Obsah skrýt
1 Pokročilý ovladač Honeywell Optimizer Advanced
2 NAD SYSTÉMEMVIEW
3 SÍŤOVÉ PLÁNOVÁNÍ A ZABEZPEČENÍ
4 POKROČILÝ SYSTÉM ZABEZPEČENÍ OVLADAČE, HMI A MODULU IO
5 ZAJIŠTĚNÍ OPERAČNÍHO SYSTÉMU NIAGARA
6 VŠEOBECNÉ NAŘÍZENÍ OCHRANY ÚDAJŮ (GDPR)
7 BEZPEČNÁ KOMUNIKACE
8 PLÁNOVÁNÍ A INSTALACE
9 DOKUMENTACE
10 ZAJIŠTĚNÍ POKROČILÉHO OVLADAČE, HMI A MODULU IO
11 UŽIVATELÉ A HESLA
12 KONFIGURACE FIREWALL BAS
13 NASTAVENÍ OVĚŘOVÁNÍ
14 FAQ
15 Dokumenty / zdroje
15.1 Reference
16 Související příspěvky

Honeywell-LOGO

Pokročilý ovladač Honeywell Optimizer Advanced

Honeywell-Optimizer-Advanced-Controller-PRODUCT

Specifikace

  • Produkt: Pokročilý ovladač
  • Číslo modelu: 31-00594-03
  • Operační systém: Niagara Operating System
  • Bezpečnostní funkce: Ověřovací kód účtu, systémové účty, obnovení hesla, zabezpečená komunikace, certifikáty
  • Síťová kompatibilita: BACnetTM, LAN

Zřeknutí se odpovědnosti
I když jsme se snažili zajistit přesnost tohoto dokumentu, společnost Honeywell nenese odpovědnost za škody jakéhokoli druhu, včetně, bez omezení, následných škod vyplývajících z aplikace nebo použití zde obsažených informací. Informace a specifikace zde zveřejněné jsou aktuální k datu vydání této publikace a mohou se bez upozornění změnit. Nejnovější specifikace produktu naleznete na našem webu webnebo kontaktováním naší firemní kanceláře v Atlantě ve státě Georgia.
U mnoha průmyslových komunikací na bázi RS-485 je výchozí stav deaktivován v době expedice z továrny, aby bylo zajištěno nejlepší zabezpečení, protože tyto starší komunikační sběrnice používají starší technologii pro nejlepší kompatibilitu a byly navrženy se slabou ochranou zabezpečení. Pro maximalizaci ochrany vašeho systému společnost Honeywell proaktivně deaktivovala starší komunikační porty průmyslové sběrnice (do doby odeslání z výroby) a uživatel musí explicitně povolit sítě ve stanici každé sítě. Chcete-li tyto porty povolit, musíte si být vědomi rizika jakéhokoli narušení bezpečnosti, které přináší použití starší technologie. Patří sem mimo jiné: Panel-bus, C-Bus, BACnetTM, M-Bus, CP-IO Bus, NovarNet, protokol XCM-LCD, SBC S-Bus a Modbus atd.
Vývoj na ISA-62443

Společnost Honeywell se již mnoho let spoléhá na normu ISA 62443-4-1 a příslušné doprovodné normy při bezpečném vývoji našich produktů pro technologie budov. NapřampStavební produkty Honeywell také používají ISA/IEC 62443-4-2 jako základ pro technické požadavky na bezpečnost v rámci komponent a my používáme ISA/IEC 62443-3-3 pro kompletní systémy. Integrátorům a zákazníkům, kteří si vybírají technologie budov, tedy dodržování řady norem ISA/IEC 62443 společností Honeywell může poskytnout vysokou úroveň jistoty, že naše produkty nejen prohlašují, že jsou kyberneticky odolné – byly od začátku navrženy, testovány a ověřeny z hlediska kybernetické odolnosti.
Honeywell vyvíjí naše produkty podle ISA/IEC 62443-4-1 a byli jsme posouzeni třetí stranou a auditováni podle této normy.
Úvod a zamýšlené publikum

Honeywell tímto výslovně prohlašuje, že její kontroloři nejsou ze své podstaty chráněni proti kybernetickým útokům z internetu, a že jsou proto určeny výhradně pro použití v privátních sítích. I soukromé sítě však mohou být stále vystaveny škodlivým kybernetickým útokům ze strany kvalifikovaných a vybavených IT jednotlivců, a proto vyžadují ochranu. Zákazníci by proto měli přijmout pokyny pro instalaci a nejlepší bezpečnostní postupy pro produkty založené na IP Advanced Plant Controller, aby se zmírnilo riziko, které takové útoky představují.
Následující pokyny popisují obecné doporučené postupy zabezpečení pro produkty založené na protokolu Advanced Plant Controller. Jsou uvedeny v pořadí podle zvyšujícího se zmírnění.

Přesné požadavky každého místa by měly být posuzovány případ od případu. Naprostá většina instalací implementujících všechny zde popsané úrovně zmírnění bude daleko převyšovat úroveň potřebnou pro uspokojivé zabezpečení systému. Začlenění položek 1-5 (týkajících se sítí Local Area Network), Viz „Doporučení pro místní sítě (LAN)“ na stránce 20. bude obecně splňovat požadavky pro většinu instalací automatizačních sítí.
Tato příručka obsahuje informace pro personál prodejce Honeywell, jak bezpečně nainstalovat a nakonfigurovat Advanced Plant Controller, HMI a IO moduly. Informace související se zabezpečením o provozu, zálohování a obnovení USB a CleanDist file instalaci regulátoru naleznete v Návodu k instalaci a uvedení do provozu (31-00584).

POZNÁMKA
Udělejte si prosím čas na přečtení a pochopení všech příslušných instalačních, konfiguračních a provozních příruček a zajistěte, abyste pravidelně získávali nejnovější verze

Tabulka 1 Informace o produktu

Produkt Číslo produktu Popis
 

 

 

 

 

 

Ovladač rostlin

 N-ADV-134-H Pokročilý ovladač Niagara se čtyřmi ethernetovými porty, portem pro HMI a 4 porty RS485
 

N-ADV-133-H-BWA

 Pokročilý ovladač Niagara se čtyřmi ethernetovými porty, portem pro HMI, 3 porty RS485, Wi-Fi (americká oblast) a podporou BluetoothTM
 

N-ADV-133-H-BWE

 Pokročilý ovladač Niagara se čtyřmi ethernetovými porty, portem pro HMI, 3 porty RS485, Wi-Fi (evropská oblast) a podporou BluetoothTM
 

N-ADV-133-H-BWW

 Pokročilý ovladač Niagara se čtyřmi ethernetovými porty, portem pro HMI, 3 porty RS485, Wi-Fi (oblast zbytku světa) a podporou BluetoothTM
N-ADV-133-H Pokročilý ovladač Niagara se čtyřmi ethernetovými porty, portem pro HMI a 3 porty RS485
N-ADV-112-H Pokročilý ovladač Niagara se dvěma ethernetovými porty, portem pro HMI a 2 porty RS485
 

HMI

 HMI-DN HMI (montáž na DIN lištu)
HMI-WL HMI (upevnění na dveře/zeď)
 

 

 

 

 

 

 

 

 

 

IO modul

 IO-16UIO-SS 16UIO IO modul bez HOA, sériové komunikace, šroubových terminálů
IOD-16UIO-SS 16UIO IO modul s displejem HOA, sériovou komunikací, šroubovými terminály
IO-16UI-SS 16UI IO modul, sériová komunikace, šroubové terminály
IO-16DI-SS 16DI IO modul, sériová komunikace, šroubové terminály
IO-8DOR-SS 8DO IO modul bez HOA, C/O relé, sériové komunikace, šroubových terminálů
IOD-8DOR-SS 8DO IO modul s displejem HOA, C/O relé, sériová komunikace, šroubové terminály
IO-16UIO-SP 16UIO IO modul s displejem HOA, sériovou komunikací, push terminály
IO-16UI-SP 16UIO IO modul, sériová komunikace, Push terminály
IO-16DI-SP 16DI IO modul, sériová komunikace, Push terminály
IO-8DOR-SP 8DO IO modul bez HOA, C/O relé, sériové komunikace, Push terminálů
IOD-8DOR-SP 8DO IO modul s displejem HOA, C/O relé, sériová komunikace, Push terminály
IO-8UIO-SS 8UIO IO modul bez HOA, sériové komunikace, šroubových terminálů
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

IO modul

 IOD-8UIO-SS 8UIO IO modul s displejem HOA, sériovou komunikací, šroubovými terminály
IO-8AO-SS 8AO IO modul bez HOA, sériové komunikace, šroubových terminálů
IOD-8AO-SS 8AO IO modul s displejem HOA, sériovou komunikací, šroubovými svorkami
IO-4UIO-SS 4UIO IO modul bez HOA, sériové komunikace, šroubových terminálů
IOD-4UIO-SS 4UIO IO modul s displejem HOA, sériovou komunikací, šroubovými terminály
IO-8DI-SS 8DI IO modul, sériová komunikace, šroubové terminály
IO-4DOR-SS 4DO IO modul bez HOA, C/O relé, sériové komunikace, šroubových terminálů
IOD-4DOR-SS 4DO IO modul s displejem HOA, C/O relé, sériová komunikace, šroubové terminály
IO-4DORE-SS 4DO IO modul bez HOA, vylepšená C/O relé, sériové komunikace, šroubové terminály
IOD-4DORE-SS 4DO IO modul s displejem HOA, vylepšenými C/O relé, sériovou komunikací, šroubovými terminály
IO-8UIO-SP 8UIO IO modul bez HOA, sériové komunikace, Push terminálů
IOD-8UIO-SP 8UIO IO modul s displejem HOA, sériovou komunikací, push terminály
IO-8AO-SP 8AO IO modul bez HOA, sériové komunikace, Push terminálů
IOD-8AO-SP 8AO IO modul s displejem HOA, sériovou komunikací, push terminály
IO-4UIO-SP 4UIO IO modul bez HOA, sériové komunikace, Push terminálů
IOD-4UIO-SP 4UIO IO modul s displejem HOA, sériovou komunikací, push terminály
IO-8DI-SP 8DI IO modul, sériová komunikace, Push terminály
IO-4DOR-SP 4DO IO modul bez HOA, C/O relé, sériové komunikace, Push terminálů
IOD-4DOR-SP 4DO IO modul s displejem HOA, C/O relé, sériová komunikace, Push terminály
IO-4DORE-SP 4DO IO modul bez HOA, vylepšená C/O relé, sériová komunikace, Push terminály
IOD-4DORE-SP 4DO IO modul s displejem HOA, vylepšenými C/O relé, sériovou komunikací, Push terminály

PROČ ZABEZPEČIT SVÉ POKROČILÉ OVLADAČE?

  • Chraňte podnikové systémy vašeho zákazníka před neoprávněnými změnami provozních nastavených hodnot, přepisů a časových plánů.
  • Zabránit přístupu k podrobnostem uživatelského účtu: např. uživatelská jména, hesla, e-mailové adresy, SMS (mobilní) čísla atd.
  • Zabránit přístupu k komerčně citlivým údajům: Napřample- Metriky spotřeby energie, speciální řešení strategie řízení atd.
  • Zabraňte neoprávněnému přístupu k řadiči, počítačům a sítím hostujícím software BMS a řídicí zařízení.
  • Udržujte integritu dat a poskytujte odpovědnost.

NAD SYSTÉMEMVIEW

Honeywell-Optimizer-Advanced-Controller- (1)

Konecview typická instalace systému..

  1. Internet/intranet/firemní síť
    Toto je zjednodušená, logická síťová reprezentace všech sítí mimo rozsah systému automatizace budov (BAS). Může poskytovat přístup k rozhraním pro správu BAS (např. primární pracovní stanice Niagara web uživatelské rozhraní), ale musí poskytovat přístup k internetu, aby počítače Niagara mohly vyhledávat a stahovat aktualizace operačního systému a antivirového skeneru, pokud k tomu není poskytnut jiný způsob.
  2. Síť BAS
    Tato síť se používá výhradně pro protokoly BAS, které se skládají z BACnetTM/IP, BACnetTM/Ethernet a jakýchkoli protokolů, které mohou používat Niagara Integration Services na pokročilém řadiči závodu. Tato síť nesmí být stejná jako síť Internet/intranet/podniková síť.
  3. BAS firewall
    Aby bylo zajištěno dodatečné oddělení a ochrana BAS, musí být mezi internetem/intranetem/podnikovou sítí a jakýmkoli zařízením BAS, které se k ní připojuje, použit firewall, jako je primární pracovní stanice Niagara, pracovní stanice Niagara a Advanced Plant Controller. Tato brána firewall omezuje přístup k BAS pouze na autorizované počítače a může pomoci snížit riziko útoků, jako je útok typu denial-of-service.
  4. Niagarská pracovní stanice
    Primární pracovní stanice Niagara je počítač se softwarem Niagara. Vyžaduje dvě síťová připojení – jedno pro připojení k managementu web uživatelské rozhraní přes a web prohlížeč (obvykle na
    Internet/intranet/firemní síť) a další pro připojení k síti BAS.
  5. Ethernet Switch
    Ethernetový přepínač vytváří sítě a používá více portů ke komunikaci mezi zařízeními v LAN. Ethernetové přepínače se liší od routerů, které propojují sítě a používají pouze jeden port LAN a WAN. Kompletní kabelová a podniková bezdrátová infrastruktura poskytuje kabelové připojení a Wi-Fi pro bezdrátové připojení.
  6. Advanced Plant Controller
    Advanced Plant Controller je globální kontrolér, který se připojuje k síti Ethernet, BACnetTM IP a hostitelským segmentům sítě MS/TP. MS/TP je připojení s nízkou šířkou pásma, které se používá k připojení ovladačů a senzorů.
  7. HMI
    HMI je připojeno a přijímá napájení z pokročilých řídicích jednotek závodu Niagara. Tato zařízení jsou vybavena kapacitním dotykovým displejem, který podporuje výběr pouhým prstem a poskytuje operátorovi funkce view, přístup a odstraňování problémů s řídicími body, IO moduly a dalším připojeným zařízením.
  8. IO modul
    IO moduly lze připojit k regulátoru pomocí dotykových flake připojení (napájení a komunikace) nebo lze IO moduly připojit ke kabelovému adaptéru, který bude napájen a připojen k jednomu z rozhraní RS485 na regulátoru. IO moduly jsou programovatelné pomocí stávajícího inženýrského nástroje, jako je nástroj ComfortPointTM Open Studio a Niagara 4 Workbench.

SÍŤOVÉ PLÁNOVÁNÍ A ZABEZPEČENÍ

  1. Síť Ethernet
    Síť Ethernet používaná systémem BMS se doporučuje oddělit od běžné kancelářské sítě.
    Exampten:
    Pomocí vzduchové mezery nebo virtuální privátní sítě. Fyzický přístup k infrastruktuře sítě Ethernet musí být omezen. Musíte také zajistit, aby instalace odpovídala zásadám IT vaší společnosti.
    Pokročilé ovladače nesmí být připojeny přímo k internetu.
  2. Web Server
    Advanced Controller poskytuje HTTP i HTTPS web servery. Pokud a web server není vyžadován, doporučuje se obojí web servery jsou zakázány.
  3. BACnetTM IP síť
    Vzhledem k nezabezpečené povaze protokolu BACnetTM nesmí být moduly Advanced Controller, HMI a IO, které používají BACnetTM, za žádných okolností připojeny k internetu. Bezpečnostní systém Advanced Controller nechrání před zápisy BACnetTM. Fyzický přístup k síťové infrastruktuře BACnetTM IP musí být omezen. Pokud není vyžadována komunikace BACnetTM IP, musí být síťový modul Advanced Controllers (BACnetTM IP) deaktivován nastavením parametru 'Disable Module' na '1'.
    Pokud je vyžadována komunikace BACnetTMTM, důrazně se doporučuje, aby nebyly povoleny služby BACnetTMTM Backup/Restore, Reinitialize Device a BACnetTMTM Writable. To však bude znamenat, že vytvořená strategie není kompatibilní s BTL – viz „Místní zabezpečení“ na stránce 13.
  4. MS/TP (licence NC)
    Fyzický přístup k infrastruktuře sítě MS/TP musí být omezen. Pokud síť MS/TP není vyžadována, musí být síťový modul Advanced Controller (BACnetTM MSTP) deaktivován nastavením parametru 'Disable Module' na '1'. IO Bus (licence CAN)
    Fyzický přístup ke sběrnici IO Bus musí být omezen.
  5. USB
    Fyzický přístup k Advanced Controller USB Local Engineering Port musí být omezen.
  6. RS485 (včetně licencí Modbus)
    Fyzický přístup k portu RS485 řídicí jednotky musí být omezen. Pokud to není vyžadováno, neměly by být do strategie zahrnuty žádné síťové moduly připojené k portu.
  7. Síť Modbus IP (licence INT)
    Vzhledem k nezabezpečené povaze protokolu Modbus nesmí být pokročilé řídicí jednotky, které podporují Modbus IP, za žádných okolností připojeny k internetu. Fyzický přístup k síťové infrastruktuře Modbus IP musí být omezen. Pokud není vyžadována komunikace Modbus IP, síťový modul Advanced Controller (Modbus IP) by neměl být součástí strategie.

POKROČILÝ SYSTÉM ZABEZPEČENÍ OVLADAČE, HMI A MODULU IO

Pokročilé zabezpečení řadičů je v souladu s ISA 62433-3-3 SL 3 a poskytuje bezpečné spouštění, ověřenou a šifrovanou síť, šifrování v klidu a synchronizovanou správu účtů.
Chcete-li získat přístup k produktům Advanced Controller nebo provést některý z výše uvedených úkolů, musíte zadat platné uživatelské jméno a heslo pro účet inženýrského systému nebo systémový účet zařízení.

  1. Zabezpečení, když není nakonfigurováno
    Pro interakci s pokročilým řadičem, HMI a IO moduly musí být poskytnuty platné přihlašovací údaje. Regulátor je z výroby dodáván bez jakýchkoliv pověření (systémové účty nebo uživatelské moduly), což zajišťuje, že při prvním zapnutí je chráněn proti neoprávněnému přístupu. Při prvním pokusu o připojení k vCNC v jednom z pokročilých produktů v síti Niagara musí být vytvořen účet inženýrského systému s rolí správce.
  2. Ochrana před neoprávněnými zařízeními
    Jedinečný klíč (Network Key) se používá k zajištění toho, že se do sítě Niagara mohou připojit pouze autorizovaná zařízení. Všechny řadiče, které mají vytvořit síť Niagara, musí mít stejný síťový klíč a port UDP. Ty se konfigurují pomocí nástroje IP během procesu počáteční konfigurace.
    Exampten:
    Pokud čtyři pokročilé řídicí jednotky rostlin mají stejný síťový klíč (112233) a pátý má jiný síťový klíč
    (222). Když jsou připojeny ke stejné síti Ethernet, čtyři řadiče se stejným síťovým klíčem se spojí a vytvoří jedinou síť, ale pátý řadič se nebude moci připojit k síti, protože má jiný síťový klíč, tj. (222).
    Podobně, pokud je pátý řadič nový (dodaný z továrny) a je přidán do sítě Ethernet, nebude se moci připojit k síti Niagara, protože nemá síťový klíč.
    1. Ověřovací kód účtu
      Když je k jednomu z kontrolérů v síti přidán systémový účet správce, správce, ke kterému byl systémový účet přidán, automaticky vygeneruje ověřovací kód účtu. Tento kód je synchronizován se všemi ostatními řídicími jednotkami se stejným síťovým klíčem a portem UDP v síti Ethernet.
      Jakmile byl vygenerován ověřovací kód účtu, VŠECHNY řadiče v síti MUSÍ mít stejný ověřovací kód účtu a také stejný síťový klíč a port UDP.
      Example:
      Pokud existuje pět řadičů, všechny pokročilé řadiče mají stejný síťový klíč. Čtyři mají stejný ověřovací kód účtu (AVC), a proto tvoří síť. Pátý má jiný ověřovací kód účtu, a přestože má stejný síťový klíč, nemůže se spojit s ostatními kontroléry.
  3. Systémové účty
    Systémové účty umožňují lidem a zařízením komunikovat s pokročilým ovladačem. Poskytnutý přístup závisí na typu účtu a roli.
    Existují dva typy systémových účtů:
    1. Účet inženýrského systému
    2. Systémový účet zařízení
    3. Účet inženýrského systému
      Účty inženýrského systému jsou určeny pro použití inženýry. Každý technický systémový účet má název účtu a heslo, které musí být poskytnuty na vyžádání regulátorem. Pokud je zadáno platné uživatelské jméno a heslo, kontrolér udělí přístup.

Pro každou osobu musí být vytvořen samostatný technický systémový účet. Účty inženýrského systému lze nastavit na jednu ze dvou rolí:

  • Inženýrská role
  • Role správce

Inženýrská role
Role inženýra poskytuje nezbytný přístup pro konstrukci pokročilého systému, vytváření/správu systémových účtů zařízení a pro správu podrobností o vlastním účtu uživatele (e-mailová adresa, heslo atd.).
Role správce
Role správce poskytuje stejný přístup jako role inženýra a navíc možnost spravovat všechny systémové účty inženýrství a zařízení.

Systémový účet zařízení
Systémové účty zařízení mají umožnit zařízením, jako je Niagara, připojit se k síti za účelem získání požadovaných informací a provedení změn. Doporučuje se vytvořit samostatný systémový účet zařízení pro každé zařízení, které má přistupovat k síti. Mají roli „Supervizora“.

DŮLEŽITÉ
Důležité: Vlastní bezpečnostní systém supervizora musí být nakonfigurován tak, aby omezoval přístupová práva každého uživatele supervizora.

Vytvoření systémového účtu
Účet inženýrského systému s rolí správce musí být vytvořen při prvním pokusu o připojení k vCNC v síti Niagara. Tento účet je poté synchronizován s ostatními ovladači v síti Niagara

  • Viz „Správa synchronizovaných účtů“ na straně 12. Další účty lze podle potřeby vytvořit pomocí pracovní plochy Niagara.

POZNÁMKA
Při prvním vytvoření účtu inženýrského systému v kontroléru se automaticky vygeneruje ověřovací kód účtu a synchronizuje se s ostatními kontroléry v síti Ethernet se stejným síťovým klíčem a portem UDP. Když má kontrolor ověřovací kód účtu, může se připojit k síti pouze s kontrolory, které mají stejný ověřovací kód účtu – viz „Ověřovací kód účtu“ na straně 11.

Správa synchronizovaných účtů
Synchronizovaná správa účtů snadno a bezpečně synchronizuje systémové účty, včetně ověřovacího kódu účtu, se všemi pokročilými ovladači ve stejné síti Niagara. To umožňuje:

  • Jediné přihlášení k síti
  • Snížená režie při konfiguraci a údržbě přístupu v rámci celého webu bez snížení zabezpečení Všechny pokročilé řadiče ve stejné síti budou mít stejné systémové účty.

Když je pokročilý kontrolér bez jakýchkoli systémových účtů připojen k síti Ethernet a nakonfigurován se síťovým klíčem a portem UDP pro síť Niagara, připojí se k síti a automaticky získá své systémové účty od ostatních kontrolérů v síti Niagara.

Exampten:
pokud je k výše uvedenému systému přidán pokročilý ovladač bez jakýchkoli systémových účtů a je mu přidělen síťový klíč pro síť Niagara (112233) a port UDP, připojí se k síti a získá své systémové účty (uživatel 1, uživatel 2, uživatel 3) od ostatních pokročilých ovladačů v síti Niagara.
Jakmile bude synchronizace dokončena, bude možné se připojit k libovolnému vCNC, zobrazení web stránky a přihlaste se k jakémukoli pokročilému ovladači v síti Niagara pomocí kteréhokoli ze systémových účtů.
Pokud jsou provedeny změny v systémových účtech, tj. je přidán účet, odstraněn nebo upraven, tyto změny budou automaticky synchronizovány napříč všemi pokročilými ovladači v síti Niagara.

Exampten:
pokud existuje pět pokročilých ovladačů, upraví se systémové účty v řadiči (1), aby se odstranil uživatel 2, přejmenoval se uživatel 3 na uživatele 3a a přidal se uživatel 4, změny se synchronizují na řadič (2), řadič (3), řadič (4) a řadič (5).

POZNÁMKA:
Pokud je během synchronizace zjištěn konflikt, má přednost poslední změna.

Změna síťového klíče pokročilého ovladače
Když se změní klíč Advanced Controller Network Key, všechny jeho systémové účty budou odstraněny a bude odstraněn z jeho aktuální sítě Niagara. Změnu síťového klíče musí schválit platný systémový účet inženýra nebo správce.
Jakmile bude změna provedena, připojí se k síti Niagara pomocí nového síťového klíče, pokud takový existuje, a získá systémové účty od pokročilého ovladače v nové síti Niagara za předpokladu, že má stejný port UDP.

Místní zabezpečení
Místní zabezpečení používá místní uživatele (uživatelské moduly), aby umožnili přístup k pokročilým kontrolérům web stránky nebo místně připojený displej a ovládat informace, které jsou viditelné, nebo hodnoty, které lze upravit.
Chcete-li získat přístup a provést změny, musíte zadat platné uživatelské jméno a heslo pro místního uživatele. Úroveň PIN uživatele určuje, jaké parametry může uživatel vidět a upravit.

POZNÁMKA
Místní uživatelé NEJSOU synchronizováni s jinými pokročilými ovladači v síti Niagara.

Přístup k Web Stránky
Přístup k ovladači web stránky jsou chráněny bezpečnostním systémem Advanced Controller. Když je ovladač web je přístupný server a web zobrazí se stránka, která poskytuje některé základní informace a umožňuje uživateli přihlásit se – viz „Počáteční přístup“ na stránce 13.
Uživatelé, kteří se přihlásí, budou považováni za přihlášené uživatele – viz „Přihlášení uživatelé“ na stránce 14. a uživatelé, kteří přistupují k web stránky bez přihlášení budou mít přístup, jak je popsáno v části „Počáteční přístup“ na straně 13.

Počáteční přístup
Když je ovladač web server se nejprve zobrazí na uvítací stránce a daný přístup závisí na aktuální konfiguraci zabezpečení ovladače:

  • Žádné účty inženýrského systému a žádné uživatelské moduly (tovární nastavení)
  • Zobrazí se stránka 'Welcome' a plný přístup k ovladači web bude poskytnuta možnost provádět změny.

POZNÁMKA
Protože neexistují žádné účty inženýrského systému nebo uživatelské moduly, nebude možné se přihlásit.

Inženýrské systémové účty a žádné uživatelské moduly
Zobrazí se stránka 'Vítejte' a ovladač poskytne přístup pouze k senzorům, digitálnímu vstupu, knoflíku, přepínači, ovladači, plánu, časovému plánu, času, plotrovacím modulům, protokolu alarmů a grafice a nepovolí změny.

POZNÁMKA
Bude možné se přihlásit pomocí účtů inženýrského systému.

  • Inženýrské systémové účty a uživatelské moduly
    Počáteční zobrazení a přístup je řízen uživatelskými moduly. Pokud existuje uživatelský modul s názvem 'Host' bez hesla, když je rozšířený ovladač web stránky jsou přístupné bez přihlášení, regulátor udělí přístupová práva (uživatelská úroveň, domovská stránka a view výchozí) specifikované uživatelským modulem 'Guest'.
    Ve výchozím nastavení poskytuje uživatelský modul 'Guest' přístup pouze na stránku Advanced 'Welcome' a má uživatelskou úroveň '0'. To znamená, že uživatel přistupující k ovladači bez přihlášení bude moci pouze view na uvítací stránce. Za účelem poskytnutí většího přístupu může být uživatel „Guest“ konfigurován stejným způsobem jako jakýkoli jiný uživatelský modul typu 0.

POZNÁMKA:
Niagara workbench zabraňuje tomu, aby uživatel „Host“ dostal heslo, PIN nebo uživatelskou úroveň vyšší než „0“. Umožňuje domovskou stránku a view výchozí nastavení.

Důrazně se doporučuje, aby uživatel Host ponechal výchozí konfiguraci (uživatelská úroveň '0' a ne view práva).
Pokud neexistuje uživatelský modul nazvaný 'Host' nebo byl nakonfigurován s heslem, zobrazí se stránka 'Vítejte' a ovladač poskytne přístup pouze k senzoru, digitálnímu vstupu, knoflíku, přepínači, ovladači, plánu, časovému plánu, modulům času, vykreslování, protokolu alarmů a grafice a nepovolí změny.

POZNÁMKA
Bude možné se přihlásit pomocí účtů inženýrského systému a jakýchkoli existujících uživatelských modulů.

Přihlášení uživatelé
Chcete-li se přihlásit k pokročilému ovladači web je nutné zadat uživatelské jméno a heslo, které se shoduje s jedním z účtů systému Advanced Controller Engineering System Accounts nebo uživatelských modulů typu 0.

Obnova hesla
Pokud uživatel zapomene své heslo, lze jej obnovit pomocí pracovního stolu Niagara. Podrobnosti o obnovení zapomenutého hesla pomocí aplikace Niagara naleznete v uživatelské příručce k pracovní ploše Niagara.

ZAJIŠTĚNÍ OPERAČNÍHO SYSTÉMU NIAGARA

 Obecná dobrá praxe
Postupujte podle obecných osvědčených postupů pro zabezpečení operačního systému, jako jsou:

  • Spořič obrazovky chráněný heslem
  • Software pro šifrování disku

Nastavení brány firewall
Operační systém musí být nakonfigurován tak, aby používal firewall, který se automaticky aktualizuje. Konfigurace musí bránit přístupu (IN/OUT) pro všechny porty kromě těch, pro které je vyžadován přístup, NENECHÁVEJTE žádné nepoužívané porty otevřené.

Verze operačního systému
MUSÍTE zajistit, aby každé zařízení s aplikacemi Niagara nebo připojené ke stejné síti IP mělo nainstalované nejnovější aktualizace operačního systému. Je dobrou praxí zajistit, aby byly aktualizace systému Windows ponechány automaticky a aby byly nainstalovány včas.

Ochrana proti viru
MUSÍTE zajistit, aby na všech počítačích s aplikacemi Niagara nebo připojených ke stejné síti IP byl spuštěn antivirový software a aby byly definice virů aktualizovány.

 Ochrana proti vniknutí
Doporučuje se použití systému detekce narušení (IDS) od renomovaného poskytovatele bezpečnostních produktů na jakémkoli počítači s aplikací Niagara. Dodržujte osvědčené postupy pro vybrané produkty a také veškeré podnikové zásady IT, kde se instalace provádí.
Mnoho produktů IDS a firewallů nabízí kompletní řešení pro zaznamenávání veškerého provozu přicházejícího a odcházejícího z počítače a poskytuje uživatelům možnost zaznamenávat veškerou aktivitu na nejnižší úrovni.

VŠEOBECNÉ NAŘÍZENÍ OCHRANY ÚDAJŮ (GDPR)

Obecné nařízení o ochraně osobních údajů (EU) 2016/679 (GDPR) je nařízení v právu EU o ochraně údajů a soukromí pro všechny jednotlivé občany Evropské unie (EU) a Evropského hospodářského prostoru (EHP). Řeší také přenos osobních údajů mimo území EU a EHP. GDPR obsahuje ustanovení a požadavky související se zpracováním osobních údajů fyzických osob (subjektů údajů) v rámci EHP a vztahuje se na jakýkoli podnik usazený v EHP (bez ohledu na jeho umístění a státní občanství subjektů údajů) nebo který zpracovává osobní údaje subjektů údajů v EHP.
Podle podmínek GDPR osobní údaje zahrnují veškeré informace, které mohou být použity k identifikaci jednotlivce. To zahrnuje (ale není omezeno na):

  • uživatelská jména,
  • hesla,
  • telefonní čísla,
  • e-mailové adresy,
  • adresy práce nebo bydliště.

Veškeré takové informace zadané do Advanced Controller, HMI a IO Modulu jsou zašifrovány a uloženy v Advanced produktech v prostorách zákazníka. Společnost Honeywell nemá žádnou účast na ukládání a/nebo zpracování osobních údajů v rámci produktů Advanced Honeywell.
Odpovědnost za soulad s požadavky GDPR nese plně systémový integrátor nebo správce systému a jako takoví musí zajistit, aby byly zavedeny odpovídající technické a organizační systémy, aby:

  • získat od každého subjektu údajů výslovný souhlas s uložením, použitím a/nebo zpracováním osobních údajů,
  • umožnit fyzickým osobám přístup k jejich osobním údajům za účelem ověření přesnosti,
  • umožnit jednotlivcům kdykoli odvolat svůj souhlas a nechat trvale vymazat jejich osobní údaje,
  • udržovat bezpečnost a integritu úložiště dat a přístupu k nim za všech okolností,
  • nahlásit jakékoli narušení zabezpečení dat (které může ovlivnit soukromí uživatelů) příslušnému úřadu do 72 hodin od narušení.

BEZPEČNÁ KOMUNIKACE

Infrastruktura veřejného klíče (PKI) podporuje distribuci a identifikaci veřejných šifrovacích klíčů používaných k ochraně výměny dat přes sítě, jako je internet. PKI ověřuje identitu druhé strany a zakóduje skutečný přenos dat. Ověření identity poskytuje nepopiratelné ujištění o identitě serveru. Šifrování poskytuje důvěrnost během síťového přenosu. Vyžadování modulů podepsaného kódu zajišťuje, že v systému běží pouze očekávaný kód.

Pro zajištění bezpečných sítí pomocí PKI podporuje Niagara protokol TLS (Transport Layer Security), verze 1.0, 1.1 a 1.2. TLS nahrazuje svého předchůdce SSL (Secure Sockets Layer).
Každá instalace Niagara automaticky vytvoří výchozí certifikát, který umožňuje připojení okamžitě zašifrovat. Tyto certifikáty však generují varování v prohlížeči a Workbench a obecně nejsou vhodné pro koncové uživatele. Vytváření a podepisování vlastních digitálních certifikátů umožňuje bezproblémové používání TLS v prohlížeči a poskytuje jak šifrování, tak autentizaci serveru.
Kromě zabezpečení komunikace je každý modul počítačového kódu, který běží v systému, chráněn digitálním podpisem. Přidané programové objekty vyžadují tento podpis, jinak se nespustí.

Ověření serveru, zašifrování přenosu a zajištění toho, že se spustí pouze podepsaný kód, nezajistí data uložená na úložném zařízení. Stále musíte omezit fyzický přístup k počítačům a ovladačům, které spravují váš model budovy, nastavit ověřování uživatelů pomocí silných hesel a zabezpečit komponenty řízením oprávnění.
Niagara ve výchozím nastavení podporuje a používá zabezpečenou komunikaci a podepsaný kód. Nemusíte si kupovat další licenci.
Bezpečnost je trvalým problémem. I když v tématech bezpečné komunikace najdete mnoho cenných informací, očekávejte budoucí aktualizace a změny.
Níže jsou uvedeny zabezpečené komunikace. Další podrobnosti naleznete v příručce Niagara Station Security.

  • Vztahy klient/server
  • Certifikáty
  • Úložiště certifikátů
  • Struktura složek CSR
  • Certifikát nastaven
  • Průvodce certifikátem
  • Podepisování více certifikátů
  • Konfigurace zabezpečené komunikace na platformě
  • Konfigurace zabezpečené komunikace stanice
  • Povolení klientů a jejich konfigurace pro správný port
  • Instalace kopie stanice na jinou platformu
  • Zabezpečení emailu
  • Řešení problémů s bezpečnou komunikací

Vztahy klient/server
Vztahy klient/server identifikují připojení, která vyžadují ochranu. Vztahy klient/server Workbench se liší v závislosti na tom, jak konfigurujete a používáte systém. Workbench je vždy klient. Platforma je vždy server. Stanice může být klient a server.
Systémové protokoly, které spravují komunikaci, jsou:

  • Připojení platformy z Workbench (klient) k řadiči nebo démonovi platformy Supervisor PC (serveru) používají Niagara. Zabezpečené připojení k platformě se někdy nazývá platformtls. Platformtls povolíte pomocí Správa platformy view.
  • Připojení k místní stanici (Supervisor a platforma) používají Foxs. Tato připojení povolíte v FoxService stanice (Config > Services > FoxService).
  • Připojení prohlížeče používají Https, stejně jako Foxs, pokud používáte Web Launcher s WbWebProfile. Tato připojení povolíte pomocí stanice WebSlužba (Konfigurace > Služby > WebServis).
  • Připojení klienta k e-mailovému serveru stanice, je-li k dispozici. Zabezpečený e-mail povolíte pomocí e-mailové služby stanice (Konfigurace > Služby > E-mailová služba).

CERTIFIKÁTY
Certifikát je elektronický dokument, který používá digitální podpis ke spojení veřejného klíče s osobou nebo organizací. Certifikáty mohou sloužit různým účelům v závislosti na tom, jak nakonfigurujete vlastnost Použití klíče certifikátu. Jejich primárním účelem v tomto systému je ověřit identitu serveru, aby byla komunikace důvěryhodná. Další podrobnosti naleznete v bezpečnostní příručce stanice Niagara – certifikát.
Niagara podporuje tyto typy certifikátů:

  • Certifikát CA (Certificate Authority) je certifikát podepsaný svým držitelem, který patří CA. Může to být třetí strana nebo společnost sloužící jako vlastní CA.
  • Certifikát kořenové CA je certifikát CA podepsaný sám sebou, jehož soukromý klíč se používá k podepisování jiných certifikátů vytvářejících strom důvěryhodných certifikátů. S jeho soukromým klíčem lze certifikát kořenové CA exportovat, uložit na USB flash disk v trezoru a vyjmout jej pouze v případě, že je třeba certifikáty podepsat. Soukromý klíč certifikátu kořenové CA vyžaduje vytvoření hesla při exportu a poskytnutí stejného hesla, když jej používáte k podepisování jiných certifikátů.
  • Zprostředkující certifikát je certifikát CA podepsaný kořenovým certifikátem CA, který se používá k podepisování certifikátů serveru nebo jiných zprostředkujících certifikátů CA. Použití zprostředkujících certifikátů izoluje skupinu serverových certifikátů.
  • Certifikát serveru představuje serverovou stranu zabezpečeného připojení. I když můžete nastavit samostatný certifikát pro každý protokol (Foxs, Https, Webs). I když můžete nakonfigurovat platformu a stanici (jako server) se samostatnými certifikáty serveru, pro jednoduchost většina systémů obvykle používá stejný certifikát serveru.
  • Certifikát podepisující kód je certifikát používaný k podepisování programových objektů a modulů. Systémoví integrátoři používají tento certifikát, aby zabránili vnesení škodlivého kódu při úpravě frameworku.

Certifikáty s vlastním podpisem
Certifikát podepsaný svým držitelem je certifikát, který je standardně podepsán pomocí vlastního soukromého klíče, nikoli soukromým klíčem certifikátu kořenové CA (Certifikační autority).
Systém podporuje dva typy certifikátů s vlastním podpisem:

  • Certifikát kořenové CA je implicitně důvěryhodný, protože neexistuje žádná vyšší autorita než CA (Certifikační autorita), která tento certifikát vlastní. Z tohoto důvodu CA, jejichž úkolem je schvalovat certifikáty jiných lidí, pečlivě střeží své kořenové certifikáty CA a soukromé klíče. Podobně, pokud vaše společnost slouží jako vlastní CA, měli byste pečlivě střežit certifikát kořenové CA, který používáte k podepisování jiných certifikátů.
  • Výchozí certifikát s vlastním podpisem: Při prvním spuštění instance Workbench, platformy nebo stanice po instalaci (uvedení do provozu) systém vytvoří výchozí certifikát serveru s vlastním podpisem s aliasem tridium.

POZNÁMKA:
Tento certifikát neexportujte a neimportujte jej do žádného úložiště jiné platformy nebo stanice. Ačkoli je to možné, snižuje se bezpečnost a zvyšuje se zranitelnost.
Aby se minimalizovalo riziko útoku typu man-in-the-middle při používání certifikátů s vlastním podpisem, měly by být všechny vaše platformy umístěny v zabezpečené privátní síti, offline a bez veřejného přístupu z internetu.

POZOR
Chcete-li použít certifikáty s vlastním podpisem, před prvním přístupem k platformě nebo stanici z Workbench se ujistěte, že váš počítač a platforma nejsou v žádné podnikové síti nebo internetu. Po odpojení připojte počítač přímo k platformě, otevřete platformu z Workbench a schvalte její vlastnoručně podepsaný certifikát. Teprve poté byste měli platformu znovu připojit k podnikové síti.

Konvence pojmenování
Úložiště klíčů uživatele, úložiště důvěryhodnosti uživatele a úložiště důvěryhodnosti systému tvoří jádro konfigurace. Certifikáty vypadají hodně podobně a různé výchozí certifikáty s vlastním podpisem jsou pojmenovány stejně.

Úložiště certifikátů
Správa certifikátů používá ke správě certifikátů čtyři úložiště: úložiště uživatelských klíčů, úložiště důvěryhodnosti systému, úložiště důvěryhodnosti uživatelů a seznam povolených hostitelů.
Úložiště uživatelských klíčů je spojeno se serverovou stranou vztahu klient-server. Toto úložiště obsahuje certifikáty, každý se svými veřejnými a soukromými klíči. Kromě toho toto úložiště obsahuje certifikát s vlastním podpisem, který byl původně vytvořen při spuštění Workbench nebo při prvním spuštění platformy.
Úložiště důvěryhodnosti uživatelů a systému jsou spojena s klientskou stranou vztahu klient-server. Systém důvěryhodného úložiště je předvyplněn standardními veřejnými certifikáty: kořenovými certifikáty CA od známých certifikačních autorit, jako jsou VeriSign, Thawte a Digicert. Uživatelské úložiště důvěryhodnosti obsahuje kořenové CA a zprostředkující certifikáty pro společnosti, které slouží jako jejich vlastní certifikační autorita.
Seznam Povolení hostitelé obsahuje serverové certifikáty, pro které neexistuje žádný důvěryhodný kořenový certifikát CA v úložištích systému nebo uživatelů, ale přesto byly certifikáty serveru schváleny k použití. To zahrnuje servery, jejichž název hostitele serveru není stejný jako obecný název v certifikátu serveru. Použití těchto certifikátů schvalujete individuálně. I když je komunikace bezpečná, je lepší používat podepsané certifikáty serveru.

Šifrování
Šifrování je proces kódování přenosu dat tak, aby je nemohly přečíst nedůvěryhodné třetí strany. TLS používá k přenosu dat mezi klientem a serverem šifrování. I když je možné vytvořit nešifrované připojení pouze pomocí protokolů fox nebo http, důrazně vám doporučujeme, abyste tuto možnost nevyužívali. Bez šifrování je vaše komunikace potenciálně vystavena útoku. Vždy přijměte výchozí připojení Foxs nebo Https.

BEZPEČNOSTNÍ PANEL PŘESVIEW
Ve verzi Niagara 4.10u5 a novější poskytuje funkce Security Dashboard (pro správce a další oprávněné uživatele) pohled z ptačí perspektivy view konfigurace zabezpečení vaší stanice. To vám umožní snadno sledovat konfiguraci zabezpečení v mnoha službách stanice a identifikovat případné slabé stránky konfigurace zabezpečení na stanici.

POZOR
Bezpečnostní řídicí panel View nemusí zobrazovat všechna možná nastavení zabezpečení a nemělo by být považováno za záruku, že je vše nakonfigurováno bezpečně. Zejména moduly třetích stran mohou mít nastavení zabezpečení, která se nezaregistrují do řídicího panelu.

Bezpečnostní řídicí panel view je hlavní view na bezpečnostní službě stanice. The view upozorní vás na slabá místa zabezpečení, jako je špatné nastavení síly hesla; prošlé, vlastnoručně podepsané nebo neplatné certifikáty; nešifrované transportní protokoly atd. označující oblasti, kde by konfigurace měla být bezpečnější. Mezi další hlášená data patří: stav systému, počet aktivních účtů, neaktivních účtů, počet účtů s oprávněními superuživatele atd. Volitelně lze atribut „system“ na licenční funkci „securityDashboard“ nastavit na „true“, aby byl systém povolen. View stanice, která poskytuje bezpečnostní podrobnosti pro každou podřízenou stanici v NiagaraNetwork.
Bezpečnostní Dashboard je hlavní view pro Bezpečnostní služby. Pro úplné podrobnosti na view, Viz „nss-SecurityDashboardView“ v Niagara Station Security Guide.

PLÁNOVÁNÍ A INSTALACE

Tato část obsahuje informace pro plánování a provádění instalace Advanced Plant Controller.

Doporučená instalace a konfigurace
Následující část ilustruje dvě doporučené konfigurace instalace.

  • Pouze BACnetTM
  • BACnetTM a Niagara

Pouze BACnetTMBACnetTM
Pokud se Advanced Plant Controller používá pouze pro komunikaci BACnetTM, připojte pouze Ethernet 1 k síti BAS, kde bude spuštěn BACnetTM (BACnetTM/IP nebo BACnetTM/Ethernet).

Honeywell-Optimizer-Advanced-Controller- (2)

BACnetTM a Niagara
Když je Niagara používána na Advanced Plant Controller, může být nakonfigurována pro poskytování služeb, jako je např web služeb nebo Niagara FOXS, na internet/intranet/firemní síť. V takovém případě připojte Ethernet 2 k Internetu/intranetu/podnikové síti přes bránu firewall BAS, abyste této síti mohli poskytovat služby.

Honeywell-Optimizer-Advanced-Controller- (3)

Doporučení pro místní sítě (LAN).
Zajistěte, aby systémy fungovaly na základě vhodných zásad hesel pro přístup uživatelů ke všem službám. Tento pokyn by mimo jiné zahrnoval:

  1. Použití silných hesel.
  2. Doporučená doba cyklu hesla.
  3. Jedinečná uživatelská jména a hesla pro každého uživatele systému.
  4. Pravidla zpřístupnění hesla.
  5. Pokud je vyžadován vzdálený přístup k systémům řízení budov založeným na IT, použijte technologii VPN (Virtual Private Network), abyste snížili riziko zachycení dat a ochránili ovládací zařízení před přímým umístěním na internet.

DOKUMENTACE

Dokumentace je nezbytná pro zachycení návrhových a konfiguračních informací potřebných k udržení bezpečného systému.

Dokumentujte fyzická zařízení a konfigurace, včetně klíčových informací souvisejících se zabezpečením
Veškerá dokumentace o zařízeních a konfiguracích musí obsahovat informace související se zabezpečením, aby bylo možné zavést a udržovat zamýšlené bezpečnostní kontroly. NapřampPokud jsou na pokročilém ovladači závodu provedeny změny výchozích služeb nebo portů, pak je jasně zdokumentujte, aby bylo možné nastavení v budoucnu obnovit.

Dokumentujte externí systémy, zejména interakci mezi Advanced Plant Controller a jeho souvisejícími systémy
BAS běžně vyžaduje nebo využívá externí systémy pro funkční účely, jako je stávající síťová infrastruktura, přístup VPN, hostitelé virtuálních strojů a firewally. Pokud BAS vyžaduje, aby tyto systémy byly z důvodu bezpečnosti nakonfigurovány určitým způsobem, jako je brána firewall povolující nebo zakazující určité porty nebo síť umožňující přístup k určitým systémům, musíte tyto informace zdokumentovat. Pokud budou tyto systémy někdy v budoucnu nutné obnovit, Přample: kvůli poruše zařízení nebo je třeba provést změny na externích systémech, Přample: upgrade firewallu, zdokumentování těchto informací vám pomůže obnovit předchozí úroveň zabezpečení.

ŘÍZENÍ PŘÍSTUPU A FYZICKÉ ZABEZPEČENÍ
Řízení přístupu zahrnuje specifikaci a omezení přístupu k zařízením nebo funkcím pouze oprávněným uživatelům.

Fyzicky zabezpečte Advanced Plant Controller, HMI a IO modul
Zabraňte neoprávněnému přístupu k síťovému zařízení, které se používá ve spojení se systémy poskytovanými společností Honeywell. U jakéhokoli systému zamezení fyzického přístupu k síti a zařízení snižuje riziko neoprávněného rušení. Nejlepší bezpečnostní postupy s IT instalacemi by zajistily, že serverové místnosti, propojovací panely a IT zařízení budou v uzamčených místnostech. Zařízení Honeywell by mělo být instalováno v uzamčených ovládacích skříních, které jsou umístěny v zabezpečených provozních místnostech.

Nálepka přes přístupový panel nebo kryt ovladače
Přihlaste se naamper-evidentní nálepka přes Advanced Plant Controller, HMI a přístupový panel nebo kryt IO modulu
Pokud zákazník potřebuje dodatečné ujištění, že nebyl zadán fyzický přístup chránící Advanced Plant Controller, HMI a IO modul, nainstalujte naampviditelnou pečeť nebo nálepku přes přístupový bod.

Segregujte a chraňte sítě

  1. Použijte firewall mezi internetem/intranetem/podnikovou sítí a BAS.
  2. Pro komunikaci BACnetTM použijte samostatnou vyhrazenou fyzickou síť (oddělené kabely) nebo virtuální síť (VLAN). Musí se jednat o síť oddělenou od sítě Internet/intranet/podnikové sítě.
  3. Nepřipojujte EN2 na Advanced Plant Controller k žádné síti, pokud nepotřebujete služby Niagara (platforma, stanice a/nebo Webserver). Pokud potřebujete připojit EN2 k Internetu/intranetu/podnikové síti, musíte použít externí BAS firewall mezi Advanced Plant Controller a Inter-net/intranet/podnikovou sítí.

Bezdrátové zabezpečení

  1. Uživatel potřebuje znovuview zabezpečení bezdrátové sítě založené na topologii sítě, které zajišťuje, že nedojde k nechtěnému vystavení veřejnému INTERNETu a že nebude obejita ochrana firewallem BAS.
  2. Je nezbytné vždy používat nejvyšší dostupné technologie bezdrátového zabezpečení, jako je WPA2 nebo WPA3. Kromě toho musí uživatelé bezpečně chránit svá hesla, mimo jiné včetně hesel Wi-Fi a PIN kódů BluetoothTM. Nikdy nedovolte, aby se ovladač připojoval k otevřené bezdrátové síti nebo nastavoval otevřený bezdrátový přístupový bod.
  3. Vždy se vyvarujte připojování neautorizovaných zařízení k bezdrátové síti nebo navazování spojení BluetoothTM, abyste předešli potenciálnímu zneužití.
  4. Je na odpovědnosti uživatele, aby pravidelně obnovovalview nastavení zabezpečení, měňte hesla nebo přístupové kódy podle zásad zabezpečení a sledujte připojená zařízení v bezdrátové síti a podsítích. Uživatelé by také měli zdokumentovat tyto auditní činnosti.

ZAJIŠTĚNÍ POKROČILÉHO OVLADAČE, HMI A MODULU IO

  1. Přihlašovací údaje účtu správce poskytnuté uživateli webu
    Pověření k systémovému účtu „Admin“ musí být poskytnuto vlastníkovi webu, aby mohl spravovat systémové účty.
  2. Vývoj bezpečnostního programu
    Viz „Obecné doporučené postupy v oblasti zabezpečení“
  3. Fyzikální a environmentální ohleduplnost
    Pokročilý ovladač, HMI a IO modul musí být instalovány v uzamčeném prostředí, např. v zabezpečené provozní místnosti nebo v uzamčené skříni.

POZNÁMKA
Zajistěte dostatečné větrání.

Aktualizace zabezpečení a aktualizace Service Pack
Ujistěte se, že Advanced Controller, HMI a IO Module používají nejnovější verzi firmwaru.

UŽIVATELÉ A HESLA

Uživatelé
Zajistěte, aby počet uživatelů a poskytnuté úrovně přístupu odpovídaly činnostem, které potřebují provádět.

  • Na úrovni zařízení řadiče konfigurujte systémové účty nebo uživatele v řadičích pro Web klient, supervizor a peer-to-peer přístup.
    Konfigurace uživatelských modulů v pokročilých ovladačích znamená, že se uživatel bude muset přihlásit do zařízení s platnými přihlašovacími údaji, než bude možné provést úpravy. Zajistěte, aby byla systémovým účtům a uživatelům přidělena příslušná přístupová práva.
  • Pro každého uživatele použijte jiný účet
    Používejte jedinečná jména a hesla pro každého uživatele/účet v systému, spíše než obecný přístup. Různí lidé by nikdy neměli sdílet stejný účet. NapřampKaždý manažer by měl mít svůj vlastní, samostatný účet, spíše než obecný účet „správců“, který by mohl používat mnoho manažerů.

Existuje mnoho důvodů, proč má každý uživatel svůj vlastní individuální účet:

Pokud má každá osoba svůj vlastní účet, budou protokoly auditu více informativní. Bude snadné přesně určit, který uživatel co udělal. To může pomoci zjistit, zda byl účet napaden.

POZNÁMKA
Ne všechny produkty mají funkci protokolu auditu, ale pokud je k dispozici, neměl by být deaktivován.

  • Pokud je účet odstraněn nebo upraven, mnoho lidí to netrápí. Napřample, pokud by osoba již neměla mít přístup, odstranění jejího individuálního přístupu je jednoduché. Pokud se jedná o sdílený účet, jedinou možností je změnit heslo a upozornit všechny, nebo účet smazat a upozornit všechny. Ponechat účet tak, jak je, není možné – cílem je zrušit přístup.
  • Pokud má každá osoba svůj vlastní účet, je mnohem snazší přizpůsobit oprávnění přesně podle jejich potřeb. Sdílený účet může způsobit, že lidé budou mít více oprávnění, než by měli.
    Sdílený účet znamená sdílené heslo. Sdílení hesel je extrémně špatný bezpečnostní postup. To zvyšuje pravděpodobnost úniku hesla a ztěžuje implementaci určitých osvědčených postupů pro hesla, jako je například vypršení platnosti hesla.
  • Použití jedinečných technických uživatelů pro projekty
    Je běžnou praxí, že některé společnosti používají u každého projektu stejné údaje o účtu. Jakmile je to známo, pokud je jeden systém kompromitován, útočník by potenciálně mohl mít přihlašovací údaje pro přístup k mnoha dalším projektům nainstalovaným stejnou společností.
  • Pokud je to možné, zakažte známé účty
    Některé produkty mají výchozí účty. Ty by měly být nakonfigurovány tak, aby heslo již nebylo výchozí.
  • Přiřaďte uživatelům minimální požadovaná oprávnění
    Zajistěte, aby byly v systému nastaveny pouze požadované účty s minimální požadovanou úrovní zabezpečení, nikoli úplný přístup. Při vytváření nového účtu přemýšlejte o tom, co musí daná osoba v systému dělat, a poté přiřaďte minimální oprávnění potřebná k provedení této práce. Napřample, někdo, kdo potřebuje pouze vidět alarmy, nepotřebuje administrátorský přístup. Udělení oprávnění, která nejsou vyžadována, zvyšuje pravděpodobnost narušení bezpečnosti. Uživatel může neúmyslně (nebo záměrně) změnit nastavení, která by měnit neměl.
  • Použijte minimální možný počet účtů správce systému
    Oprávnění správce systému přidělujte pouze v nezbytně nutných případech. Tento typ účtu je extrémně výkonný účet – umožňuje úplný přístup ke všemu. K účtu by měl mít přístup pouze správce systému. Zamyslete se také nad tím, že byste správci systému poskytli dva účty, jeden pro každodenní přístup ke správě každodenních činností a druhý účet pro vysoký přístup, který je vyžadován pouze v případě, že jsou vyžadovány změny typu správy.

Hesla
Systém a operační systémy Niagara používaly pokročilé produkty Honeywell používající hesla k autentizaci „uživatelů“ do supervizora, displeje, nástroje nebo operačního systému. Zvláště důležité je správné zacházení s hesly. Nepoužívání této počáteční úrovně zabezpečení bude znamenat, že kdokoli bude přistupovat k systému přes displej, web klient nebo nadřízený bude mít přístup k úpravám. Zajistěte, aby systém Niagara fungoval s odpovídající politikou hesel pro uživatelský přístup, tento pokyn by mimo jiné zahrnoval:

  • Používání silných hesel – Měla by se používat silná hesla. Podrobnosti o tom, co tvoří silné heslo, najdete v nejnovějších bezpečnostních standardech.
  • Doporučená doba cyklu hesla – Některé produkty Niagara umožňují správci systému určit dobu, po které musí být heslo změněno. Ačkoli ne všechny produkty v současnosti vynucují toto období změny hesla, zásady webu to mohou doporučit.
  • Pravidla pro zpřístupnění hesla – Uživatel MUSÍ zajistit, že podrobnosti o svém uživatelském jménu a hesle neprozradí ostatním a nebude si je zapisovat.

KONFIGURACE POKROČILÉHO ŘÍZENÍ ZÁVODU
Pro konfiguraci pokročilého řídicího systému zařízení viz Návod k instalaci a uvedení do provozu
(31-00584). Viz příručka ovladače HMI (31-00590) pro HMI a příručka ovladače sběrnice panelu (31-00591) pro modul IO.

Vytvořte a udržujte základní konfigurace
Vytvořte a udržujte základní konfiguraci Advanced Plant Controller, která byla správně nakonfigurována pro zabezpečení. Ujistěte se, že tato základní linie zahrnuje také DCF files a komponenty Niagara. Nepovažujte nezabezpečené konfigurace do základní linie, abyste zabránili jejich neúmyslnému použití v budoucnu. Při změně konfigurace aktualizujte veškerou relevantní dokumentaci.

 Změňte výchozí hesla
Změňte všechna výchozí hesla: heslo pro konfiguraci konzoly, heslo pro zálohování/obnovu/restart/kontrolu a heslo pro platformu Niagara. Po dokončení uvádění do provozu se ujistěte, že je zařízení chráněno heslem. Zajistěte, aby byly uživatelům webu přiřazeny příslušné uživatelské úrovně.

Další úvahy

Smlouva o úrovni služeb
Přijměte vhodné zásady aktualizací pro infrastrukturu nainstalovanou v místě jako součást smlouvy o úrovni služeb. Tato zásada by měla mimo jiné zahrnovat aktualizaci následujících součástí systému na nejnovější verzi:

  • Firmware zařízení pro kontrolér, IO moduly, HMI atd.;
  • Dozorčí software, jako je software Arena NX;
  • Počítačové / Serverové operační systémy;
  • Síťová infrastruktura a jakékoli systémy vzdáleného přístupu.

Konfigurace IT sítě
Nakonfigurujte samostatné IT sítě pro automatizační řídicí systémy a podnikovou IT síť zákazníka. Toho lze dosáhnout konfigurací VLAN (virtuálních LAN) v rámci IT infrastruktury zákazníka nebo instalací oddělené síťové infrastruktury se vzduchovou mezerou určené pro automatizační řídicí systémy.
Při propojení s ovladači pomocí centralizovaného dohledu systému (napřample: Niagara) a kde systém nevyžaduje přímý přístup k jednotlivým zařízením web server, měla by být síťová infrastruktura nakonfigurována tak, aby omezovala web přístup na server.
Dynamické VLAN využívající přidělování MAC adres mohou chránit před neoprávněným připojením zařízení do systému a mohou snížit riziko spojené s individuálním monitorováním informací v síti.

KONFIGURACE FIREWALL BAS

Následující tabulka popisuje síťové porty používané v Advanced Plant Controller. Viz část „Konec systémuview“ na straně 8. napřamparchitektura instalace. Tabulka má následující sloupce:

  • Výchozí port a protokol (TCP nebo UDP)
  • Účel přístavu
  • Zda je nebo není třeba změnit výchozí port
  • Zda by měla být povolena příchozí připojení nebo provoz prostřednictvím brány BAS Firewall
  • Další poznámky jsou uvedeny pod tabulkou

Tabulka 2 Konfigurace brány firewall BAS

Výchozí Port/Protokol  

Účel

 Změnit z výchozího?  

Povolit přes BAS Firewall?

  

Poznámky
80 / TCP HTTP Žádný Žádný  
 

443 / TCP

  

HTTPs

  

Žádný

 Případně, pokud web je vyžadován přístup z internetu/intranetu/podnikové sítě.  

1
1911 / TCP Fox (nezabezpečená verze aplikačního protokolu Niagara) Ano Žádný  
4911 / TCP Fox + SSL (zabezpečená verze aplikačního protokolu Niagara) Ano Žádný  
3011 / TCP NiagaraD (nezabezpečená verze protokolu platformy Niagara) Ano Žádný  
5011 / TCP NiagaraD + SSL (zabezpečená verze protokolu platformy Niagara) Ano Žádný  
2601 / TCP Port konzoly Zebra Žádný Žádný 2
2602 / TCP RIP konzolový port     2
47808/UDP Síťové připojení BACnetTM/IP Ano Žádný 3

POZNÁMKA

  1. Pokud je přímý dálkový web je podporováno uživatelské rozhraní, pak musí být tento port povolen přes bránu firewall BAS.
  2. Port je automaticky otevřen tímto démonem a tuto funkci nelze zakázat. Démon je nakonfigurován tak, aby nepovoloval žádné přihlášení přes tento port.
  3. Dodržujte pokyny pro konfiguraci sítě uvedené v této příručce, takže Advanced Plant Controller nikdy nebude muset procházet UDP provozem přes bránu firewall BAS.

NASTAVENÍ OVĚŘOVÁNÍ

Google Authentication Scheme je dvoufaktorový ověřovací mechanismus, který vyžaduje, aby uživatel při přihlašování ke stanici zadal své heslo a také jednorázový token. To chrání účet uživatele, i když je jeho heslo prozrazeno.
Toto ověřovací schéma se opírá o TOTP (Time-based OneTime Password) a aplikaci Google Authenticator v mobilním zařízení uživatele pro generování a ověřování jednorázových ověřovacích tokenů. Ověření Google je založeno na čase, takže neexistuje žádná závislost na síťové komunikaci mezi mobilním zařízením uživatele, stanicí nebo externími servery. Protože je autentizátor založen na čase, čas ve stanici a čas v telefonu musí zůstat relativně synchronizované. Aplikace poskytuje vyrovnávací paměť plus nebo mínus 1.5 minuty, aby se zohlednil časový posun.
Předpoklady: Mobilní telefon uživatele vyžaduje aplikaci Google Authentication. Pracujete ve Workbench. Uživatel existuje v databázi stanice.

Postup

  1. Otevřete paletu gauth a přidejte GoogleAuthenticationScheme do uzlu Services > Authenticationservice ve stromu Nav.
  2. Klepněte pravým tlačítkem myši na Userservice a poklepejte na uživatele v tabulce. Úpravy view pro uživatele se otevře.
  3. Nakonfigurujte vlastnost Authentication Scheme Name na GoogleAuthenticationScheme a klikněte na Uložit.
  4. Klikněte na tlačítko vedle tajného klíče pod autentizátorem uživatele a postupujte podle pokynů.
  5. Pro dokončení konfigurace klikněte na Uložit. V závislosti na view používáte, možná budete muset znovu otevřít uživatele nebo obnovit po uložení.

SYSTÉMOVÁ DODÁVKA
Tato část obsahuje informace, které musíte poskytnout při doručení BAS vlastníkovi systému.

  • Dokumentace, která zahrnuje informace o zabezpečení, konfigurační nastavení, administrátorská uživatelská jména a hesla, plány havárie a obnovy a postupy zálohování a obnovy.
  • Školení koncových uživatelů o úkolech údržby zabezpečení.

USB ZÁLOHA A ČISTIČ FILE INSTALACE
Uživatel musí chránit přístupové heslo použité pro zipování a rozbalování ovladače. Vyhněte se sdílení přístupových frází a přihlašovacích údajů řadiče během procesu zálohování nebo obnovy.
USB zálohování a CleanDist file informace o instalaci naleznete v Návodu k instalaci a uvedení do provozu – 31-00584.

VYŘAZENÍ SYSTÉMU Z PROVOZU
Citlivá data by měla být vymazána z jednotek, které jsou vyřazovány z provozu, a to lze provést obnovením továrního nastavení. Viz Servisní tlačítko/LED servisního alarmu a CleanDist file instalace z Návodu k instalaci a uvedení do provozu – 31-00584.

POZNÁMKA
CleanDist file postup lze provést tovární nastavení instalací clean4 file.

POKROČILÉ ZABEZPEČENÍ PRODUKTŮ NA BÁZI NIAGARY
U produktů Advanced Honeywell, které jsou založeny na rámcích Niagara N4 a Niagara AX (např. Advanced Plant Controller, HMI a IO Module), se musíte řídit radami Tridium ohledně zabezpečení rámce Niagara.
Existuje řada konfiguračních změn, které lze provést na Niagara a které lze provést pro maximalizaci zabezpečení produktů Advanced Honeywell.

  • Použijte funkci Síla hesla
  • Povolte funkci uzamčení účtu
  • Platnost hesel
  • Použijte historii hesel
  • Použijte funkci resetování hesla
  • Pole „Zapamatovat si tyto přihlašovací údaje“ ponechte nezaškrtnuté
  • Změňte výchozí systémové heslo
  • Použijte TLS k nastavení systémové přístupové fráze
  • Zvolte silné systémové heslo
  • Chraňte systémové heslo
  • Ujistěte se, že vlastník platformy zná systémové heslo
  • Pro každého uživatele platformy použijte jiný účet
  • Pro každý projekt použijte jedinečné názvy účtů
  • Ujistěte se, že vlastník platformy zná přihlašovací údaje platformy
  • Použijte jiný účet pro každého uživatele stanice
  • Pro každý projekt použijte jedinečné účty typu služby
  • Pokud je to možné, zakažte známé účty
  • Nastavte dočasné účty tak, aby automaticky vypršely
  • Změňte přihlašovací údaje účtu typu systému
  • Zakázat souběžné relace, když je to vhodné
  • Nakonfigurujte role s minimálními požadovanými oprávněními
  • Přidělte uživatelům minimální požadované role
  • Použijte minimální možný počet superuživatelů
  • Vyžadovat oprávnění superuživatele pro programové objekty
  • Použijte Minimální požadovaná oprávnění pro externí účty
  • Použijte schéma ověřování vhodné pro typ účtu
  • Odstraňte zbytečná schémata ověřování
  • TLS a správa certifikátů
  • Instalace modulu
  • Vyžadovat podepsané programové objekty a roboty
  • Zakázat SSH a SFTP
  • Zakažte nepotřebné služby
  • Bezpečně nakonfigurujte potřebné služby
  • Aktualizujte Niagara 4 na nejnovější verzi
  • Nainstalujte produkt na bezpečné místo
  • Ujistěte se, že stanice jsou za VPN
  • K dispozici jsou specifické technické publikace, které je třeba dodržovat, aby bylo zajištěno co nejbezpečnější uzamčení systému. Existuje mnoho možností, jako je šifrování SSL a další kroky k ochraně prvků, jako jsou programové moduly, další podrobnosti najdete v Tridium webmísto pro Niagara 4 Hardening Guide (pro produkty na bázi Niagara N4) a Niagara Hardening Guide (produkty na bázi Niagara AX).

Materiál v tomto dokumentu slouží pouze pro informační účely. Popsaný obsah a produkt se mohou změnit bez předchozího upozornění. Společnost Honeywell neposkytuje v souvislosti s tímto dokumentem žádná prohlášení ani záruky. V žádném případě nebude společnost Honeywell odpovědná za technická nebo redakční opomenutí nebo chyby v tomto dokumentu, ani neodpovídá za žádné škody, přímé nebo náhodné, vyplývající z používání tohoto dokumentu nebo související s jeho používáním. Žádná část tohoto dokumentu nesmí být reprodukována v jakékoli formě nebo jakýmikoli prostředky bez předchozího písemného souhlasu společnosti Honeywell.
Honeywell | Automatizace budov

715 Peachtree Street, NE,

  • Atlanta, Georgia, 30308, Spojené státy americké.
  • https://buildings.honeywell.com/us/en
  • ® Registrovaná ochranná známka v USA
  • ©2024 Honeywell International Inc. 31-00594-03 Rev. 12-24

KONTROLNÍ SEZNAM ZABEZPEČENÍ INSTALACE

  • Instance zařízení pokročilého ovladače rostlin: ________________________________________________________________
  • Popis pokročilého ovladače závodu: ___________________________________________________________________
  • Umístění pokročilého ovladače závodu: _______________________________________________________________________
  • Instalátor: __________________________________________________________
  • Datum: ____________________________________

Proveďte následující bezpečnostní úlohy pro každý nainstalovaný Advanced Plant Controller

  • Nainstalujte firewall mezi Advanced Plant Controller a externí sítě. Viz „BACnet a Niagara“ na stránce 19.
  • Fyzicky zabezpečte Advanced Plant Controller. Viz „Fyzické zabezpečení pokročilého řízení závodu, HMI a IO modulu“ na straně 22.
  • Změňte výchozí heslo na jedinečné heslo pro každou z následujících položek: Konfigurace konzoly, Zálohování/Obnova/Restart/Řízení a Platforma Niagara. Viz Návod k instalaci a uvedení do provozu – 31-00584
  • Pokud a web server, pak jej nakonfigurujte tak, aby fungoval pouze v režimu HTTPS. Viz Návod k instalaci a uvedení do provozu – 31-00584

Web Stav serveru: Zakázáno / Povoleno.
If web je služba povolena, proveďte následující:

  • Nastavte HTTP povoleno = false.
  • Nastavte Https Enabled = true.
  • Nastavte Pouze Https = true.
  • Nakonfigurujte bránu firewall BAS. Viz „Konfigurace brány firewall BAS“ na stránce 26.
  • Při dodání poskytněte majiteli systému BAS všechna požadovaná data. Viz „Nastavení ověřování“ na stránce 27.

FAQ

  • Proč je zabezpečení pokročilého ovladače důležité?
    Zabezpečení ovladače pomáhá zabránit neoprávněnému přístupu, chrání citlivá data a zajišťuje spolehlivost systému.
  • Jak mohu obnovit své heslo?
    Chcete-li obnovit své heslo, postupujte podle postupu obnovení hesla popsaného v příručce. Obvykle to zahrnuje ověření informací o vašem účtu.

Dokumenty / zdroje

Pokročilý ovladač Honeywell Optimizer Advanced [pdfUživatelská příručka
31-00594-03, Optimizer Advanced Controller, Advanced Controller, Controller

Reference

Související příspěvky

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Povinná pole jsou označena *