概览
• SIMATIC S7-1500 控制器的新功能
• SSIMATIC Logon:实现用户管理和基于角色的访问控制
• 禁用服务
• 禁用硬件接口
• 可靠通信
• 密码保护
• 通过集成专有知识保护技术防止未经授权的访问
• 防拷贝保护
西门子各种控制器、HMI 和 SCADA 应用的安全特性,完全基于“全集成自动化”理念(集成的自动化系统平台),并实现了 SCADA 软件、控制器和 HMI 人机界面中各种安全功能的完美协同。 通过选择性地禁用不需要的服务,在不影响系统功能的前提下,极大提高了接口的稳定性。
SIMATIC S7-1500 控制器的新功能
在SIMATIC S7-1500 控制器系列中,极大增强了防护等级和块保护功能的安全机制,可全方位确保通信数据的完整性和可靠性。而且,所采用的技术可有效防范未经授权的信息访问和恶意篡改,从而确保了工厂的正常运行并有效保障客户的投资安全。
专有知识保护
由于在 STEP 7 中增强了专有知识保护功能,可保护各种算法防止未经授权的访问或篡改。这种功能可有效防止对设备的非法复制,从而保护客户投资。
密码保护
STEP 7 中增强了密码保护功能,可防止未经授权直接打开程序块,进一步加强了对系统的安全保护,更好地防范非法拷贝,例如窃取开发算法。此外,采取这种保护措施还可防止通过 STEP 7 项目外的外部程序对程序块、存储卡中的数据和程序库进行非法分析。
防拷贝保护
通过将需要保护的功能块与 SIMATIC 存储卡的序列号绑定的方式,可极大提高系统的防拷贝功能。这样,将无法对这些程序进行复制,而且这些程序只能在指定的存储卡上运行。
访问保护(身份验证)
访问保护机制可以防止项目受到未经授权的更改。可以通过设定各自的访问权限来定义不同的用户组。由于集成了防火墙,通信处理器 CP 1543-1 具有更强的访问保护功能。
非法操纵保护
防止在向控制器传输数据时的非法操纵,例如在身份认证过程中对密码加密。同时,控制器将检测和拒绝接受监控或未经授权而传输的工程组态数据(含固件更新程序)。
SSIMATIC Logon:实现用户管理和基于角色的访问控制
通过 SIMATIC Logon,可对 SIMATIC 组态和运行系统进行全工厂范围内的统一用户管理,并通过这种管理员和用户管理中的安全机制确保整个工厂的系统安全。在这种安全机制中,将为用户指定唯一的用户 ID ,包括用户名和密码。管理员既可以在整个工厂范围内添加新用户或在线禁用现有用户,也可以仅对某些应用程序执行以上操作。
禁用服务
出于安全考虑,西门子产品的缺省设置中禁用了绝大多数的网络服务。只有在自动化解决方案中需要用到这些服务时,才能通过组态进行激活。
禁用硬件接口
如果在控制器、HMI 系统或 I/O 模块中无需使用 PROFINET 接口,则可以通过组态禁用。这样,即使该接口中插接了非法设备,也会因该接口已禁用而不会造成任何危害。
可靠通信
可靠通信是西门子 PROFINET 设备的一个基本系统特性。即使是网络数据包数量巨大或者网络数据包发生错误时,PROFINET设备仍然确保系统通信的稳定可靠。例如,在出现较大的网络负载或遭受拒绝服务攻击时,不会影响自动化系统的正常运行。如果因网络过载而占用了所有通信资源,则系统会自动在网络负载降低时立即恢复正常运行。
密码保护
只有经过授权的人员才能更改组态,或访问与系统相关的自动化组件功能。西门子的控制器和 HMI 系统均设计有访问保护机制,只有在输入之前分配的正确登录信息(如,密码)之后才允许访问。在组态界面和其它服务(如,Web 服务器)中设计有这种保护机制。
通过集成专有知识保护技术防止未经授权的访问
在 SIMATIC STEP 7 和 S7 控制器中,具有程序块的专有知识保护功能,保护自动化解决方案中客户专有技术知识的机密性。当块保护功能激活时,只有输入正确的密码之后才能访问程序块中的数据。
防拷贝保护
将防拷贝功能和专有知识保护功能相结合,可有效防止对 STEP 7 中程序块的复制操作。通过将程序的执行与运行系统中的某些特性绑定,达到保护系统程序块的目的。可以绑定的相关特性包括CPU 模块或存储卡的序列号。