• Mājas
  • Jaunumi
  • IEC 62443 OT ielāpu pārvaldība Schneider Modicon M580 un Phoenix Contact mGuard ugunsmūriem

IEC 62443 OT ielāpu pārvaldība Schneider Modicon M580 un Phoenix Contact mGuard ugunsmūriem

IEC 62443 OT Patch Management for Schneider Modicon M580 and Phoenix Contact mGuard Firewalls

Praktiska IEC 62443-2-3 atbilstoša ielāpu pārvaldības darba plūsma Schneider Modicon M580 PLC un Phoenix Contact FL mGuard RS4000 ugunsmūriem — ieskaitot CVSS riska novērtējumu, pakāpeniskas testēšanas procedūras, atjaunošanas protokolus un izmaiņu kontroles dokumentāciju.

Kāpēc OT ielāpu pārvaldība atšķiras no IT

IT servera ielāpošana aizņem minūtes. Darbojoša PLC ielāpošana procesā var izraisīt ražošanas apturēšanu. IEC 62443-2-3 tieši risina šo atšķirību. Standarts definē ielāpu pārvaldību kā nepārtrauktu dzīves cikla procesu, nevis vienreizēju notikumu. Standarts prasa aktīvu īpašniekiem novērtēt risku pirms jebkādas ielāpa piemērošanas. CVSS v3.1 novērtējums nodrošina kvantitatīvu prioritāšu noteikšanas pamatu.

Schneider Modicon M580 programmaparatūras ievainojamības regulāri parādās ICS-CERT ADVISORIES datubāzē. 2024. gadā trīs brīdinājumi ietekmēja M580 programmaparatūras versijas zem 3.30. Kritiskākais sasniedza CVSS 9.8. Phoenix Contact FL mGuard RS4000 bija divi brīdinājumi tajā pašā periodā. Abi sistēmas darbojas EtherNet/IP 2. līmeņa tīklos procesā. Ielāpošana vienā ietekmē EtherNet/IP CIP savienojamību visam I/O tīklam. Tāpēc strukturēta procedūra novērš nekontrolētu risku.

Ielāpa riska novērtējums un CVSS vērtēšana

Pirms jebkādas ielāpa darbības novērtējiet brīdinājumu pēc četriem kritērijiem: CVSS pamatvērtējums, uzbrukuma vektors, izmantojamība un pieejamības ietekme. Vērtējums virs 7.0 prasa rīcību 30 dienu laikā. Vērtējums virs 9.0 prasa steidzamu ielāpošanu 72 stundu laikā.

Izmantojiet Schneider Electric PSIRT pakalpojumu M580 brīdinājumiem. Izmantojiet Phoenix Contact Security Portal mGuard brīdinājumiem. Abi publicē ražotāja apstiprinātas CVSS vērtības un labojumu soļus.

Turklāt novērtējiet esošos kompensējošos kontroles pasākumus. Ja mGuard jau bloķē UDP portu 502 ārēji, Modbus ievainojamība M580 tīklā ir samazināta. Pielāgojiet efektīvo riska vērtējumu un dokumentējiet kompensējošos pasākumus IEC 62443-2-1 riska reģistrā.

Pakāpeniska ielāpa testēšanas procedūra

Nekad nepiemērojiet programmaparatūras atjauninājumu tieši ražošanas M580 vai mGuard ierīcē. Izmantojiet pakāpenisku pieeju: laboratorijas validācija, sagatavošanas vide, pēc tam ražošana. Veiciet šādas darbības:

  • 1. solis: Lejupielādējiet M580 programmaparatūras pakotni no Schneider Electric Exchange portāla. Pārbaudiet SHA-256 hešu pret publicēto vērtību. Ierakstiet hešu izmaiņu kontroles biļetē. FL mGuard programmaparatūrai lejupielādējiet no Phoenix Contact Software Center un pārbaudiet MD5 kontrolsummu.
  • 2. solis: Uzklājiet programmaparatūru identiskai M580 vienībai testu laboratorijā. Izmantojiet Unity Pro XL vai EcoStruxure Control Expert, lai veiktu programmaparatūras pārsūtīšanu caur USB servisa portu ar ātrumu 115 200 baiti sekundē. Uzraugiet pārsūtīšanas progresu. Kopējais pārsūtīšanas laiks ir aptuveni 8 minūtes pilnai M580 BME P58 1020 programmaparatūras attēlam.
  • 3. solis: Pēc pārsūtīšanas pārbaudiet programmaparatūras versiju EcoStruxure Control Expert sadaļā PLC — Īpašības — Procesora versija. Apstipriniet, ka tā atbilst mērķa versijai no brīdinājuma labojumu tabulas.
  • 4. solis: Veiciet funkcionālu testēšanas protokolu. Veiciet 4 stundu automatizētu I/O cikla testu. Pārbaudiet EtherNet/IP CIP netiešo ziņojumapmaiņu visiem attālinātajiem I/O adapteriem. Apstipriniet RPI (Pieprasīto paketes intervālu) 10 ms ar bez savienojuma laika pārsniegšanas trauksmēm.
  • 5. solis: mGuard gadījumā dublējiet pašreizējo ugunsmūra noteikumu kopu pirms ielāpa piemērošanas. mGuard tīmekļa saskarnē dodieties uz Management — Configuration Profiles — Export. Saglabājiet .tar.gz dublējuma failu izmaiņu pārvaldības serverī. Programmaparatūras atjauninājumu piemērojiet caur HTTPS (ports 443). Pārbaudiet, vai pēc restartēšanas saglabājas visi VLAN maršrutēšanas noteikumi un IPsec tuneļa konfigurācijas.
  • 6. solis: Dokumentējiet testu rezultātus izmaiņu kontroles ierakstā. Iekļaujiet pirms un pēc ekrānuzņēmumus ar programmaparatūras versiju un ugunsmūra noteikumu skaitu. Saņemiet apstiprinājumu no procesa īpašnieka un OT drošības speciālista pirms ražošanas ielāpa plānošanas.

VLAN segmentācija un mGuard ugunsmūra politikas pārskats

Phoenix Contact FL mGuard RS4000 atbalsta stāvokļa paketes inspekciju un 802.1Q VLAN tagošanu. Tipiskā rūpnīcas arhitektūrā M580 atrodas VLAN 10 (2. līmenis). Historian un darba stacijas atrodas VLAN 20 (3. līmenis). mGuard nodrošina VLAN 10/20 robežu.

Pirms ielāpošanas pārskatiet ugunsmūra noteikumu kopu, lai atklātu nevajadzīgi atvērtus portus. Biežākās nepareizas konfigurācijas ir:

  • TCP 102 (S7) neierobežots no VLAN 20 uz VLAN 10 — bloķēt, ja vien nav nepieciešama Siemens PG/PC piekļuve
  • UDP 44818 (EtherNet/IP I/O) atvērts abos virzienos — ierobežot uz konkrētiem M580 un adaptera IP pāriem
  • TCP 80 (HTTP) uz mGuard saskarni no VLAN 20 — aizstāt tikai ar TCP 443 HTTPS
  • ICMP neierobežots — ierobežot tikai uz echo-request no OT historian IP

Ieslēdziet mGuard savienojumu žurnālu SIEM syslog caur UDP 514 uz VLAN 30. Pārbaudiet syslog nepārtrauktību kā daļu no pēcielāpa validācijas. BMENOC0311 Modicon M580 tīkla modulis atbalsta EtherNet/IP savienojamību, kas jāverificē pēc jebkādām ugunsmūra politikas izmaiņām.

Ražošanas ielāpa izpilde un atjaunošanas protokols

Plānojiet ražošanas ielāpošanu plānotā apkopes logā. Pārslēdziet M580 manuālajā režīmā. Apstipriniet, ka visi PID cilpas ir stabilas. Piešķiriet īpašu operatoru 15 minūšu ielāpa logam.

Pārsūtiet M580 programmaparatūru caur EcoStruxure Control Expert, izmantojot Ethernet pārvaldības portu. Nelietojiet Modbus TCP portu 502 programmaparatūras pārsūtīšanai. M580 automātiski restartējas. Restartēšana aizņem 45–60 sekundes. Apstipriniet, ka RUN LED deg zaļi pirms atbrīvojat manuālo kontroli.

Atjaunošanai izmantojiet Control Expert izvēlni — PLC — Restore Previous Version. Šī procedūra aizņem 6 minūtes. Apstipriniet, ka rūpnīca pieņem 10 minūšu kopējo dīkstāves logu izmaiņu kontroles apstiprinājumā. mGuard atjaunošanai importējiet saglabāto .tar.gz profilu caur Management — Configuration Profiles — Import. Visi ugunsmūra noteikumi atjaunojas 90 sekunžu laikā. Nekavējoties pārbaudiet EtherNet/IP savienojamību ar Modicon X80 EIO Drop Adapter pēc atjaunošanas.

Nobeigums un rīcības ieteikumi

IEC 62443-2-3 ielāpu pārvaldība OT sistēmām prasa disciplīnu, nevis ātrumu. Prioritizējiet ielāpus, izmantojot CVSS v3.1, pielāgojot kompensējošos kontroles pasākumus. Validējiet katru programmaparatūras atjauninājumu testu laboratorijā pirms ražošanas. Dublējiet mGuard ugunsmūra noteikumus pirms katra atjauninājuma. Samaziniet ražošanas dīkstāvi, iepriekš sagatavojot programmaparatūru un atjaunošanas procedūras. Pārskatiet ugunsmūra noteikumus katra ielāpa cikla laikā, lai aizvērtu nevajadzīgos portus. Dokumentējiet visas darbības ar sākotnējiem un gala ierakstiem, ko paraksta OT drošības speciālists. Šī darba plūsma nodrošina Schneider Modicon M580 un Phoenix Contact mGuard instalāciju drošību, nezaudējot ražošanas pieejamību.

Autors: Zhang Hua ir rūpnieciskās automatizācijas inženieris ar vairāk nekā 10 gadu pieredzi PLC, DCS un vadības sistēmās.

Atpakaļ uz emuāru
Parādīt visu
Emuāra ziņas
Parādīt visu
Why RTD Sensors Must Be Installed Downstream of Orifice Plates
Marcus Chen

Kāpēc RTD sensorus jāuzstāda aiz orificu plāksnēm

RTD uzstādīšana pirms sprauslas plāksnes bojā diferenciālā spiediena mērījumus, jo termovāles virpuļplūsmas dēļ rodas traucējumi. Šis raksts skaidro fon Kārmaņa virpuļu ielas fiziku, ISO 5167 un ASME MFC-3M prasības par izvietojumu aiz sprauslas plāksnes, 5D minimālās attāluma normas, termovāles aizplūdes frekvences atbilstību un 7 soļu uzstādīšanas procedūru kombinētām sprauslas plāksnes un RTD ierīcēm.
Vortex Flow Meter: Working Principles, Selection Criteria, and Field Commissioning
Zhang Haowen

Vortex plūsmas mērītājs: darbības principi, izvēles kritēriji un lauka nodošana ekspluatācijā

Vortex plūsmas mērītājs darbojas pēc fon Kārmaņa virpuļa atdalīšanās principa, nodrošinot izcilu ilgtermiņa precizitāti tvaika, gāzes un zemas viskozitātes šķidruma mērīšanā bez kustīgām daļām. Šis ceļvedis aptver Stroula skaitļa fiziku, Reilija skaitļa ierobežojumus, mērītāja izmēru izvēli, taisnas caurules prasības ABB VortexMaster FSV430 un lauka nodošanas soļus Woodward turbīnas regulatora integrācijai.
Thermocouple Wiring, Standards, and Troubleshooting: A Practical Field Guide
Chen Liangwei

Termopāru vadi, standarti un problēmu novēršana: praktisks lauka ceļvedis

Precīzai termopāra mērīšanai nepieciešama pareiza tipa izvēle, atbilstoša pagarinājuma vada izvēle un uzticama aukstā savienojuma kompensācija. Šis ceļvedis aptver IEC 60584 tipa kodus un pielietojuma diapazonus, pagarinājuma vadu un kompensējošo kabeļu izvēli, Phoenix Contact WTOP CJC spailes, Yokogawa YTA110 CJC konfigurāciju un sistemātisku kļūdu diagnostiku atvērtā ķēdē, īssavienojumā un kalibrācijas novirzē.
Ieteicamo produktu saraksts
Emerson KL3105X1-LS1 12P6551X032 izolētā šarmu karte
Emerson KL3105X1-LS1 12P6551X032 izolētā šarmu karte

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Emerson DeltaV KL3021X1-LS1 Hart analogā ieejas CHARM modulis, 4–20 mA
Emerson DeltaV KL3021X1-LS1 Hart analogā ieejas CHARM modulis, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC sausās kontaktu CHARM modulis
Emerson DeltaV KL3003X1-BA1 DI 24 VDC sausās kontaktu CHARM modulis

Emerson
Emerson DeltaV KL3005X1-LS1 izolēta digitālā ieejas šarmu modulis
Emerson DeltaV KL3005X1-LS1 izolēta digitālā ieejas šarmu modulis

Emerson
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM adreses terminālis
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM adreses terminālis

Emerson
Emerson DeltaV I.S. CHARM termināļa bloks PN: KL4510X1-DA1
Emerson DeltaV I.S. CHARM termināļa bloks PN: KL4510X1-DA1

Emerson
Emerson DeltaV KL1501X1-BA1 CSLS barošanas modulis
Emerson DeltaV KL1501X1-BA1 CSLS barošanas modulis

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Sauss kontakts CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Sauss kontakts CHARM

Emerson
Emerson KL3031X1-BA1 RTD/Pretestības ieejas CHARM modulis
Emerson KL3031X1-BA1 RTD/Pretestības ieejas CHARM modulis

Emerson
GE Fanuc IC693UAA003 Series 90 Micro PLC modulis
GE Fanuc IC693UAA003 Series 90 Micro PLC modulis

GE
GE Fanuc RX3i IC694MDL730 12/24VDC pozitīvās loģikas izejas modulis
GE Fanuc RX3i IC694MDL730 12/24VDC pozitīvās loģikas izejas modulis

GE