在变频器上执行的软件。“Runtime”也被称为“固件”。 授权 指赋予某系统实体权限来访问系统资源。 完整性电子数据的完整性证明是指数据完备且无更改。对电子数据完整性的保护必须与可靠性(参见 “可靠性”)保护的措施相结合。防护措施例如使用加密程序。 网络安全 网络安全指针对网络攻击为计算机、服务器、移动设备、电子系统、网络和数据采取的防范措施。它也包含了信息技术安全和电子信息安全。网络安全涉及面很广,涵盖从计算机安全到安全事件发生后的系统恢复,再到Zui终用户培训的方方面面。 网络地址转换 NAT 网络地址转换(Network AddressTranslation,缩写为 NAT),是一种在 IP 路由器中使用的、 用于将本地网络接入互联网的方法。通常互联网接入只具有一个IP 地址(IPv4),因此,本 地网络中的所有其他站点只需要一个私有 IP 地址便已足够。私有 IP 地址虽然可以多次使用,但在公共网络中却失去有效性,因此,具有私有 IP 地址的站点无法和本地网络外的站点通讯。 为了使所有具有私有 IP地址的站点都能够接入互联网,互联网接入路由器必须修改所有发 出的数据包,将其中的私有 IP 地址转换为公共的 IP地址。收到数据包时,路由器通过一张 保存的当前 TCP 端口号表格来决定将数据包发给哪个正确的站点。也就是说,NAT 路由器记住了哪个数据包属于哪个 TCP 端口。这种方法被称为“网络地址转换”。 网络钓鱼网络钓鱼指利用欺骗性的电子邮件、伪造的链接或短消息作为诱饵,引诱收信人给出密码。钓鱼者会伪造官方或正式的电子邮件或仿冒网站,获取敏感信息。他们会利用操作系统或网 络浏览器的漏洞,或者利用偷偷安装的恶意软件。网络攻击指摧毁资源、破坏其保护、修改、使其失去功能、窃取或未经授权地访问其中的数据、以非 法方式使用资源这些进攻动作。物联网:Internet of Things (IoT)指一个巨大的全球信息网络,在该网络中,物理实体和虚拟物体相互连接,并通过信息技术 和通讯技术协同工作。 系统强化系统强化或强制指安全配置 IT 系统。目标是通过各种技术手段来来消除并封堵安全漏洞,并 减小网络攻击的攻击范围。其中包括:关闭不必要的服务、对访问权限设置限制等。19.点击“下一步”。 所选设置显示在屏幕上。 20.点击“完成”。一条安全警告显示在屏幕上。 21.如果要安装此证书,点击“是”。 表示导入成功的消息显示在屏幕上。 结果根证书导入到操作单元的证书库中。 如果重新调用网络服务器,浏览器会将此 HTTPS 证书归类为受信任的证书,并与网络服务器建立受保护的 HTTPS 连接 显示证书信息 概述 网络服务器在“保护 &安全”功能视图中显示所用证书的基本信息。所显示的信息自动生成, 不可编辑。 前提条件 • 变频器和操作单元相互连接。 可以在“保护 &安全”功能视图中查看 X127 和 X150 接口的设置。 • 使用具有“管理用户和角色”权限的用户登录。操作步骤 1. 调用“保护& 安全”功能权限。 2. 打开下拉列表“证书”。
DMZ是英文“demilitarized zone”的缩写,中文名称为“非军事化区”,它是一个单独子网, 通过防火墙路由器(A 和B)实现局域网和互联网之间的隔离。防火墙路由器经过适当配置,如果某数据包之前没有发送过,它会拒绝该数据包。也就是说,当试图从互联网向服务器发 送数据包时,防火墙路由器 A会拒绝该数据包。而即使黑客劫持了对 DMZ 内部某个服务器 的访问,并试图向 LAN 发送数据包以窥探或破解数据时,防火墙路由器 B也会拒绝该数据包。 Man-in-the-disk 攻击“Man-in-the-Disk”(盘中人)攻击的概念与“Man-in-the-Middle”(中间人)攻击类似,攻击者会拦截和处理外部存储器与应用之间所交换的数据。 Man-in-the-Middle 攻击“Man-in-the-Middle”(中间人)攻击在密码学和网络安全领域中是指攻击者与通讯的两端分别创建独立的联系,并交换和更改其所收到的数据,使通讯的两端认为他们正在与对方直接 对话,但事实上整个会话都被攻击者完全控制。OpenVPN OpenVPN 是通过受保护的 TLS 连接来建立虚拟专用网络 (VPN) 的一种程序。OpenSSL 程序中的库用于加密通讯。OpenVPN 可选择使用 UDP 或 TCP 进行数据传送。 SDI pro 5.5” SINAMICS变频器适用的操作单元,5.5 英寸,配备触摸屏,用于变频器的操作、显示和诊断, 可柜门安装或手持。 SIEM 系统 SIEM全称是“Security Information and Event Management”,即安全信息和事件管理系统。该系统可以识别安全事件,并予以评估,并随后向管理员示警。 工业网络安全 配置手册, 03/2024, FW V6.3,A5E52484547F AC 187 SINAMICS SDI Standard 面板集成在变频器外壳中的操作单元,配备图形显示屏和操作按键,用于变频器的显示、诊断和 调试。 TIA Portal“TIA”是“Totally Integrated Automation”的缩写,全集成自动化。TIA Portal将所有需要使用 的软件工具统一到一个用户界面下。 UMAC “UMAC”是“User Management &Access Control”的缩写,即用户管理和权限控制。UMAC是一种软件组件,通过它可以定义用户角色,从而控制对设备特定功能的访问方式。 Windows 服务器更新服务(WSUS) WindowsServer Update Service,Windows 服务器更新服务,简称 WSUS,是一个从 MicrosoftWindows Server 2003 版起提供的软件组件,用于补丁和更新的管理。它是软件 组件“Software UpdateService”的后继版本。 安全 指保持产品、解决方案或服务的保密性、完整性和可用性。 安全漏洞指计算机系统中的薄弱环节,攻击者可以利用它破坏系统的完整性。通常安全漏洞由程序错 误或者系统设计缺陷导致。指资源或操作单元中存在的、可被一个或多个安全威胁利用的薄弱环节。 安全事件指意外发生的一件或者多件、影响企业运行、危及信息安全的事件。造成安全事件的原因可能有:安全漏洞、错误配置或错误特性、对这些安全隐患的利用等。 安全威胁指可能会引发意外的安全事件、进而对系统或组织造成损坏的一些因素。 术语表 工业网络安全 188 配置手册, 03/2024, FWV6.3, A5E52484547F AC 保护单元/保护区在网络安全层级的“单元保护方案”中,保护单元构成生产网络中的规定保护区。保护区又通过防火墙系统等方法和其他保护区以及其他公司网络分隔开。 保密性 指信息不泄露给非授权用户、实体或过程,或供其使用的特性。暴力破解密码 信息技术中的很多问题都还没有有效的算法。一种Zui简单、Zui自然的算法是,将所有可能的候选项都计算一遍,直到找到正确的答案。这种方法被称为“暴力搜索”,英语为“brute forcesearch”。在信息安全领域,一个经常被引用的暴力搜索例子便是暴力破解密码。通常 密码会通过加密散列函数(hash函数)进行加密,变成一串 hash 字符串。从 hash 字符串 是不可能直接反推出原始密码的,但黑客却可以计算出大量密码的 hash字符串。一旦其中 有一个字符串和原始密码的 hash 字符串一致,便表示黑客成功找到密码(或另一个正好合适的密码)。“暴力破解”指的便是这种通过简单地尝试所有可能的密码来破解密码的方式。 病毒样本指杀毒软件的病毒数据库,它包含了所有已知病毒的图形结构和代码结构。它通常是一份文件,由杀毒程序使用并处理。在检测病毒时,杀毒程序根据文件中的病毒样本来比较被测文 件。 补丁管理补丁管理是系统管理的一部分,旨在为一个受管理的计算机系统或该系统下的程序建立、测试并安装多个补丁(修补代码)。它同时还是安全漏洞管理(Security VulnerabilityManagement)的一部分,旨在借助软件修复来消除并封堵安全漏洞。 操作单元操作单元可以是一台编程设备、个人计算机、笔记本电脑、移动终端设备(如平板电脑和智 能手机)。 恶意软件指任何有损用户利益的软件。恶意软件形式多样,有病毒、特洛伊木马、Rootkit 或间谍软 件等。 术语表 工业网络安全 配置手册,03/2024, FW V6.3, A5E52484547F AC 189 防火墙 一种网络连接设备,可对两个网络之间的通讯进行控制。工业网络安全 指为提高工控系统安全水平而采取的的一系列措施。这些安全措施可以保护设备内的主控系 统、工控器和基于 PC的系统,防范未经授权的访问和网络攻击。 攻击范围 指系统失去保护,导致攻击者可以攻击系统的范围。 黑客指入侵计算机系统或网络系统的人。黑客入侵可以是恶意,非恶意,或游走在法律和道德的 边界内。 互联网安全协议(IPsec)互联网安全协议,英语:Internet Protocol Security,缩写为 IPsec,是一个协议包,通过对 IP协议的分组进行加密和认证来保护 IP 协议的网络传输协议族。IP 协议因此可以通过公共非 安全网络传送经过加密的 IP 包。 交换机一种用于在一个局域网 LAN 内连接多个终端设备或网络分段的网络组件。 拒绝服务(DoS) 拒绝服务,Denial ofService,简称为 DoS,在信息技术中指不提供原本应该提供的正常服务。 造成 DoS的原因多种多样,但通常是由系统过载导致的。过载可以是无意导致的,也可以针对一个数据网络中的服务器、计算机或其他组件发起的恶意攻击导致的。 可用性 指可以被授权实体访问并按需求使用的特性。 身份验证指确认用户、流程或设备的身份,该方法通常是允许访问资源的前提。