Ciberseguridad
Guía de ciberseguridad
Utilice este producto dentro de un sistema seguro de automatización y control industrial. La protección total de los componentes (equipos/dispositivos), sistemas, organizaciones y redes frente a las amenazas de ciberataques requiere medidas de mitigación del ciberriesgo de varios niveles, la detección temprana de incidentes y planes adecuados de respuesta y recuperación cuando se produzcan incidentes. Para más información sobre ciberseguridad, consulte la Guía de ciberseguridad de Pro-face HMI/IPC.
https://www.proface.com/en/download/manual/cybersecurity_guide
ADVERTENCIA
|
RIESGO POTENCIAL DE LA DISPONIBILIDAD, INTEGRIDAD Y CONFIDENCIALIDAD DEL SISTEMA
- Cambie las contraseñas predeterminadas en el primer uso para evitar el acceso no autorizado a la configuración, los controles y la información del dispositivo.
Desactive los puertos/servicios no utilizados y las cuentas predeterminadas, siempre que sea posible, para minimizar las vías de ataques maliciosos.
Coloque los dispositivos en red detrás de varias capas de ciberdefensas (como cortafuegos, segmentación de red y detección y protección de intrusiones en la red).
Aplique las últimas actualizaciones y revisiones a su sistema operativo y software.
Utilice las mejores prácticas de ciberseguridad (por ejemplo: mínimo privilegio, separación de funciones) para ayudar a prevenir la exposición no autorizada, la pérdida, la modificación de datos y registros, la interrupción de servicios o el funcionamiento no intencionado.
Si no se siguen estas instrucciones, pueden ocasionarse lesiones graves, mortales o daños en el equipo. |
Características de seguridad proporcionadas
Este producto ofrece las siguientes características de ciberseguridad. Estas características proporcionan capacidades de seguridad que contribuyen a proteger el producto de posibles amenazas a la seguridad:
- Seguridad (Administración de usuarios)
La función de seguridad protege los objetos y las pantallas de los usuarios no autorizados. Inicie sesión con un nombre de usuario y una contraseña válidos para acceder a los objetos y pantallas seguros. Sólo puede acceder a un objeto o pantalla seguro si tiene un nivel de seguridad igual o superior al nivel de seguridad definido en ese objeto o pantalla.
Visión general
- Administración de contraseñas (Política de contraseñas complejas, Caducidad de contraseñas)
Puede seleccionar la política de contraseñas complejas de los usuarios y establecer la caducidad de las contraseñas.
- Configuración del destino
Especifique el nivel de seguridad necesario para transferir el archivo de proyecto y mostrar la pantalla de configuración del hardware.
Configuración de destino
- Registro de operaciones
Mantener un registro de operaciones es útil para analizar la causa de problemas como, por ejemplo, confirmar la operación realizada antes de detectarse el error.
Visión general
- Contraseña del archivo de proyecto (Abrir y transferir)
Para agregar seguridad a los proyectos, agregue una contraseña de proyecto, que se requiera para abrir o transferir un proyecto.
Cómo evitar cambios no autorizados en un proyecto
- Cifrado de la base de datos (Alarma, Registro, Receta, Registro de operaciones)
Puede cifrar el historial de alarmas, los datos de registro, los datos de la receta y el registro de operaciones guardados en la base de datos.
Propiedades (Todas las alarmas)
Propiedades (Registro de operaciones)
Propiedades (todos los registros)
Propiedades (Control de recetas)
- Detección de modificación al archivo de exportación por código hash
Puede comprobar el código que se utiliza para detectar una modificación en el archivo exportado con la herramienta Export File Validation tool.
Exportación e importación de alarmas
Exportación e importación de ajustes de registro y datos de registro
Exportación del registro de operaciones
- Transferencia IPsec
Puede utilizar la transferencia cifrada IPsec a través de Ethernet para evitar el acceso no autorizado. El Grupo de Trabajo de Ingeniería de Internet (IETF) desarrolló y diseñó la Seguridad del Protocolo de Internet (IPsec) como un conjunto abierto de normas de protocolo que hacen que las sesiones de comunicación IP sean privadas y seguras. Los algoritmos de autenticación y cifrado de IPsec requieren claves criptográficas definidas por el usuario que procesan los paquetes de comunicación en una sesión IPsec.
Transferir un proyecto a través de Ethernet con IPsec
Para aplicaciones seguras
En esta sección se explican algunos puntos para configurar las aplicaciones de manera segura.
Los mensajes relacionados con la seguridad aparecen en la pestaña [Advertencias de seguridad] de la Zona de comentarios. Revise los mensajes y tome las medidas correctivas necesarias para reducir el riesgo de ciberseguridad.
Crear una red segura para prevenir el acceso no autorizado
- Cree un entorno de comunicación utilizando comunicaciones encriptadas (ej. VPN). Puede utilizar Pro-face Connect para construir un entorno de comunicación cifrado.
Configuración de Pro-face Connect
- Compruebe que la red esté segura antes de que se establezca la comunicación y se transfieran los datos a través de Ethernet.
- Seleccione una opción de transferencia que no esté basada en la comunicación Ethernet (ej. Cable USB o sistema de archivos).
Transferir un proyecto a través de un cable USB
Transferir un proyecto con el sistema de archivos
Si necesita una opción de transferencia basada en la comunicación Ethernet, recomendamos que utilice IPsec.
Transferir un proyecto a través de Ethernet con IPsec
- Abra el puerto para la comunicación de datos sólo cuando utilice el servicio de comunicación.
- Proteja su PC con un cortafuegos y asegúrese de que se utilice en una red segura de confianza.
- Instale la unidad de visualización en una red segura de confianza y proteja la unidad de visualización con un cortafuegos.
Le recomendamos que utilice una política de seguridad más segura basada en AES cuando se conecte al servidor OPC UA.
Conexión al servidor OPC/UA
Si está conectándose a un servidor FTP, le recomendamos utilizar FTPS (FTP over SSL/TLS).
Utilice un servidor FTP o dirección IP de confianza.
Para evitar la suplantación de identidad en la Unidad de visualización
- Utilice las funciones de seguridad.
- Utiliza la función de cierre de sesión automático.
- Proporcione un nivel de seguridad adecuado para el desbloqueo a usuarios limitados (permitir sólo a los usuarios con derechos de administrador el desbloqueo, etc.).
- No se pide una contraseña para las siguientes operaciones:
- Bloque de funcionamiento del dispositivo externo - Carga (almacenamiento USB/tarjeta SD)
- Bloque de funcionamiento del dispositivo externo - Descarga (almacenamiento USB/tarjeta SD)
- Mostrar configuración del hardware
Defina el nivel de seguridad para los conmutadores que se utilizan para las operaciones anteriores.
Cuando utilice Web Viewer para conectarse a la unidad de visualización, no toque el botón [***] para mostrar la contraseña. La contraseña mostrada será visible para todas las unidades de visualización conectadas y los clientes de Web Viewer.
Cuando se utiliza la Serie SP5000 Open Box (Modelo Windows 10 IoT Enterprise), la Serie IPC, o PC/AT
- Utilice el tiempo de ejecución sólo en un PC de confianza.
- No inicie sesión en Windows con una cuenta que tenga derechos de administrador, excepto cuando transfiera archivos de proyecto o realice otras operaciones que requieran específicamente derechos de administrador.
- Utilice las funciones de seguridad de Windows (establecer una contraseña, utilizar la función de cierre de sesión automático, etc.).
- Establezca contraseñas seguras y seguridad para la cuenta de administrador de su proyecto.
Proteger la información de alteraciones