隨sui著zhe智zhi能neng信xin息xi時shi代dai的de來lai臨lin

，工gong業ye控kong製zhi係xi統tong正zheng麵mian臨lin著zhe來lai自zi各ge個ge方fang麵mian的de安an全quan威wei脅xie。有you來lai自zi工gong業ye控kong製zhi係xi統tong內nei部bu的de

，也ye有you來lai自zi企qi業ye信xin息xi網wang絡luo和he互hu聯lian網wang的de威wei脅xie。包bao括kuo人ren為wei的de蓄xu意yi破po壞huai和he攻gong擊ji、盜取程序及關鍵數據
、不可抗拒的自然災害和工作人員安全防範不專業導致的意外操作等。

　　除chu此ci之zhi外wai，安an全quan威wei脅xie還hai存cun在zai於yu未wei授shou權quan訪fang問wen和he未wei授shou權quan的de操cao作zuo中zhong，一yi些xie設she備bei由you於yu無wu授shou權quan訪fang問wen機ji製zhi進jin而er導dao致zhi設she備bei被bei非fei法fa訪fang問wen。因yin此ci，安an全quan風feng險xian的de存cun在zai會hui增zeng加jia工gong業ye控kong製zhi係xi統tong正zheng常chang運yun行xing中zhong斷duan

、產生安全事故以及知識產權受到侵犯等問題。

　　mianduigongyekongzhixitongzhongcunzaidegeshiweixie，womenxuyaoshiyonggengjiazhinenggaoxiaodefangfalaiyingdui。luokeweierzidonghuashenrugongyekongzhianquanlingyubuduantansuoyingduianquanweixiedegengyoushijianfangshi。zaianquanshijianzhong
，weibaohugongyekongzhixitongmianshouneibuhewaibuweixiedeqinhai，bixushixianzongshenfangyudeanquancelve。fanweibaokuowulianquan
、網絡安全、計算機加固、應用程序安全和設備加固等方麵。

　　這(zhe)個(ge)想(xiang)法(fa)的(de)基(ji)本(ben)思(si)想(xiang)是(shi)，如(ru)果(guo)攻(gong)擊(ji)者(zhe)剝(bo)奪(duo)了(le)一(yi)層(ceng)防(fang)禦(yu)，總(zong)會(hui)有(you)另(ling)外(wai)一(yi)層(ceng)阻(zu)止(zhi)他(ta)們(men)的(de)努(nu)力(li)，所(suo)以(yi)，基(ji)於(yu)該(gai)實(shi)踐(jian)的(de)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)應(ying)該(gai)更(geng)加(jia)安(an)全(quan)，並(bing)且(qie)可(ke)以(yi)避(bi)免(mian)或(huo)減(jian)輕(qing)威(wei)脅(xie)。除(chu)了(le)這(zhe)些(xie)技(ji)術(shu)上(shang)的(de)措(cuo)施(shi)外(wai)

，為(wei)保(bao)護(hu)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)的(de)安(an)全(quan)，最(zui)重(zhong)要(yao)的(de)還(hai)是(shi)工(gong)業(ye)企(qi)業(ye)管(guan)理(li)層(ceng)應(ying)該(gai)具(ju)有(you)安(an)全(quan)意(yi)識(shi)，製(zhi)定(ding)企(qi)業(ye)的(de)安(an)全(quan)策(ce)略(lve)和(he)程(cheng)序(xu)


，並(bing)組(zu)織(zhi)對(dui)員(yuan)工(gong)進(jin)行(xing)安(an)全(quan)意(yi)識(shi)和(he)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)安(an)全(quan)知(zhi)識(shi)的(de)培(pei)訓(xun)。

　　抵禦安全威脅的“保護網”

　　一直以來信息安全通訊協議在IT領(ling)域(yu)已(yi)經(jing)被(bei)廣(guang)泛(fan)使(shi)用(yong)，隨(sui)著(zhe)工(gong)業(ye)自(zi)動(dong)化(hua)控(kong)製(zhi)係(xi)統(tong)和(he)企(qi)業(ye)信(xin)息(xi)技(ji)術(shu)網(wang)絡(luo)的(de)不(bu)斷(duan)融(rong)合(he)，在(zai)工(gong)業(ye)自(zi)動(dong)化(hua)現(xian)場(chang)也(ye)必(bi)須(xu)使(shi)用(yong)安(an)全(quan)的(de)通(tong)訊(xun)協(xie)議(yi)來(lai)抵(di)禦(yu)存(cun)在(zai)的(de)安(an)全(quan)威(wei)脅(xie)，所(suo)以(yi)羅(luo)克(ke)韋(wei)爾(er)自(zi)動(dong)化(hua)和(he) ODVA 在2015年推出了 CIP Security™ 工業網絡安全通訊協議。

　　CIP Security™ 是眾所周知的標準傳輸層安全協議, 同時也是通過 TLS 安全傳輸層協議和 DTLS 數據報安全傳輸層協議來封裝 CIP 通訊的 CIP 擴展協議
，並且，EtherNet/IP 的安全傳輸也可通過 CIP Security™ 來幫助實現 。標準的 CIP 協議使用了 TCP 和 UDP 來包裹封裝，但安全的 CIP 通訊則是使用 TLS 和 DTLS 來進行包裹封裝，例如：我們所熟知和常用的 Https 也是使用TLS進行包裹封裝的。

　　同時
，CIP Security™ 還具有高適用性，不但常規的 CIP 協議可以使用
，CIP Security™ 和CIP Motion等都可以使用，也就是說傳輸 CIP Safety 和 CIP Motion 的數據包時也可以通過 TLS 和 DTLS 進行包裹封裝。並且，該協議是基於 IT 領域已經成熟且廣泛使用的開放式安全標準
，設備身份標識是采用 X.509 v3 數字證書，可用於為設備提供加密的安全標識，即加密的身份信息，通過 TLS 傳輸來進行設備的身份驗證，此外，TLS 和 DTLS 也用於之後設備數據的完整性檢查和加密傳輸。數據的完整性采用密鑰散列消息認證碼
，即HMAC。

　　使用 CIP Security™ 可幫助實現 EtherNet/IP 安全傳輸，使連接到 EtherNet/IP 的設備能夠保護自身
，CIP Security™ 可以防止三個方麵的安全威脅。

• 一是拒絕非受信人員或非受信設備發送的消息，即識別設備身份的真實性
• 二是拒絕中間人篡改的數據，即確保數據的完整性
• 三是防止數據在通訊的過程中被非法查看，即保證數據的機密性

　　CIP Security™ 是對設備的安全加固，是屬於縱深防禦的一部分，實施多層安全方案更能抵禦攻擊。

　　CIP Security™ 的多區域部署

　　目前羅克韋爾自動化已經有多種產品支持CIP Security，軟件產品有 FactoryTalk Policy Manager、FactoryTalk Linx 等
；硬件有 ControlLogix 5580 係列控製器、1756-EN4TR EtherNet/IP 通訊網卡、CompactLogix™ 5380、Compact GuardLogix® 5380
、CIP Security代理
、PowerFlex 755T 變頻器、Armor PowerFlex 以及 Kinetix 5700/Kinetix5300 伺服驅動器等，近期還將陸續推出更多支持 CIP Security 的產品。

　　羅克韋爾自動化

　　1756-EN4TR EtherNet/IP

通訊網卡

　　1756-EN4TR 以太網通訊模塊提供了更高的吞吐量
，雙1Gig 網口
，支持 DLR 環網，能夠連接256根伺服軸
，可以作為冗餘遠程 IO 適配器使用，同時支持 CIP Security，提供了設備間的認證、數據完整性及數據加密等安全功能，滿足了客戶日益增長的性能及安全需求。

　　羅克韋爾自動化

　　CIP安全代理

　　1783-CSP

　　1783-CSP 是 CIP Security 代理，有了 CIP Security  代理
，每個 EtherNet/IP 適配器就都能夠無條件支持 CIP Security 的版本
，無需另外開發。特別是對一些老的 I/O 適配器和設備，要實現工業通訊的安全傳輸，支持 CIP Security 的設備可以直接接到控製係統網絡上，把不支持 CIP Security 的產品接到控製係統之前先接到 1783-CSP，然後再把 1783-CSP 接到控製係統上
，這樣 1783-CSP 和 PLC 間的通訊也就是安全的工業通訊。

　　小羅有話說

　　安全威脅無處不在
，為工業安全係統安全多加一層“防護”，羅克韋爾自動化多種產品、多項選擇適用於 CIP Security 多層安全方案

，共同抵禦安全威脅攻擊，為工業安全保駕護航。