建议操作
您的设备设计用于使用深度防护策略的受保护环境,符合工业自动化控制系统安全的全球标准 IEC 62443。
为了帮助保护您的设备,您必须在项目生命周期的每个阶段采取一些具体操作。
注释: 下面的建议操作列表并不是可能的网络安全措施的完整列表。它旨在成为在受保护的环境中提高设备安全性的起点。请咨询网络安全专家,根据您的需求规划、配置、操作、维护和停用您的设备。
下表列出了我们建议您采取的行动,以帮助在受保护的环境中保护您的设备,操作按生命周期阶段组织:
| 建议操作 | 深度防护角色 |
|---|---|
| 计划 | |
| 查看网络安全意识 | 可增强您的网络安全知识和意识的资源。 |
| 查看系统深度防护假设 | 了解使用设备的外部环境预期提供的安全措施。 |
| 查看设备安全功能 | 了解如何在受保护的环境中使用设备的安全功能。 |
| 查看安全风险和缓解策略 | 已知的安全风险和缓解策略,以帮助将风险降至最低。 |
| 查看安全风险和缓解策略 | 已知的安全风险和缓解策略,以帮助将风险降至最低。 |
| 配置 | |
| 更改默认密码 * | 帮助减少未经授权的访问。使用默认帐号设置通常是导致恶意用户能够进行未经授权访问的根源。 |
| 禁用测量仪配置方法 * | 限制配置选项和提供只读访问权限可减少测量仪的被攻击面。 |
| 禁用网页和时间同步源 * |
禁用网页以拒绝网页浏览器访问测量仪数据。如果可以通过受保护网络之外的 Web 浏览器访问测量仪,则恶意用户可能会拦截通信。 禁用修改测量仪时间源的功能有助于防止来自未知来源的伪装通信受到信任,并且可能会使时间戳无效。 |
| 定义锁定和事件超时 * |
在预定义的不成功登录尝试次数后锁定帐户。锁定有助于降低暴力密码攻击成功的可能性。 |
| 限制用户访问权限* |
将用户访问权限限制在执行其工作职能所需的最低权限级别。 由于角色更改、转移或终止而不再需要时,撤消用户特权。 |
| 编辑测量仪访问事件日志 * | 编辑记录到事件日志中的默认测量仪访问事件优先级以满足您的报告要求。 |
| 创建和更改用户密码 * |
为需要访问测量仪的每个用户创建强密码。使用默认帐号设置和弱密码通常是导致恶意用户能够进行未经授权访问的根源。 完成组织说明的用户帐户管理任务,或与网络管理员联系。例如,最长密码使用期限或历史策略。 |
| 设置高级安全性 * |
高级安全性是默认的测量仪安全模式。如果您的测量仪使用标准安全模式,我们建议您将其更改为高级安全模式。 |
|
禁用未使用的协议并更改默认端口号 |
禁用不必要的和不使用的通信协议端口,例如 SFTP 和网络端口,可以减少测量仪的被攻击面。 更改端口号默认值会降低端口使用的可预测性。 请参阅协议、端口和连接。 |
| 计费锁定测量仪和使用防篡改密封点 | 带有防篡改密封的物理锁开关,可防止远程修改计费参数、设置和数据。 |
| 验证测量仪安全配置。 | |
|
分配一个指定的读者有助于防止事件日志条目在审查之前被覆盖。 |
|
| 配置 syslog 以存储事件日志 |
Syslog 服务器可以从多个设备接收日志,然后根据需要存储日志信息。Syslog 可帮助在扩展时间段维护测量仪日志信息。 请参阅 Syslog。 |
| 操作 | |
| 监控事件日志 | 监控可疑活动的事件日志,并帮助确定可能导致网络安全事件的网络安全漏洞的原因。 |
| 报告网络安全事件或漏洞 | 向施耐德电气报告 |
| 维护 | |
| 应用固件更新 | 使您的设备固件保持最新有助于保护您免受安全漏洞的影响。 |
| 检查计费锁和防篡改密封 | 遵循您公司的政策和标准,定期检查您的设备锁和密封,以确保设备未被篡改。 |
| 定期检查用户帐户 |
将用户访问权限限制在执行其工作职能所需的最低权限级别。 由于角色更改、转移或终止而不再需要时,撤消用户特权。 有关详情,请参阅限制用户访问。 |
|
使您的网络安全保持最新。 |
帮助减少您的攻击面,降低漏洞的可能性。 |
|
执行安全审核 |
帮助验证系统的安全状态。 |
| 停用 | |
| 记录停用活动 | 根据公司政策和标准记录处置措施,以保持对各项活动的记录。 |
| 擦除设备 | 有助于防止潜在的数据泄露。 |
| 停用相关规则并清理记录 |
遵循组织的说明完成停用和清理任务,或与网络管理员联系。 停用网络和安全规则。例如可能被用于穿越防火墙的规则。 执行记录跟踪清理任务以删除相关系统中的记录。例如,监控 SNMP 服务器。 |
| 处置、再利用或回收设备 | 遵守当地的处置规定。 |
* 有关默认测量仪安全设置的详细信息,请参阅默认测量仪安全设置。