Segurança cibernética

Diretriz de segurança cibernética

Use este produto dentro de um sistema seguro de automação e controle industrial. A proteção total de componentes (equipamentos/dispositivos), sistemas, organizações e redes contra ameaças de ataques cibernéticos requer medidas de mitigação de riscos cibernéticos em várias camadas, detecção antecipada de incidentes e planos de resposta e recuperação adequados quando os incidentes ocorrem. Para obter mais informações sobre segurança cibernética, consulte a Diretriz de segurança cibernética da Pro-face HMI/IPC.

https://www.proface.com/en/download/manual/cybersecurity_guide

ATENÇÃO

POSSÍVEL COMPROMETIMENTO DA DISPONIBILIDADE, INTEGRIDADE E CONFIDENCIALIDADE DO SISTEMA Altere as senhas padrão no primeiro uso para ajudar a evitar o acesso não autorizado às configurações, controles e informações do dispositivo. Desative portas/serviços não utilizados e contas padrão, sempre que possível, para minimizar os caminhos para ataques mal-intencionados. Coloque os dispositivos em rede atrás de várias camadas de defesas cibernéticas (como firewalls, segmentação de rede e detecção e proteção contra invasões de rede). Aplique as atualizações e hotfixes mais recentes ao seu sistema operacional e software. Use as práticas recomendadas de segurança cibernética (por exemplo: privilégio mínimo, separação de tarefas) para ajudar a evitar exposição não autorizada, perda, modificação de dados e registros, interrupção de serviços ou operação não intencional. Não seguir essas instruções poderá resultar em morte, ferimentos graves ou danos ao equipamento.

 

Recursos de segurança fornecidos

Os seguintes recursos de segurança cibernética são fornecidos por este produto. Esses recursos fornecem recursos de segurança que contribuem para proteger o produto contra possíveis ameaças à segurança:

• Segurança (Gestão do usuário)
  O recurso de Segurança protege objetos e telas de usuários não autorizados. Faça login com nome de usuário e senha válidos para acessar objetos protegidos e telas. Você pode acessar um objeto protegido ou tela, somente se você tiver um nível de segurança igual ou maior que o nível de segurança definido para esse objeto ou tela.
  Visão geral
• Gerenciamento de senha (Política de senha complexa, Expiração da senha)
  Você pode selecionar a política de senha complexa do usuário e definir a expiração da senha.
• Configurações do terminal
  Especificar o nível de segurança necessário para transferir o arquivo do projeto e exibir a tela de Configuração de hardware.
  Configurações do terminal
• Registro da operação
  Manter um registro de operações executadas em seu projeto é útil para analisar a causa dos problemas, como confirmar a operação executada antes do erro detectado.
  Visão geral
• Senha do arquivo do projeto (Abrir & Transferir)
  Para adicionar segurança aos projetos, adicione uma senha do projeto, necessária para abrir ou transferir um projeto.
  Prevenindo alterações não autorizadas em um projeto
• Criptografia de banco de dados (Alarme, Registro, Receita, Registro da operação)
  Você pode criptografar o histórico de alarmes salvos, dados de registro, dados de receita e registro de operação no banco de dados.
  Propriedades (Todos os alarmes)
  Propriedades (Registro da operação)
  Propriedades (Todos os registros)
  Propriedades (Controle de receita)
• Detecção de modificação de arquivo de exportação por Código hash
  Você pode verificar o código que é usado para detectar uma modificação em um arquivo exportado utilizando Ferramenta de validação de arquivos de exportação.
  Exportar e importar alarmes
  Exportando e importando configurações de registro e dados de registro
  Exportação dos registros de operações
• Transferência IPsec
  Você pode usar a transferência criptografada IPsec via Ethernet para impedir o acesso não autorizado. A Internet Engineering Task Force (IETF) desenvolveu e projetou a Internet Protocol Security (IPsec) como um conjunto aberto de padrões de protocolo que tornam as sessões de comunicação IP privadas e seguras. Os algoritmos de autenticação e criptografia IPsec exigem chaves criptográficas definidas pelo usuário que processam os pacotes de comunicação em uma sessão IPsec.
  Transferindo um projeto pela Ethernet com o IPsec

Para aplicações seguras

Esta seção explica alguns pontos para configurar aplicações com segurança.

Construir uma rede segura para a prevenção de acesso não autorizado

• Construir um ambiente de comunicação utilizando comunicações criptografadas (ex. VPN). Você pode usar o Pro-face Connect para construir um ambiente de comunicação criptografado.
  Configurar Pro-face Connect
• Verifique se a rede está segura antes de estabelecer a comunicação e se os dados são transferidos através da Ethernet.
• Selecione uma opção de transferência que não seja baseada em comunicação Ethernet (ex. Cabo USB ou Sistema de arquivos).
  Transferindo um projeto por um cabo USB
  Transferindo um projeto com o sistema de arquivos
  Se você precisar da opção de transferência baseada em comunicação Ethernet, recomendamos usar o IPsec.
  Transferindo um projeto pela Ethernet com o IPsec
• Abra a porta para comunicação de dados somente quando você usar o serviço de comunicação.
• Proteja seu PC com um firewall e certifique-se de que ele seja usado em uma rede segura e confiável.
• Instale a unidade do display em uma rede segura e confiável e proteja a unidade do display com um firewall.

• Recomendamos que você use uma política de segurança mais segura baseada em AES ao conectar-se ao servidor OPC UA.
  Conetar ao servidor OPC/UA

• Se você estiver se conectando a um servidor FTP, recomendamos que use FTPS (FTP sobre SSL/TLS).

• Use um servidor FTP ou endereço IP confiável.

Para evitar a falsificação na unidade do display

• Utilize os recursos de segurança.
• Utilize o recurso de encerramento automático de sessão.
• Dar um nível de segurança adequado para desbloquear usuários limitados (permitir apenas usuários com direitos de administrador para desbloquear, e assim por diante).
• A senha não é solicitada para as operações abaixo:
• Bloco de operações do dispositivo externo - Carregar (Armazenamento USB/Cartão SD)
• Bloco de operações do dispositivo externo - Download (Armazenamento USB/Cartão SD)
• Exibir configuração de hardware

Definir o nível de segurança para os Switches que são usados para as operações acima.

• Ao usar o Web Viewer para conectar-se à unidade de display, não toque no botão [***] para exibir a senha. A senha exibida se tornará visível para todas as unidades de display conectadas e clientes do Web Viewer.

Ao usar a Série SP5000 Open Box (Windows 10 IoT Enterprise Model), Série IPC, ou PC/AT

• Use o Runtime somente em um PC confiável.
• Não faça login no Windows com uma conta que tenha direitos de administrador, exceto quando transferir arquivos de projetos ou realizar outras operações que requerem especificamente direitos de administrador.
• Usar os recursos de segurança no Windows (definir uma senha, utilize o recurso de encerramento automático de sessão, etc.).
• Definir senhas seguras e segurança para a conta do administrador do seu projeto.

Para proteger as informações contra alterações

• Proteja seu PC seguindo as melhores práticas de segurança cibernética (antivírus, sistemas operacionais atualizados, medidas de senha segura, software da lista de permissões de aplicativos, etc.) usando as seguintes diretrizes:
  https://www.pro-face.com/trans/en/manual/1087.html
• Gerencie cuidadosamente seus próprios dados.
• Proteja seu projeto adicionando uma senha de projeto.
  Prevenindo alterações não autorizadas em um projeto
• Ao utilizar a opção de transferência baseada no Cabo USB ou Cabo Ethernet, habilite [Configuração de segurança] em [Método de transferência]. Para procedimentos detalhados, consulte o seguinte.
  Transferindo um projeto pela Ethernet com o IPsec
  Transferindo um projeto por um cabo USB
  Transferindo um projeto pela Ethernet
• Não executar software de edição de tela com direitos de administrador do Windows.

• Use um software de edição de tela somente em um PC confiável.