Administration von Virenscannern SIMATIC. Prozessleitsystem PCS 7 Administration von Virenscannern. Vorwort 1. Administration von Virenscannern

Transkript

1 Vorwort 1 Administration von Virenscannern 2 SIMATIC Hinweise für die Praxis 3 Prozessleitsystem PCS 7 Inbetriebnahmehandbuch 12/2011 A5E

2 Rechtliche Hinweise Rechtliche Hinweise Warnhinweiskonzept Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt. GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. WARNUNG bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT mit Warndreieck bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT ohne Warndreieck bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. ACHTUNG bedeutet, dass ein unerwünschtes Ergebnis oder Zustand eintreten kann, wenn der entsprechende Hinweis nicht beachtet wird. Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein. Qualifiziertes Personal Das zu dieser Dokumentation zugehörige Produkt/System darf nur von für die jeweilige Aufgabenstellung qualifiziertem Personal gehandhabt werden unter Beachtung der für die jeweilige Aufgabenstellung zugehörigen Dokumentation, insbesondere der darin enthaltenen Sicherheits- und Warnhinweise. Qualifiziertes Personal ist auf Grund seiner Ausbildung und Erfahrung befähigt, im Umgang mit diesen Produkten/Systemen Risiken zu erkennen und mögliche Gefährdungen zu vermeiden. Bestimmungsgemäßer Gebrauch von Siemens-Produkten Beachten Sie Folgendes: WARNUNG Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und Instandhaltung voraus. Die zulässigen Umgebungsbedingungen müssen eingehalten werden. Hinweise in den zugehörigen Dokumentationen müssen beachtet werden. Marken Alle mit dem Schutzrechtsvermerk gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann. Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten. Siemens AG Industry Sector Postfach NÜRNBERG DEUTSCHLAND A5E P 11/2011 Copyright Siemens AG Änderungen vorbehalten

3 Inhaltsverzeichnis 1 Vorwort Aufbau und Dokumentstruktur Besondere Hinweise Definitionen Einsatz von Virenscannern Prinzipielle Virenscanner Architektur Strategie zur Verteilung der Virensignaturen Konfiguration von Virenscannern Zugelassene Virenscanner für PCS Hinweise für die Praxis Inbetriebnahmehandbuch, 12/2011, A5E

4 Inhaltsverzeichnis 4 Inbetriebnahmehandbuch, 12/2011, A5E

5 Vorwort Aufbau und Dokumentstruktur Das Sicherheitskonzept PCS 7 & WinCC besteht aus mehreren Teilen: Das Basisdokument ist der zentrale Überblick und Wegweiser durch das Sicherheitskonzept PCS 7 & WinCC. Dort werden die Grundprinzipien und Security-Strategien des Security-Konzepts in systematisierter Form beschrieben. Alle zusätzlichen Detaildokumente setzen die vollständige Kenntnis des Basisdokumentes voraus. Die Detaildokumente (dieses Dokument ist ein solches Detaildokument) erläutern die einzelnen Prinzipien, Lösungen und deren empfohlene Konfiguration in detaillierter Form, jeweils auf ein bestimmtes Detail-Thema fokussiert. Die Detaildokumente werden unabhängig voneinander ergänzt, aktualisiert und bereitgestellt, um eine hohe Aktualität zu gewährleisten. Inbetriebnahmehandbuch, 12/2011, A5E

6 Vorwort 1.2 Besondere Hinweise 1.2 Besondere Hinweise Ziel des Sicherheitskonzept PCS 7 & WinCC Oberste Priorität in der Automatisierung hat die Aufrechterhaltung der Kontrolle über Produktion und Prozess. Auch Maßnahmen, die die Ausbreitung einer Sicherheitsbedrohung verhindern sollen, dürfen dies nicht beeinträchtigen. Aufgrund der sich stetig weiterentwickelnden Bedrohungslage kann selbst bei vollständiger Umsetzung des Sicherheitskonzeptes nicht dauerhaft von einem hundertprozentigen / lückenlosen Schutz ausgegangen werden. Eine regelmäßige Bewertung der umgesetzten Maßnahmen im Rahmen des Sicherheitskonzeptes wird daher empfohlen. Das Sicherheitskonzept PCS 7 & WinCC soll sicherstellen, dass nur authentifizierte Benutzer über die ihnen zugewiesenen Bedienmöglichkeiten an authentifizierten Geräten autorisierte (erlaubte) Bedienungen durchführen können. Diese Bedienungen sollen ausschließlich über eindeutige und geplante Zugriffswege erfolgen, um während eines Auftrages eine sichere Produktion oder Koordination ohne Gefahren für Mensch, Umwelt, Produkt, zu koordinierende Güter und das Geschäft des Unternehmens zu gewährleisten. Das Sicherheitskonzept PCS 7 & WinCC empfiehlt dazu den Einsatz der aktuell verfügbaren Sicherheitsmechanismen. Um die höchstmögliche Sicherheit zu erreichen, dürfen anlagenspezifisch skalierte Konfigurationen den Grundprinzipien dieses Sicherheitskonzepts nicht widersprechen. Das Sicherheitskonzept PCS 7 & WinCC soll die Zusammenarbeit der Netzwerkadministratoren von Unternehmensnetzen (IT-Administratoren) und Automatisierungsnetzen (Automatisierungsingenieuren) erleichtern, so dass die Vorteile der Vernetzung der Prozessleittechnik mit der Datenverarbeitung der anderen Produktionsebenen ohne beidseitig erhöhte Sicherheitsrisiken genutzt werden können. Erforderliche Kenntnisse Diese Dokumentation wendet sich an Personen, die in den Bereichen Projektierung, Inbetriebnahme und Service von Automatisierungssystemen mit SIMATIC tätig sind. Administrationskenntnisse der aus der Bürowelt bekannten IT-Techniken werden vorausgesetzt. Gültigkeitsbereich Das Sicherheitskonzept PCS 7 & WinCC löst die vorhergehenden Dokumente und Empfehlungen "Sicherheitskonzept PCS 7" und "Sicherheitskonzept WinCC" schrittweise ab und ist gültig ab WinCC V6.2 und PCS 7 V Inbetriebnahmehandbuch, 12/2011, A5E

7 2 Der Einsatz von Virenscannern in einem Prozessleitsystem ist nur dann effektiv, wenn er Teil eines umfassenden Security-Konzeptes ist. Der alleinige Einsatz eines Virenscanners kann ein Prozessleitsystem nicht vor Security-Bedrohungen im Allgemeinen schützen. 2.1 Definitionen Virenscanner: Ein Virenscanner ist eine Software, die bekannte schädliche Programmroutinen (Computerviren, Würmer und ähnliche Schadsoftware) aufspürt, blockiert oder beseitigt. Scan-Engine (Scanmodul): Die Scan-Engine ist der Teil der Virenscanner-Software, der Daten auf schädliche Software untersuchen kann. Virensignaturdatei (Virenpatterndatei oder Virendefinitionsdatei): Diese Datei stellt der Scan-Engine die Virensignaturen bereit, mit deren Hilfe die Suche nach schädlicher Software in den Daten durchgeführt wird. Virenscan-Client: Der Virenscan-Client ist ein Computer, der auf Viren überprüft wird und vom Virenscan- Server verwaltet wird. Virenscan-Server: Der Virenscan-Server ist ein Computer, der Virenscan-Clients zentral verwaltet, Virensignaturdateien lädt und auf die Virenscan-Clients verteilt. Security Suite: Meist von ehemaligen Virenscanner-Herstellern vertriebene Programm Suites, die zusätzlich zur klassischen Virenscanfunktionalität noch weitere Sicherheitsfunktionalitäten mitbringen, wie z.b. IPS, Appilcation Control, Firewall, usw. Inbetriebnahmehandbuch, 12/2011, A5E

8 2.2 Einsatz von Virenscannern 2.2 Einsatz von Virenscannern Der Einsatz eines Virenscanners darf den Prozessbetrieb einer Anlage nicht beeinträchtigen. Die folgenden zwei Beispiele zeigen die Problematik, die durch den Einsatz von Virenscannern in der Automatisierung entsteht: Ein virenverseuchter Computer darf durch einen Virenscanner nicht abgeschaltet werden, wenn dadurch die Kontrolle über den Produktionsprozess verloren geht oder eine Anlage nicht mehr in einen sicheren Zustand gefahren werden kann. Das Senden von Daten oder Berichten bei Virenfund an Virenscanner-Hersteller muss deaktivierbar sein. Auch eine virenverseuchte Projektdatei, beispielsweise ein Datenbankarchiv, darf nicht automatisch verschoben, blockiert oder gelöscht werden, wenn dadurch die Nachverfolgbarkeit von wichtigen Messwerten nicht mehr gegeben ist. Es werden deshalb folgende Anforderungen an Virenscanner für den Einsatz in industriellen Umgebungen gestellt: Bei Einsatz einer Security-Suite (Virenscanner plus Optionen) müssen alle Optionen, die über die Funktionen eines klassischen Virenscanner hinausgehen, deaktivierbar sein, z.b. Firewall, -Scan. Die Virenscan-Clients in einer zentral verwalteten Virenscanner Architektur müssen in Gruppen einteilbar und konfigurierbar sein. Die automatische Verteilung der Virensignaturen muss deaktivierbar sein. Die Verteilung der Virensignaturen muss manuell und gruppenbasiert durchführbar sein. Ein manueller und gruppenweiser Datei- und Systemscan muss möglich sein. Bei Erkennung eines Virus muss immer eine Meldung generiert werden, aber nicht zwangsläufig eine Dateiaktion ausgeführt werden (z.b. löschen, blockieren, verschieben). Alle Meldungen müssen am Virenscan-Server protokolliert werden. Die Virenscan-Clients müssen so konfiguriert werden können, dass auf ihnen keine Meldung angezeigt wird, die wichtigere Prozessinformationen überdecken könnte. Die Virenscan-Clients sollten aus Performancegründen so konfigurierbar sein, dass ausschließlich die lokalen Laufwerke der Virenscan-Clients gescannt werden, um sich überschneidende Scans auf Netzwerklaufwerken zu verhindern. Die Virenscan-Clients sollten aus Performancegründen so konfigurierbar sein, dass nur der eingehende Datenverkehr geprüft wird, vorausgesetzt, dass sämtliche lokal bereits vorhandenen Daten bereits einmalig geprüft wurden. 8 Inbetriebnahmehandbuch, 12/2011, A5E

9 2.3 Prinzipielle Virenscanner Architektur 2.3 Prinzipielle Virenscanner Architektur Für die Realisierung der unter Kapitel "Einsatz von Virenscannern (Seite 8)" genannten Forderungen empfiehlt sich eine Virenscanner-Architektur wie im folgenden Bild prinzipiell dargestellt. Der Virenscan-Server erhält die Virensignaturen aus dem Internet vom Update-Server des jeweiligen Virenscanner-Herstellers oder von einem übergeordneten Virenscan-Server und verwaltet seine Virenscan-Clients. Über eine Webkonsole oder ähnliches ist ein administrativer-zugriff auf den Virenscan-Server möglich. Internet Virenscan-Server Webkonsole Virenscan-Client Virenscan-Client Virenscan-Client Bild 2-1 Architektur Virenscanner Je nach Hersteller ist es außerdem möglich, mehrere Virenscan-Server einzusetzen, die parallel oder in einer Hierarchie angeordnet sein können. Inbetriebnahmehandbuch, 12/2011, A5E

10 2.4 Strategie zur Verteilung der Virensignaturen 2.4 Strategie zur Verteilung der Virensignaturen Um den Betrieb einer Anlage nicht durch den Einsatz eines Virenscanners zu gefährden und dem geringen, aber möglichen Risiko von "schädlichen" Virensignaturen (Virensignaturen, die fälschlicherweise die Automatisierungssoftware als Schadsoftware erkennen) vorzubeugen, empfiehlt sich folgende Vorgehensweise beim Aktualisieren der Virensignaturen: Der Virenscan-Server erhält die Virensignaturen aus dem Internet vom Update-Server des jeweiligen Virenscanner-Herstellers oder von einem übergeordneten Virenscan- Server aus dem Intranet. Alle Process-Server und -Clients sind redundant zu betreiben. Für jede Anlage sind mindestens 2 Gruppen am Virenscan-Server zu erstellen. In diesen Gruppen befinden sich jeweils ein Server eines redundanten Pärchens und die Hälfte der ihnen zugeordneten Clients (s. folgendes Bild). Aufbau einer kleinen Testanlage, welche die wichtigsten Funktionen der vorhandenen Anlage simulieren kann. Neue Virensignaturen werden zuerst hier eingespielt, um sie zu testen und so negative Auswirkungen auf den Anlagenbetrieb festzustellen. Wenn nach einem zu definierendem Zeitraum keine Fehler in der Testanlage auftreten und es weder vom Virenscanner-Hersteller noch von Siemens Aussagen über Verträglichkeitsprobleme mit den Virensignaturen gibt, können diese in einer Gruppe jeder Anlage eingespielt werden. Der Betrieb der Anlagen wird dadurch minimal beziehungsweise nicht behindert. Wenn nach einem zu definierendem Zeitraum später auch in den Anlagen keine Verträglichkeitsprobleme mit den Virensignaturen auftreten, können diese auch in den anderen Gruppen eingespielt werden. Group Clients 1 Group Server Group Clients 2 Group Standby Server Perimeter Network WSUS Server WSUS01 WinCC Client OS Client BATCH Client Route Control WinCC Client OS Client BATCH Client Route Control MCS15 MCS25 MCS35 Client MCS14 MCS24 MCS34 Client MCS45 MCS44 Process Control Network Firewall ISA Server GATEBACK WinCC Server Route Control Route Control WinCC Server OS Server OS Server BATCH Server BATCH Server Server Server MCS10 MCS11 MCS20 MCS21 MCS30 MCS31 MCS40 MCS41 Control System Network Domain Controller MCS01 Domain Controller MCS02 Firewall Scalance S MCS90 S7-400H AS4 S7-400 AS6 S7-400 AS7 S7-400FH AS8 Bild 2-2 Strategie zur Verteilung der Virensignaturen 10 Inbetriebnahmehandbuch, 12/2011, A5E

11 2.5 Konfiguration von Virenscannern 2.5 Konfiguration von Virenscannern Empfehlungen zur Konfiguration von Virenscannern Integrierte Firewall der Virenscanner Ab PCS 7 V7.0 und WinCC V6.2 wird die lokale Windows-Firewall genutzt und automatisch mit der Komponente SIMATIC Security Control (SSC) parametriert. Deshalb darf die in den meisten Virenscannern integrierte Firewall nicht installiert werden. Manueller Scan (Manuelle Prüfung, Scannen auf Anforderung) Ein manueller Scan (je nach Produkt auch "On Demand Scan" genannt) darf auf Virenscan-Clients während des Prozessbetriebes (Runtime) nicht durchgeführt werden. Dieser sollte in regelmäßigen Abständen, z.b. während eines Wartungsintervalls auf allen Computern der Anlage durchgeführt werden. Automatischer Scan (Auto-Protect, Scannen bei Zugriff) Beim automatischen Scan ist es ausreichend, den eingehenden Datenverkehr zu prüfen. Zeitgesteuerter Scan (Geplante Prüfung, Scannen auf Anforderung) Der zeitgesteuerte Scan (je nach Produkt auch "On Demand Scan" genannt) darf auf Virenscan-Clients während des Prozessbetriebes (Runtime) nicht durchgeführt werden. Anzeigen von Meldungen Um den Prozessbetrieb nicht zu beeinträchtigen, darf auf den Virenscan-Clients der Prozessleittechnik keine Meldung angezeigt werden. Laufwerke Es werden ausschließlich die lokalen Laufwerke gescannt, um sich überschneidende Scans auf Netzwerklaufwerken zu verhindern. -Scan Der -Scan sollte/muss, außer auf einer ES, die tatsächlich s empfängt, deaktiviert werden. Einteilung in Gruppen Die Virenscan-Clients müssen in Gruppen eingeteilt werden. Verteilung der Virensignaturdatei (Patternupdate) Die Verteilung der Virensignaturen auf Virenscan-Clients wird vom übergeordneten Virenscan-Server durchgeführt. Der rückwirkungsfreie Einsatz der Virensignaturen ist vor dem Einsatz im Prozessbetrieb in einer Testanlage zu überprüfen. Die Virensignaturen sind manuell auf die jeweiligen Gruppen zu verteilen. Update der Virenscan-Engine Updates der Virenscan-Engine sind nicht während des Prozessbetriebes (Runtime) durchzuführen, da diese einen Neustart der Virenscan-Clients erfordern können. Inbetriebnahmehandbuch, 12/2011, A5E

12 2.6 Zugelassene Virenscanner für PCS Zugelassene Virenscanner für PCS 7 Welche Vierenscanner mit welcher PCS 7 Version verwendet werden können, finden Sie im Internet. PCS 7: 12 Inbetriebnahmehandbuch, 12/2011, A5E

13 Hinweise für die Praxis 3 Allgemeine Informationen Informationen zu Trend Micro Office Scan finden Sie hier: Informationen zu Symantec finden Sie hier: Informationen zu McAfee VirusScan finden Sie hier: Weitere Informationen Da die Installation von Software von einem virenfreien Ablageort auf einem Dateiserver mit eigenem Virenscanner oder einer DVD erfolgen sollte und meist eine gravierende lokale Systemänderung darstellt, sollte ein Virenscanner diese Installation nicht unnötig behindern oder gar verfälschen. Um dieses Ziel zu erreichen, sollten sogenannte Dateiübergabe- /Installationsserver genutzt oder Virenscan-Konfigurationseinstellungen gewählt werden, die eine ungehinderte Installation ermöglichen, ohne dass der Virenscanner komplett deaktiviert werden muss. Testmöglichkeit von Virenscannern Für einfache Tests der Erkennung und Meldung von Viren und der Reaktion der Virenscanner können die Testdateien unter herangezogen werden. Inbetriebnahmehandbuch, 12/2011, A5E

14 Hinweise für die Praxis 14 Inbetriebnahmehandbuch, 12/2011, A5E