单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2017/8/15,#,如何提高自动化控制系统安全及管理水平,多重的,安,安全,威,威胁,误操,作,作,未授权的,操,操作,未授,权,权的,访,访问,拒绝,服,服务,攻,攻击,窃贼,未授权的,远,远程,访,访问,自然,或,或人,为,为灾,害,害,破坏,活,活动,蠕虫,和,和病,毒,毒,安全,来,来自,纵,纵深,式,式的,防,防御,3,网络,安,安全,架,架构,4,推荐的,架,架构,不推,荐,荐的,架,架构,Enterprise-wide Network,Plant-wide Network,Enterprise-wide Network,Plant-wide Network,Plant-wide Network,Enterprise-wide Network,Plant-wide Network,Enterprise-wide Network,Switch,with VLANs,Plant-wide Network,Enterprise-wide Network,Firewall,Better,Plant-wide Network,Enterprise-wide Network,IDMZ,Best,Plant-wide Network,Enterprise-wide Network,Router,(,Zone Based FW),Good,2,层到,3,层交,换,换功,能,能对,应,应从,简,简单,到,到复,杂,杂网,络,络应,用,用,高级,安,安全,功,功能,从工,厂,厂到,企,企业,网,网络,的,的集,成,成,技术,产品,高级,的,的交,换,换、,路,路由,及,及安,全,全特,性,性,对自,动,动控,制,制及,IT,部门,提,提供,通,通用,的,的工,具,具,维护,简,简便,面向运,维,维及,IT,应用,面向,自,自动,控,控制,的,的需,求,求,网络,安,安全,工,工具,-,Stratix,系列交,换,换机,的,的优,点,点,网络,安,安全,工,工具,-,Stratix5900,含,2,层及,3,层安,全,全功,能,能路,由,由器,提供,路,路由,及,及,2,层及,3,层安,全,全服,务,务,路由,器,器,+,防火,墙,墙,虚拟,私,私有,网,网络,(,VP,N),网络,地,地址,转,转换,(NAT),访问控,制,制列,表,表,(ACL),入侵防,止,止系,统,统,(IPS),端口,:,1GigabitWAN,端口,4FastEthernet,端口,工业,标,标准,DIN,导轨,安,安装,使用,于,于厂,级,级站,点,点间,连,连接,、,、单,元,元区,域,域的,防,防火,墙,墙及,OEM,设备,的,的通,讯,讯集,成,成,New,7,Enterprise-wide,Business Systems,Levels4&5DataCenter,EnterpriseZone,Level3-SiteOperations,IndustrialZone,PhysicalorVirtualizedServers,FactoryTalkApplicationServers&ServicesPlatform,NetworkServices,e.g.DNS,AD,DHCP,AAA,RemoteAccessServer(RAS),CallManager,StorageArray,Levels0-2,Cell/AreaZones,Level3.5-IDMZ,RemoteSite#1,LocalCell/AreaZone#1,LocalOEMSkid/Machine#1,Plant-wide,Site-wide,Operation Systems,Site-to-Site,Connection,Stratix 5900,1)Site-to-Site Connection,Stratix 5900,3,)OEM Integration,Stratix 5900,2),Cell/Area,Zone Firewall,网络,安,安全,工,工具,-,Stratix5900,含,2,层及,3,层安,全,全功,能,能路,由,由器,系统,管,管理,员,员可,以,以管,理,理,用户,帐,帐户,Windows,FactoryTalk,用户,组,组,自定,义,义用,户,户组,及,及角,色,色,Windows,用户,组,组,计算机,计算机组,系统策略,产品策略,产品操作,控制器安全,控制器区域,8,应用层安全工具,-,FactoryTalkSecurity,用户帐户,创,创建,9,“Fred”;,usernameandPW,FactoryTalk,系统安全,策,策略,10,“Freds”PWexpiresin 30 days,分配用户,组,组或角色,11,“Fred”is anEngineer,分配产品,权,权限,12,“Fred”can use Logix5000,分配角色,或,或用户组,的,的允许权,限,限,13,Engineers can ModifyAOI,s,资源分配,到,到应用区,域,域,14,Finally;,“,“Fred”is an Engineer who can Modify AOIson all controllers in“Area2,”,”,PC#2,15,15,PC#1,Logix 5000 Project,FactoryTalk,Services,SecurityAuthority,Security,Administration,Logix 5000 Project,FactoryTalk,Services,Security,Administration,ID=795D5EF-12.,ID=A73R5CG 89.,ID=795D5EF-12.,SecurityAuthority,ID=795D5EF-12,EtherNet/IP,IDsMatch,IDsDon,t Match,应用层安,全,全工具,-,FactoryTalkSecurity,在,Logix Controllers,中使用,FactoryTalkSecurity,安全认证,号,号码,(SAID),使用,FactoryTalkServicesPlatform SR5,和,RSLogix5000V20(,以及更高版,本,本,),配置,Logix,控制器时,，,，在要求,所,所有用户,在,在访问控,制,制器前必,须,须通过一,个,个,FactoryTalk,目录来认,证,证权限,安全认证,号,号码存储,在,在工程文,件,件中,可以保护,离,离线文件,16,当,“Security AuthorityID required”,使能后,访问前需要登录,.,使用,FactoryTalk,目录服务来启,用,用安全功能,SAID,备份,使用,FactoryTalk,管理控制台,安全认证号码,可以被,加密来保护,备,备份,允许多个,FactoryTalk,目录使用同,一,一个,ID,可以用来替换,v20,版停用的,CPU,加密功能,The Security Authority Identifierlookslikethis,17,限制通讯卡,槽,槽,Copyright,2011 RockwellAutomation,Inc.All rights reserved.,19,数据访问控,制,制,用户可以设,置,置外部数据,访,访问权限：,读,读,/,写、只读及无,权,权限,在,RSLogix5000,及,Logix,控制器需要,建,建立信任连,接,接,确保只能通,过,过,RSLogix 5000,修改标签属,性,性,谁能修改属,性,性由,FactoryTalk Security,来控制,用户还可以,把,把标签定义,为,为常数，,常数不能被,控,控制器逻辑,程,程序修改,。,20,FactoryTalk View SE,安全,FactoryTalk View SE,安全可以被,应,应用到,:,画面,21,FactoryTalk View SE,安全,FactoryTalk View SE,安全可以被,应,应用到,:,画面,对象,22,FactoryTalk View SE,安全,FactoryTalk View SE,安全可以被,应,应用到,:,画面,对象,项目应用,ControlLogix,实时修改监测,ControlLogix V20,或更高版本,支,支持实时修,改,改监测功能,可以通过控,制,制器修改日,志,志获得监测,信,信息,可以通过事,件,件日志生成,活,活动报告,可以监测到,恶,恶意修改,可以选择发,送,送信息到监,测,测服务器,23,控制器实时,修,修改监测,每个,LogixPAC,开放一个修,改,改监测数值,当影响到控,制,制器运行的,行,行为被监测,到,到时，这个,值,值会自动改,变,变,该监测值可,以,以通过,RSLogix 5000,和,Studio 5000 Logix Designer,访问,其它软件或,应,应用可以通,过,过,Message,指令访问,可以组态什,么,么事件被监,测,测,24,控制器实时修,改,改监测,监测值被记,录,录到每个控,制,制器的日志,中,中，,FactoryTalk,AssetCentre(,V,ersion 4.1),可以从控制,器,器日志中读,取,取该监测值,25,Copyright,2011 RockwellAutomation,Inc.All rights reserved.,FactoryTalk AssetCentre,监测功能,26,集中记录与,控,控制系统的,交,交互信息,Copyright,2009 RockwellAutomation,Inc.All rights reserved.,FactoryTalk AssetCentre,软件,具备一套针,对,对资产集中,管,管理工具，,用,用于安全的,集,集中管理您,的,的自动化设,备,备,对控制系统,的,的安全访问,追踪用户操,作,作,提供备份及,恢,恢复操作的,组,组态,管理设备组,态,态配置文件,配置过程仪,表,表,管理设备整,定,定,可扩展的设,计,计允许功能,及,及设备数量,的,的扩展,提供从小型,生,生产线到工,厂,厂范围的解,决,决方案,低入门费用,（,（概念设计,及,及证明测试,）,）,版本控制,/,源文件控制,集中存储文,件,件、组态、,程,程序、,SOPs,CAD,和其他文件,自动的版本,控,控制,维护单一主,文,文件关系,当维护主文,件,件时允许他,人,人获得程序,拷,拷贝,FactoryTalk AssetCentre,容灾备份功,能,能,定期自动备,份,份设备组态,选择和特定,备,备份版本比,较,较差异,最新版本,指定版本,当差异监测,到,到后自动创,建,建新版本,在事件数据,库,库中自动生,成,成差异报告,并,并发送邮件,容灾备份选项,Rockwell Automation,设备,Logix5000,设备以及,SLC-500,PLC-5,PanelViewPlus,Standard,以及,Enhanced,变频器,远程计算机,文件或文件,夹,夹,通用,FTP,设备,文件或文件夹,Siemens S7,400,和,300,系列控制器,TCP/IP,协议,SiemensS5,100,系列,TCP/IP,协议,Fanuc Robots,RJ3,和,RJ3i,控制器,MotomanRobots,XRC,和,NX-100,控制器,ABB Robots,IRC5,和,S4C+robot,控制器,FactoryTalk AssetCentre,监测及事件记录,提供监测信息集中,存,存储服务，如：,FactoryTalk,应用、,RSLogix5,500&5000,系列控制器。,监测及事件信息,包,包含记录时间、,当,当前时间、用户,、,、设备、计算机,以,以及操