Рекомендации по конфигурированию функций безопасности

Ниже приведены некоторые общие рекомендации по конфигурированию функций безопасности вашего устройства.

Не добавляйте пользователей, кроме тех, которым требуется доступ, и оценивайте требования своей системы перед предоставлением пользователям доступа к наиболее важными страницам, например, к Управлению межсетевым экраном или Настройкам устройства.
Ограничьте число IP-адресов, которые имеют доступ к Com’X.
Не используйте сертификаты SHA1.

Рекомендуемые практики для незащищенных протоколов

Осторожно
Потенциальная угроза доступности, целостности и конфиденциальности системы Измените пароли по умолчанию для предотвращения несанкционированного доступа к параметрам устройства и его данным. Насколько возможно, отключите неиспользуемые порты/службы и учетные записи по умолчанию для максимального сокращения возможных путей для осуществления атак. Размещайте сетевые устройства за несколькими уровнями киберзащиты (такими как межсетевые экраны, сегментация сети, средства обнаружения вторжений в сети и защиты от них). Используйте рекомендуемые лучшие практики обеспечения кибербезопасности (например, ограничение полномочий, распределение обязанностей) с целью предотвращения несанкционированного раскрытия, утраты или изменения данных и журналов, прерывания работы служб или нецелевого использования оборудования. Несоблюдение данных инструкций может привести к смерти, серьёзной травме или повреждению оборудования.

Осторожно

Потенциальная угроза доступности, целостности и конфиденциальности системы

Измените пароли по умолчанию для предотвращения несанкционированного доступа к параметрам устройства и его данным.
Насколько возможно, отключите неиспользуемые порты/службы и учетные записи по умолчанию для максимального сокращения возможных путей для осуществления атак.
Размещайте сетевые устройства за несколькими уровнями киберзащиты (такими как межсетевые экраны, сегментация сети, средства обнаружения вторжений в сети и защиты от них).
Используйте рекомендуемые лучшие практики обеспечения кибербезопасности (например, ограничение полномочий, распределение обязанностей) с целью предотвращения несанкционированного раскрытия, утраты или изменения данных и журналов, прерывания работы служб или нецелевого использования оборудования.

Несоблюдение данных инструкций может привести к смерти, серьёзной травме или повреждению оборудования.

Примечание: В таблице ниже перечислены риски и рекомендуемые практики для незащищенных протоколов. Настоятельно рекомендуется следовать данным рекомендациям.

Незащищенные протоколы	Риски	Рекомендуемые практики
SMTP	Угроза вредоносного ПО. Несанкционированный доступ к данным. Угроза утечки данных. Содержимое сообщений электронной почты передается открытым текстом.	Для публикации: Для публикации используйте протокол SMTP с включенной защитой SSL/TLS или SMART TLS.
HTTP	Межсайтовое выполнение сценариев. Вмешательство в процедуры аутентификации и управление сеансом. Подделка межсайтовых запросов. Несанкционированное извлечение и изменение данных.	Для конфигурирования сети: Отключите HTTP. Выберите протокол HTTPS для сетевых подключений. Для публикации: Не выбирайте HTTP. Выберите HTTPS с аутентификацией.
FTP	Атака FTP методом подбора ключа. Анализ пакетов. Спуфинг-атака. Учетные данные пользователя могут быть скомпрометированы, так как передача данных при авторизации выполняется открытым текстом.	Для публикации: Не используйте FTP. Для публикации выберите либо протокол HTTPS с авторизацией, либо SMTP с включенной защитой SSL/TLS или SMART TLS.
Modbus TCP/IP	Перехват сообщений. Захват информации. Выполнение произвольных команд. Несанкционированные пользователи могут собирать и (или) вносить изменения в конфигурацию устройств.	Для связи с устройствами Modbus: Ограничьте доступ к средствами связи Modbus с помощью функции фильтра Modbus TCP/IP. Отключите порты Modbus для каждого неиспользуемого сетевого интерфейса.