产品安全公告说明遵循产品安全公告安全威胁多种多样,且不断变化。您可以经常访问西门子在线支持了解信息安全最新动态,查看是否有和您产品相关的新安全公告。请遵循产品安全公告中的说明。杀毒软件杀毒软件,也称反病毒软件或防毒软件,是用于检测并消除已知的病毒、蠕虫、特洛伊木马等计算机危险的一类软件。杀毒软件原则上只能检测已知的恶意软件(病毒、蠕虫、特洛伊等),不能查杀所有病毒和蠕虫。因此,杀毒软件通常被视为一种辅助手段,是常规保护措施的补充。杀毒软件的使用应不能影响设备的生产。它必须确保即使计算机感染了病毒后也不会立即自行关机,否则计算机有可能丧失对生产流程的控制。注意使用在线杀毒软件时伴随数据滥用风险在使用在线杀毒软件时,信息安全相关的数据或机密数据可能会被非授权人员窃取和滥用。? 请勿使用在线杀毒软件来检测信息安全相关的数据或机密数据。说明时时更新杀毒软件注意,杀毒软件的数据库必须时时更新,保持最新状态。说明避免同时安装多个杀毒软件原则上应避免在系统上同时安装多个杀毒软件。说明在本地网络中运行本地接入工厂网络时,同样必须使用杀毒软件。常规安全措施7.4 系统完整工业信息安全配置手册, 01/2023, 6FC5397-5EP40-6RA2 517.4.1.9 白名单白名单方法在于,除了一些在测试中被列为“可信”的应用程序外,所有其他应用程序都不被信任,也就是说,白名单是设置能通过的程序,它包含了允许在 PC 系统上执行的可信应用程序。白名单可以防止您不需要的应用程序或恶意软件安装到系统上,并可防止非法修改系统上已安装的应用程序或可执行文件(.exe、.dll)。请注意针对各个产品的具体说明 (页 55),确认其中是否推荐使用杀毒软件或白名单。7.4.2 补丁管理WSUS在当前的 Windows 系统上,微软提供 WSUS (Windows Server Update Services)系统功能。WSUS 是一种更新服务,可协助管理员在大型局域网中发布 Microsoft 更新包。WSUS 会自动下载 Microsoft 更新包,并发布给 Windows 客户端安装。WSUS 是一个完全自动的更新过程,使最新的安全更新包每次都可以发布给西门子客户端。注意旧版本的操作系统上的安全漏洞注意,在低于 Windows 10 版本的操作系统上,微软已停止提供自动安全更新、热修复等服务,您的操作系统上因此可能有潜在的安全漏洞。? 条件允许时,将操作系统升级到最新版本。? 条件不允许,而必须使用旧版本操作系统时,请采取其他适合的措施(例如:允许清单)来保护您的系统。说明在安装微软更新前,注意以下一些重要事项:? 更新前,备份系统状态,以便将来进行系统恢复。客户需要自行确认更新包和不同系统配置之间的兼容性。? 在任何情况下都不得直接连接互联网中的 WSUS 服务器!确保安全的连接环境,并设置中间层(比如:DMZ 网络、防火墙、SCALANCE S 模块等)。常规安全措施7.4 系统完整工业信息安全52 配置手册, 01/2023, 6FC5397-5EP40-6RA27.4.2.1 产品软件说明旧版本的产品软件也是一个潜在的攻击范围。? 始终安装最新版本的产品软件。7.4.3 数据完整性数据完整性指数据正确、完好无损,系统正常工作。因此,确保数据完整性是信息安全的一个重要目标。数据完整性保护不同于数据机密性保护,两者不应混淆。注意数据损坏和由此导致的系统故障特性在自动化和驱动系统以及控制系统组件上,一些比如存档、程序等数据可以从外部设备导入。这些数据会影响系统特性,因此,须妥善加以保护,防止未经授权的修改。存档、程序、OA 应用程序等数据同样可以保存在系统上。系统目前不提供任何功能或手段来确保存档、程序、OA 应用程序的完整性。您必须自行采取一些措施,来保证系统上存档、OA 应用程序或者其他一些保存的数据的完整性。? 采取西门子工业综合安全方案。? 使用电子签名来保护数据。? 确保充分的访问保护:– 适当限制访问权限,比如:设置对数据保存目录 / Sharepoint 的访问权限– 所有电子邮件都加密发送或签名发送常规安全措施7.4 系统完整工业信息安全配置手册, 01/2023, 6FC5397-5EP40-6RA2 537.4.4 废弃处理请按照本国现行法律法规对产品进行废弃处理。本手册说明的产品不含有害物质,可以尽量回收再利用。为保护环境,请联系专业的废弃物处理公司处理旧设备。注意数据没有安全删除可导致数据滥用产品存储卡或硬盘上的数据如果没有彻底删除或者没有安全删除,可能会导致加工程序、存档等数据被第三方滥用。? 因此,在废弃产品前,必须事先安全地删除所有使用的存储设备上的数据。? 有一些程序可以协助您完成存储设备的安全删除或格式化。当然您也可以委托专业的废弃物处理公司,安全废弃设备。另外,请遵循产品特殊的一些废弃处理规定,详见“产品特殊的安全措施 (页 55)”一章。常规安全措施7.4 系统完整工业信息安全54 配置手册, 01/2023, 6FC5397-5EP40-6RA2产品特殊的安全措施 8本章将为您介绍在下面这些产品上采取的一些特殊安全措施:SINUMERIK、CNC ShopfloorManagement 软件、SIMOTION、SINAMICS 和 SIMOCRANE。工业信息安全配置手册, 01/2023, 6FC5397-5EP40-6RA2 558.1 SINUMERIK本章将为您概括介绍一些为防范网络攻击、保护您的传统 SINUMERIK 控制系统而必须采取的安全措施。关于安全措施的详细说明以及具体步骤请查看对应的 SINUMERIK 文档。目前,我们在另一个文档中为您整合了专为 SINUMERIK ONE 控制系统准备的产品专属信息安全相关措施和功能。此配置手册特别针对新的信息安全标准 IEC 62443 要求。将来您可在以下网址中查看:配置手册之工业信息安全 SINUMERIK ONE此外,您还可以在 SINUMERIK ONE 产品文档/在线技术支持中找到现有信息安全功能详细描述。SINUMERIK、SIMOTION 和 SINAMICS 等很多产品上都包含了 OpenSSL。此类产品适用:? 本产品包含了一些由 OpenSSL 项目开发、用于应用在 OpenSSL Toolkit 中的软件防火墙和联网NCU/PCU 的联网结构下图的示意图展示了控制器 NCU 和 IPC 的联网方式。和公司网络的连接应通过 NCU 上的X130 接口和 IPC 上的 eth1 接口进行。这两个接口都具有防火墙保护,可以防范未经授权的访问。NCU 含有包过滤功能(防火墙),与工厂网络的连接会通过该防火墙过滤。集成的该防火墙已针对收到和发送的数据进行了预配置。防火墙可以阻止对位于防火墙后方的网络的访问,并可以检测、封锁并阻止来自一个 IP 地址的多次登录尝试,以防止对控制系统的“暴力攻击”。IPC 具有 Windows 系统中的防火墙功能。注意不受保护的接口可导致数据滥用注意,NCU 上的 X120 接口、IPC 的 eth2 接口没有防火墙保护,因此这两个接口有潜在的数据滥用风险。这些接口只允许连接到本地的工厂网络。? 因此,在任何情况下都不得将该本地网络连接到互联网或公司网络。防火墙设置为确保安全,NCU 的以太网接口 X130 和 IPC 的接口 eth1 具有防火墙保护。当需要通过某个通信端口访问某个程序时,您可以通过 SINUMERIK Operate 开启或关闭防火墙。附加端口可以单独开启。另一种可选方法是通过“basesys.ini”文件来配置防火墙。NCU 物理保护注意数据滥用、操纵和窃取诸如 NCU 等控制系统组件是开放式设备。开放式设备缺乏保护,会构成安全威胁,即非授权人员便可以滥用、操纵或窃取数据,比如:CF 卡上的数据。? 因此必须将 NCU 安装在机箱和封闭的控制柜内或者将它安装在电气控制室内。只有受过专业培训或者经过认证的人员才可以打开机箱、机柜或者进入封闭的电气控制室内。关于此处允许使用的锁具的说明请参见“关键生产区域的物理保护 (页 38)”一章。? 关于 NCU 机柜安装的详细说明,请查阅 SINUMERIK 840D sl NCU 7x0.3 PN 手册 或查阅 SINUMERIK ONE:“NCU1750”和“NCU1760”的相关手册。SINUMERIK 机床控制面板(MCP/MPP)SINUMERIK 机床控制面板(Machine Control Panel,简称 MCP 和 Machine PushButton Panel,简称 MMP)是一种方便客户轻松操作机床功能的面板设备。说明只允许在内部的本地工厂网络中运行机床控制面板(MCP/MPP),并且须针对外部访问采取保护措施。说明固件升级需要进行 MCP/MPP/PP72-48 的固件升级或者需要诊断设备(端口 3845)时,敬请联系西门子服务和支持操作 描述在 PCU 的 BIOS 系统中关闭或开启以太网接口您可以在 PCU 的 BIOS 系统中关闭或开启以太网接口。更多信息请参见 PCU 基础软件调试手册(IM8) 中的章节“BIOS 设置”。关闭或开启USB 接口为避免恶意软件通过 USB 接口入侵控制系统或入侵工厂网络,您可以关闭 NCU 的USB 接口。关闭接口可以使用服务命令“sc_usb disable”。在 Service Desktop 上的对话框“Run”中或在指令提示栏中输入该命令即可。建议您使用该功能来保护系统,防止非法操纵和恶意软件入侵。更多信息请参见 PCU 基础软件调试手册(IM8) 中的章节“关闭USB 接口的步骤”。
操作 描述关闭 SINUMERIK 840D sl上的 PROFINET 端口您可以通过“STEP 7 HW-Config”程序关闭 SINUMERIK PLC 上的 PROFINET 端口(X150),该端口是默认开启的。PROFINET 端口关闭后,便不能访问 SINUMERIKPLC。更多信息请参见 SIMATIC S7-300 CPU 31xC 和 CPU 31x 手册:技术数据 中的章节“端口属性配置”。端口关闭后无通信功能。请注意,关闭端口后系统便不再支持某些通信功能,诸如 PG/OP 功能、开放式 IE 通信和 S7 通信(PROFINET I/O)。关闭 SINUMERIK onEPLC 上的 PROFINET 端口该 PROFINET 端口可以在 TIA Portal 软件中的“设备配置”中关闭。选中 PLC,然后进入菜单“常规 > PROFINET 接口 > gaoji选项 > 端口 > 端口选项”。撤销勾选“为应用激活该端口”。更多信息请参见 TIA Portal 的在线帮助。关闭 SCALANCE X 交换机的PROFINET 端口(从 X200 系列起提供)为确保系统安全运行,我们建议只启用一个网络端口以进行诊断和服务。控制系统、设备或交换机(Scalance X)上的所有其他接口都应关闭,以防止非法访问。更多信息请参见 SIMATIC NET 配置手册:工业以太网交换机 SCALANCE X-200中的章节“端口”。8.1.4.2 通讯服务和使用的端口号SINUMERIK 支持一些通信协议。地址参数、所涉及的通信层、通信角色及通信方向是每个协议的重要信息。利用这些信息,您可以根据使用的协议适当地调整自动化系统的安全保护措施,比如:防火墙。更多信息请参见产品通告“SINUMERIK 端口列表”(即将发布)。SINUMERIK ONE 完整性和真实性保护说明对软件方案的系统强化注意,在使用 SINUMERIK Integrate 软件以及其他 PC 应用程序,比如:Create MyConfi(CMC)或 Access MyMachine(AMM)时,要始终确保运行上述软件和应用的 PC 满足最新的工业信息安全要求。其中例如包括:? 及时安装微软安全更新? 及时更新杀毒软件? 启用防火墙等。更多信息参见章节“系统完整 (页 48)”。8.1.4.4 SINUMERIK ONE 安全启动机制说明仅允许有签名的软件SINUMERIK ONE NCU 上设计有安全启动机制“Secure Boot”,即只有获得西门子签名的软件才允许载入 NCU。该机制不仅针对控制系统的 GIV 软件版本,也针对其他任何软件,比如:SINAMICS TEC。如果导入了“*.tgz”文件但没有随附的“*sig”文件,NCU 便不再启动。此时无法再通过任何接口访问控制系统,之前安装的软件也无法再卸载。8.1.5 防病毒措施考虑到机床的长使用寿命,在控制系统上使用杀毒软件成效不大,不予推荐。具体原因有:? 病毒样本需要持续更新杀毒软件只有不断更新病毒样本,才能有效地查杀病毒。但车间中的机床没有互联网连接,病毒样本更新文件不能轻而易举地传送到机床上。? 变化的病毒样本和后台扫描会降低系统性能后台执行的病毒扫描可能会加重系统负载,并由此影响机床性能。病毒样本列表越长,病毒扫描需要占用的资源也就越多,随着机床使用年限的增加,病毒扫描对其性能的影响也就日趋加重。产品特殊的安全措施8.1 SINUMERIK工业信息安全配置手册, 01/2023, 6FC5397-5EP40-6RA2 61? 短期的技术支持通常,杀毒软件更新包和病毒样本的更新包不会长期提供,随着操作系统技术支持到期,这些更新也就结束了。但机床的使用寿命要比 Windows 操作系统长得多。因此,随着时间的推移,杀毒软件会渐渐无力抵御新型安全威胁。? 对机床功能产生的影响无法预料当更新病毒样本时,一个正常的系统功能可能也会被杀毒软件检测为“可疑操作”并加以阻止,而这种误查杀引发的后果无法预料。建议使用白名单的原因鉴于杀毒软件不能使用,而白名单又具有以下特点,因此,我们建议使用白名单来保护SINUMERIK 系统中基于 Windows 的 IPC:? 通常白名单不需要更新来提供机床持续保护。? 白名单在整个机床使用寿命内都能维持有效防御(此处忽略技术进步)。? 白名单也可以防御一些杀毒软件还无法检测的未知恶意软件。说明数控系统上采取的防病毒措施在数控系统上还必须采取所有其他必要的防病毒措施,其中包括:正确使用数据存储器、U盘和网络连接,在导入数据和安装软件时采取安全防范措施等。SINUMERIK 应用示例此处以软件“McAfee Application Control”为例,介绍如何强化安装了 Windows XP 系统的SINUMERIK PCU 50。该软件需要授权,可以在 PCU 50 上单机(Solidifier/Solidcore)运行。该白名单软件可直接从软件产商处购买。存储卡的防病毒措施在所有配备有存储卡的 SINUMERIK 系统上,必须谨慎小心地使用存储卡,防止恶意软件入侵系统。警告移动存储设备的使用可导致软件被操纵,进而造成生命危险将文件保存在移动存储设备上会提高文件被病毒或恶意软件感染的风险。参数设置错误可导致机器出现故障,从而导致人员重伤或死亡。? 须采取相应的保护措施(如杀毒软件),防止移动存储设备中的文件被恶意软件感染。8.1.6 安全更新 / 补丁管理在西门子交付 IPC 的 PCU 时,由于组织条件所限,无法提供最新版本的 Windows 安全补丁。原则上,基于 Windows 10 的 SINUMERIK IPC 和 LTSB 2016 一起交付。该版本不仅提供延长的技术支持,还可以有针对性地安装补丁,并且不会自动更新。请及时为基于 Windows 的设备安装最新的安全更新。更新应避免在机床运行期间进行。更新时须使用本地的 WSUS 服务器(参见章节““纵深防御”方案 (页 36)”)。说明在安装微软更新前,注意以下一些重要事项:? 在更新前备份系统状态,以备未来可能需要的降级。客户需要自行确认更新包和不同系统配置之间的兼容性。? 在任何情况下都不得直接连接互联网中的 WSUS 服务器!确保安全的连接环境,并设置中间隔离层(比如:DMZ 网络、防火墙、SCALANCE S 模块等)。在实际生产中,通常很难定期更新机床上基于 Windows 操作系统的 IPC,而且在操作系统技术支持到期后,也不会再继续提供更新,因此,IPC 必须根据纵深防御方案 (页 36)实现隔离,比如:通过一个安全路由器并使用白名单。如果发现 NCU 有安全隐患,便会在最新的数控软件版本中考虑并消除发现的安全隐患。说明可用性微软安全更新通过微软安全公告发布。是否使用安全更新完全由用户自己判断,用户可根据微软安全公告中的“最高严重等级评估方法”来权衡。