如何提高自動化控制系統(tǒng)安全及管理水平ppt課件

1、如何提高自動化控制系統(tǒng)平安及管理程度.多重的平安要挾誤操作未授權(quán)的操作未授權(quán)的訪問回絕效力攻擊竊賊未授權(quán)的遠程訪問自然或人為災禍破壞活動蠕蟲和病毒 .平安來自縱深式的防御3.網(wǎng)絡平安架構(gòu)4引薦的架構(gòu)不引薦的架構(gòu)Enterprise-wide NetworkPlant-wide NetworkEnterprise-wide NetworkPlant-wide NetworkPlant-wide NetworkEnterprise-wide NetworkPlant-wide NetworkEnterprise-wide NetworkSwitch with VLANsPlant-wide Net

2、workEnterprise-wide NetworkFirewallBetterPlant-wide NetworkEnterprise-wide NetworkIDMZBestPlant-wide NetworkEnterprise-wide NetworkRouter(Zone Based FW)Good.2層到3層交換功能對應從簡單到復雜網(wǎng)絡運用高級平安功能從工廠到企業(yè)網(wǎng)絡的集成技術(shù)產(chǎn)品高級的交換、路由及平安特性對自動控制 及IT部門提供通用的工具維護簡便面向運維及IT運用面向自動控制的需求網(wǎng)絡平安工具- Stratix 系列交換機的優(yōu)點.網(wǎng)絡平安工具-Stratix 5900 含2層

3、及3層平安功能路由器提供路由及2層及3層平安效力路由器 + 防火墻虛擬私有網(wǎng)絡(VPN)網(wǎng)絡地址轉(zhuǎn)換 (NAT)訪問控制列表 (ACL)入侵防止系統(tǒng) (IPS)端口: 1 Gigabit WAN 端口4 Fast Ethernet端口工業(yè)規(guī)范, DIN 導軌安裝運用于廠級站點間銜接、單元區(qū)域的防火墻及OEM設備的通訊集成New7Enterprise-wideBusiness SystemsLevels 4 & 5 Data CenterEnterprise ZoneLevel 3 - Site OperationsIndustrial ZonePhysical or Virtualized S

4、erversFactoryTalk Application Servers & Services PlatformNetwork Services e.g. DNS, AD, DHCP, AAARemote Access Server (RAS)Call ManagerStorage ArrayLevels 0-2Cell/Area ZonesLevel 3.5 - IDMZRemote Site #1Local Cell/Area Zone #1Local OEM Skid / Machine #1Plant-wideSite-wideOperation SystemsSite-to-Sit

5、eConnectionStratix 59001) Site-to-Site ConnectionStratix 59003) OEM IntegrationStratix 59002) Cell/Area Zone Firewall網(wǎng)絡平安工具-Stratix 5900 含2層及3層平安功能路由器.系統(tǒng)管理員可以管理用戶帳戶WindowsFactoryTalk用戶組自定義用戶組及角色Windows用戶組計算機計算機組系統(tǒng)戰(zhàn)略產(chǎn)品戰(zhàn)略產(chǎn)品操作控制器平安控制器區(qū)域8運用層平安工具- FactoryTalk Security.用戶帳戶創(chuàng)建9“Fred; user name and PW.Facto

6、ryTalk 系統(tǒng)平安戰(zhàn)略10“Freds PW expires in 30 days.分配用戶組或角色11“Fred is an Engineer.分配產(chǎn)品權(quán)限12“Fred can use Logix5000.分配角色或用戶組的允許權(quán)限13Engineers can Modify AOIs.資源分配到運用區(qū)域14Finally; “Fred is an Engineer who can Modify AOIs on all controllers in “Area2 .PC #21515PC #1Logix 5000 ProjectFactoryTalkServicesSecurity A

7、uthoritySecurityAdministrationLogix 5000 ProjectFactoryTalkServicesSecurityAdministrationID = 795D5EF-12.ID = A73R5CG 89.ID= 795D5EF-12.Security AuthorityID = 795D5EF-12EtherNet/IPIDs MatchIDs Dont Match運用層平安工具- FactoryTalk Security在 Logix Controllers中運用FactoryTalk Security 平安認證號碼 (SAID)運用FactoryTal

8、k Services Platform SR5 和 RSLogix 5000 V20 (以及更高版本)配置Logix控制器時，在要求一切用戶在訪問控制器前必需經(jīng)過一個FactoryTalk目錄來認證權(quán)限平安認證號碼存儲在工程文件中 可以維護離線文件16當“Security Authority ID required 使能后訪問前需求登錄 . 運用FactoryTalk目錄效力來啟用平安功能SAID備份運用 FactoryTalk管理控制臺, 平安認證號碼 可以被加密來維護備份允許多個FactoryTalk 目錄運用同一個ID可以用來交換v20版停用的CPU加密功能The Security Au

9、thority Identifier looks like this17限制通訊卡槽19數(shù)據(jù)訪問控制用戶可以設置外部數(shù)據(jù)訪問權(quán)限：讀/寫 、只讀及無權(quán)限在RSLogix5000及Logix控制器需求建立信任銜接確保只能經(jīng)過RSLogix 5000修正標簽屬性誰能修正屬性由 FactoryTalk Security來控制用戶還可以把標簽定義為常數(shù)，常數(shù)不能被控制器邏輯程序修正。.20FactoryTalk View SE 平安FactoryTalk View SE 平安可以被運用到:畫面.21FactoryTalk View SE 平安FactoryTalk View SE 平安可以被運用到:畫

10、面對象.22FactoryTalk View SE 平安FactoryTalk View SE 平安可以被運用到:畫面對象工程運用.ControlLogix 實時修正監(jiān)測ControlLogix V20 或更高版本支持實時修正監(jiān)測功能可以經(jīng)過控制器修正日志獲得監(jiān)測信息可以經(jīng)過事件日志生成活動報告可以監(jiān)測到惡意修正可以選擇發(fā)送信息到監(jiān)測效力器23控制器實時修正監(jiān)測每個 Logix PAC 開放一個修正監(jiān)測數(shù)值當影響到控制器運轉(zhuǎn)的行為被監(jiān)測到時，這個值會自動改動該監(jiān)測值可以經(jīng)過 RSLogix 5000 和Studio 5000 Logix Designer訪問, 其它軟件或運用可以經(jīng)過Messa

11、ge指令訪問可以組態(tài)什么事件被監(jiān)測24控制器實時修正監(jiān)測監(jiān)測值被記錄到每個控制器的日志中，F(xiàn)actoryTalk AssetCentre (Version 4.1), 可以從控制器日志中讀取該監(jiān)測值25Copyright 2021 Rockwell Automation, Inc. All rights reserved.FactoryTalk AssetCentre 監(jiān)測功能26集中記錄與控制系統(tǒng)的交互信息.FactoryTalk AssetCentre 軟件具備一套針對資產(chǎn)集中管理工具，用于平安的集中管理您的自動化設備對控制系統(tǒng)的平安訪問追蹤用戶操作提供備份及恢復操作的組態(tài)管理設備組態(tài)配置

12、文件配置過程儀表管理設備整定可擴展的設計允許功能及設備數(shù)量的擴展提供從小型消費線到工廠范圍的處理方案低入門費用概念設計及證明測試版本控制 / 源文件控制集中存儲文件、組態(tài)、程序、 SOPs, CAD, 和其他文件自動的版本控制維護單一主文件關(guān)系當維護主文件時允許他人獲得程序拷貝FactoryTalk AssetCentre容災備份功能定期自動備份設備組態(tài)選擇和特定備份版本比較差別 最新版本指定版本當差別監(jiān)測到后自動創(chuàng)建新版本在事件數(shù)據(jù)庫中自動生成差別報告并發(fā)送郵件容災備份選項Rockwell Automation 設備Logix5000 設備以及 SLC-500, PLC-5PanelView

13、 Plus, Standard 以及Enhanced變頻器遠程計算機文件或文件夾通用FTP設備文件或文件夾Siemens S7 400 和 300 系列控制器TCP/IP協(xié)議Siemens S5100 系列TCP/IP協(xié)議 Fanuc RobotsRJ3 和 RJ3i 控制器Motoman RobotsXRC 和 NX-100 控制器ABB RobotsIRC5 和 S4C+ robot 控制器.FactoryTalk AssetCentre 監(jiān)測及事件記錄提供監(jiān)測信息集中存儲效力，如： FactoryTalk 運用、RSLogix5, 500 & 5000系列控制器。 監(jiān)測及事件信息包含記錄

14、時間、當前時間、用戶、設備、計算機以及操作信息實現(xiàn)系統(tǒng)集中診斷管理FactoryTalk AssetCentre 監(jiān)測及改動報告經(jīng)過FactoryTalk AssetCentre檢索事件監(jiān)測歸檔歷史文件y定期或立刻生成報告定期以Email方式發(fā)送報告Examples檢索某一資產(chǎn)缺點以前4個小時的修正記錄檢索上個月某個用戶修正了什么文件檢索上載義務失敗的記錄檢索每個班次做過的數(shù)據(jù)強迫及程序空行來改善廠級的平安32.FactoryTalk AssetCentre 儀表管理智能儀表組態(tài) (PDC)實現(xiàn)集中監(jiān)測及組態(tài)多個儀表供應商的智能儀表設備，減少整體維護以及現(xiàn)場任務時間儀表整定可以經(jīng)過整定方案、整

15、定報告及整定追蹤等功能高效的管理過程儀表。運用案例例子: 某釀酒廠某個人修正了加油系統(tǒng)的時間。從原來的20分鐘改為8個小時。公司沒有任何關(guān)于什么時候修正的記錄。.結(jié)果該修正呵斥了被加油系統(tǒng)的停機，呵斥了$101,000的損失.$15K 從德國發(fā)來部件+2天收到$11K 安裝人力+3 天機械安裝$75K 停機損失處理方案這個釀酒廠采用了 FactoryTalk AssetCentre用于控制系統(tǒng)修正檢查。經(jīng)過FactoryTalk AssetCentre, 該廠建立了用戶管理機制防止未授權(quán)的修正。 FactoryTalk AssetCentre提供了檢查記錄功能，可以得到什么人在什么地點對控制系統(tǒng)作了什么修正的記錄。FactoryTalk AssetCentre 部署架構(gòu)Microsoft SQL S