PROFINET安全通信
在工业4.0背景下,考虑到未来网络的增加,越来越多的场景下,仅依靠单元的保护概念是不够的,必须采取进一步的措施。
聚焦可靠性和实时性
在IT世界中,有一些经过验证的安全概念,这些概念也指导着自动化通信技术中的类似概念。然而,PI在其分析中发现,这些并不能简单地转移到自动化领域。举几个例子:PROFINET设备主要面向可靠性和实时通信。此外,工业环境中,可用性方面在技术设计中起着重要作用,安全功能必须要可以实现,例如证书检查就要以一种实用方式实现,譬如,在IP65设备中插入智能卡的方式就不完全可行。此外,在商业IT中,保护目标有时会有不同的优先级,机密性在商业中非常重要,但这在自动化通信网络技术中则只是从属作用。
保护目标的优先次序
工业安全标准IEC62443是PI安全概念的基础。在许多自动化系统中,这些目标在个别情况和应用中可能会有所不同,其优先级如下:
可用性和健壮性
这是一个系统总是要能完成它所要求的功能的特性。根据生产过程的不同,通常有高到非常高的可用性要求,对关键基础设施尤其如此。
完整性(数据)
这是关于防止未经授权的数据操作的系统的特性。例如,不得伪造信息包,否则可能会无意中激活执行器或记录不正确的测量值。
真实性(设备/用户)
真实性确保系统组件及其数据的唯一标识。组件必须“自我识别”并具有防伪数字标识。分配给经过身份验证的用户(人、软件过程或设备)的授权允许其在自动化系统中执行所需的操作,而且这些授权的使用要被监控。
授权
使用控制确保只有授权用户才能干预自动化系统。
保密
信息只对某些参与者开放,且对第三方保密。对IO数据机密性的保护目标被认为是低的-只要不能从中得出关于公司机密的结论(例如机密配方)。
PROFINET安全等级
由于行业和应用的多样性,对安全性的要求也不尽相同,PROFINET引入了三种安全等级。这是因为“机密性”的要求,例如,加密措施需要非常高的计算时间开销。然而,这在许多应用程序中是不必要的。
安全等级1(健壮性)通常提供从外部封锁系统、分割生产网络、访问保护和其他措施(纵深防御概念)。现在这将在某些方面得到扩展。包括更改SNMP默认字符串的能力,DCP命令可以设置为“只读”,GSD文件可以通过签名来防止未经注意的更改。这些变更已经在2020年4月的PROFINET规范V2.4 MU1中引入。
对于安全等级2(完整性和真实性)除了安全等级1外,还规定了IO数据通信的完整性和真实性,以及通过加密功能对配置数据的保密性。例如,在无法轻易划分区域的系统中,或者在无法避免从外部进入的系统(例如室外装置)中,就是这种情况。
在安全等级3中,还规定了IO数据的机密性。如果可以从这些数据中推断出公司机密,就是这种情况。
大多数应用将能够在安全等级1和2的基础上工作。在协议扩展时创建和检查安全信息通常会导致组件资源的增加。此类完整性和真实性检查不得对PROFINET的性能产生任何实质性影响。
PROFINET通信网络的保护措施
PROFINET安全概念基于众所周知和普遍接受的密码算法和协议。但是,安全功能需要灵活的生命周期管理。这一点在密码算法可以被认定为不安全或被发现是整个安全概念中的薄弱项是显得非常重要。此外,为了保证PROFINET通信的安全,还必须考虑其他方面:
通过证书形式的加密安全数字身份,确保PROFINET站的真实性。这个概念应该包括安全存储这一身份的可能性,例如,在各自工作站的一个特别安全的硬件组件中。
通过加密措施,例如加密校验和,确保通信的完整性。这种安全应该覆盖PROFINET设备的所有通信通道,包括IP通信、PROFINET实时通信以及用于网络管理的通信。
通过加密措施确保系统启动和组件的分配,例如从IO设备到IO控制器和工程工具。这也适用于连接终止后的系统启动。
报告可以被PROFINET设备检测到的安全相关事件。例如,通过额外的PROFINET IT安全警报。
确保非循环数据和配置数据的机密性。作为安全级别3中的可选功能,对循环数据的附加保密性保证。
确保针对拒绝服务攻击的最低要求。
保护设备主文件(GSD文件)的完整性和真实性。
在控制器和相关设备之间安全的端到端通信以及可选的监控/诊断系统集成。
针对安全性要求较高的机器的配置选项(不同的安全性配置文件)
对现有PROFINET配置文件/函数(如PROFIsafe)的支持和保护——尽可能透明
当前的状态
自2019年4月起,PI发布了关于安全措施的白皮书。其中所描述的措施不断地被纳入相应的PROFINET规范中。此外,PI还就这一主题提供培训和其他服务。PI正在成立一个网络安全事件响应小组(CSIRT)。