Smernice za raspoređivanje sajber bezbednosti

Bezbednost instalacije i puštanja u rad
Pre povezivanja Ekip Connect na bilo koju mrežu ili uređaje, kakobi se smanjio rizik od narušavanja bezbednosti i zlonamernog softvera, pratite ovu bezbednosnu kontrolnu listu:

1. Operativni sistem

•    Primena na Vindovs 11 sa najnovijim bezbednosnim zakrpama (minimum: Vindovs 10)
•    Omogućite Secure Boot u BIOS-u (obavezno za Vindovs KSNUMKS)

2. Bezbednost radne stanice

•    Ograničite fizički pristup Ekip Connect radnim stanicama
•    Omogući punu enkripciju diska (BitLocker ili ekvivalent)
•    Onemogućavanje autologin; Konfigurišite prijavu zaštićenu lozinkom
•    Konfigurišite automatsko zaključavanje ekrana (preporučuje se 15 minuta)
•    Omogućite Vindovs zaštitni zid sa podrazumevanim odbijanjem dolaznih pravila

3. Zaštita softvera

•    Instalirajte antivirus + antimalvare softver
•    Konfigurišite u realnom vremenu Scanning i dnevne pune skeniranja
•    Omogućite automatsko ažuriranje antivirusnih definicija

4. Autentifikacija korisnika

•    Svi korisnici moraju da se autentifikuju preko MiABB (ako ABB laptop)
•    Sprovodi jake lozinke (minimum 8 znakova, 3 vrste znakova)
•    Omogućite višestruku autentifikaciju (MFA) za MiABB
•    Onemogući istovremene sesije sa istog korisničkog naloga

KSNUMKS. Konfiguracija mreže

•    Primena na namenskom segmentu mreže za upravljanje (odvojeni VLAN)
•    Konfigurišite zaštitni zid da dozvoli samo potrebne odlazne portove:

      • Port 443 / TCP (HTTPS povezivanje u oblaku)

      • Port 53 / UDP (DNS)

      • Port 123/UDP (NTP)

•    Izolujte mreže uređaja iz poslovnih mreža (potreban je zaštitni zid)

6. Automatsko ažuriranje

•    Omogućite automatsko ažuriranje operativnog sistema Vindovs
•    Konfigurišite antivirus za automatsko ažuriranje definicija

7. Inicijalna verifikacija

•    Proverite da li je Secure Boot aktivan
•    Proverite da li je Vindovs zaštitni zid omogućen

•    Proverite da li je antivirus pokrenut i ažuriran

   

Konfiguracija i bezbednost zaštitnog zida

Ekip Connect koristi specifične portove za različite vrste komunikacije. Pravilna konfiguracija zaštitnog zida je od suštinskog značaja za bezbednost.

Obavezni portovi (potrebni za funkcije oblaka)

Port 443 / TCP (HTTPS - Cloud Povezivanje)

• ABB ELSP Digital Manager API
• ABB Sposobnost Platforma za povezivanje
• Pristup biblioteci firmvera
• Ažuriranja i zakrpe za preuzimanje
• Mora biti OMOGUĆEN za funkcije oblaka
• UVEK kodiran (TLS 1.2 ili noviji)

Port 53 / UDP (DNS - Rezolucija imena domena)

• Potrebno za rešavanje ABB cloud krajnjih tačaka
• Mora biti OMOGUĆEN za bilo koju vezu u oblaku
• Nema enkripcije (standardni DNS protokol)

• Preporučite korišćenje pouzdanih DNS servera

   

Preporučeni portovi (preporučuje se)

Port 123 / UDP (NTP - Sinhronizacija vremena)

• Mrežni vremenski protokol za tačnost sistemskog sata
• Važno za tačnost i sigurnost vremenskih oznaka dnevnika
• Preporučuje se, ali nije strogo obavezno

• Omogući ako konfiguracija mreže dozvoljava

   

Komunikacioni portovi uređaja (za veze uređaja)

Port 502 / TCP (Modbus TCP)

• Device-to-Ekip Connect komunikacija preko Etherneta
• DVOSMERNO (uređaj može da se poveže nazad)
• Nešifrovani protokol (potrebna je segmentacija mreže)
• Omogućite samo na mrežama uređaja (ne sa internetom)
• Zaštitni zid treba da ograniči ovaj port samo na ovlašćene uređaje

Port 69 / UDP (TFTP - Trivijalni protokol za prenos datoteka)

• Preuzimanje firmvera i obezbeđivanje uređaja
• DVOSMERNA KOMUNIKACIJA
• Nešifrovano (koristi se samo na izolovanim mrežama)
• Potrebno samo tokom operacija ažuriranja firmvera
• Može se onemogućiti izvan prozora za održavanje

Napomena: dok uređaj Provisioning proces u ABB Abiliti™ EM & AM, budite sigurni da je vaš zaštitni zid pravilno konfigurisan, u skladu sa aktivnim portovima prijavljenim gore. Ako se naiđu na probleme u komunikaciji, pokušajte da privremeno onemogućite zaštitni zid, omogućavajući ga ponovo na kraju procesa obezbeđivanja.