安全
FactoryTalk Linx
支持一系列安全功能,以保护网络通信、保持完整性和机密性,包括:- FactoryTalk Security
- FactoryTalk Audit
- Socket.IO Security
- CIP Security
- DCOM 安全
- Syslog
- DEP 设置
- 数字签名版FactoryTalk软件
- FactoryTalk Linx Gateway远程代理通信安全
- FactoryTalk LinxSDK Security
FactoryTalk Security
FactoryTalk Security
作为保护自动化系统的基础,能够控制对有合法需求的授权帐户的访问权限。 它会验证用户身份,并许可用户访问已启用 FactoryTalk
的系统。 集成到FactoryTalk Directory
后,FactoryTalk Security
成为FactoryTalk Services Platform
的重要组成部分。FactoryTalk Linx
使用 FactoryTalk Security
来确定用户可以执行的功能,例如访问和更改驱动程序配置、设备配置和设备统计信息。
小贴士:
可在 > >
FactoryTalk Administration Console
“应用程序”选项卡
> 系统
> 策略
> 产品策略
> FactoryTalk Linx
功能安全
中访问FactoryTalk Linx
的FactoryTalk Security
设置。有关。
FactoryTalk Security
的更多信息,请参见FactoryTalk Services Platform
帮助FactoryTalk Audit
FactoryTalk Audit
作为集中知识库,用于记录与更改管理和资产健康状况相关的工厂范围内维护信息。 大多数FactoryTalk
软件会将配置和数据值更改传递到FactoryTalk Audit
,以帮助跟踪系统更改并促进符合政府法规要求。 要使用 FactoryTalk Audit
审核记录,请获取、安装并使用 FactoryTalk AssetCentre
软件。FactoryTalk Linx
为快捷方式配置更改、驱动程序配置更改,以及在 FactoryTalk Administration Console
或通过 FactoryTalk Linx
网络浏览器进行的大多数设备配置更改提供审核记录。有关。
FactoryTalk Audit
的更多信息,请参见FactoryTalk Services Platform
帮助Socket.IO Security
FactoryTalk Services Platform
提供了一个选项,以使用 Socket.IO 在 FactoryTalk
系统中的计算机之间实现双向通信。Socket.IO 使用 WebSockets 作为其主要传输机制。 WebSockets 本身提供了安全的通信通道。 使用 HTTPS(安全 HTTP)时,Socket.IO 会自动使用 WSS(WebSocket 安全)进行 WebSocket 连接,从而确保对传输中的数据进行加密。
Socket.IO 用作 DCOM 的备用通信信道。 与依赖于定期轮询的 DCOM 不同,Socket.IO 允许实时通信。 它还支持完整性和机密性。
如果用来托管已启用
FactoryTalk
的软件的所有计算机均运行 FactoryTalk Services Platform
版本 6.31.00 或更高版本,则可以使用 Socket.IO。有关 Socket.IO 的详细信息,请参见 。
FactoryTalk Services Platform
帮助CIP Security
通用工业协议 (CIP) 安全通过在协议级别提供身份验证、完整性和机密性功能来增强工业通信安全性。 使用
CIP Security
,您可以加密设备之间的通信、验证身份并防止对工业资产进行未经授权的访问。 CIP Security
协议可用于保护设备和 FactoryTalk Linx
之间的连接。FactoryTalk Linx
网络浏览器会检测哪些设备能够支持 CIP Security
,并会显示一个盾牌图标来指示每个设备的 IP 安全状态。 FactoryTalk Policy Manager
也会使用 FactoryTalk Linx
,选择用于 CIP Security
区域的设备并将 CIP Security
策略部署到自动化系统中。 此外,FactoryTalk Linx
可以合并到 CIP Security
区域,并利用 CIP Security
策略与启用 CIP Security 的设备通信。 您可以通过在 FactoryTalk Administration Console
的“通信”选项卡上访问顶部节点的属性来确认和重置 FactoryTalk Linx
CIP Security
配置。DCOM 安全
FactoryTalk Services Platform
提供了一个选项,以使用 Microsoft
分布式组件对象模型(DCOM)在 FactoryTalk
系统中的计算机之间提供双向通信。 DCOM 安全对于在 Windows
环境中保护分布式应用程序和组件之间的通信至关重要。 为了响应 Microsoft
DCOM 强化修补程序(MS KB5004442),Rockwell Automation
将其产品中的最低 DCOM 身份验证级别提高到数据包完整性。 此次升级可确保数据包完整性在客户端和服务器之间的通信过程中得以保持,从而降低篡改或未经授权访问的风险。 或者,可以将 DCOM 安全配置提升为保密级别,这样就会对传输的信息进行加密。FactoryTalk Linx
使用 DCOM 与 FactoryTalk Directory
连接,以便于浏览标签,并定位服务器和标签以进行数据采集。Syslog
Syslog 或系统记录协议是一种标准的消息记录方法。 它允许分离消息生成、存储以及报告和分析。
FactoryTalk Linx
支持对 CIP Security
配置更改、网络配置更改和系统开启等事件使用 Syslog。 这些 Syslog 消息被定向到 Syslog 服务器,从而可以集中监控和分析系统活动。DEP 设置
DEP(数据执行保护)是
Windows
操作系统中的一项安全功能,用于防止恶意软件在为数据保留的特定内存区域中执行代码。 DEP 通过阻止从不可执行的内存区域执行代码,帮助保护计算机免受利用软件漏洞的攻击。数字签名版
FactoryTalk
软件Rockwell Automation
使用软件签名过程来确保其软件组件的真实性和完整性。 在生成阶段,该过程首先将源代码编译为可执行二进制文件。 然后,这些二进制文件被组装成全面的软件包。 系统将采用数字签名流程,在此期间,使用 Rockwell Automation
的私钥对软件组件的加密哈希进行加密。 这些加密的哈希或数字签名附加到相应的软件组件中。 FactoryTalk Services Platform
2.51.00 或更高版本提供了验证请求服务令牌的应用程序是否已由 Rockwell Automation
签名的功能。如果认证未由 Rockwell Automation
签名,则会拒绝对 FactoryTalk Directory
的访问。 FactoryTalk
产品的某些早期版本是在未签名的情况下发布的,它们可能无法验证发布者信息。对于
FactoryTalk Linx
附带的内核驱动程序,将应用额外一层的验证。 这些驱动程序被提交给 Microsoft
的硬件开发人员中心,在那里它们经过全面的验证,以确保符合 Microsoft
的安全性和兼容性标准。 验证后,Microsoft
使用其官方数字签名对这些内核驱动程序进行签名,进一步提升了信任和可靠性,并得到了Rockwell Automation
和Microsoft
的认可。Rockwell Automation
软件二进制文件的真实性可以通过内置机制由Windows
和用户进行验证。 Windows
在执行已签名的可执行文件或驱动程序时,会检查数字签名,以确保其来源于受信任的证书颁发机构(CA),并通过比较哈希值确认软件自签名以来未被更改。 用户可以通过访问可执行文件或驱动程序的文件属性,并检查有关颁发者和数字签名状态的详细信息来验证真实性。 这一完善的过程提升了Rockwell Automation
软件解决方案的可靠性和安全性,为防止篡改和未经授权的更改提供了强有力的保护。有关已签名的。
FactoryTalk
产品的更多信息,请参阅FactoryTalk Services Platform
入门指南FactoryTalk Linx Gateway
远程代理通信安全FactoryTalk Linx Gateway
提供高级功能和接口,允许第三方软件通过FactoryTalk Linx
与Rockwell Automation
控制器和设备以及第三方 EtherNet/IP 连接的设备进行连接。 FactoryTalk Linx Gateway
版本 6.31.00中增加了FactoryTalk Linx Gateway
远程代理服务,使在一台计算机上运行的 FactoryTalk Linx
软件可以通过代理计算机传递FactoryTalk Linx
CIP 通信,以与其他网络上的设备连接。 远程代理服务支持将此桥接功能限定为具有特定 IP 地址的计算机或限定为已配置的CIP Security
区域中的设备。 使用远程代理服务,业务网络上的计算机能够安全地访问自动化网络上的自动化设备。 所有其他网络通信流量(如 TCP、UDP 和 SNMP)均无法访问自动化网络。 最初,远程代理服务仅限于传递来自设计软件(例如 Studio 5000 Logix Designer
、ControlFLASH Plus
和 Connected Components Workbench
软件)的通信。 FactoryTalk Linx
版本 6.40.00 新增了通过远程代理服务配置数据采集快捷方式的功能。有关远程代理服务的详细信息,请参阅 。
FactoryTalk Linx Gateway
入门指南FactoryTalk Linx
SDK SecurityFactoryTalk Linx Gateway
提供高级功能和接口,允许第三方软件通过FactoryTalk Linx
与Rockwell Automation
控制器和设备以及第三方 EtherNet/IP 连接的设备进行连接。 FactoryTalk Linx
软件开发套件(Software Development Kit,SDK)提供了一系列软件开发工具,使自定义软件能够通过FactoryTalk Linx
中的应用程序编程接口(API)与Rockwell Automation
控制器和设备以及与第三方 EtherNet/IP 连接的设备进行通信。 SDK 提供了一个选项,可通过 API 识别软件包的签名,并将 API 仅限定于用户选择的软件。有关和。
FactoryTalk Linx
SDK Security 的更多信息,请参阅FactoryTalk Linx Gateway
入门指南FactoryTalk Linx
SDK 参考手册提供反馈