PC UA 的安全設(shè)置

時(shí)間：2021-07-28作者：上海騰希電氣技術(shù)有限公司瀏覽：164

安全設(shè)置



尋址風(fēng)險(xiǎn)

OPC UA 支持過程和生產(chǎn)層級(jí)中的不同系統(tǒng)之間以及這些系統(tǒng)與控制與企業(yè)層級(jí)中的系統(tǒng)之間的數(shù)據(jù)交換。

這同樣將導(dǎo)致信息安全風(fēng)險(xiǎn)。因此，OPC UA 提供了一系列安全防護(hù)機(jī)制：

OPC UA 服務(wù)器和客戶端的身份驗(yàn)證。

檢查用戶的身份。

在 OPC UA 服務(wù)器和客戶端間，對(duì)已簽名/加密的數(shù)據(jù)進(jìn)行交換。

僅在**有必要的情況下，才應(yīng)繞過這些安全策略：

調(diào)試過程中

在沒有外部以太網(wǎng)連接的獨(dú)立項(xiàng)目中

例如，如果 OPC Foundation 的“UA Sample Client”端點(diǎn)選擇了“無”(None)，則程序?qū)l(fā)出一條明確的警告消息：

STEP 7 編譯項(xiàng)目時(shí)，還會(huì)檢查用戶是否考慮保護(hù)設(shè)置選項(xiàng)，并會(huì)警告用戶可能存在的風(fēng)險(xiǎn)。還包括采用“不安全”(no security) 設(shè)置的 OPC UA 安全策略，該設(shè)置對(duì)應(yīng)于端點(diǎn)“無”(None)。

提示 禁用不需要的安全策略 如果在 S7-1500 OPC UA 服務(wù)器的安全通道設(shè)置中啟用了所有安全策略，即采用端點(diǎn)“無”(None)（不安全），則服務(wù)器和客戶端之間還可能存在非安全數(shù)據(jù)通信（既未簽名也未加密）。S7-1500 CPU 的 OPC UA 服務(wù)器還會(huì)向設(shè)置為“無”(None)（不安全）的客戶端發(fā)送公用證書。某些客戶端會(huì)檢查該證書。但不會(huì)強(qiáng)制客戶端向服務(wù)器發(fā)送證書?？蛻舳说纳矸菘赡苋员３治粗o論后續(xù)為哪種安全設(shè)置，每個(gè) OPC UA 客戶端隨后都可以連接到服務(wù)器。 組態(tài) OPC UA 服務(wù)器時(shí)，請(qǐng)確保**擇與您的設(shè)備或工廠的安全概念兼容的安全策略。應(yīng)禁用所有其它安全策略。 建議：使用“Basic256Sha256 - 簽名和加密”(Basic256Sha256 - Sign and Encrypt) 設(shè)置，說明服務(wù)器只接受 Sha256 證書。安全策略“Basic128Rsa15”和“Basic256”默認(rèn)取消激活，不能用作端點(diǎn)。請(qǐng)選擇安全策略較高的端點(diǎn)。




附加安全規(guī)則

僅在特殊情況下，使用端點(diǎn)“無”(None)。

僅在特殊情況下，使用“訪客身份驗(yàn)證”。

如果確實(shí)有必要，則僅允許通過 OPC UA 訪問 PLC 變量和 DB 元素。

在 S7-1500 OPC UA 客戶端的設(shè)置中使用可信客戶端列表，以僅允許對(duì)特定客戶端進(jìn)行訪問。


上海騰希電氣技術(shù)有限公司專注于西門子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說明

• CM 1241 通訊模塊

  6ES7241-1AH32-0XB0SIMATIC S7-1200， 通信模塊 CM 1241， RS-232，9 針 Sub-D（插針）， 支持自由端口6ES7241-1CH32-0XB0SIMATIC S7-1200， 通信模塊 CM 1241， RS422/485，9 針 Sub-D（插座） 支持自由端口通過點(diǎn)到點(diǎn)連接可進(jìn)行快速、高性能的串行數(shù)據(jù)交換執(zhí)行的協(xié)議：ASCII、USS 驅(qū)動(dòng)協(xié)議、

• CP 1604 / 1616 / 1626 和 CP 1616 onboard 的 IO 路由

  CP 1604 / 1616 / 1626 和 CP 1616 onboard 的 IO 路由CP 用作 PROFINET IO 路由器 - 實(shí)際上是什么意思如果將相關(guān) CP 同時(shí)用作 PROFINET IO 設(shè)備和 PROFINET IO 控制器，則可在運(yùn)行 PC 站時(shí)，將 CP 1604/1616/1626 用作 PROFINET IO 路由器。這種 IO 路由方式允許在兩個(gè) PROFINET

• 與 PC 站的通信連接

  與 PC 站的通信連接PC 站的連接端點(diǎn)在 PC 站上，將帶有下列組件之一的連接組態(tài)為連接端點(diǎn)：OPC 服務(wù)器用作集中通信服務(wù)提供者根據(jù)可用的 CP，可以使用以下連接類型：-?S7 連接-?ISO 連接-?ISO-on-TCP 連接-?TCP 連接-?FDL 連接標(biāo)準(zhǔn)應(yīng)用對(duì)于 S7 連接類型，可以通過工業(yè)以太網(wǎng)或 PROFIBUS（取決于可用的 C

• SIMATIC 信息服務(wù)器

  SIMATIC 信息服務(wù)器內(nèi)容在線幫助中未包含的信息和有關(guān)產(chǎn)品功能的重要信息。在同一個(gè) PC 上安裝 SIMATIC Information Server 和 WinCC Runtime Professional要在同一個(gè) PC 上安裝 SIMATIC Information Server 和 WinCC Runtime Professional，請(qǐng)按照以下安裝順序進(jìn)行操作：安裝 WinCC Ru