BANNER SC26-2 Safety Controllers Secure Deployment User Guide
BANNER SC26-2 Safety Controllers Panyebaran Aman

Isine ndhelikake
1 Babagan Pandhuan iki
2 Pambuka
3 Apa Keamanan?
4 Aku duwe Firewall. Apa ora Cukup?
5 Apa Defense in Depth?
6 Rekomendasi Umum
7 Daftar Priksa
8 Syarat Komunikasi
9 Protokol sing Didhukung
10 Protokol USB
11 Protokol Aplikasi XS/SC26-2
12 Protokol Penemuan XS/SC26-2
13 Server Ethernet
14 Konfigurasi Ethernet Firewall
15 Protokol Tingkat Ngisor
16 Protokol Lapisan Aplikasi
17 Kapabilitas Keamanan
18 Kapabilitas miturut Produk
19 Kontrol Akses lan Wewenang
20 Kerangka wewenang
21 Nemtokake Hak Akses
22 Penegakan
23 Manajemen Sandi/PIN
24 Protokol Komunikasi
25 Logging lan Auditing
26 Hardening Konfigurasi
27 Pengawal Keamanan
28 Port USB, Antarmuka Onboard, lan Akses Fisik
29 Antarmuka Ethernet
30 Arsitektur Jaringan lan Panyebaran Aman
31 Referensi Arsitektur
32 Akses Jarak Jauh lan Zona Demiliterisasi (DMZ)
33 Akses menyang Jaringan Kontrol Proses
34 Pertimbangan liyane
35 Manajemen Konfigurasi
36 Komunikasi wektu nyata
37 Pandhuan tambahan
38 Hubungi Kita
39 Dokumen / Sumber Daya
39.1 Referensi

Babagan Pandhuan iki

Dokumen iki nyedhiyakake informasi kanggo mbantu nambah keamanan cyber sistem sing kalebu XS/SC26-2 Safety Controllers. Iki dimaksudake kanggo digunakake dening insinyur kontrol, integrator, profesional IT, lan pangembang sing tanggung jawab kanggo ngatur lan ngatur Kontrol Keamanan XS / SC26-2.

Pambuka

Bagean iki ngenalake dhasar keamanan lan panyebaran aman.

Apa Keamanan?

Keamanan minangka proses njaga rahasia, integritas, lan kasedhiyan sistem

  • Rahasia: Priksa manawa mung wong sing pengin ndeleng informasi sing bisa ndeleng
  • Integritas: Priksa manawa data kasebut kaya sing dikarepake
  • kasedhiyan: Priksa manawa sistem utawa data kasedhiya kanggo digunakake

Banner ngerteni pentinge mbangun lan nyebarake produk kanthi konsep kasebut lan nyengkuyung
pelanggan kanggo njupuk care cocok kanggo ngamanake produk lan solusi Banner Safety.

CATETAN: Nalika kerentanan produk Banner Safety ditemokake lan didandani, saran keamanan diterbitake kanggo njlèntrèhaké saben kerentanan ing versi produk tartamtu, uga versi sing kerentanan kasebut diatasi. Penasihat keamanan produk Banner Safety kasedhiya ing: bannerengineering.com/support/tech-help/PSIRT.

Aku duwe Firewall. Apa ora Cukup?

Firewall lan produk keamanan jaringan liyane, kalebu dioda data lan Intrusion Prevention Systems (IPS), bisa dadi komponen penting saka strategi keamanan apa wae. Nanging, strategi adhedhasar mung ing mekanisme keamanan siji ora minangka tahan minangka salah siji sing kalebu sawetara, lapisan keamanan independen.

Mulane, Banner Safety nyaranake njupuk pendekatan "Pertahanan ing Depth" kanggo keamanan.

Apa Defense in Depth?

Defth in depth yaiku konsep nggunakake pirang-pirang lapisan keamanan independen kanggo ngunggahake biaya lan kerumitan serangan sing sukses. Kanggo nindakake serangan sing sukses ing sistem, panyerang kudu nemokake ora mung kerentanan sing bisa dieksploitasi, nanging uga kudu ngeksploitasi kerentanan ing saben lapisan pertahanan sing nglindhungi aset.

Kanggo exampNanging, yen sistem dilindhungi amarga ana ing jaringan sing dilindhungi dening firewall, panyerang mung kudu ngubengi firewall kanggo entuk akses sing ora sah. Nanging, yen ana lapisan pertahanan tambahan, kayata syarat otentikasi jeneng pangguna/sandi, panyerang kudu golek cara kanggo nyingkirake firewall lan otentikasi jeneng pangguna/sandi.

Rekomendasi Umum

Gunakake praktik keamanan ing ngisor iki nalika nggunakake produk lan solusi Banner Safety.

  • Pengontrol keamanan sing dicakup ing dokumen iki ora dirancang kanggo utawa dimaksudake kanggo nyambung langsung menyang jaringan area sing amba, kalebu, nanging ora diwatesi, jaringan perusahaan utawa internet umume. Router lan firewall tambahan (kayata sing digambarake ing "Arsitektur Referensi” ing kaca 18) sing wis dikonfigurasi kanthi aturan akses sing disesuaikan karo kabutuhan spesifik situs kasebut kudu digunakake kanggo ngakses piranti sing diterangake ing dokumen iki saka njaba jaringan kontrol lokal. Yen sistem kontrol mbutuhake panyambungan njaba, njupuk care kanggo ngontrol, matesi, lan ngawasi kabeh akses, nggunakake, contoneample, jaringan pribadi virtual (VPN) utawa arsitektur Zona Demiliterisasi (DMZ).
  • Gawe konfigurasi sistem kanthi ngaktifake / nggunakake fitur keamanan sing kasedhiya, lan mateni port, layanan, fungsi, lan jaringan sing ora perlu. file enggo bareng.
  • Aplikasiake kabeh nganyari keamanan produk Banner Safety paling anyar, Manajemen Informasi Keamanan (SIM), lan rekomendasi liyane.
  • Aplikasi kabeh patch keamanan sistem operasi paling anyar kanggo ngontrol PC sistem.
  • Gunakake piranti lunak anti-virus ing sistem kontrol PC lan tetep tandha tangan anti-virus sing gegandhengan dadi anyar.
  • Gunakake piranti lunak whitelisting ing sistem kontrol PC lan tetep w
  • hitelist up-to-date.

Daftar Priksa

Bagian iki nyedhiyakake minangkaampdhaftar mriksa kanggo nuntun proses deploying XS / SC26-2 Safety Controllers aman.

  1. Nggawe utawa nemokake diagram jaringan.
  2. Ngenali lan ngrekam jalur komunikasi sing dibutuhake ing antarane simpul.
  3. Ngenali lan ngrekam protokol sing dibutuhake ing saben dalan, kalebu peran saben simpul. (Waca "Persyaratan Komunikasi" ing kaca 7.)
  4. Ndandani jaringan sing dibutuhake kanggo njamin pemisahan sing cocog, nambah firewall, utawa piranti keamanan jaringan liyane sing cocog. Nganyari diagram jaringan. (Deleng "Arsitektur Jaringan lan Penyebaran Aman" ing kaca 18.)
  5. Ngatur firewall lan piranti keamanan jaringan liyane. (Waca "Konfigurasi Firewall Ethernet" ing kaca 9 lan "Arsitektur Jaringan lan Penyebaran Aman" ing kaca 18.)
  6. Aktifake lan / utawa ngatur fitur keamanan sing cocog ing saben XS / SC26-2 Safety Controller. (Waca "Keamanan
    Kapabilitas” ing kaca 11.)
  7. Ing saben pengontrol safety XS / SC26-2, setel saben sandhi sing didhukung kanthi nilai sing kuwat. (Deleng "Sandhi/PIN
    Manajemen" ing kaca 13.)
  8. Atos konfigurasi saben pengontrol keamanan XS/SC26-2, mateni fitur, protokol, lan port sing ora dibutuhake.
    (Deleng "Pengerasan Konfigurasi" ing kaca 15.)
  9. Tes / kualifikasi sistem.
  10. Nggawe rencana nganyari / pangopènan.

CATETAN: Panyebaran sing aman mung minangka bagean saka program keamanan sing kuat. Dokumen iki, kalebu dhaptar priksa iki, diwatesi mung kanggo menehi panuntun dhumateng panyebaran sing aman. Kanggo informasi luwih lengkap babagan program keamanan umume, waca "Pandhuan Tambahan” ing kaca 21.

Syarat Komunikasi

Komunikasi antarane macem-macem bagean saka sistem kontrol, lan kudu, didhukung. Nanging, keamanan sistem kontrol bisa ditingkatake kanthi matesi protokol sing diidini, lan dalan sing diidini, mung sing dibutuhake.

Iki bisa ditindakake kanthi mateni saben protokol komunikasi sing ora dibutuhake ing piranti tartamtu, lan nggunakake piranti keamanan jaringan sing dikonfigurasi lan dipasang kanthi tepat (kanggo ex.ample, firewalls lan router) kanggo mblokir saben protokol (apa dipatèni utawa ora) sing ora perlu kanggo pass saka siji jaringan / bagean liyane.

Banner Safety nyaranake mbatesi protokol sing diidinake dening infrastruktur jaringan menyang set minimal sing dibutuhake kanggo aplikasi sing dimaksud. Kasil nindakake iki mbutuhake ngerti protokol sing dibutuhake kanggo saben interaksi tingkat sistem.

Bagean iki njlèntrèhaké carane protokol aplikasi serial lan Ethernet didhukung digunakake dening Banner Safety Controllers lan nuduhake peran saben peserta ing komunikasi. Protokol Ethernet tingkat ngisor ora dibahas ing kene nanging dianggep bakal didhukung nalika dibutuhake dening protokol aplikasi.

Gunakake informasi iki kanggo nuntun spesifikasi arsitektur jaringan lan mbantu ngatur firewall internal menyang jaringan kasebut, kanggo ndhukung mung jalur komunikasi sing dibutuhake kanggo instalasi tartamtu.

Protokol sing Didhukung

Protokol Ethernet

Tabel ing ngisor iki nuduhake protokol Ethernet sing didhukung Pengontrol Keamanan Banner XS/SC26-2. Elinga yen sawetara protokol sing didhukung bisa uga ora dibutuhake ing sistem tartamtu, amarga instalasi mung bisa nggunakake subset saka protokol sing kasedhiya.
Tabel 1. Protokol Ethernet sing didhukung

Protokol XS/SC26-2
Link ARP x
internet IPv4 x
IGMP x
ICMP x
Transportasi TCP x
UDP x
Aplikasi Modbus TCP®(1) x
Ethernet/IP™(2) x
  1. Modbus® iku merek dagang kadhaptar saka Schneider Electric USA, Inc.
  2. EtherNet/IP™ iku merek dagang saka ODVA, Inc.

Terusake saka kaca 7

Protokol XS/SC26-2
PROFINET®(1) x
TLS 1.2 x

Protokol USB

Saliyane komunikasi Ethernet, XS / SC26-2 Safety Controller ndhukung komunikasi liwat sambungan USB langsung.
Tabel 2. Protokol USB sing Didhukung

Protokol XS/SC26-2
Aplikasi Kelas Piranti Komunikasi USB (CDC) kanthi Driver Khusus Aplikasi x

Protokol Aplikasi XS/SC26-2

Protokol Aplikasi XS/SC26-2 minangka protokol proprietary sing nyedhiyakake akses menyang layanan sing didhukung dening XS/
Pengontrol Keamanan SC26-2. Iki mung protokol sing digunakake dening Banner Safety Controller Software nalika sesambungan karo XS/SC26-2 Safety Controller.

Protokol Aplikasi XS/SC26-2 ndhukung macem-macem operasi, kalebu ing ngisor iki:

  • Upload / download konfigurasi dikonfirmasi
  • Konfirmasi konfigurasi anyar
  • Reset pengontrol keamanan menyang standar pabrik
  • Ngaktifake lan ngatur antarmuka jaringan
  • Ngawasi aplikasi langsung
  • Ngatur akses pangguna lan sandhi safety controller
  • View lan cetha (opsional) log sembarang bentet sing wis dumadi ing controller
  • Reset pengontrol keamanan menyang standar pabrik
  • View log Konfigurasi

XS / SC26-2 Protokol Aplikasi diangkut liwat USB langsung 2.0 sambungan CDC nggunakake kabel standar USB 2.0-cecek utawa liwat Ethernet TLS 1.2 sambungan.

Protokol Penemuan XS/SC26-2

Protokol Discovery XS/SC26-2 minangka protokol proprietary sing ngidini Piranti Lunak Pengontrol Keamanan Banner nemokake Pengontrol Keamanan XS/SC26-2 ing Jaringan Area Lokal ing Zona Keamanan. XS/SC26-2 Discovery Protocol adhedhasar UDP Broadcasts. Amarga Protokol Discovery adhedhasar siaran UDP, ora bakal kasedhiya ing njaba Zona Keamanan utawa LAN sing disambungake karo Controller. Protokol Discovery uga ora kasedhiya ing VLAN.

Server Ethernet

Bagean iki ngringkes fungsi komunikasi-sentris Ethernet sing kasedhiya, ing ngendi komunikasi kasebut diwiwiti dening sawetara piranti utawa PC liyane.
Tabel 3. Kapabilitas Server XS/SC26-2

Fungsionalitas Protokol Aplikasi sing Dibutuhake Examplan Klien
Ethernet PROFINET PROFINET pengontrol liyane

Terusake saka kaca 8

Fungsionalitas Protokol Aplikasi sing Dibutuhake Examplan Klien
Modbus TCP Server Modbus TCP pengontrol liyane
Ethernet/IP Ethernet/IP pengontrol liyane
Live Mode lan Server Konfigurasi Remot Protokol Aplikasi XS/SC26-2 Piranti Lunak Pengontrol Keamanan Spanduk (PCI)
Server Discovery Protokol Penemuan XS/SC26-2 Piranti Lunak Pengontrol Keamanan Spanduk (PCI)

Konfigurasi Ethernet Firewall

Konfigurasi firewall adhedhasar jaringan lan basis host kanggo ngidini lalu lintas jaringan sing dikarepake lan dibutuhake.

Bagean iki ngenali EtherTypes lan port TCP/UDP sing digunakake dening protokol sing didhukung ing XS / SC26-2 Safety Controller.

Gunakake informasi iki kanggo mbantu ngatur firewall jaringan kanggo ndhukung mung jalur komunikasi sing dibutuhake kanggo instalasi tartamtu.

Protokol Tingkat Ngisor

Komunikasi Ethernet biasane diterangake nggunakake papat lapisan, saben karo pesawat dhewe saka protokol. Ing sisih ndhuwur hirarki kasebut yaiku lapisan Aplikasi. Ing ngisor lapisan Aplikasi yaiku lapisan Transport, Internet, lan Link.

Informasi babagan protokol sing didhukung saka telung lapisan ngisor iki diringkes ing tabel ing ngisor iki
Tabel 4. Link Layer Protokol

Protokol Jinis Eter
Address Resolution Protocol (ARP) 0 × 0806
PROFINET 0 × 8892

Tabel 5. Internet Layer Protocols

Protokol Jenis Ether Protokol IP #
Internet Protocol Version 4 (IPv4) 0 × 0800 (n/a)
Internet Control Message Protocol (ICMP) 0 × 0800 1
Internet Group Management Protocol (IGMP) 0 × 0800 2

Tabel 6. Transport Layer Protokol

Protokol Jenis Ether Protokol IP #
Protokol Kontrol Transmisi (TCP) 0 × 0800 6
Panganggo DatagProtokol ram (UDP) 0 × 0800 17

Saben protokol tingkat ngisor iki dibutuhake dening siji utawa luwih protokol Aplikasi sing didhukung ing Pengontrol Keamanan XS/SC26-2.

Protokol Lapisan Aplikasi

Tabel ing ngisor iki nampilake nomer port TCP lan UDP kanggo protokol lapisan Aplikasi sing didhukung dening Pengontrol Keamanan XS / SC26-2.
Tabel 7. Protokol Lapisan Aplikasi

Protokol Pelabuhan TCP Port UDP XS/SC26-2
Modbus TCP 502 x
PROFINET 3496449152 x
ETHERNET/IP 44818 222244818 x
Protokol Aplikasi XS/SC26-2 63753 x
Protokol Penemuan XS/SC26-2 63754 x

Kapabilitas Keamanan

Bagean iki njlèntrèhaké kabisan lan fitur keamanan saka XS/SC26-2 Safety Controller. Gunakake kemampuan lan fitur keamanan minangka bagéan saka strategi pertahanan-in-depth kanggo ngamanake sistem kontrol.

Kapabilitas miturut Produk

Bagean iki menehi ringkesan view saka kapabilitas keamanan sing didhukung.
Tabel 8. Kapabilitas Keamanan

Kapabilitas Keamanan XS/SC26-2
Set Subyek lan Hak Akses sing wis ditemtokake x
Daftar Kontrol Akses x

Kontrol Akses lan Wewenang

Bagean iki njlèntrèhaké kapabilitas Kontrol Akses sing didhukung dening Pengontrol Keamanan XS/SC26-2, sing kalebu kapabilitas Otorisasi.

Proses Kontrol Akses bisa dipérang dadi rong fase:

  1. Definisi - Nemtokake hak akses kanggo saben subyek (disebut Otorisasi)
  2. Penegakan - Nyetujoni utawa nolak panjaluk akses

Kerangka wewenang

Nemtokake hak akses kanggo saben subyek nuduhake yen sistem kudu duwe sawetara cara kanggo ngenali saben subyek. Cara sing paling akrab ditindakake yaiku kanthi menehi ID pangguna sing unik kanggo saben wong sing bakal ngakses sistem kasebut.

XS/SC26-2 Safety Controllers, Nanging, ora nyedhiyani fasilitas kuwi - ora ana support kanggo nggawe ID pangguna tambahan. A User ID malah ora kudu ditemtokake kanggo keasliane. Ing kasus iki, wewenang adhedhasar fungsi sing digunakake lan sandhi sing diwenehake kanggo otentikasi. Nanging, fitur otentikasi sing didhukung ing Pengontrol Keamanan XS/SC26-2 kanthi implisit nemtokake subyek tetep, sing diidentifikasi ing kene.

Subyek sing ditetepake lan didhukung dening protokol server XS / SC2 6-2 Safety Controllers dituduhake ing tabel ing ngisor iki.
Tabel 9. Subyek kasedhiya ing XS / SC26-2 Safety Controllers

Fungsionalitas Protokol Aplikasi Subjek kasedhiya
USB Konfigurasi lan Panjaluk Ngawasi Langsung Aplikasi USB Anonim
Panganggo 1
Panganggo 2
Panganggo 3

Terusake saka kaca 11

Fungsionalitas Protokol Aplikasi Subjek kasedhiya
Ethernet Panyuwunan ngawasi Live Protokol Aplikasi XS/SC26-2 Anonim
Panganggo 1
Panganggo 2
Panganggo 3
Panyuwunan Konfigurasi Protokol Aplikasi XS/SC26-2 Panganggo 1
Panganggo 2
Panganggo 3

Nemtokake Hak Akses

Kanggo saben subyek, XS/SC26-2 Safety Controllers nyedhiyakake hak akses sing wis ditemtokake. Ing sawetara kasus, hak akses kasebut bisa diwatesi sebagian, nanging ing kasus liyane ora bisa diganti utawa mung bisa dicabut kanthi mateni server/protokol sing gegandhengan.
Tabel 11. Hak Akses ing XS / SC26-2 Safety Controllers

Fungsionalitas Protokol Aplikasi Subjek kasedhiya
Ethernet Server PROFINET PROFINET Anonim
Modbus TCP Server Modbus TCP Anonim
ETHERNET/IP Server Ethernet/IP Anonim

Kunci:
A = Kontrol akses
R = maca
W = Tulis
D = Mbusak / mbusak

Pangguna 1 nduweni kemampuan kanggo nglarang subyek saka maca utawa nulis konfigurasi Aplikasi lan/utawa Konfigurasi Jaringan. Mung Panganggo 1 sing bisa ngreset controller menyang Default Pabrik

Penegakan

XS/SC26-2 Safety Controller ngetrapake hak akses kanggo data lan layanan sing diwenehake. XS/
SC26-2 Safety Controller mesthekake yen Aplikasi lan Konfigurasi Jaringan mung bisa dianyari dening pangguna kanthi hak akses kanggo nulis Konfigurasi Aplikasi.

Akses Fisik: XS / SC26-2 Safety Controller mbutuhake akses fisik utawa jaringan menyang controller kanggo ngganti konfigurasi aplikasi, logika aplikasi, lan / utawa overrides / pasukan data aplikasi. Kanggo ngamanake pengontrol safety, matesi akses fisik kanthi nyelehake pengontrol ing lingkungan fisik sing aman, kayata kabinet sing dikunci.

Manajemen Sandi/PIN

XS/SC26-2 Safety Controller nduweni sakumpulan subyek sing wis ditemtokake. Tembung sandhi kanggo saben subyek kudu dikelola kanthi jelas. Piranti Lunak Pengontrol Keamanan Banner ngetrapake sandhi unik kanggo saben subyek.
XS/SC26-2 Safety Controller mbutuhake PIN sing 4 karakter numerik kanggo akses USB.

Kanggo akses Ethernet, XS / SC26-2 Safety Controller mbutuhake sandhi sing dawane antarane 8 lan 31 karakter. Tembung sandhi kudu ngemot campuran ing ngisor iki:

  • Huruf gedhe
  • Huruf cilik
  • Paling siji nomer
  • Paling ora siji karakter khusus

Kajaba iku, kabeh sandhi ing siji pengontrol keamanan kudu unik kanggo Panganggo 1, Pangguna 2, lan Pangguna 3 .

Kabeh watesan iki dileksanakake dening controller lan Banner Safety Controller Software nalika digunakake liwat Ethernet.

Banner Safety banget nyaranake nggunakake tembung sandhi sing rumit ing ngendi wae tembung sandhi digunakake kanggo otentikasi.
Tabel 12. Authentication Didhukung dening XS / SC26-2 Safety Controller

Fungsionalitas Subjek sing Diverifikasi Carane Sandi diutus
Panyuwunan Konfigurasi Panganggo 1
Panganggo 2
Panganggo 3		 Panganggo 1
ngontrol sandhi iki.

Kanggo informasi sing luwih rinci babagan nemtokake tembung sandhi iki, deleng XS/SC26-2 User Manual (p/n 174868).

Protokol Komunikasi

Sawetara protokol komunikasi nyedhiyakake fitur sing mbantu nglindhungi data nalika "ing pesawat" - aktif obah liwat jaringan.

Sing paling umum saka fitur kasebut kalebu:

  • Enkripsi - Nglindhungi rahasia data sing dikirim.
  • Kode Otentikasi Pesen - Njamin keaslian lan integritas pesen kanthi ndeteksi pesen tampering utawa pemalsuan. Iki njamin data kasebut asale saka sumber sing dikarepake lan ora diowahi wiwit ditularake, ora preduli manawa ana angkoro utawa ora.

Saiki, mung XS/SC26-2 Application Protocol sing nyedhiyakake loro fitur kasebut nalika digunakake liwat Ethernet. Protokol komunikasi liyane sing didhukung dening Pengontrol Keamanan XS/SC26-2 ora nyedhiyakake salah siji saka fitur kasebut, kaya sing rinci ing tabel ing ngisor iki. Mula, kontrol ganti rugi bisa uga dibutuhake kanggo nyukupi syarat keamanan instalasi kanggo nglindhungi data sajrone penerbangan.
Tabel 13. Kapabilitas Keamanan sing disedhiyakake Protokol ing Pengontrol Keamanan XS/SC26-2

Protokol Enkripsi Data Kode Otentikasi Pesen
USB Protokol Aplikasi XS/SC26-2 N N
Ethernet Protokol Aplikasi XS/SC26-2 Y Y
Protokol Penemuan XS/SC26-2 N N

Tabel 14. Kapabilitas Keamanan sing disedhiyakake Protokol ing Protokol Industri basis Ethernet XS/SC26-2

Protokol Enkripsi Data Kode Otentikasi Pesen
Ethernet PROFINET N N
Modbus TCP N N
Eter Net/IP N N

Logging lan Auditing

Pengontrol Keamanan XS/SC26-2 ora nyedhiyakake log keamanan khusus sing dipasang ing pengontrol.

Nanging, XS/SC26-2 Safety Controller ora log acara nganyari konfigurasi ing cilik (10 entri) Tabel log konfigurasi. Saben entri kalebu wektu lan tanggal sing konfigurasi wis dikonfirmasi, nggunakake tanggal lan wektu owah-owahan konfigurasi minangka maintained ing PC. Uga kalebu jeneng konfigurasi lan konfirmasi Cyclic Redundancy Check (CRC).

View log konfigurasi iki nggunakake Banner Safety Controller Software. Log mung diwaca lan ora bisa direset utawa diekspor saka controller. Ngreset controller menyang standar pabrik uga ngasilake entri ing tabel log.

Pengontrol Keamanan XS/SC26-2 uga nduweni log kesalahan. Umume acara sing mlebu log kesalahan XS / SC26-2 Safety Controller makili masalah fungsional, kayata kegagalan hardware lan operasi perangkat kukuh sing ora dikarepke. Nalika ora spesifik kanggo keamanan, bisa uga menehi informasi sing migunani sajrone audit keamanan. Log fault ora disimpen sawise daya dibusak saka controller safety. View log fault salah siji liwat Banner Safety Controller Software utawa ing tampilan onboard

Hardening Konfigurasi

Kanggo bantuan ing ngurangi lumahing serangan potensial, bagean iki menehi informasi sing bisa digunakake kanggo harden konfigurasi produk XS / SC26-2 sing ana ing instalasi tartamtu.

Coba konfigurasi Hardening saliyane ngaktifake lan nggunakake fitur keamanan kayata Otentikasi, Kontrol Akses, lan Otorisasi.

Banner Safety nyaranake mateni kabeh port, layanan, lan protokol sing ora dibutuhake kanggo aplikasi sing dimaksud. Tindakake iki ing saben produk XS/SC26-2.

Pengawal Keamanan

Gunakake informasi ing bagean iki nalika hardening konfigurasi saka XS / SC26-2 Safety Controller. Coba opsi iki nalika ngatur XS / SC26-2 Safety Controller sing ndhukung.

Setelan iki ditemtokake ing konfigurasi hardware sing diundhuh menyang XS/SC26-2Safety Controller.

Port USB, Antarmuka Onboard, lan Akses Fisik

Kanggo nyuda lumahing serangan potensial, matesi akses fisik menyang Port USB lan antarmuka onboard kanthi matesi akses fisik menyang controller safety.

Iki bisa ditindakake kanthi nyelehake pengontrol keamanan ing lingkungan sing aman, kayata lemari sing dikunci

Antarmuka Ethernet

Gunakake informasi ing bagean iki nalika hardening konfigurasi XS / SC26-2 Safety Controller's Ethernet Interface. Coba setelan iki nalika ngatur XS / SC26-2 Ethernet Interface.

Yen panyebaran sampeyan ora perlu ngakses piranti sing ora ana ing Jaringan Kontrol Proses, rute kudu dipateni kanthi nyetel Alamat IP Gateway menyang kabeh nol:
Tabel 15. Pateni IP Routing

Layanan Jeneng Parameter Nilai
IP Rute Alamat IP Gateway 0.0.0.0

Setelan iki ditemtokake ing konfigurasi hardware sing diundhuh menyang XS/SC26-2 Safety Controller.

Antarmuka Ethernet uga bisa dipateni kanthi nggunakake Software Banner Safety Controller.

Kanggo informasi luwih lengkap babagan paramèter iki, deleng XS/SC26-2Safety Controller User Manual (p/n 174868)

Arsitektur Jaringan lan Panyebaran Aman

Bagean iki menehi rekomendasi keamanan kanggo nggunakake XS/SC26-2 Safety Controller ing konteks jaringan sing luwih gedhe.

Referensi Arsitektur

Tokoh ing ngisor iki nggambaraké penyebaran referensi saka XS / SC26-2 Safety Controllers.

Gambar 1. Arsitektur Jaringan Referensi
Referensi Arsitektur

Jaringan Zona Manufaktur (kalebu Operasi Manufaktur, Kontrol Pengawasan, lan Jaringan Kontrol Proses) dipisahake saka jaringan liyane sing ora dipercaya kayata jaringan perusahaan (uga diarani jaringan bisnis, jaringan perusahaan, utawa intranet) lan internet nggunakake Demilitarized. Arsitektur Zona (DMZ). Jaringan Kontrol Proses duwe watesan winates kanggo lalu lintas saka jaringan tingkat sing luwih dhuwur, kalebu jaringan liyane ing Zona Manufaktur, uga saka jaringan Kontrol Proses liyane.

Akses Jarak Jauh lan Zona Demiliterisasi (DMZ)

Arsitektur DMZ nggunakake rong firewall kanggo ngisolasi server sing bisa diakses saka jaringan sing ora dipercaya. DMZ kudu disebarake supaya mung komunikasi tartamtu (diwatesi) sing diidini antarane jaringan bisnis lan DMZ, lan antarane jaringan kontrol lan DMZ. Saenipun, jaringan bisnis lan jaringan kontrol ngirim ora komunikasi langsung karo saben liyane.

Yen komunikasi langsung menyang jaringan kontrol dibutuhake saka jaringan bisnis utawa saka internet, kanthi ati-ati ngontrol, matesi, lan ngawasi kabeh akses. Kanggo example, mbutuhake otentikasi loro-faktor kanggo pangguna entuk akses menyang jaringan kontrol nggunakake Virtual Private Networking (VPN) lan malah banjur, matesi protokol diijini / bandar kanggo pesawat minimal dibutuhake. Salajengipun, saben upaya akses (sukses utawa ora) lan kabeh lalu lintas sing diblokir kudu dicathet ing log keamanan sing diaudit kanthi rutin.

Akses menyang Jaringan Kontrol Proses

Lalu lintas Ethernet saka jaringan Kontrol Pengawas menyang jaringan Kontrol Proses kudu diwatesi kanggo ndhukung mung fungsi sing dibutuhake.

Nanging, yen protokol tartamtu (kayata Modbus TCP) ora perlu digunakake ing antarane wilayah kasebut, atur firewall kanggo mblokir protokol kasebut. Saliyane mblokir firewall, yen pengontrol ora duwe alesan liyane sing kudu nggunakake protokol kasebut, atur pengontrol kasebut kanggo mateni dhukungan kanggo protokol kasebut.

CATETAN: Firewall Network Address Translation (NAT) biasane ora mbukak kabeh piranti ing sisih firewall sing "dipercaya" menyang piranti ing sisih firewall sing "ora dipercaya". Salajengipun, firewall NAT gumantung ing pemetaan alamat IP / port ing sisih "dipercaya" firewall menyang alamat IP beda / port ing "untrusted" sisih firewall. Wiwit komunikasi menyang XS / SC26-2 Safety Controller biasane bakal diwiwiti saka PC ing sisih "ora dipercaya" saka firewall jaringan Kontrol Proses, nglindhungi jaringan Kontrol Proses nggunakake firewall NAT bisa nyebabake tantangan komunikasi tambahan. Sadurunge masang NAT, nimbang kanthi ati-ati pengaruhe ing jalur komunikasi sing dibutuhake.

Pertimbangan liyane

Manajemen Konfigurasi

Strategi kanggo ngetrapake keamanan, kalebu owah-owahan konfigurasi, kudu dilebokake ing rencana keamanan fasilitas. Nglamar nganyari iki asring mbutuhake sing kena pengaruh XS/SC26-2 Safety Controller kanggo sementara metu saka layanan. Sawetara panginstalan mbutuhake kualifikasi lan / utawa komisi sing ekstensif sadurunge owah-owahan ditrapake ing lingkungan produksi. Nalika syarat iki ora gumantung saka keamanan, mesthekake kemampuan kanggo ngetrapake keamanan kanthi cepet, nalika nyuda downtime, bisa uga mbutuhake infrastruktur tambahan kanggo mbantu kualifikasi iki.

Komunikasi wektu nyata

Nalika ngrancang arsitektur jaringan, penting kanggo ngerti apa pengaruhe piranti proteksi jaringan (kayata firewall) ing karakteristik wektu nyata lalu lintas komunikasi sing kudu dilewati.

Akibaté, arsitektur jaringan sing mbutuhake komunikasi wektu nyata kanggo ngliwati piranti kasebut bisa mbatesi aplikasi sing bisa ditindakake kanthi sukses.

Pandhuan tambahan

Pandhuan khusus Protokol
Badan standar protokol bisa nerbitake pandhuan babagan cara nyebarake lan nggunakake protokol kanthi aman. Dokumentasi kasebut, yen kasedhiya, kudu dianggep saliyane dokumen iki

Lembaga Pemerintah lan Organisasi Standar
Badan pamrentah lan organisasi standar internasional bisa menehi pandhuan babagan nggawe lan njaga program keamanan sing kuat, kalebu cara nyebarake lan nggunakake Sistem Kontrol kanthi aman.

Kanggo exampNanging, Departemen Keamanan Tanah Air AS wis nerbitake pandhuan babagan Desain Arsitektur Aman lan Praktek sing Disaranake kanggo keamanan cyber karo Sistem Kontrol. Dokumentasi kasebut, yen cocog, kudu dianggep saliyane dokumen iki. Kajaba iku, International Society of Automation nerbitake spesifikasi ISA-99 kanggo menehi pandhuan babagan nggawe lan ngoperasikake program keamanan cyber, kalebu teknologi sing disaranake kanggo otomatisasi industri lan sistem kontrol.

Hubungi Kita

markas Banner Engineering Corp dumunung ing: 9714 Tenth Avenue North | Minneapolis, MN 55441, USA | Telpon: + 1 888 373 6767

Kanggo lokasi ing saindenging jagad lan wakil lokal, bukak www.bannerengineering.com. Logo perusahaan

Dokumen / Sumber Daya

BANNER SC26-2 Safety Controllers Panyebaran Aman [pdf] Pandhuan pangguna
Pengontrol Keamanan SC26-2 Penyebaran Aman, SC26-2, Penyebaran Aman Pengontrol, Penyebaran Aman Pengontrol, Penyebaran Aman, Penyebaran

Referensi

Ninggalake komentar

Alamat email sampeyan ora bakal diterbitake. Kolom sing dibutuhake ditandhani *