首页 > 其他分享 >西门子PROFINET信息安全介绍

西门子PROFINET信息安全介绍

时间:2024-06-09 19:02:58浏览次数:24  
标签:证书 信息安全 西门子 通信 安全 安全等级 PROFINET 组件

0939d14fa99f4d528322c40a2d34fd43.png

PROFINET信息安全

c9713b0e31762f65a71c6863cae1ce8b.png

e9b50beeb7ef46e191c7b16c1d5917f4.png

●   自始至终的,经过验证的全面安全概念

●   用于PROFINET的额外保护措施,以满足日益增长的需求

●   可扩展的架构以适应不同的应用

概述

PROFINET信息安全-简单实用的安全概念

      第一个PROFINET规范发布的时候,PI就同期发布了全面的安全理念,该理念后来又经过多次细化和调整。不管怎样,需求和现在也一样,即仅仅保护工厂网络和自动化组件是不够的——所使用的保护机制和概念必须不干扰正在进行的生产运营。此外,保护的理念必须易于实施并且负担得起

 

23f8b9563b0fcafe77414dccb3f080b5.png

图:PROFINET集成了信息安全特征

 

成熟的概念

      PROFINET的IT安全概念基于纵深防御方法。在这种方法中,生产工厂通过一个包括防火墙在内的多级边界来防止攻击,特别是来自外部的攻击。此外,通过使用防火墙将工厂划分为多个区域,可以进一步保护工厂。此外,安全组件测试确保PROFINET组件在一定程度上能够抵抗过载。作为安全管理系统的一部分,这一安全理念由生产企业有组织的措施来支持实现。因此,安全需要在各个层级采取措施。

安全措施总是在变化中

      然而,安全是一个必须不断适应当前事态发展的主题,因此永远不会完成。尤其是在生产设施网络化程度不断提高的背景下。

      列举几个关键点:

    1.开放式通信:提供附加价值的PROFINET组件或功能,如Web服务或OPC-UA连接,会导致增加与定义的安全区域之外的更高级别系统的直接通信。与此同时,隔离PROFINET网络变得越来越困难。这也会增加网络攻击的风险

      2.更庞大的网络:越来越多的组件被连接到一个网络上并相互作用,因此,对某个单元内的单个(PC)系统的成功攻击有可能绕过更高一级的保护措施

      3.大范围的系统:分布广泛的设施阻碍了对网络和AP的物理保护。导致未经授权的人可以获得对PROFINET网络的访问。

      4.附加保护措施:以前的概念主要依赖于封闭生产设施,现在必须辅之以新的概念,即在单元内提供保护。因此,现有措施要通过进一步的保护措施加以扩展。其中包括证书管理,例如设备认证,以及作为配置选项的PROFINET通信端到端安全扩展

      

 由于每个应用程序都有不同的安全要求,PROFINET提供了不同的安全等级

      观看视频以获得更多信息。

 

<iframe allowfullscreen="true" data-mediaembed="csdn" frameborder="0" id="iRwMvppC-1717587904031" src="https://live.csdn.net/v/embed/396320"></iframe>

PROFINET信息安全

视频-PROFINET安全

PROFINET安全通信

 

在工业4.0背景下,考虑到未来网络的增加,越来越多的场景下,仅依靠单元的保护概念是不够的,必须采取进一步的措施。

聚焦可靠性和实时性

在IT世界中,有一些经过验证的安全概念,这些概念也指导着自动化通信技术中的类似概念。然而,PI在其分析中发现,这些并不能简单地转移到自动化领域

举几个例子:

PROFINET设备主要面向可靠性和实时通信。此外,工业环境中,可用性方面在技术设计中起着重要作用,安全功能必须要可以实现,例如证书检查就要以一种实用方式实现,譬如,在IP65设备中插入智能卡的方式就不完全可行。此外,在商业IT中,保护目标有时会有不同的优先级,机密性在商业中非常重要,但这在自动化通信网络技术中则只是从属作用。

 

保护目标的优先次序

工业安全标准IEC62443是PI安全概念的基础。在许多自动化系统中,这些目标在个别情况和应用中可能会有所不同,其优先级如下:

可用性和健壮性

 

b10f399627fa0e79679bcd3616ee2ed4.png

这是一个系统总是要能完成它所要求的功能的特性。根据生产过程的不同,通常有高到非常高的可用性要求,对关键基础设施尤其如此。

 

完整性(数据)

 

dd4da8bf8e6a249dfeeb6360d164c569.png

这是关于防止未经授权的数据操作的系统的特性。例如,不得伪造信息包,否则可能会无意中激活执行器或记录不正确的测量值。

 

真实性(设备/用户)

 

8de05f16a17672545d65faa3f90c2372.png

真实性确保系统组件及其数据的唯一标识。组件必须“自我识别”并具有防伪数字标识。分配给经过身份验证的用户(人、软件过程或设备)的授权允许其在自动化系统中执行所需的操作,而且这些授权的使用要被监控。

 

授权

 

a94ec8e9fae0c2510ef552b81ae1aa62.png

使用控制确保只有授权用户才能干预自动化系统。

 

保密

 

信息只对某些参与者开放,且对第三方保密。对IO数据机密性的保护目标被认为是低的-只要不能从中得出关于公司机密的结论(例如机密配方)。

 

PROFINET安全等级

由于行业和应用的多样性,对安全性的要求也不尽相同,PROFINET引入了三种安全等级。这是因为“机密性”的要求,例如,加密措施需要非常高的计算时间开销。然而,这在许多应用程序中是不必要的。

安全等级1(健壮性)通常提供从外部封锁系统、分割生产网络、访问保护和其他措施(纵深防御概念)。现在这将在某些方面得到扩展。包括更改SNMP默认字符串的能力,DCP命令可以设置为“只读”,GSD文件可以通过签名来防止未经注意的更改。这些变更已经在2020年4月的PROFINET规范V2.4 MU1中引入。

对于安全等级2(完整性和真实性),除了安全等级1外,还规定了IO数据通信的完整性和真实性,以及通过加密功能对配置数据的保密性。例如,在无法轻易划分区域的系统中,或者在无法避免从外部进入的系统(例如室外装置)中,就是这种情况。

安全等级3中,还规定了IO数据的机密性。如果可以从这些数据中推断出公司机密,就是这种情况。

大多数应用将能够在安全等级1和2的基础上工作。在协议扩展时创建和检查安全信息通常会导致组件资源的增加。此类完整性和真实性检查不得对PROFINET的性能产生任何实质性影响

PROFINET通信网络的保护措施

PROFINET安全概念基于众所周知和普遍接受的密码算法和协议。但是,安全功能需要灵活的生命周期管理。这一点在密码算法可以被认定为不安全或被发现是整个安全概念中的薄弱项是显得非常重要。此外,为了保证PROFINET通信的安全,还必须考虑其他方面:

●  通过证书形式的加密安全数字身份,确保PROFINET站

●  通过证书形式的加密安全数字身份,确保PROFINET站的真实性。这个概念应该包括安全存储这一身份的可能性,例如,在各自工作站的一个特别安全的硬件组件中。

●  通过加密措施,例如加密校验和,确保通信的完整性。这种安全应该覆盖PROFINET设备的所有通信通道,包括IP通信、PROFINET实时通信以及用于网络管理的通信。

●  通过加密措施确保系统启动和组件的分配,例如从IO设备到IO控制器和工程工具。这也适用于连接终止后的系统启动。

●  报告可以被PROFINET设备检测到的安全相关事件。例如,通过额外的PROFINET IT安全警报。

●  确保非循环数据和配置数据的机密性。作为安全级别3中的可选功能,对循环数据的附加保密性保证。

●  确保针对拒绝服务攻击的最低要求。

●  保护设备主文件(GSD文件)的完整性和真实性。

●  在控制器和相关设备之间安全的端到端通信以及可选的监控/诊断系统集成。

●  针对安全性要求较高的机器的配置选项(不同的安全性配置文件)

●  对现有PROFINET配置文件/函数(如PROFIsafe)的支持和保护——尽可能透明

当前的状态

自2019年4月起,PI发布了关于安全措施的白皮书。其中所描述的措施不断地被纳入相应的PROFINET规范中。此外,PI还就这一主题提供培训和其他服务。PI正在成立一个网络安全事件响应小组(CSIRT)。

 

 

信息安全用例

安全等级的区别

 

每个应用程序都有不同的安全需求,因此引入了不同的安全等级。大多数应用在安全等级1和2的基础上都能工作。

●  安全等级1包括对当前可用的PN安全性的扩展。

●  安全等级2适用于与系统外部区域的通信量增加或对系统的访问不易监控的系统。如果操作员对通过PROFINET进行通信有更高的IT安全要求,则使用此类。在此操作模式下,循环服务受到保护,以防未经授权的修改。同时保证了非循环服务的可信任性、完整性和真实性。

●  安全等级3确保所有服务的完整性、真实性和机密性。一般认为安全等级3仅适用于通过读取循环IO数据可推断出公司机密的情况。注意:安全等级2的非循环通信服务为机密数据(如配方)的传输提供了一种替代方案。

不同的安全级别还需要设备制造商在设备中实现以及用户将其集成到其系统和机器中的努力。

证书的处理

身份验证基于证书,包括设备和操作员。安全等级2及以上要求办理证书。通过用户名/密码进行身份验证不在计划中。每个通信伙伴必须有一个证书颁发机构发布的证书。PROFINET证书管理中心管理证书的初始提供以及续约/更新和撤销。密钥生成由设备和外部资源(如工具)支持。

GSD的处理

必须确保GSD文件的完整性和真实性。例如,作为可选安全扩展制造商要能够将其GSD文件进行数字签名。可以从PNO请求各个特定提供者的证书。工程系统将在导入期间验证GSD签名。这就建立了对GSD配置数据的信任。可以获得关于所有Class 1功能详细说明的用户指南。

 

常见问题

1、PROFINET如何处理网络中的安全和不安全连接?

在IO系统和现有网络基础设施(如交换机)中,安全连接和非安全连接的并行操作是可能的

 

2、什么是IEC 62443?

国际系列标准IEC 62443大约有20年的历史,它为运营商、集成商和设备供应商规定了一种整体安全方法。IEC 62443是公认的“工业通信网络-网络和系统的IT安全”的国际系列标准。标准可分为四个方面:

第一部分介绍了纵深防御等基本概念,基本安全要求,然后参考其他部分标准进行具体实施

第二部分界定了执行组织措施的准则和指南,并提出了建议。

第三部分描述了安全级别和安全要求等技术方面

第四部分专门针对产品和组件视图(传感器、接口、芯片等),因此更针对设备供应商

 

欢迎老铁们关注公众号,共同交流学习工业总线技术↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓

 

标签:证书,信息安全,西门子,通信,安全,安全等级,PROFINET,组件
From: https://blog.csdn.net/2301_79584473/article/details/139478875

相关文章

  • 西门子学习笔记10 - MCGS和西门子1200进行通讯设置
    1、博图软件的设置1、修改PLC的ip地址为192.168.1.12、打开put,get通讯功能3、设置通讯变量,可以是M区也可以是DB块的数据2、MCGSE组态环境设置1、新建项目,在设备窗口界面进入设备窗口2、添加设备如下3、双击进入配置界面4、添加变量(这个就是和PLC设置的变量是一个......
  • PLC通过Profinet转Modbus网关与流量计通讯案例
    PLC通过Profinet转Modbus网关与流量计通讯案例1、案例背景在工业自动化系统中,PLC(可编程逻辑控制器)与流量计之间的通信是保证以后设备生产数据准确传输和实现控制功能的关键。但是,由于PLC和流量计可能使用不同的通信协议(如Profinet和Modbus),因此需要一种转换机制来实现它们之......
  • 智能仪表通过Modbus转Profinet网关与PLC通讯方案
    智能仪表通过Modbus转Profinet网关与PLC通讯方案一、功能及优势:Modbus转Profinet网关(XD-MDPN100/300)的主要功能是实现Modbus协议和Profinet协议之间的转换和通信。Modbus转Profinet网关集成了Modbus和Profinet两种协议,支持ModbusRTU主站/从站,并可以与RS485接口的设备,它自带网口......
  • 利用西门子DQ模块控制移位寄存器,模拟串行通信
    1.背景以前了解过串行通信的方法但是没有详细了解过具体实现。趁着手上有的一堆破铜烂铁尝试自己去实现一个最简单的串行控制。目的是通过移位寄存器的不同位的表达,达到2*2=4个的继电器管断组合,达到切换矩阵的目的。这里只记录一下程序实现,不记录硬件电路。2.材料移位寄......
  • 兴达易控232自由转profinet网关接扫码枪配置及测试案例
    兴达易控232自由口转profinet网关接扫码枪配置及测试案例232自由口转Profinet网关(XD-PNR100/300)的主要功能就是将具有RS232接口的设备(如扫码枪、打印机、传感器等)接入到Profinet网络中,从而实现了传统设备与现代化工业以太网之间的无缝通信和数据交换。本案例是232自由口转Profin......
  • 1500PLC通过232自由口转profinet网关接ABB扫码枪通讯方案
    一、现状:在实际的生产环境中,越来越多的自动化设备采用扫码枪录入代替手动录入信息的方式进行操作。二、了解现场现场要求在不动其他设备和程序的情况下让ABB扫码枪与1500PLC通讯,在拿到现场的需求时兴达易控的专项技术为其制定了方案。 三、制定方案:在不动其他设备和程序的......
  • 北京Profinet转Modbus网关配置调试详解
    一、背景:在工业自动化系统中,PLC(可编程逻辑控制器)与流量计之间的通信是非常重要的,以确保数据准确传输并实现控制功能。然而,由于PLC和流量计可能采用不同的通信协议(如Profinet和Modbus),因此需要一种转换机制来实现它们之间的通信。在这种情况下,Profinet转Modbus网关成为了一个理想的......
  • 西门子PLC从入门到精通 (刘振全)高清电子版阅读
    书:pan.baidu.com/s/1UtoEsfQDHJqcL7zpdvFP-Q​提取码:oq5x我的阅读笔记:PLC基础概念: 介绍PLC的基本定义、工作原理和应用领域。西门子PLC产品介绍: 探讨西门子PLC产品系列,如S7-1200、S7-1500等。PLC编程语言: 介绍PLC编程的基本语言,包括梯形图、结构化文本(SCL)、功能块图等。P......
  • 02~信息安全标准与规范
    一、常见的信息安全标准1、美国标准:TCSEC(TrustedComputerSystemEvaluationCriteria,可信计算机系统评价标准。)1970年由美国国防科学委员会提出,1985年12月由美国国防部公布。是计算机系统安全评估的第一个正式标准。TCSEC最初只是军用标准,后来延至民用领域。将计算机系统......
  • MES在数字化工厂中怎么落地?西门子,施耐德为例
    在当前制造业高度竞争的环境下,制造企业为了提高生产效率、降低成本以及优化资源利用,需要借助现代化的制造执行系统(MES)。MES,作为制造业中一种重要的管理信息系统,是数字化工厂中至关重要的一环,并在数字化转型和智能制造中发挥着关键作用。01.MES的发展MES的定义与功能:ME......