Herunterladen Inhalt Inhalt
Teilen
Diese Seite drucken
Siemens SIPROTEC 5 Handbuch
  1. Anleitungen
  2. Marken
  3. Siemens Anleitungen
  4. Sicherheitstechnik
  5. SIPROTEC 5
  6. Handbuch

Siemens SIPROTEC 5 Handbuch

Vorschau ausblenden Andere Handbücher für SIPROTEC 5:
Inhaltsverzeichnis

Werbung

Quicklinks

SIPROTEC 5
Sicherheit
V08.01
Handbuch
C53000-H5000-C081-2
Vorwort
Open Source Software
Inhaltsverzeichnis
Einführung
Measures for System Hardening
Access Control in SIPROTEC 5 and
DIGSI 5
Malware Protection
Communication Security
Certificate Management
Backup and Restore
Security Logging
Securely Resetting the Device Configura-
tion
Security Patch Management
Literaturverzeichnis
Glossar
Stichwortverzeichnis
1
2
3
4
5
6
7
8
9
10

Werbung

Inhaltsverzeichnis
loading

Verwandte Anleitungen für Siemens SIPROTEC 5

Inhaltszusammenfassung für Siemens SIPROTEC 5

  • Seite 1 Vorwort Open Source Software Inhaltsverzeichnis SIPROTEC 5 Einführung Sicherheit Measures for System Hardening Access Control in SIPROTEC 5 and DIGSI 5 V08.01 Malware Protection Handbuch Communication Security Certificate Management Backup and Restore Security Logging Securely Resetting the Device Configura- tion...

  • Seite 2: Haftungsausschluss

    Marken Dokumentversion: C53000-H5000-C081-2.03 SIPROTEC™, DIGSI™, SIGRA™, SIGUARD™, SAFIR™ SICAM™ Ausgabestand: 12.2019 und MindSphere™ sind Marken der Siemens AG. Jede nicht Version des beschriebenen Produkts: V08.01 autorisierte Verwendung ist unzulässig. Alle anderen Bezeichnungen in diesem Dokument können Marken sein, deren Verwendung durch Dritte für ihre eigenen Zwecke...

  • Seite 3: Vorwort

    Schutzingenieure, Inbetriebsetzer, Personen, die mit der Einstellung, Prüfung und Wartung von Automatik-, Selektivschutz- und Steuerungseinrichtungen betraut sind sowie Betriebspersonal in elektrischen Anlagen und Kraftwerken. Gültigkeitsbereich Dieses Handbuch ist gültig für Produkte von SIPROTEC 5 und DIGSI 5 mit Hardware- und Firmware-Version V08.01. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 4: Weiterführende Dokumentation

    • Engineering Guide Der Engineering Guide beschreibt die wesentlichen Schritte beim Engineering mit DIGSI 5. Zusätzlich erfahren Sie im Engineering Guide, wie Sie eine projektierte Konfiguration in ein SIPROTEC 5-Gerät laden und die Gerätefunktionalität des SIPROTEC 5-Gerätes aktualisieren. • Online-Hilfe DIGSI 5 Die Online-Hilfe DIGSI 5 enthält ein Hilfepaket für DIGSI und CFC.
  • Seite 5 Betriebsmittel zur Verwendung innerhalb bestimmter Spannungsgrenzen (Niederspan- nungsrichtlinie 2014/35/EU). Diese Konformität ist das Ergebnis einer Bewertung, die durch die Siemens AG gemäß den Richtlinien in Übereinstimmung mit der Norm EN 60255-26 für die EMV-Richtlinie und der Norm EN 60255-27 für die Niederspannungsrichtlinie durchgeführt worden ist.
  • Seite 6 Beachten Sie alle Hinweise, um Sachschäden zu vermeiden. ² HINWEIS ist eine wichtige Information über das Produkt, die Handhabung des Produktes oder den jeweiligen Teil der Dokumentation, auf den besonders aufmerksam gemacht werden soll. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 7: Open Source Software

    Sie sind berechtigt, die Open Source Software gemäß den jeweiligen Open-Source-Software-Lizenz- bedingungen zu nutzen. Bei Widersprüchen zwischen den Open-Source-Software-Lizenzbedingungen und den für das Produkt geltenden Siemens Lizenzbedingungen gelten in Bezug auf die Open Source Software die Open-Source-Software-Lizenzbedingungen vorrangig. Die Open Source Software wird unentgeltlich über- lassen.
  • Seite 8 SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 9: Inhaltsverzeichnis

    Verzeichnis der erforderlichen offenen Ports..............20 2.3.2 Deaktivierung unnötiger System- und Kommunikationsdienste........20 2.3.3 Diagnose-Homepage....................21 Maßnahmen zur Härtung....................22 Access Control in SIPROTEC 5 and DIGSI 5....................23 Access Control with Connection Password................. 24 3.1.1 Einleitung........................24 3.1.2 Einstellung des Verbindungspasswortes............... 24 3.1.3...
  • Seite 10 Konfiguration der Sicherheitsfunktion DIGSI 5 Client-Authentifizierung....53 5.2.2.3 Verifizierung der konfigurierten CA über einen Web-Browser........54 5.2.2.4 Unbefugter Zugriff mit DIGSI 5 auf SIPROTEC 5-Geräte..........55 5.2.2.5 Wiederherstellung nach einer Sperrung über sicheres Zurücksetzen der Anmeldedaten....................... 56 Sicherheit von Interaktionen zwischen Web-Browser und Gerät......... 58 Certificate Management..........................61...
  • Seite 11 Inhaltsverzeichnis Literaturverzeichnis..........................111 Glossar..............................113 Stichwortverzeichnis..........................115 SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 12 SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 13: Einführung

    Einführung Ziel Beachtung von Normen Sicherheitsanforderungen SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 14: Ziel

    Verbindung von in der Vergangenheit isolierten Netzwerken, z.B. Gegenstationen • Standard-Software-Komponenten, z.B. OEM-Betriebssysteme (Original Equipment Manufacture - Original- hersteller) wie Windows Das Handbuch bietet Empfehlungen für die sichere Inbetriebnahme und den sicheren Betrieb von SIPROTEC 5- Geräten in vernetzten Umgebungen. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 15: Beachtung Von Normen

    1.2 Beachtung von Normen Beachtung von Normen Die von Siemens angebotenen Produkte und Technologien berücksichtigen die führenden Normen für die Cyber-Security. Die wesentlichen Grundlagen für sichere Infrastrukturen sind Normen und Richtlinien wie IEC 62443, IEC 62351, BDEW Whitepaper, IEEE 1686 und NERC CIP (Critical Infrastructure Protection).

  • Seite 16: Sicherheitsanforderungen

    Aktivierung nur der erforderlichen Dienste und Ports • Die Netzlast kritischer Systeme ist begrenzt auf das Maß, mit dem die Systeme unter Volllast weiterar- beiten. So wird z.B. die Anzahl von Broadcasts in den Netzkomponenten begrenzt. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 17: Measures For System Hardening

    Measures for System Hardening Übersicht Vorgesehene Betriebsumgebung Supported LAN Services Maßnahmen zur Härtung SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 18: Übersicht

    Erhöhung der Wahrscheinlichkeit der Entdeckung eines erfolgreichen Angriffs Eine Reduzierung der Komplexität und der Wartungsarbeiten am System ist in diesem Sinne ein sekundäres Ziel der Härtung, das die Handhabbarkeit verbessert und somit Verwaltungsfehler minimiert. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 19: Vorgesehene Betriebsumgebung

    In den SIPROTEC 5-Geräten ist Role-Based Access Control (RBAC) aktiviert. Der Zeit-Server ist konfiguriert und die Gerätezeit wurde synchronisiert. Die DIGSI 5-Instanzen verwenden für den Aufbau der TLS-Verbindung zu SIPROTEC 5-Geräten von Ihrer CA zugelassene Client-Zertifikate. Weitere Informationen hierzu siehe Kapitel 5.2 DIGSI 5 Client-Authentifizie-...

  • Seite 20: Supported Lan Services

    Web Browser – SIPROTEC 5 4443 Weitere Informationen zu den unterstützten Kommunikationsprotokollen finden Sie im SIPROTEC 5-Handbuch Kommunikationsprotokolle. 2.3.2 Deaktivierung unnötiger System- und Kommunikationsdienste Nach Empfang der gelieferten Geräte müssen Sie die Geräte zuerst initialisieren. Erst danach sind die Geräte betriebsbereit.

  • Seite 21: Diagnose-Homepage

    Nicht erforderliche Dienste können Sie im Gerät jederzeit mit DIGSI 5 deaktivieren. Diagnose-Homepage 2.3.3 Siemens empfiehlt, die Dienste der Diagnose-Homepage für Handlungen auf dem Mainboard und den Kommunikationsmodulen nach der Inbetriebnahme zu deaktivieren, da die Diagnose-Dienste weder HTTPS noch die Zugriffskontrolle unterstützen. Weitere Informationen zur Homepage siehe DIGSI 5 Online-Hilfe.

  • Seite 22: Maßnahmen Zur Härtung

    Aktivierung von Einstellungen zur Verbesserung der Sicherheit • Beschränkung der Rechte von Benutzern und Programmen HINWEIS Eine Sammlung der Härtungsanleitungen für verschiedene Betriebssysteme, Server-Dienste und Standard- applikationen finden Sie z.B. beim Center for Internet Security unter http://www.cisecurity.org. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 23: Access Control In Siprotec 5 And Digsi 5

    Access Control in SIPROTEC 5 and DIGSI 5 Access Control with Connection Password Role-Based Access Control (RBAC) in SIPROTEC 5 Rollenbasierte Ansichten in DIGSI 5 Notfallzugang SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 24: Access Control With Connection Password

    Access Control with Connection Password Einleitung 3.1.1 SIPROTEC 5-Geräte unterstützen die Benutzerauthentifizierung und Funktionen für den Zugriffsschutz auf sicherheitsrelevante Handlungen und Funktionen. Sie können zwischen der zentralen Role-Based Access Control (RBAC) und dem gerätespezifischen DIGSI 5-Verbindungspasswort wählen. Wenn Sie die RBAC-Funktion nicht nutzen möchten, dann richten Sie die Geräte so ein, dass eine Benutzerau- thentifizierung mit Abfrage des Passworts erfolgt.

  • Seite 25: Authentifizierung Und Verbindungspasswort Während Des Betriebs

    Der 1. Ablauf zwischen DIGSI 5 und dem Gerät ist ein Authentifizierungsverfahren basierend auf dem TLS 1.2- Protokoll, in dem digitale Zertifikate zwischen DIGSI 5 und dem Gerät ausgetauscht werden. Dieses Verfahren gewährleistet, dass nur DIGSI 5 vollen technischen Zugang zu einem SIPROTEC 5-Gerät haben kann. Wenn andere Anwendungen zugreifen wollen, werden sie blockiert.
  • Seite 26 DIGSI 5 wird mit dem Gerät verbunden. Navigieren Sie zu Gerät -> Sicherheit → Betriebssicherheits- und Zugriffskontrolle. ² Entfernen Sie die Markierung für die Betriebsart Verbinde DIGSI 5 mit dem SIPROTEC 5-Gerät im ² Bereich Passwort für die sichere Verbindung.

  • Seite 27: Role-Based Access Control (Rbac) In Siprotec 5

    Bild 3-2 Authentifizierungsserver Wenn sich ein Benutzer anmeldet, sendet das SIPROTEC 5-Gerät den Benutzernamen und das Passwort an den RADIUS-Server. Dieser prüft die Zugangsdaten des Benutzers und sendet bei erfolgreicher Authentifizierung die dem jeweiligen Benutzer zugeordneten Rollen an das SIPROTEC 5-Gerät zurück.

  • Seite 28: Hilfswerkzeuge

    RADIUS-Server die Angaben des sich verbindenden Benutzers auf Richtigkeit. Wenn der Benutzer eindeutig identifiziert wurde, weist die Autorisierung die Zugriffsrechte zu. Der Benutzer erhält die jeweiligen Zugriffsrechte auf Daten oder Dienste des SIPROTEC 5-Gerätes. Außerdem werden alle Zugriffsversuche für spätere Analysen aufgezeichnet (Audit-Trail).
  • Seite 29 Access Control in SIPROTEC 5 and DIGSI 5 3.2 Role-Based Access Control (RBAC) in SIPROTEC 5 [sc_project-tree_rbac, 2, de_DE] Bild 3-4 Projektnavigation Wenn das Verbindungspasswort im Bereich Bestätigungscodes und Verbindungspasswort aktiviert ist, ² muss es deaktiviert werden. [sc_Deactivate_connection_password, 1, de_DE]...

  • Seite 30: Parameter Für Den Radius-Server

    3.2 Role-Based Access Control (RBAC) in SIPROTEC 5 Parameter für den RADIUS-Server 3.2.4 Nehmen Sie zum Aufbau einer Verbindung zwischen dem SIPROTEC 5-Gerät und einem als Authentifizierungs- server fungierenden RADIUS-Server folgende Einstellungen in DIGSI 5 vor. [sc_radius-server, 2, de_DE] Bild 3-7...

  • Seite 31: Benutzerpuffergröße

    Wenn die SIPROTEC 5-Kommunikationsmodule zur RBAC-Authentifizierung verwendet werden, dann setzen Sie die Puffergröße auf mindestens 1. [sc_rbac_user_cache, 2, de_DE] Bild 3-9 Benutzerpuffereinstellungen Sicherheitseinstellungen laden 3.2.7 Laden Sie die Sicherheitseinstellungen nach der erfolgten Konfiguration der RBAC in das SIPROTEC 5-Gerät. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 32 Access Control in SIPROTEC 5 and DIGSI 5 3.2 Role-Based Access Control (RBAC) in SIPROTEC 5 HINWEIS Nur Benutzerkonten mit der Rolle SECADM oder Administrator sind berechtigt, Sicherheitseinstellungen in ein Gerät zu laden. Laden der Sicherheitseinstellungen Gehen Sie wie folgt vor: Wählen Sie in der Projektnavigation das Gerät aus.

  • Seite 33: Grundlegende Eigenschaften Der Zuweisung Von Rechten Und Unterstützten Rollen

    3.2.8 Rollen Eine Rolle ist eine Kombination von Rechten, die für das SIPROTEC 5-Gerät definiert wurden. Sie können Benutzern in verschiedenen Kontexten eine Rolle zuweisen. Die Rollen eines Benutzers in einem bestimmten Kontext bestimmen, welche Aktionen der Benutzer am SIPROTEC 5-Gerät durchführen kann und welche nicht.
  • Seite 34 Access Control in SIPROTEC 5 and DIGSI 5 3.2 Role-Based Access Control (RBAC) in SIPROTEC 5 Rechte Funktion der Rechte Zuweisung von unterstützten Rollen • Force values Werte ändern • Istwerte überschreiben – – – – – • Prozess auslösen Change CFG Konfiguration ändern/herunterladen/...
  • Seite 35 Access Control in SIPROTEC 5 and DIGSI 5 3.2 Role-Based Access Control (RBAC) in SIPROTEC 5 Tabelle 3-3 Generelle Zuweisung von Rechten und unterstützten Rollen auf der Bedieneinheit des Gerätes Rechte Funktion der Rechte Zuweisung von unterstützten Rollen Keine Anzeige allgemeiner Informationen...

  • Seite 36: Benutzernamen An Der Bedieneinheit Des Gerätes

    An der Bedieneinheit des Gerätes werden 2 Arten von Benutzernamen angezeigt: • Standard-Benutzernamen SIPROTEC 5-Geräte werden mit den folgenden vordefinierten Benutzernamen für die Anmeldung ausschließlich an der Bedieneinheit des Gerätes ausgeliefert. Diese Benutzernamen werden mit den von den SIPROTEC 5-Geräten unterstützten Rollen verknüpft: –...

  • Seite 37: Anmeldung Am Gerät Über Die Bedieneinheit Des Gerätes

    Konfiguration der Benutzer auf dem RADIUS-Server Anmeldung am Gerät über die Bedieneinheit des Gerätes 3.2.10 Benutzerauthentifizierung und -autorisierung beginnen mit dem SIPROTEC 5-Gerät. In diesem Fall ist das Gerät der RADIUS-Client und sendet eine Zugriffsanfrage an den RADIUS-Server. Diese Anfrage enthält die Anmeldedaten des Benutzers.
  • Seite 38 Access Control in SIPROTEC 5 and DIGSI 5 3.2 Role-Based Access Control (RBAC) in SIPROTEC 5 Sie werden zur Eingabe des Passwortes aufgefordert. [sc_Enter passcode, 1, de_DE] Bild 3-14 Seite zur Eingabe des Passwortes Geben Sie das numerische Passwort ein.

  • Seite 39: Rollenbasierte Ansichten In Digsi 5

    Access Control in SIPROTEC 5 and DIGSI 5 3.3 Rollenbasierte Ansichten in DIGSI 5 Rollenbasierte Ansichten in DIGSI 5 Mit dieser Funktion von DIGSI 5 wird die Benutzeroberfläche an die jeweilige Rolle angepasst, mit der sich der Benutzer bei der Windows-Sitzung angemeldet hat. Beim Start von DIGSI 5 werden Ihr Benutzername gemäß...
  • Seite 40 Access Control in SIPROTEC 5 and DIGSI 5 3.3 Rollenbasierte Ansichten in DIGSI 5 [sc_digsi_user_roles, 1, de_DE] Die ausgewählten Rollen werden dann auf der DIGSI 5-Benutzeroberfläche auf dieselbe Weise übernommen, wie sie vom Gerät auf dem Display übernommen werden (nur lesen, lesen und schreiben, ausblenden).
  • Seite 41 Access Control in SIPROTEC 5 and DIGSI 5 3.3 Rollenbasierte Ansichten in DIGSI 5 Aktion ADMIN ENGINEER INSTALLER VIEWER SECADM Exportieren Importieren Bearbeiten – umbenennen, ausschneiden, einfügen, löschen Bearbeiten – kopieren Projekt erstellen/löschen Projekt archivieren Projekt speichern Projekt speichern unter Single-Line-Editor Neues Gerät hinzufügen...
  • Seite 42 Access Control in SIPROTEC 5 and DIGSI 5 3.3 Rollenbasierte Ansichten in DIGSI 5 Aktion ADMIN ENGINEER INSTALLER VIEWER SECADM Online-Geräteinformations-Editor Online-Geräteinformations-Editor: Gerätein- formation Online-Geräteinformations-Editor: Ressour- cenverbrauch Registerkarte Meldepuffer Online-Geräteinformations-Editor: Gerätedi- agnosepuffer Online-Geräteinformations-Editor: Sicher- heitsmeldungen Online-Geräteinformations-Editor: Diagno- seinformationen Legende Nein...

  • Seite 43: Notfallzugang

    Wenn der RADIUS-Server bei der Anmeldung am Gerät nicht erreichbar ist und Sie sich nicht als Benutzer anmelden können, können Sie sich über den Notfallzugang am Gerät anmelden. Siemens empfiehlt die Konfiguration des Notfallzugangs für DIGSI 5 und die Vor-Ort-Bedienung bei der Inbe- triebnahme des Gerätes oder bei der Konfiguration der Cyber-Security-Parameter.
  • Seite 44 SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 45: Malware Protection

    Malware Protection Übersicht Malware-Schutz für Engineering-Software Integritätsprüfung der heruntergeladenen Datei SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 46: Übersicht

    Übersicht SIPROTEC 5-Geräte basieren auf dem Betriebssystem VxWorks, für das kein spezielles Antivirenprogramm erhältlich ist. Außerdem verfügen SIPROTEC 5-Geräte über eine interne Firewall zum Schutz vor Angriffen über das Netzwerk. Zur Verbesserung des Schutzes ist die Firewall standardmäßig aktiviert. Sie können nur digital signierte Firmware-Dateien in das Gerät laden und die Geräte vor manipulierten oder fehlerhaften Firmware-Dateien schützen.

  • Seite 47: Malware-Schutz Für Engineering-Software

    Schutzes auftreten, können nicht ausgeführt werden. Der Vorteil der Whitelisting-Applikation für geschützte und isolierte Unterstationsnetzwerke ist, dass die Antiviren-Muster für neu entdeckte Schadprogramme nicht sofort aktualisiert werden müssen. Mit diesen Schritten werden SIPROTEC 5-Geräte und DIGSI 5 in der Zielumgebung sicherer und zuverlässiger. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 48: Integritätsprüfung Der Heruntergeladenen Datei

    Integritätsprüfung der heruntergeladenen Datei Sie können auch die Integrität der SIPROTEC Firmware- und Software-Dateien prüfen, die auf dem von Siemens unterstützten Portal heruntergeladen werden können. Für jede herunterladbare Firmware- und Soft- ware-Datei wird der entsprechende SHA‑256-Fingerprint im Internet veröffentlicht Tools wie Certutil in Microsoft Windows können für folgende Zwecke verwendet werden: •...

  • Seite 49: Communication Security

    Communication Security Zugriffsbeschränkungen für Ethernet anwenden DIGSI 5 Client-Authentifizierung Sicherheit von Interaktionen zwischen Web-Browser und Gerät SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 50: Zugriffsbeschränkungen Für Ethernet Anwenden

    Sie können folgende Zugriffsrechte einstellen: • Kein Zugriff Keine DIGSI-Kommunikation über diese Schnittstelle möglich. • Lesezugriff Über diese Schnittstelle haben Sie Lesezugriff auf das Gerät. • Lese- und Schreibzugriff Über diese Schnittstelle ist Lese- und Schreibzugriff möglich. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 51: Digsi 5 Client-Authentifizierung

    Sobald diese Funktion eingerichtet wurde, ist eine Verbindung zu einem Gerät mit der Standardversion von DIGSI 5 über das eingebettete voreingestellte Client-Zertifikat von Siemens nicht mehr möglich. Dies verhin- dert den Zugriff von unberechtigten Windows-Benutzer mit DIGSI 5-Installation auf einsatzfähige SIPROTEC 5- Geräte.

  • Seite 52: Konfiguration

    Kommunikation mit gegenseitiger Authentifizierung und Verschlüsselung zwischen DIGSI 5 und dem SIPROTEC 5-Gerät Beim Aufbau der Verbindung mit einem SIPROTEC 5-Gerät übergibt DIGSI 5 sein digitales Client-Zertifikat (im Folgenden Client-Zertifikat genannt) an das Gerät zur Authentifizierung. Wenn Sie für Ihre DIGSI 5-Installa- tion statt der Siemens-Standardzertifikate ein eigenes Client-Zertifikat verwenden möchten, dann benötigen...

  • Seite 53: Erklärung

    Sie müssen Ihre Geräte so konfigurieren, dass diese mit Ihren Client-Zertifikaten ausschließlich DIGSI 5-Verbin- dungsanfragen akzeptieren. So konfigurieren Sie die DIGSI Client-Authentifizierung für ein Gerät: Wählen Sie in der Projektnavigation das entsprechende Gerät aus, navigieren Sie zu Sicherheit und ² wählen Sie Netzzugangssicherheit: [sc_Network_access_security, 1, de_DE] SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 54: Verifizierung Der Konfigurierten Ca Über Einen Web-Browser

    Der Voreinstellwert dieser Auswahlliste ist SIPROTEC 5 Trusted Certificate Authority. Wenn Sie diesen Wert ausgewählt haben, wird das Standard- verhalten für die Verbindung von DIGSI 5 zum SIPROTEC 5-Gerät mit den DIGSI 5-Client-Zertifikaten von Siemens aktiviert. Laden Sie diese Einstellungen in das Gerät, damit sie wirksam werden.

  • Seite 55: Unbefugter Zugriff Mit Digsi 5 Auf Siprotec 5-Geräte

    Die konfigurierte kundenspezifische Zertifizierungsstelle kann auch auf der Seite für die Einstellungen zur Client-Authentifizierung überprüft werden: [sc_settings_ClientAuth, 1, de_DE] Wenn Sie die SIPROTEC 5 Trusted Certificate Authority ausgewählt haben, ist der Wert für Trusted CA auf Standard gesetzt. 5.2.2.4 Unbefugter Zugriff mit DIGSI 5 auf SIPROTEC 5-Geräte Bei der Konfiguration einer vertrauenswürdigen Zertifizierungsstelle muss ein gültiges, von der Zertifizierungs-...

  • Seite 56: Wiederherstellung Nach Einer Sperrung Über Sicheres Zurücksetzen Der Anmeldedaten

    Wenn die vertrauenswürdige Zertifizierungsstelle vor deren Erneuerung abläuft oder wenn das entsprechende Client-Zertifikat nicht mehr im Windows System CA-Store vorliegt, kann DIGSI nicht mehr mit dem SIPROTEC 5- Gerät kommunizieren. Eine Wiederherstellung ist in diesem Fall nur durch das Zurücksetzen der Zugangsan- meldedaten über eine USB-Verbindung möglich.
  • Seite 57 Communication Security 5.2 DIGSI 5 Client-Authentifizierung HINWEIS Folglich werden alle sicherheitsrelevanten Einstellungen auf die Standardwerte gesetzt! SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 58: Sicherheit Von Interaktionen Zwischen Web-Browser Und Gerät

    So bedienen Sie das Gerät über die browser-basierte Benutzeroberfläche: • Schließen Sie das SIPROTEC 5-Gerät (z.B. Port J) mit einem Netzwerkkabel an Ihren PC an. Legen Sie zur Verbesserung der Verbindungssicherheit folgende Zugriffseinstellungen in DIGSI unter Netzzu- gangssicherheit fest:...

  • Seite 59: Role-Based Access Control (Rbac) In Siprotec

    Bei aktiver RBAC ist der Zugriff nur nach erfolgreicher Authentifizierung des Benutzernamens und Passw- orts möglich. Nähere Informationen hierzu, siehe Kapitel 3.2 Role-Based Access Control (RBAC) in SIPROTEC • Klicken Sie auf die Schaltfläche mit dem Häkchen. [scwebmonitor_enter, 1, --_--] Bild 5-4 Schaltfläche zur Bestätigung SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 60: Zeitüberschreitung

    Verbindung vom Web-Browser zum Gerät getrennt. Die folgende Meldung wird angezeigt: [scwebmonitor14, 1, de_DE] Bild 5-6 Zeitüberschreitung Nach Ablauf einer bestimmten Zeit müssen Sie sich erneut über den Web-Browser am Gerät anmelden. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 61: Certificate Management

    Certificate Management Einleitung Zertifikate im Einsatz Zertifizierungsstellen Angeforderte Zertifikate SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 62: Einleitung

    Bei aktiver RBAC wird mit der Rolle SECADM oder Administrator bei der browser-basierten Benutzerober- fläche die Schaltfläche Zertifikate angezeigt. [sc_certificates_button, 1, de_DE] Wenn Sie die Schaltfläche Zertifikate klicken, werden die folgenden Bereiche angezeigt: • Zertifikate im Einsatz • Zertifizierungsstellen • Angeforderte Zertifikate [sc_CM, 1, de_DE] SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 63 Certificate Management 6.1 Einleitung Nähere Informationen zu diesen Bereichen finden Sie in den folgenden Kapiteln. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 64: Zertifikate Im Einsatz

    Die Zertifikate, die derzeit im Gerät verwendet werden, werden im Bereich Zertifikate im Einsatz angezeigt. In diesem Bereich können Sie Zertifikate auch hochladen oder löschen. [sc_certificates, 1, de_DE] HINWEIS Nur Zertifikate im Format .pem werden zum Hochladen in die Geräte akzeptiert. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 65: Zertifizierungsstellen

    Wenn Sie in DIGSI 5 Ihre Zertifizierungsstellen in den DIGSI 5 CA-Store importiert haben und die Zertifizie- rungsstellen in das Gerät geladen haben, werden die Zertifizierungsstellen bei der browser-basierten Benut- zeroberfläche im Bereich Zertifizierungsstellen angezeigt. [sc_Cert.Auth., 1, de_DE] SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 66: Angeforderte Zertifikate

    CSR-Datei. Diese CSR-Dateien werden im Bereich Angeforderte Zertifikate aufgeführt. Mit der Schaltfläche für den Export können Sie eine CSR-Datei zur Signierung auf Ihren lokalen PC herunter- laden. [sc_crt_export, 1, de_DE] SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 67: Backup And Restore

    Backup and Restore Allgemein Archivieren und Dearchivieren eines Projekts SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 68: Allgemein

    DIGSI 5 verwaltet die Komponenten einer Anlage und alle damit verbundenen Projektdaten. Projekte sind in Windows als Ordner strukturiert. Wenn die Voreinstellung nicht geändert wurde, finden Sie die Projektordner unter Eigene Dateien\Automatisierung. Für jedes Projekt wird ein Ordner mit dem Namen des Projektes erstellt. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 69: Archivieren Und Dearchivieren Eines Projekts

    Archivieren eines Projekts Klicken Sie im Menü Projekt auf Archivieren..² [sc_ProjectMenu, 1, de_DE] Bild 7-1 Menüeintrag Archivieren Der Dialog Archivieren wird mit dem Standarddateinamen geöffnet. Wenn erforderlich, geben Sie den neuen Archivpfad ein. ² SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 70 [sc_ProjectMenu2, 1, de_DE] Bild 7-3 Menüeintrag Dearchivieren Wählen Sie im entsprechenden Ordner das archivierte Projekt mit der Dateierweiterung .dz5. ² Wählen Sie das Zielverzeichnis aus, in dem Sie das dearchivierte Projekt speichern möchten. ² SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 71 Backup and Restore 7.2 Archivieren und Dearchivieren eines Projekts Das dearchivierte Projekt wird in DIGSI 5 geöffnet. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 72 SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 73: Security Logging

    Security Logging Übersicht Unterstützte System- und Firmware-Versionen Logged Security Events Configuration Auditberichte anzeigen SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 74: Übersicht

    Security Logging 8.1 Übersicht Übersicht SIPROTEC 5-Geräte und DIGSI 5 bieten einen Sicherheitsaudit-Trail, der sicherheitsrelevante Ereignisse chrono- logisch aufzeichnet und nach Ursprung und Schweregrad kategorisiert. Die SIPROTEC 5-Geräte senden die sicherheitsrelevanten Ereignisse automatisch an einen externen syslog- Server, DIGSI 5 sendet solche Ereignisse an das Windows Ereignisprotokoll.

  • Seite 75: Unterstützte System- Und Firmware-Versionen

    Die folgende Tabelle zeigt die System- und Firmware-Versionen, die syslog unterstützen: System Firmware Version Unterstützte Schnitt- stelle • SIPROTEC 5 CP100 V07.50 oder höher Port J • CP300 Port E • Port F • Port P • Port N SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 76: Logged Security Events

    (%A1%, %A2%, %A3% und %A4%) enthalten. Syslog-Ereignisse SIPROTEC 5 8.3.2 HINWEIS Die Anzeige von Sicherheitsmeldepuffern wird von der browser-basierten Benutzeroberfläche nicht unterstützt. Schweregrad Ereignis Die folgende Tabelle zeigt die syslog-Ereignisse mit Schweregrad Ereignis. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 77 Stan- Sitzung mit dem Benutzer dardwert (10 %A1% wurde aufgrund einer Minuten) für die Zeit Zeitüberschreitung (%A2%) ohne Benutzeraktion; beendet.) nach dieser Zeit- spanne wird die bestehende interak- tive Benutzersitzung beendet SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 78 IP- Adresse des Rech- ners. User %A1% manually over- Konto-ID – – – rode real data (Benutzer %A1% hat Realdaten manuell überschrieben) [//Protokollierung durch Produkte, die RBAC unter- stützen] SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 79 Leistungs- Zusätzliche Angaben: %A4% Änderungen durch- schalters gemäß geführt werden DIGSI 5-Betriebsmel- sollen. Wenn Soft- depuffer> ware für den PC verwendet wird, dann ist dies die IP- Adresse des Rech- ners. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 80 Änderungen durch- geführt werden sollen. Wenn Soft- ware für den PC verwendet wird, dann ist dies die IP- Adresse des Rech- ners. Configuration settings were – – – – changed (Konfigurationsein- stellungen wurden geändert) SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 81 (z.B. Engi- von %A2% hochgeladen.) neering-Werkzeug), von dem aus die Änderungen durch- geführt werden sollen. Wenn Soft- ware für den PC verwendet wird, dann ist dies die IP- Adresse des Rech- ners. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 82 Wenn Soft- ware für den PC verwendet wird, dann ist dies die IP- Adresse des Rech- ners. A change to time/date was – – – – carried out. (Zeit oder Datum wurde geändert.) SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 83 Settings related to secure Der Name des geän- Der neue Parameter- – – communication were derten Parameters wert changed:%A1% (set to value %A2%). (Parameter für die sichere Kommunikation wurden geändert: %A1% (auf Wert %A2% gesetzt).) SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 84 Der Name des geän- Der neue Parameter- – related to online security derten Parameters wert monitoring: %A2% (set to value %A3%). (Benutzer %A1% hat Parameter für die Online-Sicherheitsüberwa- chung geändert: %A2% (auf Wert %A3% gesetzt).) SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 85 (Benutzer %A1% hat sich abgemeldet.) Primary %A1% server %A2% Protokoll (RADIUS) IP-Adresse – – check failed (Primärer %A1% Server %A2% Prüfung fehlge- schlagen) Schweregrad Alarm Die folgende Tabelle zeigt die syslog-Ereignisse mit Schweregrad Alarm. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 86 Benutzer ist • der Kontotyp Wenn ein LDAP. Fernbedien- platz • Beim RADIUS- verwendet Benutzer ist wird, ist der Kontotyp %A3% die IP- RADIUS. Adresse des Fernbedien- platzes. • Bedieneinheit des Gerätes SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 87 User %A1% initiated Konto-ID Zusätzliche – – restart (with action: Angaben zur %A2%). (Benutzer %A1% genauen Aktion, hat Neustart initiiert (Mit die den Neustart Aktion: %A2%).) ausgelöst hat, z.B. Betriebstaste, SD‑Karte einge- führt, etc. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 88 (von %A1%)) Attempted download of Die Quelle der – – – unauthorized firmware unberechtigten file(s) (from %A1%) Firmware- (Versuchter Download Datei(en), z.B. die nicht autorisierter Firm- IP-Adresse des PC, ware-Datei(en) (von SD-Karte, etc. %A1%)) SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 89 Änderung, z.B., detected: %A1%. (Eine wenn eine falsche unsachgemäße Änderung I/O-Baugruppe in der Hardware durch den einen I/O-Steck- Benutzer wurde festge- platz gesteckt wird. stellt: %A1%.) SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 90: Configuration

    Configuration Übersicht 8.4.1 Um Cyber-Security-Ereignisse beim Betrieb von SIPROTEC 5-Geräten aufzuzeichnen, werden Schriebe automa- tisch erstellt und die Daten werden gesammelt. Alle im geräteinternen Sicherheitsmeldepuffer aufgezeich- neten sicherheitsrelevanten Ereignisse und Alarme können gleichzeitig auch an einen zentralen syslog-Server übertragen werden. Dadurch können sicherheitsrelevante Ereignisse von mehreren Transformatorstationen aufgezeichnet werden, die Normen und Richtlinien wie etwa IEEE 1686, IEC 62443 und BDEW Whitepaper erfüllen müssen.
  • Seite 91 Auf dem Geräte-Display können Sie die Einstellungen für die verwendeten syslog-Server prüfen. Bild 8-2 zeigt beispielhaft die Einstellungen für Port und IP-Adressen eines syslog-Servers am Gerät. Wählen Sie auf dem Geräte-Display Folgendes aus: • Hauptmenü > Parameter > Security > Sicherheitsprotok. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 92: Aufzeichnungen

    Nicht erfolgreiche Anmeldeversuche durch dreimalige falsche Eingabe des Passworts – Reboot oder Neustart des Gerätes • Andere Einträge – Kapazitätswarnung des Sicherheitsmeldepuffers Die folgende Tabelle zeigt, wann welcher Meldungstyp (einschließlich Format) und welche Aktion erwartet wird. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 93 Ereignisse, die Änderungen der aktuellen Uhrzeit-/ Datum Datumseinstellungen anzeigen. Sicherheitsmanagement ALARM Ereignisse, die Änderungen der aktuellen Sicherheitskon- figuration für folgende Elemente anzeigen: • Benutzerverwaltung • Benutzerauthentifizierung • Sichere Kommunikation • Einstellungen für Sicherheitsüberwachung (Proto- kollierung) SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 94 IEC 61850 • IEC 60870-5-103 Alle Warnmeldungen und Alarme liegen als temporäre Meldungen vor. Diese Daten werden in den folgenden Betriebsarten des Gerätes übertragen: • Simulationsmodus • Prozessmodus • Inbetriebsetzungsmodus • Fallback-Modus (Rückfallmodus) SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 95: Windows Ereignisprotokoll

    Klicken Sie Start -> Systemsteuerung -> Administrative Tools -> Ereignisanzeige. ² – oder – Wählen Sie Start > Ausführen... und geben Sie eventvwr in den Dialog ein. ² Klicken Sie OK. ² Der Dialog Ereignisanzeige wird angezeigt. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 96 Protokolleigenschaften anzeigen – DIGSI 5 Klicken Sie im Fenster Ereignisanzeige unter dem Ordner Anwendungs- und Dienstprotokolle mit der ² rechten Maustaste auf den Knoten DIGSI 5 und wählen Sie im Kontextmenü die Option Eigenschaften aus. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 97 C:\ProgramData\Siemens Energy\DIGSI 5\EventLog\DIGSI_5_EventLog.evtx Die maximale Protokollgröße beträgt 4096 KB. Wenn die maximale Protokollgröße erreicht wurde, wird die Option Volles Protokoll archivieren, Ereignisse nicht überschreiben standardmäßig aktiviert. Sie können die gewünschte Option gemäß Ihren Anforderungen auswählen. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 98: Auditberichte Anzeigen

    Auslesen vom PC mit DIGSI 5 • Um auf den Sicherheitsmeldepuffer Ihres SIPROTEC 5-Gerätes zuzugreifen, benutzen Sie das Fenster der Projektnavigation. Der Online-Zugriff auf das Gerät muss möglich sein. Projekt -> Online-Zugänge -> Gerät -> Geräteinformation -> Meldepuffer -> Sicherheitsmeldungen Der zuletzt aus dem Gerät geladene Zustand des Sicherheitsmeldepuffers wird angezeigt.
  • Seite 99 Die protokollierten Meldungen sind vorkonfiguriert und können nicht verändert werden! • Sie können diesen als Ringspeicher organisierten Meldepuffer nicht löschen. • Wenn Sie sicherheitsrelevante Informationen ohne Informationsverlust aus dem Gerät archivieren wollen, so müssen Sie diesen Meldepuffer regelmäßig auslesen. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 100 SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 101: Securely Resetting The Device Configuration

    Securely Resetting the Device Configuration Security Credentials and Configuration Reset Secure Factory Reset SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 102: Security Credentials And Configuration Reset

    Datei verwenden kann. Nur Benutzerkonten mit der Rolle SECADM oder Administrator sind berechtigt, die SCRF-Datei von einem Gerät herunterzuladen. Herunterladen der SCRF-Datei Schließen Sie das SIPROTEC 5-Gerät mit einem Netzwerkkabel an einen PC an. ² Starten Sie DIGSI 5. ²...
  • Seite 103 Hochladen der SCRF-Datei Übertragen Sie die SCRF-Datei auf das Gerät. ² Bei erfolgreicher Rücksetzung zeigt DIGSI eine Meldung an und alle Sicherheitseinstellungen im SIPROTEC 5- Gerät sind deaktiviert. HINWEIS Nach dem Hochladen einer SCRF-Datei werden die Sicherheitseinstellungen auf der Bedieneinheit des Gerätes und auf der browser-basierten Benutzeroberfläche nicht aktualisiert.

  • Seite 104: Secure Factory Reset

    Herunterladen der Datei zum sicheren Zurücksetzen auf Werkseinstellungen 9.2.1 (SFRF) Um ein SIPROTEC 5-Gerät wieder in den Auslieferzustand zu versetzen, müssen Sie zuerst die signierte SFRF- Datei vom Gerät herunterladen. HINWEIS Sichern und speichern Sie die SFRF-Datei bei der Inbetriebnahme des Gerätes an einem sicheren Ort, da jeder diese Datei verwenden kann.
  • Seite 105 Datei in das Gerät auf Werkseinstellungen zurücksetzen. Daher muss die SFRF-Datei nach dem Zurück- setzen effektiv vom PC entfernt werden. • Mit einer SFRF-Datei kann ein SIPROTEC 5-Gerät immer auf Werkseinstellungen zurückgesetzt werden. Zurücksetzen auf Werkseinstellungen Speichern Sie die SFRF-Datei auf dem PC.
  • Seite 106 SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 107: Security Patch Management

    Security Patch Management 10.1 Allgemein 10.2 SIPROTEC 5 Patch-Management 10.3 DIGSI 5 Patch-Management SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 108: Allgemein

    Betriebspersonal, das das System verwaltet, auch die Patches und Updates installiert. Installation und Deinstallation von Patches und Updates sollten durch den Systembetreiber autori- siert werden und nicht automatisch durchgeführt werden. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

  • Seite 109: Siprotec 5 Patch-Management

    10.2 SIPROTEC 5 Patch-Management Um sicherzustellen, dass die SIPROTEC 5-Geräte die neueste Firmware verwenden, können Sie alle Firmware- Dateien für diese Geräte einzeln herunterladen und aktualisieren. Während der Aktualisierung der Firmware ist das betreffende Gerät nicht betriebsbereit. Wenn eine Unterbre- chung des Normalbetriebs nicht akzeptabel ist und Sie einen kontinuierlichen Betrieb sicherstellen möchten,...

  • Seite 110: Digsi 5 Patch-Management

    Verbesserungen und Bereinigungen von Software-Fehlern werden zur Nachverfolgung dokumentiert. Sicher- heitsupdates für Komponenten von Fremdherstellern, die von DIGSI 5 verwendet werden (z.B. Windows- Betriebssystem), werden in diesem Rahmen ebenfalls getestet und für DIGSI 5 freigegeben. Siemens bietet die Updates kostenfrei an.
  • Seite 111 Literaturverzeichnis Online-Hilfe DIGSI 5 C53000-D5000-C001 Systemhärtung für Stationsautomatisierung und Schutz E50417-H8900-C619 SIPROTEC 5, Betrieb C53000-D5000-C003 SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 112 SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 113 Kriterien, wie Fehlerentfernung, Fehlerrichtung oder Störfalldauer, eine Abschaltung des fehlerhaften Netzab- schnittes bewirken. SIPROTEC Die eingetragene Marke SIPROTEC bezeichnet die Produktfamilie der Schutzgeräte und Störschreiber. SIPROTEC 5-Gerät Dieser Objekttyp repräsentiert ein reales SIPROTEC-Gerät mit allen darin enthaltenen Einstellwerten und Prozessdaten. SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 114 SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 115 Maßnahmen zur Härtung 22 Technologien 14 Normen 15 Notfallzugang Verbindungspasswort 25 Aktivierung 43 Deaktivieren 25 Einleitung 24 Konfiguration 24 Rücksetzen 25 Zeichenbeschränkung 24 Offene Ports 20 Wichtige Sicherheitsanforderungen 16 Patch-Management-Prozess 108 Zeitüberschreitung 60 RADIUS-Server Zertifikatsverwaltung SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...
  • Seite 116 Stichwortverzeichnis CSR exportieren 66 Signierte Zertifikate 64 Vorbedingungen 62 Zuweisung von Rechten und unterstützten Rollen 33 SIPROTEC 5, Sicherheit, Handbuch C53000-H5000-C081-2, Ausgabe 12.2019...

Inhaltsverzeichnis