Manage MyMachines信息安全标准,针对 SINUMERIK 和其他带有 MindSphere 连接的受支持控制系统控制系统采用 TLS 1.2 /HTTPS 协议接入 MindSphere,符合最高的安全标准。本产品不包含不满足该安全标准的 SINUMERIK 版本及其他受支持控制系统软件版本。对于这些版本需要采取额外的安全措施。您作为用户,是防止未经授权访问您的设备、系统、机器和网络的唯一责任人。系统、机器和组件应仅在必要时连接至企业网络或互联网。且应在有合适的安全措施(如使用防火墙和网络分段)时。注意使用未经保护的网络连接可引发数据滥用风险网络连接若未经保护,则存在数据被滥用风险,例如在传输资产数据时。因此,建立网络连接前,请确保您的个人计算机只通过安全连接与互联网相连。请遵循相关安全说明。SINUMERIK 控制系统/其他受支持的控制系统的设备安全必须在控制系统上实施及更新必要的安全措施(例如,杀毒软件、防火墙、操作系统补丁等)。个人计算机的运行安全必须在个人计算机上实施必要的安全措施(例如,杀毒软件、防火墙、操作系统补丁等),这些安全措施的使用是为了在原始设备制造商或最终用户处显示及配置 MindSphere 应用。Manage MyMachines /Remote安全措施和系统强化说明作为 Manage MyMachines/Remote 的用户,您必须始终确保您的产品安装了最新版本的SINUMERIK Integrate 客户端/其他受支持的控制系统客户端、Manage MyMachines/RemoteService Engineer 和 Machine Operator 客户端。另外,您还要遵循工业安全的相关规定,详见 Manage MyMachines /Remote 功能手册 的第 1.3 段和第 2.3 段。SINUMERIK 控制系统和其他受支持的控制系统采用 TLS 1.2 /HTTPS 协议接入 MindSphere,符合最高的安全标准。 机床使用 MindSphere 提供的令牌上线“Onboarding”,因此机床身份可以被自动确认,保证在开展远程会议时访问的是正确的机床。废弃处理为了彻底地卸载 Manage MyMachines /Remote,您必须确保,所有的软件和证书都已经从您的 Microsoft Windows 设备或 SINUMERIK 控制系统或其他受支持的控制系统以及备份系统中删除。数据仍继续保留在 MindSphere 内,除非云平台租户关闭。 关于废弃处理的更多信息请访问 Manage MyMachines /Remote 功能手册关于采取哪些常规方案来安全地远程访问工业设备的更多信息,请参见文档:? cRSP IT 常规方案安全归档在归档导出的数据时请注意,您对将这些数据安全归档负有责任。措施比如有:? 在原始设备制造商/最终用户所在地点内,将导出数据存储在一个限制访问的区域中:– 例如,在 SharePoint 上,并限制访问– 或者在数据库中,并进行用户管理/授权? 为加密的数据存储地点设置保护,如 SharePoint,防止被操纵。? 必要时,将您的保密或者信息安全相关数据仅加密后存储在您的个人计算机/系统或网络上。信息安全相关数据包括:归档、密码等敏感数据或可执行文件 (*.exe)。? 定期备份安全相关数据并小心保护,以免丢失或被操纵。Analyze MyPerformance说明关于产品 Analyze MyPerformance 的建议安全措施,请遵守对于 Manage MyMachines(页 75) 的建议和措施。PC 端 / 服务器 / 桌面应用程序(In Line) MCenter对 MCenter 服务器资源的访问说明对 MCenter 服务器资源的访问只有具有管理员权限的用户,才可以读/写 MCenter 服务器操作系统(尤其是 MicrosoftWindows Registry)中的文件系统和资源。请保证该管理员账户具有足够强度的密码。注意数据操纵风险攻击者侵入生产网络或机床网络(内网)后,便有机会访问 MCenter 服务器或各个 MCenter客户端的文件系统。攻击者可以在其中操纵系统内容,比如:数据库内容。比如:攻击者可以修改刀具数据、数控程序、机床存档或机床结构等。而这种攻击形式无法通过 MCenter来阻止。? 因此,作为机床网络的负责人,对生产网络或机床网络采取相应的工业信息安全措施是非常必要的。使用开放的编程接口注意使用开放的编程接口可导致数据滥用使用开放的编程接口有潜在的数据滥用风险。? 因此,在使用开放的编程接口时,只允许使用通过 TLS/https 协议及以上和 MCenter 服务器通信的客户端。产品特殊的安全措施8.2 CNC Shopfloor Management Software工业信息安全78 配置手册, 01/2023, 6FC5397-5EP40-6RA2MCenter 应用的通讯安全此系统已为使用 TLS 协议做好准备。所有模块和服务必须通过符合当前信息安全要求的加密通道通信。因此系统已准备好使用 TLS 协议。服务器需要验证服务器身份的电子证书。您可在认证机构处获取此产品。证书必须已电子签名。客户端必须信任这些证书。如果您使用特别生成的、自行签名的证书,则必须向 Linux 或 Windows 计算机的控制元件提供根证书。如果使用 TLS 代理,则也必须向其提供根证书。您对正确实施及检查您的系统完全负责。如果您使用较旧的客户端(例如 Microsoft Windows NT 计算机),不支持所需的 TLS 协议,则应使用硬件代理来解决这个问题。这样的硬件可能提供一个额外的通信通道加密层。您还必须确保硬件代理已进行了适当且正确的加密。硬件代理不包含在产品内。说明? 客户端和服务器之间的安全通讯(HTTPS 协议)需要验证服务器身份的电子证书。? 在单独的服务器上执行数据库时,数据库服务器上需要一个证书来进行加密的 SQL 通信。更多信息参见 Mcenter 软件安装手册,章节“设置加密连接”和“设置 SQL 服务器加密通讯”。系统强化系统强化指删除所有应用程序执行目标任务时不再强制需要的一些软件组件和功能。为保护您的资产和生产单元,您必须掌握相关知识并强化安装的系统。系统强化应以相应的Microsoft 或其他强化准则为基础。例如,您可在 CIS(Center for Internet Security,互联网安全中心)手册中或如果有访问权限,在公司内部文件中找到专家指导,或者您也可以选择更适合的信息源。安装和保养技术人员必须不断完善其工业信息安全知识,因为信息安全威胁与日俱增。系统信息安全风险不断增加,作为西门子的客户的您也需要相应为之准备。您可以再次使用已经强化的系统配置。应定期检查配置,必须使用新的规则。强化第三方软件:Microsoft? Internet Information Server、Microsoft? SQL Server、浏览器MCenter 的运行离不开第三方软件,其中包含:Microsoft? Internet Information Server、Microsoft? SQL Server 以及各种浏览器。这些软件必须时时更新,保持最新版本。必须控制对第三方软件的访问,尤其是对 Microsoft? SQL Server 的访问,即:只允许本地主机访问这些软件,并且访问必须使用密码。对数据库的访问须采用加密访问。另外,在和MCenter 服务器通信时,只允许使用最新版本的浏览器。旧版本的浏览器(使用的是 SSL 而不是 TLS)无法保证两者的安全通信。强化 MCenter 的外围软件MCenter 需要和外围软件产品通信,例如:刀具设置软件或 Teamcenter 系统。这些软件必须时时更新,保持最新版本,以避免通过该通信渠道对系统产生不利影响。产品特殊的安全措施8.2 CNC Shopfloor Management Software工业信息安全配置手册, 01/2023, 6FC5397-5EP40-6RA2 79最后您还必须有相关知识和经验,才能配置 IIS 服务器。您必须时刻了解实际强化要求。您对在客户端环境中采用正确的系统信息安全设置负有责任。示例:? 为避免可能的 MITM(Man-in-the-Middle,中间人)攻击,当提供远程桌面连接时,必须确保采用可供使用的最高信息安全设置。? 使用最新技术水平的科技手段保护您的系统,防范代码注入。? 安全存储证书,从而使其不被未经授权的实例导出。在这种情况下,您必须在设置时遵守强化准则。? 服务器必须在安全、受限的服务器区/服务器室运行,仅经过授权的人员可以进入。? 加密服务器存储器或者存储器上的数据,从而在系统受到物理损伤时,避免系统受到攻击。? 为保护数据,定期创建系统安全备份。? 许可证服务器仅在本地提供/仅本地可用。通过公共盘进行网络文件传送说明通过公共盘进行网络文件传送(服务器消息块,Server Message Block,SMB)当您在 MCenter 功能上使用服务器消息块 (SMB) 来传送文件时,仅可使用标准的身份验证机制,即使用用户名和密码。另外,要对每个用户的访问范围进行约束。尽量避免将数据保存在公共盘上,除非的确有必要。杀毒软件采取适当的保护措施(如杀毒软件)防止文件受到恶意软件的破坏。如果您使用 Mcenter 及其应用上传文件,则使用外部杀毒软件。数据备份关于如何备份机床数据的说明,请查看章节“数据备份 (页 72)”。以下情况下,请创建数据安全备份:? 更新软件前后,? 调试后? 更改硬件配置时产品特殊的安全措施8.2 CNC Shopfloor Management Software工业信息安全80 配置手册, 01/2023, 6FC5397-5EP40-6RA2? 更换硬件后? 定期备份必须包含 Mcenter 的所有元件,例如:? 数据库? IIS 组态? 许可证服务器? 申请防火墙设置请仔细确认,防火墙“已激活”且仅打开实际使用的运行必需接口。不要打开其他接口,因为其可能导致攻击范围变大。为避免可能的 MITM(Man-in-the-Middle,中间人)攻击,当提供远程桌面连接时,必须确保采用可供使用的最高信息安全设置。设置例如相应的防火墙规则、实施 IPS(Intrusion Prevention System,入侵预防系统)和/或WAF(Web Application Firewall,Web 应用防火墙)为应对 DoS(Denial of Service,拒绝服务)攻击做准备。钓取密码黑客可能会试图获取登录数据,以便以用户的名义在 Mcenter 内实施一些操作。比如:黑客会伪造西门子的电子邮件和网站,获取 Mcenter 用户机密数据。可能会要求用户在一个表格中输入登录信息,然后发给其 Mcenter 机构。说明一旦您收到可疑的电子邮件:? 如果您收到来自陌生人的电子邮件,请保持警惕,尤其是当邮件内带有链接和附件时。切记不要打开可疑邮件中的任何链接或附件。? 仔细核对发件人的完整电子邮件地址。? 核对电子邮件中包含的完整链接,比如:将光标停留在链接上来查看链接。链接中的拼写错误或令人困惑的公司名可能会将其暴露。? 在电子邮件中使用电子签名。? 如有疑问,切记不要泄露机密信息。产品特殊的安全措施8.2 CNC Shopfloor Management Software工业信息安全配置手册, 01/2023, 6FC5397-5EP40-6RA2 818.2.3.2 云端版使用在云端版 AMM 和 AMC 应用程序时,西门子作为运营商负责保证 SINUMERIK Integrate服务器的安全性,用户则只需要保证机床侧基础设施的安全性。机床网络的防火墙和单机版不同,SINUMERIK Integrate AMM 和 AMC 云端版需要和位于机床网络和公司网络外部的云端服务器建立连接。对应的防火墙必须允许所需的接口打开,但不能允许更多的接口打开。关于防火墙设置的更多信息,参见“SINUMERIK Integrate 安装手册”的章节“系统前提条件”。钓取密码实施“网络钓鱼”的攻击者可能会试图获取登录数据,以便以用户的名义在SINUMERIK Integrate 内实施一些操作。比如:攻击者会伪造西门子的电子邮件和网站,诱使SINUMERIK Integrate 用户提供机密数据。攻击者比如会要求用户以表格形式填写SINUMERIK Integrate 的登录数据,然后发送给他。说明一旦您收到可疑的电子邮件:? 当您收到发件人不明的电子邮件,尤其是收到包含了链接和附件的电子邮件时,要提高警惕。切记不要打开可疑邮件中的任何链接或附件。? 仔细核对发件人的完整电子邮件地址。? 核对电子邮件中包含的完整链接,比如:将光标停留在链接上来查看链接。通常此类伪造的链接上会有拼写错误或者误导性的公司名称。? 在电子邮件中使用电子签名。? 如有疑问,切记不要传送机密信息。机密信息的处理公司内部防火墙和 SINUMERIK Integrate 服务器之间的通信采用安全通信协议 TLS,可阻止恶意访问。任何第三方既不能窃取信息,也不能修改信息。在通过 AMM 和 AMC 传送机密信息时,另请遵守公司内部的规定。