Schneider Electric MasterPact, ComPacT, PowerPacT - 网络安全指南ユーザーガイド

ブランド: Schneider Electric

モデル: MasterPact, ComPacT, PowerPacT - 网络安全指南

タイプ: ユーザーガイド

PacT Series

MasterPact, ComPacT, PowerPacT

网络安全指南

PacT Series 提供出众的断路器和开关

DOCA0122ZH-07

05/2023

www.se.com

法律声明

施耐德电气品牌以及本指南中涉及的施耐德电气及其附属公司的任何商标均是施耐德

电气或其附属公司的财产。所有其他品牌均为其各自所有者的商标。本指南及其内容

受适用版权法保护，并且仅供参考使用。未经施耐德电气事先书面许可，不得出于任

何目的，以任何形式或方式（电子、机械、影印、录制或其他方式）复制或传播本指

南的任何部分。

对于将本指南或其内容用作商业用途的行为，施耐德电气未授予任何权利或许可，但

以“原样”为基础进行咨询的非独占个人许可除外。

施耐德电气的产品和设备应由合格人员进行安装、操作、保养和维护。

由于标准、规格和设计会不时更改，因此本指南中包含的信息可能会随时更改，恕不

另行通知。

在适用法律允许的范围内，对于本资料信息内容中的任何错误或遗漏，或因使用此处

包含的信息而导致或产生的后果，施耐德电气及其附属公司不会承担任何责任或义

务。

作为负责任、具有包容性的企业中的一员，我们将更新包含非包容性术语的内容。然

而，在我们完成更新流程之前，我们的内容可能仍然包含客户认为不恰当的标准化行

业术语。

MasterPact, ComPacT, PowerPacT

安全信息.......................................................................................................5

关于本书.......................................................................................................7

网络安全简介.............................................................................................10

网络安全简介 ........................................................................................... 11

MasterPact、ComPacT 和PowerPacT 断路器为什么会涉及到网络安

全............................................................................................................12

系统设计、规划和安装的网络安全建议.................................................16

识别和保护敏感且关键的信息和操作 ..........................................................17

设计密码策略 ...........................................................................................19

培训.........................................................................................................22

本地访问的网络安全建议.........................................................................23

MasterPact、ComPacT 和PowerPacT 断路器本地访问限制 .......................24

MicroLogic HMI 本地访问的保护建议 .........................................................25

通过 NFC 访问的保护建议 (MasterPact MTZ) .............................................26

通过 Bluetooth®无线技术访问的保护建议 (MasterPact MTZ) ....................... 28

通过 Mini USB 端口访问 MicroLogic X 控制单元的保护建议 (MasterPact

MTZ) .......................................................................................................30

通过测试端口访问 MicroLogic 脱扣单元的保护建议.....................................32

通过 FDM121 显示屏远程访问 MicroLogic 脱扣单元的保护建议 ..................34

远程访问的网络安全建议.........................................................................35

MasterPact、ComPacT 和PowerPacT 断路器远程访问限制 .......................36

将OT 网络与企业网络分离........................................................................38

通过 Ethernet 远程访问 MicroLogic 脱扣单元或控制单元的保护建议.............39

通过 Modbus-SL 远程访问 MicroLogic 脱扣单元或控制单元的保护建

议............................................................................................................41

固件更新和 Digital Modules 的网络安全建议........................................42

安装固件更新 ...........................................................................................43

购买和安装 MasterPact MTZDigital Modules () ...........................................45

Schneider Electric Cybersecurity Support Portal .........................................46

处置或停用网络安全建议.........................................................................47

术语.............................................................................................................49

DOCA0122ZH-06 3

MasterPact, ComPacT, PowerPacT

安全信息

重要信息

在试图安装、操作、维修或维护设备之前，请仔细阅读下述说明并通过查看来熟悉

设备。下述特定信息可能会在本文其他地方或设备上出现，提示用户潜在的危险，

或者提醒注意有关阐明或简化某一过程的信息。

请注意

电气设备的安装、操作、维修和维护工作仅限于有资质的人员执行。施耐德电气不

承担由于使用本资料所引起的任何后果。

有资质的人员是指掌握与电气设备的制造和操作及其安装相关的技能和知识的人

员，他们经过安全培训能够发现和避免相关的危险。

在“危险”或“警告”标签上添加此符号表示存在触电危险，如果不遵守使用说明，

会导致人身伤害。

这是提醒注意安全的符号。提醒用户可能存在人身伤害的危险。请遵守所有带此符号

的安全注意事项，以避免可能的人身伤害甚至死亡。

危险表示若不加以避免,将会导致严重人身伤害甚至死亡的危险情况。

危险

警告表示若不加以避免,可能会导致严重人身伤害甚至死亡的危险情况。

警告

小心表示若不加以避免,可能会导致轻微或中度人身伤害的危险情况。

小心

注意用于表示与人身伤害无关的危害。

注意

DOCA0122ZH-06 5

MasterPact, ComPacT, PowerPacT

网络安全注意事项

警告

系统可用性、完整性和保密性的潜在危害

•首次使用时，更改默认密码，以有助于防止擅自访问设备设置、控件和信

息。

•禁用未使用的端口/服务和默认账户将有助于尽量减少恶意攻击的途径。

•将联网设备布置在多层网络防御（例如防火墙、网络分段、网络入侵检测和

保护）之后。

•采用网络安全最佳实践（例如，最低权限、责任分离）来帮助阻止非法曝

露、丢失、数据和日志修改、或服务中断。

未按说明操作可能导致人身伤亡或设备损坏等严重后果。

6 DOCA0122ZH-06

MasterPact, ComPacT, PowerPacT

关于本书

PacT Series 主要系列

施耐德电气的低压和中压 PacT Series 系列使您的装置不会过时。PacT Series 系

列以传奇的施耐德电气创新为基础，包括出众的断路器、开关、漏电保护装置和熔

断器，适用于几乎任何标准和特定应用。在支持 EcoStruxure 的开关柜中，通过

PacT Series 系列在 16 到6300 A 的低压和 40.5 kV 的中压开关柜中体验强大的性

能。

文档范围

本指南中的信息涉及带 MicroLogic 脱扣单元和控制单元的 MasterPact、ComPacT

和PowerPacT 断路器的网络安全，旨在帮助系统设计人员和操作人员为产品打造

并实现一个安全的运行环境。

注:

•本文档中与新一代 ComPacT NS 和PowerPacT P和R型断路器相关的信

息也适用于现有的 ComPact NS 和PowerPact P和R型系列断路器。如

有例外，将专门说明。

•本文档中与新一代 ComPacT NSX 和PowerPacT H-, J-, and L-Frame 断

路器相关的信息也适用于现有的 ComPact NSX 和PowerPact H、J和L

型系列断路器。如有例外，将专门说明。

•这些新系列所依托的技术和尺寸架构与现有断路器系列相同。

本指南并不涉及较常见的主题，比如，如何保护您的运营技术网络或企业以太网网

络。有关网络安全威胁及其应对方法的概述，请参阅 How Can I Reduce

Vulnerability to Cyber Attacks?。

注:在本指南中，术语安全是指网络安全。

有效性说明

本指南中的信息涉及以下断路器：

•配备有 MicroLogic 控制单元的 MasterPact MTZ 断路器

•配备有 MicroLogic 脱扣单元的 MasterPact NT/NW 断路器

•配备有 MicroLogic 脱扣单元的 ComPacT NS 断路器

•配备有 MicroLogic 脱扣单元的 PowerPacT P 型和 R型断路器

•配备有 MicroLogic 脱扣单元的 ComPacT NSX 断路器

•配备有 MicroLogic 脱扣单元的 PowerPacT H、J和L型断路器

注:本指南中的信息还与旧式ComPactComPactPowerPact系列相关。

在线信息

本指南中的信息可能在任何时候更新。Schneider Electric 强烈建议您通过 www.se.

com/ww/en/download 获得最新版本。

本指南中描述的设备技术特性在网站上也有提供。如要在线访问此信息，请访问

Schneider Electric 主页 www.se.com。

DOCA0122ZH-06 7

MasterPact, ComPacT, PowerPacT

IEC 设备的相关文档

文件名称参考编号

MasterPact MTZ - MicroLogic X 控制单元 -用户指南 DOCA0102EN

DOCA0102ES

DOCA0102FR

DOCA0102ZH

ComPacT NSX – Micrologic 5/6/7电子脱扣单元 -用户指南 DOCA0188EN

DOCA0188ES

DOCA0188FR

DOCA0188ZH

ComPact NSX – Micrologic 5/6/7电子脱扣单元 -用户指南 DOCA0141EN

DOCA0141ES

DOCA0141FR

DOCA0141ZH

MasterPact NT/NW - MicroLogic A 和E脱扣单元 -用户指南 04443724AA (EN)

EAV16735 (ES)

04443723AA (FR)

MasterPact NT/NW - MicroLogic P 脱扣单元 -用户指南 04443726AA (EN)

EAV16736 (ES)

04443725AA (FR)

MasterPact NT/NW - MicroLogic H 脱扣单元 -用户指南 04443728AA (EN)

EAV16737 (ES)

04443727AA (FR)

ComPacT NS - MicroLogic A/E 脱扣单元 -用户指南 DOCA0218EN

DOCA0218ES

DOCA0218FR

DOCA0218ZH

ComPacT NS - MicroLogic P 脱扣单元 -用户指南 DOCA0219EN

DOCA0219ES

DOCA0219FR

DOCA0219ZH

Enerlin’X EIFE - 用于单个 MasterPact MTZ 抽出式断路器的嵌入式以

太网接口 -用户指南

DOCA0106EN

DOCA0106ES

DOCA0106FR

DOCA0106ZH

Enerlin’X IFE - 以太网交换机服务器 -用户指南 DOCA0084EN

DOCA0084ES

DOCA0084FR

DOCA0084ZH

Enerlin’X IFE - 用于单个断路器的以太网接口 -用户指南 DOCA0142EN

DOCA0142ES

DOCA0142FR

DOCA0142ZH

How Can I Reduce Vulnerability to Cyber Attacks? Cybersecurity System

Technical Note

MicroLogic 脱扣单元和控制单元 -固件历史 DOCA0155EN

MasterPact MTZ - MicroLogic X Control Unit - Firmware Release

Notes

DOCA0144EN

Enerlin’X IFM - Modbus-SL Interface for One Circuit Breaker

(TRV00210/STRV00210) - Firmware Release Note

DOCA0145EN

Enerlin'X IFM - Modbus-SL Interface for One Circuit Breaker

(LV434000) - Firmware Release Notes

DOCA0146EN

Enerlin'X IFE/EIFE Ethernet Interface - Firmware Release Notes DOCA0147EN

Enerlin’X IFE 交换机服务器 -固件发行说明 DOCA0148EN

Enerlin'X IO Input/Output Application Module for One Circuit Breaker

- Firmware Release Notes

DOCA0149EN

Enerlin’X FDM121 - Firmware Release Notes DOCA0150EN

Enerlin’X FDM128 - Ethernet Display for Eight Devices - Firmware

Release Notes

DOCA0151EN

BCM ULP - Firmware Release Notes DOCA0152EN

ComPacT NSX / PowerPacT H-, J-, and L-Frame MicroLogic 5/6 -

Firmware Release Notes

DOCA0153EN

8 DOCA0122ZH-06

MasterPact, ComPacT, PowerPacT

文件名称参考编号

ComPacT NSX - MicroLogic 7 Trip Unit - Firmware Release Notes DOCA0154EN

EcoStruxure Cybersecurity Admin Expert User Guide CAE_EN_UM_B4.1

您可以在我们的网站下载这些技术出版物和其他技术信息：www.se.com/ww/en/

download/。

UL/ANSI 设备的相关文档

文件名称参考编号

MasterPact MTZ - MicroLogic X 控制单元 -用户指南 DOCA0102EN

DOCA0102ES

DOCA0102FR

DOCA0102ZH

PowerPacT H、J和L型- 5 和MicroLogic 6 脱扣单元 -用户指南 48940-312-01 (EN, ES, FR)

MasterPact NT/NW - MicroLogicA 脱扣单元 -用户指南 48049-136-05 (EN, ES, FR)

MasterPact NT/NW - MicroLogic P 脱扣单元 -用户指南 48049-137-05 (EN)

MasterPact NT/NW - MicroLogic H 脱扣单元 -用户指南 48049-330-03 (EN, ES, FR)

Enerlin’X EIFE - 用于单个 MasterPact MTZ 抽出式断路器的嵌入式以

太网接口 -用户指南

DOCA0106EN

DOCA0106ES

DOCA0106FR

DOCA0106ZH

Enerlin’X IFE - 以太网交换机服务器 -用户指南 1040IB1401(EN)

1040IB1402(ES)

1040IB1403(FR)

Enerlin’X IFE - 用于单个断路器的以太网接口 -用户指南 0602IB1801EN

0602IB1802ES

0602IB1803FR

How Can I Reduce Vulnerability to Cyber Attacks? Cybersecurity System

Technical Note

MicroLogic 脱扣单元和控制单元 -固件历史 DOCA0155EN

MasterPact MTZ - MicroLogic X Control Unit - Firmware Release

Notes

DOCA0144EN

Enerlin’X IFM - Modbus-SL Interface for One Circuit Breaker

(TRV00210/STRV00210) - Firmware Release Note

DOCA0145EN

Enerlin'X IFM - Modbus-SL Interface for One Circuit Breaker

(LV434000) - Firmware Release Notes

DOCA0146EN

Enerlin'X IFE/EIFE Ethernet Interface - Firmware Release Notes DOCA0147EN

Enerlin’X IFE 交换机服务器 -固件发行说明 DOCA0148EN

Enerlin'X IO Input/Output Application Module for One Circuit Breaker

- Firmware Release Notes

DOCA0149EN

Enerlin’X FDM121 - Firmware Release Notes DOCA0150EN

Enerlin’X FDM128 - Ethernet Display for Eight Devices - Firmware

Release Notes

DOCA0151EN

BCM ULP - Firmware Release Notes DOCA0152EN

ComPacT NSX / PowerPacT H-, J-, and L-Frame MicroLogic 5/6 -

Firmware Release Notes

DOCA0153EN

EcoStruxure Cybersecurity Admin Expert User Guide CAE_EN_UM_B4.1

您可以在我们的网站下载这些技术出版物和其他技术信息：www.se.com/us/en/

download/。

DOCA0122ZH-06 9

MasterPact, ComPacT, PowerPacT

网络安全简介

此部分内容

网络安全简介 ................................................................................................. 11

MasterPact、ComPacT 和PowerPacT 断路器为什么会涉及到网络安全 ............12

概述

本部分概述了 Schneider Electric 网络安全策略，以及带 MicroLogic 脱扣单元或控

制单元的 MasterPact、ComPacT 和PowerPacT 断路器为什么会涉及到网络安

全。

10 DOCA0122ZH-06

网络安全简介 MasterPact, ComPacT, PowerPacT

网络安全简介

简介

网络安全旨在保护您的通讯网络及其所连接的所有设备免受可能中断操作（可用

性）、修改信息（完整性）或泄露机密信息（保密性）的攻击。网络安全的目的在

于，提升信息和物理资产的保护级别，以免遭受盗窃、破坏、滥用或发生事故，同

时保证其预期用户的访问和使用。网络安全包含许多方面，包括设计安全系统、利

用物理和数字方法限制访问、识别用户、以及实施安全程序和最佳实践策略。

Schneider Electric 指南

除了本指南中针对 MasterPact、ComPacT 和PowerPacT 断路器所给的具体建议

之外，您还应遵循网络安全的 Schneider Electric 深度防御方法。

此方法在系统技术说明中介绍How Can I Reduce Vulnerability to Cyber Attacks?。

此外，Schneider Electric 全球网站的 Cybersecurity Support Portal, 46 页中也提

供了许多有用的资源和最新信息。

DOCA0122ZH-06 11

MasterPact, ComPacT, PowerPacT

MasterPact、ComPacT 和PowerPacT 断路器为什么会涉及

到网络安全

MasterPact、ComPacT 和PowerPacT 断路器为什么

会涉及到网络安全

概述

MasterPact、ComPacT 和PowerPacT 断路器是一切工厂或设备的关键部件，它

负责控制过程供电、提供电气保护和传输关键信息。

具有通讯功能的 MasterPact、ComPacT 和PowerPacT 断路器能够每天不间断访

问实时控制功能并进行数据监视。这些功能提高了配电系统管理的效率和灵活性。

但它们易受网络攻击。

MasterPact MTZ 断路器和运行环境

下图显示了与 MasterPact MTZ 断路器的 MicroLogic X 控制单元通讯的各种方式。

Bridge Field

Services

EcoStruxure

Power Device

MasterPact MTZ

+ MicroLogic X

EcoStruxure

Power Commission

IFE/EIFE

FDM121

EIFE

LV851001

NS MS

EIFE-XXYYZZ

O1 O2 O3 A1

I1 I2 I3 I4 I5 I6C C C

14 23 24 33 34 T1 T2

24VDC

EIFE

LV851001

NS MS

ETH1 ETH2

EIFE-XXYYZZ

FDM121

SCADA

EcoStruxure

CAE

IFE/EIFE

webpages

Push OFF

Push ON

TTEST

USB

EcoStruxure

Power Commission

USB

ULP

Ethernet

Bluetooth®无线技术

Wi-Fi

MasterPact MTZ 智能模块单元 (IMU)

运营技术 (OT)网络

公共互联网

MasterPact MTZ 智能模块单元 (IMU) 包含断路器、MicroLogic X 控制单元以及相

关的 ULP 模块、通讯接口和 IO 模块。

如要通过 MicroLogic X 控制单元与 MasterPact MTZ 断路器通讯，可使用以下通讯

途径：

• MicroLogic X 人机界面 (HMI)

•用于单个电路断路器的 FDM121 前显示模块

•通过智能手机的无线 NFC 连接

•通过智能手机的无线 Bluetooth Low Energy 连接

12 DOCA0122ZH-06

MasterPact、ComPacT 和PowerPacT 断路器为什么会涉及到

网络安全 MasterPact, ComPacT, PowerPacT

•通过以下设备连接到 USB 控制单元的 Mini Type B MicroLogic X 端口：

◦运行 EcoStruxure™ Power Commission 软件的 PC

◦运行 EcoStruxure Power Device 应用的智能手机

•在有 IFE 或EIFE 接口的情况下，通过运营技术 (OT)网络进行 Ethernet

（Modbus TCP/IP 或IEC 61850 协议）连接

•在有 IFM 接口的情况下，通过运营技术 (OT)网络进行 Modbus-SL 连接

MasterPact NT/NW、ComPacT NS 及PowerPacT P 型和 R型断路器及其运行

环境

下图显示了与 MicroLogic 断路器的脱扣单元通讯的各种方式。

Bridge Field

Services

IFE

FDM121

ComPacT NS

+ MicroLogic

EcoStruxure

Power Commission

ETH1 ETH2

Modbus-SL

LV434002

ETH1 LK/10-100/ACT

ETH2 LK/10-100/ACT

Module Status

Network Status

Enerlin'X IFE IFE-XX.YY.ZZ (factory set

O1 O2 O3 A1

I1 I2 I3 I4 I5 I6C C C

14 23 24 33 34 T1 T2

24VDC

USB

Service

Interface

FDM121

Trip

SCADA

EcoStruxure

CAE

IFE/EIFE

webpages

EcoStruxure

Power Commission

USB

ULP

Ethernet

智能模块单元 (IMU)

运营技术 (OT)网络

公共互联网

智能模块单元 (IMU) 包含 MasterPact NT/NW、ComPacT NS 或PowerPacT P 型

或R型断路器、MicroLogic 脱扣单元以及相关的 ULP 模块、通讯接口和 IO 模

块。

如要通过 MicroLogic 脱扣单元与断路器通讯，可使用以下通讯途径：

• MicroLogic 人机界面 (HMI)

•用于单个电路断路器的 FDM121 前显示模块

•通过服务接口从运行 EcoStruxure Power Commission 软件的 PC 连接到

MicroLogic 脱扣单元

•在有 Ethernet 接口的情况下，通过运营技术 (OT)网络进行 Modbus TCP/IP

（IFE 协议）连接

•在有 IFM 接口的情况下，通过运营技术 (OT)网络进行 Modbus-SL 连接

DOCA0122ZH-06 13

MasterPact, ComPacT, PowerPacT

MasterPact、ComPacT 和PowerPacT 断路器为什么会涉及

到网络安全

ComPacT NSX 及PowerPacT H、J和L型断路器及其运行环境

下图显示了与 MicroLogic 断路器的脱扣单元通讯的各种方式。

Bridge Field

Services

IFE

FDM121

ComPacT NSX

+ MicroLogic

EcoStruxure

Power Commission

O1 O2 O3 A1

I1 I2 I3 I4 I5 I6C C C

14 23 24 33 34 T1 T2

24VDC

USB

Service

Interface

ETH1 ETH2

Modbus-SL

LV434002

ETH1 LK/10-100/ACT

ETH2 LK/10-100/ACT

Module Status

Network Status

Enerlin'X IFE

IFE-XX.YY.ZZ (factory set

FDM121

SCADA

EcoStruxure

CAE

IFE/EIFE

webpages

EcoStruxure

Power Commission

USB

ULP

Ethernet

智能模块单元 (IMU)

运营技术 (OT)网络

公共互联网

智能模块单元 (IMU) 包含 ComPacT NSX 或PowerPacT H 型、J型或 L型断路

器、MicroLogic 脱扣单元以及相关的 ULP 模块、通讯接口和 IO 模块。

如要通过 MicroLogic 脱扣单元与断路器通讯，可使用以下通讯途径：

• MicroLogic人机界面 (HMI)

•用于单个电路断路器的 FDM121 前显示模块

•通过服务MicroLogic接口或USB维护接口从运EcoStruxure Power

Commission行软件的PC连接到脱扣单元

•在有通讯接口的情况下，通过运营技术 (OT)网络进行 Ethernet（Modbus

TCP/IP 协议）连接

•在有 IFM 接口的情况下，通过运营技术 (OT)网络进行 Modbus-SL 连接

遭受网络攻击的系统隐患

如果安全措施不到位，上述每种通讯途径都是系统中的潜在隐患。本指南旨在帮助

保护这些通讯途径免受蓄意攻击或意外误用。

以下安全特性用于降低与在运营技术 (OT)环境中使用 IFE 和EIFE 接口及

MasterPact、ComPacT 和PowerPacT 设备有关的内在威胁。

所提供的安全特性

MasterPact、ComPacT 和PowerPacT IMU 支持以下网络安全功能：

•用户帐户管理（通过 IFE 和EIFE 接口）

•访问码保护

14 DOCA0122ZH-06

MasterPact、ComPacT 和PowerPacT 断路器为什么会涉及到

网络安全 MasterPact, ComPacT, PowerPacT

•可配置的安全服务和设置

•固件更新机制

•通过 Modbus TCP/TLS 实现机器对机器通讯（IFE 和EIFE 接口上）

• Syslog 格式或 CSV 格式的安全日志（IFE 和EIFE 接口上）

这些特性所提供的安全功能有助于保护产品免遭可能造成以下影响的安全威胁：

•干扰产品运行（可用性）

•修改信息（完整性）

•公开机密信息（保密性）

IFE/EIFE 接口与 IFE 服务器之间的安全功能比较

下表提供了固件版本为 004 的IFE/EIFE 接口与固件版本为 003 的IFE 服务器之间

的安全功能比较：

特性

EIFE 接口 (LV851001)

IFE 接口 (LV434001)

IFE 服务器 (LV434002)

HTTP 是是

HTTPS 是否

FTP 服务器是是

FTP 客户端是是

FTPS 是否

NTP 是否

SNTP 否是

RSTP 是否

Modbus TCP 是是

Modbus 安全是否

RBAC 是否

IEC 61850 是否

Syslog 是否

SMTP 是是

IPv6 支持和 DPWS 发现是否

SNMP 是是

升级固件的时间大约 4分钟大约 16 分钟

DOCA0122ZH-06 15

MasterPact, ComPacT, PowerPacT

系统设计、规划和安装的网络安全建议

此部分内容

识别和保护敏感且关键的信息和操作................................................................17

设计密码策略 .................................................................................................19

培训 ..............................................................................................................22

概述

本部分提供了在设计、规划和安装包含 MasterPact、ComPacT 和PowerPacT 智

能模块单元 (IMU) 的运营技术 (OT)网络期间应考虑的重要信息。本部分中的建议

和指导有助于打造安全的运行环境。

16 DOCA0122ZH-06

识别和保护敏感且关键的信息和操作 MasterPact, ComPacT, PowerPacT

识别和保护敏感且关键的信息和操作

概述

规划和设计运营技术网络时，必须识别对操作有着重要影响或者敏感的信息。一旦

识别，就必须保护这些信息。

一般原则：

•关键信息包括可通过 MasterPact、ComPacT 和PowerPacT IMU 访问的数据

和操作（比如，断路器状态、脱扣或分闸/合闸命令）。

•敏感信息包括任何可用于访问您的系统和运营技术网络的信息（比如，设备或

锁闭室的密码或访问码）。

您应负责判断如何在确保您组织的最佳利益的前提下分析和使用这些信息。

有关企业通讯网络的信息

可用于访问您的系统和工业控制网络的敏感信息包括：

•系统架构

•联网通讯设备的 IP 地址或 MAC 地址

• Ethernet 通讯端口数

•用户 ID 和用户密码

以上并未穷尽所有，必须考虑您组织特有的并且可有助于访问关键系统的所有信

息。

访问控制

网络安全的一个重要部分是设计有效的访问控制策略。访问控制包括识别组织内的

用户组或个体员工，并确定他们有效开展工作所需的访问类型和等级。

DOCA0122ZH-06 17

MasterPact, ComPacT, PowerPacT 识别和保护敏感且关键的信息和操作

可通过每个访问途径访问的信息和操作汇总

根据用于访问 MasterPact、ComPacT 和PowerPacT 智能模块单元（IMU）的通

讯接口或通讯途径，可用的信息和控制操作各有不同。

下表总结了通过 MasterPact MTZ IMU 对信息和控制操作的访问：

信息和控制操作本地访问 Remote

access

MicroLogi-

c HMI

FDM121

显示屏

NFC Bluetooth

Low Energy

technology

USB Ethernet /

Modbus-

数据监视读取读取读取读取读取读取

保护设置读/写读取读取读/写读/写读/写

其他设置读/写读取读取读/写读/写读/写

分闸/合闸/复位否是否是是是

下表总结了通过 MasterPact NT/NW、ComPacT NS 及PowerPacT P 型和 R型

IMU 对信息和控制操作的访问：

信息和控制操作本地访问 Remote

access

MicroLogic

HMI

FDM121 显示

屏

测试端口 Ethernet /

Modbus-SL

数据监视读取读取读取读取

保护设置读/写读取读/写读/写

其他设置读/写读取读/写读/写

分闸/合闸/复位否是是是

下表总结了通过 ComPacT NSX 及PowerPacT H、J和L型IMU 对信息和控制操

作的访问：

信息和控制操作本地访问 Remote

access

MicroLogic

HMI

FDM121 显示

屏

测试端口 Ethernet /

Modbus-SL

数据监视读取读取读取读取

保护设置读/写读取读/写读/写

其他设置读/写读取读/写读/写

分闸/合闸/复位否是是是

有关每个通讯接口和通讯途径的保护说明，请参阅本地访问, 23 页或远程访问, 35

页的相关建议。

18 DOCA0122ZH-06

设计密码策略 MasterPact, ComPacT, PowerPacT

设计密码策略

概述

精心设计的密码策略是抵御网络攻击的第一道防线。

如果系统中包含带 MicroLogic 脱扣单元或控制单元的 MasterPact、ComPacT 和

PowerPacT 断路器，则在以下情形下需要使用密码：

•对MicroLogic 控制单元执行入侵性命令，无论在哪种访问模式（通过

Modbus-TCP/Modbus-SL、USB 连接或 Bluetooth 无线技术）下

•对MicroLogic 脱扣单元执行入侵性命令，无论在哪种访问模式（通过

Modbus-TCP/Modbus-SL、FDM121 显示屏或测试端口）下

•登录到运行 EcoStruxure Power Commission软件的 PC

•登录到 IFE 和EIFE 接口网页

•登录到 IFE 服务器网页

•通过 MasterPact MTZ IMU 的EcoStruxure Power Commission软件登录到 IFE

和EIFE 接口网页

•登录到 FTPS 服务器，以便通过 IFE 对EIFE 和MasterPact MTZ 执行 IEC

61850 配置

有关密码策略的网络安全建议

警告

系统可用性、完整性和保密性的潜在危害

首次使用时，更改默认密码，以有助于防止擅自访问设备设置、控件和信息。

未按说明操作可能导致人身伤亡或设备损坏等严重后果。

密码策略是网络安全策略的主要元素之一。良好的密码策略包含以下几方面：

•使用强密码

•定期修改密码

•使用密码保险箱管理访问密码

•禁止重新使用旧密码

•定期就密码的相关最佳做法对用户给与提醒

如要保护系统，至少应该：

•强制使用强密码

•设置长度至少为 10 个字符的密码

•定期修改密码

所有用户必须知悉密码的相关最佳做法。其中包括：

•不外泄个人秘密

•密码输入时不显示密码

•不通过电子邮件或任何其他方式传送密码

•不将密码保存在 PC 或其他设备上

用于 MicroLogic 关键设置和控制的密码

通过通讯接口访问 MicroLogic 脱扣单元或控制单元时，任何改变 MasterPact、

ComPacT 和PowerPacT 断路器行为的入侵性命令都需要使用密码。比如，修改

保护设置或者操作断路器，都要求使用 MicroLogic 密码。

为MicroLogic 脱扣单元或控制单元定义了四个密码，以下四种用户类型各一个：

DOCA0122ZH-06 19

MasterPact, ComPacT, PowerPacT 设计密码策略

• Administrator

• Services

• Engineer

• Operator

有关用户类型的更多信息，请参阅 MicroLogic 用户指南, 8 页。

当通过 EcoStruxure Power Device 应用或 EcoStruxure Power Commission 软件

连接时，会提示用户提供上述其中一种密码。

当通过远程监控接口连接时，密码必须为通讯请求的一部分。

密码仅包含四个 ASCII 字符。密码区分大小写，允许使用以下字符：

• 0 到9的数字

• a 到z的小写字母

• A 到Z的大写字母

首次安装 MasterPact、ComPacT 和PowerPacT 断路器时必须使用 EcoStruxure

Power Commission 软件更改缺省密码，且在首次安装后，必须定期更改密码。使

用密码保险箱存储密码。这些密码只能被数量有限的可信用户共享。视情况遵循密

码策略建议。

通过IFE或EIFE接口MicroLogic X远程访问控制单IFE密码EIFE。

在MasterPact MTZ IMU 内，当通过以下方式建立连接时，通过基于角色的访问控

制(RBAC)机制来检查对 MicroLogic X 控制单元的访问：

• EcoStruxure Power Commission 软件（藉由以太网）

•IFE 接口网页

•EIFE 接口网页

•IFE 和EIFE 接口的 FTPS 服务器。

有关 RBAC 机制的更多信息，请参阅 IFE 或EIFE 接口页面以及 IFE 或EIFE

FTPS 服务器的密码, 21 页。

当通过 IFE 接口远程访问 ComPacT NSX 脱扣单元时所使用的密码

在配备有 MicroLogic 5、6或7脱扣单元的 ComPacT NSX IMU 内，当通过以下方

式建立连接时，通过基于角色的访问控制 (RBAC)机制来检查对 MicroLogic 脱扣

单元的访问：

• EcoStruxure Power Commission 软件（藉由以太网）

•IFE 接口网页

•IFE 和EIFE 接口的 FTPS 服务器。

有关 RBAC 机制的更多信息，请参阅 IFE 或EIFE 接口页面以及 IFE 或EIFE

FTPS 服务器的密码, 21 页。

联网 PC 的密码和用户 ID

运行 EcoStruxure Power Commission 软件或者通过任何其他方式（比如，IFE 网

页或 SCADA）访问 MicroLogic 脱扣单元或控制单元的 PC 必须提示用户登陆并输

入密码。必须确保用户定义的是强密码，并定期修改这些密码。此外，必须设置定

时器，以便在达到某个闲置时间之后自动锁定 PC 屏幕。

如果可以，强密码应包含大小写字母、数字和特殊字符，其长度应至少为 10 个字

符。

视情况遵循密码策略建议。

20 DOCA0122ZH-06

ページが読み込まれています...

Schneider Electric MasterPact, ComPacT, PowerPacT - 网络安全指南ユーザーガイド

ブランド: Schneider Electric

モデル: MasterPact, ComPacT, PowerPacT - 网络安全指南

タイプ: ユーザーガイド

PDFをダウンロードします

報告

Schneider Electric MasterPact, ComPacT, PowerPacT - 网络安全指南ユーザーガイド

Schneider Electric MasterPact, ComPacT, PowerPacT - 网络安全指南ユーザーガイド

関連論文

その他のドキュメント

Schneider Electric MasterPact, ComPacT, PowerPacT - 网络安全指南 ユーザーガイド

Schneider Electric MasterPact, ComPacT, PowerPacT - 网络安全指南 ユーザーガイド

関連論文

その他のドキュメント

Schneider Electric MasterPact, ComPacT, PowerPacT - 网络安全指南ユーザーガイド

Schneider Electric MasterPact, ComPacT, PowerPacT - 网络安全指南ユーザーガイド