DOCA0172ZH-09

安全能力

通用网络安全建议

警告
系统可用性、完整性和保密性的潜在危害
  • 禁用未使用的端口/服务将有助于尽量减少恶意攻击的途径。
  • 将联网设备布置在多层网络防御(例如防火墙、网络分段、网络入侵检测和保护)之后。
  • 采用网络安全最佳实践(例如,最低权限、责任分离)来帮助阻止非法曝露、丢失、数据和日志修改、或服务中断。
未按说明操作可能导致人身伤亡或设备损坏等严重后果。

有关 EcoStruxure Panel Server 网络安全的详细信息,请参阅 DOCA0211ZH EcoStruxure Panel Server  - 网络安全指南 。有关网络安全威胁的简介以及如何应对这些威胁,请参阅 How Can I Reduce Vulnerability to Cyber Attacks?

有关网络安全的更多信息,请访问 Schneider Electric Cybersecurity Support Portal

安全特性

EcoStruxure Panel Server 内置有多项安全特性,旨在帮助设备正确运行并根据预期目的发挥作用。

主要功能有:

  • 在通过 EcoStruxure Power Commission 软件或网页访问产品资源时,进行身份验证

  • EcoStruxure Panel Server 与其关联无线设备之间进行安全通讯(有助于确保保密性和完整性)

  • 可配置的安全服务和设置

  • 固件更新机制

这些特性带来了安全能力,有助于保护产品免遭潜在安全威胁的破坏,否则这些威胁可能干扰产品运行(可用性)、修改信息(完整性)或公开机密信息(保密性)。

安全能力方面的特性用于降低与在运营技术环境中使用 EcoStruxure Panel Server 有关的内在威胁。

然而,这些能力的有效性取决于是否严格遵守以下建议:

潜在风险和补偿控制

区域

问题

风险

补偿控制

非安全协议

Modbus 和某些 IT 协议(NTP、DHCP、DNS 和 DPWS)是非安全协议。

设备不支持传输使用这些协议加密的数据。

如果恶意用户获得了网络的访问权,他们就会拦截通讯。

如果通过内网传输数据,请在物理或逻辑上对网络分段。

如果通过外网传输数据,请使用 VPN(虚拟专用网络)或类似解决方案加密通过所有外部连接的协议传输。

对于与 Modbus 设备的通讯,通过在 Panel Server 网页上停用每个 Panel Server 接口 (ETH1/ETH2/Wi-Fi) 的 Modbus 通讯,来限制对网络上 Modbus TCP/IP 设备的访问。

无线通讯

在配对窗口期间,未授权的无线电设备可能试图接入网络。

如果流氓设备获得了网络的访问权,它们可能窃听您无线网络的通讯,破坏数据完整性(例如,通过发送虚假数据),或者发起服务拒绝 (DoS)。

缩短调试窗口,以减少暴露风险。

一旦完成了配对,请使用 EcoStruxure Power Commission 软件查看 EcoStruxure Panel Server 配置中的配对设备列表,确保设备列表中不包含非预期或流氓设备。

QR Code is a registered trademark of DENSO WAVE INCORPORATED in Japan and other countries.

这有帮助吗?