隨著智能信息時代的來臨,工業控制系統正面臨著來自各個方面的安全威脅。有來自工業控制系統內部的,也有來自企業信息網絡和互聯網的威脅。包括人為的蓄意破壞和攻擊、盜取程序及關鍵數據、不可抗拒的自然災害和工作人員安全防范不專業導致的意外操作等。
除此之外,安全威脅還存在于未授權訪問和未授權的操作中,一些設備由于無授權訪問機制進而導致設備被非法訪問。因此,安全風險的存在會增加工業控制系統正常運行中斷、產生安全事故以及知識產權受到侵犯等問題。
面對工業控制系統中存在的各式威脅,我們需要使用更加智能高效的方法來應對。羅克韋爾自動化深入工業控制安全領域不斷探索應對安全威脅的更優實踐方式。在安全實踐中,為保護工業控制系統免受內部和外部威脅的侵害,必須實現縱深防御的安全策略。范圍包括物理安全、網絡安全、計算機加固、應用程序安全和設備加固等方面。
這個想法的基本思想是,如果攻擊者剝奪了一層防御,總會有另外一層阻止他們的努力,所以,基于該實踐的工業控制系統應該更加安全,并且可以避免或減輕威脅。除了這些技術上的措施外,為保護工業控制系統的安全,最重要的還是工業企業管理層應該具有安全意識,制定企業的安全策略和程序,并組織對員工進行安全意識和工業控制系統安全知識的培訓。
抵御安全威脅的“保護網”
一直以來信息安全通訊協議在it領域已經被廣泛使用,隨著工業自動化控制系統和企業信息技術網絡的不斷融合,在工業自動化現場也必須使用安全的通訊協議來抵御存在的安全威脅,所以羅克韋爾自動化和 odva 在2015年推出了 cip security™ 工業網絡安全通訊協議。
cip security™ 是眾所周知的標準傳輸層安全協議, 同時也是通過 tls 安全傳輸層協議和 dtls 數據報安全傳輸層協議來封裝 cip 通訊的 cip 擴展協議,并且,ethernet/ip 的安全傳輸也可通過 cip security™ 來幫助實現 。標準的 cip 協議使用了 tcp 和 udp 來包裹封裝,但安全的 cip 通訊則是使用 tls 和 dtls 來進行包裹封裝,例如:我們所熟知和常用的 https 也是使用tls進行包裹封裝的。
同時,cip security™ 還具有高適用性,不但常規的 cip 協議可以使用,cip security™ 和cip motion等都可以使用,也就是說傳輸 cip safety 和 cip motion 的數據包時也可以通過 tls 和 dtls 進行包裹封裝。并且,該協議是基于 it 領域已經成熟且廣泛使用的開放式安全標準,設備身份標識是采用 x.509 v3 數字證書,可用于為設備提供加密的安全標識,即加密的身份信息,通過 tls 傳輸來進行設備的身份驗證,此外,tls 和 dtls 也用于之后設備數據的完整性檢查和加密傳輸。數據的完整性采用密鑰散列消息認證碼,即hmac。
使用 cip security™ 可幫助實現 ethernet/ip 安全傳輸,使連接到 ethernet/ip 的設備能夠保護自身,cip security™ 可以防止三個方面的安全威脅。
一是拒絕非受信人員或非受信設備發送的消息,即識別設備身份的真實性
二是拒絕中間人篡改的數據,即確保數據的完整性
三是防止數據在通訊的過程中被非法查看,即保證數據的機密性
cip security™ 是對設備的安全加固,是屬于縱深防御的一部分,實施多層安全方案更能抵御攻擊。
cip security™ 的多區域部署
目前羅克韋爾自動化已經有多種產品支持cip security,軟件產品有 factorytalk policy manager、factorytalk linx 等;硬件有 controllogix 5580 系列控制器、1756-en4tr ethernet/ip 通訊網卡、compactlogix™ 5380、compact guardlogix® 5380、cip security代理、powerflex 755t 變頻器、armor powerflex 以及 kinetix 5700/kinetix5300 伺服驅動器等,近期還將陸續推出更多支持 cip security 的產品。
羅克韋爾自動化
1756-en4tr ethernet/ip
通訊網卡
1756-en4tr 以太網通訊模塊提供了更高的吞吐量,雙1gig 網口,支持 dlr 環網,能夠連接256根伺服軸,可以作為冗余遠程 io 適配器使用,同時支持 cip security,提供了設備間的認證、數據完整性及數據加密等安全功能,滿足了客戶日益增長的性能及安全需求。
羅克韋爾自動化
cip安全代理
1783-csp
1783-csp 是 cip security 代理,有了 cip security 代理,每個 ethernet/ip 適配器就都能夠無條件支持 cip security 的版本,無需另外開發。特別是對一些老的 i/o 適配器和設備,要實現工業通訊的安全傳輸,支持 cip security 的設備可以直接接到控制系統網絡上,把不支持 cip security 的產品接到控制系統之前先接到 1783-csp,然后再把 1783-csp 接到控制系統上,這樣 1783-csp 和 plc 間的通訊也就是安全的工業通訊。
小羅有話說
安全威脅無處不在,為工業安全系統安全多加一層“防護”,羅克韋爾自動化多種產品、多項選擇適用于 cip security 多層安全方案,共同抵御安全威脅攻擊,為工業安全保駕護航。
:鞏經理
:13915946763
:南京塞姆泵業有限公司
