通过 Ethernet 远程访问 MicroLogic 脱扣单元或控制单元的保护建议

可通过 Ethernet 访问的功能

当运行监控软件（SCADA、EcoStruxure Power Commission 软件）的 PC 已连接到 Ethernet (Modbus/TCP) 网络时，MicroLogic 脱扣单元或控制单元的功能在以下情况下能够被访问：

• MasterPacT、ComPacT 和 PowerPacT 断路器通过 IFE 接口或 IFE 服务器连接。

• MasterPacT MTZ 断路器通过 EIFE 接口连接。

• MasterPacT、ComPacT 和 PowerPacT 断路器通过堆叠到 IFE 服务器的 IFM 接口连接。

• ComPacT NSX 以及 PowerPacT H、J 和 L 型断路器通过 BSCM Modbus SL/ULP 模块 在 Modbus 模式下藉由 Modbus SL 集线器连接到 IFE 服务器。

建立 Ethernet 连接的前提条件

与 MicroLogic 脱扣单元或控制单元建立 Ethernet 连接的前提条件是：

• MicroLogic 脱扣单元或控制单元必须通电。

• MicroLogic 脱扣单元或控制单元必须通过以下方式之一连接到 Ethernet 网络：

  • IFE 或 EIFE 接口

  • IFE 服务器

  • 堆叠到 IFE 服务器的 IFM 接口

  • BSCM Modbus SL/ULP 模块，在 Modbus 模式下，此模块通过 Modbus SL 集线器连接到 IFE 服务器

• 您的 PC 或其他设备（比如，FDM128 显示器或 PLC）必须运行有监控软件（SCADA、EcoStruxure Power Commission）并且连接到允许远程访问的 Ethernet 网络

• 您的 PC 上运行的 Web 浏览器必须连接到允许访问 IFE 或 EIFE 网页的 Ethernet 网络

• 您必须拥有具备相应访问权限的用户 ID 和密码来登录到：

  • IFE 和 EIFE 接口网页

  • IFE 服务器网页

  • 用于 IFE 和 EIFE 接口的 FTPS 服务器，以及 IFE 服务器

  • EcoStruxure Power Commission 软件

    通过 IFE 和 EIFE 接口以及 IFE 服务器连接

• 您必须拥有具备相应访问权限的用户 ID 和密码来登录到 EcoStruxure Power Commission 软件中

连接到 Ethernet 的 PC 的相关建议

如要保护联网 PC 对 MicroLogic 脱扣单元或控制单元的访问，建议：

• PC 未使用时，保持安全锁闭隔离。

• 确保能够使用使用 Ethernet 访问 MicroLogic 脱扣单元或控制单元的 PC（例如，通过 IFE 或 EIFE 接口网页、IFE 服务器网页或者 SCADA）需要用户登录名和密码。

• 强制使用强密码。

• 利用 IFE 和 EIFE 接口以及 IFE 服务器的 IP 过滤能力，仅允许与所选择的远程 IP 地址通讯。

• 确保定期修改用户密码。

• 禁止重新使用旧密码。

• 设置定时器，以便在达到某个闲置时间之后锁定 PC 屏幕。

• 根据 PC 上运行的操作系统的最新供应商指南，强化 PC。

• 限制可通过联网 PC 访问 MicroLogic 脱扣单元或控制单元的用户数。

• 保持 PC 的防病毒应用程序为最新版本。

除了上述预防措施外，还必须遵循中提供的用于保护您安装的一般指南和建议How Can I Reduce Vulnerability to Cyber Attacks?。

有关机器对机器通讯的建议

对于支持 Modbus TCP over TLS 的系统，在 IFE 或 EIFE 接口或 IFE 服务器 网页上激活 TLS 连接安全模式。

机器到机器安全通讯要求使用连接到 IFE 或 EIFE 接口或 IFE 服务器的组件来支持安全 Modbus 通讯。

安全日志建议

为确保定期下载安全日志，请使用：

• 自动日志导出功能（藉由来自 IFE 或 EIFE 接口的 IFE服务器的 Syslog 服务）。

• 从 IFE 或 EIFE 接口或 IFE 服务器以 CSV 格式手动导出日志。