最佳安全实践 - octoplant 服务器

以下文档包含了 octoplant 服务器的最佳安全实践。我们建议这些措施由您的 IT 部门或 octoplant 管理员实施。

• 不要将 octoplant 服务器暴露在互联网 上。octoplant 服务器不需要来自内部防火墙外的客户端连接。

  我们建议：

  • 将入站通信限制在您的 内部客户网络。
  • 使用 VPN 允许客户端应用程序在内部网络之外连接到 octoplant 服务器。
  • 限制与octoplant 服务器的入站连接。虽然需要与 octoplant pro hub 进行出站通信，但应尽量减少入站流量。

• 使用杀毒软件

  • 遵循 IT 部门关于安装和维护防病毒或恶意软件检测工具的指导原则。

• 权限

  • 审查安装和运行 octoplant 服务器所需的用户权限。

  • 应用最小权限原则：

    • 只授予用户和应用程序所需的最低权限。
    • 执行访问控制，确保只有授权人员才能访问服务器。
    • 使用强大、唯一的密码，或尽可能启用多因素身份验证 (MFA)。

• 利用现有的 LDAP 服务器

  • 如果可用，请使用集中式 LDAP 服务器来管理用户账户和密码。

  • 集中式身份管理可通过以下方式增强安全性：

    • 执行一致的密码策略（如复杂性和有效期）
    • 避免在 octoplant 内部存储密码

• 使用正确配置的 octoplant 代理与自动化设备通信

  • 在 OT 网络中隔离自动化设备，并通过 octoplant 代理路由通信。octoplant 服务器可以驻留在业务网络中，而代理则在 OT 网络中运行。

• 从服务器移除客户端应用程序

  • 避免在服务器上安装客户端程序，以降低未经授权篡改数据的风险。

• 审查 octoplant 中分配的角色

  • 确保用户只能访问其角色所需的内容。
  • 定期审查管理角色分配，并将其限制在适当人员范围内。

• 使用专门的 Windows 用户运行 octoplant 服务

  • 限制只有专门的 Windows 服务器用户和授权更新账户才能完全访问服务器存档。

• 网络分段

  • 将 octoplant 服务器置于专用网段、DMZ 或 VLAN 中，以尽量减少攻击面。
  • 定义防火墙规则，限制访问重要的 octoplant 系统。

  • 监控进出服务器的网络流量。octoplant 使用各种开放端口，调查任何意外流量，例如：

    • 客户端到服务器
    • 服务器到代理
    • 其他未知端口

• 确保 octoplant 服务器的物理安全

  • 使用门锁和门禁系统限制对服务器机房或数据中心的实际访问。

• 撤销访问权限

  • 当员工离开组织或不再需要访问权限时，建立一个撤销访问权限的流程。例如，启用 octoplant 的 LDAP 与 Active Directory 集成。

• 定期进行审计与合规

  • 定期进行安全审计和合规性检查，确保遵守行业标准和法规。

• 日志记录和监控

  • 在 octoplant 服务器上启用详细日志记录功能，并定期查看日志，查找可疑活动。
  • 考虑使用安全信息和事件管理系统（SIEM）来集中管理和分析日志数据。

• 标准化文档

  • 维护涵盖服务器配置、安全设置和访问控制策略的最新文档。

• 检测和预防入侵

  • 使用入侵检测和防御系统 (IDS/IPS) 监控和阻止未经授权的活动。

• 使用映像服务时的 SMB/UNC 连接

  • 优先选择 SFTP 而不是 SMB，以提高安全性，并通过避免基于 Windows 的资源处理中的限制而获得更好的可扩展性。