隨著物聯(lián)網(wǎng)的飛速發(fā)展以及OT和IT的融合， OT與IT的連接使得OT面臨著與IT相同的網(wǎng)絡(luò)威脅，也為OT領(lǐng)域帶來(lái)了更加嚴(yán)苛的信息安全要求。

　　單一的安全產(chǎn)品并不能解決所有的問(wèn)題，全方位多層次的信息安全防護(hù)體系已經(jīng)成為信息安全工作尤其是工業(yè)信息安全的核心內(nèi)容并形成共識(shí)。要全面保護(hù)工業(yè)設(shè)施實(shí)現(xiàn)信息安全目標(biāo)，一種同時(shí)涵蓋所有層面——從運(yùn)營(yíng)層到現(xiàn)場(chǎng)設(shè)備層，從訪問(wèn)控制到版權(quán)保護(hù)的方法至關(guān)重要。通過(guò)重新配置或者更新現(xiàn)有系統(tǒng)內(nèi)的組件，都能夠作為有效的防護(hù)方法。保護(hù)具有安全通信和訪問(wèn)保護(hù)等綜合安全功能的自動(dòng)化系統(tǒng)對(duì)于“縱深防御”理念的實(shí)現(xiàn)，和為工廠和機(jī)器實(shí)施有效的安全防護(hù)都非常重要。

　　早在2013年，西門子將信息安全需求引入全集成的安全框架TIA 博途V12，以實(shí)現(xiàn)設(shè)備、客戶程序和工業(yè)控制系統(tǒng)網(wǎng)絡(luò)設(shè)備間通信的安全目標(biāo)“完整性保護(hù)”和“數(shù)據(jù)機(jī)密性”。經(jīng)過(guò)歷代版本更新，新一代的TIA 博途 V17提供了更強(qiáng)的安全功能使之更好地符合了最新的中國(guó)網(wǎng)絡(luò)安全法規(guī)及標(biāo)準(zhǔn)：

　　一、SIMATICPG/HMI 增強(qiáng)通信安全

　　SIMATIC的下一代進(jìn)階在于TIA Portal V17可以實(shí)現(xiàn)端到端的加密通信，S7-1200/1500的控制器與控制器之間、S7-1200/1500控制器與TIA 博途工程師站之間和S7-1200/1500控制器與HMI系統(tǒng)之間的通信基于TLS加強(qiáng)保護(hù)。TLS1.3（Transport Layer Security）使得整個(gè)通信過(guò)程的機(jī)密性和完整性保護(hù)更強(qiáng)，每個(gè)PLC都可以基于由TIA Portal生成的各自的證書(shū)進(jìn)行唯一標(biāo)識(shí)。敏感的PLC配置數(shù)據(jù)，例如各自證書(shū)，可以通過(guò)為每個(gè)PLC設(shè)置用戶自定義密碼的方式進(jìn)行保護(hù)，以防止未經(jīng)授權(quán)的訪問(wèn)。

為了降低技術(shù)復(fù)雜性，確定通過(guò)設(shè)置向?qū)У姆绞酵瓿膳渲眠^(guò)程，降低使用過(guò)程復(fù)雜性和產(chǎn)生錯(cuò)誤的風(fēng)險(xiǎn)，提高透明度，并最大限度地方便了用戶的處理。向?qū)Ы忉尭鱾€(gè)選項(xiàng)和設(shè)置的優(yōu)缺點(diǎn)，因此用戶更容易選擇正確的配置。如有必要，用戶也可以在確認(rèn)后停用向?qū)А?/p>

　　二、用戶管理和訪問(wèn)控制

　　對(duì)于訪問(wèn)保護(hù)一致性的要求，可以配置為不同用戶角色的工程師站和運(yùn)行版配置不同功能權(quán)限。不同于先前的僅劃分只讀、可讀可寫(xiě)兩種模式，最新功能支持根據(jù)責(zé)任劃分用戶角色，同一工作站登錄相同項(xiàng)目可以選擇不同的用戶角色，以此防止未授權(quán)的用戶入侵受保護(hù)的系統(tǒng)。另外，如果工程師暫時(shí)離開(kāi)工作站，可以根據(jù)用戶配置時(shí)間自動(dòng)鎖定項(xiàng)目，以防止對(duì)項(xiàng)目的任意更改。

　　用戶管理組件 （User Management Component）可選組件允許建立中央用戶管理的?？蛻艨梢詫?shí)現(xiàn)跨軟件和設(shè)備定義并管理用戶和用戶組，也可以接收微軟的活動(dòng)目錄（Active Directory）傳輸?shù)挠脩艉陀脩艚M。

　　TIA 博途 V17配合SIMATIC S7-1200V4.5.0和S7-1500 V2.9.2 控制器最新固件版本（S7-1200 CPU V4.5.0 / S7-1500 CPU V2.9.2）可以實(shí)現(xiàn)以上功能，西門子強(qiáng)烈建議客戶更新到最新版本。此外S7-1200 和S7-1500最新發(fā)布的版本固件解決了CVE-2020-15782內(nèi)存保護(hù)繞過(guò)漏洞[1]，未經(jīng)認(rèn)證攻擊者利用該漏洞可以將任意數(shù)據(jù)和代碼寫(xiě)入受保護(hù)的內(nèi)存區(qū)域或讀取敏感數(shù)據(jù)以發(fā)動(dòng)進(jìn)一步攻擊。針對(duì)該漏洞防護(hù)的特定方法，參考西門子工業(yè)信息安全建議SSA-434534[3]中提供的對(duì)抗措施：

　　1. 采用密碼保護(hù)S7通信；

　　2.通過(guò)S7-1200或S7-1500的ENDIS_PW 指令禁止客戶端連接（即使客戶端可以提供正確的密碼，也會(huì)阻止遠(yuǎn)程客戶端連接）；

　　3.使用S7-1500 CPU 的顯示屏配置附加訪問(wèn)保護(hù)（這會(huì)阻止遠(yuǎn)程客戶端連接，即使客戶端可以提供正確的密碼）；

　　4.采用西門子工業(yè)信息安全指南[2]中描述的“縱深防御”解決方案，尤其是：

　　工廠安全：采用物理防護(hù)措施防止訪問(wèn)關(guān)鍵組件

　　網(wǎng)絡(luò)安全：確保PLC系統(tǒng)不連接到不受信的網(wǎng)絡(luò)

　　系統(tǒng)完整性：通過(guò)采用適當(dāng)?shù)难a(bǔ)償控制和內(nèi)置的安全功能配置、維護(hù)和保護(hù)設(shè)備

　　5.最后，將系統(tǒng)更新到TIA Portal V17并通過(guò)設(shè)備各自的證書(shū)實(shí)現(xiàn)PLC、HMI和PG/PC之間基于TLS的安全通信，增強(qiáng)工廠的信息安全保護(hù)等級(jí)。