施耐德Quantum PLC设备信息安全解决方案

【解决方案】关于SchneiderQuantumPLC漏洞的解决方案

［编辑简介］：本文分析了目前施耐德Modicon Quantum系列PLC的漏洞，提出多芬诺基于Modbus工业安全插件模式的解决方案，并给出两个具体应用案例。

［关键词］：Schneider Quantum PLC漏洞解决方案

据US-CERT（美国计算机应急响应小组）SB11-360和SB12-037公告称施耐德Modicon Quantum系列PLC存在多项安全漏洞，Tofino全球首席技术总监Eric在2011年12月16日的博客中就提前发布过相关资讯，这为使用Modicon Quantum系列PLC及所有使用Modbus工业协议的用户敲响了安全防护的警钟，从伊朗Stuxnet到Duqu，越来越多的攻击破坏行为正越来越多的指向工业设备，Tofino 以其独创的Modbus工业安全插件模式，为支持Modbus/TCP工业设备提供安全保障。

1 安全漏洞分析

针对目前施耐德Modicon Quantum系列PLC的漏洞，大致可将分为以下两方面。

1.1 Modbus协议功能码90（0x5A）的漏洞

根据Modbus功能码定义（详见附录一），功能码90为用户保留的功能扩展编码段，而非Modbus协议常规的功能码，因此，这一漏洞是施耐德公司Modicon Quantum系列PLC所特有的，此功能码具有启停PLC设备、获取密码信息、图形逻辑代码上传下载等可能直接影响PLC正常运转的高权限行为能力，而实际应用中此功能码可能并非用户所必要。

UNITY_QUANTUM程序工程应用说明

1．工程应用说明

对应普通工程，只有以下程序需要修改：

1)INIT使用说明

INIT程序在PLC每次上电时调用一次，完成初始化功能。

所有DROP功能块的SLOT输入端必须和QUANTUM功能块中CPA模件所在槽位输出(SLOT)连接

每个ERT_85410功能块代表一个ERT模件,按照顺序给每个ERT_85410功能块配置ERT_DATA数组

c)特殊说明

如果ERT模件过多有时会存在某个ERT_85410功能块不能正常工作现象,可试删除该功能块重新配置,下载

3)DUMMY_IO使用说明

DUMMY_IO由MAIN程序实时调用，判断IO信号生成各种虚拟状态点。

DUMMY_PROC负责监视有无控制流程在执行，

DUMMY_PROC完成所有虚拟点的强制功能。

机组LCU中DUMMY_PROC根据虚拟输入点强制测值完成P,Q调节中测量源切换和调节方式切换功能

b)修改说明

b)修改说明

根据实际输入信号产生流程启动条件，如启动条件满足，根据要启动的流程赋值如下: 控制对象－>RECEIVE.OBJECT（事故停机控制对象一般为1）

命令来源－> RECEIVE.SOURCE （注意按钮启动和事故动作启动源不同）

控制性质－> RECEIVE.CMMD （注意和上位机一致）

LCU号－> RECEIVE.LCU_NO

根据不同输入信号产生不同的启动原因码至RECEIVE.REASON

注意控制性质,控制对象必须和上位机，JZ_CTRL中一致

注意启动原因码和启动信号的一致性

6)PID_P,PID_Q使用说明

施耐德电施耐德电气气SOE 模块

（ERT85410Z/ERT85420）说明

140ERT85410Z 及140ERT85420为140ERT85410的升级智能32点输入SOE 模块，事件分辨率能达到1ms 。

硬件：Quantum 140 ERT85410Z ，140 ERT85420智能32点SOE 输入模块。 软件：UnityPro 编程软件、ERT_854_20(基本功能块EFB) 数据格式转换和 事件记录存储程序

限制条件：对于远程IO S908系统，受每个机架最多64个输入字和64个输出字的限制，每个机架最多8个模块，因为每个模板使用8个输入字（比140ERT85410增加一个输入字）和5个输出字。对于QEIO 以太网IO 方案无该字数的限制。

Unity Pro 4.1或5.0需要分别安装一个ERT85410Z 的补丁，Unity Pro 6.0及以后软件可以直接使用。Concept 软件不支持ERT85410Z 和ERT8520模块，而且也无该平台上开发的计划。

ERT85420与ERT85410Z 完全兼容，在Unity Pro7.0平台上增加IRIG-B GPS 校时功能。

1．硬件说明硬件说明：：智能32点SOE 输入模块。

32点逻辑上分为4个独立的可以配置的功能块输入。

二进制输入：将输入值循环发送给 PLC 。

事件输入：为 1、2 或 8 个处理输入记录的已寄存时间的事件，具有 5 字节 的时间寄存器，可存放 4096 个事件的集成 FIFO 缓冲区，由 用户确认 PLC 传输。

图解：I ntouch通过DA server连接施耐德Quantum PLC 1配置好机架。

2.双击打开CPU配置。设置好地址空间。

3勾选内存。

4.新建变量，地址为M100。

5.查看变量属性

6查看变量对应的984地址。

7.启动system management console程序。

8.新建一个TSXQuantum对象。设置IP地址。

9.新建主题名PLC

10.启动服务。

11.打开Intouch界面。新建访问名。

12添加访问名PLC。

13节点名不填，填写程序名、主题名。选择suitelink。

14.新建标记。注意：项目名为变量的984地址。

15新建画面窗口，添加按钮。

16设置按钮动作。

17连接新建的标记。保存并运行画面，点击按钮即可将PLC中的%m100地址置为1.

四种常见品牌冗余PLC方案介绍下面介绍四种经常使用的PLC冗余方案：西门子

S7-300(400)软冗余与S7-400H硬冗余、施耐德Quantum硬冗余、罗克韦尔的ControlLogix硬冗余和SLC500软冗余〔目前快要停产〕、ABB 的AC800M硬冗余方案。

1 西门子冗余方案

1.1 西门子S7-300/400软冗余方案：

软冗余方案是实现冗余功能的一种低本钱解决方案，可以应用于对主备系统切换时间要求不高的控制系统中。其软件、硬件包括：1套STEP7编程软件〔V5.4〕加软冗余软件包(V1.2)；

2套PLC控制器及I/O模块，可以是S7-300或S7-400系统；

3条通讯链路，主系统与从站通讯链路〔PROFIBUS 1〕、备用系统与从站通讯链路〔PROFIBUS 2〕、主系统与备用系统的数据同步通讯链路〔MPI 或PROFIBUS 或Ethernet〕；

假设干个ET200M从站，每个从站包括2个IM153-2接口模块和假设干个I/O模块；

除此之外，还需要一些相关的附件，用于编程和上位机监控的PC-Adapter〔连接在计算机串口〕或CP5611〔插在主板上的PCI槽上〕或CP5511〔插在笔记本的PCMIA槽里〕、PROFIBUS电缆、PROFIBUS 总线链接器等就可以组成一套完整的软冗余系统。

在软冗余系统进行工作时，A、B控制系统〔处理器，通讯、I/O〕

独立运行，由主系统的PLC掌握对ET200从站中的I/O控制权。A、B 系统中的PLC程序由非冗余用户程序段和冗余用户程序段组成，主系统PLC执行全部的用户程序，备用系统PLC只执行非冗余用户程序段，而跳过冗余用户程序段。

施耐德Quantum系列PLC软件与硬件知识点

1.施耐德Quantum系列PLC机架的插槽数为2~16个。

2.Quantum系列PLC的I/O模块可以实现带电的热插拔而不影响其他的控制

单元。

3.为了使PLC控制系统更加可靠稳定的运行，可以选择使用热备系统。

4.Quantum的I/O种类分三种：本地I/O，远程I/O，分布式I/O。

5. 140 CPU 434 12 面板上Mem Prt LED灯显示绿色表示内存写保护，即内

存保护开关激活。

6. 140 CPU 434 12 有三个通信端口：2 Modbus和1 Modbus Plus。

7.140 CPU 434 12 的本地I/O最多两个机架，插槽数不超过27个。

8.140 NOE是以太网网络模块。

9.140 CRP 931/932是远程I/O的主站适配器。

10.140 CRA 931/932是远程I/O的从站适配器。

11.140 CPU 434 12 有2M的内存。

12.Quantum系列PLC的模块可以插入到机架底板的任一插槽中，不过建议把

电源模块插入到底板最外面的插槽处，以便获得更好的散热效果。

13.Quantum系列PLC的远程I/O站之间的连接介质是同轴电缆。

14.Quantum系列PLC的分布式I/O站之间是用双绞线连接的。

15.主站PLC与从站PLC之间可以使用双电缆配置以提供保护，防止电缆出现

故障时造成停机。

16. 三种I/O形式之中只有远程I/O支持热备。

17. 远程I/O中最多有一块CRP，一块CRP模块最多带31块CRA。

Modicon TSX Quantum系列PLC

产品介绍

——Modicon TSX Quantum系列PLC ——

施耐德电气，国际电力及控制专家，潜心致力于民用住宅、建筑、工业、能源及基础设施四大领域，向全球130多个国家和地区的用户提供领先的产品及完善的服务。

[电力] 施耐德电气为电力和配电网提供所有类型的变电站。在整个输配电网络中，从发电厂到大厦、基础设施及工业领域中的最终用户，我们都可以高效率地控制和监测电力系统，优化电能质量并降低成本。

[工业] 施耐德电气向食品、汽车、化工和金属加工厂等工业用户提供广泛、模块化的、新型的自动化设备，为工厂提供最大的灵活性和安全性。我们同样可以为工业领域提供配电设备，来保证安全和不间断地供电。

[基础设施] 施耐德电气为机场、公路、铁路、港口、海运、水处理和分配系统提供先进的解决方案。这些方案符合相关的国际标准，可确保用户安全，使设备更具可用性及可靠性。[建筑]施耐德电气向商店、办公室、旅馆、医院和学校等居民、工业和商业建筑输送和分配电力。我们的产品新颖，使用方便，可使电力更加安全有效。

Modicon TSX 战略产品线

产品系列——控制器

简介：施耐德电气公司推出的世界上第一个通用自动化平台Quantum，是具有强大处理能力的大型控制系统，可以满足大部分离散和过程控制的经济和灵活的硬件控制平台。

Modicon TSX Quantum 系列PLC 电源 电源

I/O面板指示

∙Active灯指示模块的健康状态

∙出错、保险断、I/O点指示

∙模块种类用颜色区分－减

Quantum

1．Quantum远程I/O如果分布于主站的两个方向，是否可行？

可行。常见有两种方案：

（1）RIO处理器上有双电缆端口，在每个RIO分站适配器上有一单电缆端口，这样从RIO处理器的两个电缆端口有两个线性的电缆沿着分开的路线至不同的远程分站装置。干缆的长度和在每一根干缆上的分站数目在这种双电缆系统中不要求保持平衡。在大多数情况下，该两条线路的安装可看作是两个独立的电缆系统。但必须注意在两条线路上的分站总数不得超过由PLC支持的最大分站数目，在两条干缆上的每一个分站要有唯一的RIO网络地址。

（2）采用光纤中继器的光缆拓扑结构也可实现RIO分站分布在主站的两个方向。详细拓扑结构可见《Modicon远程I/O设计和安装手册》。

2．QuantumMB+通讯卡SA85如何连到MB+光纤网络中？

通过光纤中继器490NRP25400连到MB+光纤网络中，在这里光纤中继器起到了介质转换的作用。

3. Quantum热备系统带一个RIO，除配分离器MA-0186-100外，因只有一个RIO，还必须配分支器MA-0185-100吗？

必须配，且在MA-0185-100的干线出口端用干线终端器52-0422-000来终止。

4．4个MODBUS口至1个MODBUS PLUS口的桥多路器NW-BM85-C002，其背面的MODBUS口，物理层是RS-232口，还是RS-485口？

其背面的MODBUS口为RS-232口。

5．在配置Quantum顺序事件记录模板140ERT85410时，常遇到的问题：

（1）多个ERT模板，要配多个GPS接收器（470GPS00100）吗？

UNITY编程软件使用说明

1硬件配置部分

新建一个工程，选择CPU型号：

主插箱配置

按设计文件选择主机架

正确选择机架型号：

双击CPU 模件图片进行下列编辑 配置部分如下：

MODBUS端口设置

热备部分的配置

按设计文件配置网络

IP配置

2网与1网配置方法相同

配置远程IO扩展机架

选择正确的底版型号，方法同主机架选择按工程实际情况配置各类模件

IO模件的配置

ERT模件

ERT模件其他配置部分保持默认状态 DI模件配置

DDO模件配置

ACI模件配置

ACI通道设置

RTD模件配置

ACO模件配置

2 程序的下载

1、工程的第一次下载

1) 用USB口下载

设置地址，如下图所示

然后连接下载

2) 以太网连接

A 利用CPU模件上的MAC地址进行连接；

B 利用热备功能给CPU设置初始地址；

2. 工程实施过程中的下载

1)关于上载信息的处理

选择工具栏里项目设置

在每次断开连接时更新上载信息

在每次工程告一段落时全部下载所有程序

2)下载全部或下载修改部分

下载修改部分不宜太多太频繁，为了防止PLC网络异常中断或PC机异

常导致程序丢失，应在修改比较多的情况下进行一次下载全部操作，以

保证上载信息的正常。另外在修改时应尽可能多的进行保存工作，最好

在不同文件夹内勤做备份。

3 工程文件的备份

1、工程在出所时应备份与PLC相等的程序，并保证PLC的上载信息完全。

在工程出所前对程序进行一次完全下载。

2、在工程出所及现场投运前应备份.XEF文件，此文件对于防止业主或其他人

员勿修改是有必要的。方法如下：

1. 与触摸屏通讯的设置

2. 扩展插槽的CRA模件地址拨码

一. Quanｔum 简介

施耐德电气公司不仅是公认得可编程逻辑控制器(PLC)的发明者,同时也是PLC热备系统技术的发明者和多项工业自动化技术专利的拥有者。在1９６9年,Modｉcon公司推出了世界上第一台实用的可编程逻辑控制器－08４控制器,应用在美国通用汽车公司的喷漆生产线上，从而开创了工业自动化领域中ＰLC应用的崭新的时代。在随后的３0多年的时间里，Ｍoｄｉcoｎ公司作为工业自动化领域里面领先的专业厂商,不断地推动和领导着自动化技术的发展方向和潮流,致力于为全球的用户提供最先进和最可靠的产品以及完整的系统解决方案。

１980年Ｍodicon公司推出了完全开放的Mｏdbus通讯协议,Modbuｓ协议得到了世界上上千家设备厂商的支持,使得Modbｕｓ协议成为当今自动化领域里面事实的通讯标准。1984年Ｍoｄicｏn公司推出了世界上第一台可以热备的PLC-５84控制器，因此Ｍodicon公司在热备系统技术上有着超过１5年的先进的技术和经验。

Quａntum通用自动化系统是施耐德自动化公司于1996年向全球推出,并且经过不断的完善和发展的工业自动化领域里面最新型最先进的的新一代的自动化系统平台。

图１：Quanｔｕｍ自动化平台

Ｑuanｔum通用自动化系统是专门面向过程控制而设计的通用的自动化系统平台，适用于冶金,电力，化工，建材等各行各业的工业控制和自动化领域中，具有强大的对离散量、模拟量及过程回路控制方面的处理能力。Ｑuantum继承和发展了施耐德自动化（Modｉcon)产品一贯的特点和优点,并且融入了当今最新的ＩT技术和网络技术,具有结构灵活、功能强劲、使用简便、性价比高、集成度高、兼容性好,广泛的开放性等众多特点。

施耐德PLC编程应用案例与常见问题解决方案

1.施耐德PLC编程软件自由通讯口设置

以施耐德的SoMachine为例介绍以ICE61163-3为编程标准的PLC编程软件自由通讯口设置。这是以PLC作为数据采集对象常用的通讯方式。

1、设置自由口通讯参数

使用SL1端口，进行基本参数设置

例如M218PLC有SL1和SL2两个串行通讯口，我们选择其中的SL1作为目标对象。SL1采用RJ45接口，制作连接线时注意引脚关系以及电缆屏蔽。

2、接收数据帧格式选择

可以选择起始字符和结束符的方式；可以通过判断数据帧长度的方式；可以通

过帧收到超时（例如设置超时时间为5MS，则在收到最后一个字符后如果5MS

内没有收到其他字符，则判断本帧结束）的方式判断帧的结束（实例中通过接

收10个字节为一帧）

ASCII管理器的配置参数介绍

3、发送寄存器定义为字节的格式

程序及相关数据，使用SEND_RECV_MSG功能块。X5和X7定义为BYTE类型的数组。（ADDM和SEND功能块说明见对应文章）

4、设置发送（示例格式为16进制）

X4=16#0A字节数，发送数据为X5数组里的10个字节

5、设备收到的数据

如下图所示，接收到的十个字节即为数组X5的十个字节

6、设备发送的十个字节数据

7、PLC收到的十个字节保存在接收区X7的是个寄存器中

注意：如果将发送寄存器设置为INT格式，例如发送字寄存器数据16#1234，则设备收到的顺序为16#3412，即高低字节顺序问题。

2.施耐德plc%I %IW %M %MW是什么意思

%I就是开关量输入，%IW就是模拟量输入，%M就是开关量输出，开关量的中间量也用%M，%MW就是模拟量输出，模拟量的中间量也用%MW。

Quantum

1．Quantum远程I/O如果分布于主站的两个方向，是否可行？

可行。常见有两种方案：

（1）RIO处理器上有双电缆端口，在每个RIO分站适配器上有一单电缆端口，这样从RIO处理器的两个电缆端口有两个线性的电缆沿着分开的路线至不同的远程分站装置。干缆的长度和在每一根干缆上的分站数目在这种双电缆系统中不要求保持平衡。在大多数情况下，该两条线路的安装可看作是两个独立的电缆系统。但必须注意在两条线路上的分站总数不得超过由PLC支持的最大分站数目，在两条干缆上的每一个分站要有唯一的RIO网络地址。

（2）采用光纤中继器的光缆拓扑结构也可实现RIO分站分布在主站的两个方向。详细拓扑结构可见《Modicon远程I/O设计和安装手册》。

2．QuantumMB+通讯卡SA85如何连到MB+光纤网络中？

通过光纤中继器490NRP25400连到MB+光纤网络中，在这里光纤中继器起到了介质转换的作用。

3. Quantum热备系统带一个RIO，除配分离器MA-0186-100外，因只有一个RIO，还必须配分支器MA-0185-100吗？

必须配，且在MA-0185-100的干线出口端用干线终端器52-0422-000来终止。

4．4个MODBUS口至1个MODBUS PLUS口的桥多路器NW-BM85-C002，其背面的MODBUS口，物理层是RS-232口，还是RS-485口？

其背面的MODBUS口为RS-232口。

5．在配置Quantum顺序事件记录模板140ERT85410时，常遇到的问题：

（1）多个ERT模板，要配多个GPS接收器（470GPS00100）吗？

QuantumPLC联机下载说明

一. QuantumPLC常见的联机编程方式有两种：

1.第一种是采用USB口进行联机编程

驱动安装：采用这种方式时需有专门的USB编程电缆或者打印机的USB数据线（HP打印机的USB数据线测试过可用），且需在PLC编程软件包的

\UNITY_3.0\DriverPackV2.4\USB\Windows\disk1目录下安装一个USB驱动，

安装完成后用USB电缆连接好PLC，系统会弹出一个查找新硬件驱动的对话框，

点自动搜索安装即可，安装成功且运行正常的话可在电脑右下角的任务栏里看

到一个彩色USB图标。

联机设置：点击菜单栏里的“PLC(P)”菜单，选择“设置地址（A）…”弹出如下对话框：

正常时应如上图圈1所示，编程器为PLC模式，如若非PLC模式而是仿真器模式，则需在上图圈3中切换一下即可（此步操作后需在“生成（B）”菜单下选择“重新生成所有项目（R）”将程序重新生成一下），在PLC模式下时点击圈2所示的下拉菜单，选择介质为“USB”，圈1和圈2之间的地址（A）保持为空，最后点击上图最右边的确定按钮即可。

2.第二种是采用以太网进行联机编程

IP地址设置：采用以太网编程分两种情况，一种是初次下载（CPU内无任何配置），另一种是CPU内已有程序配置

（1）初次下载（CPU内无配置），此时CPU的以太网地址为出厂默认设值：

●若CPU带LCD显示则可在LCD屏上查询CPU内部IP（通过LCD屏夏风

的“↑”“→”按钮选择到Communications，进入查看TCP／IP地址）；