SIEMENS西门子 软起动器 3RW4037-1BB05

       有关将接口模块复位为出厂设置的更多信息，请参见将接口模块复位为出厂设置 (页 408)章节。说明TIA Portal V19使用 TIA Portal V19 时，如果在“复位为出厂设置”中启用了“删除 I&M 数据”选项，则仅会安全删除通信参数。删除通信参数：• IP 地址• 设备名称• PROFINET 组态数据如果想要安全删除所有数据，请使用上面列出的工具之一来实现此目的。4.7.9.2 回收和处理为了确保旧设备的回收和处理符合环保要求，请联系经认证的电子废料处理服务机构，并根据所在国家的相关规定进行回收处理。4.8 工程软件的安全操作有关工程软件安全操作的更多信息，请参见 TIA Portal 在线帮助。4.9 CPU 的安全操作本节将介绍西门子建议的措施，以保护您的设备免遭篡改和未经授权的访问。4.9.1 安全组态有关端口、服务和默认状态的信息，请参见“通信功能手册用户帐户管理每个活动用户都代表着潜在的安全风险，因此创建和管理具有适当使用权限的用户帐户是一项重要措施。采取以下安全措施：• 培训相关人员，使其了解自己的权限和密码分配• 定期检查用户帐户有关创建和管理用户帐户的信息，请参见 STEP 7 (TIA Portal) 的在线帮助文档的“本地用户管理 (页 287)”部分。分配安全密码使用不安全的密码很容易导致数据滥用。不安全的密码很容易被猜到或破解。• 因此，在调试过程中请务必更改默认密码，并针对不同的功能和设备使用不同的密码。• 更改密码时，请勿使用过去使用过的密码（或部分密码）。• 此外，更改您个人不使用的功能的密码，以防止这些不使用的功能遭到滥用。• 始终对您的密码保密，并确保只有授权人员才能获取相应的密码。• 超过所需的Zui小密码长度并使用小写和大写字母、数字和字符的混合。STEP 7 在线帮助 (TIA Portal) 提供了有关创建安全密码的信息。具有密码保护的所有组件和功能概览具有密码保护的组件和功能 备注SIMATIC S7 应用程序 请参见“SIMATIC S7 应用程序– 关于如何修改密码的说明– 关于如何删除或重置密码的说明– 有关如何通过 SIMATIC 存储卡分配密码的说明• 如果 CPU 包含显示屏，可通过显示屏组态对受密码保护的 CPU 的访问，请参见“使用显示屏设置附加密码保护 (页 302)”部分• 对于用户管理和访问控制，请使用“本地用户管理 (页 287)”。• 使用密码提供程序：在 STEP 7 中，您可以设置密码提供程序。请参见“专有技术保护(页 303)”部分。• 或者，也可以使用市售的密码管理程序 设置保护等级有关设置 CPU 保护级别和分配用户权限的详细信息，请参见“组态 CPU 的访问保护(页 298)”部分和 STEP 7 在线帮助 (TIA Portal)。保护功能CPU 的集成保护功能可防止未经授权的访问。有关 CPU 支持的保护功能的概述，请参见相应的设备手册。有关保护功能及其激活的说明Web 服务器S7-1500 系列 CPU 具有集成的 Web 服务器。它具有内置的安全功能：• 使用 CA 签名的 Web 服务器证书，通过安全传输协议“HTTPS”进行访问• 用户授权可通过用户列表组态• 激活特定的接口安全通信/OPC UA安全通信和 OPC UA 协议的保护功能可提供额外的保护。敏感数据可以通过适当的措施（例如密码和保护功能）来保护安全相关敏感数据。对于某些数据，系统内部已经实施了必要的保护措施（如 TIA Portal 中的证书管理）。备份和数据备份成功的安全概念应包含成功安装后的定期备份或数据备份。无论是想要在所做更改没有达到预期效果时按需恢复项目，还是想要在紧急情况下保存安装内容，都需要备份。用于备份 STEP 7 项目的选项：• 通过在线备份进行项目备份，请参见文章“在线备份其他网络安全防护措施要通过其他措施保护 CPU，可以使用以下选项：• 使用具有安全功能的 CP 1543-1 或 CP 1545-1而以太网 CP 则可基于防火墙提供额外的访问保护和建立 VPN 安全连接。请参见操作说明 SIMATIC NET：S7-1500 - 工业以太网 CP 1543-1• 有多重下列措施可防止从外部源和网络对 CPU 的功能和数据进行未经授权的访问。有关保护功能的信息，请参见“保护功能概述 (页 286)”部分的“保护 CPU 的进一步措施”。• 有关用于防止未经授权的访问的网络安全和网络组件的信息，请参见“PROFINET 功能使用 Web 服务器如果使用 Web 服务器，传统防火墙已无法为现代网络提供充分保护。有关使用 Web 服务器时潜在风险的信息，请参见“Web 服务器功能手册记录安全事件Syslog 存储Syslog 表示“系统日志记录协议”，是存储、传输和收集安全事件触发的日志消息的标准。网络设备中的预定义事件被收集为设备（Syslog 客户端）中的安全事件，并作为 Syslog消息存储在本地缓存中。Syslog 服务器分类采集 Syslog 消息，然后可以通过多种方式对这些消息进行分析、过滤和显示。此外，还可以组态关键事件的通知。收集的这些安全事件存储在 CPU 诊断缓冲区中：• 使用正确或错误的密码转至在线• 检测到通信数据遭到篡改• 检测到存储卡中的数据遭到篡改• 检测到固件更新文件遭到篡改• 将更改的保护等级（访问保护）下载到 CPU 中• 启用或禁用密码验证（通过指令，或在适用情况下通过 CPU 显示屏）• 由于超出了所允许的并行访问尝试次数，在线访问遭到拒绝• 现有的在线连接未激活而导致超时• 使用正确或错误的密码登录 Web 服务器• 创建 CPU 的备份• 恢复 CPU 组态（恢复）自固件版本 V3.1 起，上面列出的安全事件也作为 Syslog 消息存储在 CPU 的本地缓存中。有关所有 Syslog 消息的概述，请前往以下“网址Syslog 消息的内容基于 IEC 62443-3-3 标准。更多信息，请参见“Syslog 消息 (页 59)”部分。连接到 SIEM 系统可以在 Syslog 服务器上安装 SIEM 系统（安全信息和事件管理），以便实时分析安全事件。

       Syslog 消息使用 Syslog 消息举例来说，有关自动化组件 IT 安全的guojibiaozhun和国家法规要求能够记录安全相关事件。Syslog（系统日志记录）是用于传送已记录事件的 IETF 标准协议 (RFC 5424)，并满足这一要求。CPU 可以记录以下事件，例如：• 安全事件• 固件更新• 对用户程序的更改• 对组态的更改• 对运行状态的更改无法停用安全相关事件的收集。每个固件版本为 V3.1 及更高版本的 CPU 都会将 syslog 消息保存在本地缓存中。通过查询该缓冲，可查看 syslog 消息并识别潜在的安全风险。CPU 的本地缓存被组织为环形缓冲区。当达到缓存的存储限制并且发生其它安全事件时，缓存中Zui旧的消息将被覆盖。如果要使用 syslog 消息访问本地缓存，请使用 Web 服务器的 Web API（API 方法Syslog.Browse）。有关操作步骤的信息，请参见“Web 服务器”功能手册。可选择将 CPU 收集的事件传送到网络中的 syslog 服务器。转发给 syslog 服务器自 STEP 7 V19 起，对于固件版本为 V3.1 及更高版本的 CPU，可以将 syslog 消息传送到服务器，例如 SINEC INS。Syslog 消息通过 syslog 协议传送到 syslog 服务器。Syslog 服务器会保存所连接设备发出的所有 syslog 消息。系统和网络事件的消息集中存储在 syslog服务器的存储位置中。在 syslog 服务器界面，可查看收集的 syslog 消息，从而确定潜在安全风险或问题的来源。默认情况下，Syslog 消息通过端口 514 (UDP) 或端口 6514（基于 TCP 的 TLS）发送到Syslog 服务器。说明如果使用 UDP 作为传输协议，则数据传输时不会加密。UDP 也省略了身份验证。在安全信息和事件管理系统（SIEM 系统）中进行处理为了能够接受传入的 syslog 消息，SIEM-系统必须根据 RFC 5424 理解 syslog 协议。否则，SIEM 系统无法接受或处理传入的消息。SIEM 系统将传入的 syslog 消息分为单独的元素。这些元素在 SIEM 系统中分配给其自有的事件。在该事件中，会分析各个 syslog 消息之间是否存在连接。SIEM 系统通过这种方式检测可能的攻击模型，并在必要时通知用户，比如系统中多个点遭受多次攻击的情况。① CPU② Syslog 消息③ Syslog 服务器，例如 SINEC INS④ SIEM 系统⑤ 通知用户转发将 syslog 消息传送到 syslog 服务器要求如果要将 CPU 的 syslog 消息传送到 syslog 服务器，必须满足以下要求：• STEP 7 版本 V19 及更高版本• CPU 的固件版本为 V3.1 及更高版本• 已在 STEP 7 中创建项目。• STEP 7 的设备或网络视图已打开操作步骤要将 CPU 组态为向 syslog 服务器传送 syslog 消息，请执行以下步骤：1. 在 STEP 7 的设备或网络视图中选择所需 CPU。2. 在巡视窗口中，导航至“属性 > 保护和安全 > Syslog > Syslog 服务器”(Properties >Protection & Security > Syslog > Syslog server)。3. 在“连接到 Syslog 服务器”(Connection to syslog server) 区域中，选择“启用 Syslog 消息到 Syslog 服务器的传输”(Enable transfer of syslog messages to a syslog server) 选项。以下选项变为可编辑状态。4. 从“传输协议”下拉列表中选择以下选项中的一项：– “传输层安全性 (TLS) - 服务器和客户端身份验证”(Transport Layer Security (TLS) -server and client authentication)：加密数据传输、syslog 服务器和客户端 (CPU) 必须验证自身身份。– “传输层安全性 (TLS) - 仅服务器身份验证”(Transport Layer Security (TLS) - onlyserver authentication)：加密数据传输，只有 syslog 服务器需要验证自身身份。– “UDP”：未加密的数据传输，syslog 服务器和客户端（CPU）都不需要验证自身身份。接下来的几部分将介绍如何根据指定的设置选择身份验证证书（登录）。5. 在“syslog 服务器的地址”列，输入有效的服务器地址。6. 在“端口”列，根据使用的传输协议输入以下端口号之一：– TLS 的标准 TCP 端口：6514– 标准 UDP 端口：514结果：已组态将 syslog 消息传送到 syslog 服务器。 已组态将 syslog 消息传送到 syslog 服务器选择客户端证书STEP 7 为 TLS 传输协议提供 CPU 所需的客户端证书。如果证书是在 CPU 内管理的，则可选择已有证书或创建新证书。为此，请按以下步骤操作：1. 在 STEP 7 的设备或网络视图中选择所需 CPU。2. 在巡视窗口中，导航至“属性 > 保护和安全 > Syslog > Syslog 证书”(Properties >Protection & Security > Syslog > Certificates for Syslog)。3. 在“客户端证书”(Client certificate) 字段中选择相应的证书。选择服务器身份验证选择 TLS 传输协议后，已组态的 syslog 服务器必须验证自己的身份，这样可确保 CPU 仅会连接到可信任的服务器。如果要放弃服务器身份验证，请激活运行过程中自动接受服务器证书。要组态这些设置，请按以下步骤操作：1. 在 STEP 7 的设备或网络视图中选择所需 CPU。2. 在巡视窗口中，导航至“属性 > 保护和安全 > Syslog > Syslog 证书”(Properties >Protection & Security > Syslog > Certificates for Syslog)。3. 在“可信任的服务器”(Trusted servers) 区域中，指定是否应对连接的 Syslog 服务器进行身份验证。在这种情况下，需要完善以下信息：– 添加可信任的服务器：在“使用者的公共名称”列中添加有效的服务器证书。– 运行过程中自动接受证书：激活“运行过程中自动接受服务器证书”选项。无法在表格中进行编辑。说明无需使用自动接受的服务器证书进行身份验证如果启用“运行过程中自动接受服务器证书”选项，则服务器不需要验证自身身份。这意味着 CPU 还可以连接到可能存在安全风险的未知服务器。仅在调试期间或在受保护的环境中选择此选项。