• صفحه اصلی
  • اخبار
  • مدیریت به‌روزرسانی OT استاندارد IEC 62443 برای فایروال‌های Schneider Modicon M580 و Phoenix Contact mGuard

مدیریت به‌روزرسانی OT استاندارد IEC 62443 برای فایروال‌های Schneider Modicon M580 و Phoenix Contact mGuard

IEC 62443 OT Patch Management for Schneider Modicon M580 and Phoenix Contact mGuard Firewalls

یک روند عملی مدیریت وصله مطابق با IEC 62443-2-3 برای PLCهای Schneider Modicon M580 و فایروال‌های Phoenix Contact FL mGuard RS4000 — شامل امتیازدهی ریسک CVSS، مراحل آزمایش مرحله‌ای، پروتکل‌های بازگشت به عقب و مستندسازی کنترل تغییرات.

چرا مدیریت وصله در OT با IT متفاوت است

به‌روزرسانی یک سرور IT چند دقیقه طول می‌کشد. به‌روزرسانی یک PLC در حال کار در یک کارخانه فرآیندی می‌تواند باعث توقف تولید شود. IEC 62443-2-3 مستقیماً به این تفاوت می‌پردازد. این استاندارد مدیریت وصله را به عنوان یک فرآیند چرخه عمر مستمر تعریف می‌کند، نه یک رویداد یک‌باره. این استاندارد از مالکان دارایی می‌خواهد قبل از اعمال هر وصله‌ای، ریسک را ارزیابی کنند. امتیازدهی CVSS نسخه 3.1 پایه‌ای کمی برای اولویت‌بندی فراهم می‌کند.

آسیب‌پذیری‌های فریم‌ور Schneider Modicon M580 به طور منظم در پایگاه داده ICS-CERT ADVISORIES ظاهر می‌شوند. در سال ۲۰۲۴، سه اطلاعیه بر نسخه‌های فریم‌ور M580 زیر 3.30 تأثیر گذاشتند. بحرانی‌ترین آن‌ها به امتیاز CVSS 9.8 رسید. Phoenix Contact FL mGuard RS4000 نیز در همان دوره دو اطلاعیه داشت. هر دو سیستم در شبکه‌های EtherNet/IP سطح ۲ در کارخانه‌های فرآیندی قرار دارند. وصله‌گذاری یکی از آن‌ها بر اتصال EtherNet/IP CIP به کل شبکه I/O تأثیر می‌گذارد. بنابراین، یک روند ساختاریافته از ریسک کنترل‌نشده جلوگیری می‌کند.

ارزیابی ریسک وصله و امتیازدهی CVSS

قبل از هر اقدام وصله، اطلاعیه را با چهار معیار ارزیابی کنید: امتیاز پایه CVSS، برد حمله، قابلیت بهره‌برداری و تأثیر بر دسترسی. امتیاز بالای ۷.۰ نیازمند اقدام ظرف ۳۰ روز است. امتیاز بالای ۹.۰ نیازمند وصله اضطراری ظرف ۷۲ ساعت است.

برای اطلاعیه‌های M580 از سرویس PSIRT شرکت Schneider Electric استفاده کنید. برای اطلاعیه‌های mGuard از پرتال امنیتی Phoenix Contact بهره ببرید. هر دو امتیازهای CVSS تأیید شده توسط فروشنده و مراحل رفع را منتشر می‌کنند.

علاوه بر این، کنترل‌های جبرانی موجود را ارزیابی کنید. اگر mGuard در حال حاضر پورت UDP 502 را از بیرون مسدود کرده باشد، آسیب‌پذیری Modbus در M580 قابلیت بهره‌برداری شبکه را کاهش می‌دهد. امتیاز ریسک مؤثر را تنظیم کرده و کنترل‌های جبرانی را در ثبت ریسک IEC 62443-2-1 مستند کنید.

روند آزمایش مرحله‌ای وصله

هرگز به‌روزرسانی فریم‌ور را مستقیماً روی M580 یا mGuard در حال تولید اعمال نکنید. از رویکرد مرحله‌ای استفاده کنید: اعتبارسنجی در آزمایشگاه، محیط مرحله‌بندی، سپس تولید. مراحل زیر را دنبال کنید:

  • مرحله ۱: بسته فریم‌ور M580 را از پرتال Schneider Electric Exchange دانلود کنید. هش SHA-256 را با مقدار منتشر شده تطبیق دهید. هش را در تیکت کنترل تغییر ثبت کنید. برای فریم‌ور FL mGuard، از مرکز نرم‌افزاری Phoenix Contact دانلود کرده و چک‌سام MD5 را تأیید کنید.
  • مرحله ۲: فریم‌ور را روی یک واحد M580 مشابه در آزمایشگاه تست اعمال کنید. از Unity Pro XL یا EcoStruxure Control Expert برای انتقال فریم‌ور از طریق پورت سرویس USB با سرعت ۱۱۵۲۰۰ بیت بر ثانیه استفاده کنید. نوار پیشرفت انتقال را زیر نظر داشته باشید. کل زمان انتقال حدود ۸ دقیقه برای یک تصویر کامل فریم‌ور M580 BME P58 1020 است.
  • مرحله ۳: پس از انتقال، نسخه فریم‌ور را در EcoStruxure Control Expert در بخش PLC — Properties — Processor Version بررسی کنید. تأیید کنید که با نسخه هدف جدول رفع اطلاعیه مطابقت دارد.
  • مرحله ۴: پروتکل آزمایش عملکردی را اجرا کنید. یک تست چرخه I/O خودکار ۴ ساعته انجام دهید. پیام‌رسانی ضمنی EtherNet/IP CIP به تمام آداپتورهای I/O راه دور را تأیید کنید. RPI (فاصله بسته درخواستی) را روی ۱۰ میلی‌ثانیه با عدم وجود هشدارهای قطع اتصال تأیید کنید.
  • مرحله ۵: برای mGuard، قبل از وصله‌گذاری، نسخه پشتیبان از قوانین فایروال فعلی تهیه کنید. در رابط وب mGuard به Management — Configuration Profiles — Export بروید. فایل پشتیبان .tar.gz را روی سرور مدیریت تغییر ذخیره کنید. به‌روزرسانی فریم‌ور را از طریق HTTPS (پورت ۴۴۳) اعمال کنید. پس از راه‌اندازی مجدد، اطمینان حاصل کنید که همه قوانین مسیریابی VLAN و پیکربندی تونل IPsec دست‌نخورده باقی مانده‌اند.
  • مرحله ۶: نتایج آزمایش را در رکورد کنترل تغییر مستند کنید. شامل تصاویر قبل و بعد از نسخه فریم‌ور و تعداد قوانین فایروال باشد. قبل از برنامه‌ریزی وصله‌گذاری در تولید، تأیید مالک فرآیند و مسئول امنیت OT را دریافت کنید.

تقسیم‌بندی VLAN و بازبینی سیاست فایروال mGuard

Phoenix Contact FL mGuard RS4000 از بازرسی بسته حالت‌دار و برچسب‌گذاری VLAN 802.1Q پشتیبانی می‌کند. در معماری معمول کارخانه، M580 در VLAN 10 (سطح ۲) قرار دارد. تاریخچه‌نگار و ایستگاه‌های کاری در VLAN 20 (سطح ۳) هستند. mGuard مرز VLAN 10/20 را اعمال می‌کند.

قبل از وصله‌گذاری، قوانین فایروال را برای پورت‌های باز غیرضروری بررسی کنید. پیکربندی‌های نادرست رایج شامل موارد زیر است:

  • TCP 102 (S7) بدون محدودیت از VLAN 20 به VLAN 10 — مسدود کنید مگر دسترسی Siemens PG/PC لازم باشد
  • UDP 44818 (EtherNet/IP I/O) به صورت دوطرفه باز — محدود به جفت‌های IP خاص M580 و آداپتور
  • TCP 80 (HTTP) به رابط mGuard از VLAN 20 — جایگزین با TCP 443 فقط HTTPS
  • ICMP بدون محدودیت — محدود به echo-request فقط از IP تاریخچه‌نگار OT

ثبت اتصال mGuard را برای SIEM syslog از طریق UDP 514 به VLAN 30 فعال کنید. به عنوان بخشی از اعتبارسنجی پس از وصله، تداوم syslog را تأیید کنید. ماژول شبکه BMENOC0311 Modicon M580 از اتصال EtherNet/IP پشتیبانی می‌کند که باید پس از هر تغییر سیاست فایروال بررسی شود.

اجرای وصله در تولید و پروتکل بازگشت به عقب

وصله‌گذاری در تولید را در یک پنجره نگهداری برنامه‌ریزی شده انجام دهید. M580 را به حالت دستی منتقل کنید. اطمینان حاصل کنید که همه حلقه‌های PID پایدار هستند. یک اپراتور اختصاصی برای پنجره ۱۵ دقیقه‌ای وصله‌گذاری تعیین کنید.

فریم‌ور M580 را از طریق EcoStruxure Control Expert با استفاده از پورت مدیریت اترنت منتقل کنید. از پورت Modbus TCP 502 برای انتقال فریم‌ور استفاده نکنید. M580 به طور خودکار راه‌اندازی مجدد می‌شود. راه‌اندازی مجدد ۴۵ تا ۶۰ ثانیه طول می‌کشد. قبل از آزاد کردن کنترل دستی، تأیید کنید که LED RUN به رنگ سبز ثابت است.

برای بازگشت به عقب، از منوی Control Expert — PLC — Restore Previous Version استفاده کنید. این روند ۶ دقیقه طول می‌کشد. در تأییدیه کنترل تغییر، پذیرش ۱۰ دقیقه زمان توقف کل کارخانه را تأیید کنید. برای بازگشت mGuard، پروفایل ذخیره شده .tar.gz را از طریق Management — Configuration Profiles — Import وارد کنید. همه قوانین فایروال ظرف ۹۰ ثانیه بازیابی می‌شوند. اتصال EtherNet/IP به Modicon X80 EIO Drop Adapter بلافاصله پس از بازیابی تأیید شود.

نتیجه‌گیری و توصیه‌های عملی

مدیریت وصله IEC 62443-2-3 برای سیستم‌های OT نیازمند انضباط است، نه سرعت. وصله‌ها را با استفاده از CVSS نسخه 3.1 تنظیم شده برای کنترل‌های جبرانی اولویت‌بندی کنید. هر به‌روزرسانی فریم‌ور را ابتدا در آزمایشگاه اعتبارسنجی کنید. قبل از هر به‌روزرسانی، قوانین فایروال mGuard را پشتیبان‌گیری کنید. با پیش‌مرحله‌بندی فریم‌ور و آماده‌سازی پروتکل‌های بازگشت به عقب، زمان توقف تولید را به حداقل برسانید. در هر چرخه وصله، قوانین فایروال را برای بستن پورت‌های غیرضروری بازبینی کنید. همه اقدامات را با سوابق قبل و بعد که توسط مسئول امنیت OT امضا شده‌اند، مستند کنید. این روند نصب‌های Schneider Modicon M580 و Phoenix Contact mGuard را بدون به خطر انداختن دسترسی تولید امن نگه می‌دارد.

نویسنده: ژانگ هوا، مهندس اتوماسیون صنعتی با بیش از ۱۰ سال تجربه در PLC، DCS و سیستم‌های کنترل.

بازگشت به وبلاگ
نمایش همه
پست های وبلاگ
نمایش همه
Why RTD Sensors Must Be Installed Downstream of Orifice Plates
Marcus Chen

چرا حسگرهای RTD باید در پایین‌دست صفحات اوریفیس نصب شوند

نصب یک RTD در بالادست صفحه اوریفیس باعث اختلال در خوانش فشار تفاضلی به دلیل ایجاد گردابه‌های ترموول می‌شود. این مقاله فیزیک خیابان گردابه فون کارمان، الزامات نصب در پایین‌دست طبق استانداردهای ISO 5167 و ASME MFC-3M، قانون حداقل فاصله ۵D، تطابق فرکانس بیدار شدن ترموول و یک روش نصب ۷ مرحله‌ای برای مجموعه‌های ترکیبی صفحه اوریفیس و RTD را توضیح می‌دهد.
Vortex Flow Meter: Working Principles, Selection Criteria, and Field Commissioning
Zhang Haowen

فلومتر ورتکس: اصول کار، معیارهای انتخاب و راه‌اندازی میدانی

یک فلومتر گردابی بر اساس اصل ریزش گرداب فون کارمان عمل می‌کند و دقت بلندمدت عالی در خدمات بخار، گاز و مایعات با ویسکوزیته پایین بدون قطعات متحرک ارائه می‌دهد. این راهنما شامل فیزیک عدد استروهال، محدودیت‌های عدد رینولدز، اندازه‌گیری فلومتر، نیازهای مسیر مستقیم برای ABB VortexMaster FSV430 و مراحل راه‌اندازی میدانی برای یکپارچه‌سازی فرمان‌دهنده توربین Woodward است.
Thermocouple Wiring, Standards, and Troubleshooting: A Practical Field Guide
Chen Liangwei

سیم‌کشی ترموکوپل، استانداردها و عیب‌یابی: راهنمای عملی میدانی

اندازه‌گیری دقیق ترموکوپل نیازمند انتخاب نوع صحیح، سیم توسعه هماهنگ و جبران اتصال سرد قابل اعتماد است. این راهنما شامل کدهای نوع IEC 60584 و دامنه‌های کاربردی، انتخاب سیم توسعه و کابل جبران‌کننده، ترمینال‌های Phoenix Contact WTOP CJC، پیکربندی Yokogawa YTA110 CJC و تشخیص سیستماتیک خطا برای مدار باز، اتصال کوتاه و انحراف کالیبراسیون می‌باشد.
لیست محصولات پیشنهادی
کارت شارم ایزوله امرسون KL3105X1-LS1 12P6551X032
کارت شارم ایزوله امرسون KL3105X1-LS1 12P6551X032

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
ماژول ورودی آنالوگ هارت امبرسون DeltaV KL3021X1-LS1، جریان 4–20 میلی‌آمپر
ماژول ورودی آنالوگ هارت امبرسون DeltaV KL3021X1-LS1، جریان 4–20 میلی‌آمپر

Emerson
امرسون DeltaV KL3003X1-BA1 ماژول CHARM ورودی دیجیتال 24 ولت DC تماس خشک
امرسون DeltaV KL3003X1-BA1 ماژول CHARM ورودی دیجیتال 24 ولت DC تماس خشک

Emerson
ماژول ورودی دیجیتال ایزوله امرسون DeltaV KL3005X1-LS1
ماژول ورودی دیجیتال ایزوله امرسون DeltaV KL3005X1-LS1

Emerson
KL4510X1-EA1 | امرسون دلتاوی | ترمینال آدرس I.S. CHARM
KL4510X1-EA1 | امرسون دلتاوی | ترمینال آدرس I.S. CHARM

Emerson
ترمینال بلاک ایمنی امرسون دلتاوی مدل CHARM شماره قطعه: KL4510X1-DA1
ترمینال بلاک ایمنی امرسون دلتاوی مدل CHARM شماره قطعه: KL4510X1-DA1

Emerson
ماژول توان CSLS امرسون DeltaV KL1501X1-BA1
ماژول توان CSLS امرسون DeltaV KL1501X1-BA1

Emerson
KL3003X1-LS1 | امرسون دلتاوی | LS DI 24 ولت جریان مستقیم تماس خشک CHARM
KL3003X1-LS1 | امرسون دلتاوی | LS DI 24 ولت جریان مستقیم تماس خشک CHARM

Emerson
ماژول CHARM ورودی RTD/مقاومت امرسون KL3031X1-BA1
ماژول CHARM ورودی RTD/مقاومت امرسون KL3031X1-BA1

Emerson
ماژول PLC میکرو سری 90 مدل GE Fanuc IC693UAA003
ماژول PLC میکرو سری 90 مدل GE Fanuc IC693UAA003

GE
ماژول خروجی منطق مثبت GE Fanuc RX3i IC694MDL730 12/24VDC
ماژول خروجی منطق مثبت GE Fanuc RX3i IC694MDL730 12/24VDC

GE