网络安全部署指南

This article has been translated automatically. See the original version.

安装与调试安全
在将Ekip Connect连接到任何网络或设备之前,为了最大限度地减少安全漏洞和恶意软件的风险,请遵循以下安全检查清单:

1. 操作系统

  • 在Windows 11上部署,并安装最新安全补丁(最低限度:Windows 10,官方支持将于2027年1月结束)

    威胁缓解已知操作系统漏洞、未修补的安全漏洞以及系统级权限升级攻击。

  • 在 BIOS 中启用安全启动(Windows 11 强制)

    威胁缓解: Bootkit攻击、未经授权的启动级代码执行及对启动过程的篡改

2. 工作站安全

  • 限制对 Ekip Connect 工作站的物理访问

    威胁缓解: 物理篡改、未经授权的设备访问和直接硬件操作。

  • 启用全盘加密(BitLocker 或等效工具)

    威胁缓解如果工作站被盗或物理损坏,数据被盗;未经授权访问敏感存储数据。

  • 禁用自动登录;配置密码保护登录

    威胁缓解威胁行为者拥有物理访问权限或获得解锁工作站访问权限的未经授权访问。

  • 配置自动屏幕锁定(建议15分钟)

    威胁缓解用户缺席期间对EkipConnect应用及连接系统的未经授权访问

  • 启用Windows防火墙并默认拒绝入站规则

    威胁缓解未授权网络访问、未经请求的进站流量以及恶意软件的命令控制通信。

3. 软件保护

  • 安装杀毒软件 + 反恶意软件

    威胁缓解恶意软件感染、木马执行以及工作站上运行的恶意代码。

  • 配置实时Scanning和每日全扫描。

    威胁缓解实时检测和防止恶意软件执行;识别休眠或近期引入的威胁。

  • 启用自动杀毒软件定义更新

    威胁缓解新发现或新发现的恶意软件变种规避杀毒检测。

4. 用户认证

  • 所有用户必须通过MyABB(如果是ABB笔记本电脑)进行身份验证

    威胁缓解未经认证或冒充用户未经授权访问EkipConnect。

  • 强制执行强密码(至少8个字符,3个字符类型)

    威胁缓解暴力破解攻击、字典攻击以及威胁行为者的密码猜测。

  • 为MyABB启用多因素认证(MFA)

    威胁缓解:即使用户凭证被泄露或被盗,账户接管和未经授权访问也无

  • 禁用同一用户账户中的并发会话

    威胁缓解使用被盗或被泄露的凭证在不同工作站或设备上进行未经授权的访问。

5. 网络配置

  •  部署到专用管理网络段(独立VLAN)

    威胁缓解攻击者从被攻破的企业系统横向移动;对关键管理功能的未经授权访问。

  • 配置防火墙只允许必要的出站端口:

      • 端口443/TCP(HTTPS云连接)

      • 端口53/UDP(DNS)

      • 端口123/UDP(NTP)

    威胁缓解防止未经授权的外发通信、恶意软件的命令与控制回调,以及数据泄露到攻击者基础设施。

  • 将设备网络与企业网络隔离(需要防火墙)

    威胁缓解企业与关键设备网络之间的横向移动;对安全关键设备的未经授权访问。

6. 自动更新

  • 启用自动Windows更新

    威胁缓解及时部署已知操作系统漏洞和系统级安全补丁。

  • 配置杀毒软件以自动更新定义

    威胁缓解: 新型恶意软件变种和零日恶意软件威胁的侦测规避。

7. 初步验证

  • 确认安全启动是否激活
  • 验证Windows防火墙是否启用
  •  确认杀毒软件是否运行并更新

    威胁缓解配置错误、安全控制遗漏以及强制安全基线部署不完整。

     

防火墙配置与安全性

Ekip Connect 使用特定端口进行不同类型的通信。正确的防火墙配置对安全至关重要。

 

强制移植(云功能必需)

端口443/TCP(HTTPS - 云连接)

  • ABB ELSP 数字管理器 API
  • ABB能力平台连接
  • 固件库访问
  • 更新和补丁下载
  • 云功能必须启用
  • 始终加密(TLS 1.2及以上)

    威胁缓解通信中的中间人(MITM)攻击(通过TLS加密缓解);未经授权访问云API和固件库;固件更新和安全补丁的拦截

端口53/UDP(DNS - 域名解析)

  • 解析ABB云端点的必要条件
  • 任何云连接都必须启用
  • 无加密(标准DNS协议)
  • 建议使用可信赖的DNS服务器

    威胁缓解将EkipConnect重定向到恶意云端点的DNS伪装攻击;DNS缓存中毒;未经授权的云连接重定向

     

推荐移植(强烈推荐)

端口123/UDP(NTP - 时间同步)

  • 用于系统时钟精度的网络时间协议
  • 对日志时间戳的准确性和安全性非常重要
  • 强烈推荐,但并非绝对强制
  • 如果网络配置允许,请启用

    威胁缓解日志时间戳篡改与操控;时钟偏移攻击使基于时间的安全控制失效;不准确的审计追踪与事件重建

     

设备通信端口(用于设备连接)

端口502/TCP(Modbus TCP)

  • 设备与 Ekip Connect 通过以太网的通信
  • 双向(设备可以重新连接)
  • 未加密协议(需要网络分段)
  • 只在设备网络上启用(非面向互联网的网络)
  • 防火墙应该只允许授权设备访问该端口

    威胁缓解未经授权的设备通信和参数操作;连接管理界面的恶意设备;对未加密设备流量进行窃听(通过网络分段来缓解);来自未授权网络段的拒绝服务攻击

端口69/UDP(TFTP - 简单文件传输协议)

  • 固件下载与设备配置
  • 双向通信
  • 未加密(仅用于孤立网络)
  • 仅在固件更新操作期间需要
  • 可以在维护窗口外禁用

    威胁缓解未经授权的固件下载和部署;通过TFTP进行恶意固件注入,中间人攻击(通过网络隔离缓解);未经授权的设备配置;未加密固件传输时的窃听

 

注意:在设备配置到ABB Ability™ EM和AM过程中,确保防火墙配置正确,符合上述活跃端口。如果遇到通信问题,尝试暂时禁用防火墙,在配置过程结束时重新启用防火墙。

 

有关Modbus安全部署指南和安全信息的更多详情,请点击 这里