安全事件的组报警 (S7-1500) 了解安全事件的组报警的哪些方面 (S7-1500) 诊断缓冲区中的安全事件 CPU 将在诊断缓冲区中存储有关重要操作和事件的信息。 发生以下安全事件（事件类型）时，S7-1500 的诊断缓冲区中将输入一条记录： • 使用正确或错误的密码转至在线状态。 • 检测被操控的通信数据。 • 检测存储卡上被操控的数据。 • 检测被操控的固件更新文件。 • 更改后的保护等级（访问保护）下载到 CPU。 • 启用或禁用密码合法化（通过指令，或在适用情况下通过 CPU 显示屏）。 • 由于超出允许的并行访问尝试次数，在线访问被拒绝。 • 现有在线连接处于禁用状态的超时。 • 使用正确或错误的密码登录到 Web 服务器。 • 创建 CPU 的备份。• 恢复 CPU 组态。 • 在启动过程中： – SIMATIC 存储卡上的项目发生变更（SIMATIC 存储卡不变） – 更换了 SIMATIC 存储卡 安全事件的组报警 为防止诊断缓冲区被大量相同的安全事件“淹没”，STEP 7 V13 SP 1 及以上版本中可设置 相应参数，将这些事件作为组警报保存到诊断缓冲区中。在每个间隔（监视时间）内， CPU 仅为每种事件类型生成一个组警报。 示例： Brute-Force 攻击 利用 Brute-Force 攻击，攻击者通过系统地尝试大量的可能密码组合，获取 CPU 的访问权。 因此，CPU 会在数秒内收到大量的登录请求，而诊断缓冲区内涌入大量相同的单独条目会导 致丢失重要的诊断信息。组报警帮助在此处提供。 操作组报警的原则 CPU 在诊断缓冲区内输入一种事件类型的前三个事件。然后它会忽略此类型的所有后续安全 事件。 在监视时间（间隔）结束时，CPU 生成组报警，在该组中输入过去的时间间隔内的事件类型 和事件频率。 如果这些安全事件在随后的时间间隔内也有出现，CPU 将仅为每个间隔生成一个组报警。 攻击会在诊断缓冲区中离开以下模式：前三个单独的报警后跟一系列组报警。此系列可以包 含两个、三个或更多的组报警，具体取决于选定的监视时间和攻击持续时间。 由于诊断缓冲区中的报警具有时间戳，因此可以确定攻击持续时间。① 例如，一种类型的安全事件尝试使用无效密码登录。 ② 间隔（监视时间）：在特定类型的安全事件首次发生（或重复发生）时，监视时间 开始（或重新开始）计时。 ③ 单个报警：一种类型的前三个安全事件立即输入到诊断缓冲区。从该类型的第四个 安全事件开始，CPU 仅创建组报警。 如果该类型的安全事件在至少暂停一个间隔后发生，CPU 将在诊断缓冲区中输入单 个报警并对监视时间重新计时。 ④ 组报警：在三个安全事件后，CPU 仅生成一个组报警作为此间隔内所有其他安全事 件的摘要。如果这些安全事件在随后的时间间隔内也有出现，CPU 将仅为每个间隔 生成一个组报警。 参见 为安全事件组态组报警 (页 1377) 需了解的 SIMATIC 存储卡知识 (页 1284) 为安全事件组态组报警 (S7-1500) 要求 • STEP 7 V13 SP 1 或更高版本 • S7-1500 CPU 固件版本 V1.7 或更高版本 操作步骤 要为安全事件组态组报警，请按以下步骤操作： 1. 单击网络视图中的 CPU 符号。 CPU 的属性随即显示在巡视窗口中。 2. 转至“保护 > 安全事件”(Protection > Security event) 区域。 3. 单击“安全事件”(Security event)。

              4. 选择“出现大量消息时汇总安全事件”(Summarize security events in case of high message volume) 选项，为安全事件启用组报警。 5. 设置时间间隔（监视时间），默认为 20 秒。 参见 了解安全事件的组报警的哪些方面 (页 1375) 通过显示屏禁用对 CPU 的在线访问 (S7-1500) 可以在 S7-1500 CPU 的显示屏上阻止对受密码保护的 CPU 进行访问（本地阻止）。 只有在操作模式切换被设置为 RUN 时才能阻止访问。 无论密码保护如何，都能阻止访问。 这也就是说，即使通过连接的编程设备访问 CPU，并 且输入了正确的密码，也无法访问 CPU。 可以分别为显示屏上的每个保护等级设置访问阻止，这样就可以在本地允许读取访问，但是 不允许写入访问。 此外，可以在 CPU 的属性中为显示屏组态密码，这样本地访问保护就可由本地密码进行保 护。 步骤 按照以下操作在显示屏上设置 S7-1500 CPU 的本地访问保护： 1. 选择显示屏上的“设置 > 保护”(Settings > Protection) 菜单。 2. 通过“确定”(OK) 确认，并为每个保护等级设置是否允许在 RUN 模式中访问： 允许： 可以通过密码访问 CPU。 在 RUN 模式中阻止： 如果操作模式切换被设置为 RUN，那么即使获得相关密码，也不可使 用此保护等级权限登录 CPU。 在 STOP 模式中，可以使用密码输入进行访问。证书管理器 (S7-1500) 应了解的证书管理器知识 (S7-1500) 简介 数字证书对于在两个设备之间进行安全的数据传输至关重要。使用数字证书时，客户端还必 须检查并信任服务器的证书。根据使用的安全通信类型，服务器可能需要检查并信任客户端 的证书：只有在服务器接受客户端的数字证书，将其归类为可信证书并信任该证书时，客户 端才能与服务器建立安全连接。 固件版本为 V2.0 或更高版本的 S7-1500 CPU 支持使用证书。 设备特定的以及项目级证书管理器 通过 CPU 特定的本地证书管理器，可为相应的设备生成和管理证书。然后，这些证书可由 以下对象使用： • 设备的 OPC UA 服务器 • 设备的 Web 服务器 • 需要使用证书并且通过证书 ID 进行引用的所有其它系统功能。在 TIA Portal V14 中， Secure OUC 和 TMAIL 也采用 PG/HMI 间安全通信（TIA Portal V17 及以上版本）。 说明 证书管理器中的每个证书都会接收到一个 ID，以用于在特定 SDT 中进行唯一性引用。证 书 ID 由证书管理器在创建或导入证书时进行分配。证书 ID 在项目中唯一，不能更改。 CPU 特定的本地证书管理器中的证书仅适用于该设备。如果要在项目范围内使用证书，则需 要激活设备中的全局安全证书管理器。 在全局安全证书管理器中，可利用其它功能来管理证书： • 导入新证书和证书颁发机构。 • 导出项目中使用的证书和证书颁发机构。 • 更新过期的证书和证书颁发机构。 • 替换现有证书颁发机构。 • 添加受信证书和证书颁发机构。 • 手动删除导入的证书。只有在项目中针对至少一个设备激活激活全局安全设置后，全局安全设置才可见。为此，在 CPU 特定的本地证书管理器中，提供了“使用证书管理器的全局安全设置”(Use global security settings for certificate manager) 复选框：该复选框位于巡视窗口中带安全功能的设 备常规设置的“保护和安全 > 证书管理器”(Protection & Security > Certificate manager) 下。 根据该设置，可决定仅使用功能受限的 CPU 特定的本地证书管理器，或使用全局安全证书 管理器。 注意 证书和密钥丢失 激活项目的全局安全证书管理器后，CPU 特定的本地证书管理器的内容会丢失： • 私钥无法恢复。 • 如果要继续在全局安全证书管理器中使用证书，请导出证书。 • 更新组态或程序，因为证书的 ID 可能会发生更改。 激活全局安全证书管理器后，CPU 特定的本地证书管理器将用作 CPU 特定的全局证书的临 时存储器。在 CPU 特定的本地证书管理器中创建新证书时，该证书将包含在全局安全证书 管理器中。还可以在全局安全证书管理器中选择证书用作 CPU 的证书。

            CPU 特定的局部证书管理器 (S7-1500) 简介 使用 CPU 特定的本地证书管理器时，可针对不同的服务直接使用 OPC UA 服务器和 Web 服 务器的证书，而无须访问全局安全证书管理器。 本地证书管理器的功能 与全局证书管理器相比，CPU 特定的本地证书管理器的功能仍然受限。通过本地证书管理器， 只能创建、分配、导出或删除自签名证书。CPU 特定的本地证书管理器的设置位于巡视窗口的设备常规设置“保护与安全 > 证书管理 器”(Protection & Security > Certificate manager) 下。 • 用于激活全局证书管理器的选项 • 设备证书表：显示和管理所用的证书。例如，安全 OUC（TLS 服务器/TLS 客户端）将显 示该设备的 Web 服务器和 OPC UA 服务器的证书。 • 伙伴设备的证书表：显示已分配为受信用户或客户端的证书。 设备证书 设备证书对于设备及其相关组件有效。例如，此处显示的证书还是为 Web 服务器或为 OPC UA 创建的证书。同样，可以在此处创建带有 Web 服务器或 OPC UA 的设置的证书，但必须在 相应的位置使用此类证书。 创建新证书时，会在设备的相应对话框中输入以下值作为默认值： • 用途和密钥用法：例如，TLS 客户端/服务器。填写适合相应服务的 X.509 V3 标准证书的 扩展项“KeyUsage”和“ExtendedKeyUsage”。 • 证书颁发机构：对于本地 CPU 特定的证书管理，只能使用自签名证书。 • 证书参数： – 证书持有者：例如，/TLS。字符集受限，因而可满足 ASN.1 的相关规范要 求。 – 加密过程：例如，EC（椭圆曲线）、RSA。请注意，所选加密过程 EC 在输入时未针对 特定设备进行验证。 – 加密参数：取决于加密过程。 – 哈希算法：用于对证书进行签名的算法。 – 有效期：根据系统时间，在有效期的两个字段中，输入有效期的开始和结束时间。 – 证书持有者的备用名称 (SAN)：所用接口的 IP 地址或 DNS 名称。 可使用其它值覆盖默认值。 伙伴设备的证书 对于伙伴设备的证书，可选择本地证书管理器的设备证书。无须相应的私钥即可使用设备证 书。此外，还可以选择其它 CPU 或 CP 的证书，从而在项目中实现安全通信。其它 CPU 或 CP 的证书无须使用私钥即可加载至该 CPU 中。对于可通过全局证书管理器获取的证书链，属于 CPU 或 CP 的证书链仍未中断，相应的证书颁发机构和中间证书仍会分配给 CPU 或 CP。 删除伙伴设备证书表中的证书时，只会删除证书与全局证书管理器的链接。因此，该证书对 设备不再可用，但仍保存在全局证书管理器中。需要时，如果从全局证书管理器中将该证书。