SIEMENS西门子 S-1FL2中惯量型电机 1FL2 203-2AG11-1SC0

                    安全统计选项 (iec 60870-5-101/104) 安全统计数据(iec 60870-5-101/104) 下表包含符合 iec/ts 60870-5-7 和 iec/ts 62351-5的安全统计选项，可针对不同遥控连接 分段进行组态。 选项 (iec) 可在 iec 连接的“第 1路径选项”(options 1st path)/“第 2 路径选项”(options 2nd path) 参数 组中找到以下参数。调用间隔 以下参数定义了主站对站的特殊调用间隔 (cause of transmission 20 - 41)。所有参数都被组态为“基本轮询间隔”的倍数（请参见主站）。 • 一般请求间隔 定义应答主站的一般请求的时间间隔。 • 组请求间隔定义应答相应的主站组请求的时间间隔。 • 计数器的一般请求间隔 定义应答主站计数器的一般请求的时间间隔。 • 计数器的组请求间隔定义应答相应的主站计数器的组请求的时间间隔。 用户可以定义关于是否应答一般请求的设置，以及对数据点组态中每个单独数据点的组请求 分配。带 3 个服务器的冗余 dnp3 主站组 与三个服务器的 dnp3 连接 通过连接到冗余控制中心，一个通信模块多可以同时与主站建立2 个连接。 在特定连接组态的情况下，如果冗余组的两个连接之一发生故障，则作为分站的模块可以与 第三个服务器建立连接。组态站模块 •取消激活“ip 地址检查”(ip address check) 参数 – 对于站的通信模块，打开参数组“以太网接口 >gaoji选项 > dnp3 站设置”(ethernet interface > advanced options> settings dnp3 station)。 – 将“ip 地址检查”(ip address check)选项设置为“不检查 ip 地址”(do not check ip address)。 在此设置中，不会检查通信伙伴的 ip地址。这可确保网络中任何使用主站的 dnp3 站地 址组态的站都可以连接到站模块，而无论其 ip 地址如何。 创建连接 1.通过通信模块和网络创建站，连接各站并组态组件。 请勿为三个主站创建任何站。在 step 7中，这些主站在遥控连接编辑器中组态为“第三方设 备”(third-party device)。 2. 在“网络数据”(networkdata) 任务卡中与 cp 创建两个 dnp3 连接。 3. 在“网络数据 > telecontrol >dnp3”(network data > telecontrol > dnp3) 任务卡中与站模块 创建两个 dnp3连接。 两个连接段几乎完全相同，但是“终接口（冗余）”(end interface (red.)) 参数的组态有所 不同：两个连接段具有以下组态： • section_1 – 起点 (starting point)：通信模块 (outstation) –“起始接口”(start interface)：模块的以太网接口 – “起始接口（冗余）”(start interface(red.))：模块的以太网接口 – 端点 (end point)：第三方设备 – “终接口”(endinterface)：主站 1 接口的 ip 地址 – “终接口（冗余）”(end interface(red.))：主站 2 接口的 ip 地址 • section_2 – 起点 (starting point)：通信模块(outstation) – “起始接口”(start interface)：模块的以太网接口 – “起始接口（冗余）”(startinterface (red.))：模块的以太网接口 – 端点 (end point)：第三方设备 – “终接口”(endinterface)：主站 1 接口的 ip 地址 – “终接口（冗余）”(end interface(red.))：主站 3 接口的 ip 地址 下图显示了三个冗余主站的连接表示例。

                 启用这些选项后，通信模块（站）将安全统计事件发送给主模块，以进行进一步评估。基于这些事件的频率可得出关于系统可能存在漏洞或遭受攻击的结论。 安全统计选项 如果使用 secureauthentication，则站会保留不同值的统计数据。 事件通过 asdu 类型"information 41"(integrated total for the statistic)传送。 下表列出了模块支持的符合 iec/ts 62351-5标准的统计参数。 • 阈值 (threshold) 可以为每个统计值组态一个阈值。如果超出该阈值，则会触发向伙伴传送事件的行为。值范围是 0...65535。 该值设置为 0（零）时，将禁用此功能。如果该值有问题，则不会传送相应统计数据。cpu与遥控模块之间的通信 cp：通过背板总线进行通信 如果 cpu 和遥控 cp 位于同一机架中，则它们之间的通信通过背板总线进行。cpu会自动分 配给遥控 cp。tim 1531 irc：通过以太网与 cpu 进行 tls 通信 tim 1531irc 未插入 cpu 的机架中，而是插入单独的机架中。与 cpu 的连接通过以太网进行， 并通过 tls针对所有可用的遥控协议使用安全通信。 对于通过 tls 进行的通信，需要使用新创建的 cpu证书并将其指定给“用户数”(subscriber numbers) 参数组中的 tim。为 cpu 创建证书并将 tim 分配给cpu 时，会自动输入证书。 创建 cpu 证书并指定 cpu 要求 要创建和分配证书，必须满足以下要求： • 作为 step 7项目用户，至少拥有“net administrator”角色的权限。 更多相关信息，请参见“安全设置 > 用户和角色> 已分配角色”(security settings > users and roles > assignedroles)。 • 设备具有所需的低固件版本，请参见上文。 • cpu 的组态数据受到保护。 更多相关信息，请参见“保护与安全> 机密 plc 组态数据保护”(protection & security > protection ofconfidential plc configuration data) 要将本地 cpu 指定给tim 1531 irc，必须满足以下要求： • cpu 与 tim 1531 irc已连接网络。 • 在“通信类型”(communication types) 下为 tim 启用了所需的遥控协议。 simaticnet 设备的证书 simatic net 通信模块通常使用全局证书管理器。相关信息，请参见项目导航中“安全设置 >安全功能”(security settings > security features)。 创建 cpu 证书 首先，需要为cpu 创建一个由系统生成的证书（step 7 项目的全局证书管理器）。cpu 本 地创建的证书不能用于通信。 将 cpu 分配给tim（见下文）后，新创建 cpu 证书的 id 会自动输入到以下位置： • tim 的“用户编号”(subscribernumbers) 对话框中 • 在 tim 的证书管理器中作为合作伙伴证书请按以下步骤创建 cpu 证书： 1. 为 cpu选择参数组“保护与安全 > 证书管理器 > 全局安全设置”(protection & security >certificate manager > global security settings)。 2.启用“使用证书管理器的全局安全设置”(use global security settings for the certificatemanager) 选项。 注意： 启用该选项后，将删除现有证书。 3. 转至“保护与安全 > 连接机制 > 与 tiaportal 和 hmi 通信”(protection & security > connection mechanisms> communication to tia portal and hmi) 4. 在“plc 通信证书”(plccommunication certificate) 行中，右键单击相应图标以打开下拉列表。 5.在打开的下拉列表中单击“添加”(add)。 将打开包含以下选项的“创建证书”(create certificate)对话框，其中包括： – 用途 (usage)：tls client / server – 认证机构 (ca) (certificateauthority (ca))由认证机构签发 (signed by certification authority) – 主题的公用名(common name of subject)：所选 cpu 的名称 – 加密方法 (encryption method)： ec– 散列算法 (hash algorithm)： sha256 必要时，可以在“主题备用名称 (san)”(subjectalternative name (san)) 下为 cpu 添加其它 地址类型。 6. 保留设置并单击“确定”(ok)。 新创建的tls 证书与 cpu 的“tlsserver”服务一起显示在设备证书表中。 7. 在项目导航中打开全局证书管理器： “安全设置> 安全功能 > 证书管理器 > 设备证书”(security settings > securityfeatures > certificate manager > device certificates) 8.选择新创建的 cpu 证书（id 见上文），然后打开“分配”(assign) 快捷菜单。 9. 在列表中，选择应分配 cpu 的tim。 10.在（“未分配”(not assigned)）单元格的“使用方式”(used as) 行中，选择“受信任的证书”(trusted certificate) 选项并单击绿色复选标记。 11.单击“确定”(ok) 关闭对话框。 将 cpu 分配给tim 1531 irc 1. 对于要与 cpu 通信的 tim，打开“用户数”(subscribernumbers) 参数组。 2. 在“已分配的 cpu”(assigned cpu) 行中，右键单击相应图标以打开下拉列表。将打开已连接网络的 cpu 的列表。 3. 选择要分配给 tim 的 cpu，然后单击其下方的绿色复选标记。 cpu的名称即显示在“已分配 cpu”(assigned cpu) 行中。 同时，之前为 cpu 创建的证书 id会自动显示在“通信证书”(communication certificate)行中。 更多组态然后将其它站组态为通信伙伴和相应的遥控连接。