談談TIA 博途 V17加密方式的升級

在TIA Portal V17之前，S7-1500 加密的通訊方式有兩種：

1：S7-1500 PLC之間、PLC與PC使用TCP （TLS V1。2）通訊，通訊雙方使用公鑰與私鑰非同步加密雙方的通訊會話

金鑰

，得到金鑰後進行同步加密通訊，通訊雙方需要使用CA生成數字證書。這裡的CA為PLC的程式設計軟體TIA 博途，如圖所示。

2：

使用OPC UA 的通訊方式

。OPC UA 不依賴於作業系統，可以使用金鑰方式進行加密通訊，與傳送、接收資料不同的是，OPC UA 使用server-client方式，PLC作為伺服器，PC作為客戶端，通訊方式如圖所示。這種方式適合PLC與PC間的通訊。有多種通訊方式適合不同應用（讀寫、註冊讀寫、訂閱），通訊變數使用符號名稱，與S7-1500符號程式設計方式匹配。OPC UA 是一個標準的通訊協議，原始碼開放，網上可以下載不同作業系統的客戶端應用程式。

在很多專案的實際應用中，

對於通訊加密的需求日益增加

，

原來PLC間只能使用TCP方式，而與西門子HMI只能使用OPC UA方式進行通訊

，功能上略顯不足，因此增加S7加密方式很有必要。

SIMATIC的進入TIA Portal V17可以實現端到端的加密通訊

，S7-1200/1500的控制器與控制器之間、S7-1200/1500控制器與TIA 博途工程師站之間和S7-1200/1500控制器與HMI系統之間的

通訊基於TLS加強保護

。

TLS1.3

為了降低技術複雜性，確定透過設定嚮導的方式完成配置過程，降低使用過程複雜性和產生錯誤的風險，提高透明度，並最大限度地方便了使用者的處理。嚮導解釋各個選項和設定的優缺點，因此使用者更容易選擇正確的配置。如有必要，使用者也可以在確認後停用嚮導。

使用者管理和訪問控制

對於訪問保護一致性的要求，可以配置為不同使用者角色的工程師站和執行版配置不同功能許可權。不同於先前的僅劃分只讀、可讀可寫兩種模式，最新功能支援根據責任劃分使用者角色，同一工作站登入相同專案可以選擇不同的使用者角色，以此防止未授權的使用者入侵受保護的系統。另外，如果工程師暫時離開工作站，可以根據使用者配置時間自動鎖定專案，以防止對專案的任意更改。

使用者管理元件

（User Management Component）可選元件允許建立中央使用者管理的。客戶可以實現跨軟體和裝置定義並管理使用者和使用者組，也可以接收微軟的活動目錄（Active Directory）傳輸的使用者和使用者組。

建議的對抗措施：

TIA 博途 V17配合SIMATIC S7-1200V4。5。0和S7-1500 V2。9。2 控制器最新韌體版本（S7-1200 CPU V4。5。0 / S7-1500 CPU V2。9。2）可以實現以上功能，西門子強烈建議客戶更新到最新版本。

此外S7-1200 和S7-1500最新發布的版本韌體解決了CVE-2020-15782記憶體保護繞過漏洞，未經認證攻擊者利用該漏洞可以將任意資料和程式碼寫入受保護的記憶體區域或讀取敏感資料以發動進一步攻擊。針對該漏洞防護的特定方法，參考工業資訊保安建議中提供的對抗措施：

採用密碼保護S7通訊；

透過S7-1200或S7-1500的ENDIS_PW 指令禁止客戶端連線（即使客戶端可以提供正確的密碼，也會阻止遠端客戶端連線）；

使用S7-1500 CPU 的顯示屏配置附加訪問保護（這會阻止遠端客戶端連線，即使客戶端可以提供正確的密碼）；

採用西門子工業資訊保安指南［2］中描述的“縱深防禦”解決方案，尤其是：

工廠安全：

採用物理防護措施防止訪問關鍵組

網路安全

：確保PLC系統不連線到不受信的網路

系統完整性

：透過採用適當的補償控制和內建的安全功能配置、維護和保護裝置

最後，將系統更新到TIA Portal V17並透過裝置各自的證書實現PLC、HMI和PG/PC之間基於TLS的安全通訊，增強工廠的資訊保安保護等級。

免責申明：本機構號所載文章為本號原創或根據網路搜尋編輯整理，文章版權歸原作者所有。因轉載眾多，無法找到真正來源，如標錯來源，或對於文中所使用的圖片，資料，下載連結中所包含的軟體，資料等，如有侵權，請跟我們聯絡協商或刪除，謝謝！

本文為劍指工控原創技術類文章，2021年7月29日首次發表於《劍指工控》公眾號。

本賬號為《劍指工控》官方知乎賬號。劍指工控由一群帶有工控情結的技術青年組織在一起，他們都是在工控一線的技術達人，如果你是工控一線的工程師，如果你在日常工控工作當中會遇到種種的技術問題，如果你熱愛工控技術和工控生活，歡迎加入我們，隨手提出你的技術問題會有技術達人第一時間為你解答。可以分享你的工控喜怒哀樂，會有兄弟們跟你產生共鳴。可以獲得最新的工控資訊，指明技術和行業路線，做到未雨綢繆。

歡迎大家關注我們的公眾號

劍指工控（JZGKCHINA）

，更多的瞭解我們。