数据安全建议
为了将数据安全违规的风险降到最低,我们建议对运行应用程序的系统执行以下安排和技术操作。 尽可能避免将PLC和控制网络暴露于开放网络和Internet中。使用附加的数据链路层进行保护,例如用于远程访问的VPN。 安装防火墙机制。 限制对授权人员的访问。 在调试前后,请定期更改任何默认密码。
使用MetaFacture和相应控制器支持的安全功能,例如与控制器通信的加密和限制的用户访问。
可以通过设备上的加密和用户管理来保护与设备的通信。您可以在设备编辑器的通信设置选项卡上更改当前的安全预设。
建立与控制器的连接,登录,安装用于加密通信的可信证书
要求:在控制器上强制执行与控制器的加密通信和用户管理。但是,还没有个人密码。你的计算机上还没有安装证书,没有配置到控制器的连接。
1.在设备树中,双击控制器。⇒设备编辑器打开。
2.点击通讯设置选项卡。
3.点击扫描网络。
4.选择一个控制器。⇒将打开一个对话框,通知您的设备证书没有可信任的通信签名。系统会提示您是否将此证书作为可信证书安装到计算机上的本地“控制器证书”存储区中。
提示!
以这种方式安装的控制器证书仅在30天内有效。这为您提供了以下长期解决方案的时间:
- 创建另一个具有更长期限(例如365天)的自签名证书。如果已安装MetaFacture Security Agent安全代理,即使已存在证书,也可以在安全页面上执行此操作。使用设备编辑器的PLC指令并不是一个方便的解决方法。
见下文: “使用具有更长有效期的控制器证书配置加密通信”- 导入CA-签名的证书。这目前只能通过 runtime 的 PLC shell 命令来实现。因此,我们建议先使用自签名证书。
5.点击确定以确认对话框提示。
⇒该证书被列为受信任的。在第一次接受自签名证书后,您可以再次与控制器建立加密连接,而无需进一步提示。
将打开一个对话框,提示是否应激活设备用户管理。
6.点击是以确认对话框提示。⇒添加设备用户 对话框打开。
7.现在创建一个设备用户,以便作为该用户编辑用户管理。此时只有管理员组可用。为用户指定名称 和 密码。显示密码强度。也可以设置修改密码的选项。默认用户可以随时修改密码。点击确定进行确认。
⇒将打开设备用户登录 对话框。
8.为刚刚定义的用户指定用户名和密码。
⇒已登录控制器。在用户和组选项卡中,可以使用
按钮切换到同步模式。界面为设备用户管理,可对该界面进行编辑。
点击确定确认后,设备用户管理将显示在编辑器视图中。它包含刚刚定义的管理员组。该用户的名称也以设备用户的形式显示在窗口的任务栏中。
9.所有保存的控制器证书(从第5步开始)都保存在计算机上的本地Windows证书存储中。你可以通过执行, certmgr.msc命令访问该内存。⇒在控制器证书中列出了与控制器进行加密通信的所有注册证书。
通过MetaFacture Security Agent为加密通信配置具有更长期有效的控制器证书(推荐)
要求:已安装MetaFacture Security Agent附加产品。您想用有效期较长的证书替换首次连接到受保护的控制器时获得的临时证书(如上所述)。
在这种情况下,安全视图提供了一个额外的选项卡:设备。这允许对用于与控制器进行加密通信的证书进行简单配置。有关操作,请参阅MetaFacture Security Agent的帮助:“通过控制器证书与设备进行加密通信”。
通过设备编辑器的PLC指令安装用于加密通信的控制器证书
当MetaFacture Security Agent对您不可用时,请选择此不太方便的方法。在这种情况下,可以在设备编辑器的PLC 指令选项卡上为通信加密设置一个具有更长期有效的证书。
要求:已连接到控制器。
1.首先,检查控制器上是否已存在合格证书。如果没有可用的证书,则创建一个新的证书。
双击设备树中的控制器,打开设备编辑器,然后选择PLC指令选项卡。
⇒该选项卡显示空白显示窗口。在此下方是命令行。
2.在命令行中键入以下命令:cert-getapplist。
⇒列出所有使用的证书。该列表包含有关runtime组件以及证书是否可用的信息。
3.如果组件CmpSecureChannel的证书仍然不存在,请在输入行中键入以下命令:
cert-genselfsigned
4.点击日志选项卡,然后点击刷新按钮( )。
⇒显示证书是否成功生成。
5.再次切换回PLC指令选项卡并键入命令cert-getapplist。
⇒将显示组件CmpSecureChannel的新证书。
6.在接下来的两个步骤中,在MetaFacture的安全栅栏中激活加密通信。
7.在状态栏中双击打开安全栅栏。
8.在用户选项卡上,选择安全级别组中的强制加密通信选项。
⇒所有控制器的通信都是加密的。如果控制器上没有证书,则无法登录。
开发系统、网关和控制器之间的连接线在控制器的设备编辑器的通讯设置选项卡上显示为黄色。
9.作为应用于所有控制器的强制加密通信选项的替代方案,您还可以仅为特定控制器定义加密通信。为此,请在相应控制器的编辑器中选择通信设置选项卡。然后在设备列表框中点击加密通信。
⇒与该控制器的通信是加密的。如果控制器上没有证书,则无法登录。
开发系统、网关和控制器之间的连接线在控制器的设备编辑器的通讯设置选项卡上显示为黄色。
10.当您第一次加载到控制器时,会弹出一个对话框,提示控制器证书不是由可信任的权威机构签名的。此外,该对话框还显示有关证书的信息,并提示您将其作为可信证书安装到 控制器证书文件夹的本地存储中。
确认对话框后,证书将安装在本地存储中,并登录到控制器。
将来,与控制器的通信将使用此控制证书自动加密。
11.为了提高< V1.0 13.0 控制器的密钥交换的安全性,可以在控制器上生成Diffie-Hellman参数。为此,请在输入行中键入命令cert-gendhparams。
>= V1.0.13.0.的控制器不再需要此功能。
更改通信策略(加密、用户管理)
要求:与设备的连接已经建立。
1.在设备树中,双击控制器。⇒设备编辑器打开。
2.点击通讯设置选项卡。
3.打开编辑器标题中的设备 菜单。点击更改通讯策略。⇒将打开更改通讯策略对话框。
4.在对话框的上部,可以在可选加密,强制加密,和无加密设置之间切换。
5.在对话框的下部,可以在可选用户管理和强制用户管理设置之间切换。
启用和禁用强制加密通讯
要求:设备支持加密通讯。
1.在设备树中,双击控制器。⇒设备编辑器打开。
2.点击通讯设置选项卡。
3.打开编辑器标题中的“设备”菜单。点击加密通讯。状态在启用和禁用之间切换。
⇒如果选择了加密通讯选项,则开发系统,网关和设备之间的连接线将在编辑器中以粗体显示,并在图形表示中以彩色突出显示。