Hướng dẫn triển khai an ninh mạng

Cài đặt & Vận hành Bảo mật
Trước khi kết nối Ekip Connect với bất kỳ mạng hoặc thiết bị nào, đểgiảm thiểu nguy cơ vi phạm bảo mật và phần mềm độc hại, hãy làm theo danh sách kiểm tra bảo mật sau:

1. Hệ điều hành

•    Triển khai trên Windows 11 với các bản vá bảo mật mới nhất (tối thiểu: Windows 10)
•    Bật Khởi động an toàn trong BIOS (bắt buộc đối với Windows 11)

2. An ninh máy trạm

•    Hạn chế quyền truy cập vật lý vào máy trạm Ekip Connect
•    Bật mã hóa toàn bộ ổ đĩa (BitLocker hoặc tương đương)
•    Tắt tự động đăng nhập; Định cấu hình đăng nhập được bảo vệ bằng mật khẩu
•    Định cấu hình khóa màn hình tự động (khuyến nghị 15 phút)
•    Bật Tường lửa Windows với các quy tắc đến từ chối mặc định

3. Bảo vệ phần mềm

•    Cài đặt phần mềm chống vi-rút + chống phần mềm độc hại
•    Định cấu hình Scanning thời gian thực và quét toàn bộ hàng ngày
•    Bật cập nhật định nghĩa chống vi-rút tự động

4. Xác thực người dùng

•    Tất cả người dùng phải xác thực qua MyABB (nếu máy tính xách tay ABB)
•    Thực thi mật khẩu mạnh (tối thiểu 8 ký tự, 3 loại ký tự)
•    Bật xác thực đa yếu tố (MFA) cho MyABB
•    Tắt các phiên đồng thời từ cùng một tài khoản người dùng

5. Cấu hình mạng

•    Triển khai trên phân đoạn mạng quản lý chuyên dụng (VLAN riêng)
•    Định cấu hình tường lửa để chỉ cho phép các cổng đi bắt buộc:

      • Cổng 443 / TCP (kết nối đám mây HTTPS)

      • Cổng 53 / UDP (DNS)

      • Cổng 123 / UDP (NTP)

•    Cách ly mạng thiết bị khỏi mạng doanh nghiệp (yêu cầu tường lửa)

6. Cập nhật tự động

•    Bật cập nhật Windows tự động
•    Định cấu hình phần mềm chống vi-rút để tự động cập nhật định nghĩa

7. Xác minh ban đầu

•    Xác minh Khởi động an toàn đang hoạt động
•    Xác minh Tường lửa Windows đã được bật

•    Xác minh phần mềm chống vi-rút đang chạy và cập nhật

   

Cấu hình tường lửa và bảo mật

Ekip Connect sử dụng các cổng cụ thể cho các loại giao tiếp khác nhau. Cấu hình tường lửa phù hợp là điều cần thiết để bảo mật.

Cổng bắt buộc (Bắt buộc đối với các tính năng đám mây)

Cổng 443 / TCP (HTTPS - Kết nối đám mây)

• API Trình quản lý kỹ thuật số ABB ELSP
• Kết nối Nền tảng khả năng ABB
• Truy cập thư viện chương trình cơ sở
• Tải xuống bản cập nhật và bản vá
• Phải được BẬT cho các tính năng đám mây
• LUÔN được mã hóa (TLS 1.2 trở lên)

Cổng 53/UDP (DNS - Độ phân giải tên miền)

• Bắt buộc để giải quyết điểm cuối đám mây ABB
• Phải được BẬT cho bất kỳ kết nối đám mây nào
• Không mã hóa (giao thức DNS tiêu chuẩn)

• Đề xuất sử dụng máy chủ DNS đáng tin cậy

   

Các cổng được đề xuất (Rất khuyến khích)

Cổng 123 / UDP (NTP - Đồng bộ hóa thời gian)

• Giao thức thời gian mạng cho độ chính xác của đồng hồ hệ thống
• Quan trọng đối với độ chính xác và bảo mật của dấu thời gian nhật ký
• Rất khuyến khích nhưng không bắt buộc nghiêm ngặt

• Bật nếu cấu hình mạng cho phép

   

Cổng giao tiếp thiết bị (Đối với kết nối thiết bị)

Cổng 502 / TCP (Modbus TCP)

• Giao tiếp giữa thiết bị với Ekip Connect qua Ethernet
• HAI CHIỀU (THIẾT BỊ CÓ THỂ KẾT NỐI LẠI)
• Giao thức không được mã hóa (yêu cầu phân đoạn mạng)
• Chỉ bật trên mạng thiết bị (không giao diện internet)
• Tường lửa chỉ nên hạn chế cổng này cho các thiết bị được ủy quyền

Cổng 69 / UDP (TFTP - Giao thức truyền tệp tầm thường)

• Tải xuống chương trình cơ sở và cung cấp thiết bị
• Giao tiếp hai chiều
• Không được mã hóa (chỉ sử dụng trên các mạng biệt lập)
• Chỉ cần thiết trong quá trình cập nhật chương trình cơ sở
• Có thể bị vô hiệu hóa bên ngoài cửa sổ bảo trì

Lưu ý: trong quá trình cung cấp thiết bị vào ABB Ability™ EM & AM, hãy đảm bảo tường lửa của bạn được cấu hình đúng cách, theo các cổng hoạt động được báo cáo ở trên. Nếu gặp sự cố liên lạc, hãy thử tạm thời tắt tường lửa của bạn, bật lại tường lửa khi kết thúc quá trình Cung cấp.