PacT Series
MasterPact, ComPacT, PowerPacT
网络安全指南
PacT Series 提供出众的断路器和开关
DOCA0122ZH-07
05/2023
www.se.com
法律声明
施耐德电气品牌以及本指南中涉及的施耐德电气及其附属公司的任何商标均是施耐德
电气或其附属公司的财产。所有其他品牌均为其各自所有者的商标。本指南及其内容
受适用版权法保护,并且仅供参考使用。未经施耐德电气事先书面许可,不得出于任
何目的,以任何形式或方式(电子、机械、影印、录制或其他方式)复制或传播本指
南的任何部分。
对于将本指南或其内容用作商业用途的行为,施耐德电气未授予任何权利或许可,但
以“原样”为基础进行咨询的非独占个人许可除外。
施耐德电气的产品和设备应由合格人员进行安装、操作、保养和维护。
由于标准、规格和设计会不时更改,因此本指南中包含的信息可能会随时更改,恕不
另行通知。
在适用法律允许的范围内,对于本资料信息内容中的任何错误或遗漏,或因使用此处
包含的信息而导致或产生的后果,施耐德电气及其附属公司不会承担任何责任或义
务。
作为负责任、具有包容性的企业中的一员,我们将更新包含非包容性术语的内容。然
而,在我们完成更新流程之前,我们的内容可能仍然包含客户认为不恰当的标准化行
业术语。
MasterPact, ComPacT, PowerPacT
目录
安全信息.......................................................................................................5
关于本书.......................................................................................................7
网络安全简介.............................................................................................10
网络安全简介 ........................................................................................... 11
MasterPact、ComPacT 和PowerPacT 断路器为什么会涉及到网络安
全............................................................................................................12
系统设计、规划和安装的网络安全建议.................................................16
识别和保护敏感且关键的信息和操作 ..........................................................17
设计密码策略 ...........................................................................................19
培训.........................................................................................................22
本地访问的网络安全建议.........................................................................23
MasterPact、ComPacT 和PowerPacT 断路器本地访问限制 .......................24
MicroLogic HMI 本地访问的保护建议 .........................................................25
通过 NFC 访问的保护建议 (MasterPact MTZ) .............................................26
通过 Bluetooth®无线技术访问的保护建议 (MasterPact MTZ) ....................... 28
通过 Mini USB 端口访问 MicroLogic X 控制单元的保护建议 (MasterPact
MTZ) .......................................................................................................30
通过测试端口访问 MicroLogic 脱扣单元的保护建议.....................................32
通过 FDM121 显示屏 远程访问 MicroLogic 脱扣单元的保护建议 ..................34
远程访问的网络安全建议.........................................................................35
MasterPact、ComPacT 和PowerPacT 断路器远程访问限制 .......................36
将OT 网络与企业网络分离........................................................................38
通过 Ethernet 远程访问 MicroLogic 脱扣单元或控制单元的保护建议.............39
通过 Modbus-SL 远程访问 MicroLogic 脱扣单元或控制单元的保护建
议............................................................................................................41
固件更新和 Digital Modules 的网络安全建议........................................42
安装固件更新 ...........................................................................................43
购买和安装 MasterPact MTZDigital Modules () ...........................................45
Schneider Electric Cybersecurity Support Portal .........................................46
处置或停用网络安全建议.........................................................................47
术语.............................................................................................................49
DOCA0122ZH-06 3
MasterPact, ComPacT, PowerPacT
安全信息
重要信息
在试图安装、操作、维修或维护设备之前,请仔细阅读下述说明并通过查看来熟悉
设备。下述特定信息可能会在本文其他地方或设备上出现,提示用户潜在的危险,
或者提醒注意有关阐明或简化某一过程的信息。
请注意
电气设备的安装、操作、维修和维护工作仅限于有资质的人员执行。施耐德电气不
承担由于使用本资料所引起的任何后果。
有资质的人员是指掌握与电气设备的制造和操作及其安装相关的技能和知识的人
员,他们经过安全培训能够发现和避免相关的危险。
在“危险”或“警告”标签上添加此符号表示存在触电危险,如果不遵守使用说明,
会导致人身伤害。
这是提醒注意安全的符号。提醒用户可能存在人身伤害的危险。请遵守所有带此符号
的安全注意事项,以避免可能的人身伤害甚至死亡。
危险表示若不加以避免,将会导致严重人身伤害甚至死亡的危险情况。
!
危险
警告表示若不加以避免,可能会导致严重人身伤害甚至死亡的危险情况。
警告
!
小心表示若不加以避免,可能会导致轻微或中度人身伤害的危险情况。
小心
!
注意用于表示与人身伤害无关的危害。
注意
DOCA0122ZH-06 5
MasterPact, ComPacT, PowerPacT
网络安全注意事项
警告
系统可用性、完整性和保密性的潜在危害
•首次使用时,更改默认密码,以有助于防止擅自访问设备设置、控件和信
息。
•禁用未使用的端口/服务和默认账户将有助于尽量减少恶意攻击的途径。
•将联网设备布置在多层网络防御(例如防火墙、网络分段、网络入侵检测和
保护)之后。
•采用网络安全最佳实践(例如,最低权限、责任分离)来帮助阻止非法曝
露、丢失、数据和日志修改、或服务中断。
未按说明操作可能导致人身伤亡或设备损坏等严重后果。
6 DOCA0122ZH-06
MasterPact, ComPacT, PowerPacT
关于本书
PacT Series 主要系列
施耐德电气的低压和中压 PacT Series 系列使您的装置不会过时。PacT Series 系
列以传奇的施耐德电气创新为基础,包括出众的断路器、开关、漏电保护装置和熔
断器,适用于几乎任何标准和特定应用。在支持 EcoStruxure 的开关柜中,通过
PacT Series 系列在 16 到6300 A 的低压和 40.5 kV 的中压开关柜中体验强大的性
能。
文档范围
本指南中的信息涉及带 MicroLogic 脱扣单元和控制单元的 MasterPact、ComPacT
和PowerPacT 断路器的网络安全,旨在帮助系统设计人员和操作人员为产品打造
并实现一个安全的运行环境。
注:
•本文档中与新一代 ComPacT NS 和PowerPacT P和R型 断路器相关的信
息也适用于现有的 ComPact NS 和PowerPact P和R型 系列断路器。如
有例外,将专门说明。
•本文档中与新一代 ComPacT NSX 和PowerPacT H-, J-, and L-Frame 断
路器相关的信息也适用于现有的 ComPact NSX 和PowerPact H、J和L
型 系列断路器。如有例外,将专门说明。
•这些新系列所依托的技术和尺寸架构与现有断路器系列相同。
本指南并不涉及较常见的主题,比如,如何保护您的运营技术网络或企业以太网网
络。有关网络安全威胁及其应对方法的概述,请参阅 How Can I Reduce
Vulnerability to Cyber Attacks?。
注:在本指南中,术语安全是指网络安全。
有效性说明
本指南中的信息涉及以下断路器:
•配备有 MicroLogic 控制单元的 MasterPact MTZ 断路器
•配备有 MicroLogic 脱扣单元的 MasterPact NT/NW 断路器
•配备有 MicroLogic 脱扣单元的 ComPacT NS 断路器
•配备有 MicroLogic 脱扣单元的 PowerPacT P 型和 R型断路器
•配备有 MicroLogic 脱扣单元的 ComPacT NSX 断路器
•配备有 MicroLogic 脱扣单元的 PowerPacT H、J和L型断路器
注:本指南中的信息还与旧式ComPactComPactPowerPact系列相关。
在线信息
本指南中的信息可能在任何时候更新。Schneider Electric 强烈建议您通过 www.se.
com/ww/en/download 获得最新版本。
本指南中描述的设备技术特性在网站上也有提供。如要在线访问此信息,请访问
Schneider Electric 主页 www.se.com。
DOCA0122ZH-06 7
MasterPact, ComPacT, PowerPacT
IEC 设备的相关文档
文件名称 参考编号
MasterPact MTZ - MicroLogic X 控制单元 -用户指南 DOCA0102EN
DOCA0102ES
DOCA0102FR
DOCA0102ZH
ComPacT NSX – Micrologic 5/6/7电子脱扣单元 -用户指南 DOCA0188EN
DOCA0188ES
DOCA0188FR
DOCA0188ZH
ComPact NSX – Micrologic 5/6/7电子脱扣单元 -用户指南 DOCA0141EN
DOCA0141ES
DOCA0141FR
DOCA0141ZH
MasterPact NT/NW - MicroLogic A 和E脱扣单元 -用户指南 04443724AA (EN)
EAV16735 (ES)
04443723AA (FR)
MasterPact NT/NW - MicroLogic P 脱扣单元 -用户指南 04443726AA (EN)
EAV16736 (ES)
04443725AA (FR)
MasterPact NT/NW - MicroLogic H 脱扣单元 -用户指南 04443728AA (EN)
EAV16737 (ES)
04443727AA (FR)
ComPacT NS - MicroLogic A/E 脱扣单元 -用户指南 DOCA0218EN
DOCA0218ES
DOCA0218FR
DOCA0218ZH
ComPacT NS - MicroLogic P 脱扣单元 -用户指南 DOCA0219EN
DOCA0219ES
DOCA0219FR
DOCA0219ZH
Enerlin’X EIFE - 用于单个 MasterPact MTZ 抽出式断路器的嵌入式以
太网接口 -用户指南
DOCA0106EN
DOCA0106ES
DOCA0106FR
DOCA0106ZH
Enerlin’X IFE - 以太网交换机服务器 -用户指南 DOCA0084EN
DOCA0084ES
DOCA0084FR
DOCA0084ZH
Enerlin’X IFE - 用于单个断路器的以太网接口 -用户指南 DOCA0142EN
DOCA0142ES
DOCA0142FR
DOCA0142ZH
How Can I Reduce Vulnerability to Cyber Attacks? Cybersecurity System
Technical Note
MicroLogic 脱扣单元和控制单元 -固件历史 DOCA0155EN
MasterPact MTZ - MicroLogic X Control Unit - Firmware Release
Notes
DOCA0144EN
Enerlin’X IFM - Modbus-SL Interface for One Circuit Breaker
(TRV00210/STRV00210) - Firmware Release Note
DOCA0145EN
Enerlin'X IFM - Modbus-SL Interface for One Circuit Breaker
(LV434000) - Firmware Release Notes
DOCA0146EN
Enerlin'X IFE/EIFE Ethernet Interface - Firmware Release Notes DOCA0147EN
Enerlin’X IFE 交换机服务器 -固件发行说明 DOCA0148EN
Enerlin'X IO Input/Output Application Module for One Circuit Breaker
- Firmware Release Notes
DOCA0149EN
Enerlin’X FDM121 - Firmware Release Notes DOCA0150EN
Enerlin’X FDM128 - Ethernet Display for Eight Devices - Firmware
Release Notes
DOCA0151EN
BCM ULP - Firmware Release Notes DOCA0152EN
ComPacT NSX / PowerPacT H-, J-, and L-Frame MicroLogic 5/6 -
Firmware Release Notes
DOCA0153EN
8 DOCA0122ZH-06
MasterPact, ComPacT, PowerPacT
文件名称 参考编号
ComPacT NSX - MicroLogic 7 Trip Unit - Firmware Release Notes DOCA0154EN
EcoStruxure Cybersecurity Admin Expert User Guide CAE_EN_UM_B4.1
您可以在我们的网站下载这些技术出版物和其他技术信息:www.se.com/ww/en/
download/。
UL/ANSI 设备的相关文档
文件名称 参考编号
MasterPact MTZ - MicroLogic X 控制单元 -用户指南 DOCA0102EN
DOCA0102ES
DOCA0102FR
DOCA0102ZH
PowerPacT H、J和L型- 5 和MicroLogic 6 脱扣单元 -用户指南 48940-312-01 (EN, ES, FR)
MasterPact NT/NW - MicroLogicA 脱扣单元 -用户指南 48049-136-05 (EN, ES, FR)
MasterPact NT/NW - MicroLogic P 脱扣单元 -用户指南 48049-137-05 (EN)
MasterPact NT/NW - MicroLogic H 脱扣单元 -用户指南 48049-330-03 (EN, ES, FR)
Enerlin’X EIFE - 用于单个 MasterPact MTZ 抽出式断路器的嵌入式以
太网接口 -用户指南
DOCA0106EN
DOCA0106ES
DOCA0106FR
DOCA0106ZH
Enerlin’X IFE - 以太网交换机服务器 -用户指南 1040IB1401(EN)
1040IB1402(ES)
1040IB1403(FR)
Enerlin’X IFE - 用于单个断路器的以太网接口 -用户指南 0602IB1801EN
0602IB1802ES
0602IB1803FR
How Can I Reduce Vulnerability to Cyber Attacks? Cybersecurity System
Technical Note
MicroLogic 脱扣单元和控制单元 -固件历史 DOCA0155EN
MasterPact MTZ - MicroLogic X Control Unit - Firmware Release
Notes
DOCA0144EN
Enerlin’X IFM - Modbus-SL Interface for One Circuit Breaker
(TRV00210/STRV00210) - Firmware Release Note
DOCA0145EN
Enerlin'X IFM - Modbus-SL Interface for One Circuit Breaker
(LV434000) - Firmware Release Notes
DOCA0146EN
Enerlin'X IFE/EIFE Ethernet Interface - Firmware Release Notes DOCA0147EN
Enerlin’X IFE 交换机服务器 -固件发行说明 DOCA0148EN
Enerlin'X IO Input/Output Application Module for One Circuit Breaker
- Firmware Release Notes
DOCA0149EN
Enerlin’X FDM121 - Firmware Release Notes DOCA0150EN
Enerlin’X FDM128 - Ethernet Display for Eight Devices - Firmware
Release Notes
DOCA0151EN
BCM ULP - Firmware Release Notes DOCA0152EN
ComPacT NSX / PowerPacT H-, J-, and L-Frame MicroLogic 5/6 -
Firmware Release Notes
DOCA0153EN
EcoStruxure Cybersecurity Admin Expert User Guide CAE_EN_UM_B4.1
您可以在我们的网站下载这些技术出版物和其他技术信息:www.se.com/us/en/
download/。
DOCA0122ZH-06 9
MasterPact, ComPacT, PowerPacT
网络安全简介
此部分内容
网络安全简介 ................................................................................................. 11
MasterPact、ComPacT 和PowerPacT 断路器为什么会涉及到网络安全 ............12
概述
本部分概述了 Schneider Electric 网络安全策略,以及带 MicroLogic 脱扣单元或控
制单元的 MasterPact、ComPacT 和PowerPacT 断路器为什么会涉及到网络安
全。
10 DOCA0122ZH-06
网络安全简介 MasterPact, ComPacT, PowerPacT
网络安全简介
简介
网络安全旨在保护您的通讯网络及其所连接的所有设备免受可能中断操作(可用
性)、修改信息(完整性)或泄露机密信息(保密性)的攻击。网络安全的目的在
于,提升信息和物理资产的保护级别,以免遭受盗窃、破坏、滥用或发生事故,同
时保证其预期用户的访问和使用。网络安全包含许多方面,包括设计安全系统、利
用物理和数字方法限制访问、识别用户、以及实施安全程序和最佳实践策略。
Schneider Electric 指南
除了本指南中针对 MasterPact、ComPacT 和PowerPacT 断路器所给的具体建议
之外,您还应遵循网络安全的 Schneider Electric 深度防御方法。
此方法在系统技术说明中介绍How Can I Reduce Vulnerability to Cyber Attacks?。
此外,Schneider Electric 全球网站的 Cybersecurity Support Portal, 46 页中也提
供了许多有用的资源和最新信息。
DOCA0122ZH-06 11
MasterPact, ComPacT, PowerPacT
MasterPact、ComPacT 和PowerPacT 断路器为什么会涉及
到网络安全
MasterPact、ComPacT 和PowerPacT 断路器为什么
会涉及到网络安全
概述
MasterPact、ComPacT 和PowerPacT 断路器是一切工厂或设备的关键部件,它
负责控制过程供电、提供电气保护和传输关键信息。
具有通讯功能的 MasterPact、ComPacT 和PowerPacT 断路器能够每天不间断访
问实时控制功能并进行数据监视。这些功能提高了配电系统管理的效率和灵活性。
但它们易受网络攻击。
MasterPact MTZ 断路器和运行环境
下图显示了与 MasterPact MTZ 断路器的 MicroLogic X 控制单元通讯的各种方式。
Bridge Field
Services
EcoStruxure
Power Device
MasterPact MTZ
+ MicroLogic X
EcoStruxure
Power Commission
IO
IFE/EIFE
FDM121
EIFE
LV851001
NS MS
R
EIFE-XXYYZZ
13
O1 O2 O3 A1
I1 I2 I3 I4 I5 I6C C C
14 23 24 33 34 T1 T2
T
24VDC
EIFE
LV851001
NS MS
R
ETH1 ETH2
EIFE-XXYYZZ
FDM121
SCADA
EcoStruxure
CAE
IFE/EIFE
webpages
O
Push OFF
I
Push ON
TTEST
USB
EcoStruxure
Power Commission
USB
ULP
Ethernet
Bluetooth®无线技术
Wi-Fi
MasterPact MTZ 智能模块单元 (IMU)
运营技术 (OT)网络
公共互联网
MasterPact MTZ 智能模块单元 (IMU) 包含断路器、MicroLogic X 控制单元以及相
关的 ULP 模块、通讯接口和 IO 模块。
如要通过 MicroLogic X 控制单元与 MasterPact MTZ 断路器通讯,可使用以下通讯
途径:
• MicroLogic X 人机界面 (HMI)
•用于单个电路断路器的 FDM121 前显示模块
•通过智能手机的无线 NFC 连接
•通过智能手机的无线 Bluetooth Low Energy 连接
12 DOCA0122ZH-06
MasterPact、ComPacT 和PowerPacT 断路器为什么会涉及到
网络安全 MasterPact, ComPacT, PowerPacT
•通过以下设备连接到 USB 控制单元的 Mini Type B MicroLogic X 端口:
◦运行 EcoStruxure™ Power Commission 软件的 PC
◦运行 EcoStruxure Power Device 应用 的智能手机
•在有 IFE 或EIFE 接口的情况下,通过运营技术 (OT)网络进行 Ethernet
(Modbus TCP/IP 或IEC 61850 协议)连接
•在有 IFM 接口的情况下,通过运营技术 (OT)网络进行 Modbus-SL 连接
MasterPact NT/NW、ComPacT NS 及PowerPacT P 型和 R型断路器及其运行
环境
下图显示了与 MicroLogic 断路器的脱扣单元通讯的各种方式。
Bridge Field
Services
IO
IFE
FDM121
ComPacT NS
+ MicroLogic
EcoStruxure
Power Commission
ETH1 ETH2
R
Modbus-SL
LV434002
ETH1 LK/10-100/ACT
ETH2 LK/10-100/ACT
Module Status
Network Status
Enerlin'X IFE IFE-XX.YY.ZZ (factory set
T
13
O1 O2 O3 A1
I1 I2 I3 I4 I5 I6C C C
14 23 24 33 34 T1 T2
T
24VDC
USB
Service
Interface
FDM121
Trip
SCADA
EcoStruxure
CAE
IFE/EIFE
webpages
EcoStruxure
Power Commission
USB
ULP
Ethernet
智能模块单元 (IMU)
运营技术 (OT)网络
公共互联网
智能模块单元 (IMU) 包含 MasterPact NT/NW、ComPacT NS 或PowerPacT P 型
或R型断路器、MicroLogic 脱扣单元以及相关的 ULP 模块、通讯接口和 IO 模
块。
如要通过 MicroLogic 脱扣单元与断路器通讯,可使用以下通讯途径:
• MicroLogic 人机界面 (HMI)
•用于单个电路断路器的 FDM121 前显示模块
•通过服务接口从运行 EcoStruxure Power Commission 软件的 PC 连接到
MicroLogic 脱扣单元
•在有 Ethernet 接口的情况下,通过运营技术 (OT)网络进行 Modbus TCP/IP
(IFE 协议)连接
•在有 IFM 接口的情况下,通过运营技术 (OT)网络进行 Modbus-SL 连接
DOCA0122ZH-06 13
MasterPact, ComPacT, PowerPacT
MasterPact、ComPacT 和PowerPacT 断路器为什么会涉及
到网络安全
ComPacT NSX 及PowerPacT H、J和L型断路器及其运行环境
下图显示了与 MicroLogic 断路器的脱扣单元通讯的各种方式。
Bridge Field
Services
IO
IFE
FDM121
ComPacT NSX
+ MicroLogic
EcoStruxure
Power Commission
13
O1 O2 O3 A1
I1 I2 I3 I4 I5 I6C C C
14 23 24 33 34 T1 T2
T
24VDC
USB
Service
Interface
ETH1 ETH2
R
Modbus-SL
LV434002
ETH1 LK/10-100/ACT
ETH2 LK/10-100/ACT
Module Status
Network Status
Enerlin'X IFE
IFE-XX.YY.ZZ (factory set
T
FDM121
SCADA
EcoStruxure
CAE
IFE/EIFE
webpages
EcoStruxure
Power Commission
USB
ULP
Ethernet
智能模块单元 (IMU)
运营技术 (OT)网络
公共互联网
智能模块单元 (IMU) 包含 ComPacT NSX 或PowerPacT H 型、J型或 L型断路
器、MicroLogic 脱扣单元以及相关的 ULP 模块、通讯接口和 IO 模块。
如要通过 MicroLogic 脱扣单元与断路器通讯,可使用以下通讯途径:
• MicroLogic人机界面 (HMI)
•用于单个电路断路器的 FDM121 前显示模块
•通过服务MicroLogic接口或USB维护接口从运EcoStruxure Power
Commission行软件的PC连接到脱扣单元
•在有通讯接口的情况下,通过运营技术 (OT)网络进行 Ethernet(Modbus
TCP/IP 协议)连接
•在有 IFM 接口的情况下,通过运营技术 (OT)网络进行 Modbus-SL 连接
遭受网络攻击的系统隐患
如果安全措施不到位,上述每种通讯途径都是系统中的潜在隐患。本指南旨在帮助
保护这些通讯途径免受蓄意攻击或意外误用。
以下安全特性用于降低与在运营技术 (OT)环境中使用 IFE 和EIFE 接口及
MasterPact、ComPacT 和PowerPacT 设备有关的内在威胁。
所提供的安全特性
MasterPact、ComPacT 和PowerPacT IMU 支持以下网络安全功能:
•用户帐户管理(通过 IFE 和EIFE 接口)
•访问码保护
14 DOCA0122ZH-06
MasterPact、ComPacT 和PowerPacT 断路器为什么会涉及到
网络安全 MasterPact, ComPacT, PowerPacT
•可配置的安全服务和设置
•固件更新机制
•通过 Modbus TCP/TLS 实现机器对机器通讯(IFE 和EIFE 接口上)
• Syslog 格式或 CSV 格式的安全日志(IFE 和EIFE 接口上)
这些特性所提供的安全功能有助于保护产品免遭可能造成以下影响的安全威胁:
•干扰产品运行(可用性)
•修改信息(完整性)
•公开机密信息(保密性)
IFE/EIFE 接口与 IFE 服务器之间的安全功能比较
下表提供了固件版本为 004 的IFE/EIFE 接口与固件版本为 003 的IFE 服务器之间
的安全功能比较:
特性
EIFE 接口 (LV851001)
IFE 接口 (LV434001)
IFE 服务器 (LV434002)
HTTP 是 是
HTTPS 是 否
FTP 服务器 是 是
FTP 客户端 是 是
FTPS 是 否
NTP 是 否
SNTP 否 是
RSTP 是 否
Modbus TCP 是 是
Modbus 安全 是 否
RBAC 是 否
IEC 61850 是 否
Syslog 是 否
SMTP 是 是
IPv6 支持和 DPWS 发现 是 否
SNMP 是 是
升级固件的时间 大约 4分钟 大约 16 分钟
DOCA0122ZH-06 15
MasterPact, ComPacT, PowerPacT
系统设计、规划和安装的网络安全建议
此部分内容
识别和保护敏感且关键的信息和操作................................................................17
设计密码策略 .................................................................................................19
培训 ..............................................................................................................22
概述
本部分提供了在设计、规划和安装包含 MasterPact、ComPacT 和PowerPacT 智
能模块单元 (IMU) 的运营技术 (OT)网络期间应考虑的重要信息。本部分中的建议
和指导有助于打造安全的运行环境。
16 DOCA0122ZH-06
识别和保护敏感且关键的信息和操作 MasterPact, ComPacT, PowerPacT
识别和保护敏感且关键的信息和操作
概述
规划和设计运营技术网络时,必须识别对操作有着重要影响或者敏感的信息。一旦
识别,就必须保护这些信息。
一般原则:
•关键信息包括可通过 MasterPact、ComPacT 和PowerPacT IMU 访问的数据
和操作(比如,断路器状态、脱扣或分闸/合闸命令)。
•敏感信息包括任何可用于访问您的系统和运营技术网络的信息(比如,设备或
锁闭室的密码或访问码)。
您应负责判断如何在确保您组织的最佳利益的前提下分析和使用这些信息。
有关企业通讯网络的信息
可用于访问您的系统和工业控制网络的敏感信息包括:
•系统架构
•联网通讯设备的 IP 地址或 MAC 地址
• Ethernet 通讯端口数
•用户 ID 和用户密码
以上并未穷尽所有,必须考虑您组织特有的并且可有助于访问关键系统的所有信
息。
访问控制
网络安全的一个重要部分是设计有效的访问控制策略。访问控制包括识别组织内的
用户组或个体员工,并确定他们有效开展工作所需的访问类型和等级。
DOCA0122ZH-06 17
MasterPact, ComPacT, PowerPacT 识别和保护敏感且关键的信息和操作
可通过每个访问途径访问的信息和操作汇总
根据用于访问 MasterPact、ComPacT 和PowerPacT 智能模块单元(IMU)的通
讯接口或通讯途径,可用的信息和控制操作各有不同。
下表总结了通过 MasterPact MTZ IMU 对信息和控制操作的访问:
信息和控制操作 本地访问 Remote
access
MicroLogi-
c HMI
FDM121
显示屏
NFC Bluetooth
Low Energy
technology
USB Ethernet /
Modbus-
SL
数据监视 读取 读取 读取 读取 读取 读取
保护设置 读/写 读取 读取 读/写 读/写 读/写
其他设置 读/写 读取 读取 读/写 读/写 读/写
分闸/合闸/复位 否 是 否 是 是 是
下表总结了通过 MasterPact NT/NW、ComPacT NS 及PowerPacT P 型和 R型
IMU 对信息和控制操作的访问:
信息和控制操作 本地访问 Remote
access
MicroLogic
HMI
FDM121 显示
屏
测试端口 Ethernet /
Modbus-SL
数据监视 读取 读取 读取 读取
保护设置 读/写 读取 读/写 读/写
其他设置 读/写 读取 读/写 读/写
分闸/合闸/复位 否是是是
下表总结了通过 ComPacT NSX 及PowerPacT H、J和L型IMU 对信息和控制操
作的访问:
信息和控制操作 本地访问 Remote
access
MicroLogic
HMI
FDM121 显示
屏
测试端口 Ethernet /
Modbus-SL
数据监视 读取 读取 读取 读取
保护设置 读/写 读取 读/写 读/写
其他设置 读/写 读取 读/写 读/写
分闸/合闸/复位 否 是 是 是
有关每个通讯接口和通讯途径的保护说明,请参阅本地访问, 23 页或远程访问, 35
页的相关建议。
18 DOCA0122ZH-06
设计密码策略 MasterPact, ComPacT, PowerPacT
设计密码策略
概述
精心设计的密码策略是抵御网络攻击的第一道防线。
如果系统中包含带 MicroLogic 脱扣单元或控制单元的 MasterPact、ComPacT 和
PowerPacT 断路器,则在以下情形下需要使用密码:
•对MicroLogic 控制单元执行入侵性命令,无论在哪种访问模式(通过
Modbus-TCP/Modbus-SL、USB 连接或 Bluetooth 无线技术)下
•对MicroLogic 脱扣单元执行入侵性命令,无论在哪种访问模式(通过
Modbus-TCP/Modbus-SL、FDM121 显示屏 或测试端口)下
•登录到运行 EcoStruxure Power Commission软件的 PC
•登录到 IFE 和EIFE 接口网页
•登录到 IFE 服务器网页
•通过 MasterPact MTZ IMU 的EcoStruxure Power Commission软件登录到 IFE
和EIFE 接口网页
•登录到 FTPS 服务器,以便通过 IFE 对EIFE 和MasterPact MTZ 执行 IEC
61850 配置
有关密码策略的网络安全建议
警告
系统可用性、完整性和保密性的潜在危害
首次使用时,更改默认密码,以有助于防止擅自访问设备设置、控件和信息。
未按说明操作可能导致人身伤亡或设备损坏等严重后果。
密码策略是网络安全策略的主要元素之一。良好的密码策略包含以下几方面:
•使用强密码
•定期修改密码
•使用密码保险箱管理访问密码
•禁止重新使用旧密码
•定期就密码的相关最佳做法对用户给与提醒
如要保护系统,至少应该:
•强制使用强密码
•设置长度至少为 10 个字符的密码
•定期修改密码
所有用户必须知悉密码的相关最佳做法。其中包括:
•不外泄个人秘密
•密码输入时不显示密码
•不通过电子邮件或任何其他方式传送密码
•不将密码保存在 PC 或其他设备上
用于 MicroLogic 关键设置和控制的密码
通过通讯接口访问 MicroLogic 脱扣单元或控制单元时,任何改变 MasterPact、
ComPacT 和PowerPacT 断路器行为的入侵性命令都需要使用密码。比如,修改
保护设置或者操作断路器,都要求使用 MicroLogic 密码。
为MicroLogic 脱扣单元或控制单元定义了四个密码,以下四种用户类型各一个:
DOCA0122ZH-06 19
MasterPact, ComPacT, PowerPacT 设计密码策略
• Administrator
• Services
• Engineer
• Operator
有关用户类型的更多信息,请参阅 MicroLogic 用户指南, 8 页。
当通过 EcoStruxure Power Device 应用 或 EcoStruxure Power Commission 软件
连接时,会提示用户提供上述其中一种密码。
当通过远程监控接口连接时,密码必须为通讯请求的一部分。
密码仅包含四个 ASCII 字符。密码区分大小写,允许使用以下字符:
• 0 到9的数字
• a 到z的小写字母
• A 到Z的大写字母
首次安装 MasterPact、ComPacT 和PowerPacT 断路器时必须使用 EcoStruxure
Power Commission 软件更改缺省密码,且在首次安装后,必须定期更改密码。使
用密码保险箱存储密码。这些密码只能被数量有限的可信用户共享。视情况遵循密
码策略建议。
通过IFE或EIFE接口MicroLogic X远程访问控制单IFE密码EIFE。
在MasterPact MTZ IMU 内,当通过以下方式建立连接时,通过基于角色的访问控
制(RBAC)机制来检查对 MicroLogic X 控制单元的访问:
• EcoStruxure Power Commission 软件(藉由以太网)
•IFE 接口网页
•EIFE 接口网页
•IFE 和EIFE 接口的 FTPS 服务器。
有关 RBAC 机制的更多信息,请参阅 IFE 或EIFE 接口页面以及 IFE 或EIFE
FTPS 服务器的密码, 21 页。
当通过 IFE 接口远程访问 ComPacT NSX 脱扣单元时所使用的密码
在配备有 MicroLogic 5、6或7脱扣单元的 ComPacT NSX IMU 内,当通过以下方
式建立连接时,通过基于角色的访问控制 (RBAC)机制来检查对 MicroLogic 脱扣
单元的访问:
• EcoStruxure Power Commission 软件(藉由以太网)
•IFE 接口网页
•IFE 和EIFE 接口的 FTPS 服务器。
有关 RBAC 机制的更多信息,请参阅 IFE 或EIFE 接口页面以及 IFE 或EIFE
FTPS 服务器的密码, 21 页。
联网 PC 的密码和用户 ID
运行 EcoStruxure Power Commission 软件或者通过任何其他方式(比如,IFE 网
页或 SCADA)访问 MicroLogic 脱扣单元或控制单元的 PC 必须提示用户登陆并输
入密码。必须确保用户定义的是强密码,并定期修改这些密码。此外,必须设置定
时器,以便在达到某个闲置时间之后自动锁定 PC 屏幕。
如果可以,强密码应包含大小写字母、数字和特殊字符,其长度应至少为 10 个字
符。
视情况遵循密码策略建议。
20 DOCA0122ZH-06
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
ページを読み込んでいます...
/