Küberturvalisuse juurutamise juhised

Paigaldus- ja kasutuselevõtu turvalisus
Enne Ekip Connect'i ühendamist mis tahes võrgu või seadmega, etvähendada turvarikkumiste ja pahavara riski, järgige seda turvakontrollnimekirja:

1. Operatsioonisüsteem

•    Juuruta Windows 11-le uusimate turvaparandustega (miinimum: Windows 10)
•    Luba turvaline käivitamine BIOS-is (kohustuslik Windows 11 puhul)

2. Tööjaama turvalisus

•    Piira füüsilist ligipääsu Ekip Connect tööjaamadele
•    Luba täisketta krüpteerimine (BitLocker või samaväärne)
•    Keela automaatne sisselogimine; Seadista parooliga kaitstud sisselogimine
•    Seadista automaatne ekraanilukustus (soovitatav 15 minutit)
•    Luba Windowsi tulemüür vaikimisi keelatud sissetulevate reeglitega

3. Tarkvarakaitse

•    Paigalda viirusetõrje + pahavaratõrje tarkvara
•    Seadista reaalajas Scanning ja igapäevased täisskannid
•    Luba automaatsed viirusetõrje definitsiooni uuendused

4. Kasutaja autentimine

•    Kõik kasutajad peavad autentima MyABB kaudu (kui ABB sülearvuti)
•    Rakenda tugevaid paroole (vähemalt 8 märki, 3 tähemärki)
•    Luba MyABB jaoks mitmefaktoriline autentimine (MFA)
•    Keela samaaegsed sessioonid samast kasutajakontost

5. Võrgu konfiguratsioon

•    Juuruta pühendatud haldusvõrgu segmendis (eraldi VLAN)
•    Seadista tulemüür lubama ainult vajalikke väljaminevaid porte:

      • Port 443/TCP (HTTPS pilveühendus)

      • Port 53/UDP (DNS)

      • Port 123/UDP (NTP)

•    Isoleeri seadmevõrgud ettevõtte võrkudest (tulemüür vajalik)

6. Automaatsed uuendused

•    Luba automaatsed Windowsi uuendused
•    Seadista viirusetõrje automaatselt definitsioonide uuendamiseks

7. Esialgne kontroll

•    Veendu, et turvaline käivitamine on aktiivne
•    Kontrolli, et Windowsi tulemüür on lubatud

•    Kontrolli, et viirusetõrje töötab ja uuendab

   

Tulemüüri konfiguratsioon ja turvalisus

Ekip Connect kasutab erinevateks sidetüüpideks spetsiifilisi porte. Õige tulemüüri konfiguratsioon on turvalisuse tagamiseks hädavajalik.

Kohustuslikud pordid (pilvefunktsioonide jaoks vajalikud)

Port 443/TCP (HTTPS - pilveühendus)

• ABB ELSP Digital Manageri API
• ABB võimekuse platvormi ühenduvus
• Püsivara teegi ligipääs
• Uuendused ja parandused laadivad alla
• Peab olema LUBATUD pilvefunktsioonide jaoks
• ALATI krüpteeritud (TLS 1.2 või kõrgem)

Port 53/UDP (DNS - domeeninime lahendus)

• Vajalik ABB pilvelõpp-punktide lahendamiseks
• Peab olema LUBATUD iga pilveühenduse jaoks
• Ei mingit krüpteerimist (standardne DNS-protokoll)

• Soovitan kasutada usaldusväärseid DNS-servereid

   

Soovitatud portid (väga soovitatav)

Port 123/UDP (NTP - ajasünkroniseerimine)

• Võrguaja protokoll süsteemi kella täpsuse tagamiseks
• Oluline logi ajatempli täpsuse ja turvalisuse tagamiseks
• Väga soovitatav, aga mitte rangelt kohustuslik

• Luba, kui võrgukonfiguratsioon seda lubab

   

Seadme sideportid (seadmeühenduste jaoks)

Port 502/TCP (Modbus TCP)

• Seadme-Ekip Connect suhtlus Etherneti kaudu
• KAHESUUNALINE (seade saab tagasi ühenduda)
• Krüpteerimata protokoll (võrgu segmenteerimine vajalik)
• Lubatakse ainult seadmevõrkudes (mitte internetiühenduses)
• Tulemüür peaks piirama selle pordi ainult volitatud seadmetele

Port 69/UDP (TFTP - Triviaalne failiedastusprotokoll)

• Püsivara allalaadimine ja seadme provisioneerimine
• KAHEPOOLNE kommunikatsioon
• Krüpteerimata (kasutatakse ainult isoleeritud võrkudes)
• Vajalik on ainult püsivara uuenduste ajal
• Saab välja lülitada väljaspool hooldusakendeid

Märkus: kui seade seadistab ABB Ability EM & AM-i™, veendu, et su tulemüür oleks õigesti seadistatud vastavalt ülaltoodud aktiivsetele portidele. Kui tekivad suhtlusprobleemid, proovi tulemüür ajutiselt keelata ja lubada see uuesti Provisioning protsessi lõpus.