1.1
概述
數據采集與監控系統(SCADA)、分布式控制系統(DCS)、過程控制系統(PCS)、可編程邏輯控制器(PLC)等工業控制系統廣泛運用于工業、能源、交通、水利以及市政等領域,用于控制生產設備的運行。
一旦工業控制系統信息安全出現漏洞,將會給工業生產運行和國家經濟安全留下大隱患,因此 SCADA 系統的信息安全一直是很熱門的話題,工信部早在2011年就發布了關于加強工業控制系統信息安全管理的通知。
2010年發生的 “震網” 病毒事件,已經反映出工業控制系統信息安全面臨著嚴峻的挑戰。
SIMATIC WinCC 作為經典的 SCADA 軟件,在信息安全方面也是不斷的推出新功能,滿足工業數字化發展過程中不斷提高的工業信息安全要求。
SIMATIC WinCC 支持與 S7-1200/1500 CPU 組態安全訪問,通過密碼方式來確認是否可以訪問 CPU ,以避免不必要的連接。
當前 TIA Portal V17 推出新的 CPU 固件版本后,SIMATIC WinCC 還支持與 S7-1200/1500 CPU 組態加密的安全通信,此功能基于 TLS 協議對通信數據進行加密處理。大大降低了數據被竊取以及被篡改的風險,為安全通信筑起了一道銅墻鐵壁。
1.2
與 S7-1200/1500 的安全訪問
SIMATIC WinCC 與 S7-1200/1500 CPU 的安全訪問,通俗講就是在設備建立通信連接時加一道密碼保護,只有組態了正確密碼的 WinCC 項目才允許讀寫特定 CPU 中的數據。能防止對 CPU 未經授權的訪問。
圖一 SIMATIC WinCC 與 S7-1200/1500 安全訪問
目前 SIMATIC WinCC 所提供的 SIMATIC S7-1200, S7-1500 驅動僅支持以太網通信。SIMATIC WinCC V7.2 以及以上版本支持與 S7-1500 CPU 進行安全訪問。SIMATIC WinCC V7.3 及以上版本開始支持與 S7-1200 進行安全訪問。
在 S7-1200/1500 CPU 的硬件組態中, 提供了4種訪問級別,以限制對特定功能的訪問。
圖二 S7-1200/1500 CPU 訪問級別設置
簡單介紹4種訪問級別的功能(更為詳細的介紹請參考手冊):
完全訪問權限(無任何保護)
允許對 CPU 以完全未受保護的狀態進行訪問。知道此密碼的用戶可以不受限制地訪問 CPU。
讀訪問權
允許對 CPU 以受寫保護的狀態進行訪問。盡管知道密碼,但是知道該密碼的用戶只能對 CPU 進行讀取訪問。并且用戶獲得 HMI 數據訪問權。
· HMI 訪問
允許對 CPU 以受讀/寫保護的狀態進行訪問。獲知該密碼的用戶只獲得 HMI 數據訪問權。
不能訪問(完全保護)
不允許訪問 CPU。知道密碼的用戶,可以根據密碼相關的保護級別進行訪問。
以上4種訪問級別,如果 S7-1200/1500 CPU 的訪問等級選擇的是完全訪問權限(無任何保護)/讀訪問權/ HMI 訪問權限這3種,SIMATIC WinCC 在組態通信連接時無需設置 CPU 訪問密碼。如果訪問等級選擇的是不能訪問(完全保護),則需填寫以上3個等級中任意一個等級的密碼才可以與 S7-1200/1500 進行握手并建立通信關系。
1.3
與 S7-1200/1500 的安全通信
上一節介紹是 SIMATIC WinCC 與 S7-1200/1500 CPU 建立連接時的安全訪問。連接建立完成后,SIMATIC WinCC 與 S7-1200/1500 CPU 的通信數據還是以明文的方式呈現,并未對交換的數據進行加密。
TIA Portal V17 推出的 S7-1200/1500 新固件版本支持 HMI ( HMI 為人機界面的英語縮寫,SIMATIC WinCC 也屬于 HMI )安全通信。此安全通信具備以下特點:
機密性
即,數據安全/無法竊取。
完整性
即,數據在傳輸過程中未發生篡改。
端點認證
即,端點通信伙伴的身份確認。
圖三 SIMATIC WinCC 與 S7-1200/1500 安全通信
SIMATIC WinCC與S7-1200/1500 CPU實現安全通信需滿足以下條件:
S7-1500 固件版本 V2.9 以及更高版本
S7-1200 固件版本 V4.5 以及更高版本
SIMATIC WinCC V7.5 SP2 UPD4 或更高版本
S7-1200/1500 和 SIMATIC WinCC 之間通過簽名證書建立信任關系(握手),確保數據的真實性和完整性;使用 TLS 協議加密通信數據(數據交換),確保數據的機密性。
TLS (傳輸層安全性協議 ,英文Transport Layer Security)是 SSL 協議的后繼協議,在網絡 ISO 模型中處于會話層。TLS Zui初是為了給 HTTP 協議加密使用,現在 HMI 安全通信的應用層協議也是使用的 TLS。
圖四 ISO 模型中的 TLS 協議
HMI 安全通信組態非常簡單,首先需要在 PLC 程序中選擇由 TIA Portal 或者第三方機構生成的證書,然后借助工具把證書導入 SIMATIC WinCC 項目中,以及下載 PLC 程序。
圖五 安全通信中的證書下載
在 PLC 程序選擇證書的界面,會顯示“僅支持 PG/PC 和 HMI 安全通信”選項(此選項僅S7-1500 V2.9 及更高 / S7-1200 V4.5 及更高版本支持)。
圖六 S7-1200/1500 安全通信機制設置
此選項的含義并不是激活 HMI 安全通信功能,而是是否兼容 HMI 非安全通信。因為版本低于 V7.5 SP2 UPD4 的 SIMAITC WinCC 軟件并不支持 HMI 安全通信,為了兼容早期的 WinCC 項目,擁有新固件版本的 S7-1200/S7-1500 需要取消此選項,才能與之通信。下表是 SIMATIC WinCC 與 S7-1200/S7-1500 CPU 安全通信的各版本選項設置參考。
表一 SIMATIC WinCC 與 S7-1200 安全通信各版本選項設置
表二 SIMATIC WinCC 與 S7-1500 安全通信各版本選項設置
上述表格列舉出建立 HMI 安全通信需要的版本以及設置信息。在滿足條件的SIMATIC WinCC 項目中創建好通信連接,然后加載從 TIA Portal 項目中導出的 SCADA 數據包,從而導入證書。
下圖中顯示的是如何從 TIA Portal 項目中導出的 SCADA 數據包,SCADA 數據包包含證書以及 PLC 中可訪問的變量信息。然后把 SCADA 數據包復制到需要組態或者運行 SIMAITC WinCC 項目的電腦中。
圖七 TIA Portal 項目導出 SCADA 數據包
在 SIMATIC WinCC V7.5SP2 UPD4 以及更高版本項目中,可以通過所創建的通信連接加載 SCADA 數據包,加載時會提示證書的導入。
圖七 WinCC 項目導入證書
SIMATIC WinCC 安全通信過程中,還需要注意運行 SIMATIC WinCC 項目的電腦 和 PLC 的系統時間,尤其是 PLC 的系統時間不能是出廠時間。因為 HMI 安全通信是通過證書來建立連接,那么參與通信的設備,系統時間需要在證書規定的有效時間范圍內。
圖八 證書詳細信息
- G120基本定位四種常見故障排除方法 2024-12-28
- InverterEdge 讓 SINAMICS驅動變簡單 2024-12-28
- PLC 工程師必備知識 — IO模塊選型和使用 2024-12-28
- 新增亮點解讀——SMART LINE V4面板 2024-12-28
- PCS7 gaoji過程庫(APL)簡介 2024-12-28
- 智慧泵站,云上運維——LOGO!云連接功能助力數字化 2024-12-28
- SIMATIC PLC 的網絡功能 2024-12-28
- 秘 SIMATIC PLC PROFIBUS DP通信處理器 2024-12-28
- S7-1200/1500通過功能塊FB38051實現 SINAMICS S200 基本定位控制 2024-12-28
- 運維革新!WinCC虛擬化技術解析 2024-12-28
- 三大核心要素!深度剖析「通用運動控制」數字化 2024-12-28
- 山川依舊,風味不改 | 全集成過程控制系統BRAUMAT 2024-12-28
- S7-200 SMART如何通過PROFINET實現位置控制 2024-12-28
- 工廠里的設備也需要洗澡?不洗行不行? 2024-12-28
- 讓生產線“心里有數”?物聯網套件IOT Suite全解析 2024-12-28
聯系方式
- 電 話:18126392341
- 聯系人:梁濤
- 手 機:15267534595
- 微 信:15267534595
