基于SCALANCEX的工业网络安全.pdfVIP

基于 SCALANCE X 的工业网络安全 Industrial network security based on SCALANCE X Getting started Edition (2009－7) 摘 要 本文描述了 SCALANCE X 工业以太网交换机根据工业应用数据安全性的要求所做的 一些网络安全功能配置，例如：访问控制列表、更改管理员密码和基于 IEEE802.1X 认证等 功能。阐述了工业网络安全的基本原理，通过具体的配置实例说明设置这些工业网络安全协 议的基本方法。 关键词 工业网络安全，SCALANCE X，访问控制列表，802.1X Key Words Industrial network security ，SCALANCE X，ACL ，802.1X IADT Service Support 13 目 录 1 更改登录用户名和密码 4 2 访问协议控制4 3 禁用SCALANCE X硬件的SELECT/SET按钮4 4 禁用未被使用的以太网接口 5 5 HTTPS协议 5 6 使用ACL协议 6 7 IEEE802.1X基于用户的认证9 7.1 在认证者（SCALANCE X300/400 ）侧的设置 9 7.2 在认证服务器（RADIUS Server）侧的设置 10 7.3 在申请者侧的设置 11 IADT Service Support 13 为了保证工业网络的安全，西门子 SCALANCE X 提供了多种方式来保证工业信息的安全性，确 保工业控制系统的稳定和安全运行。下面主要介绍保护 SCALANCE X 工业网络安全需要采取的 基本安全措施。 1 更改登录用户名和密码 对于 SCALANCE X 来说，需要输入用户名和密码才能更该设置。这些设备有出厂的默认密 码。SCALANCE X 产品的用户名和默认密码是 admin。黑客知道用户名和默认密码，会尝试用 该密码访问您的工业以太网交换机从而恶意更改网络设置。要防止任何未经授权的更改，可 以修改设定设备的密码。如图 1 所示，可以通过这个界面配置管理员和用户的密码。 图 1 2 访问协议控制 用户登录 SCALANCE X 有多种协议支持方式，例如 FTP,TELNET,SSH 和 HTTP 等协议。如图 2 所示，可以禁止一些未被使用的协议来满足工业安全要求。在 SCALANCE X 中可以通过 Agent 标签下的选项禁止或者激活相应协议的访问。 图 2 3 禁用 SCALANCE X 硬件的 SELECT/SET 按钮 在 SCALANCE X 的硬件正面的 SELECT/SET 按钮可以执行“恢复工厂设置”、“使能环网 冗余管理者”等功能。在项目正式运行期间很少更改网络架构，因此可以考虑通过如图 ３ 所示，禁用该按钮，避免误操作而导致的工业网络故障。 IADT Service Support 13