访问保护
为了确保对标准控制器和安全控制器的访问保护,必须遵守下面显示的注意事项和 CODESYS 安全用户手册(章节:“操作期间的 IT 安全”)中的注意事项并采取措施。
标准控制器的访问保护
检查访问控制器的可能性。
在任何情况下,控制器都不能从互联网或不可信网络访问。特别是,在任何情况下,控制器的编程端口都不能从互联网上不受保护地访问(通常是 UDP 端口 1740 至 1743 和 TCP 端口 1217 + 11740 或控制器特定端口)。如果需要允许从互联网访问,那么必须有一种安全的方法来连接到控制器(例如:VPN)。
重要
为了最大限度地降低数据安全违规风险,我们建议对您的应用程序所运行的系统采取以下组织和技术措施:
尽可能避免将 PLC 和控制网络暴露在开放网络和互联网中。为了保护,请使用附加数据链路层,例如用于远程访问的 VPN,并安装防火墙机制。限制授权人员的访问,在初始调试期间更改现有的标准密码,并继续定期更改密码。如果您想不顾所有警告发布您的 Web 可视化,那么强烈建议您至少为其提供简单的密码保护,以防止有人通过互联网访问您的控制器功能。(请参见项目“SimpleWebvisuLogin.project”中的示例,该项目随编程系统的标准安装一起提供。)
安全控制器的访问保护
安全控制器的访问保护通过以下机制建立:
项目中的用户管理
管理密码
电话密码
安全控制器识别
项目中的用户管理
安全应用的每个部分 CODESYS 可以通过适当的设置来保护项目免受未经授权的访问 CODESYS 用户管理。
重要
为了保证安全应用程序的访问保护,用户必须设置相应的 CODESYS 用户管理(见 保护和保存项目)或使用集成在 CODESYS Safety Extension (看 在项目中设置用户管理)。
管理密码(启动应用程序密码)
可以通过管理员密码(admin password)保护启动应用程序,防止未经授权的写访问(参见 设置管理员密码)。
登录
创建启动应用程序
删除启动应用程序
重新启动启动应用程序
设置管理员密码
更新固件
配置远程访问
冷复位
停止
开始
写入值
力量值
取消强制价值观
更改设备名称
电话密码
远程密码可保护安全控制器免遭未经授权的远程访问。有关更多信息,请参阅: ‘访问设备’区域)。
登录
登出
刷新; 按钮 安全在线信息 安全控制器的选项卡
显示和保存日志;按钮 日志 安全控制器的选项卡
安全控制器识别(IEC 62443 1级)
实施 IEC 62443 安全级别 1 中的以下措施:
避免登录错误控制器的措施:
输入安全控制器的序列号
按下安全控制器上的按钮(或开关)
要成功登录安全控制器,必须执行以下两个操作之一,具体取决于安全控制器(参见 连接确认)。这些措施可以归类为相对安全的,因为必须手动直接在安全控制器上按下按钮,并且输入序列号需要机器的内部知识。