OPC UA
OPC UA 是什么?
OPC UAOPC 统一架构,面向服务的工业协议,内置认证与加密,用于在 OT 和 IT 系统之间交换语义化数据。
OPC UA (Unified Architecture, IEC 62541) 是经典 OPC 的现代继任者,也是工业自动化中主流的安全互操作标准。它对外提供面向对象的语义信息模型,支持基于 TCP、HTTPS 或 MQTT 的客户端-服务器与发布-订阅两种交互模式,可覆盖从现场设备到云端分析的各层级。与 Modbus 或 DNP3 不同,OPC UA 默认提供基于 X.509 证书的认证、按角色的授权、消息签名以及 AES 加密。配置不当仍然是主要风险:匿名端点、证书校验薄弱、暴露的发现服务、过时的协议栈,都曾在渗透测试和真实攻击中被利用,因此安全部署需要可靠的 PKI 和明确的安全策略。
● 示例
- 01
MES 通过签名与加密的 OPC UA 会话从 PLC 读取标签值。
- 02
云端分析平台通过 OPC UA 发布-订阅 (基于 MQTT) 接收生产数据。
● 常见问题
OPC UA 是什么?
OPC 统一架构,面向服务的工业协议,内置认证与加密,用于在 OT 和 IT 系统之间交换语义化数据。 它属于网络安全的 OT / ICS / 物联网 分类。
OPC UA 是什么意思?
OPC 统一架构,面向服务的工业协议,内置认证与加密,用于在 OT 和 IT 系统之间交换语义化数据。
OPC UA 是如何工作的?
OPC UA (Unified Architecture, IEC 62541) 是经典 OPC 的现代继任者,也是工业自动化中主流的安全互操作标准。它对外提供面向对象的语义信息模型,支持基于 TCP、HTTPS 或 MQTT 的客户端-服务器与发布-订阅两种交互模式,可覆盖从现场设备到云端分析的各层级。与 Modbus 或 DNP3 不同,OPC UA 默认提供基于 X.509 证书的认证、按角色的授权、消息签名以及 AES 加密。配置不当仍然是主要风险:匿名端点、证书校验薄弱、暴露的发现服务、过时的协议栈,都曾在渗透测试和真实攻击中被利用,因此安全部署需要可靠的 PKI 和明确的安全策略。
如何防御 OPC UA?
针对 OPC UA 的防御通常结合技术控制与运营实践,详见上方完整定义。
OPC UA 还有哪些其他名称?
常见的别称包括: OPC Unified Architecture, IEC 62541。
● 相关术语
- ot-iot№ 702
Modbus
一种简单、公开规范的工业协议,用于在 PLC、RTU 和现场设备上轮询线圈和寄存器,可基于串行 (RTU/ASCII) 或 TCP 运行。
- ot-iot№ 334
DNP3
Distributed Network Protocol 3,事件驱动的 ICS 协议,广泛用于电力、水务、油气行业的 SCADA 主站与远程站点之间通信。
- ot-iot№ 863
PROFINET
由 PROFIBUS & PROFINET International 标准化的工业以太网协议,用于 PLC、驱动器和现场设备之间的实时通信。
- ot-iot№ 529
工业控制系统 (ICS)
用于自动化和监控工业过程的系统统称,包括 SCADA、DCS、PLC、RTU 和安全控制器。
- ot-iot№ 513
IEC 62443
面向工业自动化与控制系统网络安全的 IEC 标准族,覆盖资产所有者、系统集成商和产品供应商等角色。
- ot-iot№ 762
运营技术 (OT)
用于监控和控制物理过程、设备和基础设施(如工厂、发电厂和公用事业)的硬件与软件。