网络安全

网络安全指南

请在安全的工业自动化和控制系统内使用本产品。要全面保护组件 (设备/装置)、系统、组织和网络免受网络攻击威胁，就必须采取多层次的网络风险缓解措施，及早发现事件，并在事件发生时制定适当的响应和恢复计划。有关网络安全的详细信息，请参阅 Pro-face HMI/IPC 网络安全指南。

https://www.proface.com/en/download/manual/cybersecurity_guide

警告

对系统可用性、完整性和保密性的潜在危害 在首次使用时更改默认密码，以防止未经授权访问设备设置、控件和信息。 尽可能禁用未使用的端口/服务和默认账户，以尽量减少恶意攻击的途径。 将联网设备置于多层网络防御系统 (如防火墙、网络分段、网络入侵检测和防护) 之后。 将最新更新和修补程序应用于操作系统和软件。 使用网络安全最佳实践 (例如: 最小特权、职责分离)，帮助防止未经授权的数据和日志暴露、丢失、修改、服务中断或意外操作。 如果未能遵守本说明，可能会导致人员死亡、重伤或设备损坏。

 

所提供的安全功能

本产品提供了以下网络安全功能。这些功能提供了安全能力，有助于保护产品免受潜在的安全威胁。

• 安全 (用户管理)
  安全功能保护对象和画面免受未经授权用户的攻击。使用有效的用户名和密码登录以访问受保护的对象和画面。只有当安全级别等于或大于为该对象或画面设置的安全级别时，才能访问安全对象或画面。
  概述
• 密码管理 (复杂密码策略，密码过期)
  您可以选择复杂的用户密码策略和设置密码过期。
• 目标设置
  指定传输工程文件和显示硬件配置画面所需的安全级别。
  目标设置
• 操作日志
  保留工程执行操作的日志有助于分析问题原因，如确认在检测到错误之前执行的操作。
  概述
• 工程文件密码 (打开和传输)
  为了增加工程的安全性，添加一个打开或传输工程时需要的工程密码。
  防止未经授权更改工程
• 数据库加密 (报警、记录、配方、操作日志)
  您可以对数据库中保存的报警历史、记录数据、配方数据和操作日志进行加密。
  属性 (全部报警)
  属性 (操作日志)
  属性 (全部记录)
  属性 (配方控制)
• 导出文件修改哈希码检测
  您可以通过使用 Export File Validation Tool 检查用于检测导出文件中修改的代码。
  导出和导入报警
  导出和导入记录设置和记录数据
  导出操作日志
• IPsec 传输
  您可以通过以太网使用 IPsec 加密传输，防止未经授权的访问。国际互联网工程任务组 (IETF) 开发并设计了互联网安全协议 (IPsec) 作为一套开放的协议标准，从而实现隐秘和安全的 IP 通信。IPsec 验证和加密算法需要用户定义的加密密钥来处理 IPsec 会话中的通信数据包。
  通过具有IPsec的以太网传输工程

安全应用

本节介绍安全配置应用程序的一些要点。

组建安全网络以防止未经授权的访问

• 组建使用加密通信（例如VPN）的通信环境。您可以使用 Pro-face Connect 来建立一个加密的通信环境。
  配置Pro-face Connect
• 在建立通信并通过以太网传输数据之前，请检查网络是否安全。
• 选择一个不是基于以太网通信的传输选项（如USB 电缆或文件系统）。
  通过 USB 电缆传输工程
  使用文件系统传输工程
  如果您需要基于以太网通信的传输选项，我们建议使用IPsec。
  通过具有IPsec的以太网传输工程
• 只有在使用通信服务时才打开数据通信端口。
• 用防火墙保护您的 PC，并确保它在可信的安全网络上使用。
• 在可信的安全网络上安装人机界面，并使用防火墙保护人机界面。

• 我们建议您在连接到 OPC UA 服务器时使用基于 AES 的更安全的安全策略。
  连接到OPC/UA服务器

• 如果要连接到 FTP 服务器，建议使用 FTPS (FTP over SSL/TLS)。

• 使用可信的 FTP 服务器或 IP 地址。

防止人机界面中的模拟

• 使用安全功能。
• 使用自动登出功能。
• 为受限制用户解锁提供适当的安全级别（仅允许具有管理员权限的用户解锁等）。
• 以下操作不需要密码：
• 外部设备操作块 - 上传（USB存储器/SD卡）
• 外部设备操作块 - 下载（USB存储器/SD卡）
• 显示硬件配置

设置用于上述操作的开关的安全级别。

• 当使用 Web Viewer 连接到人机界面时，请不要触摸 [***] 按钮来显示密码。显示的密码将对所有连接的人机界面和 Web Viewer 客户端可见。

当使用 SP5000 系列 Open Box (Windows 10 IoT Enterprise 型)、IPC 系列或 PC/AT 时

• 仅在可信任的PC上使用运行时。
• 请勿使用具有管理员权限的帐户登录到Windows，传输工程文件或执行其他专门需要管理员权限的操作时除外。
• 使用Windows中的安全功能（设置密码、使用自动登出功能等）。
• 为工程的管理员帐户设置安全密码和安全性。

保护信息不被修改

• 遵循最佳网络安全实践（防病毒、更新的操作系统、强密码策略、应用程序白名单软件等），使用以下指导原则来强化您的PC：
  https://www.pro-face.com/trans/en/manual/1087.html
• 谨慎管理自己的数据。
• 通过添加工程密码来保护工程。
  防止未经授权更改工程
• 基于USB电缆或以太网电缆使用传输选项时，请在[传输方式]中启用[安全设置]。有关详细步骤，请参阅以下内容。
  通过具有IPsec的以太网传输工程
  通过 USB 电缆传输工程
  通过以太网传输工程
• 请勿使用Windows管理员权限执行画面编辑软件。

• 只能在受信任的PC上使用画面编辑软件。