사이버 보안
사이버 보안 지침
이 제품을 안전한 산업 자동화 및 제어 시스템 내부에서 사용하십시오. 구성 요소(장비/장치)와 시스템, 조직, 네트워크를 사이버 공격 위협에서 전면 보호하려면 다중 계층 사이버 위험 완화 조치, 문제 조기 감지, 문제 발생 시 적절한 대응 및 복구 계획 등이 필요합니다. 사이버 보안에 관한 자세한 정보는 Pro-face HMI/IPC 사이버 보안 가이드.
https://www.proface.com/en/download/manual/cybersecurity_guide
|
|
이러한 지침을 따르지 않을 경우 사망하거나 심각한 상해를 입거나 장비가 손상될 수 있습니다. |
경고
제공되는 보안 기능
이 제품은 다음과 같은 사이버 보안 기능을 제공합니다. 이런 기능에는 제품을 잠재적인 보안 위협에서 보호하는 데 도움이 되는 보안 능력이 있습니다.
- 보안(사용자 관리)
보안 기능으로 개체와 화면을 권한이 없는 사용자로부터 보호합니다. 보안 오브젝트와 화면에 액세스하려면 올바른 사용자 이름과 비밀번호를 사용하여 로그인하십시오. 보안 오브젝트나 화면에 액세스할 수는 있지만, 사용자의 보안 레벨이 해당 오브젝트나 화면에 대해 설정된 보안 레벨보다 높거나 같아야 합니다.
개요- 암호 관리(복잡 암호 정책, 암호 만료)
복잡한 사용자 암호 정책을 선택하고 암호 만료를 설정할 수 있습니다. - 대상 설정
프로젝트 파일 전송에 필요한 보안 수준을 지정하고 하드웨어 구성 화면을 표시합니다.
표시기 설정
- 암호 관리(복잡 암호 정책, 암호 만료)
- 작업 로그
프로젝트에서 수행한 작업의 로그를 유지하면 문제의 원인을 분석(예: 오류가 발견되기 전에 수행한 작업을 확인)하는 데 유용합니다.
개요 - 프로젝트 파일 암호(열기 및 전송)
프로젝트에 보안을 추가하려면 프로젝트 암호를 추가합니다. 프로젝트 열기 또는 전송에 필요합니다.
프로젝트에 대한 권한 없는 변경 방지 - 데이터베이스 암호화(알람, 로깅, 레시피, 작업 로그)
데이터베이스에 저장된 알람 기록, 로깅 데이터, 레시피 데이터, 작업 로그를 암호화할 수 있습니다.
속성 (모든 알람)
속성 (오퍼레이션 로그)
속성 (모든 로깅)
속성 (레시피 컨트롤) - 해시 코드로 내보내기 파일 수정 검색
내보내기 파일 유효성 검사 도구를 사용하여 내보낸 파일 내 수정 부분을 검색하는 데 사용되는 코드를 확인할 수 있습니다.
알람 내보내기 및 가져오기
설정 로깅 및 데이터 로깅 내보내기 및 불러오기
오퍼레이션 로그 내보내기 - IPsec 전송
이더넷을 통한 IPsec 암호화 전송을 사용하여 무단 액세스를 방지할 수 있습니다. IETF(국제 인터넷 표준화 기구)는 IP 통신 세션을 개인 및 보안으로 만드는 개방형 프로토콜 표준으로 IPsec(인터넷 프로토콜 보안)를 개발하고 설계했습니다. IPsec 인증과 암호화 알고리즘에는 IPsec 세션에 있는 통신 패킷을 처리하는 사용자 정의된 암호 키가 필요합니다.
IPsec에서 이더넷을 통해 프로젝트를 전송하는 중
IPC 시리즈와 PC/AT는 IPsec 대신 TLS 통신을 사용합니다.
이더넷을 통해 프로젝트 전송 - 의도하지 않은 작동 방지
대용량 파일로 유발되는 성능 문제나 의도하지 않은 작동을 방지하는 데 도움이 되도록 다음 상황에서는 경고가 표시됩니다.
- 500MB가 넘는 프로젝트 파일을 열 때
- 100MB가 넘는 파일이나 개체(예: 이미지 파일이나 기호 파일, 복합 개체)를 검색하거나 가져올 때
- 프로젝트 및 복합 개체 파일에 대한 변조 감지
무단 수정을 방지하기 위해 파일을 열 때 다음 무결성 검사가 자동으로 수행됩니다.
프로젝트 파일
- 디지털 서명 확인
- 해시 검증
복합 개체 파일
- 디지털 서명 확인
- 해시 검증
- 체크섬 검증
보안 애플리케이션용
이 섹션에서는 애플리케이션을 안전하게 구성하는 몇 가지 점에 대해 설명합니다.
보안 관련 메시지는 피드백 영역의 [보안 경고] 탭에 표시됩니다. 메시지를 검토하고 필요한 시정 조치를 취하여 사이버 보안 위험을 줄입니다.
권한 없는 액세스를 방지하는 안전한 네트워크를 구축하려면 다음을 수행하십시오.
- 암호화된 통신을 사용하여 통신 환경을 구축합니다(예: VPN). Pro-face Connect를 사용하여 암호화된 통신 환경을 구축할 수 있습니다.
Pro-face Connect 구성 - 통신을 구축하기 전에 네트워크가 안전한지 데이터가 이더넷을 통해 전송되는지 확인합니다.
- 이더넷 통신에 기반하지 않은 전송 옵션을 선택합니다(예: USB 케이블 또는 파일 시스템).
USB 케이블을 통해 프로젝트 전송
파일 시스템을 통해 프로젝트 전송
이더넷 통신 기반의 전송 옵션이 필요하다면 IPsec 사용을 권합니다.
IPsec에서 이더넷을 통해 프로젝트를 전송하는 중 - 통신 서비스를 이용할 때만 데이터 통신용 포트를 여십시오.
- 사용자의 PC 를 방화벽으로 보호하고 반드시 신뢰할 수 있는 보안 네트워크에서 사용하십시오.
- 디스플레이 장치를 신뢰할 수 있는 보안 네트워크에 설치하고 디스플레이 장치를 방화벽으로 보호하십시오.
-
OPC UA 서버에 연결할 때는 AES 기반의 더 안전한 보안 정책 사용을 권합니다.
OPC UA 서버에 연결 -
FTP 서버에 연결하는 경우 FTPS(FTP over SSL/TLS) 사용을 권합니다.
-
신뢰하는 FTP 서버나 IP 주소를 사용하십시오.
표시기에서 가장을 방지하려면 다음을 수행하십시오.
위 작업에 사용된 스위치에 대해 보안 레벨을 설정합니다.
- 보안 기능을 사용합니다.
- 자동 로그아웃 기능을 사용합니다.
- 제한된 사용자에게 적절한 잠금 해제 보안 수준이 부여됩니다(관리자 권한이 있는 사용자만 잠금 해제 등이 가능).
- 아래의 작업에는 비밀번호가 필요 없습니다.
- 외부 장치 작업 블록 - 업로드 (USB 저장소/SD 카드)
- 외부 장치 작업 블록 - 다운로드 (USB 저장소/SD 카드)
- 하드웨어 설정 표시
-
Web Viewer를 사용하여 디스플레이 장치에 연결할 때 [***] 버튼을 터치하여 암호를 표시하지 마십시오. 표시된 암호는 연결된 모든 디스플레이 장치와 Web Viewer 클라이언트에 표시됩니다.
SP5000 시리즈 Open Box(Windows 10 IoT Enterprise 모델), IPC 시리즈 또는 PC/AT를 사용하는 경우
- 런타임은 신뢰할 수 있는 PC에서만 사용하십시오.
- 프로젝트 파일을 전송하거나 특별히 관리자 권한을 요구하는 기타 작업을 수행하는 경우를 제외하고 관리자 권한이 있는 계정으로 Windows에 로그인하지 마십시오.
- Windows의 보안 기능(암호 설정, 자동 로그아웃 기능 사용 등)을 사용하십시오.
- 프로젝트를 위하여 관리자 계정용 보안 암호와 보안을 설정하십시오.
정보 변경을 방지하려면 다음을 수행하십시오.
- 다음 지침을 사용한 모범 사이버 보안 사례(바이러스 백신, 운영 체제 업데이트, 강력한 암호 정책, 응용 프로그램 허용 목록(Application Allow Listing) 소프트웨어 등)를 따라 사용자의 PC를 강화하십시오:
https://www.pro-face.com/trans/en/manual/1087.html - 자신의 데이터를 신중하게 관리합니다.
- 프로젝트 비밀번호를 추가하여 프로젝트를 보호합니다.
프로젝트에 대한 권한 없는 변경 방지 - USB 케이블이나 이더넷 케이블을 기반으로 전송 옵션을 사용할 때는 [전송 방법]에서 [보안 설정]을 사용하십시오. 자세한 절차는 다음을 참조하십시오.
IPsec에서 이더넷을 통해 프로젝트를 전송하는 중
USB 케이블을 통해 프로젝트 전송
이더넷을 통해 프로젝트 전송 - 화면 편집 소프트웨어를 Windows 관리자 권한으로 실행하지 마십시오.
-
화면 편집 소프트웨어는 신뢰할 수 있는 PC에서만 사용하십시오.