我的位置 态势感知  >  安全态势

西门子TIA 博途 V17及SIMATIC控制器信息安全性能提升

来源:关键基础设施安全应急响应中心 时间:2021-07-12 阅读次数:

作者 |  西门子(中国)有限公司

随着物联网的飞速发展以及OT和IT的融合, OT与IT的连接使得OT面临着与IT相同的网络威胁,也为OT领域带来了更加严苛的信息安全要求。

单一的安全产品并不能解决所有的问题,全方位多层次的信息安全防护体系已经成为信息安全工作尤其是工业信息安全的核心内容并形成共识。要全面保护工业设施实现信息安全目标,一种同时涵盖所有层面——从运营层到现场设备层,从访问控制到版权保护的方法至关重要。通过重新配置或者更新现有系统内的组件,都能够作为有效的防护方法。保护具有安全通信和访问保护等综合安全功能的自动化系统对于"纵深防御"理念的实现,和为工厂和机器实施有效的安全防护都非常重要。

早在2013年,西门子将信息安全需求引入全集成的安全框架TIA 博途V12,以实现设备、客户程序和工业控制系统网络设备间通信的安全目标“完整性保护”和“数据机密性”。经过历代版本更新,新一代的TIA 博途 V17提供了更强的安全功能使之更好地符合了最新的中国网络安全法规及标准:

一、SIMATIC PG/HMI 增强通信安全

SIMATIC的下一代进阶在于TIA Portal V17可以实现端到端的加密通信,S7-1200/1500的控制器与控制器之间、S7-1200/1500控制器与TIA 博途工程师站之间和S7-1200/1500控制器与HMI系统之间的通信基于TLS加强保护。TLS 1.3(Transport Layer Security)使得整个通信过程的机密性和完整性保护更强,每个 PLC都可以基于由TIA Portal生成的各自的证书进行唯一标识。敏感的PLC配置数据,例如各自证书,可以通过为每个PLC设置用户自定义密码的方式进行保护,以防止未经授权的访问。

为了降低技术复杂性,确定通过设置向导的方式完成配置过程,降低使用过程复杂性和产生错误的风险,提高透明度,并最大限度地方便了用户的处理。向导解释各个选项和设置的优缺点,因此用户更容易选择正确的配置。如有必要,用户也可以在确认后停用向导。

二、用户管理和访问控制

对于访问保护一致性的要求,可以配置为不同用户角色的工程师站和运行版配置不同功能权限。不同于先前的仅划分只读、可读可写两种模式,最新功能支持根据责任划分用户角色,同一工作站登录相同项目可以选择不同的用户角色,以此防止未授权的用户入侵受保护的系统。另外,如果工程师暂时离开工作站,可以根据用户配置时间自动锁定项目,以防止对项目的任意更改。

用户管理组件(User Management Component) 可选组件允许建立中央用户管理的。客户可以实现跨软件和设备定义并管理用户和用户组,也可以接收微软的活动目录(Active Directory)传输的用户和用户组。
TIA 博途 V17配合SIMATIC S7-1200 V4.5.0和S7-1500 V2.9.2 控制器最新固件版本(S7-1200 CPU V4.5.0 / S7-1500 CPU V2.9.2)可以实现以上功能,西门子强烈建议客户更新到最新版本。此外S7-1200 和S7-1500最新发布的版本固件解决了CVE-2020-15782内存保护绕过漏洞[1] ,未经认证攻击者利用该漏洞可以将任意数据和代码写入受保护的内存区域或读取敏感数据以发动进一步攻击。针对该漏洞防护的特定方法,参考西门子工业信息安全建议SSA-434534[3]中提供的对抗措施:
1. 采用密码保护S7通信;
2. 通过S7-1200或S7-1500的 ENDIS_PW 指令禁止客户端连接(即使客户端可以提供正确的密码,也会阻止远程客户端连接);
3. 使用S7-1500 CPU 的显示屏配置附加访问保护(这会阻止远程客户端连接,即使客户端可以提供正确的密码);
4. 采用西门子工业信息安全指南[2]中描述的“纵深防御”解决方案,尤其是:
a. 工厂安全:采用物理防护措施防止访问关键组件
b. 网络安全:确保PLC系统不连接到不受信的网络
c. 系统完整性:通过采用适当的补偿控制和内置的安全功能配置、维护和保护设备
5. 最后,将系统更新到TIA Portal V17并通过设备各自的证书实现PLC、HMI和PG/PC之间基于TLS的安全通信,增强工厂的信息安全保护等级。
保护自动化系统信息安全的通用方法,需要采用适当的机制保护对设备的网络访问,保护方式可以参考西门子工业信息安全指南[2]同时应遵循产品手册中推荐的保护方式。保护自动化系统免受网络攻击是具有挑战性的、不断发展的任务。信息安全保护必须始终如一地融入各个层级的产品组合当中。需要了解更多信息,请访问西门子工业信息安全网站[4]

[1] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15782

[2] https://cert-portal.siemens.com/operational-guidelines-industrial-security.pdf

[3] https://cert-portal.siemens.com/productcert/pdf/ssa-434534.pdf

[4] https://siemens.com/industrial-security

 
 

转载请注明来源:关键基础设施安全应急响应中心

8条评论