阅读本文大约需要4分钟
CP(Communication Processor)是将PLC或PC与工业以太网相连接,用于发送和接收数据的通讯介质,它支持PROFINET IO和OPC UA。常见的CP有与S7-300连接的CP343-1(Advance)、与S7-400连接的CP443-1(Advance)、与S7-1200连接的CP1243-1、与S7-1500连接的CP1543-1和安装于工程师站和操作员站的CP1628。
CP集成了自动跨接、自动协商、自动检测功能以及ERTEC端口,可以方便的在线性总线或环网中连接其他以太网设备,减轻CPU的通信负担。
CP支持的服务主要有:
(1)CP可用作PROFINET IO控制器或设备。
(2)支持基于ISO、ISOonTCP、TCP、UDP连接的开放式通信服务。
(3)在环型拓扑的以太网网络中,支持介质冗余协议MRP。
(4)支持Web诊断,可使用Web浏览器通过从CP连接到PG/PC的站中读出诊断数据。
(5)PLC在工业以太网中允许同时建立的连接总数是有限的,通过CP连接到网络中可以扩大连接的资源数。
近年来,工业信息安全逐渐受到了大家的重视。在自动化网络中,每个自动化单元的通信安全是整个信息安全的基础,而CP在这里不仅仅作为通信介质,并且具有许多信息安全功能。包括:
(1)防火墙功能。可进行网络状态监测,防止未经授权的访问。
(2)VPN。防止访问控制点时被窃取信息,支持多个VPN隧道。
(3)网络分段。通过CP与上层网络连接,PLC与下层自动化单元连接,实现了单元防护的作用。
(4)SNMP V3。用于安全传输网络分析信息,使其免受窃听。
(5)NAT/NAPT(Network Address Transition)。私有/公有地址间的转换,避免来自外部网络的攻击。
(6)NTP V3(Network Time Protocol)。用于时钟同步期间的安全传输。
(7)Https和Ftps。实现加密访问和安全传输。
(8)使用证书进行验证。CP支持OPC UA,可以承担OPC UA服务器和OPC UA客户端的角色,并使用证书验证CP与OPC UA通信伙伴之间的通信。
(9)写保护。可以阻止对CPU数据区的些访问。
西门子针对工业控制系统的安全威胁提供了纵深防御解决方案,它主要包括三个部分:工厂安全、网络安全、系统完整性。基于纵深防御解决方案可以实现控制系统的用户认证、网络分段、隔离区(DMZ)、远程访问(VPN)、系统冗余、病毒扫描、补丁管理、应用白名单等。
对于整个工厂网络来说,为了防止外界从不同途径进入自动化网络,采取了如图1所示的网络安全措施。
图1 网络安全措施
从图中可以看出,将网络分割是一个主要的措施,这样整个系统便被划分成了一个个自动化单元,外界只能通过SCALANCE S和CP访问单元中的设备,那么所有自动化单元之间都带有防火墙功能和授权访问机制,这样就保证了整个网络系统的安全。
下图的标准控制系统防护中, 通过部署SCALANCE S安全模块与CP通信处理器。即可以分离优化PLC的控制与上位通讯,又为控制单元提供了安全防护。如图2。
图2 带有防火墙和网络分段功能的自动化单元拓扑图
图中将CP1543-1、CP343-1、CP443-1置于受保护的自动化单元前面,可以对出入自动化单元的通信进行控制,只允许建立被许可的连接;并同时通过CP将网络分段,降低风险,增强网络的安全性。
对于一个PC系统,同样可以使用CP进行安全防护,如图3所示。
图3 CP1628实现网络分段和防护墙功能
PC系统(如操作员站)加装CP1628可以防止自动化系统被窥探、数据篡改和意外访问。
文字编辑丨郑文
微信编辑丨老干部
责任编辑丨攻城尸 郑文
责任主编丨CI新媒体工作室
