最佳安全实践 - octoplant 服务器

以下文档包含了 octoplant 服务器的最佳安全实践。我们建议这些措施由您的 IT 部门或 octoplant 管理员实施。

• 不要将 octoplant 服务器暴露在互联网上。
  octoplant 服务器不需要接受来自除内部防火墙网络之外的客户端连接。因此，我们建议您：

  • 将入站通信限制在您的 内部客户网络。
  • 利用 VPN 连接，这样就算您的计算机位于内部网络外，客户端应用程序也能访问 octoplant 服务器。
  • 限制 octoplant 服务器的入站连接。虽然 octoplant 服务器确实需要向 octoplant pro hub 发送信息（出站连接），但应限制入站连接。

• 使用杀毒软件

  • 始终遵循 IT 部门关于运行防病毒/恶意软件检测软件的提示。

• 权限

  • 审查安装和运行 octoplant 服务器所需的用户权限。

  • 遵守最小权限原则：

    • 将用户和应用程序的访问权限限制在他们执行 octoplant 作业所需的范围内。
    • 实施强有力的访问控制措施，确保只有授权人员才能访问 octoplant 服务器。
    • 使用强大且唯一的密码，或者优先实施多因子认证（MFA），以便在需要的情况下访问 octoplant 服务器。

• 利用现有的 LDAP 服务器

  • 我们建议您使用集中式 LDAP 服务器（如果有的话）来管理账户和密码。

  • 如果您有集中式 LDAP 服务器，可利用身份管理系统的功能帮助管理内部账户。可以通过以下方式降低安全风险：

    • 集中管理所有用户账户（密码更改频率、复杂性）
    • 密码不存储在 octoplant 中

• 仅与正确配置的 octoplant 代理进行通信

  • 在 OT 网络中隔离自动化设备，并确保 octoplant 所需的所有处理操作均通过 octoplant 服务器与其在 OT 网络中运行的代理程序进行通信来完成。octoplant 服务器可以位于业务网络中，而代理程序则位于 OT 网络中。

• 从服务器移除客户端应用程序

  • 取消服务器上的客户端应用程序，以降低黑客利用客户端应用程序篡改服务器存档数据的风险。

• 审查 octoplant 中分配的角色

  • 确保用户只能访问他们所需要的内容。
  • 检查 octoplant 中被分配管理员角色的人员，确保只有合适的角色才被赋予该角色。

• 使用专门的 Windows 用户来执行我们的服务

  • 确保只有您的专用 Windows 服务器用户（和一些用于安装更新的账户）才能完全访问服务器存档。

• 网络分段

  • 将 octoplant 服务器隔离在专用网络段、DMZ 或 VLAN 中，以防止未经授权的访问和外部攻击。
  • 设置防火墙规则，以确保网络通信只能在确实需要的 octoplant 系统之间进行。

  • 监控进出 octoplant 服务器的网络流量。octoplant 应用程序使用各种开放端口进行通信。如果看到其他流量，请查看：

    • 客户端到服务器
    • 服务器到代理
    • 任何其他端口

• 确保 octoplant 服务器的物理安全

  • 通过限制进入服务器机房或数据中心，并使用门锁和访问控制，确保 octoplant 服务器的物理安全。

• 撤销访问权限

  • 当员工离开组织或不再需要访问 octoplant 服务器时，需要实施一个及时撤销访问权限的流程。例如：在现有 Active Directory 中启用 octoplant 的 LDAP 功能。

• 定期进行审计与合规

  • 定期进行安全审计和合规评估，以确保 octoplant 服务器符合行业相关的法规和安全标准。

• 日志记录和监控

  • 启用 octoplant 服务器的全面日志记录，并定期查看日志，以发现未经授权访问或异常活动的迹象。
  • 实施安全信息和事件管理（SIEM）系统，集中收集日志数据进行分析。

• 标准化文档

  • 维护 octoplant 服务器相关的详细文档，包括配置、安全设置和访问控制。

• 检测和预防入侵

  • 部署入侵检测和预防系统（IDS/IPS），监控网络流量中的可疑活动，并在必要时进行阻止。

• 使用映像服务时的 SMB/UNC 连接

  • 考虑使用 SFTP 代替 SMB，因为 SFTP 更安全，并且不会占用某些 Windows 资源（可扩展性）。