安全事件的组报警(S7-1200) 了解安全事件的组报警的哪些方面 诊断缓冲区中的安全事件 CPU 将在诊断缓冲区中存储有关重要操作和事件的信息。发生以下安全事件(事件类型)时,S7-1200 的诊断缓冲区中将输入一条记录: • 使用正确或错误的密码转至在线状态。 •检测被操控的通信数据。 • 检测存储卡上被操控的数据。 • 检测被操控的固件更新文件。 • 更改后的保护等级(访问保护)下载到CPU。 • 启用或禁用密码合法化(通过指令)。 • 由于超出允许的并行访问尝试次数,在线访问被拒绝。 •现有在线连接处于禁用状态的超时。 • 使用正确或错误的密码登录到 Web 服务器。 • 创建 CPU 的备份。 • 恢复 CPU组态。 • 在启动过程中: – SIMATIC 存储卡上的项目发生变更(SIMATIC 存储卡不变) – 更换了 SIMATIC存储卡 安全事件的组报警 为防止诊断缓冲区被大量相同的安全事件“淹没”,STEP 7 V13 SP 1 及以上版本中可设置相应参数,将这些事件作为组警报保存到诊断缓冲区中。在每个间隔(监视时间)内, CPU 仅为每种事件类型生成一个组警报。 示例:Brute-Force 攻击利用 Brute-Force 攻击,攻击者通过系统地尝试大量的可能密码组合,获取 CPU 的访问权。CPU 会在数秒内收到大量的登录请求,而诊断缓冲区内涌入大量相同的单独条目会导 致丢失重要的诊断信息。组报警帮助在此处提供。操作组报警的原则 CPU 在诊断缓冲区内输入一种事件类型的前三个事件。它会忽略此类型的所有后续安全 事件。在监视时间(间隔)结束时,CPU 生成组报警,在该组中输入过去的时间间隔内的事件类型 和事件频率。如果这些安全事件在随后的时间间隔内也有出现,CPU 将仅为每个间隔生成一个组报警。攻击会在诊断缓冲区中离开以下模式:前三个单独的报警后跟一系列组报警。此系列可以包含两个、三个或更多的组报警,具体取决于选定的监视时间和攻击持续时间。 由于诊断缓冲区中的报警具有时间戳,可以确定攻击持续时间。①例如,一种类型的安全事件尝试使用无效密码登录。 ② 间隔(监视时间):在特定类型的安全事件首次发生(或重复发生)时,监视时间开始(或重新开始)计时。 ③ 单个报警:一种类型的前三个安全事件立即输入到诊断缓冲区。从该类型的第四个 安全事件开始,CPU仅创建组报警。 如果该类型的安全事件在至少暂停一个间隔后发生,CPU 将在诊断缓冲区中输入单 个报警并对监视时间重新计时。 ④组报警:在三个安全事件后,CPU 仅生成一个组报警作为此间隔内所有其他安全事件的摘要。如果这些安全事件在随后的时间间隔内也有出现,CPU 将仅为每个间隔 生成一个组报警。
为安全事件组态组报警 (S7-1200) 要求• STEP 7 V14 • 固件版本为 V4.2 及更高版本的 S7-1200-CPU 操作步骤要为安全事件组态组报警,请按以下步骤操作: 1. 单击网络视图中的 CPU 符号。 CPU 的属性随即显示在巡视窗口中。 2.转至“保护 > 安全事件”(Protection > Security event) 区域。 3.单击“安全事件”(Security event)。 4. 选择“出现大量消息时汇总安全事件”(Summarize securityevents in case of high message volume) 选项,为安全事件启用组报警。 5.设置时间间隔(监视时间),默认为 20 秒。 参见 了解安全事件的组报警的哪些方面 (页 1228) 证书管理器(S7-1200) 应了解的证书管理器知识 (S7-1200) 简介数字证书对于在两个设备之间进行安全的数据传输至关重要。使用数字证书时,客户端还需检查并信任服务器的证书。根据所用的安全通信方式,服务器同样需要检查并信任客户端的证书:只有在服务器接受客户端的数字证书,将其归类为可信证书并信任该证书时,客户端 才能与服务器建立安全连接。 S7-1200 CPU固件版本 V4.3 及以上版本支持证书应用。设备特定的以及项目级证书管理器 通过 CPU特定的本地证书管理器,可为相应的设备生成和管理证书。这些证书可由 以下对象使用: • 设备的 OPC UA 服务器 •设备的 Web 服务器 • 需使用证书并使用证书 ID 进行引用的其它所有系统功能。例如,TIA Portal V17 及以上版本中的 PG/HMI 安全通信。 说明 证书管理器中的每个证书都会接收到一个 ID,以用于在特定 SDT 中进行唯一性引用。证 书ID 由证书管理器在创建或导入证书时进行分配。证书 ID 在项目中唯一,不能更改。 CPU特定的本地证书管理器中的证书仅适用于该设备。如果要在项目范围内使用证书,则需 要激活设备中的全局安全证书管理器。在全局安全证书管理器中,可利用其它功能来管理证书: • 导入新证书和证书颁发机构。 • 导出项目中使用的证书和证书颁发机构。 •更新过期的证书和证书颁发机构。 • 替换现有证书颁发机构。 • 添加受信证书和证书颁发机构。 • 手动删除导入的证书。只有在项目中针对至少一个设备激活激活全局安全设置后,全局安全设置才可见。为此,在 CPU特定的本地证书管理器中,提供了“使用证书管理器的全局安全设置”(Use global security settings forcertificate manager) 复选框:该复选框位于巡视窗口中带安全功能的设 备常规设置的“保护和安全 >证书管理器”(Protection & Security > Certificate manager) 下。根据该设置,可决定仅使用功能受限的 CPU 特定的本地证书管理器,或使用全局安全证书 管理器。 注意 证书和密钥丢失激活项目的全局安全证书管理器后,CPU 特定的本地证书管理器的内容会丢失: • 私钥无法恢复。 •如果要继续在全局安全证书管理器中使用证书,请导出证书。 • 更新组态或程序,因为证书的 ID可能会发生更改。激活全局安全证书管理器后,CPU 特定的本地证书管理器将用作 CPU 特定的全局证书的临 时存储器。在 CPU特定的本地证书管理器中创建新证书时,该证书将包含在全局安全证书 管理器中。还可以在全局安全证书管理器中选择证书用作 CPU 的证书。参见 Web 服务器的证书 (页 1238) OPC UA 服务器的证书 (页 1239) CPU特定的局部证书管理器 (页 1232) CPU 特定的局部证书管理器 (S7-1200) 简介 使用 CPU特定的本地证书管理器时,可直接使用 OPC UA 服务器和 Web 服务器的证书,而 无须访问全局安全证书管理器。本地证书管理器的功能 与全局证书管理器相比,CPU 特定的本地证书管理器的功能仍然受限。通过本地证书管理器,只能生成、分配、导出或删除证书。 CPU 特定的本地证书管理器的设置位于巡视窗口的设备常规设置“保护与安全 > 证书管理器”(Protection & Security > Certificate manager) 下。 •用于激活全局证书管理器的选项 • 设备证书表:显示和管理所用的证书。例如,安全 OUC(TLS 服务器/TLS 客户端)将显示该设备的 Web 服务器和 OPC UA 服务器的证书。 • 伙伴设备的证书表:显示已分配为受信用户或客户端的证书。 设备证书设备证书对于设备及其相关组件有效。例如,此处显示的证书还是为 Web 服务器或为 OPC UA 创建的证书。同样,可以在此处创建带有Web 服务器或 OPC UA 的设置的证书,但必须在 相应的位置使用此类证书。创建新证书时,会在设备的相应对话框中输入以下值作为默认值: • 证书持有者:/TLS。字符集受限,可满足 ASN.1的相关规范要求。 • 签名类型:sha256RSA 或 sha1RSA,具体取决于所使用的安全策略。•有效期:根据系统时间,在有效期的两个字段中,输入有效期的开始和结束时间。 • 用途:TLS。填写适合 OPC UA 的 X.509V3 标准证书的扩展项“KeyUsage”和 “ExtendedKeyUsage”。 • 证书持有者的备用名称 (SAN):所用接口的IP 地址或 DNS 名称。 可使用其它值覆盖默认值。 伙伴设备的证书对于伙伴设备的证书,可选择本地证书管理器的设备证书。无须相应的私钥即可使用设备证 书。还可以选择其它 CPU 或 CP的证书,从而在项目中实现安全通信。其它 CPU 或 CP 的证书无须使用私钥即可加载至该 CPU中。对于可通过全局证书管理器获取的证书链,属于 CPU 或 CP 的证书链仍未中断,相应的证书颁发机构和中间证书仍会分配给 CPU 或CP。 删除伙伴设备证书表中的证书时,只会删除证书与全局证书管理器的链接。该证书对设备不再可用,但仍保存在全局证书管理器中。需要时,如果从全局证书管理器中将该证书选作新证书,则它会用于设备。如果要针对整个项目删除证书,则需要在全局证书管理 器的快捷菜单中执行该操作。创建证书(S7-1200) 简介 可以为设备创建新证书。使用取消激活的全局安全证书管理器创建新证书时,相关证书仅适 用于此设备。独占式使用CPU 特定的本地证书管理器时,仅创建自签名证书。 还可以在 Web 服务器或 OPC UA 上直接创建新证书。 在S7-1200 CPU 固件版本 V4.5 及以上版本中,PLC 通信证书由系统预先选择并自动生成。要求该设备需支持证书管理器的安全功能。该规则适用于 S7-1200 CPU 固件版本 V4.3 及以上版 本。 在 S7-1200 CPU固件版本 V4.5 及以上版本中,保护机密组态数据的密码设置必须一致。 操作步骤 要创建新证书,请按以下步骤操作: 1.在巡视窗口中,转至设备属性的“保护和安全 > 证书管理器”(Protection & Security >Certificate manager)。 2. 单击证书表中的“添加”(Add)。将在表中插入新行。 3.单击新行。将打开新证书选项。 4. 单击“添加”(Add) 按钮。相应对话框窗口随即打开,在此输入新证书的数据。 5.显示如何对新证书进行签名: – 自签名:需要指定自己配签名时。 – 由证书颁发机构 (CA) 进行签名:从下拉列表中选择证书颁发机构。6. 输入证书的参数。 – 证书持有者:证书持有者即为证书所适用的设备。 – 生效日期:证书自指定日期起生效。 –截止日期:指定日期到期后,证书将失效。 – 用途:在 X.509 V3标准数字证书的扩展项“KeyUsage”和“ExtendedKeyUsage”中输入该 值。 – 证书持有者的备用名称 (SAN)。7. 如果单击“确定”(OK),则会创建新证书并输入到表格中。 说明 自签名证书使用自签名证书时,已对传输路径进行加密,但消息的接收方尚未确认所谓的发送方是否是真正的发送方。由证书颁发机构签名的消息会对接收方将发送方标识为“真正的”发送方。此时,可以为设备创建自签发证书,但仍需等待证书颁发机构对证书进行签名。通过项目树中的全局安全证书管理器,您可以在接收到证书颁发机构 (CA) 的“官方”证书后通过指定证书颁发机构的方式,更换临时使用的自签名证书或更新该证书。当然,也可将自签名 证书保留在项目中,并不使用“官方的”CA证书。