中国电气传动网

第一电气传动平台



总访问量:414336

关键词搜索:

  • 工业机器人
  • 人工智能
  • 智能制造
  • 智能化
  • 自动化
  • 工业4.0
  • 互联网
  • 大数据
  • 中国电气传动
  • 工业自动化

【手机端】

EtherNet / IP的CIP安全性说明增加的IT / OT集成

   日期:2020-02-02     浏览:78    评论:0    
核心提示:认识到每个CIP设备都不需要为所有已定义的安全功能提供相同级别的支持,因此CIP Security定义了安全配置文件的概念。安全配置文件是一组定义明确的功能,可以促进设备互操作性和最终用户选择具有适当安全功能的设备。

对于当今的制造和加工设施而言,有效的网络安全持续变得越来越复杂,许多组织正在加紧在帮助这些设施缩小差距的解决方案。我在汉诺威工业博览会上参加了一次特别的通报会,ODVA在该博览会上 发布了其技术的2019年第一轮规范增强功能,其中包括对EtherNet / IP™的特定增强功能 CIP Security™技术。这些增强功能利用了信息产业标准,包括IETF标准TLS(传输层安全性-RFC 5246)和DTLS(数据报传输层安全性-FC 6347)协议,以便为EtherNet / IP流量提供安全的传输。TLS用于基于TCP的通信,包括封装层,UCMM(未连接消息管理器),传输类3和DTLS,用于基于UDP(用户数据报协议)的传输类0/1通信。这种方法类似于HTTP对HTTPS使用TLS的方式。  

促进制造商有效的网络安全策略

利用信息产业的标准与ODVA专注于使用标准以太网来实现IT&OT信息和计算集成的目标一致,以促进整个制造组织的网络安全战略。CISSP –罗克韦尔自动化全球安全副总裁兼首席信息安全官在与Dawn Cappelli进行的讨论中,她指出制造商在制定网络安全计划时应采取的第一步是确定网络安全工作的领导者。特别是,Cappelli提到,尽管许多制造公司已经拥有负责信息技术(IT)安全的首席信息安全官(CISO),但是从传统上讲,运营技术(OT)安全是OT工程师的责任。“人们正在意识到,安全的EtherNet / IP传输提供以下安全属性:

  • 端点的身份验证-确保目标和发起者都是受信任的实体。端点身份验证是使用X.509证书或预共享密钥完成的。

  • 消息完整性和身份验证-确保消息是由受信任端点发送的,并且在传输过程中未进行修改。消息完整性和身份验证通过TLS消息身份验证代码(HMAC)完成。 

  • 消息加密-加密通信的可选功能,由通过TLS握手协商的加密算法提供。

ODVA内部的以太网/ IP增强功能

ODVA对EtherNet / IP进行网络安全增强的目的是将深度防御体系结构扩展到与ICS系统和边缘设备之间以及与ICS系统和边缘设备之间的网络通信。ODVA正在努力通过增强使用EtherNet / IP的ICS系统和设备的潜在防御能力来实现这一目标。他们通过提供EtherNet / IP和通用工业协议(CIP™)固有的网络安全机制来做到这一点。最初的CIP安全规范于2015年发布,通过增加对设备身份验证,数据完整性和数据机密性的支持,使供应商能够改善EtherNet / IP连接的设备的安全性。 

从那时起,ODVA对CIP安全性进行了几项重要更新。最值得一提的是,他们继续努力满足最终用户对设备进行更简单的初始调试的需求,因此,CIP安全性得到了增强,可以使设备直接执行证书注册。与从配置工具中推出证书的做法相反,此“拉”功能允许设备主动请求证书。使用标准的和经过验证的IT技术可以完成证书的提取,从而进一步增强了将IT和OT系统集成的能力。CIP安全规范的2019年4月版继续了该技术的发展,致力于通过超时响应提高效率,通过允许强制性的CIP安全连接进行更改来增强保护,

CIP安全性下一阶段的开发工作已经在进行中,该阶段将增加对用户身份验证,不可否认性和设备授权的支持,目的是增强CIP端点之间的安全端到端通信。CIP安全开发的最终路线图是使EtherNet / IP设备以及使用CIP的其他潜在设备类型变得自治,对自己的安全性负责,并有效地保护自己免受攻击。

ODVA在一组名为The CIP Networks Library的出版物中发布了其规范。每个规范由CIP网络库的一个或多个卷组成。

有效网络安全的演变

在汉诺威工业博览会的简报中,ODVA解释了通常采用深度防御的安全体系结构通常是如何解决控制系统安全性的,该体系已被推荐了多年。该体系结构基于这样的思想,即多层安全性将对攻击更具弹性。通过这种策略,可以期望在某个时间点可以破坏任何一层,但是最内层的自动化设备将保持安全。  

但是,随着攻击者变得越来越复杂,对于与CIP连接的设备(防御的最后一层)进行自我防御就变得越来越重要。考虑一种情况,即控制系统人员无法识别的恶意软件通过USB驱动器传送到受感染的PC。该恶意软件可能包含将恶意CIP服务发布给设备的代码。但是,如果设备能够拒绝来自不受信任来源的此类服务,则可以减轻威胁。

CIP安全性的目标是使连接CIP的设备能够保护自己免受恶意CIP通信的侵害。完全自卫的CIP设备将能够:

  • 拒绝已更改的数据(完整性)

  • 拒绝不信任的人或不信任的设备发送的消息(真实性)

  • 拒绝请求不允许的操作(授权)的消息

认识到每个CIP设备都不需要为所有已定义的安全功能提供相同级别的支持,因此CIP Security定义了安全配置文件的概念。安全配置文件是一组定义明确的功能,可以促进设备互操作性和最终用户选择具有适当安全功能的设备。

制造和加工设施的网络安全日益必要,但也日益复杂,很高兴看到ODVA认识到需要提供与整体企业计算架构一致的解决方案


 
点赞
 
更多>同类新闻资讯
0相关评论



版权与免责声明:

① 凡本网注明"来源:中国电气传动网"的所有作品,均由本网编辑搜集整理,并加入大量个人点评、观点、配图等内容,版权均属于中国电气传动,未经本网许可,禁止转载,违反者本网将追究相关法律责任。

② 本网转载并注明自其它来源的作品,目的在于传递更多信息,并不代表本网赞同其观点或证实其内容的真实性,不承担此类作品侵权行为的直接责任及连带责任。其他媒体、网站或个人从本网转载时,必须保留本网注明的作品来源,并自负版权等法律责任。

③ 如涉及作品内容、版权等问题,请在作品发表之日起一周内与本网联系,我们将在您联系我们之后24小时内予以删除,否则视为放弃相关权利。

推荐图文
推荐新闻资讯
点击排行