(一)以前的通讯加密方式
在TIA Portal V17之前,S7-1500加密的通信方式有两种:
1:S7-1500 PLC之间、PLC与PC使用TCP (TLSV1.2)通信,通信双方使用公钥与私钥异步加密双方的通信会话密钥,得到密钥后进行同步加密通信,通信双方需要使用CA生成数字证书。这里的CA为PLC的编程软件TIA博途,如图所示。
2:使用OPCUA 的通信方式。OPC UA 不依赖于操作系统,可以使用密钥方式进行加密通信,与发送、接收数据不同的是,OPCUA使用server-client方式,PLC作为服务器,PC作为客户端,通信方式如图所示。这种方式适合PLC与PC间的通信。有多种通信方式适合不同应用(读写、注册读写、订阅),通信变量使用符号名称,与S7-1500符号编程方式匹配。OPCUA 是一个标准的通信协议,源代码开放,网上可以下载不同操作系统的客户端应用程序。
(二)基于TLSV1.3加密的S7通信
在很多项目的实际应用中,对于通信加密的需求日益增加,原来PLC间只能使用TCP方式,而与西门子HMI只能使用OPCUA方式进行通信,功能上略显不足,因此增加S7加密方式很有必要。SIMATIC的进入TIAPortal V17可以实现端到端的加密通信,S7-1200/1500的控制器与控制器之间、S7-1200/1500控制器与TIA博途工程师站之间和S7-1200/1500控制器与HMI系统之间的通信基于TLS加强保护。
(三)关于TLSV1.3的原理机制
TLS1.3(Transport Layer Security)使得整个通信过程的机密性和完整性保护更强,每个PLC都可以基于由TIAPortal生成的各自的证书进行唯一标识。敏感的PLC配置数据,例如各自证书,可以通过为每个PLC设置用户自定义密码的方式进行保护,以防止未经授权的访问。
(1)用户管理和访问控制 对于访问保护一致性的要求,可以配置为不同用户角色的工程师站和运行版配置不同功能权限。不同于先前的仅划分只读、可读可写两种模式,Zui新功能支持根据责任划分用户角色,同一工作站登录相同项目可以选择不同的用户角色,以此防止未授权的用户入侵受保护的系统。另外,如果工程师暂时离开工作站,可以根据用户配置时间自动锁定项目,以防止对项目的任意更改。
(3)建议的对抗措施:
博途V17配合SIMATIC S7-1200V4.5.0和S7-1500 V2.9.2 控制器Zui新固件版本(S7-1200 CPUV4.5.0 / S7-1500 CPUV2.9.2)可以实现以上功能,西门子强烈建议客户更新到Zui新版本。此外S7-1200和S7-1500Zui新发布的版本固件解决了CVE-2020-15782内存保护绕过漏洞,未经认证攻击者利用该漏洞可以将任意数据和代码写入受保护的内存区域或读取敏感数据以发动进一步攻击。针对该漏洞防护的特定方法,参考工业信息安全建议中提供的对抗措施:
采用密码保护S7通信;通过S7-1200或S7-1500的ENDIS_PW指令禁止客户端连接(即使客户端可以提供正确的密码,也会阻止远程客户端连接);使用S7-1500 CPU的显示屏配置附加访问保护(这会阻止远程客户端连接,即使客户端可以提供正确的密码);Zui后,将系统更新到TIA PortalV17并通过设备各自的证书实现PLC、HMI和PG/PC之间基于TLS的安全通信,增强工厂的信息安全保护等级。采用西门子工业信息安全指南[2]中描述的“纵深防御”解决方案,尤其是:工厂安全:采用物理防护措施防止访问关键组
网络安全:确保PLC系统不连接到不受信的网络
系统完整性:通过采用适当的补偿控制和内置的安全功能配置、维护和保护设备