安全停用以下部分将介绍如何正确停用自动化系统的各个组件。组件达到其使用寿命时,必须停用。停用包括环境无害化处置和安全移除存储介质中电子元件的所有数字数据。
安全移除数据在处置自动化系统的组件之前,必须从这些组件的存储介质中安全删除所有数据。下文介绍了如何安全地从设备中删除数据,使其无法恢复。注意非安全删除数据导致的数据滥用从数据存储器中不完整或不安全地删除数据可能会导致数据被第三方滥用。为此,请确保在处置产品之前从所有使用的存储介质中安全删除数据。38分布式 I/O 系统系统手册, 11/2023, A5E03576855-AN工业网络安全4.7 系统的安全操作安全擦除 CPU 和 SIMATIC 存储卡中的数据要删除 CPU 数据存储器中的所有数据,请将 CPU 重置为出厂设置。此功能将删除模块内部保存的所有信息。要安全删除数据,请按给定顺序执行以下步骤:1. 格式化 SIMATIC 存储卡。格式化会删除 SIMATIC 存储卡中的所有内容。使用 STEP 7 进行格式化:– 建立一条在线连接。– 打开 CPU 的在线和诊断视图(通过项目环境或“可访问的设备”)。– 在该对话窗口中,选择“功能 > 格式化存储卡”,然后单击“格式化”按钮。2. 将 CPU 恢复为出厂设置。我们建议在 STEP 7 中复位 CPU。将 CPU 复位为出厂设置时,请在复位前选择图中所示的选项。图 4-1 将 CPU 复位为出厂设置说明如果使用 STEP 7 复位 CPU 并选择了“格式化存储卡”(Format memory card) 选项,则可跳过第 1 步。结果:仍包含在模块的数据存储器和 SIMATIC 存储卡中的所有数据已删除。现在可以处置组件。有关将 CPU 复位为出厂设置的更多信息,请参见将 CPU 复位为出厂设置 (页 273)章节。说明如果在格式化后不再打算使用 SIMATIC 存储卡,请在处置之前将其销毁。将卡粉碎到无法重建的程度是一种安全的销毁方法。为此,还可使用专门处理数据存储介质销毁的废物处理服务。39工业网络安全4.7 系统的安全操作分布式 I/O 系统系统手册, 11/2023, A5E03576855-AN安全擦除接口模块中的数据借助以下工具,您可以安全地擦除接口模块中的数据:• STEP 7 < V19• SIMATIC Automation Tool• 多现场总线组态工具 (MFCT)• PRONETA请按给定顺序执行以下步骤:1. 建立一条在线连接。2. 打开 IM 的在线和诊断视图(通过项目环境或“可访问的设备”)。3. 在“功能 > 复位为出厂设置”对话框中,选择“删除 I&M 数据”选项,然后选择“复位”按钮。图 4-2 将接口模块复位为出厂设置结果:删除仍存储在接口模块数据存储器中的所有数据。现在可以处置组件。有关将接口模块复位为出厂设置的更多信息,请参见将接口模块复位为出厂设置 (页 276)章节。说明TIA Portal V19使用 TIA Portal V19 时,如果在“复位为出厂设置”中启用了“删除 I&M 数据”选项,则仅会安全删除通信参数。删除通信参数:• IP 地址• 设备名称• PROFINET 组态数据如果想要安全删除所有数据,请使用上面列出的工具之一来实现此目的。40分布式 I/O 系统系统手册, 11/2023, A5E03576855-AN工业网络安全4.7 系统的安全操作4.7.9.2 回收和处理为了确保旧设备的回收和处理符合环保要求,请联系经认证的电子废料处理服务机构,并根据所在国家的相关规定进行回收处理。4.8 工程软件的安全操作有关工程软件安全操作的更多信息,请参见 TIA Portal 在线帮助。4.9 CPU 的安全操作本节将介绍西门子建议的措施,以保护您的设备免遭篡改和未经授权的访问。安全组态用户管理和访问控制用户帐户管理每个活动用户都代表着潜在的安全风险,因此创建和管理具有适当使用权限的用户帐户是一项重要措施。采取以下安全措施:• 培训相关人员,使其了解自己的权限和密码分配• 定期检查用户帐户有关创建和管理用户帐户的信息,请参见“本地用户管理 (页 188)”部分和 STEP 7 在线帮助 (TIAPortal)。分配安全密码使用不安全的密码很容易导致数据滥用。不安全的密码很容易被猜到或破解。• 因此,在调试过程中请务必更改默认密码,并针对不同的功能和设备使用不同的密码。• 更改密码时,请勿使用过期密码(或部分密码)。• 此外,更改您个人不使用的功能的密码,以防止这些不使用的功能遭到滥用。• 始终对您的密码保密,并确保只有授权人员才能获取相应的密码。• 密码长度超过要求的最小长度并使用小写字母、大写字母、数字和特殊字符的组合。有关分配安全密码的信息,请参见 STEP 7 在线帮助 (TIA Portal)。具有密码保护的所有组件和功能概览– 关于如何修改密码的说明– 关于如何删除或重置密码的说明– 有关如何通过 SIMATIC 存储卡分配密码的说明。• 对于用户管理和访问控制,请使用“本地用户管理”。42分布式 I/O 系统系统手册, 11/2023, A5E03576855-AN工业网络安全4.9 CPU 的安全操作• 使用密码提供程序:可在 STEP 7 中设置密码提供程序,请参见部分“专有技术保护 (页199)”。• 或者,也可以使用市售的密码管理程序。设置保护等级有关设置 CPU 保护级别和分配用户权限的详细信息,请参见“组态 CPU 的访问保CPU 和接口模块的组态 通过 PROFINET 安全类别 1 进行保护 护功能的概述,请参见相应的设备手册。有关保护功能及其激活的说明,请参见“保护 (页 187)”部分。Web 服务器S7-1500 系列 CPU 具有集成的 Web 服务器。它具有内置的安全功能:• 使用 CA 签名的 Web 服务器证书,通过安全传输协议“HTTPS”进行访问• 用户授权可通过用户列表组态• 激活特定的接口安全通信/OPC UA安全通信和 OPC UA 协议的保护功能可提供额外的保护。有关安全通信和 OPC UA 协议的信息,请参见《通信功能手册》。 敏感数据可以通过适当的措施(例如密码和保护功能)来保护安全相关敏感数据。对于某些数据,系统内部已经实施了必要的保护措施(如 TIA Portal 中的证书管理)。机密组态数据(私钥、密码/访问数据) 使用强密码进行保护 块(数据块、逻辑块) 专有技术保护、复制保护、写保护 “保护 (页 187)”部分操作员认为敏感的数据 备份、其他组态数据、分析数据 备份和恢复 CPU 组态 (页 247)部分备份和数据备份成功的安全概念应包含成功安装后的定期备份或数据备份。无论是想要在所做更改没有达到预期效果时按需恢复项目,还是想要在紧急情况下保存安装内容,都需要备份。用于备份 STEP 7 项目的选项:• 通过在线备份进行项目备份,请参见“在线备份• 通过 TIA Portal 进行项目备份,请参见“STEP 7 (TIA Portal) 中有哪些用于备份项目的选项以及项目备份文件的意义是什么?其他网络安全措施要通过其他措施保护 CPU,可以使用以下选项:• 部署具有安全功能的 CP 1543SP-1CP 1543SP-1 具有可确保网络安全的安全功能,例如防火墙和 VPN。这可实现对 ET 200SP的安全访问。另请参见操作说明 SIMATIC NET,CP 1543SP-1• 下列措施可进一步防止从外部源和网络对 CPU 的功能和数据进行未经授权的访问:有关这些主题的信息,请参见“CPU 保护功能概览 (页 187)”的“其它 CPU 保护措施”部分。• 有关用于防止未经授权访问的网络安全和网络组件的信息,请参见《PROFINET 功能手册
使用 Web 服务器如果使用 Web 服务器,传统防火墙已无法为现代网络提供充分保护。有关使用 Web 服务器的潜在风险,请参见《Web 服务器功能手册记录安全事件Syslog 存储Syslog 表示“系统日志记录协议”,是存储、传输和收集安全事件触发的日志消息的标准。网络设备中的预定义事件被收集为设备(Syslog 客户端)中的安全事件,并作为 Syslog 消息存储在本地缓存中。Syslog 服务器分类采集 Syslog 消息,然后可以通过多种方式对这些消息进行分析、过滤和显示。此外,还可以组态关键事件的通知。收集的这些安全事件存储在 CPU 诊断缓冲区中:• 使用正确或错误的密码转至在线• 检测到通信数据遭到篡改• 检测到存储卡中的数据遭到篡改• 检测到固件更新文件遭到篡改• 将更改的保护等级(访问保护)下载到 CPU 中• 启用或禁用密码验证(通过指令,或在适用情况下通过 CPU 显示屏)• 由于超出了所允许的并行访问尝试次数,在线访问遭到拒绝• 现有的在线连接未激活而导致超时• 使用正确或错误的密码登录 Web 服务器• 创建 CPU 的备份• 恢复 CPU 组态(恢复)自固件版本 V3.1 起,上面列出的安全事件也作为 Syslog 消息存储在 CPU 的本地缓存中。有关所有 Syslog 消息的概述,请前往以下“网址Syslog 消息的内容基于 IEC 62443-3-3 标准。更多信息,请参见“Syslog 消息 (页 46)”部分。连接到 SIEM 系统可以在 Syslog 服务器上安装 SIEM 系统(安全信息和事件管理),以便实时分析安全事件。
Syslog 消息简介使用 Syslog 消息举例来说,有关自动化组件 IT 安全的guojibiaozhun和国家法规要求能够记录安全相关事件。Syslog(系统日志记录)是用于传送已记录事件的 IETF 标准协议(RFC 5424),并满足这一要求。CPU 可以记录以下事件,例如:• 安全事件• 固件更新• 对用户程序的更改• 对组态的更改• 对运行状态的更改无法停用安全相关事件的收集。每个固件版本为 V3.1 及更高版本的 CPU 都会将 syslog 消息保存在本地缓存中。通过查询该缓冲,可查看 syslog 消息并识别潜在的安全风险。CPU 的本地缓存被组织为环形缓冲区。当达到缓存的存储限制并且发生其它安全事件时,缓存中最旧的消息将被覆盖。如果要使用 syslog 消息访问本地缓存,请使用 Web 服务器的 Web API(API 方法Syslog.Browse)。有关操作步骤的信息,请参见“Web 服务器转发给 syslog 服务器自 STEP 7 V19 起,对于固件版本为 V3.1 及更高版本的 CPU,可以将 syslog 消息传送到服务器,例如 SINEC INS。Syslog 消息通过 syslog 协议传送到 syslog 服务器。Syslog 服务器会保存所连接设备发出的所有 syslog 消息。系统和网络事件的消息集中存储在 syslog 服务器的存储位置中。在 syslog 服务器界面,可查看收集的 syslog 消息,从而确定潜在安全风险或问题的来源。默认情况下,Syslog 消息通过端口 514 (UDP) 或端口 6514(基于 TCP 的 TLS)发送到 Syslog服务器。说明如果使用 UDP 作为传输协议,则数据传输时不会加密。UDP 也省略了身份验证。
在安全信息和事件管理系统(SIEM 系统)中进行处理为了能够接受传入的 syslog 消息,SIEM‑系统必须根据 RFC 5424 理解 syslog 协议。否则,SIEM 系统无法接受或处理传入的消息。SIEM 系统将传入的 syslog 消息分为单独的元素。这些元素在 SIEM 系统中分配给其自有的事件。在该事件中,会分析各个 syslog 消息之间是否存在连接。SIEM 系统通过这种方式检测可能的攻击模型,并在必要时通知用户,比如系统中多个点遭受多次攻击的情况① CPU② Syslog 消息③ Syslog 服务器,例如 SINEC INS④ SIEM 系统⑤ 通知用户。