如何提高自动化控制系统安全及管理水平培训课件

如何提高自动化控制系统安全及管理水平多重的安全威胁误操作未授权的操作未授权的访问拒绝服务攻击窃贼未授权的远程访问自然或人为灾害破坏活动蠕虫和病毒

安全来自纵深式的防御3网络安全架构4推荐的架构不推荐的架构Enterprise-wideNetworkPlant-wideNetworkEnterprise-wideNetworkPlant-wideNetworkPlant-wideNetworkEnterprise-wideNetworkPlant-wideNetworkEnterprise-wideNetworkSwitchwithVLANsPlant-wideNetworkEnterprise-wideNetworkFirewallBetterPlant-wideNetworkEnterprise-wideNetworkIDMZBestPlant-wideNetworkEnterprise-wideNetworkRouter(ZoneBasedFW)Good2层到3层交换功能对应从简单到复杂网络应用高级安全功能从工厂到企业网络的集成技术产品高级的交换、路由及安全特性对自动控制

及IT部门提供通用的工具维护简便面向运维及IT应用面向自动控制的需求网络安全工具

-Stratix™系列交换机的优点网络安全工具

-Stratix5900™

含2层及3层安全功能路由器提供路由及2层及3层安全服务路由器

+防火墙虚拟私有网络(VPN)网络地址转换

(NAT)访问控制列表

(ACL)入侵防止系统

(IPS)端口:1GigabitWAN端口4FastEthernet端口工业标准,DIN导轨安装使用于厂级站点间连接、单元区域的防火墙及OEM设备的通讯集成New7Enterprise-wideBusinessSystemsLevels4&5–DataCenterEnterpriseZoneLevel3-SiteOperationsIndustrialZonePhysicalorVirtualizedServersFactoryTalkApplicationServers&ServicesPlatformNetworkServices–e.g.DNS,AD,DHCP,AAARemoteAccessServer(RAS)CallManagerStorageArrayLevels0-2Cell/AreaZonesLevel3.5-IDMZRemoteSite#1LocalCell/AreaZone#1LocalOEMSkid/Machine#1Plant-wideSite-wideOperationSystemsSite-to-SiteConnectionStratix59001)Site-to-SiteConnectionStratix59003)OEMIntegrationStratix59002)Cell/AreaZoneFirewall网络安全工具

-Stratix5900™含2层及3层安全功能路由器系统管理员可以管理用户帐户WindowsFactoryTalk用户组自定义用户组及角色Windows用户组计算机计算机组系统策略产品策略产品操作控制器安全控制器区域8应用层安全工具

-FactoryTalkSecurity用户帐户创建9“Fred”;usernameandPWFactoryTalk系统安全策略10“Fred’s”PWexpiresin30days分配用户组或或角色11“Fred””isanEngineer分配产品权限限12“Fred””canuseLogix5000分配角色或用用户组的允许许权限13EngineerscanModifyAOI’s资源分配到应应用区域14Finally;“Fred”isanEngineerwhocanModifyAOI’sonallcontrollersin“Area2””PC#21515PC#1Logix5000ProjectFactoryTalkServicesSecurityAuthoritySecurityAdministrationLogix5000ProjectFactoryTalkServicesSecurityAdministrationID=795D5EF-12...ID=A73R5CG–89...ID=795D5EF-12..SecurityAuthorityID=795D5EF-12……EtherNet/IPID’sMatchID’sDon’tMatch应用层安全工工具-FactoryTalkSecurity在LogixControllers中使用FactoryTalkSecurity安全认证号码码(SAID)使用FactoryTalkServicesPlatformSR5和RSLogix5000V20(以及更高版本)配置Logix控制器时，在在要求所有用用户在访问控控制器前必须须通过一个FactoryTalk目录来认证权权限安全认证号码码存储在工程程文件中–可以保护护离线文文件16当“SecurityAuthorityIDrequired”使能后…访问前需要要登录…..…使用FactoryTalk目录服务务来启用用安全功功能SAID备份使用FactoryTalk管理控制台台,安全认证证号码可以被…加密来保保护备份份允许多个个FactoryTalk目录使使用同同一个个ID可以用来来替换换v20版停用用的CPU加密功功能TheSecurityAuthorityIdentifierlookslikethis17限制通通讯卡卡槽19数据访访问控控制用户可可以设设置外外部数数据访访问权权限：：读/写、只读读及无无权限限在RSLogix5000及Logix控制器器需要要建立立信任任连接接确保只只能通通过RSLogix5000修改标签属属性谁能修改属属性由FactoryTalkSecurity来控制用户还可以以把标签定定义为常数数，常数不能被被控制器逻逻辑程序修修改。20FactoryTalkViewSE安全FactoryTalkViewSE安全可以被被应用到:画面21FactoryTalkViewSE安全FactoryTalkViewSE安全可以被被应用到:画面对象22FactoryTalkViewSE安全FactoryTalkViewSE安全可以被被应用到:画面对象项目应用ControlLogix®实时修改监测测ControlLogixV20或更高版本本支持实时时修改监测测功能可以通过控控制器修改改日志获得得监测信息息可以通过事事件日志生生成活动报报告可以监测到到恶意修改改可以选择发发送信息到到监测服务务器23控制器实时时修改监测测每个LogixPAC™开放一个修修改监测数数值当影响到控控制器运行行的行为被被监测到时时，这个值值会自动改改变该监测值可可以通过RSLogix™5000和Studio5000LogixDesigner™访问,其它软件或或应用可以以通过Message指令访问可以组态什什么事件被被监测24控制器实时修修改监测监测值被记记录到每个个控制器的的日志中，，FactoryTalk®AssetCentre(Version4.1),可以从控制制器日志中中读取该监监测值25Copyright©2011RockwellAutomation,Inc.Allrightsreserved.FactoryTalk®AssetCentre监测功能26集中记录与与控制系统统的交互信信息FactoryTalkAssetCentre软件具备一套针针对资产集集中管理工工具，用于于安全的集集中管理您您的自动化化设备对控制系统统的安全访访问追踪用户操操作提供备份及及恢复操作作的组态管理设备组组态配置文文件配置过程程仪表管理设备备整定可扩展的的设计允允许功能能及设备备数量的的扩展提供从小小型生产产线到工工厂范围围的解决决方案低入门费费用（概概念设计计及证明明测试））版本控制制/源文件控控制集中存储储文件、、组态、、程序、SOPs,CAD,和其他文文件自动的版版本控制制维护单一一主文件件关系当维护主主文件时时允许他他人获得得程序拷拷贝FactoryTalkAssetCentre容灾备份份功能定期自动动备份设设备组态态选择和特特定备份份版本比比较差异异最新版本指定版本当差异监测到到后自动创建建新版本在事件数据库库中自动生成成差异报告并并发送邮件容灾备份选项RockwellAutomation设备Logix5000设备以及SLC-500,PLC-5PanelViewPlus,Standard以及Enhanced变频器远程计算机文件或文件夹夹通用FTP设备文件或文件夹SiemensS7400和300系列控制制器TCP/IP协议SiemensS5100系列TCP/IP协议FanucRobotsRJ3和RJ3i控制器器MotomanRobotsXRC和NX-100控制器器ABBRobotsIRC5和S4C+robot控制器器FactoryTalkAssetCentre监测及及事件件记录提供监测测信息息集中中存储储服务务，如如：FactoryTalk应用、RSLogix5,500&5000系列控控制器器。监测及及事件件信息息包含含记录录时间间、当当前时时间、、用户户、设设备、、计算算机以以及操操作信信息实现系系统集集中诊诊断管管理FactoryTalkAssetCentre监测及及改动动报告告通过FactoryTalkAssetCentre检索事件监测归档历历史文文件y定期或或立即即生成成报告告定期以以Email形式发发送报报告Examples检索某某一资资产故故障以以前4个小时时的修修改记记录检索上上个月月某个个用户户修改改了什什么文文件检索上上载任任务失失败的的记录录检索每每个班班次做做过的的数据据强制制及程程序空空行来来改善善厂级级的安安全32FactoryTalkAssetCentre仪表管管理智能仪仪表组组态(PDC)实现集集中监监测及及组态态多个个仪表表供应应商的的智能能仪表表设备备，减减少整整体维维护以以及现现场工工作时时间仪表整整定可以通通过整整定计计划、、整定定报告告及整整定追追踪等等功能能高效效的管管理过过程仪仪表。。应用案案例例例子子:某酿酿酒酒厂厂某个个人人修修改改了了加加油油系系统统的的时时间间。。从从原原来来的的20分钟钟改改为为8个小小时时。。公公司司没没有有任任何何关关于于什什么么时时候候修修改改的的记记录录。。.结果果该修修改改造造成成了了被被加加油油系系统统的的停停机机，，造造成成了了$101,000的损损失失.$15K从德德国国发发来来部部件件+2天收收到到$11K––安装装人人力力+3天机机械械安安装装$75K––停机机损损失失解决决方方案案这个个酿酿酒酒厂厂采采用用了了FactoryTalkAssetCentre用于于控控制制系系统统修修改改检