Mga sulod itago
1 Honeywell Optimizer Advanced Controller
2 SISTEMA SA TAPOSVIEW
3 PAGPLANO SA NETWORK UG SEGURIDAD
4 ADVANCED CONTROLLER, HMI, UG IO MODULE SECURITY SYSTEM
5 PAGSEGURO SA NIAGARA OPERATING SYSTEM
6 GENERAL DATA PROTECTION REGULATION (GDPR)
7 LUWAS NGA KOMUNIKASYON
8 PAGPLANO UG PAG-INSTALL
9 DOKUMENTASYON
10 PAGSEGURO SA ADVANCED CONTROLLER, HMI, UG IO MODULE
11 MGA GAMIT UG PASSWORDS
12 PAG-CONFIGUR SA BAS FIREWALL
13 PAG-SET UP AUTENTICATION
14 FAQ
15 Mga Dokumento / Mga Kapanguhaan
15.1 Mga pakisayran
16 May Kalabutan nga mga Post

Honeywell-LOGO

Honeywell Optimizer Advanced Controller

Honeywell-Optimizer-Advanced-Controller-PRODUCT

Mga detalye

  • Produkto: Advanced nga Controller
  • Numero sa Modelo: 31-00594-03
  • Operating System: Niagara Operating System
  • Mga Feature sa Seguridad: Account Verification Code, System Accounts, Password Recovery, Secure Communication, Certificates
  • Pagkaangay sa Network: BACnetTM, LAN

Disclaimer
Samtang nakigbahin kami sa mga paningkamot aron masiguro ang katukma niini nga dokumento, ang Honeywell dili responsable sa mga kadaot sa bisan unsang klase, lakip ang walay mga limitasyon nga sangputanan nga mga kadaot nga naggikan sa aplikasyon o paggamit sa kasayuran nga naa dinhi. Ang impormasyon ug mga detalye nga gipatik dinhi kay bag-o pa sa petsa niini nga publikasyon ug mahimong mausab nga walay pahibalo. Ang pinakabag-o nga mga detalye sa produkto makita sa among website o pinaagi sa pagkontak sa among corporate office sa Atlanta, Georgia.
Alang sa daghang komunikasyon nga nakabase sa RS-485 sa industriya, ang default nga kahimtang gi-disable sa panahon sa pagpadala sa gawas sa pabrika aron masiguro ang labing kaayo nga seguridad, tungod kay ang mga legacy nga komunikasyon nga mga bus naggamit sa teknolohiya nga panulundon alang sa labing kaayo nga pagkaangay ug kini gidisenyo nga adunay huyang nga proteksyon sa seguridad. Mao nga, aron mapadako ang proteksyon sa imong sistema, ang Honeywell aktibo nga nagpugong sa mga panulundon nga industriyal nga mga pantalan sa komunikasyon sa bus (sa panahon sa pagpadala sa pabrika), ug ang tiggamit kinahanglan nga klaro nga magamit ang mga network sa Station sa matag network. Kung gusto nimo nga mahimo kini nga mga pantalan, kinahanglan nimo nga mahibal-an ang peligro sa bisan unsang mga paglapas sa seguridad nga dala sa paggamit sa teknolohiya nga panulundon. Naglakip kini apan dili limitado sa: Panel-bus, C-Bus, BACnetTM, M-Bus, CP-IO Bus, NovarNet, XCM-LCD protocol, SBC S-Bus ug Modbus, ug uban pa.
Pagpalambo sa ISA-62443

Ang Honeywell nagsalig sa ISA 62443-4-1 nga sumbanan sa daghang mga tuig ug magamit nga kauban nga mga sumbanan aron luwas nga mapalambo ang among mga produkto sa teknolohiya sa pagtukod. Kay example, ang mga produkto sa pagtukod sa Honeywell naggamit usab sa ISA / IEC 62443-4-2 ingon nga baseline alang sa mga kinahanglanon sa teknikal nga seguridad sulod sa mga sangkap, ug gigamit namon ang ISA / IEC 62443-3-3 alang sa kompleto nga mga sistema. Mao nga alang sa mga integrator ug kustomer nga nagpili sa mga teknolohiya sa pagtukod, ang pagsunod ni Honeywell sa pamilya sa mga sumbanan sa ISA / IEC 62443 makahatag usa ka taas nga lebel sa pagsalig nga ang among mga produkto dili lang mag-angkon nga mabag-o sa cyber - kini gidisenyo, gisulayan, ug gipamatud-an alang sa kalig-on sa cyber gikan sa sinugdanan.
Gipalambo sa Honeywell ang among mga produkto sa ISA/IEC 62443-4-1 ug gi-assess kami sa usa ka ikatulo nga partido ug gi-audit batok niini nga sumbanan.
Pasiuna ug Gituyo nga Mamiminaw

Ang Honeywell sa ingon tin-aw nga nag-ingon nga ang mga tigkontrol niini dili natural nga gipanalipdan batok sa mga pag-atake sa cyber gikan sa Internet ug nga sila gituyo alang lamang sa paggamit sa mga pribadong network. Bisan pa, bisan ang mga pribadong network mahimo gihapon nga mapailalom sa malisyosong pag-atake sa cyber sa mga batid ug kagamitan sa IT nga mga indibidwal ug sa ingon nanginahanglan proteksyon. Busa ang mga kustomer kinahanglan nga mosagop sa pag-instalar ug seguridad nga labing maayong gawi nga mga giya alang sa Advanced Plant Controller nga mga produkto nga nakabase sa IP aron makunhuran ang peligro nga gipahinabo sa ingon nga mga pag-atake.
Ang mosunod nga mga giya naghulagway sa Kinatibuk-ang Security Best Practices alang sa Advanced Plant ControllerIP-based nga mga produkto. Gilista sila sa han-ay sa pagdugang sa pagpagaan.

Ang eksakto nga mga kinahanglanon sa matag site kinahanglan nga susihon sa usa ka kaso matag kaso. Ang kadaghanan sa mga instalasyon nga nagpatuman sa tanan nga lebel sa pagpagaan nga gihulagway dinhi labaw pa sa gikinahanglan alang sa makatagbaw nga seguridad sa sistema. Ilakip ang mga aytem 1-5 (nga may kalabutan sa Local Area Networks), Tan-awa ang “Local Area Networks (LAN) Recommendation” sa pahina 20. sa kasagaran makatagbo sa mga kinahanglanon alang sa kadaghanan sa automation control network installations.
Kini nga manwal adunay impormasyon aron sa paggiya sa mga personahe sa usa ka dealer sa Honeywell kon unsaon pag-instalar ug pag-configure nga luwas ang usa ka Advanced Plant Controller, HMI ug IO modules. Ang impormasyon nga may kalabotan sa seguridad sa operasyon, USB backup ug restore, ug CleanDist file Ang pag-instalar sa controller makita sa Installation Instruction and Commissioning Guide (31-00584).

NOTA
Palihug paggahin ug panahon sa pagbasa ug pagsabot sa tanang may kalabutan nga mga manwal sa pag-instalar, pag-configure, ug operasyon ug siguroha nga kanunay nimong makuha ang pinakabag-o nga mga bersyon

Talaan 1 Impormasyon sa Produkto

produkto Numero sa Produkto Deskripsyon
 

 

 

 

 

 

Kontroler sa Tanum

 N-ADV-134-H Niagara advanced controller nga adunay Upat ka Ethernet port, Port para sa HMI, ug 4 RS485 port
 

N-ADV-133-H-BWA

 Niagara advanced controller nga adunay Upat ka Ethernet port, Port para sa HMI, 3 RS485 port, Wi-Fi (rehiyon sa America), ug suporta sa BluetoothTM
 

N-ADV-133-H-BWE

 Niagara advanced controller nga adunay Upat ka Ethernet port, Port para sa HMI, 3 RS485 port, Wi-Fi (rehiyon sa Europe), ug suporta sa BluetoothTM
 

N-ADV-133-H-BWW

 Niagara advanced controller nga adunay Upat ka Ethernet port, Port para sa HMI, 3 RS485 port, Wi-Fi (Pahulay sa rehiyon sa kalibutan), ug suporta sa BluetoothTM
N-ADV-133-H Niagara advanced controller nga adunay Upat ka Ethernet port, Port para sa HMI, ug 3 RS485 port
N-ADV-112-H Niagara advanced controller nga adunay Duha ka Ethernet port, Port para sa HMI, ug 2 RS485 port
 

HMI

 HMI-DN HMI (DIN rail mount)
HMI-WL HMI (Pag-mount sa Pultahan/Pader)
 

 

 

 

 

 

 

 

 

 

IO Module

 IO-16UIO-SS 16UIO IO Module nga walay HOA, Serial Comms, Screw Terminals
IOD-16UIO-SS 16UIO IO Module nga adunay HOA Display, Serial Comms, Screw Terminals
IO-16UI-SS 16UI IO Module, Serial Comms, Screw Terminals
IO-16DI-SS 16DI IO Module, Serial Comms, Screw Terminals
IO-8DOR-SS 8DO IO Module nga walay HOA, C/O Relays, Serial Comms, Screw Terminals
IOD-8DOR-SS 8DO IO Module nga adunay HOA Display, C/O Relays, Serial Comms, Screw Terminals
IO-16UIO-SP 16UIO IO Module nga adunay HOA Display, Serial Comms, Push Terminals
IO-16UI-SP 16UIO IO Module, Serial Comms, Push Terminals
IO-16DI-SP 16DI IO Module, Serial Comms, Push Terminals
IO-8DOR-SP 8DO IO Module nga walay HOA, C/O Relays, Serial Comms, Push Terminals
IOD-8DOR-SP 8DO IO Module nga adunay HOA Display, C/O Relays, Serial Comms, Push Terminals
IO-8UIO-SS 8UIO IO Module nga walay HOA, Serial Comms, Screw Terminals
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

IO Module

 IOD-8UIO-SS 8UIO IO Module nga adunay HOA Display, Serial Comms, Screw Terminals
IO-8AO-SS 8AO IO Module nga walay HOA, Serial Comms, Screw Terminals
IOD-8AO-SS 8AO IO Module nga adunay HOA Display, Serial Comms, Screw Terminals
IO-4UIO-SS 4UIO IO Module nga walay HOA, Serial Comms, Screw Terminals
IOD-4UIO-SS 4UIO IO Module nga adunay HOA Display, Serial Comms, Screw Terminals
IO-8DI-SS 8DI IO Module, Serial Comms, Screw Terminals
IO-4DOR-SS 4DO IO Module nga walay HOA, C/O Relays, Serial Comms, Screw Terminals
IOD-4DOR-SS 4DO IO Module nga adunay HOA Display, C/O Relays, Serial Comms, Screw Terminals
IO-4DORE-SS 4DO IO Module nga walay HOA, Enhanced C/O Relays, Serial Comms, Screw Terminals
IOD-4DORE-SS 4DO IO Module nga adunay HOA Display, Enhanced C/O Relays, Serial Comms, Screw Terminals
IO-8UIO-SP 8UIO IO Module nga walay HOA, Serial Comms, Push Terminals
IOD-8UIO-SP 8UIO IO Module nga adunay HOA Display, Serial Comms, Push Terminals
IO-8AO-SP 8AO IO Module nga walay HOA, Serial Comms, Push Terminals
IOD-8AO-SP 8AO IO Module nga adunay HOA Display, Serial Comms, Push Terminals
IO-4UIO-SP 4UIO IO Module nga walay HOA, Serial Comms, Push Terminals
IOD-4UIO-SP 4UIO IO Module nga adunay HOA Display, Serial Comms, Push Terminals
IO-8DI-SP 8DI IO Module, Serial Comms, Push Terminals
IO-4DOR-SP 4DO IO Module nga walay HOA, C/O Relays, Serial Comms, Push Terminals
IOD-4DOR-SP 4DO IO Module nga adunay HOA Display, C/O Relays, Serial Comms, Push Terminals
IO-4DORE-SP 4DO IO Module nga walay HOA, Enhanced C/O Relays, Serial Comms, Push Terminals
IOD-4DORE-SP 4DO IO Module nga adunay HOA Display, Enhanced C/O Relays, Serial Comms, Push Terminals

NGANONG SECURE ANG IMONG ADVANCED CONTROLLERS?

  • Panalipdi ang mga sistema sa tanum sa imong kustomer gikan sa dili awtorisado nga mga pagbag-o sa pag-operate sa mga set-point, override ug mga iskedyul sa oras.
  • Pugngi ang access sa mga detalye sa user account: eg mga username, password, email address, SMS (mobile) nga mga numero ug uban pa.
  • Pugngi ang pag-access sa data nga sensitibo sa komersyo: Example- Mga sukatan sa pagkonsumo sa enerhiya, mga solusyon sa estratehiya sa pagkontrol sa espesyalista ug uban pa.
  • Paglikay sa dili awtorisado nga pag-access sa controller, kompyuter ug network nga nag-host sa BMS software ug control device.
  • Hupti ang integridad sa datos ug paghatag ug tulubagon.

SISTEMA SA TAPOSVIEW

Honeywell-Optimizer-Advanced-Controller- (1)

Ang labawview sa tipikal nga pag-instalar sa sistema..

  1. Internet/intranet/corporate network
    Kini usa ka gipasimple, lohikal nga representasyon sa network sa tanan nga mga network sa gawas sa sakup sa sistema sa automation sa pagtukod (BAS). Mahimong maghatag kini og access sa mga interface sa pagdumala sa BAS (eg sa Niagara primary workstation web user interface) apan kinahanglang maghatag ug access sa Internet aron ang mga kompiyuter sa Niagara makasusi ug maka-download sa operating system ug mga update sa virus scanner gawas kon adunay laing paagi sa pagbuhat niini.
  2. BAS network
    Kini nga network gigamit lamang alang sa mga protocol sa BAS, nga naglangkob sa BACnetTM/IP, BACnetTM/Ethernet, ug bisan unsang mga protocol nga mahimong gamiton sa Niagara Integration Services sa usa ka Advanced Plant Controller. Kini nga network kinahanglan dili parehas nga network sa Internet/intranet/corporate network.
  3. BAS firewall
    Aron mahatagan og dugang nga pagbulag ug proteksyon sa BAS, kinahanglang gamiton ang firewall tali sa Internet/intranet/corporate network ug sa bisan unsang BAS device nga nagkonektar niini, sama sa Niagara primary workstation, Niagara workstation, ug Advanced Plant Controller. Kini nga firewall naglimite sa pag-access sa BAS ngadto lamang sa mga kompyuter nga awtorisado ug mahimong makatabang sa pagpakunhod sa risgo sa mga pag-atake, sama sa denial-of-service attack.
  4. Workstation sa Niagara
    Ang panguna nga workstation sa Niagara usa ka kompyuter nga nagpadagan sa software sa Niagara. Nagkinahanglan kini og duha ka koneksyon sa network - usa alang sa pagkonektar sa pagdumala web user interface pinaagi sa a web browser (kasagaran sa
    Internet/intranet/corporate network) ug lain para sa pagkonektar sa BAS network.
  5. Ethernet Pagbalhin
    Ang Ethernet switch nagmugna og mga network ug naggamit og daghang mga port aron makigkomunikar tali sa mga device sa LAN. Ang mga switch sa Ethernet lahi sa mga router, nga nagkonektar sa mga network ug naggamit lamang sa usa ka LAN ug WAN port. Ang bug-os nga wired ug corporate wireless nga imprastraktura naghatag og wired connectivity ug Wi-Fi alang sa wireless connectivity.
  6. Advanced nga Plant Controller
    Ang Advanced Plant Controller kay usa ka global controller nga nagkonektar sa Ethernet network, BACnetTM IP ug host MS/TP network segments. Ang MS/TP usa ka ubos nga koneksyon sa bandwidth nga gigamit sa pagkonektar sa mga controller ug sensor.
  7. HMI
    Ang HMI konektado ug nakadawat og gahum gikan sa Advanced Niagara plant controllers. Kini nga mga aparato gitukod gamit ang usa ka capacitive touch-screen display nga nagsuporta sa usa ka pagpili pinaagi sa hubo nga tudlo ug naghatag sa operator og mga function sa view, pag-access, ug pag-troubleshoot sa mga controller point, IO modules, ug uban pang konektado nga kagamitan.
  8. IO Module
    Ang IO modules mahimong magkonektar sa controller gamit ang touch flake connections (power and communications) o ang IO modules mahimong magkonektar sa wiring adapter nga ihatag sa power ug konektado sa usa sa RS485 interface sa controller. Ang mga modulo sa IO maprograma gamit ang kasamtangan nga himan sa engineering sama sa ComfortPointTM Open Studio tool ug Niagara 4 Workbench.

PAGPLANO SA NETWORK UG SEGURIDAD

  1. Network sa Ethernet
    Girekomenda nga ang Ethernet network nga gigamit sa sistema sa BMS gibulag gikan sa normal nga network sa opisina.
    Example:
    Paggamit og air gap, o virtual private network. Ang pisikal nga pag-access sa imprastraktura sa Ethernet network kinahanglan nga higpitan. Kinahanglan nimo usab nga sigurohon nga ang pag-install nagsunod sa palisiya sa IT sa imong kompanya.
    Ang mga Advanced Controller kinahanglan dili direktang konektado sa Internet.
  2. Web Server
    Ang Advanced Controller naghatag sa HTTP ug HTTPS web mga server. Kung a web server dili gikinahanglan, kini girekomendar nga ang duha web gi-disable ang mga server.
  3. BACnetTM IP Network
    Tungod sa dili kasegurohan nga kinaiya sa BACnetTM protocol ang Advanced Controller, HMI, ug IO modules nga naggamit sa BACnetTM kinahanglang dili konektado sa Internet ubos sa bisan unsang kahimtang. Ang Sistema sa seguridad sa Advanced Controller dili manalipod batok sa pagsulat sa BACnetTM. Ang pisikal nga pag-access sa imprastraktura sa BACnetTM IP network kinahanglan nga higpitan. Kung ang mga komunikasyon sa BACnetTM IP dili kinahanglan, ang Advanced Controllers (BACnetTM TM IP) Network Module kinahanglan nga ma-disable pinaagi sa pagbutang sa parameter nga 'Disable Module' sa '1'.
    Kung gikinahanglan ang komunikasyon sa BACnetTMTM kusganong girekomendar nga ang BACnetTMTM Backup/Restore, Reinitialize Device ug BACnetTMTM Writable nga mga serbisyo dili ma-enable. Apan, kini magpasabot nga ang estratehiya nga gihimo dili BTL compliant – Tan-awa ang “Local Security” sa pahina 13.
  4. MS/TP (mga lisensya sa NC)
    Kinahanglang higpitan ang pisikal nga pag-access sa MS/TP network infrastructure. Kung ang MS/TP network wala kinahanglana, ang Advanced Controller (BACnetTM MSTP) Network Module kinahanglan nga ma-disable pinaagi sa pagbutang sa parameter nga 'Disable Module' sa '1'. IO Bus (mga lisensya sa CAN)
    Kinahanglang higpitan ang pisikal nga pag-access sa IO Bus.
  5. USB
    Kinahanglang higpitan ang pisikal nga pag-access sa Advanced Controller USB Local Engineering Port.
  6. RS485 (lakip ang mga lisensya sa Modbus)
    Kinahanglang higpitan ang pisikal nga pag-access sa RS485 port sa Controller. Kung wala kinahanglana ang bisan unsang Network Module nga konektado sa pantalan kinahanglan dili iapil sa estratehiya.
  7. Modbus IP Network (mga lisensya sa INT)
    Tungod sa dili kasegurohan nga kinaiya sa Modbus protocol Advanced Controller's nga nagsuporta sa Modbus IP kinahanglan dili konektado sa Internet sa bisan unsang kahimtang. Ang pisikal nga pag-access sa imprastraktura sa Modbus IP network kinahanglan nga higpitan. Kung dili kinahanglan ang mga komunikasyon sa Modbus IP, ang Module sa Network sa Advanced Controller (Modbus IP) kinahanglan dili iapil sa estratehiya.

ADVANCED CONTROLLER, HMI, UG IO MODULE SECURITY SYSTEM

Ang seguridad sa Advanced controllers nagsunod sa ISA 62433-3-3 SL 3 ug naghatag ug luwas nga boot, usa ka authenticated ug encrypted network, sa rest encryption, ug synchronized account management.
Aron maka-access sa mga produkto sa Advanced Controller o makahimo sa bisan unsa sa mga buluhaton sa ibabaw kinahanglan nga ihatag ang usa ka balido nga username ug password alang sa usa ka Engineering System Account o Device System Account.

  1. Seguridad kung wala ma-configure
    Aron makig-uban sa usa ka Advanced controller, HMI ug IO Modules, balido nga mga kredensyal kinahanglan ihatag. Ang controller gihatag gikan sa pabrika nga walay bisan unsa nga kredensyal (System Accounts o User modules) nga nagsiguro nga sa diha nga una nga gipaandar kini gipanalipdan batok sa dili awtorisado nga pag-access. Sa unang higayon nga ang usa ka pagsulay gihimo sa pagkonektar sa usa ka vCNC sa usa sa mga Advanced nga produkto sa Niagara network usa ka Engineering System Account nga adunay Administrator Role kinahanglan nga himoon.
  2. Proteksyon gikan sa Dili awtorisado nga mga Device
    Usa ka talagsaon nga yawe (Network Key) ang gigamit aron masiguro nga ang awtorisado nga mga aparato lamang ang makaapil sa network sa Niagara. Ang tanan nga mga controllers nga mahimong usa ka Niagara network kinahanglan adunay parehas nga Network Key ug UDP port. Gi-configure kini gamit ang IP Tool sa panahon sa inisyal nga proseso sa pag-configure.
    Example:
    Kung ang upat ka Advanced Plant Controller adunay parehas nga Network Key (112233), ug ang ikalima adunay lahi nga Network Key
    (222). Kung konektado sila sa parehas nga network sa Ethernet ang upat nga mga controller nga adunay parehas nga Network Key maghiusa aron maporma ang usa ka network, apan ang ikalima nga Controller dili makaapil sa network tungod kay kini adunay lahi nga Network Key ie (222).
    Sa susama, kung ang ikalima nga controller bag-o (ingon nga gipadala gikan sa pabrika) ug idugang sa Ethernet network dili kini makakonektar sa Niagara network tungod kay wala kini Network Key.
    1. Kodigo sa Pagpamatuod sa Account
      Kung ang Admin System Account idugang sa usa sa mga controller sa network usa ka Account Verification Code ang awtomatik nga gihimo sa controller diin ang System Account gidugang. Kini nga code gi-synchronize sa tanan nga uban pang mga controller nga adunay parehas nga Network Key ug UDP port sa Ethernet network.
      Sa higayon nga ang usa ka Account Verification Code nahimo na ang TANANG controller sa network KINAHANGLANG adunay parehas nga Account Verification Code ingon man ang parehas nga Network Key ug UDP port.
      Example:
      Kung adunay lima ka mga controller, ang tanan nga Advanced controllers adunay parehas nga Network Key. Ang upat adunay parehas nga Account Verification Code (AVC) ug busa nagporma usa ka network. Ang ikalima adunay lahi nga Account Verification Code ug bisan kung kini adunay parehas nga Network Key dili kini makaapil sa uban nga mga controller.
  3. Mga Account sa Sistema
    Ang mga account sa sistema makapahimo sa mga tawo ug mga himan nga makig-uban sa Advanced Controller. Ang gihatag nga access nagdepende sa klase sa account ug papel.
    Adunay duha ka matang sa System Accounts:
    1. Account sa Sistema sa Engineering
    2. Account sa Sistema sa Device
    3. Account sa Sistema sa Engineering
      Ang mga Account sa Sistema sa Engineering gituyo aron magamit sa mga inhenyero. Ang matag engineering System Account adunay usa ka account name ug password nga kinahanglan ihatag kung gihangyo sa controller. Kung ang usa ka balido nga username ug password gihatag ang controller maghatag access.

Ang usa ka bulag nga Account sa Sistema sa engineering kinahanglan himuon para sa matag tawo. Ang Mga Account sa Sistema sa Engineering mahimong itakda sa usa sa duha nga mga tahas:

  • Papel sa Engineering
  • Papel sa Administrator

Papel sa Engineering
Ang papel sa Engineering naghatag sa gikinahanglan nga pag-access alang sa engineering sa Advanced nga sistema, paghimo/pagdumala sa Device System Accounts ug sa pagdumala sa kaugalingong mga detalye sa account sa user (email address, password ug uban pa).
Papel sa Administrator
Ang tahas sa Administrator naghatag sa parehas nga pag-access sa papel sa Engineering ug ang abilidad sa pagdumala sa tanan nga Engineering ug Device System Accounts.

Account sa Sistema sa Device
Ang Device System Accounts gituyo aron tugotan ang mga device sama sa Niagara nga makonektar sa network aron makuha ang gikinahanglan nga impormasyon ug makahimo og mga kausaban. Girekomendar nga usa ka bulag nga Device System Account ang gihimo alang sa matag aparato nga maka-access sa network. Naa silay papel nga 'Supervisor'.

IMPORTANTE
Importante: Ang kaugalingong sistema sa seguridad sa superbisor kinahanglang ma-configure aron higpitan ang mga katungod sa pag-access sa matag superbisor nga tiggamit.

Paghimo sa System Account
Ang usa ka Account sa Sistema sa Engineering nga adunay Papel sa Administrator kinahanglan himuon sa una nga higayon nga gihimo ang pagsulay sa pagkonektar sa usa ka vCNC sa network sa Niagara. Kini nga asoy dayon i-synchronize sa ubang mga controller sa Niagara network

  • I-refer ngadto sa “Synchronized Account Management” sa pahina 12. Ang dugang nga mga account mahimong himoon kon gikinahanglan gamit ang Niagara workbench.

NOTA
Sa unang higayon nga ang usa ka Engineering System Account gihimo sa usa ka controller ang usa ka Account Verification Code awtomatik nga namugna ug gi-synchronize sa ubang mga controller sa Ethernet network nga adunay parehas nga Net-work Key ug UDP port. Kung ang usa ka controller adunay usa ka Account Verification Code mahimo ra kini nga moapil sa usa ka network nga adunay mga controller nga adunay parehas nga Account Verification Code - Tan-awa ang "Account Verification Code" sa panid 11.

Gi-synchronize nga Pagdumala sa Account
Ang gi-synchronize nga pagdumala sa account dali ug luwas nga nag-synchronize sa System Accounts, lakip ang Account Verification Code, sa tanan nga Advanced Controller sa parehas nga network sa Niagara. Kini makahimo:

  • Usa ka log on alang sa network
  • Gipakunhod ang overhead sa pag-configure ug pagmentinar sa access sa tibuok site nga walay pagkunhod sa seguridad Ang tanan nga Advanced Controller sa samang network adunay parehas nga System Accounts.

Kung ang usa ka Advanced Controller nga walay bisan unsang System Accounts konektado sa Ethernet network ug gi-configure sa Network Key ug UDP port para sa Niagara network kini moapil sa network ug awtomatik nga makuha ang iyang System Accounts gikan sa ubang mga controller sa Niagara network.

Example:
kon ang usa ka Advanced Controller nga walay bisan unsa nga System Accounts idugang sa sistema sa ibabaw ug gihatag ang Network Key para sa Niagara network (112233) ug UDP port moapil kini sa network ug makakuha sa iyang System Accounts (User 1, User 2, User 3) gikan sa ubang Advanced Controllers sa Niagara network.
Kung nahuman na ang pag-synchronize mahimo nang makonektar sa bisan unsang mga vCNC, ipakita web mga panid ug pag-log in sa bisan unsang Advanced controller sa Niagara network gamit ang bisan unsang System Accounts.
Kung ang mga pagbag-o gihimo sa System Accounts ie usa ka account ang gidugang, gitangtang o gi-edit kini nga mga pagbag-o awtomatiko nga ma-synchronize sa tanan nga Advanced Controller sa network sa Niagara.

Example:
kung adunay lima ka Advanced Controllers, Ang System Accounts sa Controller (1) gi-edit aron makuha ang User 2, ilisan ang User 3 ngadto sa User 3a ug ang User 4 idugang ang mga pagbag-o i-synchronize sa Controller (2), Controller (3), Controller (4) ug Controller (5).

NOTA:
Kung sa panahon sa pag-synchronize ang usa ka panagbangi nadiskobrehan ang pinakabag-o nga pagbag-o kinahanglan nga prayoridad.

Pag-ilis sa Advanced Controller Network Key
Kung ang usa ka Advanced Controller Network Key mausab, ang tanan nga System Accounts niini mapapas ug kini tangtangon gikan sa kasamtangan nga network sa Niagara. Ang pagbag-o sa Network Key kinahanglan nga awtorisado sa usa ka balido nga Engineer o Administrator System Account.
Kung nahimo na ang pagbag-o moapil kini sa network sa Niagara gamit ang bag-ong Network Key, kung adunay usa, ug makakuha og System Accounts gikan sa Advanced Controller sa bag-ong network sa Niagara kung adunay parehas nga pantalan sa UDP.

Lokal nga Seguridad
Ang lokal nga seguridad naggamit sa mga lokal nga tiggamit (User Modules) aron tugotan ang pag-access sa Advanced Controllers web mga panid o usa ka lokal nga konektado nga display ug aron makontrol ang impormasyon nga makita o mga kantidad nga mahimong i-adjust.
Aron makaangkon og access ug makahimo og mga kausaban usa ka balido nga username ug password alang sa usa ka lokal nga user kinahanglan nga ihatag. Ang lebel sa PIN sa user nagtino kung unsa nga mga parameter ang makita ug ma-adjust sa usa ka user.

NOTA
Ang lokal nga mga tiggamit DILI dungan sa ubang mga Advanced Controller sa Niagara network.

Pag-access sa Web Mga panid
Pag-access sa controller web Ang mga panid gipanalipdan sa Advanced Controller nga sistema sa seguridad. Sa diha nga ang controller ni web gi-access ang server a web Ang panid gipakita nga naghatag pipila ka sukaranan nga kasayuran ug makapahimo sa usa ka tiggamit nga maka-login - Tan-awa ang "Initial nga Pag-access" sa panid 13.
Ang mga tiggamit nga nag-login isipon nga mga naka-log in nga tiggamit - Tan-awa ang "Mga Naka-log in nga Gumagamit" sa panid 14. ug ang mga tiggamit nga nag-access sa web Ang mga panid nga walay pag-log in hatagan ug access sama sa gihulagway sa “Initial Access” sa pahina 13.

Inisyal nga Pag-access
Sa diha nga ang controller ni web Ang server unang na-access sa Welcome page nga gipakita ug ang access nga gihatag nagdepende sa kasamtangan nga configuration sa seguridad sa controller:

  • Walay Engineering System Accounts ug walay User modules (factory default)
  • Ang 'Welcome' nga panid gipakita ug hingpit nga pag-access sa controller's web mga panid ug ang abilidad sa paghimo og mga kausaban ihatag.

NOTA
Tungod kay walay Engineering System Accounts o user modules dili kini posible nga maka-login.

Engineering System Accounts ug walay User modules
Ang 'Welcome' nga panid gipakita, ug ang controller mohatag lamang ug access sa Sensor, Digital Input, Knob, Switch, Driver, Schedule, Time Schedule, Time, Plot modules, ang Alarm Log, ug Graphics ug dili motugot sa mga kausaban.

NOTA
Posible nga mag-login gamit ang Engineering System Accounts.

  • Mga Account sa Sistema sa Engineering ug mga module sa Gumagamit
    Ang inisyal nga pagpakita ug pag-access kontrolado sa mga module sa Gumagamit. Kung adunay usa ka User module nga gitawag og 'Guest' nga walay password kung ang Advanced Controller web Ang mga panid ma-access nga walay pag-log in ang controller maghatag sa mga katungod sa pag-access (level user, home page, ug view mga default) nga gipiho sa 'Bisita' nga User module.
    Pinaagi sa default ang 'Guest' User module naghatag lang ug access sa Advanced 'Welcome' page ug adunay user level nga '0'. Kini nagpasabot nga ang usa ka user nga nag-access sa controller nga walay pag-log in makahimo lamang view ang 'Welcome' nga panid. Aron mahatagan ug dugang nga pag-access ang 'Bisita' nga tiggamit mahimong ma-configure sa parehas nga paagi sama sa bisan unsang ubang Type 0 User Module.

NOTA:
Gipugngan sa Niagara workbench ang 'Bisita' nga tiggamit nga mahatagan og password, PIN, o lebel sa user nga mas taas kay sa '0'. Gitugotan niini ang usa ka home page ug view mga default nga i-configure.

Kusganon nga girekomendar nga ang Bisita nga tiggamit ibilin sa default nga configuration (ang lebel sa user nga '0' ug dili view katungod).
Kung walay User module nga gitawag og 'Guest' o kini na-configure gamit ang password ang 'Welcome' nga panid gipakita, ug ang controller mohatag lang og access sa Sensor, Digital Input, Knob, Switch, Driver, Schedule, Time Schedule, Time, Plot modules, ang Alarm Log, ug Graphics ug dili motugot sa mga kausaban.

NOTA
Mahimong posible ang pag-login gamit ang Engineering System Accounts ug bisan unsang User modules nga anaa.

Naka-log in Mga Gumagamit
Sa pag-log in sa usa ka Advanced Controller web mga panid usa ka user name ug password nga usa ka tugma alang sa usa sa Advanced Controller Engineering System Accounts o Type 0 User Modules kinahanglang isulod.

Pagbawi sa Password
Kung ang usa ka user nakalimot sa ilang password kini mabawi pinaagi sa paggamit sa Niagara workbench. Para sa mga detalye sa pagbawi sa nakalimtan nga password gamit ang Niagara tan-awa ang Niagara workbench User guide.

PAGSEGURO SA NIAGARA OPERATING SYSTEM

 Kinatibuk-ang Maayong Pagpraktis
Sunda ang kinatibuk-ang maayong praktis alang sa pagsiguro sa operating system sama sa:

  • Gipanalipdan sa password ang screen saver
  • Drive encryption software

Setting sa Firewall
Ang operating system kinahanglan nga ma-configure aron magamit ang usa ka firewall nga awtomatiko nga gi-update. Kinahanglang pugngan sa configuration ang access (IN/OUT) para sa tanang port gawas niadtong gikinahanglan ang access, AYAW biyaan nga bukas ang bisan unsang wala magamit nga port.

Bersyon sa Operating System
KINAHANGLAN nimong siguroon nga ang bisan unsang device nga nagpadagan sa Niagara applications o konektado sa samang IP network adunay pinakabag-o nga operating system updates nga na-install. Maayo nga praktis aron masiguro nga ang Windows Updates gibilin sa awtomatiko ug nga kini na-install sa tukma sa panahon nga paagi.

Pagpanalipod batok sa bayrus
KINAHANGLAN nimong sigurohon nga ang bisan unsang mga kompyuter nga nagpadagan sa mga aplikasyon sa Niagara o konektado sa parehas nga IP network nagdagan nga software sa pagpanalipod sa virus, ug ang mga kahulugan sa virus gipadayon nga labing bag-o.

 Pagpanalipod sa Pagsulod
Ang paggamit sa usa ka Intrusion Detection System (IDS) gikan sa usa ka inila nga tighatag sa mga produkto sa seguridad sa bisan unsang kompyuter nga nagpadagan sa Niagara nga aplikasyon girekomendar. Sunda ang labing maayo nga praktis alang sa mga produkto nga gipili ingon man sa bisan unsang corporate IT nga polisiya diin ang instalasyon gihimo.
Daghang mga produkto sa IDS ug firewall ang nagtanyag usa ka kompleto nga solusyon alang sa pagrekord sa tanan nga trapiko nga mosulod ug gawas sa kompyuter, nga naghatag sa mga tiggamit og katakus sa pagrekord sa tanan nga kalihokan sa labing ubos nga lebel.

GENERAL DATA PROTECTION REGULATION (GDPR)

Ang General Data Protection Regulation (EU)2016/679 (GDPR) usa ka regulasyon sa balaod sa EU bahin sa pagpanalipod sa datos ug pribasiya para sa tanang indibidwal nga lungsoranon sa European Union (EU) ug sa European Economic Area (EEA). Gitubag usab niini ang pagbalhin sa personal nga datos sa gawas sa mga lugar sa EU ug EEA. Ang GDPR naglangkob sa mga probisyon ug mga kinahanglanon nga may kalabutan sa pagproseso sa personal nga datos sa mga indibidwal (mga sakop sa datos) sulod sa EEA ug magamit sa bisan unsang negosyo nga gitukod sa EEA (bisan unsa pa ang lokasyon niini ug ang pagkalungsoranon sa mga sakop sa datos) o nga nagproseso sa personal nga impormasyon sa mga sakop sa datos sulod sa EEA.
Ubos sa mga termino sa GDPR ang personal nga datos naglakip sa bisan unsang impormasyon nga mahimong gamiton sa pag-ila sa usa ka indibidwal. Kini naglakip (apan dili limitado sa):

  • mga ngalan sa tiggamit,
  • mga password,
  • mga numero sa telepono,
  • mga email address,
  • adres sa trabaho o pinuy-anan.

Ang bisan unsang impormasyon nga gisulod sa Advanced Controller, HMI, ug IO Module gi-encrypt ug gitipigan sa Advanced nga mga produkto sa lugar sa kustomer. Ang Honeywell walay bisan unsang kalambigitan sa pagtipig ug/o pagproseso sa personal nga datos sulod sa Advanced nga mga produkto sa Honeywell.
Ang responsibilidad alang sa pagsunod sa mga kinahanglanon sa GDPR hingpit nga naa sa system integrator o system administrator ug, sa ingon, kinahanglan nila sigurohon nga adunay igo nga teknikal ug organisasyonal nga mga sistema aron:

  • pagkuha og klaro nga pagtugot gikan sa matag hilisgutan sa datos alang sa personal nga datos nga tipigan, gamiton ug/o iproseso,
  • tugoti ang mga indibidwal nga adunay access sa ilang personal nga datos aron mapamatud-an ang katukma,
  • tugotan ang mga indibidwal nga bawion ang ilang pagtugot bisan unsang orasa ug ang ilang personal nga datos nga permanenteng mapapas,
  • pagpadayon sa seguridad ug integridad sa pagtipig ug pag-access sa datos sa tanang panahon,
  • i-report ang bisan unsang mga paglapas sa seguridad sa datos (nga mahimong makaapekto sa pagkapribado sa gumagamit) sa may kalabutan nga awtoridad sa sulod sa 72 ka oras pagkahuman nahitabo ang paglapas.

LUWAS NGA KOMUNIKASYON

Gisuportahan sa usa ka Public Key Infrastructure (PKI) ang pag-apod-apod ug pag-ila sa mga yawe sa pag-encrypt sa publiko nga gigamit aron mapanalipdan ang pagbinayloay sa datos sa mga network, sama sa Internet. Ang PKI nagpamatuod sa pagkatawo sa laing partido ug nag-encode sa aktuwal nga pagpasa sa datos. Ang pag-verify sa identidad naghatag ug dili gisalikway nga kasiguruhan sa identidad sa server. Ang pag-encrypt naghatag og kompidensyal sa panahon sa transmission sa network. Ang pagkinahanglan ug gipirmahan nga mga module sa code nagsiguro nga ang gipaabot nga code ra ang modagan sa sistema.

Aron mahatagan ug luwas nga mga network gamit ang PKI, gisuportahan sa Niagara ang TLS (Transport Layer Security) protocol, mga bersyon 1.0, 1.1 ug 1.2. Gipulihan sa TLS ang gisundan niini, ang SSL (Secure Sockets Layer).
Ang matag pag-instalar sa Niagara awtomatik nga nagmugna og default nga sertipiko, nga nagtugot sa koneksyon nga ma-encrypt dayon. Bisan pa, kini nga mga sertipiko nagpatunghag mga pasidaan sa browser ug Workbench ug sa kasagaran dili angay alang sa mga tiggamit sa katapusan. Ang paghimo ug pagpirma sa naandan nga digital nga mga sertipiko nagtugot sa usa ka seamless nga paggamit sa TLS sa browser, ug naghatag sa parehas nga pag-encrypt ingon man usab sa server authentication.
Labaw sa seguridad sa komunikasyon, ang matag module sa computer code nga nagdagan sa sistema giprotektahan sa usa ka digital nga pirma. Ang gidugang nga mga butang sa programa nanginahanglan niini nga pirma o dili kini modagan.

Pag-verify sa server, pag-encrypt sa transmission ug pagsiguro nga ang gipirmahan nga code run lang ang dili makasiguro sa datos nga gitipigan sa usa ka storage device. Kinahanglan nimo nga higpitan ang pisikal nga pag-access sa mga kompyuter ug mga tigkontrol nga nagdumala sa imong modelo sa pagtukod, pag-set up sa pag-authenticate sa gumagamit nga adunay lig-on nga mga password, ug luwas nga mga sangkap pinaagi sa pagkontrol sa mga pagtugot.
Gisuportahan ug gigamit sa Niagara ang luwas nga komunikasyon ug gipirmahan nga code sa default. Dili nimo kinahanglan nga mopalit og dugang nga lisensya.
Ang seguridad usa ka nagpadayon nga kabalaka. Samtang makit-an nimo ang daghang hinungdanon nga kasayuran sa luwas nga mga hilisgutan sa komunikasyon, gipaabut ang umaabot nga mga update ug pagbag-o.
Sa ubos mao ang luwas nga komunikasyon. Para sa dugang mga detalye tan-awa ang Niagara Station Security guide.

  • Mga relasyon sa kliyente / server
  • Mga sertipiko
  • Mga tindahan sa sertipiko
  • CSR folder nga istruktura
  • Gipahimutang ang sertipiko
  • Sertipiko nga Wizard
  • Pagpirma sa daghang mga sertipiko
  • Pag-configure sa luwas nga komunikasyon sa plataporma
  • Pag-configure sa luwas nga komunikasyon sa istasyon
  • Pag-enable sa mga kliyente ug pag-configure kanila alang sa husto nga pantalan
  • Pag-instalar og kopya sa estasyon sa laing plataporma
  • Pagsiguro sa email
  • Secure nga komunikasyon troubleshooting

Mga relasyon sa kliyente / server
Ang mga relasyon sa kliyente/server nagpaila sa mga koneksyon nga nanginahanglan og proteksyon. Ang mga relasyon sa kliyente/server sa Workbench lainlain depende kung giunsa nimo pag-configure ug paggamit ang usa ka sistema. Ang workbench kanunay nga kliyente. Ang usa ka plataporma kanunay usa ka server. Ang usa ka estasyon mahimong usa ka kliyente ug usa ka server.
Ang mga protocol sa sistema nga nagdumala sa komunikasyon mao ang:

  • Ang mga koneksyon sa plataporma gikan sa Workbench (kliyente) ngadto sa controller o Supervisor PC platform daemon (server) naggamit sa Niagara. Ang usa ka luwas nga koneksyon sa plataporma usahay gitawag nga platformtls. Mahimo nimo ang platformtls gamit ang Platform Administration view.
  • Ang mga koneksyon sa lokal nga istasyon (Supervisor ug plataporma) naggamit sa mga Fox. Mahimo nimo kini nga mga koneksyon sa FoxService sa usa ka istasyon (Config> Services> FoxService).
  • Ang mga koneksyon sa browser naggamit sa Https, ingon man usab sa Foxs kung imong gigamit Web Launcher nga adunay WbWebProfile. Mahimo nimo kini nga mga koneksyon gamit ang estasyon WebSerbisyo (Config > Mga Serbisyo > WebSerbisyo).
  • Mga koneksyon sa kliyente sa email server sa istasyon, kung mahimo. Mahimo nimo ang luwas nga email gamit ang EmailService sa istasyon (Config> Services> EmailService).

MGA SERTIPIKO
Ang usa ka sertipiko usa ka elektronik nga dokumento nga naggamit usa ka digital nga pirma aron mabugkos ang usa ka publiko nga yawe sa usa ka tawo o organisasyon. Ang mga sertipiko mahimong magsilbi sa lain-laing mga katuyoan depende kung giunsa nimo pag-configure ang kabtangan sa Key Usage sa sertipiko. Ang ilang nag-unang katuyoan niini nga sistema mao ang pag-verify sa pagkatawo sa usa ka server aron ang komunikasyon mahimong kasaligan. Para sa dugang nga mga detalye palihog tan-awa ang Niagara Station Security Guide – Certificate.
Ang Niagara nagsuporta niining mga matang sa mga sertipiko:

  • Ang usa ka sertipiko sa CA (Certificate Authority) usa ka sertipiko nga gipirmahan sa kaugalingon nga iya sa usa ka CA. Mahimong kini usa ka ikatulo nga partido o usa ka kompanya nga nagsilbi nga kaugalingon nga CA.
  • Ang usa ka root CA certificate kay usa ka self-signed nga CA certificate kansang pribadong yawe gigamit sa pagpirma sa ubang mga certificate nga nagmugna og kasaligang certificate tree. Uban sa pribado nga yawe niini, ang usa ka root CA certificate mahimong ma-eksport, tipigan sa usa ka USB thumb drive sa usa ka vault, ug dad-on lamang kung kinahanglan nga pirmahan ang mga sertipiko. Ang pribado nga yawe sa usa ka sertipiko sa root CA nanginahanglan paghimo usa ka password sa pag-eksport ug ang paghatag sa parehas nga password kung gigamit nimo kini sa pagpirma sa ubang mga sertipiko.
  • Ang Intermediate certificate kay usa ka CA certificate nga gipirmahan sa root CA certificate nga gigamit sa pagpirma sa server certificates o uban pang intermediate CA certificates. Ang paggamit sa mga intermediate nga sertipiko naglain sa usa ka grupo sa mga sertipiko sa server.
  • Ang Sertipiko sa Server nagrepresentar sa server-side sa usa ka luwas nga koneksyon. Samtang mahimo ka magbutang usa ka lahi nga sertipiko alang sa matag protocol (Foxs, Https, Webs). Samtang mahimo nimong i-configure ang usa ka plataporma ug estasyon (ingon nga server) nga adunay lahi nga mga sertipiko sa server, alang sa kayano kadaghanan sa mga sistema sagad mogamit sa parehas nga sertipiko sa server.
  • Ang sertipiko sa pagpirma sa code usa ka sertipiko nga gigamit sa pagpirma sa mga butang ug module sa programa. Gigamit sa mga integrator sa sistema kini nga sertipiko aron mapugngan ang pagpaila sa malisyosong code kung ilang ipasibo ang balangkas.

Mga sertipiko nga gipirmahan sa kaugalingon
Ang usa nga gipirmahan sa kaugalingon nga sertipiko mao ang usa nga gipirmahan pinaagi sa default gamit ang kaugalingon nga pribado nga yawe kaysa sa pribado nga yawe sa usa ka sertipiko sa gamut CA (Certificate Authority).
Gisuportahan sa sistema ang duha ka klase sa mga sertipiko nga gipirmahan sa kaugalingon:

  • Ang usa ka gamut nga sertipiko sa CA hingpit nga gisaligan tungod kay wala’y mas taas nga awtoridad kaysa sa CA (Certificate Authority) nga tag-iya niini nga sertipiko. Tungod niini, ang mga CA, kansang negosyo mao ang pag-endorso sa mga sertipiko sa ubang mga tawo, bantayan pag-ayo ang ilang (mga) sertipiko sa ugat sa CA ug pribadong mga yawe. Ingon usab, kung ang imong kompanya nagsilbi nga kaugalingon nga CA, kinahanglan nimong bantayan pag-ayo ang sertipiko sa ugat nga CA nga imong gigamit sa pagpirma sa ubang mga sertipiko.
  • Usa ka default, gipirmahan sa kaugalingon nga sertipiko: Sa una nga higayon nga magsugod ka usa ka pananglitan sa Workbench, usa ka plataporma o usa ka istasyon pagkahuman sa pag-install (pag-commissioning), ang sistema nagmugna usa ka default, gipirmahan sa kaugalingon nga sertipiko sa server nga adunay alyas nga tridium.

NOTA:
Ayaw i-eksport kini nga sertipiko ug i-import kini sa bisan unsang tindahan sa laing plataporma o estasyon. Bisan kung mahimo, ang paghimo niini makapakunhod sa seguridad ug makadugang sa pagkahuyang.
Aron mamenosan ang risgo sa usa ka man-in-the-middle nga pag-atake kung naggamit sa mga sertipiko nga gipirmahan sa kaugalingon, ang tanan nimong mga platform kinahanglan nga naa sa usa ka luwas nga pribado nga network, gawas sa linya, ug wala’y access sa publiko gikan sa Internet.

PAHINUMDOM
Aron magamit ang mga sertipiko nga gipirmahan sa kaugalingon, sa dili pa nimo ma-access ang plataporma o estasyon gikan sa Workbench sa unang higayon, siguroha nga ang imong kompyuter ug ang plataporma wala sa bisan unsang corporate network o sa Internet. Sa higayon nga madiskonekta, ikonektar ang kompyuter direkta sa plataporma, ablihi ang plataporma gikan sa Workbench, ug aprubahan ang gipirmahan sa kaugalingon nga sertipiko. Unya ra kinahanglan nimo nga ikonektar pag-usab ang plataporma sa usa ka network sa korporasyon.

Pagngalan sa kombensiyon
Ang User Key Store, User Trust Store, ug System Trust Store nahimong kasingkasing sa configuration. Ang mga sertipiko parehas nga hitsura, ug ang lainlaing mga default nga gipirmahan sa kaugalingon nga mga sertipiko parehas nga ngalan.

Mga tindahan sa sertipiko
Ang pagdumala sa sertipiko naggamit sa upat ka mga tindahan aron pagdumala sa mga sertipiko: usa ka Tinda sa Key sa Gumagamit, Tindahan sa Pagsalig sa Sistema, Tindahan sa Pagsalig sa Gumagamit ug lista sa Gitugotan nga Mga Host.
Ang User Key Store nalangkit sa server side sa client-server nga relasyon. Kini nga tindahan adunay mga sertipiko, ang matag usa adunay publiko ug pribado nga mga yawe. Dugang pa, kini nga tindahan naglangkob sa kaugalingon nga gipirmahan nga sertipiko nga una nga gihimo sa dihang imong gilunsad ang Workbench o gi-boot ang plataporma sa unang higayon.
Ang mga Tinda sa Pagsalig sa Gumagamit ug Sistema nakig-uban sa bahin sa kliyente sa relasyon sa kliyente-server. Ang System Trust Store kay pre-populated sa standard public certificates: root CA certificates gikan sa iladong Certificate Authority, sama sa VeriSign, Thawte ug Digicert. Ang Tinda sa Pagsalig sa Gumagamit naghupot sa gamut nga CA ug intermediate nga mga sertipiko alang sa mga kompanya nga nagsilbi nga ilang kaugalingon nga awtoridad sa sertipiko.
Ang lista nga Gitugotan nga mga Host adunay (mga) sertipiko sa server diin wala’y kasaligan nga sertipiko sa gamut nga CA nga naglungtad sa System o Mga Tindahan sa Pagsalig sa Gumagamit, apan ang mga sertipiko sa server naaprobahan na aron magamit gihapon. Naglakip kini sa mga server diin ang host name sa server dili parehas sa Common Name sa server certificate. Giaprobahan nimo ang paggamit niini nga mga sertipiko sa tagsa-tagsa nga basehan. Samtang luwas ang komunikasyon, mas maayo nga gamiton ang gipirmahan nga mga sertipiko sa server.

Encryption
Ang pag-encrypt mao ang proseso sa pag-encode sa pagpadala sa datos aron dili kini mabasa sa dili kasaligan nga mga ikatulo nga partido. Gigamit sa TLS ang encryption aron ipadala ang datos tali sa kliyente ug server. Samtang posible ang paghimo og unencrypted nga koneksyon gamit lamang ang fox o http nga mga protocol, kusganon ka nga giawhag nga dili ipadayon kini nga opsyon. Kung wala’y pag-encrypt, ang imong mga komunikasyon mahimo’g mapailalom sa usa ka pag-atake. Kanunay dawata ang default nga mga koneksyon sa Foxs o Https.

DASHBOARD SA SEGURIDAD OVERVIEW
Sa Niagara 4.10u5 ug sa ulahi, ang Security Dashboard nga bahin naghatag (alang sa admin ug uban pang awtorisadong tiggamit) usa ka mata sa langgam. view sa configuration sa seguridad sa imong estasyon. Gitugotan ka niini nga dali nga ma-monitor ang configuration sa seguridad sa daghang mga serbisyo sa istasyon, ug mahibal-an ang bisan unsang mga kahuyang sa configuration sa seguridad sa estasyon.

PAHINUMDOM
Ang Security Dashboard View Mahimong dili ipakita ang tanan nga posible nga setting sa seguridad, ug dili angay isipon nga usa ka garantiya nga ang tanan na-configure nga luwas. Sa partikular, ang mga module sa ikatulo nga partido mahimong adunay mga setting sa seguridad nga wala magparehistro sa dashboard.

Ang Security Dashboard view mao ang nag-una view sa SecurityService sa estasyon. Ang view nagpaalerto kanimo sa mga kahuyang sa seguridad sama sa dili maayo nga mga setting sa kusog sa password; expired, self-signed o dili balido nga mga sertipiko; unencrypted transport protocols, ug uban pa, nga nagpakita sa mga dapit diin ang configuration kinahanglan nga mas luwas. Ang ubang gitaho nga datos naglakip sa: sistema sa kahimsog, gidaghanon sa aktibo nga mga account, dili aktibo nga mga account, gidaghanon sa mga account nga adunay super-user nga mga permiso, ug uban pa. Opsyonal, ang "system" nga hiyas sa "securityDashboard" nga bahin sa lisensya mahimong itakda sa "tinuod" aron mahimo ang System View sa estasyon nga naghatag og mga detalye sa seguridad alang sa matag ubos nga estasyon sa NiagaraNetwork.
Ang Security Dashboard mao ang panguna view alang sa Security Services. Para sa kumpletong detalye sa view, Tan-awa ang "nss-SecurityDashboardView” sa Niagara Station Security Guide.

PAGPLANO UG PAG-INSTALL

Kini nga seksyon naglakip sa impormasyon alang sa pagplano ug paghimo sa usa ka Advanced Plant Controller nga instalasyon.

Girekomenda nga pag-instalar ug pag-configure
Ang mosunod nga seksyon naghulagway sa duha ka girekomendar nga mga configuration sa pag-instalar.

  • BACnetTM lang
  • BACnetTM ug Niagara

BACnetTMBACnetTM lang
Sa diha nga ang Advanced Plant Controller gigamit lamang alang sa BACnetTM nga mga komunikasyon, ikonektar lamang ang Ethernet 1 ngadto sa BAS network diin ang BACnetTM (BACnetTM/IP o BACnetTM/Ethernet) modagan.

Honeywell-Optimizer-Advanced-Controller- (2)

BACnetTM ug Niagara
Sa diha nga ang Niagara gigamit sa Advanced Plant Controller, kini mahimong i-configure aron sa paghatag og mga serbisyo, sama sa web serbisyo o Niagara FOXS, ngadto sa Internet/intranet/corporate network. Kon mao kini ang kahimtang, ikonektar ang Ethernet 2 sa Internet/ intranet/corporate network pinaagi sa BAS firewall aron makahatag og mga serbisyo sa maong network.

Honeywell-Optimizer-Advanced-Controller- (3)

Rekomendasyon sa Local Area Networks (LAN).
Siguruha nga ang mga sistema naglihok sa usa ka angay nga palisiya sa password alang sa pag-access sa user sa tanan nga mga serbisyo. Kini nga giya maglakip, apan dili limitado sa:

  1. Ang paggamit sa lig-on nga mga password.
  2. Usa ka girekomenda nga oras sa siklo sa password.
  3. Talagsaon nga mga ngalan sa gumagamit ug mga password alang sa matag tiggamit sa sistema.
  4. Mga lagda sa pagbutyag sa password.
  5. Kung gikinahanglan ang layo nga pag-access sa mga sistema sa pagkontrol sa pagtukod nga nakabase sa IT, gamita ang teknolohiya sa VPN (Virtual Private Network) aron makunhuran ang peligro sa interception sa datos ug mapanalipdan ang mga kontrol nga aparato gikan sa direktang pagbutang sa Internet.

DOKUMENTASYON

Ang dokumentasyon hinungdanon sa pagkuha sa disenyo ug impormasyon sa pag-configure nga gikinahanglan aron mapadayon ang usa ka luwas nga sistema.

Pagdokumento sa pisikal nga mga aparato ug mga pag-configure, lakip ang hinungdanon nga kasayuran nga may kalabotan sa seguridad
Ang tanan nga dokumentasyon sa mga aparato ug mga pag-configure kinahanglan nga maglakip sa kasayuran nga may kalabotan sa seguridad aron matukod ug mapadayon ang gituyo nga mga kontrol sa seguridad. Kay exampUg, kung ang mga pagbag-o sa mga default nga serbisyo o mga pantalan gihimo sa Advanced Plant Controller, nan klaro nga idokumento kini aron ang mga setting mahimong mapasig-uli sa usa ka punto sa umaabot.

Idokumento ang mga eksternal nga sistema, ilabi na ang interaksyon tali sa Advanced Plant Controller ug sa mga may kalabutan nga sistema niini
Ang BAS kasagarang nanginahanglan o naggamit sa mga eksternal nga sistema alang sa pag-andar, sama sa kasamtangan nga imprastraktura sa network, pag-access sa VPN, mga host sa virtual machine, ug mga firewall. Kung gikinahanglan sa BAS ang mga sistema nga ma-configure sa usa ka piho nga paagi alang sa seguridad, sama sa usa ka firewall nga nagtugot o naglimud sa pipila nga mga pantalan o usa ka network nga nagtugot sa pag-access sa pipila nga mga sistema, nan kinahanglan nimo nga idokumento kini nga kasayuran. Kung kini nga mga sistema kinahanglan nga ipahiuli sa usa ka punto sa umaabot, Example: tungod sa kapakyasan sa mga ekipo, o kinahanglan nga buhaton ang mga pagbag-o sa mga eksternal nga sistema, Example: pag-upgrade sa usa ka firewall, ang pagdokumento niini nga impormasyon makatabang kanimo sa pagpasig-uli sa miaging lebel sa seguridad.

ACCESS CONTROL UG PISIKAL NGA SEGURIDAD
Ang pagkontrol sa pag-access naglakip sa pagtino ug paglimite sa pag-access sa mga aparato o mga gimbuhaton sa mga awtorisado nga tiggamit lamang.

Pisikal nga luwas ang Advanced Plant Controller, HMI, ug IO Module
Paglikay sa dili awtorisado nga pag-access sa mga kagamitan sa network nga gigamit kauban sa mga sistema nga gihatag sa Honeywell. Sa bisan unsang sistema, ang pagpugong sa pisikal nga pag-access sa network ug kagamitan makapamenos sa peligro sa dili awtorisado nga pagpanghilabot. Ang labing maayo nga mga gawi sa seguridad nga adunay mga pag-install sa IT magsiguro nga ang mga lawak sa server, mga patch panel, ug kagamitan sa IT naa sa mga sirado nga kwarto. Ang mga ekipo sa Honeywell kinahanglan nga i-install sa sulod sa mga naka-lock nga control cabinet, nga sila mismo nahimutang sa luwas nga mga lawak sa tanum.

Sticker ibabaw sa controller access panel o enclosure
Pag-apply saampklaro nga sticker sa Advanced Plant Controller, HMI, ug IO Module access panel o enclosure
Kung ang usa ka kustomer nanginahanglan dugang nga kasiguruhan nga ang pisikal nga pag-access nga nanalipod sa usa ka Advanced Plant Controller, HMI, ug IO Module wala pa masulod, dayon i-install saampevident nga selyo o sticker ibabaw sa access point.

Ilain ug panalipdan ang mga network

  1. Gamit ug firewall tali sa Internet/intranet/corporate network ug sa BAS.
  2. Gamit ug bulag nga gipahinungod nga pisikal nga network (separate wires) o virtual network (VLANs) para sa BACnetTM communi-cation. Kinahanglang bulag kini nga network gikan sa Internet/ intranet/corporate network.
  3. Ayaw ikonektar ang EN2 sa Advanced Plant Controller sa bisan unsang network gawas kung kinahanglan nimo ang mga serbisyo sa Niagara (Platform, Station, ug/o Webserver). Kung kinahanglan nimo nga ikonektar ang EN2 sa Internet/ intranet/corporate network, nan kinahanglan nimong gamiton ang external nga BAS firewall tali sa Advanced Plant Controller ug Inter-net/intranet/corporate network.

Wireless nga Seguridad

  1. Ang user kinahanglan nga review wireless network security base sa network topology, pagsiguro nga walay wala tuyoa nga exposure sa publiko nga INTERNET ug nga ang BAS firewall protection dili ma-bypass.
  2. Importante nga gamiton kanunay ang pinakataas nga magamit nga wireless nga teknolohiya sa seguridad, sama sa WPA2 o WPA3. Dugang pa, ang mga tiggamit kinahanglan nga luwas nga manalipod sa ilang mga password, lakip apan dili limitado sa mga password sa Wi-Fi ug BluetoothTM PIN code. Ayaw tugoti ang controller nga magkonektar sa usa ka bukas nga wireless network o mag-set up sa usa ka bukas nga wireless access point.
  3. Kanunay nga likayan ang pagkonektar sa dili awtorisado nga mga himan ngadto sa wireless network o pag-establisar og BluetoothTM nga mga koneksyon aron malikayan ang posibleng mga pagpahimulos.
  4. Responsibilidad sa tiggamit ang kanunay nga pag-usabview setting sa seguridad, pag-ilis sa mga password o passcode sumala sa polisiya sa seguridad, ug pagmonitor sa mga konektadong device sa wireless network ug mga subnet. Ang mga tiggamit kinahanglan usab nga idokumento kini nga mga kalihokan sa pag-audit.

PAGSEGURO SA ADVANCED CONTROLLER, HMI, UG IO MODULE

  1. Mga Kredensyal sa Account sa Admin System nga Gihatag sa Gumagamit sa Site
    Ang mga kredensyal sa 'Admin' System Account kinahanglang ihatag sa tag-iya sa site aron tugotan sila sa pagdumala sa System Accounts.
  2. Pagpalambo og Programa sa Seguridad
    Tan-awa ang 'General Security Best Practice'
  3. Pisikal ug Kinaiyahan nga Pagkonsiderar
    Ang Advanced Controller, HMI, ug IO Module kinahanglang i-install sulod sa sirado nga palibot eg nahimutang sa usa ka segurado nga lawak sa planta, o naka-lock nga kabinet.

NOTA
Siguruha nga adunay igo nga bentilasyon.

Mga Update sa Seguridad ug Mga Service Pack
Siguroha nga ang Advanced Controller, HMI, ug IO Module nagpadagan sa pinakabag-o nga pagpagawas sa firmware.

MGA GAMIT UG PASSWORDS

Mga tiggamit
Siguruha nga ang gidaghanon sa mga tiggamit ug lebel sa pag-access nga gihatag angay alang sa mga kalihokan nga kinahanglan nila nga buhaton.

  • Sa lebel sa controller device i-configure ang mga account sa sistema o mga tiggamit sa controllers alang sa Web kliyente, Superbisor ug Peer-to-peer nga pag-access.
    Ang pag-configure sa mga module sa Gumagamit sa Advanced nga mga controller, kini nagpasabut nga ang usa ka tiggamit kinahanglan nga mag-log in sa usa ka aparato nga adunay balido nga mga kredensyal sa dili pa mahimo ang mga pag-adjust. Siguruha nga ang angay nga mga katungod sa pag-access gihatag alang sa mga account sa sistema ug tiggamit.
  • Paggamit ug Lahi nga Account para sa Matag User
    Paggamit ug talagsaon nga mga ngalan ug password alang sa matag user/account sa sistema, kay sa generic nga pag-access. Ang lainlaing mga tawo dili kinahanglan nga mag-ambit sa parehas nga account. Kay exampkay, kay sa usa ka kinatibuk-ang account sa 'manager' nga magamit sa daghang mga manedyer, ang matag manedyer kinahanglan adunay ilang kaugalingon, lahi nga account.

Adunay daghang mga hinungdan alang sa matag tiggamit nga adunay ilang kaugalingon nga indibidwal nga account:

Kung ang matag tawo adunay kaugalingon nga account, ang mga log sa pag-audit mahimong labi ka kasayuran. Sayon nga mahibal-an kung kinsa nga tiggamit ang nagbuhat kung unsa. Makatabang kini nga mahibal-an kung ang usa ka account nakompromiso.

NOTA
Dili tanan nga mga produkto adunay pasilidad sa audit log, apan kung naa kini kinahanglan dili kini ma-disable.

  • Kung ang usa ka account gitangtang o giusab, dili kini makahasol sa daghang mga tawo. Kay exampUg, kung ang usa ka tawo wala nay access, ang pagtangtang sa ilang indibidwal nga pag-access yano ra. Kung kini usa ka gipaambit nga account, ang bugtong kapilian mao ang pagbag-o sa password ug pagpahibalo sa tanan, o pagtangtang sa account ug pagpahibalo sa tanan. Ang pagbiya sa account sa ingon dili usa ka kapilian - ang katuyoan mao ang pagbawi sa pag-access.
  • Kung ang matag tawo adunay kaugalingon nga account, mas dali nga ipahiangay ang mga pagtugot aron tukma nga matubag ang ilang mga panginahanglan. Ang usa ka gipaambit nga account mahimong moresulta sa mga tawo nga adunay daghang mga pagtugot kaysa kinahanglan nila.
    Ang gipaambit nga account nagpasabut nga gipaambit nga password. Kini usa ka dili maayo nga praktis sa seguridad sa pagpaambit sa mga password. Kini naghimo niini nga mas lagmit alang sa password nga ma-leak, ug naghimo niini nga mas lisud sa pagpatuman sa pipila ka password labing maayo nga mga buhat, sama sa password expiration.
  • Paggamit sa Talagsaong mga Gumagamit sa Inhenyero para sa mga Proyekto
    Kasagaran nga praktis nga ang pipila ka mga kompanya naggamit sa parehas nga mga detalye sa account sa matag proyekto. Kung nahibal-an na kini kung ang usa ka sistema nakompromiso, ang tig-atake mahimo’g adunay mga kredensyal alang sa pag-access sa daghang uban pang mga proyekto nga gi-install sa parehas nga kompanya.
  • I-disable ang Nailhan nga Mga Account Kung Mahimo
    Ang ubang mga produkto adunay default nga mga account. Kini kinahanglan nga ma-configure aron ang password dili na default.
  • I-assign ang Minimum Required Permissions para sa mga tiggamit
    Siguruha nga kinahanglan ra nga mga account ang na-set up sa sistema nga adunay minimum nga lebel sa seguridad nga gikinahanglan kaysa hingpit nga pag-access. Kung maghimo usa ka bag-ong account, hunahunaa kung unsa ang kinahanglan buhaton sa tawo sa sistema, ug dayon i-assign ang labing gamay nga pagtugot nga gikinahanglan aron mahimo kana nga trabaho. Kay exampUsab, ang usa ka tawo nga kinahanglan lamang nga makakita sa mga alarma wala magkinahanglan og access sa administrator. Ang paghatag ug mga permiso nga wala kinahanglana nagdugang sa higayon sa usa ka paglapas sa seguridad. Mahimong wala tuyoa (o gituyo) sa tiggamit ang pag-usab sa mga setting nga dili nila angay usbon.
  • Gamita ang Minimum Possible Number sa System Administrator accounts
    I-assign lang ang mga permiso sa System Administrators kung gikinahanglan gyud. Kini nga matang sa account usa ka hilabihan ka gamhanan nga account - kini nagtugot sa hingpit nga pag-access sa tanan. Ang tigdumala sa sistema lamang ang adunay access sa account. Hunahunaa usab ang paghatag sa System Administrator og duha ka account, usa alang sa inadlaw nga pag-access sa pagdumala sa adlaw-adlaw nga mga kalihokan, ug usa ka ikaduha nga taas nga lebel nga access account nga gikinahanglan lamang kung gikinahanglan ang mga pagbag-o sa tipo sa administrasyon.

Mga password
Ang Niagara nga sistema ug mga operating system migamit sa Advanced nga mga produkto sa Honeywell naggamit og mga password aron mapamatud-an ang 'mga tiggamit' ngadto sa Supervisor, Display, Tool o Operating system. Labi nga hinungdanon ang pagdumala sa mga password sa husto. Ang dili paggamit niining labing inisyal nga lebel sa seguridad nagpasabut nga bisan kinsa nga maka-access sa sistema pinaagi sa usa ka display, web ang kliyente o superbisor adunay access sa paghimo og mga kausaban. Siguruha nga ang sistema sa Niagara naglihok sa usa ka angay nga palisiya sa password alang sa pag-access sa gumagamit, kini nga giya maglakip, apan dili limitado sa:

  • Ang paggamit sa lig-on nga mga password - Lig-on nga mga password kinahanglan nga gamiton. Tan-awa ang pinakabag-o nga mga sumbanan sa seguridad alang sa mga detalye kung unsa ang naghimo sa usa ka lig-on nga password.
  • Usa ka girekomenda nga oras sa siklo sa password - Ang ubang mga produkto sa Niagara nagtugot sa tagdumala sa sistema sa pagtino sa usa ka panahon nga pagkahuman kinahanglan nga usbon ang password. Bisan kung dili tanan nga mga produkto nga karon nagpatuman niini nga panahon sa pagbag-o sa password ang usa ka palisiya sa site mahimong magrekomenda niini.
  • Mga lagda sa pagbutyag sa password – KINAHANGLANG sigurohon sa user nga dili nila ibutyag ang mga detalye sa ilang user name ug password, ngadto sa uban ug dili kini isulat.

PAG-CONFIGURA SA ADVANCED PLANT CONTROLLER
Para sa configuration sa usa ka advanced plant controller, Refer Installation Instruction and Commissioning Guide
(31-00584). I-refer ang HMI Driver guide (31-00590) para sa HMI, ug Panel Bus Driver Guide (31-00591) para sa IO module.

Paghimo ug pagpadayon sa usa ka baseline nga mga pag-configure
Paghimo ug pagmentinar og baseline sa Advanced Plant Controller nga mga configuration nga hustong na-configure para sa seguridad. Siguroha nga kini nga baseline naglakip usab sa DCF files ug Niagara nga mga sangkap. Ayaw paghimo og dili sigurado nga mga pag-configure sa baseline aron malikayan nga wala tuyoa nga magamit kini sa umaabot. I-update ang bisan unsang may kalabutan nga dokumentasyon kung magbag-o ang mga pag-configure.

 Usba ang mga default nga password
Usba ang tanang default nga password: Console Configuration password, ang backup/Restore/Restart/Control password, ug ang Niagara Platform password. Sa pagkompleto sa pag-commissioning, siguroha nga ang device protektado sa password. Siguruha nga ang angay nga lebel sa tiggamit gi-assign alang sa mga tiggamit sa site.

Dugang nga mga Konsiderasyon

Kasabutan sa Level sa Serbisyo
Pagsagop sa usa ka angay nga palisiya sa pag-update alang sa imprastraktura nga na-install sa site isip bahin sa usa ka kasabutan sa lebel sa serbisyo. Kini nga polisiya kinahanglang maglakip, apan dili limitado sa, pag-update sa mosunod nga mga sangkap sa sistema ngadto sa pinakabag-o nga pagpagawas:

  • Device firmware alang sa controller, IO modules, HMI, ug uban pa;
  • Supervisor software, sama sa Arena NX software;
  • Mga operating system sa kompyuter / Server;
  • Imprastraktura sa network ug bisan unsang mga remote access system.

Konfigurasyon sa IT network
I-configure ang bulag nga mga network sa IT alang sa mga sistema sa pagkontrol sa automation ug ang corporate IT Network sa kustomer. Mahimo kini nga makab-ot pinaagi sa pag-configure sa mga VLAN (Virtual LAN) sa sulod sa imprastraktura sa IT sa kostumer o pinaagi sa pag-instalar sa usa ka gilain nga imprastraktura sa network nga gintang sa hangin nga gipahinungod sa mga sistema sa pagkontrol sa automation.
Kung nakig-interface sa mga controller gamit ang usa ka sentralisadong sistema nga superbisor (Example: Niagara) ug diin ang sistema wala magkinahanglan og direktang pag-access sa indibidwal nga mga himan web server, ang imprastraktura sa network kinahanglan nga ma-configure aron mapugngan web access sa server.
Ang mga dinamikong VLAN nga naggamit sa MAC address alokasyon makapanalipod batok sa dili awtorisado nga koneksyon sa usa ka device ngadto sa sistema ug makapamenos sa risgo nga nalangkit sa usa ka indibidwal nga impormasyon sa pagmonitor sa network.

PAG-CONFIGUR SA BAS FIREWALL

Ang mosunod nga talaan naghulagway sa mga network port nga gigamit sa usa ka Advanced Plant Controller. Tan-awa ang Refer sa “System Overview” sa pahina 8. para sa usa ka exampAng arkitektura sa pag-instalar. Ang lamesa adunay mga mosunod nga mga kolum:

  • Default nga Port ug ang Protocol (TCP o UDP)
  • Katuyoan sa pantalan
  • Kung kinahanglan o dili ang default port kinahanglan usbon
  • Kung ang umaabot nga koneksyon o trapiko kinahanglan nga tugutan pinaagi sa BAS Firewall
  • Ang dugang nga mga nota gilista sa ubos sa lamesa

Talaan 2 Pag-configure sa BAS firewall

Default Port/Protokol  

Katuyoan

 Usba Gikan sa Default?  

Tugoti Pinaagi sa BAS Firewall?

  

Mga nota
80 / TCP HTTP Dili Dili  
 

443 / TCP

  

HTTPs

  

Dili

 Posible, kung web gikinahanglan ang access gikan sa Internet/intranet/corporate network.  

1
1911 / TCP Fox (dili luwas nga bersyon sa Niagara application protocol) Oo Dili  
4911 / TCP Fox + SSL (secure nga bersyon sa Niagara application protocol) Oo Dili  
3011 / TCP NiagaraD (dili luwas nga bersyon sa Niagara platform protocol) Oo Dili  
5011 / TCP NiagaraD + SSL (secure nga bersyon sa Niagara platform protocol) Oo Dili  
2601 / TCP Zebra console port Dili Dili 2
2602 / TCP RIP console port     2
47808/UDP Koneksyon sa BACnetTM/IP network Oo Dili 3

NOTA

  1. Kung direkta nga remote web gisuportahan ang user interface, nan kini nga pantalan kinahanglan tugutan pinaagi sa BAS firewall.
  2. Ang pantalan awtomatik nga giablihan sa kini nga daemon ug kini nga pag-andar dili ma-disable. Ang daemon gi-configure aron dili tugutan ang bisan unsang mga pag-login pinaagi sa kini nga pantalan.
  3. Sunda ang network configuration guidelines nga gipahayag niini nga manwal aron ang Advanced Plant Controller dili na kinahanglan nga moagi sa trapiko sa UDP pinaagi sa BAS firewall.

PAG-SET UP AUTENTICATION

Ang Google Authentication Scheme kay usa ka two-factor authentication mechanism nga nagkinahanglan sa user sa pagsulod sa iyang password ingon man usa ka single-use token sa dihang mag log in sa usa ka station. Giprotektahan niini ang account sa usa ka user bisan kung nakompromiso ang iyang password.
Kini nga pamaagi sa pag-authenticate nagsalig sa TOTP (Time-based OneTime Password) ug ang Google Authenticator app sa mobile device sa user aron makamugna ug mapamatud-an ang single-use authentication token. Ang pag-authenticate sa Google kay gibase sa panahon, busa walay pagsalig sa komunikasyon sa network tali sa mobile device sa user, sa Station, o sa mga external Servers. Tungod kay ang authenticator gibase sa oras, ang oras sa estasyon ug oras sa telepono kinahanglan nga magpabilin nga medyo nag-sync. Naghatag ang app og usa ka buffer nga plus o minus nga 1.5 ka minuto aron i-account ang clock skew.
Kinahanglanon: Ang mobile phone sa user nanginahanglan sa Google Authentication app. Nagtrabaho ka sa Workbench. Ang tiggamit anaa sa database sa estasyon.

Pamaagi

  1. Ablihi ang gauth palette ug idugang ang GoogleAuthenticationScheme sa Services> Authenticationservice node sa Nav tree.
  2. Pag-right-click sa Userservice, ug pag-double click sa user sa lamesa. Ang Edit view kay abli ang user.
  3. I-configure ang Authentication Scheme Name property sa GoogleAuthenticationScheme ug i-klik ang Save.
  4. I-klik ang buton sunod sa sekreto nga Key ubos sa authenticator sa user ug sunda ang mga prompt.
  5. Aron makompleto ang configuration, i-klik ang Save. Depende sa view imong gigamit, mahimo nimo nga ablihan pag-usab ang user o i-refresh pagkahuman sa pagtipig.

PAGHATAG SA SISTEMA
Kini nga seksyon adunay kasayuran nga kinahanglan nimong ihatag kung ang BAS ipadala sa tag-iya sa sistema.

  • Dokumentasyon nga naglakip sa impormasyon sa seguridad, mga setting sa pag-configure, mga username ug password sa administrasyon, mga plano sa kalamidad ug pagbawi, ug mga pamaagi sa pag-backup ug pag-uli.
  • Pagbansay sa end-user sa mga buluhaton sa pagpadayon sa seguridad.

USB BACKUP UG CLEANDIST FILE PAG-INSTALL
Kinahanglang panalipdan sa user ang passphrase nga gigamit sa pag-zip ug pag-unzip sa controller. Likayi ang pagpaambit sa mga passphrase ug mga kredensyal sa controller atol sa proseso sa pag-backup o pag-uli.
USB backup ug CleanDist file Ang impormasyon sa pag-install makita sa Instruksyon sa Pag-install ug Giya sa Pag-komisyon - 31-00584.

PAG-DEKOMISYON SA SISTEMA
Ang sensitibo nga datos kinahanglan nga mapapas gikan sa mga yunit nga gikuha gikan sa serbisyo ug kini mahimo pinaagi sa paghimo sa usa ka pag-reset sa pabrika. Refer Service Button/Serbisyo Alarm LED ug CleanDist file pag-instalar gikan sa Instruksyon sa Pag-install ug Giya sa Pag-komisyon - 31-00584.

NOTA
Ang CleanDist file Ang pamaagi makahimo sa factory set pinaagi sa pag-instalar sa clean4 file.

ADVANCED NIAGARA BASED PRODUCTS SECURITY
Para sa Advanced nga mga produkto sa Honeywell nga gibase sa Niagara N4 ug Niagara AX frameworks (eg Advanced Plant Controller, HMI, ug IO Module), kinahanglan nimong sundon ang tambag sa Tridium sa pagsiguro sa Niagara framework.
Adunay daghang mga pagbag-o sa pag-configure nga mahimo sa Niagara nga mahimo aron mapadako ang seguridad sa mga produkto sa Advanced Honeywell.

  • Gamita ang Feature sa Kalig-on sa Password
  • I-enable ang Account Lockout Feature
  • Pag-expire sa mga Password
  • Gamita ang Kasaysayan sa Password
  • Gamita ang Feature sa Pag-reset sa Password
  • Biyai ang Kahon nga "Hinumdumi Kini nga mga Kredensyal" nga Wala’y tsek
  • Usba ang Default nga System Passphrase
  • Gamita ang TLS Para I-set ang System Passphrase
  • Pagpili og Kusog nga System Passphrase
  • Panalipdi ang System Passphrase
  • Siguruha nga Nahibal-an sa Tag-iya sa Platform ang Passphrase sa Sistema
  • Paggamit ug Lahi nga Account alang sa Matag Gumagamit sa Platform
  • Gamita ang Talagsaong mga Ngalan sa Account alang sa Matag Proyekto
  • Siguruha nga Nahibal-an sa Tag-iya sa Platform ang Mga Kredensyal sa Platform
  • Paggamit ug Lahi nga Account para sa Matag Gumagamit sa Estasyon
  • Gamita ang Talagsaon nga Serbisyo sa Type Accounts para sa Matag Proyekto
  • I-disable ang Nailhan nga Mga Account Kung Mahimo
  • I-set up ang Temporary Accounts aron Awtomatikong Ma-expire
  • Usba ang System Type Account Credentials
  • Dili Tuguti ang Kadungan nga mga Sesyon Kon Angay
  • I-configure ang mga Papel nga adunay Minimum nga Gikinahanglan nga mga Permiso
  • Ihatag ang Minimum nga Gikinahanglan nga mga Papel sa mga Gumagamit
  • Gamita ang Minimum nga Posibleng Gidaghanon sa Super Users
  • Nagkinahanglan og Super User Permissions para sa Program Objects
  • Gamita ang Minimum nga Gikinahanglan nga mga Permiso alang sa External Accounts
  • Paggamit ug Authentication Scheme nga Haom alang sa Type sa Account
  • Kuhaa ang Dili Kinahanglan nga Mga Scheme sa Pagpamatuod
  • Pagdumala sa TLS ug Sertipiko
  • Pag-instalar sa Modyul
  • Nanginahanglan og Pinirmahan nga mga Butang sa Programa ug Mga Robot
  • I-disable ang SSH ug SFTP
  • I-disable ang Wala Kinahanglang Serbisyo
  • I-configure ang Gikinahanglan nga mga Serbisyo nga Luwas
  • Pag-update sa Niagara 4 hangtod sa Pinakabag-o nga Pagpagawas
  • I-install ang Produkto sa Luwas nga Lugar
  • Siguruha nga ang mga Istasyon Naa sa Luyo sa usa ka VPN
  • Adunay mga piho nga teknikal nga publikasyon nga kinahanglan sundon aron masiguro nga ang sistema gi-lock nga luwas kutob sa mahimo. Daghang mga kapilian ang naglungtad sama sa SSL encryption ug dugang nga mga lakang aron mapanalipdan ang mga elemento sama sa mga module sa programa, alang sa dugang nga mga detalye tan-awa ang Tridium website alang sa Niagara 4 Hardening Guide (alang sa Niagara N4 based nga mga produkto) ug sa Niagara Hardening Guide (Niagara AX based nga mga produkto).

Ang materyal sa kini nga dokumento alang ra sa katuyoan sa kasayuran. Ang sulud ug ang gihulagway nga produkto mahimong magbag-o nga wala’y pahibalo. Wala’y representasyon o warranty ang Honeywell bahin sa kini nga dokumento. Sa bisan unsang hitabo nga manubag si Honeywell alang sa mga pagkatangtang sa teknikal o editoryal o mga sayup sa kini nga dokumento, ni responsable kini sa bisan unsang danyos, direkta o sulagma, nga mogawas o adunay kalabotan sa paggamit sa kini nga dokumento. Wala’y bahin sa kini nga dokumento ang mahimo nga kopya sa bisan unsang porma o bisan unsang paagi nga wala pa gisulat nga pagtugot gikan sa Honeywell.
Honeywell | Automation sa Pagtukod

715 Peachtree Street, NE,

CHECKLIST SA SEGURIDAD SA PAG-INSTALL

  • Advanced nga Plant Controller Device Instance: _____________________________________________________________
  • Deskripsyon sa Advanced Plant Controller: ________________________________________________________________
  • Lokasyon sa Advanced Plant Controller: _____________________________________________________________________
  • Installer: _____________________________________________
  • Petsa: ________________________________

Kompletoha ang mosunod nga mga buluhaton sa seguridad alang sa matag na-install nga Advanced Plant Controller

  • Pag-instalar og firewall tali sa Advanced Plant Controller ug (mga) external network. Tan-awa ang “BACnet ug Niagara” sa pahina 19.
  • Pisikal nga luwas ang Advanced Plant Controller. Tan-awa ang “Pisikal nga luwas ang Advanced Plant Controller, HMI, ug IO Module” sa pahina 22.
  • Usba ang default nga password ngadto sa usa ka talagsaon nga password alang sa matag usa sa mosunod: Console Configuration, Backup/Restore/Restart/Control, ug ang Niagara Platform. Tan-awa ang Instruksyon sa Pag-instalar ug Giya sa Pag-komisyon - 31-00584
  • Kung a web server gikinahanglan, unya i-configure kini sa pag-operate sa HTTPS mode lamang. Tan-awa ang Instruksyon sa Pag-instalar ug Giya sa Pag-komisyon - 31-00584

Web Status sa Server: Na-disable / Na-enable.
If web gi-enable ang serbisyo, kompletoha ang mosunod:

  • Ibutang ang Http Enabled = bakak.
  • Ibutang ang Https Enabled = tinuod.
  • Ibutang ang Https Lamang = tinuod.
  • I-configure ang BAS firewall. Tan-awa ang “Pag-configure sa BAS firewall” sa pahina 26.
  • Ihatag ang tanang gikinahanglang datos ngadto sa tag-iya sa sistema sa BAS sa paghatod. Tan-awa ang “Setting Up Authentication” sa pahina 27.

FAQ

  • Ngano nga hinungdanon ang pagsiguro sa Advanced Controller?
    Ang pag-secure sa controller makatabang sa pagpugong sa dili awtorisado nga pag-access, pagpanalipod sa sensitibo nga datos, ug pagsiguro sa pagkakasaligan sa sistema.
  • Unsaon nako pagbawi ang akong password?
    Aron mabawi ang imong password, sunda ang proseso sa Password Recovery nga gilatid sa manwal. Kini kasagarang naglakip sa pag-verify sa impormasyon sa imong account.

Mga Dokumento / Mga Kapanguhaan

Honeywell Optimizer Advanced Controller [pdf] Manwal sa Gumagamit
31-00594-03, Optimizer Advanced Controller, Advanced Controller, Controller

Mga pakisayran

May Kalabutan nga mga Post

Pagbilin ug komento

Ang imong email address dili mamantala. Ang gikinahanglan nga mga natad gimarkahan *