Smart Building Manager
Лепшыя практыкі
Кіраўніцтва

РАЗУМНЫ КІРАЎНІК

MICROSENS GmbH & Co. KG
Kueferstr. 16
59067 Хамм/Германія
тэлефон + 49 2381 9452-0
ФАКС +49 2381 9452-100
Электронная пошта info@microsens.de
Web www.microsens.de

Глава 1. Уводзіны

У гэтым дакуменце абагульняюцца лепшыя практыкі, якіх можна прытрымлівацца пры выкарыстанні прыкладання MICROSENS SBM. Ён ахоплівае наступныя тэмы:

• Агульныя заданні (гл. раздзел 2)
• Ахова вашага асобніка SBM (гл. раздзел 3)
• Ахова вашых сеткавых прылад (гл. Главу 4)
• Кіраванне карыстальнікамі (гл. Главу 5)
• Тэхнічнае дрэва (гл. Раздзел 6)
• Кіраванне кропкай даных (гл. Главу 7)
• Настройка (гл. Главу 8)

Мы будзем рады пачуць вашы дадатковыя лепшыя практыкі працоўных працэсаў або рашэнняў пры выкарыстанні MICROSENS SBM.

Глава 2. Агульныя задачы

• Абнаўляйце сваё прыкладанне SBM і ўстанаўлівайце апошнюю версію, як толькі яна стане даступнай.

Вы знойдзеце апошнюю версію SBM у вобласць загрузкі MICROSENS web старонка.

Звярніце ўвагу, што новыя версіі могуць мець новыя функцыі, якія не ахопліваюць вашу бягучую інфраструктуру SBM. Каб атрымаць максімальную карысць ад апошняй версіі SBM, прачытайце гісторыю змяненняў, абноўленую дакументацыю або, калі сумняваецеся, звярніцеся да прадстаўніка MICROSENS.

• Не наладжвайце асобнік SBM непасрэдна ў прадукцыйным асяроддзі!
  Запусціце асобнік SBM у тэставым асяроддзі ў дадатак да вашага прадуктыўнага асобніка SBM.
  Такім чынам вы можаце праверыць змены канфігурацыі, не падвяргаючы прадуктыўны асобнік SBM рызыцы з-за няправільнай канфігурацыі.
• Рэгулярна стварайце рэзервовыя копіі базы дадзеных SBM з дапамогай планавальніка рэзервовага капіравання прыкладання.
  Каб атрымаць дадатковую інфармацыю аб выкарыстанні планавальніка рэзервовага капіравання, прачытайце Кіраўніцтва па эксплуатацыі SBM.
• Сачыце за сістэмай, у якой вы запускаеце асобнік SBM:
  ◦ Выкарыстанне дыскавай прасторы (свабодная дыскавая прастора)
  ◦ загрузка працэсара
  ◦ Сеткавы трафік (асабліва ў воблачным асяроддзі) для выяўлення DDoS-атак
  ◦ Падзеі ўваходу/выхаду карыстальніка для праверкі няўдалых спроб уваходу.

Для маніторынгу асобніка SBM з выкарыстаннем рашэнняў з адкрытым зыходным кодам глядзіце Кіраўніцтва па маніторынгу сістэмы SBM.

Раздзел 3. Ахова вашага асобніка SBM

Калі ласка, выканайце наступныя дзеянні для ацэнкі ўразлівасці.

• Падтрымлівайце сваю аперацыйную сістэму ў актуальным стане і ўжывайце апошні ўзровень патча!
  Ваш асобнік SBM будзе настолькі ж бяспечны, наколькі бяспечная ваша аперацыйная сістэма!
• Зменіце пароль для карыстальніка Super Admin!
  SBM пастаўляецца з некалькімі ўліковымі запісамі карыстальнікаў па змаўчанні з паролямі па змаўчанні. Прынамсі, зменіце пароль карыстальніка Super Admin, нават калі вы не плануеце выкарыстоўваць гэты рахунак.

Ніколі не пакідайце стандартны пароль як ёсць!
Каб змяніць пароль карыстальніка, выкарыстоўвайце праграму «Кіраванне карыстальнікамі» праз Web Кліент.

• Стварыце альтэрнатыўных карыстальнікаў адміністратара SBM з правамі суперадміністратара для штодзённай працы!

Рэкамендуецца наладзіць іншы ўліковы запіс суперадміністратара SBM. У выніку налады ўліковага запісу могуць быць зменены ў любы час без выпадковай неактыўнасці сапраўднага ўліковага запісу суперадміністратара.
Каб дадаць новы ўліковы запіс карыстальніка, выкарыстоўвайце праграму «Кіраванне карыстальнікамі» праз Web Кліент.

• Змяніць паролі па змаўчанні для ўсіх наканаваных уліковых запісаў карыстальнікаў
  Падчас першай устаноўкі SBM стварае ўліковыя запісы карыстальнікаў па змаўчанні (напрыклад, суперадміністратара, сістэмнага адміністратара…), якія таксама можна выкарыстоўваць для кіравання сеткавымі прыладамі праз SBM.
  Гэтыя ўліковыя запісы карыстальнікаў ствараюцца з паролямі па змаўчанні, якія трэба змяніць, каб прадухіліць доступ да праграмы «Кіраванне прыладай» праз Web Кліент.
• Змяніць пароль базы СБМ!
  SBM пастаўляецца з паролем па змаўчанні, які абараняе базу дадзеных SBM. Зменіце гэты пароль у серверным кампаненце SBM.
  Ніколі не пакідайце стандартны пароль як ёсць!

• Змяніце пароль для FTP-сервера!
  SBM пастаўляецца з карыстальнікам FTP па змаўчанні і паролем па змаўчанні. Прынамсі, зменіце пароль карыстальніка FTP.
  Ніколі не пакідайце стандартны пароль як ёсць!

• Абнавіце сертыфікат сервера SBM, каб пазбегнуць нападаў Man-in-the-Middle!
  Сервер SBM пастаўляецца з самазавераным сертыфікатам па змаўчанні для web сервер. Абнавіце яго сапраўдным сертыфікатам у фармаце Java KeyStore (JKS). Java KeyStore (JKS) - гэта сховішча сертыфікатаў бяспекі альбо сертыфікатаў аўтарызацыі, альбо сертыфікатаў адкрытых ключоў плюс адпаведныя прыватныя ключы, якія выкарыстоўваюцца, напрыклад, у шыфраванні SSL.
  Падрабязную дапамогу/апісанне таго, як стварыць сертыфікат JKS для SBM, можна знайсці ў акне мэнэджара сервера.

• Выкарыстоўвайце праграмнае забеспячэнне API-Gateway, каб пазбегнуць DDoS-атак. Гэта асабліва важна для воблачных асобнікаў!
• Абмежаваць падключэнне толькі да HTTPS!
  СБМ web доступ да сервера можна атрымаць праз HTTP або HTTPS. Для бяспечнай перадачы дадзеных уключыце HTTPS. Гэта адключыць HTTP-доступ да web сервер.
• Пераканайцеся, што паўсюль выкарыстоўваецца версія TLS 1.2 або вышэй!
• Упэўніцеся, што вы карыстаецеся брокерам MQTT, які дазваляе толькі злучэнні TLS!
  SBM пастаўляецца з функцыямі брокера MQTT. Калі вы плануеце выкарыстоўваць знешні брокер MQTT, пераканайцеся, што ён дазваляе бяспечныя злучэнні TLS!
• Выкарыстоўвайце чыстыя часопісы MQTT!
  Пераканайцеся, што ў журналах MQTT няма ўцечак інфармацыі, якія дазволілі б зламыснікам няправільна наладзіць SBM або прылады.
• Пераканайцеся, што ўсе дадзеныя IoT зашыфраваны!
• Пераканайцеся, што кожная памежная прылада рэалізуе хаця б базавую аўтэнтыфікацыю з дапамогай імя карыстальніка, пароля і ідэнтыфікатара кліента.
  ◦ Ідэнтыфікатарам кліента павінен быць яго MAC-адрас або серыйны нумар.
  ◦ Значна бяспечней выкарыстоўваць сертыфікаты X.509 для ідэнтыфікацыі памежных прылад.

Раздзел 4. Ахова вашых сеткавых прылад

Калі ласка, выканайце наступныя дзеянні для ацэнкі ўразлівасці.

• Зменіце паролі па змаўчанні ўсіх вашых камутатараў і краявых прылад!
  Ёсць яшчэ даступныя сеткавыя прылады, якія змяшчаюць шырока вядомыя ўліковыя запісы карыстальнікаў і паролі па змаўчанні. Прынамсі, змяніць паролі існуючых уліковых запісаў карыстальнікаў. Ніколі не пакідайце паролі па змаўчанні як ёсць!
• Выконвайце інструкцыі ў Кіраўніцтве па бяспецы MICROSENS, каб зрабіць ваш камутатар MICROSENS і SmartDirector максімальна бяспечнымі!
  Вы знойдзеце апошнюю версію Кіраўніцтва па бяспецы ў вобласць загрузкі MICROSENS web старонка.
• Выкарыстоўвайце сістэму кіравання ідэнтыфікацыяй для стварэння сертыфікатаў для вашых камутатараў!
  Бяспечнае і стабільнае кіраванне ідэнтыфікацыяй - гэта складаная нагрузка з высокай верагоднасцю памылак і неасцярожнасці. Сістэма кіравання ідэнтыфікацыяй будзе падтрымліваць гэтую задачу.
• Не забудзьцеся абнавіць даверанае сховішча асобніка SBM, каб сертыфікаты камутатараў прымаліся!
  Якая карысць ад абароненых сеткавых прылад, калі SBM іх не распазнае?
• Разгледзьце магчымасць выкарыстання VLAN, каб зрабіць вашу сетку больш бяспечнай з дапамогай падыходу мікрасегментацыі!
  Мікрасегментацыя мінімізуе ўздзеянне нападаў на інфраструктуру, утрымліваючы наступствы толькі для закранутых сегментаў.

Глава 5. Кіраванне карыстальнікамі

Каб кантраляваць доступ карыстальнікаў да вашага асобніка SBM, выканайце наступныя дзеянні.

• З меркаванняў бяспекі трэба стварыць толькі мінімальную колькасць карыстальнікаў, якая сапраўды патрабуецца!
  Кіраванне карыстальнікамі будзе станавіцца ўсё больш складаным і схільным да памылак з кожным новым уліковым запісам карыстальніка.
• Адрэгулюйце ўзровень аўтарызацыі для кожнага карыстальніка!
  Карыстальнік павінен мець мінімальны ўзровень аўтарызацыі і доступу, каб мець магчымасць выконваць свае бягучыя абавязкі.
• Стварыце розных карыстальнікаў для розных роляў!
  Прызначэнне роляў карыстальнікам дапаможа ў зручным кіраванні карыстальнікамі.
• Пераканайцеся, што карыстальнік павінен змяніць пароль пасля першага ўваходу!
  Яны не будуць рабіць гэта самастойна, але іх трэба прымусіць зрабіць гэта пры першым уваходзе.
• Паклапаціцеся аб наладах карыстальніка, напрыклад:
  ◦ Блакаванне акаўнта
  ◦ Тайм-аўты сеанса

Глава 6. Дрэва тэхнік

Тэхнічнае дрэва SBM дае магчымасць кіраваць тэхнічнымі службамі (напрыклад, прыладамі, датчыкамі, актыватарамі), якія не былі прызначаныя для пэўнага элемента інфраструктуры будынка (напрыклад, памяшканняў або паверхаў).

• Удакладніце, якія службы з вашай інфраструктуры павінны быць прыпісаны да дрэва тэхнікі.
  Немагчыма выкарыстоўваць адзін і той жа запіс як для прылады, так і для дрэва тэхнікі!
• Вызначце вузлы і іерархічныя структуры ў адпаведнасці з патрэбамі канчатковых карыстальнікаў.
• З меркаванняў зручнасці захоўвайце іерархію дрэва як мага плоскую (рэкамендацыя: максімальная глыбіня 2-3 ўзроўні).

Глава 7. Кіраванне кропкай даных

7.1. Тэматычная схема MQTT

• Перш чым ствараць аркуш кропак даных MQTT, спачатку вызначце схему тэмы MQTT.
  ◦ Выкарыстоўвайце дрэвавую дыяграму або дэндраграму для візуалізацыі іерархічнай структуры MQTT.
  ◦ Гэтая дыяграма дапаможа ў выкарыстанні падстаноўных знакаў (напрыклад, + для аднаго ўзроўню, # для некалькіх узроўняў) для згрупаваных падпісак на тэмы MQTT.

7.2. Аркуш кропак дадзеных MQTT

• Не забудзьцеся паўторнаview наступныя элементы пасля імпарту аркуша кропак дадзеных MQTT:
  ◦ Спіс канфігурацыі пунктаў даных
  ◦ Прызначэнне кропак дадзеных
• Выкарыстоўвайце праграмнае забеспячэнне для мадэлявання IoT.
  Гэта дапаможа апублікаваць даныя MQTT у SBM, каб вы маглі праверыць, ці адпавядаюць апублікаваныя пункты даных вашым чаканням з дапамогай дыяграм і прыборных панэляў SBM.
• Вызначце правілы сігналізацыі для найбольш крытычных значэнняў кропак дадзеных
  Гэта прымусіць SBM адправіць апавяшчэнне аб трывозе ў выпадку, калі значэнне кропкі даных перавышае пэўны дыяпазон значэнняў.

Глава 8. Налада

• Пачніце з дызайну кропкі дадзеных наступным чынам:
  ◦ Вызначце ідэнтыфікатары/імёны кропак дадзеных
  ◦ Вызначце назвы тэм MQTT на аснове вызначанай вамі схемы тэм
  ◦ Прызначце правільны DataPointClass
• Пераканайцеся, што рэжым доступу, прызначаны кожнай кропцы дадзеных, правільны.
  ◦ ТОЛЬКІ ДЛЯ ЧЫТАННЯ азначае, што кропка даных можа выкарыстоўвацца толькі для візуалізацыі
  ◦ READWRITE азначае, што значэнне пункта даных можа быць запісана для рэалізацыі функцый кіравання
• Пераканайцеся, што кожнай кропцы даных прысвоена правільная кантэкстная інфармацыя.
• Выкарыстоўвайце SVG, які максімальна просты для візуалізацыі пунктаў даных, каб пазбегнуць візуальнага шуму.
  Гэта дапаможа хутка пераадолецьview усіх станаў кропкі даных.
• Выкарыстоўвайце тыпы пакояў і прызначайце іх для пакояў, каб пазбегнуць нагрузкі на вызначэнне карт статусу пакоя для кожнага пакоя асобна.

Наш Агульныя ўмовы продажу (GTCS) распаўсюджваецца на ўсе заказы (гл https://www.microsens.com/fileadmin/files/downloads/Impressum/MICROSEN­S_AVB_EN.pdf).

Адмова ад адказнасці
Уся інфармацыя ў гэтым дакуменце прадастаўляецца "як ёсць" і можа быць зменена без папярэдняга паведамлення.
MICROSENS GmbH & Co. KG адмаўляецца ад любой адказнасці за правільнасць, паўнату або якасць прадстаўленай інфармацыі, прыдатнасць для пэўнай мэты або вынікаючую шкоду.
Любыя назвы прадуктаў, згаданыя тут, могуць быць гандлёвымі маркамі і/або зарэгістраванымі гандлёвымі маркамі іх адпаведных уладальнікаў.
©2023 MICROSENS GmbH & Co. KG, Kueferstr. 16, 59067 Хамм, Германія.
Усе правы ахоўваюцца. Гэты дакумент цалкам або часткова не можа быць дубляваны, прайграны, захаваны або паўторна перададзены без папярэдняга пісьмовага дазволу MICROSENS GmbH & Co. KG.
Ідэнтыфікатар дакумента: DEV-EN-SBM-Best-Practice_v0.3

© 2023 MICROSENS GmbH & Co. KG, Усе правы абаронены

Дакументы / Рэсурсы

	Праграмнае забеспячэнне MICROSENS Smart Building Manager [pdfКіраўніцтва карыстальніка Праграмнае забеспячэнне Smart Building Manager, праграмнае забеспячэнне Building Manager, праграмнае забеспячэнне кіраўніка, праграмнае забеспячэнне
	MICROSENS Smart Building Manager [pdfІнструкцыі Smart Building Manager, Smart Building Manager, Building Manager, Manager

Спасылкі

• Кіраўніцтва карыстальніка