西门子中国-200smart代理商

西门子中国-200smart代理商

西门子中国有限公司授权合作伙伴——浔之漫智控技术(上海)有限公司，作为西门子中国有限公司授权合作伙伴，浔之漫智控技术（上海）有限公司代理经销西门子产品供应全国，西门子工控设备包括S7-200SMART、 S7-200CN、S7-300、S7-400、S7-1200、S7-1500、S7-ET200SP 等各类工业自动化产品。公司国际化工业自动化科技产品供应商，是专业从事工业自动化控制系统、机电一体化装备和信息化软件系统

集成和硬件维护服务的综合性企业。西部科技园，东边是松江大学城，西边和全球**芯片制造商台积电毗邻，作为西门子授权代理商，西门子模块代理商，西门子一级代理商，西门子PLC代理商，西门子PLC模块代理商，

建立现代化仓

储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品与此同时，我们

向北5公里是佘山国家旅游度假区。轨道交通9号线、沪杭高速公路、同三国道、松闵路等

交通主干道将松江工业区与上海市内外连接，交通十分便利。

建立现代化仓

储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品，我们以持续的卓越与服务，取得了年销

售额10亿元的佳绩，凭高满意的服务赢得了社会各界的好评及青睐。与西门子品牌合作，只为能给中国的客户提供值得信赖的服务体系，我们

的业务范围涉及工业自动化科技产品的设计开发、技术服务、安装调试、销售及配套服务领域。

如果存在可疑的安全违规，请立即更改所有证书和密钥。 • 使用“PKCS #12”格式的具有密码保护的证书。 • 基于服务器和客户端侧的指纹验证证书，避免“中间人”攻击。为此，请使用第二条安 全传输路径。 • 将设备送至 Siemens 进行维修之前，请使用临时的一次性证书和密钥替换当前证书和 密钥，这些证书和密钥在设备返厂时会被销毁。 物理/远程访问 硬件/软件 • 请仅在受保护的网络区域内运行设备。内部和外部网络彼此分离时，攻击者无法从外 部访问内部数据。 • 限定只有受信人员才能对设备进行物理访问。 存储卡或 PLUG（C-PLUG、KEY-PLUG、CLP）中包含可读取和修改的敏感数据， 如证书和密钥。能够控制设备可移动介质的攻击者可以提取关键信息（如证书、密钥 等）或对介质重新编程。 • 锁定设备上不使用的物理端口。不使用的端口可用于对工厂进行禁止的访问。 • 通过非安全网络进行通信时，需额外使用具有 VPN 功能的设备来加密和验证通信。 • 与服务器建立安全连接（例如，以供升级）时，请确保为服务器组态了强加密方法和 协议。 • 正确终止管理连接（例如，HTTP、HTTPS、SSH）。 • 在停用本设备之前，请确保其已完全断电。有关详细信息，请参见“停用 (页 15)”。 • 我们建议格式化未使用的 PLUG。 • 尽可能使用 VLAN 来防止拒绝服务 (DoS) 攻击和未经授权的访问。 • 通过设置防火墙规则或访问控制列表 (ACL) 中的规则限制对设备的访问。 • 所选服务默认在硬件中已启用。建议仅启用安装时**必要的服务。 有关可用服务的更多信息，请参见“可用服务列表 (页 22)”。 • 使用与产品兼容的*新 Web 浏览器版本，以确保使用*安全的加密方法。此外， Mozilla Firefox、Google Chrome 和 Microsoft Edge 的*新 Web 浏览器版本都启 用了 1/n-1 记录拆分，从而降低了 SSL/TLS 协议初始化向量实现信息披露漏洞（例 如，BEAST）等攻击的风险。有关 Siemens 产品安全建议的更新，请订阅 ProductCERT 安全建议网站上的 RSS feed 或在 Twitter 上关注 @ProductCert。 • 仅启用设备上使用的服务，包括物理端口。空闲物理端口可用于访问设备背后的网 络。 • 为获得**安全性，请尽可能使用 SNMPv3 验证和加密机制，并使用强度较高的密 码。 • 组态文件可从设备中下载。确保组态文件得到充分保护。为此，可对文件进行数字签 名和加密、将其存储在安全位置或仅通过安全通信通道传输组态文件。 组态文件可在下载过程中受密码保护。在 WBM 页面“System > Load & Save > Passwords (页 207)”上输入密码。 • 使用 SNMP（简单网络管理协议）时： – 组态 SNMP 以在发生验证错误时生成通知。 更多相关信息，请参见 WBM“System > SNMP > Notifications (页 233)”。 – 确保默认团体字符串更改为唯一值。 – 尽可能使用 SNMPv3。SNMPv1 和 SNMPv2c 被视为不安全，只应在**必要时 使用。 – 如有可能，首先要防止写访问。 • 使用安全功能（例如，通过 NAT（网络地址转换）或 NAPT（网络地址端口转换）进 行地址转换）来防止第三方访问接收端口。 • 使用具有 AES 的 WPA2/WPA2-PSK 保护 WLAN。更多相关信息，请参见基于 Web 的管理组态手册的“Security”菜单 (页 382)部分。 安全/非安全协议 • 在物理保护措施未阻止设备访问时使用安全协议。 • 禁用或限制使用非安全协议。虽然某些协议是安全的（例如 HTTPS、SSH、802.1X 等），但其它协议并非旨在保护应用程序（例如 SNMPv1/v2c、RSTP 等）。 因此，为防止对设备/网络的未授权访问，应针对非安全协议采取适当的保护措施。在 使用安全连接的设备（例如 SINEMA RC）上使用非安全协议。如果需要非安全协议和服务，请确保在受保护的网络区域内运行该设备。 • 检查是否有必要使用以下协议和服务： – 非授权和未加密的端口 – LLDP – Syslog – DHCP 选项 66/67 – TFTP – Telnet – HTTP – SNMP v1/2c – Syslog – SNTP • 以下协议具有安全备选方法： – SNMPv1/v2c → SNMPv3 检查是否有必要使用 SNMPv1/v2c。SNMPv1/v2c 的分类为非安全协议。使用阻 止写访问的选项。产品会为您提供适合的设置选项。 如果 SNMP 已启用，请更改团体名称。如果不需要不受限制的访问，请通过 SNMP 限制访问。 配合使用 SNMPv3 和密码。 – HTTP → HTTPS – Telnet → SSH – TFTP → SFTP – Syslog 客户端 → Syslog 客户端 TLS • 利用防火墙，将可用于外部的服务和协议限制到*少。 • 要使用 DCP 功能，请在调试后启用“Read Only”模式。以下是所有可用服务及其端口的列表，通过这些服务和端口可对设备进行访问。 该表包括以下列： • 服务 设备支持的服务 • 默认端口状态 此为交付状态（出厂设置）下的端口状态。 • 可组态端口/服务 指示是否可通过 WBM/CLI 组态端口号或服务。 • 验证 指定是否对通信伙伴进行验证。 如果可选，可根据需要组态验证。 • 加密 指定传输是否加密。 如果可选，可根据需要组态加密