Herunterladen
Teilen
Diese Seite drucken
Siemens SICAM 8 Serie Bedienungsanleitung
  1. Anleitungen
  2. Marken
  3. Siemens Anleitungen
  4. Steuergeräte
  5. SICAM 8 Serie
  6. Bedienungsanleitung
Siemens SICAM 8 Serie Bedienungsanleitung

Siemens SICAM 8 Serie Bedienungsanleitung

Administrator security
Vorschau ausblenden

Werbung

Quicklinks

Diese Anleitung herunterladen
SICAM 8 Serie
Administrator Security
Handbuch
DC8-132-2
Vorwort
Inhaltsverzeichnis
Einleitung
Maßnahmen zur Systemhärtung
Patch-Management
Virenschutz
Backup & Restore
Protokollierung
Fernwartung
Benutzerverwaltung
Hardware Schnittstellen
Syslog Ereignisse
Sicherheitsmaßnahmenplan für Oracle-
Datenbank
Lizenzvereinbarung
Literatur
1
2
3
4
5
6
7
8
9
A
B
C
D

Werbung

loading

Verwandte Anleitungen für Siemens SICAM 8 Serie

Inhaltszusammenfassung für Siemens SICAM 8 Serie

  • Seite 1 Vorwort Inhaltsverzeichnis Einleitung SICAM 8 Serie Maßnahmen zur Systemhärtung Administrator Security Patch-Management Virenschutz Backup & Restore Handbuch Protokollierung Fernwartung Benutzerverwaltung Hardware Schnittstellen Syslog Ereignisse Sicherheitsmaßnahmenplan für Oracle- Datenbank Lizenzvereinbarung Literatur DC8-132-2...
  • Seite 2 Leistungsmerkmale sind nur dann verbindlich, wenn sie bei Vertragsschluss ausdrücklich vereinbart werden. Marken Dokumentversion: DC8-132-2.02 SIPROTEC, DIGSI, SIGRA, SIGUARD, SIMEAS, SAFIR, SICAM Ausgabestand: 11.2023 Insights Hub und OT Companion sind Marken der Siemens Version des beschriebenen Produkts: AG. Jede nicht autorisierte Verwendung ist unzulässig.
  • Seite 3 Vorwort Zweck des Handbuches Dieses Handbuch beschreibt die Sicherheitsfunktionen der SICAM 8 Serie, wie zum Beispiel: • Sicherheitsrelevante Geräteeinstellungen • Maßnahmen zur Systemhärtung • Kommunikationsschnittstellenmatrix • Anweisungen für sicherheitsbewusstes Verhalten, zum Beispiel Backup und Restore • Erläuterung sicherheitsspezifischer Protokoll- und Auditmeldungen, möglicher Ursachen und geeigneter Gegenmaßnahmen...
  • Seite 4 Zusicherung von Eigenschaften im Sinne des Produkthaftungsgesetzes. Das Produkt ist ausschließlich für den Einsatz in industrieller Umgebung vorgesehen. Weitere Unterstützung Bei Fragen zum System wenden Sie sich an Ihren Siemens-Vertriebspartner. Customer Support Center Unser Customer Support Center unterstützt Sie rund um die Uhr.
  • Seite 5 This product includes software developed by the OpenSSL Project for use in OpenSSL Toolkit (http:// www.openssl.org/). This product includes software written by Tim Hudson (tjh@cryptsoft.com). This product includes cryptographic software written by Eric Young (eay@cryptsoft.com). SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 6 SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 7 Digitale Signaturen...................... 30 2.2.12 Secure Factory Reset....................30 2.2.13 Denial of Service......................31 2.2.14 Maßnahmen zur eingeschränkten Verteilung von Systemtelegrammen......31 2.2.14.1 Blockierung von Telegrammen in der Topologiekonfiguration.........32 2.2.15 Integrierter Webserver für Protokoll ETI5..............32 SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 8 Initialisierung und Laden der AE mittels SICAM TOOLBOX II........65 5.3.2.3 Direktes Beschreiben der SD-Karte mittels SICAM Device Manager......66 5.3.3 Wiederherstellung der SICAM TOOLBOX II Daten............66 5.3.4 Wiederherstellung der SICAM Device Manager Projektdaten......... 66 SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 9 Hardware Schnittstellen..........................83 Syslog Ereignisse............................85 Sicherheitsmaßnahmenplan für Oracle-Datenbank...................91 Checklist according to “Security Measure Plan for Oracle Database 12c”......92 Lizenzvereinbarung............................ 95 Open Source Software verwendet in SICAM 8 Serie............96 Literatur..............................97 SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 10 SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 11 Einleitung Umfang/Übersicht Prinzipien Datenschutzaspekte Sicherheitsdienste SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 12 Verständnis der in diesem Dokument beschriebenen Konzepte voraus. Siemens bietet außerdem detaillierte Anleitungen zu allen Konzepten und Schritt-für-Schritt-Anleitungen für verschiedene Konfigurationen als Service. Für weitere Informationen wenden Sie sich bitte an den Siemens SI-Support vor Ort. SICAM 8 Serie, Administrator Security, Handbuch...
  • Seite 13 Als Gesamtansatz zur Erzielung der erforderlichen Sicherheit im Umspannwerk dienen folgende Abwehrstrate- gien: • Verteidigung in der Tiefe • Angemessenes Design/Segmentierung der Netzwerktopologie • Prinzip der geringsten Privilegien • Rechtzeitige Reaktion auf Sicherheitsereignisse • Kontinuierliche Bedrohungsüberwachung SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 14 1.3 Datenschutzaspekte Datenschutzaspekte Siemens berücksichtigt Datenschutzaspekte im Zusammenhang mit dem Netzwerkbetrieb bei der Konzeption und Entwicklung der SICAM 8 Serie. Die Überlegung spiegelt sich in den folgenden technischen Maßnahmen wider, die in der SICAM 8 Serie umgesetzt werden. Voraussetzungen SICAM 8 Konformität...
  • Seite 15 HINWEIS Als Endnutzer unserer Produkte wird Ihnen hiermit empfohlen, die Verantwortung Ihres Unternehmens für die Erfüllung der DSGVO-Anforderungen zu berücksichtigen. Weitere Informationen finden Sie in Artikel 25 der DSGVO: https://gdpr-info.eu/art-25-gdpr/ SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 16 Enrollment over Secure Transport (EST) client ✓ ✓ ✓ IEEE 802.1x Authenticator – ✓ ✓ IEEE 802.1x Supplicant ✓ ✓ ✓ IPSec ✓ ✓ ✓ Hardware based Firewall (FWI4) – ✓ ✓ SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 17 Maßnahmen zur Systemhärtung Härtungsprinzipien SICAM 8 Serie SICAM Device Manager SICAM TOOLBOX II Security Penetration Testing SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 18 Dies wird beispielsweise durch das Entfernen unnötiger Software, unnötiger Benutzernamen oder Anmel- dungen, das Deaktivieren nicht verwendeter Ports oder die Härtung des Betriebssystems erreicht. Siemens stellt Leitlinien zur Härtung von Produkten und Systemen bereit und kann Betreiber bei der Härtung ihrer Infrastruktur unterstützen.
  • Seite 19 Maßnahmen zur Systemhärtung 2.2 SICAM 8 Serie SICAM 8 Serie Zu den anzuwendenden Härtungsmaßnahmen der SICAM 8 Serie gehören: • Deaktivierung nicht benötigter System- und Kommunikationsdienste (abgesetzter Betrieb, Fernwartung, NTP, WEB…) • Deaktivierung nicht benötigter Standard-Benutzer (WEB) • Aktivierung von Konfigurationsmöglichkeiten, die die Sicherheit erhöhen •...
  • Seite 20 Rollenbasierte Zugriffssteuerung (RBAC) 2.2.2 Die SICAM 8 Serie unterstützt Role-Based Access Control (RBAC). Hierbei handelt es sich um ein Zugriffskon- trollverfahren, um den Zugriff auf Daten oder Dienste in einem Mehrbenutzersystem einzuschränken. Dabei werden Benutzern Rollen zugeteilt die unterschiedliche Zugriffsrechte haben. Jeder Benutzer ist durch ein Passwort geschützt.
  • Seite 21 Rolle ignoriert. Sicherheitsparameter: RADIUS, LDAP, SNMP, IPSec, Service forwarding, SysLog, PKI Management (EST, CRL, OCSP) SD-Card Mode, Serielle Engineering Schnittstelle (freigegeben/gesperrt) Nur für Benutzer mit dem Recht „Gerät neu starten“ SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 22 -31648 (als Integer) 4294935648 ADMINISTRATOR SiemensGridSecurity (als unsigned integer) 2.2.2.4 Externe Authentifizierung über LDAP SICAM 8 unterstützt die Benutzerauthentifizierung über LDAPS und LDAP mit STARTTLS gemäß IEC 62351-8 (PULL-Modell mit LDAP-Profil A). SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 23 [LDAP_database_structure, 2, --_--] PKI-Infrastrukturmanagement gemäß IEC 62351-9 2.2.3 Mit der SICAM 8 Serie können sowohl über EST (Enrollment over Secure Transport) signierte als auch manuell hochgeladene Schlüsselmaterialien und Zertifizierungsstellen für verschiedene Dienste, wie beispielsweise verschlüsselte Kommunikation, genutzt werden. Für die Parametrierung über SICAM WEB muss der Benutzer über die entsprechenden Rechte (Security Admi- nistrator, Administrator) verfügen.
  • Seite 24 2.2 SICAM 8 Serie 2.2.3.2 Automatisches Zertifikate-Management Die SICAM 8 Serie unterstützt den externen Certificate Request Service (EST). Dadurch können neue Zertifikate automatisch auf dem Zielgerät ausgestellt werden, sodass die Zertifikate nicht für jeden Dienst manuell bereitgestellt werden müssen. Das Gerät fungiert in diesem Fall als EST-Client, fordert neue Zertifikate an und aktualisiert diese selbstständig rechtzeitig vor dem Ablaufdatum.
  • Seite 25 2.2.3.4 Online Certificate Status Protocol (OCSP) Die SICAM 8 Serie unterstützt das Online Certificate Status Protocol (OCSP) zur Überprüfung von Gegenzertifi- katen im OCSP-Reaktivmodus gemäß RFC 2560. Voraussetzung: Das Zielgerät wurde ausschließlich über den SICAM Device Manager konfiguriert. Während des TLS-Handshakes wird eine OCSP-Anfrage gesendet, sofern nicht bereits eine zwischengespei- cherte OCSP-Antwort vorliegt.
  • Seite 26 [authentication_procedure, 1, --_--] Quelle: https://en.wikipedia.org/wiki/IEEE_802.1X#/media/File:802-1X.png. Die Beschreibungen zum Engineering finden Sie im Handbuch SICAM 8 Core Funktionen & Hardware. 2.2.4.1 Supplicant SICAM 8 unterstützt IEEE 802.1X als Supplicant mit EAP_TLS (EAP Modus). SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 27 Es ist nicht möglich, Supplicant- und Authenticator-Funktionalität am selben Port zu nutzen. 802.1x-Funktionalität unterstützt nur RSA Zertifikate. 2.2.4.2 Authenticator Die SICAM 8 Serie unterstützt IEEE 802.1x als Authentifikator. Zur Authentifizierung ist ein RADIUS-Server erforderlich. 2.2.5 IPSec IPSec VPN (Internet Protocol Security – Virtual Private Network) ist eine Erweiterung des Internet- Protokolls (IP) um Verschlüsselungs- und Authentisierungsmechanismen.
  • Seite 28 Allgemein 2.2.9.1 Im Abgesetzten Betrieb verbindet sich die SICAM TOOLBOX II mit einem SICAM 8 Gerät nicht über ein lokales Parametrierkabel, sondern über eine Netzwerkschnittstelle mittels TCP/IP (bei aktiviertem Listener Service). SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 29 TOOLBOX II) und zur weiteren Verarbeitung an die zentrale Servicefunktion der SICAM RTU Komponente weitergeleitet. Bei Bedarf können die Service-Funktionstelegramme einzeln freigeschaltet werden. Den entsprechenden Parameter finden Sie in der systemtechnischen Parametrierung auf der M-CPU unter Topology | Servicefunktionstelegramme. SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 30 Weitere Informationen finden Sie in SICAM 8 – Core Funktionen & Hardware, Abschnitt 4.4.10 Abgesetzter Betrieb mit SICAM TOOLBOX II. 2.2.10 Sichere Speicherung von Passwörtern Preshared Keys und Passwörter, die zur Authentifizierung verwendet werden, werden in der SICAM 8 Serie sicher gespeichert. SICAM 8 Serie: Benutzerpasswörter werden in Form von Salted HASH gespeichert.
  • Seite 31 Fernwirknetzen gesetzt werden: Zustand nach dem Bestücken der CP-8031/CP-8050 mit SICAM TOOLBOX II Dies ist die Summe aller Telegramme vom Switch zur CPU über alle 5 Ports der CI-852x in Empfangsrichtung. SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 32 SICAM 8 Software Solution – Härtung des Linux-Systems 2.2.16.1 Dokumentation Eine gute Härtung beginnt immer mit einer guten Dokumentation. • Computername • MAC Adresse • Netzwerktopologie • Name der Person, die das Härten durchführt • Datum SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 33 Aus Sicherheitsgründen ist es wichtig „Secure Boot” im BIOS zu aktivieren und von einem USB-Stick im UEFI-Modus zu booten. Weitere Details finden Sie im Handbuch SICAM 8 Serie – Core Functionen & Hardware, Kapitel Inbetrieb- nahme , Abschnitt Software Installation SICORE, Unterabschnitt Linux Setup, Unterabschnitt Secure Boot.
  • Seite 34 Wechseln Sie mit su – zum Root-Benutzer. • Kopieren Sie CIS-DEBIAN_LINUX_11.gz in einen lokalen Ordner. • Führen Sie die folgenden Befehle im Terminal aus: cd <Ordner mit Dateien> tar –xvf CIS-LBK_DEBIAN_LINUX_11.gz cd ./debian_linux_11 ./cis-lbk_debian_linux_11-v1.0.0.sh SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 35 Einzelheiten dazu finden Sie im CIS-Benchmark. 1.1 – Partitioning HINWEIS Wie Sie die Linux-Partitionierung nach CIS durchführen, ist im Handbuch SICAM 8 Serie – Core Funktionen & Hardware, Kapitel Inbetriebnahme, Abschnitt Software Installation SICORE, Unterabschnitt Linux Setup, Unterabschnitt Debian 11 Online Installation beschrieben.
  • Seite 36 Benutzerinteraktion neu gestartet werden. 2.1.2.1 – Ensure chrony is configured with authorized time server. • Siemens empfiehlt die Verwendung des internen NTP-Servers, der in der SICAM 8 Software Solution enthalten ist. 1.3.1 – Ensure AIDE is installed. •...
  • Seite 37 Vollständiges Offline-Update über Medium (z. B. USB-Stick) • Mirror-Update HINWEIS Siemens empfiehlt lediglich, nur Kernel-Versionen zu verwenden, die in unserem Systemtest getestet wurden. Daher wird gezeigt, wie man automatische Kernel-Updates zurückhält und wie man sie manuell durchführt. Komplettes Offline-Update Mit dem Offline-Update ist es möglich, Updates per USB-Stick an die IPCs zu verteilen, auf denen die SICAM 8 Software Solution läuft.
  • Seite 38 Öffnen Sie ein Terminal und wechseln Sie zum Root-Benutzer. Dies sollte während des Installations- prozesses von Debian mit einer verfügbaren Online-Verbindung erfolgen. Führen Sie anschließend # apt install apt-offline aus. Da Siemens empfiehlt, nur getestete Kernel-Versionen zu verwenden, ist es notwendig, automatische Kernel- Updates mit -# apt-mark hold linux-image-rt-amd64 zu unterdrücken. Update-Prozess Die folgenden Befehle installieren die neueste Version aller Pakete, die bereits auf dem SICAM 8 Software Solution Host installiert sind.
  • Seite 39 „Apt-mirror” ist ein Dienstprogramm zum Erstellen eines lokalen Spiegels von Debian- und Ubuntu-Soft- ware-Repositorys. Sie können damit eine Kopie des gesamten Paket-Repositorys herunterladen und auf Ihrem eigenen Server oder Computer verwalten. Dies ist für Organisationen oder Einzelpersonen mit einge- SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 40 4. Aktualisieren Sie den SICAM 8 Software Solution Host über den Update-Server. [update_software-solution, 1, --_--] Bereiten Sie den Update-Server vor • Installieren Sie die „apt-mirror”-Funktion als Root-Benutzer. • Führen Sieapt-get install apt-mirror aus. SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 41 Dies kann in der Konfigurationsdatei erfolgen/etc/apt/sources.list. Hier muss die IP-Adresse des Update-Servers hinzugefügt werden (z. B. bei einem Update-Server mit IP 172.16.0.100): deb 172.16.0.100 bullseye main Da Siemens empfiehlt, nur getestete Kernel-Versionen zu verwenden, ist es notwendig, automatische Kernel- Updates mit -# apt-mark hold linux-image-rt-amd64 zu unterdrücken. Fehlerbehebung Wenn Sie auf den Fehler stoßen, dass immer die „nginx”-Landingpage angezeigt wird und nicht die Pakete,...
  • Seite 42 Maßnahmen zur Systemhärtung 2.2 SICAM 8 Serie • Um den Kernel auf dem SICAM 8 Software Solution Host zu aktualisieren, überprüfen Sie das von Siemens empfohlene Paket und installieren Sie es: -# /usr/bin/apt-get install <package-name> 2.2.16.7 Backup und Restore Das Sichern und Wiederherstellen von Snapshots (z. B. vor einem Update erstellt) kann mit dem in Linux verfügbaren timeshift-Programm durchgeführt werden.
  • Seite 43 SSH ist ein Protokoll, das eine verschlüsselte Verbindung zwischen einem Client und einem Server herstellt und es dem Client ermöglicht, auf den Server zuzugreifen und Befehle auszuführen. SSH kann auch deaktiviert werden. Soll es jedoch verwendet werden, muss die Standardkonfiguration geän- dert werden. SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 44 Verwenden Sie eine Firewall, um den Zugriff auf den SSH-Dienst nur von bestimmten IP-Adressen oder ² Netzwerken aus zuzulassen. Aktivieren Sie die Protokollierung des SSH-Zugriffs, um verdächtige Aktivitäten zu erkennen. ² SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 45 Deaktivieren Sie „ICMP Redirect Acceptance” indem Sie die Parameter ² net.ipv4.conf.all.accept_redirects und net.ipv4.conf.default.accept_redirects auf 0 setzen. Aktivieren Sie „Bad Error Message Protection” indem Sie den Parameter ² net.ipv4.icmp_ignore_bogus_error_responses auf 1 setzen. Speichern und schließen Sie die Datei. ² SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 46 System, wann ein Benutzer sein Passwort ändern muss. Als weitere Verbesserung der Passwortrichtlinie können Sie den Zugriff auf densuBefehl einschränken. ² Dazu muss der Parameter auth required pam_wheel.so in /etc/pam.d/su auf use_uid gesetzt werden. SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 47 Rechte und Berechtigungen auf /var/spool/cron für root crontab • #chown root:root <crontabfile> • #chmod og-rwx <crontabfile> Benutzer-/Gruppenbesitzer und Berechtigung für die Datei passwd • #chmod 644 /etc/passwd • #chown root:root /etc/passwd SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 48 2.2.16.15 Häufig gestellte Fragen Muss ich die CIS-Benchmarks zyklisch ausführen, um Updates zu erhalten? Ja, Siemens empfiehlt, die CIS-Benchmarks auf Änderungen zu prüfen und bei Bedarf das offizielle Skript erneut auszuführen. Benötige ich einen speziellen Virenscanner? Nein, die vorhandenen Linux-Sicherheitsmechanismen sind gut genug. Daher ist kein spezieller Virenscanner erforderlich.
  • Seite 49 Eine Sammlung von Best-Practice-Härtungsleitfäden für verschiedene Betriebssysteme, Serverdienste und Standardanwendungen finden Sie z.B. am Center for Internet Security (http://www.cisecurity.org). 2.3.1 Windows-Systemhärtung Die Windows-Systemhärtung muss gemäß dem Handbuch Secure Substation durchgeführt werden, siehe: https://www.downloads.siemens.com/download-center/Download.aspx?pos=down- load&fct=getasset&mandator=ic_sg&id1=DLA20_114 SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 50 Somit kann der Kunde durch die Deinstallation des Toolset PSRII alle sicherheitskritischen Komponenten (ST-Emulation, Nachrichtensimulation, ...) von seinem Computer entfernen. Darüber hinaus hat der Kunde mittels Benutzer-/Rollenverwaltung die Möglichkeit, den Zugriff auf die einzelnen Tools nur eingeschränkten Benutzern zu ermöglichen. SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 51 Mit der Windows-Firewall ist es auf dem Server möglich, nur ausgewählte Benutzer für den Port freizu- geben, über den die ORACLE-Datenbank erreichbar ist (z. B. über eine eigene USER-Gruppe). Andere Windows- Benutzer können nicht auf die ORACLE-Datenbank zugreifen. Siehe Kapitel 8 Benutzerverwaltung SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 52 Wenn die TOOLBOX-Datenbank als Peer- oder Server-Datenbank verwendet wird, muss Port 1522 geöffnet sein. In diesem Fall sollte der Zugriff über Port 1522 in der Windows-Firewall so konfiguriert werden, dass ein Fernzugriff auf die TOOLBOX-Datenbank nur aus vertraulichen Quellen möglich ist. SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 53 Maßnahmen zur Systemhärtung 2.5 Security Penetration Testing Security Penetration Testing Alle LAN-Interfaces der SICAM 8 Serie werden umfangreichen Sicherheitstests unterzogen. Diese Tests sind ausführlich im Dokument SICAM A8000 Series RTUs Security Penetration Testing (DC0-134-2) dokumentiert. Siehe auch: Unterstützte LAN-Dienste SICAM 8 Serie, Administrator Security, Handbuch...
  • Seite 54 SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 55 Patch-Management SICAM 8 Serie SICAM TOOLBOX II SICAM Device Manager SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 56 TOOLBOX II / SICAM Device Manager verwaltet wird. Mit der SICAM TOOLBOX II / SICAM Device Manager können sämtliche Firmware einzeln neu geladen und aktualisiert werden. Neue Firmware wird zunächst in der SICAM TOOLBOX II / SICAM Device Manager gespeichert und dann an die SICAM 8 Serie verteilt. Details finden Sie im Kapitel 5.3.1, Live-Update SICAM TOOLBOX: Die Verteilung der Firmware an die SICAM RTUs erfolgt mit dem ToolFirmware laden (TOOLBOX II →...
  • Seite 57 Parametern durchgeführt wurde, kann Folgendes passieren: Das Laden der Firmware mit SICAM TOOLBOX II mit schreibgeschützten Parametern und das anschließende Laden der Firmware mit SICAM TOOLBOX II mit Originalparametern kommt einem Firmware-Downgrade gleich! SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 58 Der SICAM Device Manager wird mittels Maintenance Releases (Service Packs) und Hotfixes gepatcht und kann auf der Website heruntergeladen werden http://www.siemens.com/sicam. HINWEIS Informationen zum Update des SICAM Device Managers finden Sie in den jeweiligen Release Notes. SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 59 Virenschutz SICAM 8 Serie Bei den Komponenten der SICAM 8 Serie handelt es sich um selbstentwickelte Embedded-Systeme, für die keine bekannten Viren existieren. Für diese Systeme steht daher auch keine Schutzsoftware zur Verfügung. Weitere Informationen finden Sie unter Linux System Hardening für Software Solution Host.
  • Seite 60 SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 61 Backup & Restore Allgemein Backup der Daten Restore SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 62 SICAM Device Managers werden im WINDOWS-Dateisystem gespeichert. Der Speicherort kann vom Benutzer definiert werden. Zu Backup-Zwecken kann das gesamte Verzeichnis mit allen Engineeringdaten per Copy/Paste-Vorgang weggesichert werden. HINWEIS Benutzernamen und Passwörter sind nicht Teil der Backup & Restore-Funktion. SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 63 Sichern aller AE's der gewählten Regionen – Sichern der gesamten Verfahrenstechnischen Anlage HINWEIS Durch diese Optionen muss das Steuerfile bei Änderungen in der System- und Verfahrenstechnischen Anlage nicht ständig aktualisiert werden. SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 64 Für ein automatisiertes Backup eines gesamten SICAM Device Manager-Projekts kann der Benutzer im WINDOWS Task Scheduler eine entsprechende Aufgabe definieren, damit das gesamte Projektverzeichnis mit sämtlichen Engineeringdaten an einem bestimmten Ort abgelegt wird. SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 65 Die Details dazu finden Sie in der SICAM TOOLBOX II Online-Hilfe, Kapitel „Dienstprogramme”, Abschnitt „Parameter laden”. Vorischt Während eines Ladevorgangs darf das Steuerkopfelement auf keinen Fall ausgeschaltet werden, da dadurch die Daten auf der SD-Karte zerstört werden könnten. SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 66 Wiederherstellung der SICAM Device Manager Projektdaten 5.3.4 Die Wiederherstellung eines gesamten SICAM Device Manager-Projekts kann durch Kopieren der Sicherung eines Projektverzeichnisses und Einfügen in den Speicherort des Projektverzeichnisses vom SICAM Device Manager erfolgen. SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 67 Protokollierung Security Logbuch für SICAM 8 Security Logbuch für SICAM TOOLBOX II Protokollieren mit der Windows-Ereignisanzeige SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 68 6.1 Security Logbuch für SICAM 8 Security Logbuch für SICAM 8 In der SICAM 8 Serie steht ein Security Logbuch zur Verfügung, in dem security-relevante Ereignisse (Syslog- Events) aufgezeichnet und nach ihrer Herkunft und Schwere klassifiziert werden. Diese Daten können automatisch an einen externen Syslog-Server weitergeleitet werden. Sind mit den entsprechenden Rechten über SICAM WEB einsehbar.
  • Seite 69 Meldungstext variable Zusat- zinformationen enthalten (%A1%, %A2%, %A3%) Space Beispiel: <108>1 2022-03-31T09:16:12.049+01:00 SICAM_RTUs SICAM - Siemens-Grid-Security - User 'administrator' has logged out via 'SICAM WEB' Die Tags und ihr Inhalt sind in der folgenden Tabelle definiert: Beispiel <PRI> TIMESTAMP 2022-03-31T09:16:12.049+01:00...
  • Seite 70 Das SICAM TOOLBOX II – Logbuch wird aus OPM unter Extras → Logbuch anzeigen aufgerufen. HINWEIS Weitere Informationen zum Logbuch finden Sie im folgenden Dokument: • SICAM TOOLBOX II Online Hilfe – Kapitel „Logbuch” SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 71 Sicherheitsgründen wird empfohlen, diesen Vorgang mit Ausführen als auszuführen. Darüber hinaus wird empfohlen, auf beiden Computern einen Audit-Administrator mit Admin-Rechten anzulegen. • Wenn die Firewall wie empfohlen aktiviert ist, müssen Sie den eingehenden Datenverkehr für Remote Event Logging öffnen. SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 72 SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 73 Fernwartung Abgesetzter Betrieb via SICAM Device Manager Abgesetzter Betrieb via SICAM TOOLBOX II SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 74 Abgesetzter Betrieb via SICAM Device Manager Alle Geräte können über Ethernet ferngewartet werden. Im Gerät muss die entsprechende Schnittstelle freigeschaltet sein. Der Zugriff ist durch rollenbasierte Zugriffs- kontrolle und verschlüsselte https-Verbindung geschützt. SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 75 Auf den Clients ist keine Installation erforderlich, der Zugriff auf den Webserver erfolgt über den Microsoft Internet Explorer ® (ab Version 5.0). Eine ausführliche Beschreibung der Konfiguration finden Sie in der SICAM TOOLBOX II Online-Hilfe, Kapitel „web.engineering”. SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 76 SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 77 Benutzerverwaltung Einleitung SICAM TOOLBOX II SICAM Device Manager SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 78 Mit der Benutzer-/Rollenverwaltung in der SICAM TOOLBOX II können folgende Vorgänge durchgeführt werden: • Definition von Benutzern mit Passwort • Definition von Rollen mit zugehöriger Berechtigung • Definition der Zuordnung von Benutzern zu bestimmten Rollen • Löschung von Benutzern SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 79 Eine Rolle ist eine Sammlung von Berechtigungen, die einem Benutzer zugewiesen werden können. Die Defi- nition einer Rolle wird mit dem SICAM TOOLBOX II Tool Voreinstellungen Toolbox II (→ EMII Voreinstellung Toolbox) mit dem Befehl Autorisierung → Benutzer/Rollen Administration → Benutzer definieren ..ausgeführt. SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 80 ✓ ✓ Topologietest ✓ ✓ ✓ Umsetzer Preview ✓ ✓ ✓ Voreinstellungen CAEx ✓ ✓ Voreinstellungen TOOLBOX II ✓ ✓ ✓ Für bestimmte Anwendungsfälle und Projekte können spezifische Rollen definiert werden. SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 81 Wählen Sie im Fenster „Benutzer definieren” den Benutzernamen aus und klicken Sie auf „Passwort ändern”, um zum entsprechenden Dialogfenster zu gelangen. HINWEIS Das voreingestellte Passwort muss nach der ersten Anmeldung geändert werden. SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 82 8.3 SICAM Device Manager SICAM Device Manager Im SICAM Device Manager gibt es kein Benutzer-/Rollenkonzept. Die RBAC-Funktionalität wird vom Gerät ausgeführt. Bei der Verbindung mit dem Gerät ist eine Benutzerauthentifizierung ein Muss. SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 83 Hardware Schnittstellen Detaillierte Informationen finden Sie im entsprechenden Geräte-Handbuch. SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 84 SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 85 Unsuccessfully encryption %A1%' via Alert User name ✓ 'SNMP agent' (PSK Encryption) SNMP (Agent) TLS connection establish- Alert ✓ ment failed SNMP TLS connection establishment to Alert IP address ✓ Trapserver '%A1%' failed SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 86 No matching user roles found for Warning User name ✓ remote user '%A1%' during radius authentication User certificate for remote user '%A1%' Warning User name ✓ does not match with device aor or role revision SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 87 Certificate %A1% is expired Alert Certificate ✓ ✓ name Peer-Certificate for station number Alert Station ✓ ✓ %A1% is expired number Connection setup from unknown IP- Warning IP address ✓ ✓ address '%A1%' SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 88 The user '%A1%' has changed the key Warning User name Local/ ✓ ✓ switch local/remote/test to '%A2%' remote/test The user '%A1%' has changed the key Warning User name Lock/unlock ✓ ✓ switch lock/unlock to '%A2%' SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 89 30 days number Connection with station number %A1% Warning Station ✓ ✓ is using Null-cipher number Certificate %A1% will expire in the next Warning Certificate ✓ ✓ 30 days name SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 90 SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 91 Sicherheitsmaßnahmenplan für Oracle-Datenbank Checklist according to “Security Measure Plan for Oracle Database 12c” SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 92 B.1 Checklist according to “Security Measure Plan for Oracle Database 12c” Checklist according to “Security Measure Plan for Oracle Database 12c” (Released by Siemens Cert, 2017-02-28. Version 2.0) System Name: SICAM TOOLBOX II, 6.01 HF01 Version of checked Database: Oracle 12.1.0.1.160719...
  • Seite 93 Apply the Principle of Least Privilege M12663 Restrict or Revoke Access to Directories for UTL_FILE M12652 Revoke Access to PL/SQL Network Utility Packages M12647 Limit External Procedure Privileges M12636 Restrict Dynamic SQL Privileges for PUBLIC SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 94 SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 95 Lizenzvereinbarung Open Source Software verwendet in SICAM 8 Serie SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...
  • Seite 96 Bei Widersprüchen zwischen den Open Source Software Lizenzbedingungen und den für dieses Produkt geltenden Siemens Lizenzbedingungen gelten in Bezug auf die Open Source Software die Open Source Software Lizenzbedingungen vorrangig. Die Open Source Software wird unentgeltlich überlassen.
  • Seite 97 Protection) SICAM A8000 Series RTUs Conformance Statement DC0-161-1 SICAM 8 Applikationsgruppe - S8000 RTU DC8-126-2 SICAM 8 Serie - Core Funktionen & Hardware DC8-125-2 SICAM A8000 Serie - CP-8031, CP-8050 Handbuch DC8-025-2 SICAM A8000 Series SICAM RTUs Security Penetration Testing...
  • Seite 98 SICAM 8 Serie, Administrator Security, Handbuch DC8-132-2, Ausgabe 11.2023...