隨著智能信息時(shí)代的來(lái)臨，工業(yè)控制系統(tǒng)正面臨著來(lái)自各個(gè)方面的安全威脅。有來(lái)自工業(yè)控制系統(tǒng)內(nèi)部的，也有來(lái)自企業(yè)信息網(wǎng)絡(luò)和互聯(lián)網(wǎng)的威脅。包括人為的蓄意破壞和攻擊、盜取程序及關(guān)鍵數(shù)據(jù)、不可抗拒的自然災(zāi)害和工作人員安全防范不專(zhuān)業(yè)導(dǎo)致的意外操作等。

　　除此之外，安全威脅還存在于未授權(quán)訪問(wèn)和未授權(quán)的操作中，一些設(shè)備由于無(wú)授權(quán)訪問(wèn)機(jī)制進(jìn)而導(dǎo)致設(shè)備被非法訪問(wèn)。因此，安全風(fēng)險(xiǎn)的存在會(huì)增加工業(yè)控制系統(tǒng)正常運(yùn)行中斷、產(chǎn)生安全事故以及知識(shí)產(chǎn)權(quán)受到侵犯等問(wèn)題。

　　面對(duì)工業(yè)控制系統(tǒng)中存在的各式威脅，我們需要使用更加智能高效的方法來(lái)應(yīng)對(duì)。羅克韋爾自動(dòng)化深入工業(yè)控制安全領(lǐng)域不斷探索應(yīng)對(duì)安全威脅的更優(yōu)實(shí)踐方式。在安全實(shí)踐中，為保護(hù)工業(yè)控制系統(tǒng)免受內(nèi)部和外部威脅的侵害，必須實(shí)現(xiàn)縱深防御的安全策略。范圍包括物理安全、網(wǎng)絡(luò)安全、計(jì)算機(jī)加固、應(yīng)用程序安全和設(shè)備加固等方面。

　　這個(gè)想法的基本思想是，如果攻擊者剝奪了一層防御，總會(huì)有另外一層阻止他們的努力，所以，基于該實(shí)踐的工業(yè)控制系統(tǒng)應(yīng)該更加安全，并且可以避免或減輕威脅。除了這些技術(shù)上的措施外，為保護(hù)工業(yè)控制系統(tǒng)的安全，最重要的還是工業(yè)企業(yè)管理層應(yīng)該具有安全意識(shí)，制定企業(yè)的安全策略和程序，并組織對(duì)員工進(jìn)行安全意識(shí)和工業(yè)控制系統(tǒng)安全知識(shí)的培訓(xùn)。

　　抵御安全威脅的“保護(hù)網(wǎng)”

　　一直以來(lái)信息安全通訊協(xié)議在IT領(lǐng)域已經(jīng)被廣泛使用，隨著工業(yè)自動(dòng)化控制系統(tǒng)和企業(yè)信息技術(shù)網(wǎng)絡(luò)的不斷融合，在工業(yè)自動(dòng)化現(xiàn)場(chǎng)也必須使用安全的通訊協(xié)議來(lái)抵御存在的安全威脅，所以羅克韋爾自動(dòng)化和 ODVA 在2015年推出了 CIP Security™ 工業(yè)網(wǎng)絡(luò)安全通訊協(xié)議。

　　CIP Security™ 是眾所周知的標(biāo)準(zhǔn)傳輸層安全協(xié)議, 同時(shí)也是通過(guò) TLS 安全傳輸層協(xié)議和 DTLS 數(shù)據(jù)報(bào)安全傳輸層協(xié)議來(lái)封裝 CIP 通訊的 CIP 擴(kuò)展協(xié)議，并且，EtherNet/IP 的安全傳輸也可通過(guò) CIP Security™ 來(lái)幫助實(shí)現(xiàn) 。標(biāo)準(zhǔn)的 CIP 協(xié)議使用了 TCP 和 UDP 來(lái)包裹封裝，但安全的 CIP 通訊則是使用 TLS 和 DTLS 來(lái)進(jìn)行包裹封裝，例如：我們所熟知和常用的 Https 也是使用TLS進(jìn)行包裹封裝的。

　　同時(shí)，CIP Security™ 還具有高適用性，不但常規(guī)的 CIP 協(xié)議可以使用，CIP Security™ 和CIP Motion等都可以使用，也就是說(shuō)傳輸 CIP Safety 和 CIP Motion 的數(shù)據(jù)包時(shí)也可以通過(guò) TLS 和 DTLS 進(jìn)行包裹封裝。并且，該協(xié)議是基于 IT 領(lǐng)域已經(jīng)成熟且廣泛使用的開(kāi)放式安全標(biāo)準(zhǔn)，設(shè)備身份標(biāo)識(shí)是采用 X.509 v3 數(shù)字證書(shū)，可用于為設(shè)備提供加密的安全標(biāo)識(shí)，即加密的身份信息，通過(guò) TLS 傳輸來(lái)進(jìn)行設(shè)備的身份驗(yàn)證，此外，TLS 和 DTLS 也用于之后設(shè)備數(shù)據(jù)的完整性檢查和加密傳輸。數(shù)據(jù)的完整性采用密鑰散列消息認(rèn)證碼，即HMAC。

　　使用 CIP Security™ 可幫助實(shí)現(xiàn) EtherNet/IP 安全傳輸，使連接到 EtherNet/IP 的設(shè)備能夠保護(hù)自身，CIP Security™ 可以防止三個(gè)方面的安全威脅。

• 一是拒絕非受信人員或非受信設(shè)備發(fā)送的消息，即識(shí)別設(shè)備身份的真實(shí)性
• 二是拒絕中間人篡改的數(shù)據(jù)，即確保數(shù)據(jù)的完整性
• 三是防止數(shù)據(jù)在通訊的過(guò)程中被非法查看，即保證數(shù)據(jù)的機(jī)密性

　　CIP Security™ 是對(duì)設(shè)備的安全加固，是屬于縱深防御的一部分，實(shí)施多層安全方案更能抵御攻擊。

　　CIP Security™ 的多區(qū)域部署

　　目前羅克韋爾自動(dòng)化已經(jīng)有多種產(chǎn)品支持CIP Security，軟件產(chǎn)品有 FactoryTalk Policy Manager、FactoryTalk Linx 等；硬件有 ControlLogix 5580 系列控制器、1756-EN4TR EtherNet/IP 通訊網(wǎng)卡、CompactLogix™ 5380、Compact GuardLogix® 5380、CIP Security代理、PowerFlex 755T 變頻器、Armor PowerFlex 以及 Kinetix 5700/Kinetix5300 伺服驅(qū)動(dòng)器等，近期還將陸續(xù)推出更多支持 CIP Security 的產(chǎn)品。

　　羅克韋爾自動(dòng)化

　　1756-EN4TR EtherNet/IP

通訊網(wǎng)卡

　　1756-EN4TR 以太網(wǎng)通訊模塊提供了更高的吞吐量，雙1Gig 網(wǎng)口，支持 DLR 環(huán)網(wǎng)，能夠連接256根伺服軸，可以作為冗余遠(yuǎn)程 IO 適配器使用，同時(shí)支持 CIP Security，提供了設(shè)備間的認(rèn)證、數(shù)據(jù)完整性及數(shù)據(jù)加密等安全功能，滿(mǎn)足了客戶(hù)日益增長(zhǎng)的性能及安全需求。

　　羅克韋爾自動(dòng)化

　　CIP安全代理

　　1783-CSP

　　1783-CSP 是 CIP Security 代理，有了 CIP Security  代理，每個(gè) EtherNet/IP 適配器就都能夠無(wú)條件支持 CIP Security 的版本，無(wú)需另外開(kāi)發(fā)。特別是對(duì)一些老的 I/O 適配器和設(shè)備，要實(shí)現(xiàn)工業(yè)通訊的安全傳輸，支持 CIP Security 的設(shè)備可以直接接到控制系統(tǒng)網(wǎng)絡(luò)上，把不支持 CIP Security 的產(chǎn)品接到控制系統(tǒng)之前先接到 1783-CSP，然后再把 1783-CSP 接到控制系統(tǒng)上，這樣 1783-CSP 和 PLC 間的通訊也就是安全的工業(yè)通訊。

　　小羅有話(huà)說(shuō)

　　安全威脅無(wú)處不在，為工業(yè)安全系統(tǒng)安全多加一層“防護(hù)”，羅克韋爾自動(dòng)化多種產(chǎn)品、多項(xiàng)選擇適用于 CIP Security 多層安全方案，共同抵御安全威脅攻擊，為工業(yè)安全保駕護(hù)航。