《如何提高自动化控制系统安全及管理水平讲解》由会员分享,可在线阅读,更多相关《如何提高自动化控制系统安全及管理水平讲解(35页珍藏版)》请在金锄头文库上搜索。
1、如何提高自动化控制系统安 全及管理水平 多重的安全威胁 误操作 未授权的操作 未授权的访问 拒绝服务攻击 窃贼 未授权的远程访问 自然或人为灾害 破坏活动 蠕虫和病毒 安全来自纵深式的防御 3 网络安全架构 4 推推荐的架构荐的架构 不推荐的架构不推荐的架构 Enterprise-wide Network Plant-wide Network Enterprise-wide Network Plant-wide Network Plant-wide Network Enterprise-wide Network Plant-wide Network Enterprise-wide Networ
2、k Switch with VLANs Plant-wide Network Enterprise-wide Network Firewall Better Plant-wide Network Enterprise-wide Network IDMZ Best Plant-wide Network Enterprise-wide Network Router (Zone Based FW) Good 2 2层到层到3 3层交换功能对应从简单到复杂层交换功能对应从简单到复杂 网络应用网络应用 高级安全功能高级安全功能 从工厂到企业网络的集成从工厂到企业网络的集成 技技术术产品产品 高级的交换、
3、路由及安全特性高级的交换、路由及安全特性 对自动控制对自动控制 及及ITIT部门提供通用的工部门提供通用的工 具具 维护简便维护简便 面面向运维及向运维及ITIT应用应用 面向自动控面向自动控 制的需求制的需求 网络安全工具 - Stratix 系列交换机的优点 网络安全工具 -Stratix 5900 含2层及3层安全功能路由器 提供路由及2层及3层安全服 务 路由器 + 防火墙 虚拟私有网络(VPN) 网络地址转换 (NAT) 访问控制列表 (ACL) 入侵防止系统 (IPS) 端口: 1 Gigabit WAN 端口 4 Fast Ethernet端口 工业标准, DIN 导轨安装 使用
4、于厂级站点间连接、单 元区域的防火墙及OEM设备的 通讯集成 New 7 Enterprise-wide Business Systems Levels 4 user name and PW FactoryTalk 系统安全策略 10 “Freds” PW expires in 30 days 分配用户组或角色 11 “Fred” is an Engineer 分配产品权限 12 “Fred” can use Logix5000 分配角色或用户组的允许权限 13 Engineers can Modify AOIs 资源分配到应用区域 14 Finally; “Fred” is an Engin
5、eer who can Modify AOIs on all controllers in “Area2” PC #2 15 15 PC #1 Logix 5000 Project FactoryTalk Services Security Security AuthorityAuthority Security Administration Logix 5000 Project FactoryTalk Services Security Administration ID = 795D5EF-12.ID = A73R5CG 89. ID= 795D5EF-12 Security Securi
6、ty AuthorityAuthority ID = 795D5EF-12 EtherNet/IP IDs MatchIDs Dont Match 应用层安全工具 - FactoryTalk Security 在 Logix Controllers中使用FactoryTalk Security 安全认证号码 (SAID) 使用FactoryTalk Services Platform SR5 和 RSLogix 5000 V20 (以及更高版本) 配置Logix控制器时,在要求所有用户在访问控制器前必须通过一个FactoryTalk目录来认证 权限 安全认证号码存储在工程文件中 可以保护离线文
7、件 16 当“Security Authority ID required” 使能 后 访访问问前需要登录录 使用FactoryTalk目录录服务务来 启用安全功能 SAID备份 使用 FactoryTalk管理控制台, 安全认证号码 可以被 加密来保护备份 允许多个FactoryTalk 目录使用同一个ID 可以用来替换v20版停用的CPU加密功能 The Security Authority Identifier looks like this 17 限制通讯卡槽 Copyright 2011 Rockwell Automation, Inc. All rights reserved. 1
8、9 数据访问控制 用户可以设置外部数据访问权限:读/写 、只读及无权限 在RSLogix5000及Logix控制器需要建立信任连接 确保只能通过RSLogix 5000修改标签属性 谁能修改属性由 FactoryTalk Security来控制 用户还可以把标签定义为常数, 常数不能被控制器逻辑程序修改。 20 FactoryTalk View SE 安全 FactoryTalk View SE 安全可以被应用到: 画面 21 FactoryTalk View SE 安全 FactoryTalk View SE 安全可以被应用到: 画面 对象 22 FactoryTalk View SE 安全
9、 FactoryTalk View SE 安全可以被应用到: 画面 对象 项目应用 ControlLogix 实时修改监测 ControlLogix V20 或更高版本支持实时修改监测功能 可以通过控制器修改日志获得监测信息 可以通过事件日志生成活动报告 可以监测到恶意修改 可以选择发送信息到监测服务器 23 控制器实时修改监测 每个 Logix PAC 开放一个修改监测数值 当影响到控制器运行的行为被监测到时,这个值会自动改变 该监测值可以通过 RSLogix 5000 和Studio 5000 Logix Designer 访问, 其它软件或应用可以通过Message指令访问 可以组态什么
10、事件被监测 24 控制器实时修改监测 监测值被记录到每个控制器的日志中, FactoryTalk AssetCentre (Version 4.1), 可以从控制器日志中读取该监测值 25 Copyright 2011 Rockwell Automation, Inc. All rights reserved. FactoryTalk AssetCentre 监测功能 26 集中记录与控制系统的交互信息 Copyright 2009 Rockwell Automation, Inc. All rights reserved. FactoryTalk AssetCentre 软件 具备一套针对资
11、产集中管理工具,用于安全 的集中管理您的自动化设备 对控制系统的安全访问 追踪用户操作 提供备份及恢复操作的组态 管理设备组态配置文件 配置过程仪表 管理设备整定 可扩展的设计允许功能及设备数量的扩展 提供从小型生产线到工厂范围的解决方案 低入门费用(概念设计及证明测试) 版本控制 / 源文件控制 集中存储文件、组态、程序、 SOPs, CAD, 和其他文件 自动的版本控制 维护单一主文件关系 当维护主文件时允许他人获得 程序拷贝 FactoryTalk AssetCentre容灾备份功能 定期自动备份设备组态 选择和特定备份版本比较差异 最新版本 指定版本 当差异监测到后自动创建新版本 在事
12、件数据库中自动生成差异报告并发送邮件 容灾备份选项 Rockwell Automation 设备 Logix5000 设备以及 SLC-500, PLC-5 PanelView Plus, Standard 以及 Enhanced 变频器 远程计算机 文件或文件夹 通用FTP设备 文件或文件夹 Siemens S7 400 和 300 系列控制器 TCP/IP协议 Siemens S5 100 系列 TCP/IP协议 Fanuc Robots RJ3 和 RJ3i 控制器 Motoman Robots XRC 和 NX-100 控制器 ABB Robots IRC5 和 S4C+ robot
13、控制器 FactoryTalk AssetCentre 监测及事件记录 提供监测信息集中存储服务,如: FactoryTalk 应用、RSLogix5, 500 & 5000系列控制器。 监测及事件信息包含记录时间、当前时间 、用户、设备、计算机以及操作信息 实现系统集中诊断管理 FactoryTalk AssetCentre 监测及改动报告 通过FactoryTalk AssetCentre检 索 事件 监测 归档历史文件y 定期或立即生成报告 定期以Email形式发送报告 Examples 检索某一资产故障以前4个小时 的修改记录 检索上个月某个用户修改了什 么文件 检索上载任务失败的记录
14、 检索每个班次做过的数据强制 及程序空行来改善厂级的安全 32 FactoryTalk AssetCentre 仪表管理 智能仪表组态 (PDC) 实现集中监测及组态多个 仪表供应商的智能仪表设 备,减少整体维护以及现 场工作时间 仪表整定 可以通过整定计划、整定 报告及整定追踪等功能高 效的管理过程仪表。 Copyright 2009 Rockwell Automation, Inc. All rights reserved. 应用案例 例子: 某酿酒厂 某个人修改了加油系统的时间。从原来的20分钟改为8个小时。公司 没有任何关于什么时候修改的记录。. 结果 该修改造成了被加油系统的停机,造
15、成了$101,000的损失. $15K 从德国发来部件+2天收到 $11K 安装人力 +3 天机械安装 $75K 停机损失 解决方案 这个酿酒厂采用了 FactoryTalk AssetCentre用于控制系统修改检 查。通过FactoryTalk AssetCentre, 该厂建立了用户管理机制防止 未授权的修改。 FactoryTalk AssetCentre提供了检查记录功能, 可以得到什么人在什么地点对控制系统作了什么修改的记录。 FactoryTalk AssetCentre 部署架 构 Microsoft SQL Server 2005 Standard 或 2008 R2 安装 FactoryTalk AssetCentre 数据库 FactoryTalk AssetCentre Server 管理系统操作 FactoryTalk 目录 / 安全 通用 Rockwell Automation 安全管理 FactoryTalk AssetCentre Client 允许用户配置和使用系统,查看记录 事件及执行其他相关任务 FactoryTalk AssetCentre Agent 执行特定类型任务的程序
