第一个PROFINET规范发布的时候,PI就同期发布了全面的安全理念,该理念后来又经过多次细化和调整。不管怎样,需求和现在也一样,即仅仅保护工厂网络和自动化组件是不够的——所使用的保护机制和概念必须不干扰正在进行的生产运营。此外,保护的理念必须易于实施并且负担得起。
成熟的概念
PROFINET的IT安全概念基于纵深防御方法。在这种方法中,生产工厂通过一个包括防火墙在内的多级边界来防止攻击,特别是来自外部的攻击。此外,通过使用防火墙将工厂划分为多个区域,可以进一步保护工厂。此外,安全组件测试确保PROFINET组件在一定程度上能够抵抗过载。作为安全管理系统的一部分,这一安全理念由生产企业有组织的措施来支持实现。因此,安全需要在各个层级采取措施。
图:PROFINET集成了信息安全特征
然而,安全是一个必须不断适应当前事态发展的主题,因此永远不会完成。尤其是在生产设施网络化程度不断提高的背景下。
列举几个关键点:
1、开放式通信:提供附加价值的PROFINET组件或功能,如Web服务或OPC-UA连接,会导致增加与定义的安全区域之外的更高级别系统的直接通信。与此同时,隔离PROFINET网络变得越来越困难。这也会增加网络攻击的风险。
2、更庞大的网络:越来越多的组件被连接到一个网络上并相互作用,因此,对某个单元内的单个(PC)系统的成功攻击有可能绕过更高一级的保护措施。
3 、大范围的系统:分布广泛的设施阻碍了对网络和AP的物理保护。导致未经授权的人可以获得对PROFINET网络的访问。
4、附加保护措施:以前的概念主要依赖于封闭生产设施,现在必须辅之以新的概念,即在单元内提供保护。因此,现有措施要通过进一步的保护措施加以扩展。其中包括证书管理,例如设备认证,以及作为配置选项的PROFINET通信端到端安全扩展。
由于每个应用程序都有不同的安全要求,PROFINET提供了不同的安全等级。
PROFINET安全通信
在工业4.0背景下,考虑到未来网络的增加,越来越多的场景下,仅依靠单元的保护概念是不够的,必须采取进一步的措施。
聚焦可靠性和实时性
在IT世界中,有一些经过验证的安全概念,这些概念也指导着自动化通信技术中的类似概念。然而,PI在其分析中发现,这些并不能简单地转移到自动化领域。举几个例子:PROFINET设备主要面向可靠性和实时通信。此外,工业环境中,可用性方面在技术设计中起着重要作用,安全功能必须要可以实现,例如证书检查就要以一种实用方式实现,譬如,在IP65设备中插入智能卡的方式就不完全可行。此外,在商业IT中,保护目标有时会有不同的优先级,机密性在商业中非常重要,但这在自动化通信网络技术中则只是从属作用。
保护目标的优先次序
工业安全标准IEC62443是PI安全概念的基础。在许多自动化系统中,这些目标在个别情况和应用中可能会有所不同,其优先级如下:
可用性和健壮性
这是一个系统总是要能完成它所要求的功能的特性。根据生产过程的不同,通常有高到非常高的可用性要求,对关键基础设施尤其如此。
完整性(数据)
这是关于防止未经授权的数据操作的系统的特性。例如,不得伪造信息包,否则可能会无意中激活执行器或记录不正确的测量值。
真实性(设备/用户)
真实性确保系统组件及其数据的唯一标识。组件必须“自我识别”并具有防伪数字标识。分配给经过身份验证的用户(人、软件过程或设备)的授权允许其在自动化系统中执行所需的操作,而且这些授权的使用要被监控。
授权
使用控制确保只有授权用户才能干预自动化系统。
保密
信息只对某些参与者开放,且对第三方保密。对IO数据机密性的保护目标被认为是低的-只要不能从中得出关于公司机密的结论(例如机密配方)。
PROFINET安全等级
由于行业和应用的多样性,对安全性的要求也不尽相同,PROFINET引入了三种安全等级。这是因为“机密性”的要求,例如,加密措施需要非常高的计算时间开销。然而,这在许多应用程序中是不必要的。
安全等级1(健壮性)通常提供从外部封锁系统、分割生产网络、访问保护和其他措施(纵深防御概念)。现在这将在某些方面得到扩展。包括更改SNMP默认字符串的能力,DCP命令可以设置为“只读”,GSD文件可以通过签名来防止未经注意的更改。这些变更已经在2020年4月的PROFINET规范V2.4 MU1中引入。
对于安全等级2(完整性和真实性)除了安全等级1外,还规定了IO数据通信的完整性和真实性,以及通过加密功能对配置数据的保密性。例如,在无法轻易划分区域的系统中,或者在无法避免从外部进入的系统(例如室外装置)中,就是这种情况。
在安全等级3中,还规定了IO数据的机密性。如果可以从这些数据中推断出公司机密,就是这种情况。
大多数应用将能够在安全等级1和2的基础上工作。在协议扩展时创建和检查安全信息通常会导致组件资源的增加。此类完整性和真实性检查不得对PROFINET的性能产生任何实质性影响。
PROFINET通信网络的保护措施
PROFINET安全概念基于众所周知和普遍接受的密码算法和协议。但是,安全功能需要灵活的生命周期管理。这一点在密码算法可以被认定为不安全或被发现是整个安全概念中的薄弱项是显得非常重要。此外,为了保证PROFINET通信的安全,还必须考虑其他方面:
通过证书形式的加密安全数字身份,确保PROFINET站的真实性。这个概念应该包括安全存储这一身份的可能性,例如,在各自工作站的一个特别安全的硬件组件中。
通过加密措施,例如加密校验和,确保通信的完整性。这种安全应该覆盖PROFINET设备的所有通信通道,包括IP通信、PROFINET实时通信以及用于网络管理的通信。
通过加密措施确保系统启动和组件的分配,例如从IO设备到IO控制器和工程工具。这也适用于连接终止后的系统启动。
报告可以被PROFINET设备检测到的安全相关事件。例如,通过额外的PROFINET IT安全警报。
确保非循环数据和配置数据的机密性。作为安全级别3中的可选功能,对循环数据的附加保密性保证。
确保针对拒绝服务攻击的最低要求。
保护设备主文件(GSD文件)的完整性和真实性。
在控制器和相关设备之间安全的端到端通信以及可选的监控/诊断系统集成。
针对安全性要求较高的机器的配置选项(不同的安全性配置文件)
对现有PROFINET配置文件/函数(如PROFIsafe)的支持和保护——尽可能透明
当前的状态
自2019年4月起,PI发布了关于安全措施的白皮书。其中所描述的措施不断地被纳入相应的PROFINET规范中。此外,PI还就这一主题提供培训和其他服务。PI正在成立一个网络安全事件响应小组(CSIRT)。
安全等级的区别
每个应用程序都有不同的安全需求,因此引入了不同的安全等级。大多数应用在安全等级1和2的基础上都能工作。
安全等级1:包括对当前可用的PN安全性的扩展。
安全等级2:适用于与系统外部区域的通信量增加或对系统的访问不易监控的系统。如果操作员对通过PROFINET进行通信有更高的IT安全要求,则使用此类。在此操作模式下,循环服务受到保护,以防未经授权的修改。同时保证了非循环服务的可信任性、完整性和真实性。
安全级别3:确保所有服务的完整性、真实性和机密性。一般认为安全等级3仅适用于通过读取循环IO数据可推断出公司机密的情况。注意:安全等级2的非循环通信服务为机密数据(如配方)的传输提供了一种替代方案。
不同的安全级别还需要设备制造商在设备中实现以及用户将其集成到其系统和机器中的努力。
|
证书的处理 身份验证基于证书,包括设备和操作员。安全等级2及以上要求办理证书。通过用户名/密码进行身份验证不在计划中。每个通信伙伴必须有一个证书颁发机构发布的证书。PROFINET证书管理中心管理证书的初始提供以及续约/更新和撤销。密钥生成由设备和外部资源(如工具)支持。 |
GSD的处理 必须确保GSD文件的完整性和真实性。例如,作为可选安全扩展制造商要能够将其GSD文件进行数字签名。可以从PNO请求各个特定提供者的证书。工程系统将在导入期间验证GSD签名。这就建立了对GSD配置数据的信任。可以获得关于所有Class 1功能详细说明的用户指南。 |
PROFINET安全扩展白皮书
本文档首先描述了开发安全概念的动机和过程。接下来,确定安全需求,对安全过程中的角色命名和彼此区分。更多详情。
PROFINET安全指南
安全指南指出了在工业环境中建立安全概念的关键方面,并提供了适当的建议。更多详情。
PROFINET 安全等级1指南
本文件旨在向PROFINET技术的组件制造商、系统供应商和用户概述安全等级为1的PROFINET安全扩展的规划方法、应用和过程。更多详情。
1.PROFINET如何处理网络中的安全和不安全通信?
在IO系统和现有网络基础设施(如交换机)中,安全连接和非安全连接的并行操作是可能的。
2.什么是IEC 62443?
国际系列标准IEC62443大约有20年的历史,它为运营商、集成商和设备供应商规定了一种整体安全方法。IEC 62443是公认的“工业通信网络-网络和系统的IT安全”的国际系列标准。
标准可分为四个方面:
第一部分介绍了纵深防御等基本概念,基本安全要求,然后参考其他部分标准进行具体实施。
第二部分界定了执行安全措施的准则和指南,并提出了建议。
第三部分描述了安全级别和安全要求等技术方面。
第四部分专门针对产品和组件视图(传感器、接口、芯片等),因此更针对设备供应商
