แนวทางการปรับใช้ความปลอดภัยทางไซเบอร์

การติดตั้งและการว่าจ้างความปลอดภัย
ก่อนเชื่อมต่อ Ekip Connect กับเครือข่ายหรืออุปกรณ์ใดๆเพื่อลดความเสี่ยงของการละเมิดความปลอดภัยและมัลแวร์ ให้ทําตามรายการตรวจสอบความปลอดภัยนี้:

1. ระบบปฏิบัติการ

•    ปรับใช้บน Windows 11 ด้วยแพตช์ความปลอดภัยล่าสุด (ขั้นต่ํา: Windows 10)
•    เปิดใช้งาน Secure Boot ใน BIOS (บังคับสําหรับ Windows 11)

2. ความปลอดภัยของเวิร์กสเตชัน

•    จํากัดการเข้าถึงเวิร์กสเตชัน Ekip Connect ทางกายภาพ
•    เปิดใช้งานการเข้ารหัสดิสก์แบบเต็ม (BitLocker หรือเทียบเท่า)
•    ปิดใช้งานการเข้าสู่ระบบอัตโนมัติ กําหนดค่าการเข้าสู่ระบบที่ป้องกันด้วยรหัสผ่าน
•    กําหนดค่าการล็อกหน้าจออัตโนมัติ (แนะนํา 15 นาที)
•    เปิดใช้งานไฟร์วอลล์ Windows ด้วยกฎขาเข้าที่ปฏิเสธเริ่มต้น

3. การป้องกันซอฟต์แวร์

•    ติดตั้งซอฟต์แวร์ป้องกันไวรัส + มัลแวร์
•    กําหนดค่า Scanning แบบเรียลไทม์และการสแกนแบบเต็มรายวัน
•    เปิดใช้งานการอัปเดตคําจํากัดความของโปรแกรมป้องกันไวรัสอัตโนมัติ

4. การรับรองความถูกต้องของผู้ใช้

•    ผู้ใช้ทุกคนต้องตรวจสอบสิทธิ์ผ่าน MyABB (หากเป็นแล็ปท็อป ABB)
•    บังคับใช้รหัสผ่านที่รัดกุม (ขั้นต่ํา 8 อักขระ 3 ประเภทอักขระ)
•    เปิดใช้งานการรับรองความถูกต้องแบบหลายปัจจัย (MFA) สําหรับ MyABB
•    ปิดใช้งานเซสชันพร้อมกันจากบัญชีผู้ใช้เดียวกัน

5. การกําหนดค่าเครือข่าย

•    ปรับใช้ในส่วนเครือข่ายการจัดการเฉพาะ (VLAN แยกต่างหาก)
•    กําหนดค่าไฟร์วอลล์เพื่ออนุญาตเฉพาะพอร์ตขาออกที่จําเป็นเท่านั้น:

      • พอร์ต 443/TCP (การเชื่อมต่อคลาวด์ HTTPS)

      • พอร์ต 53/UDP (DNS)

      • พอร์ต 123/UDP (NTP)

•    แยกเครือข่ายอุปกรณ์ออกจากเครือข่ายองค์กร (ต้องใช้ไฟร์วอลล์)

6. การอัปเดตอัตโนมัติ

•    เปิดใช้งานการอัปเดต Windows อัตโนมัติ
•    กําหนดค่าโปรแกรมป้องกันไวรัสเพื่ออัปเดตคําจํากัดความอัตโนมัติ

7. การตรวจสอบเบื้องต้น

•    ตรวจสอบว่า Secure Boot ทํางานอยู่
•    ตรวจสอบว่า Windows Firewall เปิดใช้งานอยู่

•    ตรวจสอบว่าโปรแกรมป้องกันไวรัสกําลังทํางานและอัปเดต

   

การกําหนดค่าไฟร์วอลล์และความปลอดภัย

Ekip Connect ใช้พอร์ตเฉพาะสําหรับการสื่อสารประเภทต่างๆ การกําหนดค่าไฟร์วอลล์ที่เหมาะสมเป็นสิ่งสําคัญสําหรับการรักษาความปลอดภัย

พอร์ตบังคับ (จําเป็นสําหรับคุณสมบัติระบบคลาวด์)

พอร์ต 443/TCP (HTTPS - การเชื่อมต่อระบบคลาวด์)

• API ตัวจัดการดิจิทัล ABB ELSP
• การเชื่อมต่อแพลตฟอร์มความสามารถของ ABB
• การเข้าถึงไลบรารีเฟิร์มแวร์
• ดาวน์โหลดการอัปเดตและแพตช์
• ต้องเปิดใช้งานสําหรับคุณสมบัติระบบคลาวด์
• เข้ารหัสเสมอ (TLS 1.2 หรือสูงกว่า)

พอร์ต 53/UDP (DNS - การแก้ไขชื่อโดเมน)

• จําเป็นในการแก้ไขปลายทางระบบคลาวด์ของ ABB
• ต้องเปิดใช้งานสําหรับการเชื่อมต่อระบบคลาวด์
• ไม่มีการเข้ารหัส (โปรโตคอล DNS มาตรฐาน)

• แนะนําให้ใช้เซิร์ฟเวอร์ DNS ที่เชื่อถือได้

   

พอร์ตที่แนะนํา (แนะนําเป็นอย่างยิ่ง)

พอร์ต 123/UDP (NTP - การซิงโครไนซ์เวลา)

• Network Time Protocol เพื่อความแม่นยําของนาฬิการะบบ
• สําคัญต่อความถูกต้องและความปลอดภัยของการประทับเวลาบันทึก
• แนะนําเป็นอย่างยิ่ง แต่ไม่บังคับอย่างเคร่งครัด

• เปิดใช้งานหากการกําหนดค่าเครือข่ายอนุญาต

   

พอร์ตสื่อสารอุปกรณ์ (สําหรับการเชื่อมต่ออุปกรณ์)

พอร์ต 502/TCP (Modbus TCP)

• การสื่อสารระหว่างอุปกรณ์กับ Ekip Connect ผ่านอีเธอร์เน็ต
• แบบสองทิศทาง (อุปกรณ์สามารถเชื่อมต่อกลับได้)
• โปรโตคอลที่ไม่ได้เข้ารหัส (จําเป็นต้องมีการแบ่งส่วนเครือข่าย)
• เปิดใช้งานบนเครือข่ายอุปกรณ์เท่านั้น (ไม่หันหน้าเข้าหาอินเทอร์เน็ต)
• ไฟร์วอลล์ควรจํากัดพอร์ตนี้ไว้เฉพาะอุปกรณ์ที่ได้รับอนุญาตเท่านั้น

พอร์ต 69/UDP (TFTP - โปรโตคอลการถ่ายโอนไฟล์เล็กน้อย)

• การดาวน์โหลดเฟิร์มแวร์และการจัดเตรียมอุปกรณ์
• การสื่อสารแบบสองทิศทาง
• ไม่เข้ารหัส (ใช้เฉพาะบนเครือข่ายที่แยกจากกัน)
• จําเป็นระหว่างการดําเนินการอัพเดตเฟิร์มแวร์เท่านั้น
• สามารถปิดใช้งานนอกหน้าต่างการบํารุงรักษา

หมายเหตุ: ในขณะที่กระบวนการจัดเตรียมอุปกรณ์ใน ABB Ability™ EM & AM ตรวจสอบให้แน่ใจว่าไฟร์วอลล์ของคุณได้รับการกําหนดค่าอย่างถูกต้องตามพอร์ตที่ใช้งานอยู่ที่รายงานข้างต้น หากพบปัญหาในการสื่อสาร ให้ลองปิดใช้งานไฟร์วอลล์ของคุณชั่วคราว โดยเปิดใช้งานอีกครั้งเมื่อสิ้นสุดกระบวนการจัดเตรียม