1.1

概述

數據采集與監控系統（SCADA）、分布式控制系統（DCS）、過程控制系統（PCS）、可編程邏輯控制器（PLC）等工業控制系統廣泛運用于工業、能源、交通、水利以及市政等領域，用于控制生產設備的運行。

一旦工業控制系統信息安全出現漏洞，將會給工業生產運行和國家經濟安全留下大隱患，因此 SCADA 系統的信息安全一直是很熱門的話題，工信部早在2011年就發布了關于加強工業控制系統信息安全管理的通知。

2010年發生的 “震網” 病毒事件，已經反映出工業控制系統信息安全面臨著嚴峻的挑戰。

SIMATIC WinCC 作為經典的 SCADA 軟件，在信息安全方面也是不斷的推出新功能，滿足工業數字化發展過程中不斷提高的工業信息安全要求。

1.2

與 S7-1200/1500 的安全訪問

SIMATIC WinCC 與 S7-1200/1500 CPU 的安全訪問，通俗講就是在設備建立通信連接時加一道密碼保護，只有組態了正確密碼的 WinCC 項目才允許讀寫特定 CPU 中的數據。能防止對 CPU 未經授權的訪問。

圖一  SIMATIC WinCC 與 S7-1200/1500 安全訪問

目前 SIMATIC WinCC 所提供的 SIMATIC S7-1200, S7-1500 驅動僅支持以太網通信。SIMATIC WinCC V7.2 以及以上版本支持與 S7-1500 CPU 進行安全訪問。SIMATIC  WinCC V7.3 及以上版本開始支持與 S7-1200 進行安全訪問。

在 S7-1200/1500 CPU 的硬件組態中， 提供了4種訪問級別，以限制對特定功能的訪問。

圖二 S7-1200/1500 CPU 訪問級別設置

簡單介紹4種訪問級別的功能（更為詳細的介紹請參考手冊）：

允許對 CPU 以完全未受保護的狀態進行訪問。知道此密碼的用戶可以不受限制地訪問 CPU。

允許對 CPU 以受寫保護的狀態進行訪問。盡管知道密碼，但是知道該密碼的用戶只能對 CPU 進行讀取訪問。并且用戶獲得 HMI 數據訪問權。

· HMI 訪問

允許對 CPU 以受讀/寫保護的狀態進行訪問。獲知該密碼的用戶只獲得 HMI 數據訪問權。

不允許訪問 CPU。知道密碼的用戶，可以根據密碼相關的保護級別進行訪問。

以上4種訪問級別，如果 S7-1200/1500 CPU 的訪問等級選擇的是完全訪問權限（無任何保護）/讀訪問權/ HMI 訪問權限這3種，SIMATIC WinCC 在組態通信連接時無需設置 CPU 訪問密碼。如果訪問等級選擇的是不能訪問（完全保護），則需填寫以上3個等級中任意一個等級的密碼才可以與 S7-1200/1500 進行握手并建立通信關系。

1.3

與 S7-1200/1500 的安全通信

上一節介紹是 SIMATIC WinCC 與 S7-1200/1500 CPU 建立連接時的安全訪問。連接建立完成后，SIMATIC WinCC 與 S7-1200/1500 CPU 的通信數據還是以明文的方式呈現，并未對交換的數據進行加密。

TIA Portal V17 推出的 S7-1200/1500 新固件版本支持 HMI （ HMI 為人機界面的英語縮寫，SIMATIC WinCC 也屬于 HMI ）安全通信。此安全通信具備以下特點：

即，數據安全/無法竊取。

即，數據在傳輸過程中未發生篡改。

即，端點通信伙伴的身份確認。

圖三  SIMATIC WinCC 與 S7-1200/1500 安全通信

SIMATIC WinCC與S7-1200/1500 CPU實現安全通信需滿足以下條件：

S7-1200/1500 和 SIMATIC WinCC 之間通過簽名證書建立信任關系（握手），確保數據的真實性和完整性；使用 TLS 協議加密通信數據（數據交換），確保數據的機密性。

TLS (傳輸層安全性協議 ，英文Transport Layer Security）是 SSL 協議的后繼協議，在網絡 ISO 模型中處于會話層。TLS Zui初是為了給 HTTP 協議加密使用，現在 HMI 安全通信的應用層協議也是使用的 TLS。

圖四 ISO 模型中的 TLS 協議

HMI 安全通信組態非常簡單，首先需要在 PLC 程序中選擇由 TIA Portal 或者第三方機構生成的證書，然后借助工具把證書導入 SIMATIC WinCC 項目中，以及下載 PLC 程序。

圖五  安全通信中的證書下載

在 PLC 程序選擇證書的界面，會顯示“僅支持 PG/PC 和 HMI 安全通信”選項（此選項僅S7-1500 V2.9 及更高 / S7-1200 V4.5 及更高版本支持）。

圖六  S7-1200/1500 安全通信機制設置

此選項的含義并不是激活 HMI 安全通信功能，而是是否兼容 HMI 非安全通信。因為版本低于 V7.5 SP2 UPD4 的 SIMAITC WinCC 軟件并不支持 HMI 安全通信，為了兼容早期的 WinCC 項目，擁有新固件版本的 S7-1200/S7-1500  需要取消此選項，才能與之通信。下表是 SIMATIC WinCC 與 S7-1200/S7-1500 CPU 安全通信的各版本選項設置參考。

表一  SIMATIC WinCC 與 S7-1200 安全通信各版本選項設置

表二  SIMATIC WinCC 與 S7-1500 安全通信各版本選項設置

上述表格列舉出建立 HMI 安全通信需要的版本以及設置信息。在滿足條件的SIMATIC WinCC 項目中創建好通信連接，然后加載從 TIA Portal 項目中導出的 SCADA 數據包，從而導入證書。

下圖中顯示的是如何從 TIA Portal 項目中導出的 SCADA 數據包，SCADA 數據包包含證書以及 PLC 中可訪問的變量信息。然后把 SCADA 數據包復制到需要組態或者運行 SIMAITC WinCC 項目的電腦中。

圖七 TIA Portal 項目導出 SCADA 數據包

在 SIMATIC WinCC V7.5SP2 UPD4 以及更高版本項目中，可以通過所創建的通信連接加載 SCADA 數據包，加載時會提示證書的導入。

圖七  WinCC 項目導入證書

SIMATIC WinCC 安全通信過程中，還需要注意運行 SIMATIC WinCC 項目的電腦 和 PLC 的系統時間，尤其是 PLC 的系統時間不能是出廠時間。因為 HMI 安全通信是通過證書來建立連接，那么參與通信的設備，系統時間需要在證書規定的有效時間范圍內。

圖八  證書詳細信息

1.4

總結

在過去，對于工業設備和控制系統往往采用單元保護機制，通過防火墻或 VPN 連接保護自動化單元安全。

而如今，包含有敏感數據的工業設備和控制系統面臨信息安全高風險。

因為這些設備它們同樣實現了網絡互聯，因而必須滿足嚴格的數據交換安全要求。必須確保各設備之間的通信不僅要有效保護敏感數據的完整性和機密性，同時還要確保其符合公認的安全標準，從而能夠應對未來的挑戰。