Cyber-Sicherheit
Leitfaden zur Cyber-Sicherheit
Verwenden Sie dieses Produkt innerhalb eines sicheren industriellen Automatisierungs- und Steuerungssystems. Der vollständige Schutz von Komponenten (Ausrüstung/Geräte), Systemen, Organisationen und Netzwerken vor Cyberangriffen erfordert mehrschichtige Maßnahmen zur Minderung von Cyberrisiken, die frühzeitige Erkennung von Zwischenfällen sowie geeignete Reaktions- und Wiederherstellungspläne, wenn es zu Zwischenfällen kommt. Weitere Informationen zur Cybersicherheit finden Sie im Pro-face HMI/IPC Leitfaden für Cybersecurity.
https://www.proface.com/en/download/manual/cybersecurity_guide
|
Eine Missachtung dieser Anweisungen kann zu Tod, schwerwiegenden Verletzungen oder Geräteschäden führen. |
WARNUNG
Verfügbare Sicherheitsmerkmale
Folgende Cyber-Sicherheitsfunktionen werden von diesem Produkt bereitgestellt. Diese Merkmale bieten Sicherheitsfunktionen, die dazu beitragen, das Produkt vor potenziellen Sicherheitsrisiken zu schützen:
- Sicherheit (Benutzerverwaltung)
Mit der Funktion Sicherheit können Objekte und Bildschirme vor unberechtigtem Zugriff geschützt werden. Sie müssen sich mit einem gültigen Benutzernamen und dem entsprechenden Passwort anmelden, um Zugriff auf gesicherte Objekte und Bildschirme zu erhalten. Sie können auf gesicherte Objekte oder Bildschirme nur dann zugreifen, wenn Sie über eine Sicherheitsstufe verfügen, die mindestens derjenigen des jeweiligen Objekts bzw. Bildschirms entspricht.
Übersicht - Passwortverwaltung (Richtlinie für komplexe Passwörter, Passwort-Gültigkeit)
Sie können eine Richtlinie für komplexe Benutzerpasswörter auswählen und die Gültigkeitsdauer von Passwörtern festlegen. - Zieleinstellungen
Geben Sie die Sicherheitsstufe an, die für die Übertragung der Projektdatei und die Anzeige des Bildschirms Hardware-Konfiguration erforderlich ist.
Plattformeinstellungen - Operationsprotokoll
Die Verwaltung eines Protokolls projektspezifischer Operationen kann sich bei Problemanalysen als hilfreich erweisen, beispielsweise zur Überprüfung der vor Auftreten eines Problems ausgeführten Operationen.
Übersicht - Passwort für Projektdateien (Öffnen und Übertragen)
Um die Sicherheit von Projekten zu erhöhen, fügen Sie ein Projektpasswort hinzu, das zum Öffnen oder Übertragen eines Projekts erforderlich ist.
Verhindern nicht autorisierter Änderungen an einem Projekt - Datenbankverschlüsselung (Alarm, Protokollieren, Rezept, Operationsprotokoll)
Sie können den gespeicherten Alarmverlauf, die Protokolldaten, die Rezeptdaten und das Operationsprotokoll in der Datenbank verschlüsseln.
Eigenschaften (Alle Alarme)
Eigenschaften (Operationsprotokoll)
Eigenschaften (Alle Protokollierungen)
Eigenschaften (Rezeptsteuerung) - Erkennung von Änderungen an Exportdateien durch Hash-Code
Mit dem Export File Validation Tool können Sie den Code, mit dem eine Änderung in der exportierten Datei erkannt wird, überprüfen.
Exportieren und Importieren von Alarmen
Exportieren und Importieren von Protokolleinstellungen und Protokolldaten
Exportieren von Operationsprotokollen - IPsec-Übertragung
Sie können die IPsec-verschlüsselte Übertragungen über Ethernet nutzen, um unbefugten Zugriff zu verhindern. Die Internet Engineering Task Force (IETF) entwickelte die Internet Protocol Security (IPsec) in Form eines offenen Protokollnormenwerks, das die IP-Kommunikaton geschützter und sicherer macht. Die IPSec-Authentifizierungs- und Verschlüsselungsalgorithmen erfordern benutzerdefinierte kryptografische Schlüssel, die die Kommunikationspakete in einer IPSec-Sitzung verarbeiten.
Übertragung eines Projekts über Ethernet mit IPsec
Für sichere Anwendungen
In diesem Abschnitt erhalten Sie einige Hinweise zum sicheren Konfigurieren von Anwendungen.
Sicherheitsrelevante Meldungen erscheinen in der Registerkarte [Sicherheitswarnungen] unter Systemmeldungen. Überprüfen Sie die Meldungen und ergreifen Sie die erforderlichen Korrekturmaßnahmen, um Ihr Cybersicherheitsrisiko zu verringern.
Zum Einrichten eines sicheren Netzwerks gegen unerlaubten Zugriff
- errichten Sie eine Kommunikationsumgebung auf Basis verschlüsselter Kommunikation (z.B. VPN). Sie können Pro-face Connect verwenden, um eine verschlüsselte Kommunikationsumgebung aufzubauen.
Konfigurieren von Pro-face Connect - Überprüfen Sie vor Aufbau der Kommunikation und Übertragung von Daten über das Ethernet, ob das Netzwerk gesichert ist.
- Übertragungsoption, die nicht auf Ethernet-Kommunikation basiert, auswählen (z. B. USB-Kabel oder FileSystem.
Übertragen eines Projekts per USB-Kabel
Übertragen eines Projekts mit dem Dateisystem
Falls eine auf Ethernet-Kommunikation basierende Übertragungsoption gewünscht wird, empfehlen wir IPsec.
Übertragung eines Projekts über Ethernet mit IPsec - Öffnen Sie den Port für Datenkommunikation nur bei Verwendung des Kommunikationsdienstes.
- Schützen Sie Ihren PC mit einer Firewall, und stellen Sie sicher, dass er in einem vertrauenswürdigen, sicheren Netzwerk verwendet wird.
- Installieren Sie das Anzeigegerät in einem vertrauenswürdigen, sicheren Netzwerk, und schützen Sie das Anzeigegerät mit einer Firewall.
Wir empfehlen Ihnen, bei der Verbindung mit dem OPC UA-Server eine sicherere Sicherheitsrichtlinie auf Basis von AES zu verwenden.
Verbinden mit OPC-UA-ServerWenn Sie eine Verbindung zu einem FTP-Server herstellen, empfehlen wir Ihnen die Verwendung von FTPS (FTP over SSL/TLS).
Verwenden Sie einen vertrauenswürdigen FTP-Server oder eine vertrauenswürdige IP-Adresse.
Zum Schutz vor Identitätswechsel im Anzeigegerät
- Verwenden Sie die Funktion "Sicherheit".
- Verwenden Sie die Funktion "Automatische Abmeldung".
- Richten Sie eine entsprechende Sicherheitsstufe für Aufhebung von Sperren für eine begrenzte Anzahl an Benutzern ein (nur Nutzer mit Administratorenrechten dürfen Sperren aufheben usw.)
- Für folgende Vorgänge wird kein Passwort verlangt:
- Operationsbaustein für externes Gerät - Hochladen (USB-Speicher/SD-Karte)
- Operationsbaustein für externes Gerät - Herunterladen (USB-Speicher/SD-Karte)
- Anzeige der Hardware-Konfiguration
Wenn Sie den Web Viewer verwenden, um eine Verbindung zum Anzeigegerät herzustellen, berühren Sie nicht die Taste [***], um das Passwort anzuzeigen. Das angezeigte Passwort wird für alle angeschlossenen Anzeigegeräte und Web-Viewer-Clients sichtbar.
Legen Sie die Sicherheitsstufe für die Schalter fest, die für die oben erwähnten Vorgänge verwendet werden.
Bei Verwendung der Open Box SP5000-Serie (Modell für Windows 10 IoT Enterprise), IPC-Serie oder PC/AT
- Verwenden Sie Runtime auf einem vertrauenswürdigen PC.
- Melden Sie sich bei Windows nicht über ein Konto mit Administratorrechten an, außer bei der Übertragung von Projektdateien oder beim Ausführen anderer Operationen, die explizit Administratorrechte erfordern.
- Verwenden Sie die Sicherheitsfunktionen in Windows (Passwort einrichten, automatische Abmeldung usw.).
- Legen Sie sichere Passwörter und Sicherheit für das Administratorkonto für Ihr Projekt fest.
Um Informationen vor Änderungen zu schützen,
- Schützen Sie Ihren PC anhand der besten Cyber-Sicherheitspraktiken (Virenschutz, aktualisierte Betriebssysteme, Richtlinien für strenge Passwörter, White-Listing-Software für Anwendungen usw.) gemäß der folgenden Richtlinie:
https://www.pro-face.com/trans/en/manual/1087.html - sollten Sie Ihre eigenen Daten umsichtig verwalten.
- Schützen Sie ihr Projekt durch Hinzufügen eines Passworts.
Verhindern nicht autorisierter Änderungen an einem Projekt - Bei Verwendung der Übertragungsoption basierend auf USB-Kabel oder Ethernet-Kabel aktivieren Sie unter [Übertragungsmethode] die Option [Sicherheitseinstellung]. Weitere Informationen erhalten Sie unter:
Übertragung eines Projekts über Ethernet mit IPsec
Übertragen eines Projekts per USB-Kabel
Übertragen von Projekten über Ethernet - Keine Bildschirmbearbeitungs-Software mit Windows-Administratorrechten ausführen.
Bildschirmbearbeitungs-Software nur auf einem vertrauenswürdigen PC verwenden.