工业控制系统中存在的各式威胁

 

随着智能信息时代的来临，工业控制系统正面临着来自各个方面的安全威胁。有来自工业控制系统内部的，也有来自企业信息网络和互联网的威胁。包括人为的蓄意破坏和攻击、盗取程序及关键数据、不可抗拒的自然灾害和工作人员安全防范不专业导致的意外操作等。

除此之外，安全威胁还存在于未授权访问和未授权的操作中，一些设备由于无授权访问机制进而导致设备被非法访问。因此，安全风险的存在会增加工业控制系统正常运行中断、产生安全事故以及知识产权受到侵犯等问题。

 

面对工业控制系统中存在的各式威胁，我们需要使用更加智能高效的方法来应对。罗克韦尔自动化深入工业控制安全领域不断探索应对安全威胁的更优实践方式。在安全实践中，为保护工业控制系统免受内部和外部威胁的侵害，必须实现纵深防御的安全策略。范围包括物理安全、网络安全、计算机加固、应用程序安全和设备加固等方面。

这个想法的基本思想是，如果攻击者剥夺了一层防御，总会有另外一层阻止他们的努力，所以，基于该实践的工业控制系统应该更加安全，并且可以避免或减轻威胁。除了这些技术上的措施外，为保护工业控制系统的安全，最重要的还是工业企业管理层应该具有安全意识，制定企业的安全策略和程序，并组织对员工进行安全意识和工业控制系统安全知识的培训。

抵御安全威胁的“保护网”

一直以来信息安全通讯协议在IT领域已经被广泛使用，随着工业自动化控制系统和企业信息技术网络的不断融合，在工业自动化现场也必须使用安全的通讯协议来抵御存在的安全威胁，所以罗克韦尔自动化和 ODVA 在2015年推出了 CIP Security 工业网络安全通讯协议。

CIP Security 是众所周知的标准传输层安全协议, 同时也是通过 TLS 安全传输层协议和 DTLS 数据报安全传输层协议来封装 CIP 通讯的 CIP 扩展协议，并且，EtherNet/IP 的安全传输也可通过 CIP Security 来帮助实现 。标准的 CIP 协议使用了 TCP 和 UDP 来包裹封装，但安全的 CIP 通讯则是使用 TLS 和 DTLS 来进行包裹封装，例如：我们所熟知和常用的 Https 也是使用TLS进行包裹封装的。

 

同时，CIP Security 还具有高适用性，不但常规的 CIP 协议可以使用，CIP Security 和CIP Motion等都可以使用，也就是说传输 CIP Safety 和 CIP Motion 的数据包时也可以通过 TLS 和 DTLS 进行包裹封装。并且，该协议是基于 IT 领域已经成熟且广泛使用的开放式安全标准，设备身份标识是采用 X.509 v3 数字证书，可用于为设备提供加密的安全标识，即加密的身份信息，通过 TLS 传输来进行设备的身份验证，此外，TLS 和 DTLS 也用于之后设备数据的完整性检查和加密传输。数据的完整性采用密钥散列消息认证码，即HMAC。

使用 CIP Security 可帮助实现 EtherNet/IP 安全传输，使连接到 EtherNet/IP 的设备能够保护自身，CIP Security 可以防止三个方面的安全威胁。

一是拒绝非受信人员或非受信设备发送的消息，即识别设备身份的真实性

二是拒绝中间人篡改的数据，即确保数据的完整性

三是防止数据在通讯的过程中被非法查看，即保证数据的机密性

CIP Security 是对设备的安全加固，是属于纵深防御的一部分，实施多层安全方案更能抵御攻击。

CIP Security 的多区域部署

 

目前罗克韦尔自动化已经有多种产品支持CIP Security，软件产品有 FactoryTalk Policy Manager、FactoryTalk Linx 等；硬件有 ControlLogix 5580 系列控制器、1756-EN4TR EtherNet/IP 通讯网卡、CompactLogix 5380、Compact GuardLogix 5380、CIP Security代理、PowerFlex 755T 变频器、Armor PowerFlex 以及 Kinetix 5700/Kinetix5300 伺服驱动器等，近期还将陆续推出更多支持 CIP Security 的产品。

罗克韦尔自动化

1756-EN4TR EtherNet/IP 

通讯网卡

 

1756-EN4TR 以太网通讯模块提供了更高的吞吐量，双1Gig 网口，支持 DLR 环网，能够连接256根伺服轴，可以作为冗余远程 IO 适配器使用，同时支持 CIP Security，提供了设备间的认证、数据完整性及数据加密等安全功能，满足了客户日益增长的性能及安全需求。

 

罗克韦尔自动化

CIP安全代理

1783-CSP

1783-CSP 是 CIP Security 代理，有了 CIP Security  代理，每个 EtherNet/IP 适配器就都能够无条件支持 CIP Security 的版本，无需另外开发。特别是对一些老的 I/O 适配器和设备，要实现工业通讯的安全传输，支持 CIP Security 的设备可以直接接到控制系统网络上，把不支持 CIP Security 的产品接到控制系统之前先接到 1783-CSP，然后再把 1783-CSP 接到控制系统上，这样 1783-CSP 和 PLC 间的通讯也就是安全的工业通讯。

小罗有话说

安全威胁无处不在，为工业安全系统安全多加一层“防护”，罗克韦尔自动化多种产品、多项选择适用于 CIP Security 多层安全方案，共同抵御安全威胁攻击，为工业安全保驾护航。