谈谈TIA 博途 V17加密方式的升级

JZGKCHINA

工控技术分享平台

在TIA Portal V17之前，S7-1500 加密的通信方式有两种：

1：S7-1500 PLC之间、PLC与PC使用TCP （TLS V1.2）通信，通信双方使用公钥与私钥异步加密双方的通信会话密钥，得到密钥后进行同步加密通信，通信双方需要使用CA生成数字证书。这里的CA为PLC的编程软件TIA 博途，如图所示。

2：使用OPC UA 的通信方式。OPC UA 不依赖于操作系统，可以使用密钥方式进行加密通信，与发送、接收数据不同的是，OPC UA 使用server-client方式，PLC作为服务器，PC作为客户端，通信方式如图所示。这种方式适合PLC与PC间的通信。有多种通信方式适合不同应用（读写、注册读写、订阅），通信变量使用符号名称，与S7-1500符号编程方式匹配。OPC UA 是一个标准的通信协议，源代码开放，网上可以下载不同操作系统的客户端应用程序。

在很多项目的实际应用中，对于通信加密的需求日益增加，原来PLC间只能使用TCP方式，而与西门子HMI只能使用OPC UA方式进行通信，功能上略显不足，因此增加S7加密方式很有必要。

SIMATIC的进入TIA Portal V17可以实现端到端的加密通信，S7-1200/1500的控制器与控制器之间、S7-1200/1500控制器与TIA 博途工程师站之间和S7-1200/1500控制器与HMI系统之间的通信基于TLS加强保护。

TLS1.3（Transport Layer Security）使得整个通信过程的机密性和完整性保护更强，每个PLC都可以基于由TIA Portal生成的各自的证书进行唯一标识。敏感的PLC配置数据，例如各自证书，可以通过为每个PLC设置用户自定义密码的方式进行保护，以防止未经授权的访问。

为了降低技术复杂性，确定通过设置向导的方式完成配置过程，降低使用过程复杂性和产生错误的风险，提高透明度，并最大限度地方便了用户的处理。向导解释各个选项和设置的优缺点，因此用户更容易选择正确的配置。如有必要，用户也可以在确认后停用向导。

用户管理和访问控制

对于访问保护一致性的要求，可以配置为不同用户角色的工程师站和运行版配置不同功能权限。不同于先前的仅划分只读、可读可写两种模式，最新功能支持根据责任划分用户角色，同一工作站登录相同项目可以选择不同的用户角色，以此防止未授权的用户入侵受保护的系统。另外，如果工程师暂时离开工作站，可以根据用户配置时间自动锁定项目，以防止对项目的任意更改。

用户管理组件 （User Management Component）可选组件允许建立中央用户管理的。客户可以实现跨软件和设备定义并管理用户和用户组，也可以接收微软的活动目录(Active Directory)传输的用户和用户组。

建议的对抗措施：

TIA 博途 V17配合SIMATIC S7-1200V4.5.0和S7-1500 V2.9.2 控制器最新固件版本(S7-1200 CPU V4.5.0 / S7-1500 CPU V2.9.2)可以实现以上功能，西门子强烈建议客户更新到最新版本。

此外S7-1200 和S7-1500最新发布的版本固件解决了CVE-2020-15782内存保护绕过漏洞，未经认证攻击者利用该漏洞可以将任意数据和代码写入受保护的内存区域或读取敏感数据以发动进一步攻击。针对该漏洞防护的特定方法，参考工业信息安全建议中提供的对抗措施：

1. 采用密码保护S7通信；
2. 通过S7-1200或S7-1500的ENDIS_PW 指令禁止客户端连接（即使客户端可以提供正确的密码，也会阻止远程客户端连接）；
3. 使用S7-1500 CPU 的显示屏配置附加访问保护（这会阻止远程客户端连接，即使客户端可以提供正确的密码）；
4. 采用西门子工业信息安全指南[2]中描述的“纵深防御”解决方案，尤其是： 工厂安全：采用物理防护措施防止访问关键组 网络安全：确保PLC系统不连接到不受信的网络 系统完整性：通过采用适当的补偿控制和内置的安全功能配置、维护和保护设备
5. 最后，将系统更新到TIA Portal V17并通过设备各自的证书实现PLC、HMI和PG/PC之间基于TLS的安全通信，增强工厂的信息安全保护等级。