Cuntenuti ammuccià
1 Cuntrollore Avanzatu di l'Ottimizzatore Honeywell
2 SISTEMA OVERVIEW
3 PIANIFICAZIONE È SICUREZZA DI RETE
4 SISTEMA DI SICUREZZA DI CONTROLLER AVANZATU, HMI È MODULU IO
5 SICUREZZA DI U SISTEMA OPERATIVU NIAGARA
6 REGULAMENTU GENERALE DI PROTEZIONE DI I DATI (RGPD)
7 COMMUNICAZIONE SECURA
8 PIANIFICAZIONE E INSTALLAZIONE
9 DOCUMENTAZIONE
10 SICUREZZA DI U CONTROLLER AVANZATU, HMI È MODULU IO
11 UTENTI È PASSWORD
12 CONFIGURAZIONE DI U FIREWALL BAS
13 CONFIGURAZIONE DI L'AUTENTICAZIONE
14 FAQ
15 Documenti / Risorse
15.1 Referenze
16 Posti cunnessi

Honeywell-LOGO

Cuntrollore Avanzatu di l'Ottimizzatore Honeywell

Honeywell-Optimizer-Advanced-Controller-PRODOTTU

Specificazioni

  • Pruduttu: Cuntrollore Avanzatu
  • Numero di mudellu: 31-00594-03
  • Sistema Operativu: Sistema Operativu Niagara
  • Funzioni di Sicurezza: Codice di Verificazione di u Contu, Conti di Sistema, Recuperu di Password, Comunicazione Sicura, Certificati
  • Compatibilità di rete: BACnetTM, LAN

Disclaimer
Benchì avemu fattu sforzi per assicurà l'accuratezza di stu documentu, Honeywell ùn hè micca rispunsevule di i danni di qualsiasi tipu, cumpresi, senza limitazioni, i danni cunsequenziali derivanti da l'applicazione o l'usu di l'infurmazioni cuntenute in questu documentu. L'infurmazioni è e specifiche publicate quì sò attuali à a data di sta publicazione è sò sottumesse à cambiamenti senza preavvisu. L'ultime specifiche di u produttu ponu esse truvate nantu à u nostru situ web. websitu o cuntattendu u nostru uffiziu corporativu in Atlanta, Georgia.
Per parechje cumunicazioni industriali basate nantu à RS-485, u statutu predefinitu hè disattivatu à u mumentu di a spedizione fora di fabbrica per assicurà a megliu sicurezza, perchè questi bus di cumunicazione legacy utilizanu tecnulugia legacy per a megliu compatibilità è sò stati cuncipiti cù una prutezzione di sicurezza debule. Dunque, per massimizà a prutezzione di u vostru sistema, Honeywell hà disattivatu in modu proattivu i porti di cumunicazione di u bus industriale legacy (à u mumentu di a spedizione di fabbrica), è l'utente deve attivà esplicitamente e rete in Station di ogni rete. Se vulete attivà questi porti, duvete esse cuscenti di u risicu di qualsiasi violazione di a sicurezza purtata da l'usu di a tecnulugia legacy. Questi includenu ma ùn sò micca limitati à: Panel-bus, C-Bus, BACnetTM, M-Bus, CP-IO Bus, NovarNet, protocolu XCM-LCD, SBC S-Bus è Modbus, ecc.
Sviluppà per ISA-62443

Honeywell s'hè basata annantu à a norma ISA 62443-4-1 per parechji anni è e norme cumpagne applicabili per sviluppà i nostri prudutti di tecnulugia di custruzzione in modu sicuru. Per esempiuampvale à dì, i prudutti di custruzzione Honeywell utilizanu ancu ISA/IEC 62443-4-2 cum'è basa per i requisiti di sicurezza tecnica in i cumpunenti, è usemu ISA/IEC 62443-3-3 per i sistemi cumpleti. Cusì, per l'integratori è i clienti chì selezziunanu tecnulugie di custruzzione, l'aderenza di Honeywell à a famiglia di norme ISA/IEC 62443 pò furnisce un altu livellu di fiducia chì i nostri prudutti ùn pretendenu micca solu esse ciberresilienti - sò stati cuncipiti, testati è validati per a ciberresilienza da u principiu.
Honeywell sviluppa i nostri prudutti secondu ISA/IEC 62443-4-1 è simu stati valutati da una terza parte è verificati secondu sta norma.
Introduzione è Publicu Destinatu

Honeywell dichjara espressamente chì i so cuntrolli ùn sò micca intrinsecamente prutetti contr'à l'attacchi cibernetici da Internet è chì sò dunque destinati solu à esse aduprati in rete private. Tuttavia, ancu e rete private ponu esse sottumesse à attacchi cibernetici maliziosi da individui IT qualificati è equipaggiati è dunque necessitanu prutezzione. I clienti devenu dunque aduttà e linee guida per e migliori pratiche d'installazione è di sicurezza per i prudutti basati nantu à IP di Advanced Plant Controller per mitigà u risicu pusatu da tali attacchi.
E seguenti linee guida descrivenu e migliori pratiche di sicurezza generale per i prudutti basati su Advanced Plant ControllerIP. Sò elencate in ordine di mitigazione crescente.

I requisiti esatti di ogni situ devenu esse valutati casu per casu. A grande maggioranza di l'installazioni chì implementanu tutti i livelli di mitigazione descritti quì saranu assai più alti di ciò chì hè necessariu per una sicurezza di u sistema soddisfacente. Incorporà l'articuli 1-5 (relativi à e Reti Locali), Riferitevi à a "Raccomandazione di e Reti Locali (LAN)" à a pagina 20. generalmente risponderà à i requisiti per a maiò parte di l'installazioni di rete di cuntrollu di l'automatizazione.
Stu manuale cuntene infurmazioni per guidà u persunale di un rivenditore Honeywell nantu à cumu installà è cunfigurà in modu sicuru un Advanced Plant Controller, HMI è moduli IO. Infurmazioni relative à a sicurezza nantu à u funziunamentu, u backup è u restaurazione USB è CleanDist. file L'installazione di u controller si pò truvà in l'Istruzzioni d'Installazione è a Guida di Messa in Serviziu (31-00584).

NOTA
Pigliate u tempu di leghje è capisce tutti i manuali d'installazione, cunfigurazione è funziunamentu pertinenti è assicuratevi d'ottene regularmente l'ultime versioni.

Table 1 Information Product

Pruduttu Numeru di produttu Descrizzione
 

 

 

 

 

 

Cuntrollore di Pianta

 N-ADV-134-H Cuntrollore avanzatu Niagara cù quattru porte Ethernet, una porta per HMI è 4 porte RS485
 

N-ADV-133-H-BWA

 Controller avanzatu Niagara cù quattru porte Ethernet, porta per HMI, 3 porte RS485, Wi-Fi (regione Americhe) è supportu Bluetooth™
 

N-ADV-133-H-BWE

 Cuntrollore avanzatu Niagara cù quattru porte Ethernet, porta per HMI, 3 porte RS485, Wi-Fi (regione Europa) è supportu Bluetooth™
 

N-ADV-133-H-BWW

 Cuntrollore avanzatu Niagara cù quattru porte Ethernet, porta per HMI, 3 porte RS485, Wi-Fi (regione Restu di u mondu) è supportu Bluetooth™
N-ADV-133-H Cuntrollore avanzatu Niagara cù quattru porte Ethernet, una porta per HMI è 3 porte RS485
N-ADV-112-H Cuntrollore avanzatu Niagara cù dui porti Ethernet, portu per HMI è 2 porti RS485
 

HMI

 HMI-DN HMI (muntatura nantu à guida DIN)
HMI-WL HMI (Montaggio à porta/muru)
 

 

 

 

 

 

 

 

 

 

Modulu IO

 IO-16UIO-SS Modulu IO 16UIO senza HOA, cumunicazione seriale, terminali à vite
IOD-16UIO-SS Modulu IO 16UIO cù Display HOA, Comunicazioni Seriali, Terminali à Vite
IO-16UI-SS Modulu IO 16UI, Comunicazioni seriali, Terminali à vite
IO-16DI-SS Modulu IO 16DI, Comunicazioni seriali, Terminali a vite
IO-8DOR-SS Modulu IO 8DO senza HOA, Relè C/O, Comunicazioni Seriali, Terminali à Vite
IOD-8DOR-SS Modulu IO 8DO cù Display HOA, Relè C/O, Comunicazioni Seriali, Terminali à Vite
IO-16UIO-SP Modulu IO 16UIO cù Display HOA, Comunicazioni Seriali, Terminali Push
IO-16UI-SP Modulu IO 16UIO, Comunicazioni seriali, Terminali push
IO-16DI-SP Modulu IO 16DI, Comunicazioni seriali, Terminali à spinta
IO-8DOR-SP Modulu IO 8DO senza HOA, Relè C/O, Comunicazioni Seriali, Terminali Push
IOD-8DOR-SP Modulu IO 8DO cù Display HOA, Relè C/O, Comunicazioni Seriali, Terminali Push
IO-8UIO-SS Modulu IO 8UIO senza HOA, cumunicazione seriale, terminali à vite
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Modulu IO

 IOD-8UIO-SS Modulu IO 8UIO cù Display HOA, Comunicazioni Seriali, Terminali à Vite
IO-8AO-SS Modulu IO 8AO senza HOA, cumunicazione seriale, terminali à vite
IOD-8AO-SS Modulu IO 8AO cù Display HOA, Comunicazioni Seriali, Terminali à Vite
IO-4UIO-SS Modulu IO 4UIO senza HOA, cumunicazione seriale, terminali à vite
IOD-4UIO-SS Modulu IO 4UIO cù Display HOA, Comunicazioni Seriali, Terminali à Vite
IO-8DI-SS Modulu IO 8DI, Comunicazioni seriali, Terminali a vite
IO-4DOR-SS Modulu IO 4DO senza HOA, Relè C/O, Comunicazioni Seriali, Terminali à Vite
IOD-4DOR-SS Modulu IO 4DO cù Display HOA, Relè C/O, Comunicazioni Seriali, Terminali à Vite
IO-4DORE-SS Modulu IO 4DO senza HOA, Relè C/O migliorati, Comunicazioni seriali, Terminali a vite
IOD-4DORE-SS Modulu IO 4DO cù Display HOA, Relè C/O Migliorati, Comunicazioni Seriali, Terminali à Vite
IO-8UIO-SP Modulu IO 8UIO senza HOA, Comunicazioni seriali, Terminali push
IOD-8UIO-SP Modulu IO 8UIO cù Display HOA, Comunicazioni Seriali, Terminali Push
IO-8AO-SP Modulu IO 8AO senza HOA, Comunicazioni seriali, Terminali push
IOD-8AO-SP Modulu IO 8AO cù Display HOA, Comunicazioni Seriali, Terminali Push
IO-4UIO-SP Modulu IO 4UIO senza HOA, Comunicazioni seriali, Terminali push
IOD-4UIO-SP Modulu IO 4UIO cù Display HOA, Comunicazioni Seriali, Terminali Push
IO-8DI-SP Modulu IO 8DI, Comunicazioni seriali, Terminali à spinta
IO-4DOR-SP Modulu IO 4DO senza HOA, Relè C/O, Comunicazioni Seriali, Terminali Push
IOD-4DOR-SP Modulu IO 4DO cù Display HOA, Relè C/O, Comunicazioni Seriali, Terminali Push
IO-4DORE-SP Modulu IO 4DO senza HOA, Relè C/O Migliorati, Comunicazioni Seriali, Terminali Push
IOD-4DORE-SP Modulu IO 4DO cù Display HOA, Relè C/O Migliorati, Comunicazioni Seriali, Terminali Push

PERCHÈ ASSEGURÀ I VOSTRI CONTROLLER AVANZATI?

  • Prutegge i sistemi di l'impianto di i vostri clienti da cambiamenti micca autorizati à i punti di impostazione operativi, i override è i calendarii.
  • Impedisce l'accessu à i dettagli di u contu di l'utilizatore: per esempiu nomi d'utilizatori, password, indirizzi email, numeri SMS (mobile) ecc.
  • Impedisce l'accessu à dati cummercialmente sensibili: Es.ampMetriche di cunsumu energeticu, suluzioni di strategia di cuntrollu specializata, ecc.
  • Impedisce l'accessu micca autorizatu à u controller, l'urdinatori è e rete chì ospitanu u software BMS è i dispositivi di cuntrollu.
  • Mantene l'integrità di i dati è furnisce responsabilità.

SISTEMA OVERVIEW

Honeywell-Optimizer-Advanced-Controller- (1)

U sopraview di l'installazione tipica di u sistema..

  1. Internet / intranet / reta corporativa
    Questa hè una rapprisentazione di rete simplificata è logica di tutte e rete fora di u scopu di u sistema di automatizazione di l'edifici (BAS). Pò furnisce accessu à l'interfacce di gestione BAS (per esempiu, a stazione di travagliu primaria Niagara). web interfaccia utente) ma deve furnisce accessu à Internet in modu chì l'urdinatori Niagara possinu verificà è scaricà l'aghjurnamenti di u sistema operativu è di u scanner di virus, à menu chì ùn sia furnitu un altru mezzu per fà questu.
  2. Rete BAS
    Sta reta hè aduprata solu per i protokolli BAS, chì consiste in BACnetTM/IP, BACnetTM/Ethernet, è qualsiasi protokollu chì Niagara Integration Services nantu à un Advanced Plant Controller puderia aduprà. Sta reta ùn deve esse a listessa reta chè a reta Internet/intranet/corporativa.
  3. Firewall BAS
    Per furnisce una separazione è una prutezzione supplementari à u BAS, un firewall deve esse adupratu trà Internet/intranet/rete corporativa è qualsiasi dispositivu BAS chì si cunnetta à ellu, cum'è a stazione di travagliu primaria Niagara, e stazioni di travagliu Niagara è Advanced Plant Controller. Stu firewall limita l'accessu à u BAS solu à l'urdinatori chì sò autorizati è pò aiutà à riduce u risicu d'attacchi, cum'è un attaccu di denegazione di serviziu.
  4. Postazione di travagliu Niagara
    A stazione di travagliu primaria Niagara hè un urdinatore chì esegue u software Niagara. Richiede duie cunnessione di rete - una per cunnette si à a gestione. web interfaccia d'utilizatore attraversu a web navigatore (di solitu nant'à u
    Internet/intranet/rete corporativa) è un altru per a cunnessione à a rete BAS.
  5. Switch Ethernet
    Un switch Ethernet crea rete è usa parechji porti per cumunicà trà i dispusitivi in ​​a LAN. I switch Ethernet sò diffirenti da i router, chì cunnettanu e rete è utilizanu solu un unicu portu LAN è WAN. Una infrastruttura wireless cumpleta cablata è corporativa furnisce una cunnessione cablata è Wi-Fi per a cunnessione wireless.
  6. Controller avanzatu di a pianta
    L'Advanced Plant Controller hè un controller globale chì si cunnetta à una rete Ethernet, BACnetTM IP è segmenti di rete MS/TP ospitanti. MS/TP hè una cunnessione à bassa larghezza di banda chì hè aduprata per cunnette controller è sensori.
  7. HMI
    L'HMI hè cunnessu è riceve l'alimentazione da i cuntrolli di l'impianto Advanced Niagara. Quessi dispositivi sò custruiti cù un display tattile capacitivu chì supporta una selezzione cù u ditu nudu è furnisce à l'operatore funzioni per view, accede è risolve i prublemi di i punti di u controller, di i moduli IO è di altri apparecchi cunnessi.
  8. Modulu IO
    I moduli IO ponu cunnette si à u controller aduprendu e cunnessione touch flake (alimentazione è cumunicazioni) o i moduli IO ponu cunnette si à un adattatore di cablaggio chì serà furnitu cù alimentazione è cunnessu à una di l'interfacce RS485 di u controller. I moduli IO sò programmabili aduprendu u strumentu d'ingegneria esistente cum'è u strumentu ComfortPointTM Open Studio è Niagara 4 Workbench.

PIANIFICAZIONE È SICUREZZA DI RETE

  1. Rete Ethernet
    Hè cunsigliatu chì a rete Ethernet aduprata da u sistema BMS sia separata da a rete nurmale di l'uffiziu.
    ExampLe:
    Utilizendu un spaziu d'aria, o una rete privata virtuale. L'accessu fisicu à l'infrastruttura di rete Ethernet deve esse limitatu. Duvete ancu assicurà chì l'installazione sia conforme à a pulitica IT di a vostra cumpagnia.
    I cuntrolli avanzati ùn devenu micca esse cunnessi direttamente à Internet.
  2. Web Servitore
    U Controller Avanzatu furnisce sia HTTP sia HTTPS web servitori. Sè un web u servitore ùn hè micca necessariu, hè cunsigliatu chì tramindui web i servitori sò disattivati.
  3. Rete IP BACnetTM
    A causa di a natura insicura di u protocolu BACnetTM, i moduli Advanced Controller, HMI è IO chì utilizanu BACnetTM ùn devenu micca esse cunnessi à Internet in alcuna circustanza. U sistema di sicurezza di Advanced Controller ùn prutege micca contr'à e scritture BACnetTM. L'accessu fisicu à l'infrastruttura di rete IP BACnetTM deve esse limitatu. Se e cumunicazioni IP BACnetTM ùn sò micca necessarie, u Modulu di Rete Advanced Controllers (BACnetTMTM IP) deve esse disattivatu impostendu u parametru "Disable Module" à "1".
    Sè e cumunicazioni BACnetTMTM sò necessarie, hè fortemente cunsigliatu di ùn attivà i servizii BACnetTMTM Backup/Restore, Reinitializate Device è BACnetTMTM Writable. Tuttavia, questu significa chì a strategia creata ùn hè micca conforme à BTL - Riferitevi à "Sicurezza Locale" à a pagina 13.
  4. MS/TP (licenze NC)
    L'accessu fisicu à l'infrastruttura di rete MS/TP deve esse limitatu. Sè a rete MS/TP ùn hè micca necessaria, u Modulu di Rete Advanced Controller (BACnetTM MSTP) deve esse disattivatu impostendu u parametru "Disable Module" à "1". Bus IO (licenze CAN)
    L'accessu fisicu à u Bus IO deve esse limitatu.
  5. USB
    L'accessu fisicu à u portu d'ingegneria lucale USB di l'Advanced Controller deve esse limitatu.
  6. RS485 (cumprese licenze Modbus)
    L'accessu fisicu à u portu RS485 di u Controller deve esse limitatu. S'ellu ùn hè micca necessariu, qualsiasi Modulu di Rete cunnessu à u portu ùn deve esse inclusu in a strategia.
  7. Rete IP Modbus (licenze INT)
    A causa di a natura insicura di u protocolu Modbus, i Controller Avanzati chì supportanu Modbus IP ùn devenu micca esse cunnessi à Internet in alcuna circustanza. L'accessu fisicu à l'infrastruttura di rete Modbus IP deve esse limitatu. Se e cumunicazioni Modbus IP ùn sò micca necessarie, u Modulu di Rete di u Controller Avanzatu (Modbus IP) ùn deve micca esse inclusu in a strategia.

SISTEMA DI SICUREZZA DI CONTROLLER AVANZATU, HMI È MODULU IO

A sicurità di i cuntrolli avanzati hè cunforme à ISA 62433-3-3 SL 3 è furnisce un avviu sicuru, una rete autenticata è crittografata, una crittografazione à u riposu è una gestione di conti sincronizata.
Per accede à i prudutti Advanced Controller o eseguisce una di e attività sopra menzionate, hè necessariu furnisce un nome d'utilizatore è una password validi per un contu di sistema d'ingegneria o un contu di sistema di dispositivi.

  1. Sicurezza quandu ùn hè micca cunfigurata
    Per interagisce cù un controller Avanzatu, HMI è Moduli IO, devenu esse furnite credenziali valide. U controller hè furnitu da a fabbrica senza alcuna credenziale (Conti di Sistema o Moduli Utente) chì garantisce chì quandu hè acceso per a prima volta hè prutettu contr'à l'accessu micca autorizatu. A prima volta chì si prova à cunnette si à un vCNC in unu di i prudutti Avanzati nantu à a rete Niagara, deve esse creatu un Contu di Sistema d'Ingegneria cù u Rolu d'Amministratore.
  2. Prutezzione da i dispusitivi micca autorizati
    Una chjave unica (Chjave di Rete) hè aduprata per assicurà chì solu i dispusitivi autorizati possinu unisce si à a rete Niagara. Tutti i cuntrolli chì devenu furmà una rete Niagara devenu avè a listessa Chjave di Rete è u listessu portu UDP. Quessi sò cunfigurati cù IP Tool durante u prucessu di cunfigurazione iniziale.
    ExampLe:
    Sè quattru Cuntrolli Avanzati di l'Impianti anu a listessa Chjave di Rete (112233), è un quintu hà una Chjave di Rete diversa
    (222). Quandu sò cunnessi à a listessa rete Ethernet, i quattru cuntrolli cù a listessa Chjave di Rete si uniscenu per furmà una sola rete, ma u quintu Cuntrollu ùn puderà micca unisce si à a rete perchè hà una Chjave di Rete diversa, vale à dì (222).
    In listessu modu, se u quintu controller hè novu (cum'è speditu da a fabbrica) è hè aghjuntu à a rete Ethernet, ùn puderà micca cunnette si à a rete Niagara perchè ùn hà micca una Chiave di Rete.
    1. Codice di Verificazione di u Contu
      Quandu un contu di sistema amministratore hè aghjuntu à unu di i cuntrolli di a rete, un codice di verificazione di u contu hè generatu automaticamente da u cuntrolli à u quale hè statu aghjuntu u contu di sistema. Stu codice hè sincronizatu cù tutti l'altri cuntrolli cù a stessa chjave di rete è u portu UDP di a rete Ethernet.
      Una volta chì un Codice di Verificazione di u Contu hè statu generatu, TUTTI i cuntrolli di a rete DEVONU avè u listessu Codice di Verificazione di u Contu è ancu a listessa Chjave di Rete è u listessu portu UDP.
      Example:
      S'ellu ci sò cinque cuntrolli, tutti i cuntrolli Avanzati anu a listessa Chjave di Rete. Quattru anu u listessu Codice di Verificazione di u Contu (AVC) è dunque formanu una rete. U quintu hà un Codice di Verificazione di u Contu differente è ancu s'ellu hà a listessa Chjave di Rete ùn hè micca capace di unisce si cù l'altri cuntrolli.
  3. Conti di sistema
    I conti di sistema permettenu à e persone è à i dispusitivi d'interagisce cù u Controller Avanzatu. L'accessu datu dipende da u tipu di contu è da u rolu.
    Ci sò dui tipi di Conti di Sistema:
    1. Contu di u Sistema d'Ingegneria
    2. Contu di Sistema di u Dispositivu
    3. Contu di u Sistema d'Ingegneria
      I Conti di Sistema d'Ingegneria sò destinati à l'usu da l'ingegneri. Ogni Contu di Sistema d'Ingegneria hà un nome di contu è una password chì devenu esse furniti quandu u controller li dumanda. Se un nome d'utilizatore è una password validi sò furniti, u controller cuncederà l'accessu.

Un contu di sistema d'ingegneria separatu deve esse creatu per ogni persona. I conti di sistema d'ingegneria ponu esse impostati à unu di dui roli:

  • Ruolo di l'ingegneria
  • Rolu di amministratore

Ruolo di l'ingegneria
U rolu d'Ingegneria furnisce l'accessu necessariu per l'ingegneria di u sistema Avanzatu, a creazione/gestione di i Conti di Sistema di i Dispositivi è a gestione di i dettagli di u contu di l'utente (indirizzu email, password, ecc.).
Rolu di amministratore
U rolu d'Amministratore furnisce u listessu accessu cum'è u rolu d'Ingegneria più a capacità di gestisce tutti i Conti di Sistema d'Ingegneria è di Dispositivi.

Contu di Sistema di u Dispositivu
I Conti di Sistema di Dispositivi sò destinati à permette à i dispositivi cum'è Niagara di cunnette si à a rete per ottene l'infurmazioni necessarie è fà cambiamenti. Hè cunsigliatu di creà un Contu di Sistema di Dispositivi separatu per ogni dispositivu chì deve accede à a rete. Anu un rolu di "Supervisore".

IMPORTANTE
Impurtante: U sistema di sicurezza di u supervisore deve esse cunfiguratu per limità i diritti d'accessu di ogni utilizatore supervisore.

Creazione di u contu di sistema
Un contu di sistema d'ingegneria cù u rolu d'amministratore deve esse creatu a prima volta chì si prova à cunnette si à un vCNC nant'à a rete Niagara. Stu contu hè tandu sincronizatu cù l'altri cuntrolli nant'à a rete Niagara.

  • Vede a "Gestione di conti sincronizati" à a pagina 12. Conti supplementari ponu esse creati secondu i bisogni aduprendu Niagara workbench.

NOTA
A prima volta chì un contu di sistema d'ingegneria hè creatu in un controller, un codice di verificazione di u contu hè generatu automaticamente è sincronizatu cù l'altri controller nantu à a rete Ethernet cù a stessa chjave di rete è u portu UDP. Quandu un controller hà un codice di verificazione di u contu, pò unisce si solu à una rete cù controller chì anu u listessu codice di verificazione di u contu - Riferitevi à u "Codice di verificazione di u contu" à a pagina 11.

Gestione di u contu sincronizata
A gestione sincronizata di i conti sincronizza facilmente è in modu sicuru i conti di sistema, cumpresu u codice di verificazione di u contu, cù tutti i cuntrolli avanzati di a stessa rete Niagara. Questu permette:

  • Cunnessione unica per a rete
  • Riduzione di u sovraccaricu di cunfigurazione è mantenimentu di l'accessu in tuttu u situ senza riduce a sicurezza Tutti i Controller Avanzati nantu à a listessa rete averanu i stessi Conti di Sistema.

Quandu un Controller Avanzatu senza alcun Contu di Sistema hè cunnessu à a rete Ethernet è cunfiguratu cù a Chiave di Rete è u portu UDP per a rete Niagara, si unirà à a rete è otterrà automaticamente i so Conti di Sistema da l'altri controller di a rete Niagara.

ExampLe:
Sè un Controller Avanzatu senza alcun Contu di Sistema hè aghjuntu à u sistema sopra è li hè stata data a Chjave di Rete per a rete Niagara (112233) è u portu UDP, si unirà à a rete è uttene i so Conti di Sistema (Utente 1, Utente 2, Utente 3) da l'altri Controller Avanzati di a rete Niagara.
Una volta chì a sincronizazione hè cumpletata, serà pussibule di cunnette si à qualsiasi vCNC, visualizà web pagine è cunnettatevi à qualsiasi controller Advanced in a rete Niagara cù qualsiasi di i Conti di Sistema.
Sè i cambiamenti sò fatti à i Conti di Sistema, vale à dì chì un contu hè aghjuntu, sguassatu o mudificatu, sti cambiamenti saranu automaticamente sincronizati in tutti i Controller Avanzati di a rete Niagara.

ExampLe:
S'ellu ci sò cinque Controller Avanzati, i Conti di Sistema in u Controller (1) sò mudificati per caccià l'Utilizatore 2, rinominate l'Utilizatore 3 in Utilizatore 3a è l'Utilizatore 4 hè aghjuntu, i cambiamenti saranu sincronizati cù u Controller (2), u Controller (3), u Controller (4) è u Controller (5).

NOTA:
Sè durante a sincronizazione si scopre un cunflittu, l'ultima mudificazione hà a priorità.

Cambià una Chjave di Rete di Controller Avanzatu
Quandu una Chjave di Rete di Controller Avanzatu hè cambiata, tutti i so Conti di Sistema seranu sguassati è serà rimossa da a so rete Niagara attuale. U cambiamentu di a Chjave di Rete deve esse autorizatu da un Contu di Sistema Ingegnere o Amministratore validu.
Una volta chì u cambiamentu hè statu fattu, si unirà à una rete Niagara aduprendu a nova Chjave di Rete, s'ella esiste, è uttene Conti di Sistema da u Controller Avanzatu nantu à a nova rete Niagara, basta ch'ellu abbia u listessu portu UDP.

Sicurezza lucale
A sicurità lucale usa l'utilizatori lucali (Moduli d'Utilizatore) per permette l'accessu à i Cuntrolli Avanzati web pagine o un display cunnessu lucalmente è per cuntrullà l'infurmazioni visibili o i valori chì ponu esse aghjustati.
Per accede è fà cambiamenti, ci vole à furnisce un nome d'utilizatore è una password validi per un utilizatore lucale. U livellu PIN di l'utilizatore determina quali parametri un utilizatore pò vede è aghjustà.

NOTA
L'utilizatori lucali ùn sò micca sincronizati cù altri cuntrolli avanzati nantu à a rete Niagara.

Accessu à Web Pagine
Accessu à u cuntrollore web E pagine sò prutette da u sistema di sicurezza Advanced Controller. Quandu u controller web u servitore hè accessu à un web una pagina hè visualizata chì furnisce alcune informazioni basiche è permette à un utilizatore di cunnettassi - Riferitevi à "Accessu iniziale" à a pagina 13.
L'utilizatori chì si cunnettanu seranu trattati cum'è utilizatori cunnessi - Riferitevi à "Utilizatori cunnessi" à a pagina 14. è l'utilizatori chì accedenu à u web E pagine senza cunnessione averanu accessu cum'è descrittu in "Accessu iniziale" à a pagina 13.

Accessu iniziale
Quandu u cuntrollore web U servitore hè prima accessu à a pagina di benvenuta visualizata è l'accessu datu dipende da a cunfigurazione di sicurezza attuale di u controller:

  • Nisun contu di sistema d'ingegneria è nisun modulu d'utilizatore (predefinitu di fabbrica)
  • A pagina di "Benvenuta" hè visualizata è l'accessu cumpletu à u controller hè dispunibule. web pagine è a capacità di fà cambiamenti serà data.

NOTA
Siccomu ùn ci sò micca Conti di Sistema d'Ingegneria o moduli d'utilizatore, ùn serà micca pussibule di cunnettassi.

Conti di Sistema d'Ingegneria è nisun modulu d'Utilizatore
A pagina "Benvenuta" hè visualizata, è u controller darà accessu solu à u Sensore, l'Ingressu Digitale, a Manopola, l'Interruttore, u Driver, a Pianificazione, a Pianificazione Temporaria, l'Ora, i moduli Plot, u Registru d'Allarme è i Grafici è ùn permetterà micca cambiamenti.

NOTA
Serà pussibule di cunnettassi cù i Conti di u Sistema d'Ingegneria.

  • Conti di Sistema d'Ingegneria è Moduli d'Utilizatori
    A visualizazione iniziale è l'accessu sò cuntrullati da i moduli d'utilizatore. S'ellu ci hè un modulu d'utilizatore chjamatu "Invitatu" senza password quandu u Controller Avanzatu web e pagine sò accessate senza cunnettassi, u controller darà i diritti d'accessu (livellu d'utilizatore, pagina iniziale è view valori predefiniti) specificati da u modulu d'utilizatore 'Invitatu'.
    Per difettu, u modulu d'utilizatore "Invitatu" furnisce solu accessu à a pagina "Benvenuta" Avanzata è hà un livellu d'utilizatore di "0". Questu significa chì un utilizatore chì accede à u controller senza cunnettassi puderà solu view a pagina "Benvenuta". Per dà più accessu, l'utilizatore "Invitatu" pò esse cunfiguratu in u listessu modu cum'è qualsiasi altru Modulu d'Utilizatore di Tipu 0.

NOTA:
U workbench Niagara impedisce à l'utilizatore "Invitatu" di riceve una password, un PIN o un livellu d'utilizatore superiore à "0". Permette una pagina iniziale è view valori predefiniti da cunfigurà.

Hè assai cunsigliatu di lascià l'utilizatore invitatu cù a cunfigurazione predefinita (livellu d'utilizatore '0' è nò view diritti).
S'ellu ùn ci hè micca un modulu d'utilizatore chjamatu "Invitatu" o s'ellu hè statu cunfiguratu cù una password, a pagina "Benvenuti" hè visualizata, è u controller darà accessu solu à i moduli Sensore, Ingressu Digitale, Manopola, Interruttore, Driver, Calendariu, Calendariu Temporale, Ora, Plottaggio, u Registru d'Allarmi è i Grafici è ùn permetterà micca cambiamenti.

NOTA
Serà pussibule di cunnettassi cù i Conti di u Sistema d'Ingegneria è qualsiasi modulu d'Utilizatori chì esiste.

Utilizatori cunnessi
Per cunnettassi à un Controller Avanzatu web pagine devenu esse inseriti un nome d'utilizatore è una password chì currispondenu à unu di i Conti di Sistema di Ingegneria di Controller Avanzati o Moduli d'Utilizatore di Tipu 0.

Recuperazione di password
Sè un utilizatore hà scurdatu a so password, pò esse recuperata aduprendu u workbench Niagara. Per i dettagli nantu à cumu recuperà una password scurdata aduprendu Niagara, cunsultate a guida di l'utente di u workbench Niagara.

SICUREZZA DI U SISTEMA OPERATIVU NIAGARA

 Bona Pratica Generale
Segui e bone pratiche generali per assicurà u sistema operativu cum'è:

  • Salvaschermu prutettu da password
  • Software di crittografia di l'unità

Configurazione di u firewall
U sistema operativu deve esse cunfiguratu per aduprà un firewall chì hè aghjurnatu automaticamente. A cunfigurazione deve impedisce l'accessu (IN/OUT) per tutti i porti eccettu quelli per i quali hè necessariu l'accessu, ÙN lasciate micca aperti i porti inutilizati.

Versione di u Sistema Operativu
Duvete assicurà chì qualsiasi dispusitivu chì esegue l'applicazioni Niagara o cunnessu à a listessa rete IP abbia l'ultimi aghjurnamenti di u sistema operativu installati. Hè una bona pratica assicurà chì l'aghjurnamenti di Windows sianu lasciati automatichi è chì sianu installati in modu puntuale.

Prutezzioni da u virus
Duvete assicurà chì tutti l'urdinatori chì eseguenu l'applicazioni Niagara o cunnessi à a listessa rete IP eseguenu un software di prutezzione antivirus, è chì e definizioni di virus sianu mantenute aggiornate.

 Prutezzione Intrusione
Hè cunsigliatu l'usu di un Sistema di Rilevazione d'Intrusioni (IDS) da un fornitore reputable di prudutti di sicurezza in qualsiasi urdinatore chì esegue l'applicazione Niagara. Seguitate e migliori pratiche per i prudutti scelti è ancu qualsiasi pulitica IT aziendale induve hè fatta l'installazione.
Parechji prudutti IDS è firewall offrenu una suluzione cumpleta per registrà tuttu u trafficu chì entra è esce da l'urdinatore, dendu à l'utilizatori a capacità di registrà tutta l'attività à u livellu u più bassu.

REGULAMENTU GENERALE DI PROTEZIONE DI I DATI (RGPD)

U Regulamentu Generale per a Prutezzione di i Dati (UE) 2016/679 (GDPR) hè un regulamentu di u dirittu di l'UE nantu à a prutezzione di i dati è a privacy per tutti i citadini individuali di l'Unione Europea (UE) è di u Spaziu Ecunomicu Europeu (SEE). Si occupa ancu di u trasferimentu di dati persunali fora di l'UE è di e zone SEE. U GDPR cuntene disposizioni è requisiti relativi à u trattamentu di i dati persunali di l'individui (soggetti di dati) in u SEE è s'applica à qualsiasi impresa stabilita in u SEE (indipendentemente da a so situazione geografica è da a cittadinanza di i soggetti di dati) o chì tratta l'infurmazioni persunali di i soggetti di dati in u SEE.
Sicondu i termini di u GDPR, i dati persunali includenu qualsiasi infurmazione chì pò esse aduprata per identificà un individuu. Questu include (ma ùn hè micca limitatu à):

  • nomi d'utilizatori,
  • password,
  • numeri di telefonu,
  • indirizzi email,
  • indirizzi di travagliu o di residenza.

Ogni infurmazione di stu tipu inserita in u Controller Avanzatu, HMI, è Modulu IO hè criptata è almacenata nantu à i prudutti Avanzati in i locali di un cliente. Honeywell ùn hà alcuna implicazione in l'almacenamentu è/o u trattamentu di dati persunali in i prudutti Avanzati Honeywell.
A rispunsabilità di u rispettu di i requisiti di u GDPR hè pienamente di l'integratore di sistema o di l'amministratore di sistema è, cum'è tali, devenu assicurà chì i sistemi tecnichi è urganizativi adeguati sianu in piazza per:

  • ottene u cunsensu esplicitu di ogni sughjettu di dati per chì i dati persunali sianu almacenati, utilizati è/o trattati,
  • permette à l'individui d'avè accessu à i so dati persunali per verificà l'esattezza,
  • permette à l'individui di ritirà u so accunsentu in ogni mumentu è di fà cancellà definitivamente i so dati persunali,
  • mantene a sicurità è l'integrità di u almacenamentu è di l'accessu à i dati in ogni mumentu,
  • signalà qualsiasi violazione di a sicurezza di i dati (chì pò influenzà a privacy di l'utilizatori) à l'autorità pertinente in 72 ore da a violazione.

COMMUNICAZIONE SECURA

Una Infrastruttura à Chjave Pubblica (PKI) sustene a distribuzione è l'identificazione di e chjave di crittografia publiche aduprate per prutege u scambiu di dati nantu à e rete, cum'è Internet. A PKI verifica l'identità di l'altra parte è codifica a trasmissione effettiva di i dati. A verificazione di l'identità furnisce una garanzia micca ripudiata di l'identità di u servitore. A crittografia furnisce cunfidenzialità durante a trasmissione di rete. L'esigenza di moduli di codice firmati garantisce chì solu u codice previstu sia eseguitu in u sistema.

Per furnisce rete sicure chì utilizanu PKI, Niagara supporta u protocolu TLS (Transport Layer Security), versioni 1.0, 1.1 è 1.2. TLS rimpiazza u so predecessore, SSL (Secure Sockets Layer).
Ogni installazione di Niagara crea automaticamente un certificatu predefinitu, chì permette di criptà immediatamente a cunnessione. Tuttavia, sti certificati generanu avvisi in u navigatore è in Workbench è generalmente ùn sò micca adatti per l'utilizatori finali. A creazione è a firma di certificati digitali persunalizati permette un usu senza intoppi di TLS in u navigatore, è furnisce sia a crittografia sia l'autenticazione di u servitore.
Oltre à a sicurità di a cumunicazione, ogni modulu di codice informaticu chì funziona in u sistema hè prutettu cù una firma digitale. L'uggetti di prugramma aghjunti necessitanu sta firma o ùn funzionanu micca.

Verificazione di u servitore, crittografazione di a trasmissione è assicurazione chì solu l'esecuzione di codice firmatu ùn prutegge micca i dati almacenati in un dispositivu di almacenamentu. Avete sempre bisognu di limità l'accessu fisicu à l'urdinatori è i cuntrolli chì gestiscenu u vostru mudellu di custruzzione, cunfigurà l'autenticazione di l'utilizatori cù password forti è assicurà i cumpunenti cuntrullendu i permessi.
Niagara supporta è usa una cumunicazione sicura è un codice firmatu per difettu. Ùn avete bisognu di cumprà una licenza supplementaria.
A sicurità hè una preoccupazione cuntinua. Mentre truverete assai informazioni preziose in i temi di cumunicazione sicura, aspettatevi aggiornamenti è cambiamenti futuri.
Quì sottu sò e cumunicazioni sicure. Per più dettagli, riferitevi à a guida di sicurezza di a stazione di Niagara.

  • Relazioni cliente/servitore
  • Certificati
  • Magazzini di certificati
  • Struttura di cartulare CSR
  • Cunfigurazione di u certificatu
  • Assistente di Certificatu
  • Firma di parechji certificati
  • Cunfigurazione di a cumunicazione sicura di a piattaforma
  • Cunfigurazione di a cumunicazione sicura di a stazione
  • Attivazione di i clienti è cunfigurazione di elli per u portu currettu
  • Installà una copia di stazione nantu à un'altra piattaforma
  • Sicurezza di l'email
  • Risoluzione di prublemi di cumunicazione sicura

Relazioni cliente/servitore
E relazioni client/server identificanu e cunnessione chì necessitanu prutezzione. E relazioni client/server di Workbench varianu secondu cumu si cunfigura è si usa un sistema. Workbench hè sempre un client. Una piattaforma hè sempre un server. Una stazione pò esse un client è un server.
I protocolli di sistema chì gestiscenu e cumunicazioni sò:

  • E cunnessione di piattaforma da Workbench (cliente) à u controller o à u daemon di piattaforma Supervisor PC (servitore) utilizanu Niagara. Una cunnessione di piattaforma sicura hè qualchì volta chjamata platformtls. Abilitate platformtls utilizendu l'Amministrazione di Piattaforma. view.
  • E cunnessione di e stazioni lucali (Supervisore è piattaforma) utilizanu Foxs. Queste cunnessione si attivanu in u FoxService di una stazione (Config > Services > FoxService).
  • E cunnessione di u navigatore utilizanu Https, è ancu Foxs sè utilizate Web Lanciatore cù un WbWebProfileAbilitate queste cunnessione cù a stazione. WebServiziu (Cunfigurazione > Servizii > Webserviziu).
  • Cunnessione di i clienti à u servitore di email di a stazione, s'ellu hè applicabile. Abilitate l'email sicura aduprendu EmailService di a stazione (Config > Services > EmailService).

CERTIFICATI
Un certificatu hè un documentu elettronicu chì usa una firma digitale per ligà una chjave publica cù una persona o una urganizazione. I certificati ponu serve à una varietà di scopi secondu cumu si cunfigura a pruprietà Key Usage di u certificatu. U so scopu principale in questu sistema hè di verificà l'identità di un servitore in modu chì a cumunicazione possa esse affidabile. Per più dettagli, riferitevi à a Guida di Sicurezza di a Stazione Niagara - Certificatu.
Niagara supporta questi tipi di certificati:

  • Un certificatu CA (Autorità di Certificazione) hè un certificatu autofirmatu chì appartene à una CA. Puderia esse una terza parte o una sucietà chì serve cum'è a so propria CA.
  • Un certificatu CA radice hè un certificatu CA autofirmatu chì a so chjave privata hè aduprata per firmà altri certificati creendu un arburu di certificati di fiducia. Cù a so chjave privata, un certificatu CA radice pò esse esportatu, almacenatu nantu à una chiavetta USB in un caveau, è estrattu solu quandu i certificati devenu esse firmati. A chjave privata di un certificatu CA radice richiede a creazione di una password à l'esportazione è a furnitura di a stessa password quandu l'utilizate per firmà altri certificati.
  • Un certificatu intermediu hè un certificatu CA firmatu da un certificatu CA radice chì hè utilizatu per firmà certificati di servitore o altri certificati CA intermedi. L'usu di certificati intermedi isola un gruppu di certificati di servitore.
  • Un certificatu di servitore rapprisenta u latu servitore di una cunnessione sicura. Mentre pudete cunfigurà un certificatu separatu per ogni protocolu (Foxs, Https, Webs). Mentre pudete cunfigurà una piattaforma è una stazione (cum'è servitore) cù certificati di servitore separati, per simplicità a maiò parte di i sistemi utilizanu di solitu u listessu certificatu di servitore.
  • Un certificatu di firma di codice hè un certificatu utilizatu per firmà oggetti è moduli di prugramma. L'integratori di sistemi utilizanu stu certificatu per impedisce l'introduzione di codice maliziosu quandu persunalizanu u framework.

Certificati autofirmati
Un certificatu autofirmatu hè quellu chì hè firmatu per difettu aduprendu a so propria chjave privata piuttostu chè da a chjave privata di un certificatu CA (Autorità di Certificazione) radice.
U sistema supporta dui tipi di certificati autofirmati:

  • Un certificatu CA radice hè implicitamente fidatu perchè ùn ci hè micca autorità superiore à a CA (Autorità di Certificazione) chì pussede stu certificatu. Per questa ragione, e CA, chì u so compitu hè di appruvà i certificati di altre persone, guardanu attentamente i so certificati CA radice è e so chjave private. In listessu modu, se a vostra sucietà serve cum'è a so propria CA, duvete guardà attentamente u certificatu CA radice chì aduprate per firmà altri certificati.
  • Un certificatu predefinitu, autofirmatu: A prima volta chì avviate una istanza di Workbench, una piattaforma o una stazione dopu l'installazione (messa in serviziu), u sistema crea un certificatu di servitore predefinitu, autofirmatu cù l'alias di tridium.

NOTA:
Ùn esportate micca stu certificatu è ùn l'impurtate micca in alcun magazinu di un'altra piattaforma o stazione. Ancu s'ellu hè pussibule, fà cusì diminuisce a sicurità è aumenta a vulnerabilità.
Per minimizà u risicu di un attaccu man-in-the-middle quandu si utilizanu certificati autofirmati, tutte e vostre piattaforme devenu esse cuntenute in una rete privata sicura, fora di linea è senza accessu publicu da Internet.

ATTENZIONE
Per aduprà certificati autofirmati, prima di accede à a piattaforma o à a stazione da Workbench per a prima volta, assicuratevi chì u vostru urdinatore è a piattaforma ùn sianu micca nantu à alcuna rete corporativa o Internet. Una volta disconnessu, cunnette l'urdinatore direttamente à a piattaforma, apre a piattaforma da Workbench è appruvà u so certificatu autofirmatu. Solu tandu duvete ricunnette a piattaforma à una rete corporativa.

Cunvenzione di nomi
L'User Key Store, l'User Trust Store è u System Trust Store formanu u core di a cunfigurazione. I certificati s'assumiglianu assai, è i vari certificati autofirmati predefiniti sò chjamati in modu identicu.

Magazzini di certificati
A gestione di certificati usa quattru magazzini per gestisce i certificati: un User Key Store, un System Trust Store, un User Trust Store è una lista di host permessi.
L'User Key Store hè assuciatu à u latu di u servitore di a relazione client-servitore. Stu magazinu cuntene certificati, ognunu cù e so chjave publiche è private. Inoltre, stu magazinu cuntene u certificatu autofirmatu inizialmente creatu quandu avete lanciatu Workbench o avviatu a piattaforma per a prima volta.
L'User Trust Stores è i System Trust Stores sò assuciati à u latu cliente di a relazione client-server. U System Trust Store vene prepopulatu cù certificati publichi standard: certificati CA root da Autorità di Certificazione ben cunnisciute, cum'è VeriSign, Thawte è Digicert. L'User Trust Store cuntene certificati CA root è intermedi per e cumpagnie chì servenu cum'è a so propria autorità di certificazione.
A lista di l'ospiti permessi cuntene certificati di servitore per i quali ùn esiste micca un certificatu CA radice di fiducia in i System o User Trust Stores di u cliente, ma i certificati di u servitore sò stati appruvati per l'usu in ogni modu. Questu include i servitori per i quali u nome di l'ospite di u servitore ùn hè micca listessu chè u Nome Cumunu in u certificatu di u servitore. Appruvate l'usu di sti certificati individualmente. Mentre a cumunicazione hè sicura, hè megliu aduprà certificati di servitore firmati.

Encryption
A crittografia hè u prucessu di codificazione di a trasmissione di dati in modu chì ùn possinu esse letti da terze parti micca fidate. TLS usa a crittografia per trasmette dati trà u cliente è u servitore. Mentre hè pussibule di fà una cunnessione micca crittografata aduprendu solu i protokolli fox o http, hè fortemente cunsigliatu di ùn seguità micca sta opzione. Senza crittografia, e vostre cumunicazioni sò potenzialmente sottumesse à un attaccu. Accettate sempre e cunnessione Foxs o Https predefinite.

CRUSCOTTU DI SICUREZZA FINITUVIEW
In Niagara 4.10u5 è versioni successive, a funzione Security Dashboard furnisce (per l'amministratore è altri utilizatori autorizati) una vista d'uccello. view di a cunfigurazione di sicurezza di a vostra stazione. Questu vi permette di monitorà facilmente a cunfigurazione di sicurezza in parechji servizii di stazione, è identificà qualsiasi debulezza di a cunfigurazione di sicurezza in a stazione.

ATTENZIONE
U Dashboard di Sicurezza View ùn pò micca visualizà tutti i paràmetri di sicurezza pussibuli, è ùn deve esse cunsideratu cum'è una garanzia chì tuttu hè cunfiguratu in modu sicuru. In particulare, i moduli di terze parti ponu avè paràmetri di sicurezza chì ùn si registranu micca in u dashboard.

U Dashboard di Sicurezza view hè u principale view nant'à u Serviziu di Sicurezza di a stazione. U view vi avvisa di e debulezze di sicurezza cum'è i paràmetri di forza di password scarsa; certificati scaduti, autofirmati o invalidi; protokolli di trasportu micca criptati, ecc., chì indicanu e zone induve a cunfigurazione deve esse più sicura. Altri dati riportati includenu: salute di u sistema, numeru di conti attivi, conti inattivi, numeru di conti cù permessi di superutente, ecc. Opzionalmente, l'attributu "sistema" in a funzione di licenza "securityDashboard" pò esse impostu à "veru" per attivà u Sistema. View di a stazione chì furnisce dettagli di sicurezza per ogni stazione subordinata in a NiagaraNetwork.
U Dashboard di Sicurezza hè u principale view per i Servizii di Sicurezza. Per dettagli cumpleti nantu à u view, Vede "nss-SecurityDashboardView"in a Guida di Sicurezza di a Stazione di Niagara.

PIANIFICAZIONE E INSTALLAZIONE

Questa sezione include informazioni per a pianificazione è l'esecuzione di una installazione di Advanced Plant Controller.

Installazione è cunfigurazione cunsigliate
A sezione seguente illustra duie cunfigurazioni d'installazione cunsigliate.

  • Solu BACnetTM
  • BACnet™ è Niagara

BACnetTM Solu ACnetTM
Quandu l'Advanced Plant Controller hè utilizatu solu per e cumunicazioni BACnetTM, cunnette solu Ethernet 1 à a rete BAS induve BACnetTM (BACnetTM/IP o BACnetTM/Ethernet) serà in funzione.

Honeywell-Optimizer-Advanced-Controller- (2)

BACnet™ è Niagara
Quandu Niagara hè adupratu nantu à l'Advanced Plant Controller, pò esse cunfiguratu per furnisce servizii, cum'è web servizii o Niagara FOXS, à a rete Internet/intranet/aziendale. Sè questu hè u casu, cunnette Ethernet 2 à a rete Internet/intranet/aziendale attraversu u firewall BAS per furnisce servizii à quella rete.

Honeywell-Optimizer-Advanced-Controller- (3)

Raccomandazione di e Reti Locali (LAN)
Assicuratevi chì i sistemi funzionanu cù una pulitica di password adatta per l'accessu di l'utilizatori à tutti i servizii. Questa linea guida includerebbe, ma ùn hè micca limitata à:

  1. L'usu di password forti.
  2. Un tempu di ciclu di password cunsigliatu.
  3. Nomi d'utilizatore è password unichi per ogni utilizatore di u sistema.
  4. Regule di divulgazione di password.
  5. Sè hè necessariu un accessu remotu à i sistemi di cuntrollu di l'edifici basati nantu à l'IT, aduprate a tecnulugia VPN (Virtual Private Network) per riduce u risicu d'intercettazione di dati è prutege i dispositivi di cuntrollu da esse piazzati direttamente nantu à Internet.

DOCUMENTAZIONE

A ducumentazione hè essenziale per catturà l'infurmazioni di cuncepimentu è cunfigurazione necessarie per mantene un sistema sicuru.

Documentà i dispusitivi fisichi è e cunfigurazioni, cumprese l'infurmazioni chjave relative à a sicurezza
Tutta a documentazione nantu à i dispositi è e cunfigurazioni deve include infurmazioni relative à a sicurità per stabilisce è mantene i cuntrolli di sicurezza previsti. Per esampVale à dì, se i cambiamenti à i servizii o à i porti predefiniti sò fatti nantu à l'Advanced Plant Controller, allora documentateli chjaramente in modu chì i paràmetri possinu esse restaurati in qualchì mumentu in u futuru.

Documentà i sistemi esterni, in particulare l'interazione trà l'Advanced Plant Controller è i so sistemi cunnessi
U BAS richiede o utilizza cumunemente sistemi esterni per a funziunalità, cum'è l'infrastruttura di rete esistente, l'accessu VPN, l'ospiti di macchine virtuali è i firewall. Se u BAS richiede chì questi sistemi sianu cunfigurati in un certu modu per a sicurezza, cum'è un firewall chì permette o nega certi porti o una rete chì permette l'accessu à certi sistemi, allora duvete documentà sta infurmazione. Se questi sistemi anu bisognu di esse restaurati in qualchì mumentu in u futuru, Exampper via di un guastu di l'equipaggiu, o di cambiamenti chì devenu esse fatti à i sistemi esterni, Es.ampper esempiu: aghjurnà un firewall, avè documentatu sta infurmazione vi aiuterà à ristabilisce u livellu di sicurezza precedente.

CONTROLLU D'ACCESSU È SICUREZZA FISICA
U cuntrollu d'accessu implica specificà è limità l'accessu à i dispusitivi o à e funzioni solu à l'utilizatori autorizati.

Assicurà fisicamente u Cuntrollore di l'Impianto Avanzatu, l'HMI è u Modulu IO
Impedisce l'accessu micca autorizatu à l'equipaggiu di rete chì hè utilizatu in cunghjunzione cù i sistemi furniti da Honeywell. Cù qualsiasi sistema, impedisce l'accessu fisicu à a rete è à l'equipaggiu riduce u risicu d'interferenze micca autorizate. E migliori pratiche di sicurezza cù l'installazioni IT assicurerebbenu chì e sale di servitori, i pannelli di patch è l'equipaggiu IT sianu in stanze chjuse à chjave. L'equipaggiu Honeywell deve esse installatu in armadi di cuntrollu chjusi à chjave, situati stessi in sale di impianti sicure.

Adesivu sopra u pannellu d'accessu o a scatula di u controller
Applica àampAdesivu trasparente sopra u pannellu d'accessu o l'involucru di u Controller di l'Impianto Avanzatu, HMI è Modulu IO
Sè un cliente hà bisognu di una garanzia supplementaria chì l'accessu fisicu chì prutege un Controller di Pianta Avanzatu, un HMI è un Modulu IO ùn hè statu intruduttu, allora installate àampsigillu o adesivu evidenti sopra u puntu d'accessu.

Segregate è prutegge e rete

  1. Aduprate un firewall trà Internet/intranet/rete corporativa è u BAS.
  2. Aduprate una rete fisica dedicata separata (fili separati) o una rete virtuale (VLAN) per a cumunicazione BACnetTM. Questa deve esse una rete separata da Internet/intranet/rete corporativa.
  3. Ùn cunnette micca EN2 nant'à u Cuntrollore Avanzatu di l'Impianto à alcuna rete, salvu chì avete bisognu di i servizii Niagara (Piattaforma, Stazione è/o Webservitore). Sè avete bisognu di cunnette EN2 à Internet/intranet/rete corporativa, allora duvete aduprà un firewall BAS esternu trà l'Advanced Plant Controller è Internet/intranet/rete corporativa.

Sicurezza wireless

  1. L'utilizatore hà bisognu di riview Sicurezza di a rete wireless basata annantu à a topologia di a rete, assicurendu chì ùn ci sia micca esposizione involuntaria à l'INTERNET publicu è chì a prutezzione di u firewall BAS ùn sia micca aggirata.
  2. Hè essenziale aduttà sempre e tecnulugie di sicurezza wireless più elevate dispunibili, cum'è WPA2 o WPA3. Inoltre, l'utilizatori devenu prutege in modu sicuru e so password, cumprese, ma micca limitate à, e password Wi-Fi è i codici PIN BluetoothTM. Ùn permette mai à u controller di cunnette si à una rete wireless aperta o di cunfigurà un puntu d'accessu wireless apertu.
  3. Evitate sempre di cunnette dispositivi micca autorizati à a rete wireless o di stabilisce cunnessione Bluetooth™ per impedisce potenziali exploit.
  4. Hè a rispunsabilità di l'utilizatore di riviseghjà regularmenteview i paràmetri di sicurezza, cambià e password o i codici d'accessu secondu a pulitica di sicurezza è monitorà i dispositivi cunnessi à a rete wireless è e sottoreti. L'utilizatori devenu ancu documentà queste attività di audit.

SICUREZZA DI U CONTROLLER AVANZATU, HMI È MODULU IO

  1. Credenziali di u contu di sistema amministratore furnite à l'utilizatore di u situ
    L'infurmazioni d'accessu di u contu di sistema "Admin" devenu esse furnite à u pruprietariu di u situ per permetteli di gestisce i conti di sistema.
  2. Sviluppà un prugramma di sicurezza
    Riferitevi à e "Migliori Pratiche di Sicurezza Generale"
  3. Cunsiderazione fisica è ambientale
    U Controller Avanzatu, l'HMI è u Modulu IO devenu esse installati in un ambiente chjusu à chjave, per esempiu in una sala macchine sicura, o in un armariu chjusu à chjave.

NOTA
Assicurà una ventilazione adatta.

Aghjurnamenti di Sicurezza è Service Packs
Assicuratevi chì u Controller Avanzatu, l'HMI è u Modulu IO eseguenu l'ultima versione di firmware.

UTENTI È PASSWORD

Users
Assicuratevi chì u numeru d'utilizatori è i livelli d'accessu furniti sianu adatti per l'attività chì anu bisognu di fà.

  • À u livellu di u dispusitivu di u controller, cunfigurate i conti di sistema o l'utilizatori in i controller per Web cliente, Supervisore è accessu Peer-to-peer.
    Cunfigurà i moduli d'utilizatore in i cuntrolli avanzati significa chì un utilizatore duverà cunnettassi à un dispositivu cù credenziali valide prima di pudè fà l'aghjustamenti. Assicuratevi chì i diritti d'accessu adatti sianu assignati per i conti di sistema è l'utilizatori.
  • Aduprà un contu differente per ogni utilizatore
    Aduprate nomi è password unichi per ogni utilizatore/contu in u sistema, invece di accessu genericu. Persone diverse ùn devenu mai sparte u listessu contu. Per esempiuampvale à dì, invece di un contu generale di "gestori" chì parechji gestori puderanu aduprà, ogni gestore duveria avè u so propiu contu separatu.

Ci sò parechje ragioni per chì ogni utilizatore abbia u so propiu contu individuale:

Sè ogni persona hà u so contu, i registri di audit saranu più informativi. Serà faciule determinà esattamente quale utilizatore hà fattu chì. Questu pò aiutà à detectà se un contu hè statu cumprumessu.

NOTA
Micca tutti i prudutti anu una funzione di registru di audit, ma induve dispunibule ùn deve esse disattivata.

  • Sè un contu hè eliminatu o mudificatu, ùn crea micca inconvenienti per parechje persone. Per esempiuampVale à dì, s'è una persona ùn deve più avè accessu, sguassà u so accessu individuale hè simplice. S'ellu hè un contu spartutu, l'uniche opzioni sò di cambià a password è avvisà à tutti, o di sguassà u contu è avvisà à tutti. Lascià u contu cusì ùn hè micca una opzione - l'obiettivu hè di revucà l'accessu.
  • Sè ogni persona hà u so propiu contu, hè assai più faciule d'adattà i permessi per risponde precisamente à i so bisogni. Un contu spartutu puderia fà chì e persone abbianu più permessi di quelli chì devenu.
    Un contu spartutu significa una password spartuta. Hè una pratica di sicurezza estremamente pessima di sparte e password. Rende assai più prubabile chì a password sia divulgata, è rende più difficiule l'implementazione di certe migliori pratiche di password, cum'è a scadenza di a password.
  • Usu di l'Utilizatori Unichi di l'Ingegneria per i Prughjetti
    Hè una pratica cumuna chì certe cumpagnie utilizanu i stessi dettagli di contu per ogni prughjettu. Una volta chì questu hè cunnisciutu, se un sistema hè cumprumessu, l'attaccante puderia avè credenziali per accede à parechji altri prughjetti installati da a listessa cumpagnia.
  • Disattivà i conti cunnisciuti quandu hè pussibule
    Certi prudutti anu conti predefiniti. Quessi devenu esse cunfigurati in modu chì a password ùn sia più quella predefinita.
  • Assignà i permessi minimi richiesti per l'utilizatori
    Assicuratevi chì solu i conti richiesti sianu cunfigurati in u sistema cù i livelli di sicurezza minimi richiesti invece di l'accessu cumpletu. Quandu create un novu contu, pensate à ciò chì a persona hà bisognu di fà in u sistema, è dopu assignate i permessi minimi richiesti per fà quellu travagliu. Per esempiuampVale à dì, qualchissia chì hà solu bisognu di vede l'allarmi ùn hà micca bisognu di accessu d'amministratore. Dà permessi chì ùn sò micca richiesti aumenta a probabilità di una violazione di a sicurezza. L'utilizatore puderia cambià inavvertitamente (o vuluntariamente) i paràmetri chì ùn deve micca cambià.
  • Aduprà u numeru minimu pussibule di conti di amministratore di sistema
    Assignete permessi à l'Amministratori di Sistema solu quandu hè assolutamente necessariu. Stu tipu di contu hè un contu estremamente putente - permette l'accessu cumpletu à tuttu. Solu l'amministratore di sistema deve avè accessu à u contu. Pensate ancu à furnisce à l'Amministratore di Sistema dui conti, unu per l'accessu cutidianu per gestisce l'attività di ogni ghjornu, è un secondu contu d'accessu di altu livellu chì hè necessariu solu quandu sò necessarii cambiamenti di tipu d'amministrazione.

Password
U sistema Niagara è i sistemi operativi utilizati da i prudutti Advanced Honeywell utilizanu password per autenticà l'utilizatori in un Supervisore, Display, Strumentu o Sistemi Operativi. Hè particularmente impurtante di gestisce currettamente e password. Se ùn si utilizanu micca questu livellu di sicurezza iniziale, chiunque accede à u sistema via un display, web u cliente o u supervisore avarà accessu per fà aghjustamenti. Assicuratevi chì u sistema Niagara funziona in una pulitica di password adatta per l'accessu di l'utilizatori, sta linea guida includerebbe, ma ùn serà micca limitata à:

  • L'usu di password forti - Si devenu aduprà password forti. Cunsultate l'ultime norme di sicurezza per i dettagli nantu à ciò chì face una password forte.
  • Un tempu di ciclu di password cunsigliatu - Certi prudutti Niagara permettenu à l'amministratore di u sistema di specificà un periodu dopu à quale una password deve esse cambiata. Ancu s'è micca tutti i prudutti applicanu attualmente questu periodu di cambiamentu di password, una pulitica di u situ pò ricumandà questu.
  • Regole di divulgazione di e password - L'utilizatore DEVE assicurassi di ùn divulgà micca i dettagli di u so nome d'utilizatore è di a so password à l'altri è di ùn scriveli micca.

CONFIGURAZIONE DI UN CONTROLLER D'IMPIANTU AVANZATO
Per a cunfigurazione di un controller di pianta avanzatu, riferitevi à l'Istruzzioni d'Installazione è a Guida di Messa in Serviziu.
(31-00584). Vede a guida di u driver HMI (31-00590) per HMI, è a Guida di u driver di bus di pannellu (31-00591) per u modulu IO.

Crea è mantene una cunfigurazione di basa
Crea è mantene una basa di cunfigurazioni di Advanced Plant Controller chì sò state cunfigurate currettamente per a sicurezza. Assicuratevi chì sta basa includa ancu DCF files è cumpunenti Niagara. Ùn mandate micca cunfigurazioni micca sicure à a basa per impedisce di applicà li accidentalmente in u futuru. Aggiornate qualsiasi documentazione pertinente quandu e cunfigurazioni cambianu.

 Cambià e password predefinite
Cambià tutte e password predefinite: a password di cunfigurazione di a cunsola, a password di salvezza/ripristino/riavvio/controllo è a password di a piattaforma Niagara. Quandu si cumpleta a messa in serviziu, assicuratevi chì u dispusitivu sia prutettu da password. Assicuratevi chì i livelli d'utilizatori adatti sianu assignati per l'utilizatori di u situ.

Ulteriori considerazioni

Accordu di livellu di serviziu
Aduttà una pulitica d'aghjurnamentu adatta per l'infrastruttura installata in u situ cum'è parte di un accordu di livellu di serviziu. Sta pulitica deve include, ma ùn hè micca limitata à, l'aghjurnamentu di i seguenti cumpunenti di u sistema à l'ultima versione:

  • Firmware di i dispositivi per u controller, i moduli IO, HMI, ecc.;
  • Software di supervisore, cum'è u software Arena NX;
  • Sistemi operativi per computer / server;
  • Infrastruttura di rete è qualsiasi sistema di accessu remotu.

Cunfigurazione di a rete IT
Cunfigurà rete IT separate per i sistemi di cuntrollu di l'automatizazione è a rete IT corporativa di u cliente. Questu pò esse ottenutu cunfigurà e VLAN (Virtual LAN) in l'infrastruttura IT di u cliente o installendu una infrastruttura di rete separata cù spaziu d'aria dedicata à i sistemi di cuntrollu di l'automatizazione.
Quandu si interagisce cù i cuntrolli chì utilizanu un supervisore di sistema centralizatu (Example: Niagara) è induve u sistema ùn richiede micca accessu direttu à i dispusitivi individuali web servitore, l'infrastruttura di rete deve esse cunfigurata per restringe web accessu à u servitore.
E VLAN dinamiche chì utilizanu l'allocazione di l'indirizzu MAC ponu prutege contr'à a cunnessione micca autorizata di un dispositivu in u sistema è ponu riduce u risicu assuciatu à l'infurmazioni di monitoraghju individuale nantu à a rete.

CONFIGURAZIONE DI U FIREWALL BAS

A seguente tavula descrive i porti di rete utilizati in un Advanced Plant Controller. Vede a sezione "System Overview"à pagina 8. per un exampl'architettura di l'installazione. A tavula hà e seguenti colonne:

  • Portu predefinitu è ​​u protocolu (TCP o UDP)
  • Scopu di u portu
  • S'ellu ci vole à cambià o micca u portu predefinitu
  • S'ellu ci vole à permette o micca e cunnessione o u trafficu in entrata attraversu u Firewall BAS
  • Note supplementari sò elencate sottu à a tavula

Tavula 2 Cunfigurazione di u firewall BAS

Default Port/Protocol  

Scopu

 Cambià da u predefinitu?  

Autorizà u passaghju di u firewall BAS?

  

Notes
80/TCP HTTP Innò Innò  
 

443/TCP

  

HTTPs

  

Innò

 Forse, sè web hè necessariu l'accessu da Internet/intranet/rete corporativa.  

1
1911/TCP Fox (versione micca sicura di u protocolu d'applicazione Niagara) Innò  
4911/TCP Fox + SSL (versione sicura di u protocolu d'applicazione Niagara) Innò  
3011/TCP NiagaraD (versione micca sicura di u protocolu di piattaforma Niagara) Innò  
5011/TCP NiagaraD + SSL (versione sicura di u protocolu di piattaforma Niagara) Innò  
2601/TCP Portu di cunsola Zebra Innò Innò 2
2602/TCP Portu di cunsola RIP     2
47808/UDP Cunnessione di rete BACnetTM/IP Innò 3

NOTA

  1. Sè telecomandu direttu web Se l'interfaccia utente hè supportata, allora stu portu deve esse permessu attraversu u firewall BAS.
  2. U portu hè apertu automaticamente da stu daemon è sta funziunalità ùn pò esse disattivata. U daemon hè cunfiguratu per ùn permette micca alcun login attraversu stu portu.
  3. Segui e linee guida di cunfigurazione di rete indicate in questu manuale affinchì u Controller di l'Impianto Avanzatu ùn abbia mai bisognu di passà u trafficu UDP attraversu u firewall BAS.

CONFIGURAZIONE DI L'AUTENTICAZIONE

U Schema d'Autentificazione Google hè un mecanismu d'autentificazione à dui fattori chì richiede à l'utilizatore d'inserisce a so password è ancu un token à usu unicu quandu si cunnetta à una stazione. Questu prutege u contu di un utilizatore ancu s'è a so password hè compromessa.
Stu schema d'autentificazione si basa nantu à TOTP (Time-based OneTime Password) è l'applicazione Google Authenticator nant'à u dispusitivu mobile di l'utilizatore per generà è verificà gettoni d'autentificazione à usu unicu. L'autentificazione Google hè basata nantu à u tempu, dunque ùn ci hè dipendenza da a cumunicazione di rete trà u dispusitivu mobile di l'utilizatore, a Stazione, o i servitori esterni. Siccomu l'autentificatore hè basatu nantu à u tempu, u tempu in a stazione è u tempu in u telefunu devenu stà relativamente sincronizati. L'applicazione furnisce un buffer di più o menu 1.5 minuti per tene contu di u skew di l'orologio.
Prerequisiti: U telefuninu di l'utilizatore richiede l'applicazione Google Authentication. Travagliate in Workbench. L'utilizatore esiste in a basa di dati di a stazione.

Prucedura

  1. Aprite a paleta gauth è aghjunghjite GoogleAuthenticationScheme à u nodu Servizii > Authenticationservice in l'arburu di navigazione.
  2. Cliccate cù u dirittu nant'à Userservice, è fate un doppiu clic nant'à l'utilizatore in a tavula. L'opzione Edit view per l'utilizatore apre.
  3. Configurate a pruprietà Nome di u schema d'autentificazione à GoogleAuthenticationScheme è cliccate nant'à Salvà.
  4. Cliccate nant'à u buttone accantu à a Chjave secreta sottu à l'autenticatore di l'utilizatore è seguitate l'istruzzioni.
  5. Per compie a cunfigurazione, cliccate nant'à Salvà. Sicondu u view chì utilizate, pudete avè bisognu di apre torna l'utilizatore o di rinfrescà dopu avè salvatu.

CONSIGNA DI SISTEMA
Questa sezione cuntene l'infurmazioni chì duvete furnisce quandu u BAS hè consegnatu à u pruprietariu di u sistema.

  • Documentazione chì include informazioni di sicurezza, impostazioni di cunfigurazione, nomi d'utilizatori è password d'amministrazione, piani di disastru è di ripresa, è procedure di backup è restaurazione.
  • Formazione di l'utilizatori finali nantu à i travaglii di mantenimentu di a sicurezza.

BACKUP USB È CLEANDIST FILE INSTALLAZIONE
L'utilizatore deve prutege a passphrase aduprata per zip è dezip u controller. Evitate di sparte e passphrase è l'infurmazioni d'accessu di u controller durante u prucessu di salvezza o di restaurazione.
Copia di salvezza USB è CleanDist file L'infurmazioni d'installazione si ponu truvà in l'Istruzzioni d'Installazione è a Guida di Messa in Serviziu - 31-00584.

SMETTITURA DI U SISTEMA
I dati sensibili devenu esse sguassati da l'unità chì sò messe fora serviziu è questu pò esse fattu eseguendu un reset di fabbrica. Vede u buttone di serviziu / LED d'allarme di serviziu è CleanDist. file stallazione da l'Istruzzioni d'Installazione è a Guida di Messa in Serviziu - 31-00584.

NOTA
U CleanDist file a prucedura pò esse eseguita cù l'installazione di fabbrica installendu clean4 file.

SICUREZZA DI I PRODOTTI AVANZATI BASATI IN NIAGARA
Per i prudutti Honeywell avanzati chì sò basati nantu à i quadri Niagara N4 è Niagara AX (per esempiu, Advanced Plant Controller, HMI è IO Module), duvete seguità i cunsiglii di Tridium per assicurà u quadru Niagara.
Ci hè una quantità di cambiamenti di cunfigurazione chì ponu esse fatti à Niagara per massimizà a sicurezza di i prudutti Advanced Honeywell.

  • Aduprate a Funzione di Forza di a Password
  • Attivà a funzione di bloccu di u contu
  • Password scadute
  • Aduprà a storia di e password
  • Aduprate a funzione di reset di password
  • Lasciate a casella "Ricurdatevi di queste credenziali" senza spunta
  • Cambià a frase secreta di u sistema predefinita
  • Aduprà TLS per definisce a frase secreta di u sistema
  • Sceglite una frase di password di sistema forte
  • Prutegge a frase secreta di u sistema
  • Assicuratevi chì u pruprietariu di a piattaforma cunnosca a frase secreta di u sistema
  • Aduprà un contu differente per ogni utilizatore di piattaforma
  • Aduprate nomi di contu unichi per ogni prughjettu
  • Assicuratevi chì u pruprietariu di a piattaforma cunnosce e credenziali di a piattaforma
  • Aduprà un contu differente per ogni utilizatore di stazione
  • Aduprà conti di tipu di serviziu unicu per ogni prughjettu
  • Disattivà i conti cunnisciuti quandu hè pussibule
  • Configurate i conti temporanei per scadà automaticamente
  • Cambià e credenziali di u contu di u tipu di sistema
  • Pruibisce e sessioni simultanee quandu hè apprupriatu
  • Cunfigurà i roli cù i permessi minimi richiesti
  • Assignà i Ruoli Minimi Richiesti à l'Utilizatori
  • Aduprà u numeru minimu pussibule di superutilizatori
  • Richiede permessi di superutente per l'uggetti di prugramma
  • Aduprà i permessi minimi richiesti per i conti esterni
  • Aduprate un schema d'autentificazione adattatu per u tipu di contu
  • Eliminate i schemi d'autentificazione inutili
  • TLS è Gestione di Certificati
  • Stallazione di u Modulu
  • Richiede Oggetti di Programma è Robot Firmati
  • Disattivà SSH è SFTP
  • Disattivà i servizii inutili
  • Cunfigurà i servizii necessarii in modu sicuru
  • Aghjurnamentu di Niagara 4 à l'ultima versione
  • Installate u pruduttu in un locu sicuru
  • Assicuratevi chì e stazioni sianu daretu à una VPN
  • Sò dispunibili publicazioni tecniche specifiche chì devenu esse seguitate per assicurà chì u sistema sia bluccatu u più sicuru pussibule. Esistenu parechje opzioni cum'è a crittografia SSL è passi supplementari per prutege elementi cum'è i moduli di prugramma, per più dettagli riferitevi à u Tridium. websitu per a Guida di indurimentu Niagara 4 (per i prudutti basati nantu à Niagara N4) è a Guida di indurimentu Niagara (prudutti basati nantu à Niagara AX).

U materiale in questu documentu hè solu per scopi informativi. U cuntenutu è u pruduttu descrittu sò soggetti à cambiamenti senza avvisu. Honeywell ùn face micca riprisentazione o garanzie in quantu à stu documentu. In nessun casu Honeywell serà responsabile per omissioni tecnichi o editoriali o errori in questu documentu, nè serà responsabile per alcun dannu, direttu o incidentale, derivante da o in relazione cù l'usu di stu documentu. Nisuna parte di stu documentu pò esse riprodotta in alcuna forma o per qualsiasi mezzu senza l'autorizazione scritta di Honeywell.
Honeywell | Automation Building

715 Peachtree Street, NE,

LISTA DI VERIFICA DI SICUREZZA D'INSTALLAZIONE

  • Istanza di u dispusitivu di cuntrollu di l'impianto avanzatu: __________________________________________________________________________
  • Descrizzione di u Cuntrollore di Pianta Avanzatu: __________________________________________________________________
  • Locu di u Cuntrollore di Pianta Avanzatu: ________________________________________________________________________________
  • Installatore:___________________________________________________________
  • Data: ___________________________________

Cumplete i seguenti compiti di sicurezza per ogni Advanced Plant Controller installatu

  • Installate un firewall trà l'Advanced Plant Controller è a(e) rete(i) esterna(e). Vede "BACnet è Niagara" à pagina 19.
  • Assicurate fisicamente u Cuntrollore Avanzatu di l'Impianto. Vede "Assicurate fisicamente u Cuntrollore Avanzatu di l'Impianto, l'HMI è u Modulu IO" à a pagina 22.
  • Cambiate a password predefinita cù una password unica per ognunu di i seguenti elementi: Configurazione di a Console, Backup/Restore/Restart/Control, è a Piattaforma Niagara. Vede l'Istruzzioni d'Installazione è a Guida di Messa in Serviziu - 31-00584
  • Se a web hè necessariu un servitore, allora cunfiguratelu per funziunà solu in modu HTTPS. Vede l'Istruzzioni d'Installazione è a Guida di Messa in Serviziu - 31-00584

Web Statu di u servitore: Disattivatu / Attivatu.
If web u serviziu hè attivatu, cumpletate i seguenti passi:

  • Imposta Http attivatu = falsu.
  • Imposta Https Attivatu = veru.
  • Imposta solu Https = veru.
  • Cunfigurà u firewall BAS. Riferitevi à "Cunfigurà u firewall BAS" à a pagina 26.
  • Fornite tutti i dati richiesti à u pruprietariu di u sistema BAS à a consegna. Vede a sezione "Configurazione di l'autentificazione" à a pagina 27.

FAQ

  • Perchè hè impurtante assicurà u Controller Avanzatu?
    A sicurità di u controller aiuta à impedisce l'accessu micca autorizatu, prutege i dati sensibili è garantisce l'affidabilità di u sistema.
  • Cumu possu recuperà a mo password?
    Per ricuperà a vostra password, seguitate u prucessu di ricuperazione di password descrittu in u manuale. Questu implica tipicamente a verificazione di l'infurmazioni di u vostru contu.

Documenti / Risorse

Cuntrollore Avanzatu di l'Ottimizzatore Honeywell [pdfManuale d'usu
31-00594-03, Ottimizzatore Controller Avanzatu, Controller Avanzatu, Controller

Referenze

Posti cunnessi

Lascia un cumentu

U vostru indirizzu email ùn serà micca publicatu. I campi obbligatori sò marcati *