查和加密傳輸。數據的完整性采用密鑰散列消息認證碼,即HMAC。

  使用 CIP Security™ 可幫助實現(xiàn) EtherNet/IP 安全傳輸,使連接到 EtherNet/IP 的設備能夠保護自身,CIP Security™ 可以防止三個方面的安全威脅。

  • 一是拒絕非受信人員或非受信設備發(fā)送的消息,即識別設備身份的真實性
  • 二是拒絕中間人篡改的數據,即確保數據的完整性
  • 三是防止數據在通訊的過程中被非法查看,即保證數據的機密性

  CIP Security™ 是對設備的安全加固,是屬于縱深防御的一部分,實施多層安全方案更能抵御攻擊。

  CIP Security™ 的多區(qū)域部署

  目前羅克韋爾自動化已經有多種產品支持CIP Security,軟件產品有 FactoryTalk Policy Manager、FactoryTalk Linx 等;硬件有 ControlLogix 5580 系列控制器、1756-EN4TR EtherNet/IP 通訊網卡、CompactLogix™ 5380、Compact GuardLogix® 5380、CIP Security代理、PowerFlex 755T 變頻器、Armor PowerFlex 以及 Kinetix 5700/Kinetix5300 伺服驅動器等,近期還將陸續(xù)推出更多支持 CIP Security 的產品。

  羅克韋爾自動化

  1756-EN4TR EtherNet/IP

通訊網卡

  1756-EN4TR 以太網通訊模塊提供了更高的吞吐量,雙1Gig 網口,支持 DLR 環(huán)網,能夠連接256根伺服軸,可以作為冗余遠程 IO 適配器使用,同時支持 CIP Security,提供了設備間的認證、數據完整性及數據加密等安全功能,滿足了客戶日益增長的性能及安全需求。

  羅克韋爾自動化

  CIP安全代理

  1783-CSP

  1783-CSP 是 CIP Security 代理,有了 CIP Security  代理,每個 EtherNet/IP 適配器就都能夠無條件支持 CIP Security 的版本,無需另外開發(fā)。特別是對一些老的 I/O 適配器和設備,要實現(xiàn)工業(yè)通訊的安全傳輸,支持 CIP Security 的設備可以直接接到控制系統(tǒng)網絡上,把不支持 CIP Security 的產品接到控制系統(tǒng)之前先接到 1783-CSP,然后再把 1783-CSP 接到控制系統(tǒng)上,這樣 1783-CSP 和 PLC 間的通訊也就是安全的工業(yè)通訊。

  小羅有話說

  安全威脅無處不在,為工業(yè)安全系統(tǒng)安全多加一層“防護”,羅克韋爾自動化多種產品、多項選擇適用于 CIP Security 多層安全方案,共同抵御安全威脅攻擊,為工業(yè)安全保駕護航。

版權所有 中華工控網 Copyright?2024 Gkong.com, All Rights Reserved