BANNER SC26-2 Controllers Kasalametan Aman deployment Guide pamaké
BANNER SC26-2 Controllers Kasalametan Deployment aman

eusi nyumput
1 Ngeunaan Guide ieu
2 Bubuka
3 Naon Kaamanan?
4 Kuring boga firewall. Teu Éta Cukup?
5 Naon Pertahanan di Depth?
6 Saran umum
7 Daptar pariksa
8 Syarat Komunikasi
9 Protokol anu dirojong
10 Protokol USB
11 Protokol Aplikasi XS/SC26-2
12 XS / SC26-2 Protokol Papanggihan
13 Palayan Ethernet
14 Konfigurasi firewall Ethernet
15 Protokol Tingkat Handap
16 Protokol Lapisan Aplikasi
17 Kamampuhan Kaamanan
18 Kamampuhan ku Produk
19 Kontrol Aksés sareng Otorisasina
20 Kerangka Otorisasi
21 Nangtukeun Hak Aksés
22 Penegak
23 Sandi / Manajemén PIN
24 Protokol Komunikasi
25 Logging jeung Auditing
26 Konfigurasi Hardening
27 Controller kaamanan
28 Port USB, Antarmuka Onboard, sareng Aksés Fisik
29 Antarbeungeut Ethernet
30 Arsitéktur Jaringan sareng Panyebaran Aman
31 Arsitéktur Rujukan
32 Aksés Jauh sareng Zona Demiliterisasi (DMZ)
33 Aksés ka Prosés Control Networks
34 Pertimbangan séjén
35 Manajemén Konfigurasi
36 Komunikasi sacara real-time
37 Pituduh tambahan
38 Taros Kami
39 Dokumén / Sumberdaya
39.1 Rujukan

Ngeunaan Guide ieu

Dokumén ieu nyayogikeun inpormasi pikeun ngabantosan ningkatkeun kaamanan cyber tina sistem anu kalebet Controllers Kasalametan XS/SC26-2. Éta dimaksudkeun pikeun dianggo ku insinyur kontrol, integrator, profésional IT, sareng pamekar anu tanggung jawab pikeun nyebarkeun sareng ngonpigurasikeun Controllers Kasalametan XS / SC26-2.

Bubuka

Bagian ieu ngenalkeun dasar-dasar kaamanan sareng panyebaran aman.

Naon Kaamanan?

Kaamanan nyaéta prosés ngajaga karusiahan, integritas, sareng kasadiaan hiji sistem

  • Rahasia: Pastikeun ngan jalma anu anjeun hoyong tingali inpormasi tiasa ningali éta
  • Integritas: Mastikeun yén data téh naon sakuduna
  • kasadiaan: Pastikeun yén sistem atanapi data sayogi dianggo

Banner ngakuan pentingna ngawangun sareng nyebarkeun produk kalayan konsép ieu dina pikiran sareng nyorong
konsumén pikeun ngurus luyu dina ngamankeun produk jeung solusi Banner Kasalametan maranéhanana.

CATETAN: Nalika kerentanan produk Banner Safety kapanggih sareng dibereskeun, piwuruk kaamanan dikaluarkeun pikeun ngajelaskeun unggal kerentanan dina versi produk tinangtu, ogé versi dimana kerentananna dibenerkeun. Piwuruk kaamanan produk Banner sayogi di: bannerengineering.com/support/tech-help/PSIRT.

Kuring boga firewall. Teu Éta Cukup?

Firewalls jeung produk kaamanan jaringan séjén, kaasup diodes data sarta Sistem Pencegahan Intrusion (IPS), bisa jadi komponén penting tina sagala strategi kaamanan. Sanajan kitu, hiji strategi dumasar solely on sagala mékanisme kaamanan tunggal teu jadi tahan banting sakumaha salah sahiji nu ngawengku sababaraha, lapisan bebas kaamanan.

Ku alatan éta, Kaamanan Banner nyarankeun nyandak pendekatan "Pertahanan di Depth" pikeun kaamanan.

Naon Pertahanan di Depth?

Pertahanan jero nyaéta konsép ngagunakeun sababaraha lapisan kaamanan anu mandiri pikeun ningkatkeun biaya sareng pajeulitna serangan anu suksés. Pikeun ngalaksanakeun serangan anu suksés dina sistem, panyerang kedah milarian sanés ngan ukur kerentanan anu tiasa dieksploitasi tapi kedah ngamangpaatkeun kerentanan dina unggal lapisan pertahanan anu ngajagi aset.

Pikeun exampLe, lamun sistem ditangtayungan sabab aya dina jaringan ditangtayungan ku firewall a, lawan ngan perlu circumvent firewall pikeun meunangkeun aksés nu teu sah. Nanging, upami aya lapisan pertahanan tambahan, sapertos sarat auténtikasi nami pangguna/sandi, panyerang kedah milarian cara pikeun ngahindarkeun firewall sareng auténtikasi nami pangguna/sandi.

Saran umum

Anggo prakték kaamanan di handap ieu nalika nganggo produk sareng solusi Banner Safety.

  • Controllers kaamanan nu katutupan dina dokumén ieu teu dirancang atawa dimaksudkeun pikeun disambungkeun langsung ka sagala jaringan aréa lega, kaasup, tapi teu diwatesan ka, jaringan perusahaan atawa internét umum. Router sareng firewall tambahan (sapertos anu digambarkeun dina "Arsitéktur Rujukan" dina kaca 18) nu geus ngonpigurasi kalawan aturan aksés ngaropéa pikeun kaperluan husus situs urang kudu dipaké pikeun ngakses alat dijelaskeun dina dokumen ieu ti luar jaringan kontrol lokal. Lamun sistem kontrol merlukeun konektipitas éksternal, jaga pikeun ngadalikeun, ngawatesan, sarta ngawas sagala aksés, ngagunakeun, contonaample, jaringan pribadi virtual (VPN) atanapi Demilitarized Zone (DMZ) arsitéktur.
  • Heuras konfigurasi sistem ku cara ngaktipkeun/ngagunakeun fitur kaamanan nu sadia, jeung ku nganonaktipkeun palabuhan, jasa, fungsionalitas, jeung jaringan nu teu perlu. file dibagikeun.
  • Larapkeun sadaya apdet kaamanan produk Banner Safety panganyarna, Manajemén Informasi Kaamanan (SIM), sareng saran sanésna.
  • Larapkeun sadaya patch kaamanan sistem operasi pang anyarna pikeun ngontrol sistem PC.
  • Anggo parangkat lunak anti-virus dina sistem kontrol PC sareng jaga tanda tangan anti-virus anu aya hubunganana up-to-date.
  • Paké software whitelisting on sistem kontrol PCs sarta tetep w
  • hitelist up-to-date.

Daptar pariksa

bagian ieu nyadiakeun salakuampDaptar pariksa pikeun mantuan pituduh prosés panyebaran aman XS / SC26-2 Controllers Kasalametan.

  1. Jieun atanapi milarian diagram jaringan.
  2. Identipikasi sareng rekam jalur komunikasi anu diperyogikeun antara titik.
  3. Identipikasi sareng rekam protokol anu diperyogikeun sapanjang unggal jalur, kalebet peran unggal titik. (Tingali "Persyaratan Komunikasi" dina kaca 7.)
  4. Revisi jaringan sakumaha diperlukeun pikeun mastikeun partitioning luyu, nambahkeun firewalls, atawa alat kaamanan jaringan sejenna sakumaha hade. Apdet diagram jaringan. (Tingali "Arsitéktur Jaringan sareng Panyebaran Aman" dina kaca 18.)
  5. Konpigurasikeun firewall sareng alat kaamanan jaringan anu sanés. (Tingali "Konfigurasi Firewall Ethernet" dina kaca 9 jeung "Arsitéktur Jaringan sareng Panyebaran Aman" dina kaca 18.)
  6. Aktipkeun jeung / atawa ngonpigurasikeun fitur kaamanan luyu dina unggal XS / SC26-2 Controllers Kasalametan. (Tingali "Kaamanan
    Kamampuhan” dina kaca 11.)
  7. Dina unggal XS / SC26-2 controller kaamanan, set unggal sandi dirojong ka nilai kuat. (Tingali "Sandi/PIN
    Manajemén” dina kaca 13.)
  8. Heuras konfigurasi unggal XS/SC26-2 controller kaamanan, nganonaktipkeun fitur unneeded, protokol, jeung palabuhan.
    (Tingali "Pengerasan Konfigurasi" dina kaca 15.)
  9. Nguji / kualifikasi sistem.
  10. Jieun rencana update / pangropéa.

CATETAN: Panyebaran aman ngan ukur hiji bagian tina program kaamanan anu kuat. Dokumén ieu, kalebet daptar pariksa ieu, dugi ka nyayogikeun pitunjuk panyebaran anu aman wungkul. Kanggo inpo nu langkung lengkep ihwal program kaamanan sacara umum, tingali "Pituduh Tambahan” dina kaca 21.

Syarat Komunikasi

Komunikasi antara bagian-bagian anu béda dina sistem kontrol, sareng kedah dirojong. Nanging, kaamanan sistem kontrol tiasa ditingkatkeun ku ngawatesan protokol anu diidinan, sareng jalur anu diidinan, ngan ukur anu diperyogikeun.

Ieu tiasa dilaksanakeun ku cara nganonaktipkeun unggal protokol komunikasi anu henteu diperyogikeun dina alat anu khusus, sareng nganggo alat kaamanan jaringan anu dikonpigurasi sareng disebarkeun (pikeun ex.ample, firewalls na routers) pikeun meungpeuk unggal protokol (naha ditumpurkeun atanapi henteu) nu teu perlu lulus ti hiji jaringan / ruas ka nu sejen.

Kasalametan Spanduk nyarankeun ngawatesan protokol anu diidinan ku infrastruktur jaringan kana set minimum anu diperyogikeun pikeun aplikasi anu dimaksud. Suksés ngalakukeun ieu merlukeun nyaho protokol mana anu diperlukeun pikeun tiap interaksi tingkat sistem.

Bagian ieu ngajelaskeun kumaha protokol aplikasi serial sareng Ethernet anu dirojong dianggo ku Banner Kasalametan Controllers sareng nunjukkeun peran unggal pamilon dina komunikasi. Protokol Ethernet tingkat handap henteu dibahas di dieu tapi dianggap dirojong nalika diperyogikeun ku protokol aplikasi.

Anggo inpormasi ieu dimaksudkeun pikeun nungtun spésifikasi arsitéktur jaringan sareng ngabantosan ngonpigurasikeun firewall internal kana jaringan éta, ngan ukur ngadukung jalur komunikasi anu diperyogikeun pikeun pamasangan khusus.

Protokol anu dirojong

Protokol Ethernet

Tabel di handap ieu nunjukkeun mana protokol Ethernet anu dirojong Banner XS / Controllers Kasalametan SC26-2. Catet yén sababaraha protokol anu dirojong tiasa henteu diperyogikeun dina sistem anu dipasihkeun, sabab pamasanganna ngan ukur nganggo sawaréh tina protokol anu sayogi.
meja 1. Protokol Ethernet dirojong

Protokol XS/SC26-2
Tumbu ARP x
Internét IPv4 x
IGMP x
ICMP x
Angkutan TCP x
UDP x
Aplikasi Modbus TCP®(1) x
Ethernet/IP™(2) x
  1. Modbus® mangrupakeun mérek dagang kadaptar ti Schneider Electric AS, Inc.
  2. EtherNet/IP™ mangrupakeun mérek dagang ti ODVA, Inc.

Dituluykeun ti kaca 7

Protokol XS/SC26-2
PROFINET®(1) x
TLS 1.2 x

Protokol USB

Salian komunikasi Ethernet, XS / SC26-2 Controllers Kasalametan ngarojong komunikasi ngaliwatan sambungan USB langsung.
meja 2. Protokol USB dirojong

Protokol XS/SC26-2
Aplikasi Kelas Alat Komunikasi USB (CDC) sareng Supir Khusus Aplikasi x

Protokol Aplikasi XS/SC26-2

Protokol Aplikasi XS/SC26-2 mangrupikeun protokol proprietary anu nyayogikeun aksés kana jasa anu dirojong ku XS/
SC26-2 Controllers Kasalametan. Ieu mangrupikeun hiji-hijina protokol anu dianggo ku Parangkat Lunak Banner Safety Controller nalika komunikasi sareng Controller Kasalametan XS/SC26-2.

Protokol Aplikasi XS/SC26-2 ngadukung seueur operasi anu béda, kalebet ieu:

  • Unggah / unduh konfigurasi anu dikonfirmasi
  • Konfirmasi konfigurasi anyar
  • Reset controller kaamanan ka standar pabrik
  • Aktipkeun jeung ngonpigurasikeun panganteur jaringan
  • Monitor aplikasi langsung
  • Ngonpigurasikeun kaamanan controller aksés pamaké sarta kecap akses
  • View tur jelas (pilihan) log sagala faults nu geus lumangsung dina controller nu
  • Reset controller kaamanan ka standar pabrik
  • View log Konfigurasi

XS / SC26-2 Aplikasi Protocol diangkut ngaliwatan USB langsung 2.0 sambungan CDC maké kabel USB standar 2.0- patuh atawa liwat hiji Ethernet TLS 1.2 sambungan.

XS / SC26-2 Protokol Papanggihan

Protokol XS/SC26-2 Discovery mangrupikeun protokol proprietary anu ngamungkinkeun para Banner Safety Controller Software pikeun maluruh XS/SC26-2 Safety Controllers dina Local Area Network dina Zona Kaamanan. XS / SC26-2 Discovery Protocol dumasar kana UDP Broadcasts. Kusabab Discovery Protocol dumasar kana siaran UDP, éta moal sayogi di luar Zona Kaamanan atanapi LAN dimana Controller disambungkeun. Protokol Discovery ogé henteu sayogi di VLAN.

Palayan Ethernet

Bagian ieu nyimpulkeun fungsionalitas komunikasi-centric Ethernet anu sayogi, dimana komunikasi diprakarsai ku sababaraha alat atanapi PC anu sanés.
meja 3. XS / SC26-2 Kamampuh Server

Fungsionalitas Protokol Aplikasi Diperlukeun Exampjeung Klién
Ethernet PROFINET PROFINET Controllers séjén

Dituluykeun ti kaca 8

Fungsionalitas Protokol Aplikasi Diperlukeun Exampjeung Klién
Modbus TCP Server Modbus TCP Controllers séjén
Ethernet/IP Ethernet/IP Controllers séjén
Mode Live sareng Server Konfigurasi Jauh Protokol Aplikasi XS/SC26-2 Parangkat Lunak Pengontrol Kasalametan Spanduk (PCI)
Papanggihan Server XS / SC26-2 Protokol Papanggihan Parangkat Lunak Pengontrol Kasalametan Spanduk (PCI)

Konfigurasi firewall Ethernet

Ngonpigurasikeun firewalls dumasar-jaringan sarta basis host pikeun ngidinan lalulintas jaringan ngan ekspektasi sarta diperlukeun.

Bagian ieu ngaidentipikasi EtherTypes sareng palabuhan TCP / UDP anu dianggo ku protokol anu dirojong dina Controllers Kasalametan XS / SC26-2.

Paké inpo ieu pikeun mantuan ngonpigurasikeun firewalls jaringan pikeun ngarojong wungkul jalur komunikasi diperlukeun pikeun sagala instalasi husus.

Protokol Tingkat Handap

Komunikasi Ethernet ilaharna digambarkeun ngagunakeun opat lapisan, unggal kalawan set sorangan tina protokol. Di luhureun hirarki éta nyaéta lapisan Aplikasi. Di handap lapisan Aplikasi aya lapisan Transport, Internet, sareng Link.

Inpormasi ngeunaan protokol anu dirojong tina tilu lapisan handap ieu diringkeskeun dina tabel di handap ieu
meja 4. Link Lapisan Protokol

Protokol Tipe Éter
Alamat Resolution Protocol (ARP) 0 × 0806
PROFINET 0 × 8892

Méja 5. Protokol Lapisan Internét

Protokol ÉterTipe Protokol IP #
Protokol Internét Vérsi 4 (IPv4) 0 × 0800 (n/a)
Internét Control Message Protocol (ICMP) 0 × 0800 1
Internet Group Management Protocol (IGMP) 0 × 0800 2

meja 6. Protokol Lapisan Angkutan

Protokol ÉterTipe Protokol IP #
Protokol Kontrol Transmisi (TCP) 0 × 0800 6
Pamaké DatagProtokol ram (UDP) 0 × 0800 17

Unggal protokol tingkat handap ieu diperlukeun ku hiji atawa leuwih tina protokol Aplikasi dirojong dina XS / SC26-2 Controllers Kasalametan.

Protokol Lapisan Aplikasi

Tabel di handap ieu daptar nomer port TCP sareng UDP pikeun protokol lapisan Aplikasi anu dirojong ku Controllers Kasalametan XS / SC26-2.
Méja 7. Protokol Lapisan Aplikasi

Protokol Palabuhan TCP Port UDP XS/SC26-2
Modbus TCP 502 x
PROFINET 3496449152 x
ETHERNET / IP 44818 222244818 x
Protokol Aplikasi XS/SC26-2 63753 x
XS / SC26-2 Protokol Papanggihan 63754 x

Kamampuhan Kaamanan

Bagian ieu ngajelaskeun kamampuan sareng fitur kaamanan XS / SC26-2 Controller Kasalametan. Anggo kamampuan sareng fitur kaamanan salaku bagian tina strategi pertahanan-jero pikeun ngamankeun sistem kontrol anjeun.

Kamampuhan ku Produk

Bagian ieu nyadiakeun kasimpulan view tina kamampuan kaamanan anu dirojong.
meja 8. Kamampuh Kaamanan

Kamampuhan Kaamanan XS/SC26-2
Susunan Subyek sareng Hak Aksés anu tos ditetepkeun x
Daptar Aksés Control x

Kontrol Aksés sareng Otorisasina

Bagian ieu ngajelaskeun kamampuhan Access Control nu dirojong ku XS/SC26-2 Safety Controllers, nu ngawengku kamampuhan Otorisasina.

Prosés Kontrol Aksés tiasa dibagi jadi dua fase:

  1. Watesan - Nangtukeun hak aksés pikeun tiap subjek (disebut Otorisasi)
  2. Penegak - Nyatujuan atanapi nolak pamundut aksés

Kerangka Otorisasi

Nangtukeun hak aksés pikeun tiap subjek nunjukkeun yén sistem kedah gaduh sababaraha cara pikeun ngaidentipikasi unggal subjek. Cara anu paling akrab pikeun ngahontal ieu nyaéta ku cara masihan ID pangguna anu unik ka unggal jalma anu bakal ngaksés sistem.

XS / SC26-2 Controllers Kasalametan, kumaha oge, teu nyadiakeun fasilitas saperti - euweuh rojongan pikeun nyieun ID pamaké tambahan. A User ID malah teu kudu dieusian pikeun auténtikasi. Dina hal ieu, otorisasina dumasar kana fungsionalitas anu dianggo sareng kecap akses anu disayogikeun pikeun auténtikasi. Tapi, fitur auténtikasi anu dirojong dina XS/SC26-2 Safety Controllers sacara implisit nangtukeun sakumpulan subyek anu tetep, anu diidentifikasi di dieu.

Mata pelajaran anu ditetepkeun sareng dirojong ku protokol server XS / SC2 6-2 Controllers Kasalametan dituduhkeun dina tabel di handap ieu.
meja 9. Subjék Sadia on XS / SC26-2 Controllers Kasalametan

Fungsionalitas Protokol Aplikasi Mata pelajaran Sadia
USB Konfigurasi sarta Live pangimeutan Requests Aplikasi USB Anonim
Pamaké 1
Pamaké 2
Pamaké 3

Dituluykeun ti kaca 11

Fungsionalitas Protokol Aplikasi Mata pelajaran Sadia
Ethernet Requests pangimeutan Live Protokol Aplikasi XS/SC26-2 Anonim
Pamaké 1
Pamaké 2
Pamaké 3
Requests Konfigurasi Protokol Aplikasi XS/SC26-2 Pamaké 1
Pamaké 2
Pamaké 3

Nangtukeun Hak Aksés

Pikeun unggal subjék, XS/SC26-2 Safety Controllers nyadiakeun hak aksés nu geus ditangtukeun. Dina sababaraha kasus, éta hak aksés bisa sawaréh diwatesan, sedengkeun dina kasus séjén maranéhna boh teu bisa dirobah pisan atawa ngan bisa dicabut ku nganonaktipkeun server / protokol pakait.
meja 11. Hak aksés on XS / SC26-2 Controllers Kasalametan

Fungsionalitas Protokol Aplikasi Mata pelajaran Sadia
Ethernet Server PROFINET PROFINET Anonim
Modbus TCP Server Modbus TCP Anonim
ETHERNET/IP Server Ethernet/IP Anonim

konci:
A = Kontrol aksés
R = Maca
W = Tulis
D = Pupus / mupus

Pamaké 1 gaduh kamampuan pikeun ngalarang subjek naon waé pikeun maca atanapi nyerat konfigurasi Aplikasi sareng/atawa Konfigurasi Jaringan. Ngan pamaké 1 bisa ngareset controller ka Defaults Factory

Penegak

Controller Kasalametan XS/SC26-2 ngalaksanakeun hak aksés pikeun data sareng jasa anu disayogikeun. XS/
Controller Kasalametan SC26-2 mastikeun yén Konfigurasi Aplikasi sareng Jaringan ngan ukur tiasa diropéa ku pangguna anu gaduh hak aksés pikeun nyerat Konfigurasi Aplikasi.

Aksés fisik: XS/SC26-2 Safety Controller merlukeun aksés fisik atawa jaringan ka controller pikeun ngarobah konfigurasi aplikasi, logika aplikasi, jeung/atawa overrides/gaya data aplikasi. Pikeun ngamankeun controller kaamanan, ngawatesan aksés fisik kana eta ku cara nempatkeun controller dina lingkungan fisik aman, kayaning kabinet dikonci.

Sandi / Manajemén PIN

Controller Kasalametan XS/SC26-2 gaduh sakumpulan subjek anu tos siap. Kecap akses pikeun tiap mata pelajaran kudu dikokolakeun sacara eksplisit. Parangkat Lunak Banner Safety Controller ngalaksanakeun kecap akses anu unik pikeun tiap mata pelajaran.
Controller Kasalametan XS/SC26-2 merlukeun PIN anu 4 karakter numerik pikeun aksés USB.

Pikeun aksés Ethernet, XS / SC26-2 Kasalametan Controller merlukeun sandi nu panjangna antara 8 jeung 31 karakter. Sandi kedah ngandung campuran ieu:

  • Hurup luhur
  • hurup leutik
  • Sahenteuna hiji angka
  • Sahenteuna hiji karakter husus

Salaku tambahan, sadaya kecap akses dina hiji pangontrol kaamanan kedah unik pikeun Pamaké 1, Pamaké 2, sareng Pamaké 3 .

Sadaya larangan ieu dikuatkeun ku controller sareng Software Banner Safety Controller nalika dianggo dina Ethernet.

Banner Safety nyarankeun pisan ngagunakeun kecap akses anu kompleks dimana waé kecap konci dianggo pikeun auténtikasi.
meja 12. auténtikasi dirojong ku XS / SC26-2 controller Kasalametan

Fungsionalitas Subjek Dioténtikasi Kumaha kecap akses ditugaskeun
Requests Konfigurasi Pamaké 1
Pamaké 2
Pamaké 3		 Pamaké 1
ngadalikeun sandi ieu.

Kanggo inpo nu leuwih lengkep dina nangtukeun kecap akses ieu, tingal Buku Panduan Pamaké XS/SC26-2 (p/n 174868).

Protokol Komunikasi

Sababaraha protokol komunikasi nyadiakeun fitur nu mantuan ngajaga data bari eta "dina hiber" - aktip pindah ngaliwatan jaringan.

Anu paling umum tina fitur ieu kalebet:

  • Enkripsi - Ngajagi karusiahan data anu dikirimkeun.
  • Kode Auténtikasi Pesen - Mastikeun kaaslian pesen sareng integritas ku cara ngadeteksi pesen tamppemalsuan atawa pemalsuan. Ieu mastikeun yén data asalna tina sumber anu dipiharep sareng henteu dirobih ti saprak dikirimkeun, henteu paduli naha éta jahat atanapi henteu.

Ayeuna, ngan XS/SC26-2 Application Protocol nyadiakeun duanana fitur ieu lamun dipaké ngaliwatan Ethernet. protokol komunikasi séjén dirojong ku XS / SC26-2 Controllers Kasalametan teu nyadiakeun salah sahiji fitur ieu, sakumaha wincikan dina tabel di handap ieu. Ku alatan éta, kontrol kompensasi bisa jadi diperlukeun pikeun minuhan sarat kaamanan pamasangan pikeun ngajaga data dina-hiber.
Tabél 13. Kamampuhan Kaamanan anu disayogikeun ku Protokol dina Controller Kasalametan XS/SC26-2

Protokol Énkripsi Data Kodeu auténtikasi pesen
USB Protokol Aplikasi XS/SC26-2 N N
Ethernet Protokol Aplikasi XS/SC26-2 Y Y
XS / SC26-2 Protokol Papanggihan N N

Tabél 14. Kamampuhan Kaamanan anu disayogikeun ku Protokol dina Protokol Industri basis Ethernet XS/SC26-2

Protokol Énkripsi Data Kodeu auténtikasi pesen
Ethernet PROFINET N N
Modbus TCP N N
Éter Net/IP N N

Logging jeung Auditing

Controllers Kasalametan XS/SC26-2 teu nyadiakeun log kaamanan husus dipasang dina controller.

Sanajan kitu, XS / SC26-2 Kasalametan Controller teu log acara apdet konfigurasi dina leutik (10 Éntri) tabel log konfigurasi. Tiap éntri ngawengku waktu jeung tanggal yén konfigurasi ieu dikonfirmasi, ngagunakeun tanggal jeung waktu parobahan konfigurasi sakumaha dijaga dina PC nu. Ogé kalebet nami konfigurasi sareng konfirmasi Cyclic Redundancy Check (CRC).

View log konfigurasi ieu ngagunakeun Banner Kasalametan Controller Software. Log éta ngan ukur dibaca sareng teu tiasa direset atanapi diékspor ti controller. Ngareset controller ka standar pabrik ogé ngahasilkeun éntri dina tabel log.

Controller Kasalametan XS / SC26-2 ogé ngagaduhan log kasalahan. Kalolobaan kajadian anu asup log kasalahan XS / SC26-2 Kasalametan Controller ngagambarkeun masalah fungsional, kayaning gagal hardware jeung operasi firmware kaduga. Sanaos éta henteu khusus pikeun kaamanan, aranjeunna tiasa masihan inpormasi anu mangpaat salami pamariksaan kaamanan. Log kasalahan teu dipikagaduh sanggeus kakuatan dicabut tina controller kaamanan. View log kasalahan boh ngaliwatan Banner Kasalametan Controller Software atawa dina tampilan onboard

Konfigurasi Hardening

Pikeun mantuan dina ngurangan beungeut serangan poténsial, bagian ieu nyadiakeun informasi nu bisa dipaké pikeun harden konfigurasi produk XS / SC26-2 anu hadir dina instalasi husus.

Pertimbangkeun Konfigurasi Hardening salian ngaktipkeun sareng nganggo fitur kaamanan sapertos Auténtikasi, Kontrol Aksés, sareng Otorisasi.

Banner Safety nyarankeun nganonaktipkeun sadaya palabuhan, ladenan, sareng protokol anu henteu diperyogikeun pikeun aplikasi anu dimaksud. Ngalakukeun ieu dina unggal produk XS / SC26-2.

Controller kaamanan

Paké informasi dina bagian ieu nalika hardening konfigurasi XS a / SC26-2 Kasalametan Controller. Pertimbangkeun pilihan ieu nalika ngonpigurasikeun XS / SC26-2 Controller Kasalametan anu ngadukung aranjeunna.

Setelan ieu dieusian dina konfigurasi hardware anu diundeur ka XS / SC26-2Safety Controller.

Port USB, Antarmuka Onboard, sareng Aksés Fisik

Pikeun ngurangan permukaan serangan poténsial, wates aksés fisik ka Port USB jeung panganteur onboard ku ngawatesan aksés fisik ka controller kaamanan.

Ieu bisa dilakukeun ku cara nempatkeun controller kaamanan di lingkungan fisik aman, kayaning kabinet dikonci

Antarbeungeut Ethernet

Paké informasi dina bagian ieu nalika hardening konfigurasi tina XS / SC26-2 Kasalametan controller urang Ethernet Interface. Pertimbangkeun setélan ieu nalika ngonpigurasikeun XS / SC26-2 Ethernet Interface.

Upami panyebaran anjeun henteu kedah ngaksés alat anu henteu aya dina Network Control Prosés, routing kedah ditumpurkeun ku netepkeun Alamat IP Gateway ka sadaya nol:
meja 15. Nganonaktipkeun IP Routing

Palayanan Ngaran Parameter Nilai
IP Routing Alamat IP Gateway 0.0.0.0

Setelan ieu dieusian dina konfigurasi hardware nu diundeur ka XS / SC26-2 Kasalametan Controller.

Antarbeungeut Ethernet ogé tiasa ditumpurkeun lengkep nganggo Software Banner Safety Controller.

Kanggo inpo nu langkung lengkep ihwal parameter ieu, tingal Buku Panduan Pamaké XS/SC26-2Safety Controller (p/n 174868)

Arsitéktur Jaringan sareng Panyebaran Aman

Bagian ieu nyayogikeun saran kaamanan pikeun nyebarkeun XS/SC26-2 Controller Kasalametan dina kontéks jaringan anu langkung ageung.

Arsitéktur Rujukan

Gambar di handap ieu ngagambarkeun deployment rujukan XS / SC26-2 Controllers Kasalametan.

Gambar 1. Arsitéktur Jaringan Rujukan
Arsitéktur Rujukan

Jaringan Zona Manufaktur (anu kalebet Operasi Manufaktur, Kontrol Pengawasan, sareng Jaringan Kontrol Proses) dipisahkeun tina jaringan anu teu dipercaya sapertos jaringan perusahaan (ogé disebut jaringan bisnis, jaringan perusahaan, atanapi intranet) sareng internét nganggo Demilitarized. Arsitéktur Zona (DMZ). Jaringan Prosés Control gaduh paparan dugi ka lalulintas ti jaringan tingkat luhur, kaasup jaringan sejenna dina Zona Manufaktur, kitu ogé ti jaringan Prosés Control lianna.

Aksés Jauh sareng Zona Demiliterisasi (DMZ)

Arsitéktur DMZ ngagunakeun dua firewall pikeun ngasingkeun server anu tiasa diaksés tina jaringan anu teu dipercaya. DMZ kudu disebarkeun ku kituna ngan husus (diwatesan) komunikasi anu diwenangkeun antara jaringan bisnis jeung DMZ, sarta antara jaringan kontrol jeung DMZ. Ideally, jaringan bisnis jeung jaringan kontrol teu kudu saling komunikasi langsung.

Lamun komunikasi langsung ka jaringan kontrol diperlukeun ti jaringan bisnis atawa ti internét, taliti ngadalikeun, ngawatesan, sarta ngawas sadaya aksés. Pikeun example, merlukeun auténtikasi dua-faktor pikeun pamaké pikeun ménta aksés ka jaringan kontrol ngagunakeun Virtual Private Networking (VPN) komo lajeng, ngawatesan protokol / palabuhan diwenangkeun ka set minimum diperlukeun. Salajengna, unggal usaha aksés (suksés atanapi henteu) sareng sadaya lalu lintas anu diblokir kedah dirékam dina log kaamanan anu rutin diaudit.

Aksés ka Prosés Control Networks

Lalu lintas Ethernet ti jaringan Kontrol Pengawasan ka jaringan Kontrol Proses kedah dibatesan pikeun ngadukung ngan ukur fungsionalitas anu diperyogikeun.

Nanging, upami protokol tinangtu (sapertos Modbus TCP) henteu kedah dianggo di antara daérah éta, konfigurasikeun firewall pikeun meungpeuk protokol éta. Salian blocking firewall nu, lamun controller a teu boga alesan sejen eta perlu ngagunakeun protokol nu, ngonpigurasikeun controller sorangan pikeun nganonaktipkeun rojongan pikeun protokol.

CATETAN: Firewalls Network Address Translation (NAT) biasana henteu ngalaan sadaya alat di sisi "dipercanten" firewall ka alat-alat dina sisi "untrusted" tina firewall. Salajengna, firewalls NAT ngandelkeun pemetaan alamat IP / port dina "dipercanten" sisi firewall ka alamat IP béda / port dina "untrusted" sisi firewall nu. Kusabab komunikasi ka XS / SC26-2 Safety Controller biasana bakal dimimitian tina PC dina sisi "untrusted" tina firewall jaringan Prosés Control, ngajaga jaringan Prosés Control maké firewall NAT bisa ngabalukarkeun tantangan komunikasi tambahan. Sateuacan nyebarkeun NAT, pertimbangkeun sacara saksama dampakna kana jalur komunikasi anu diperyogikeun.

Pertimbangan séjén

Manajemén Konfigurasi

Strategi pikeun nerapkeun perbaikan kaamanan, kalebet parobahan konfigurasi, kedah kalebet dina rencana kaamanan fasilitas. Nerapkeun apdet ieu sering meryogikeun yén Controller Kasalametan XS/SC26-2 anu kapangaruhan dipiceun samentawis tina jasa. Sababaraha pamasangan merlukeun kualifikasi éksténsif jeung/atawa commissioning saméméh parobahan anu deployed ka lingkungan produksi. Sanaos sarat ieu henteu gumantung kana kaamanan, mastikeun kamampuan pikeun gancang nerapkeun perbaikan kaamanan, bari ngaminimalkeun downtime, tiasa nyababkeun kabutuhan infrastruktur tambahan pikeun ngabantosan kualifikasi ieu.

Komunikasi sacara real-time

Nalika ngarancang arsitéktur jaringan, hal anu penting pikeun ngarti naon dampak alat panyalindungan jaringan (sapertos firewalls) dina ciri real-time tina lalulintas komunikasi anu kudu ngaliwatan aranjeunna.

Hasilna, arsitéktur jaringan anu meryogikeun komunikasi sacara real-time pikeun ngalangkungan alat sapertos kitu tiasa ngabatesan aplikasi anu tiasa suksés disebarkeun.

Pituduh tambahan

Pituduh Protokol-spésifik
Badan standar protokol tiasa nyebarkeun pituduh ngeunaan cara nyebarkeun sareng ngagunakeun protokolna sacara aman. Dokuméntasi sapertos kitu, upami sayogi, kedah dipertimbangkeun salian ti dokumén ieu

Badan Pamaréntah sareng Organisasi Standar
Lembaga pamaréntah sareng organisasi standar internasional tiasa masihan pitunjuk ngeunaan nyiptakeun sareng ngajaga program kaamanan anu kuat, kalebet cara nyebarkeun sareng ngagunakeun Sistem Kontrol anu aman.

Pikeun example, Departemen Kaamanan NKRI AS geus diterbitkeun pituduh dina Desain Arsitéktur Aman jeung Praktek Disarankeun pikeun cyber-kaamanan jeung Control Systems. Dokuméntasi sapertos kitu, upami luyu, kedah dipertimbangkeun salian ti dokumén ieu. Nya kitu, International Society of Automation nerbitkeun spésifikasi ISA-99 pikeun nyayogikeun pituduh pikeun ngadegkeun sareng ngoperasikeun program kaamanan cyber, kalebet téknologi anu disarankeun pikeun otomatisasi industri sareng sistem kontrol.

Taros Kami

markas Banner Téknik Corp lokasina di: 9714 kasapuluh Avenue Kalér | Minneapolis, Bungbulang 55441, AS | Telepon: +1 888 373 6767

Pikeun lokasi di sakuliah dunya sarta wawakil lokal, mangga buka www.bannerengineering.com. Logo pausahaan

Dokumén / Sumberdaya

BANNER SC26-2 Controllers Kasalametan Deployment aman [pdf] Pituduh pamaké
SC26-2 Kaamanan Controllers Panyebaran Aman, SC26-2, Kaamanan Controllers Panyebaran Aman, Controllers Panyebaran Aman, Panyebaran Aman, Panyebaran

Rujukan

Ninggalkeun komentar

alamat surélék anjeun moal diterbitkeun. Widang diperlukeun ditandaan *