Uživatelská příručka k softwaru MICROSENS Smart Building Manager

Upozorňujeme, že nové verze mohou mít nové funkce, které nepokrývají vaši současnou infrastrukturu SBM. Chcete-li co nejlépe využít nejnovější verzi SBM, přečtěte si historii změn, aktualizovanou dokumentaci nebo v případě pochybností kontaktujte zástupce společnosti MICROSENS.

Nepřizpůsobujte svou instanci SBM přímo v produktivním prostředí!
Kromě produktivní instance SBM spusťte instanci SBM v testovacím prostředí.
Tímto způsobem můžete testovat změny konfigurace, aniž byste ohrozili produktivní instanci SBM kvůli nesprávné konfiguraci.
Pravidelně zálohujte databázi SBM pomocí plánovače záloh aplikace.
Další informace o použití plánovače záloh najdete v provozní příručce SBM.

Monitorujte systém, ve kterém spouštíte instanci SBM, na následujícím:
◦ Využití místa na disku (volné místo na disku)
◦ Zatížení procesoru
◦ Síťový provoz (zejména v cloudovém prostředí) pro detekci DDoS útoků
◦ Události přihlášení/odhlášení uživatele pro kontrolu neúspěšných pokusů o přihlášení.

Informace o monitorování instance SBM pomocí řešení s otevřeným zdrojovým kódem naleznete v příručce SBM System Monitoring Guide.

Kapitola 3. Zabezpečení vaší instance SBM

Proveďte níže uvedené akce pro posouzení zranitelnosti.

Udržujte svůj operační systém aktuální a používejte nejnovější úroveň oprav!
Vaše instance SBM bude pouze tak bezpečná jako váš operační systém!

Změňte heslo pro uživatele Super Admin!
SBM přichází s několika výchozími uživatelskými účty s výchozími hesly. Změňte alespoň heslo uživatele Super Admin, i když tento účet neplánujete používat.

Nikdy neponechávejte výchozí heslo tak, jak je!
Chcete-li změnit heslo uživatele, použijte aplikaci „Správa uživatelů“ prostřednictvím Web Klient.

Vytvořte alternativní správce SBM s oprávněními Super Admin pro vaši každodenní práci!

Doporučuje se nastavit jiný účet superadministrátora SBM. V důsledku toho lze nastavení jeho účtu kdykoli změnit, aniž by došlo k neúmyslné neaktivitě platného účtu superadministrátora.
Chcete-li přidat nový uživatelský účet, použijte aplikaci „Správa uživatelů“ prostřednictvím Web Klient.

Změňte výchozí hesla pro všechny předdefinované uživatelské účty
Během první instalace SBM vytvoří výchozí uživatelské účty (jako Super Admin, sysadmin…), které lze také použít ke správě síťových zařízení prostřednictvím SBM.
Tyto uživatelské účty jsou vytvořeny s výchozími hesly, která by měla být změněna, aby se zabránilo přístupu k aplikaci „Správa zařízení“ prostřednictvím Web Klient.
Změňte heslo k databázi SBM!
SBM je dodáván s výchozím heslem, které zabezpečuje databázi SBM. Změňte toto heslo v rámci komponenty serveru SBM.
Nikdy neponechávejte výchozí heslo tak, jak je!

Změňte heslo pro FTP server!
SBM se dodává s výchozím uživatelem FTP a výchozím heslem. Změňte alespoň heslo uživatele FTP.
Nikdy neponechávejte výchozí heslo tak, jak je!

Aktualizujte certifikát serveru SBM, abyste se vyhnuli útokům typu Man-in-the-Middle!
SBM Server je dodáván s výchozím certifikátem s vlastním podpisem pro web server. Aktualizujte jej platným certifikátem ve formátu Java KeyStore (JKS). Java KeyStore (JKS) je úložiště bezpečnostních certifikátů, buď autorizačních certifikátů, nebo certifikátů veřejného klíče plus odpovídající soukromé klíče, používané například při šifrování SSL.
Podrobnou nápovědu/popis, jak vytvořit certifikát JKS pro SBM, naleznete v okně Správce serveru.

Použijte software API-Gateway, abyste se vyhnuli útokům DDoS To je důležité zejména pro cloudové instance!
Omezte připojení pouze na HTTPS!
SBM web server je přístupný přes HTTP nebo HTTPS. Pro bezpečnou datovou komunikaci povolte HTTPS. Tím zakážete přístup HTTP k web server.
Ujistěte se, že všude se používá verze TLS 1.2 nebo vyšší!
Ujistěte se, že používáte zprostředkovatele MQTT, který umožňuje pouze připojení TLS!
SBM přichází s funkcí brokera MQTT. Pokud plánujete používat externího zprostředkovatele MQTT, ujistěte se, že umožňuje zabezpečené připojení TLS!
Používejte čisté protokoly MQTT!
Ujistěte se, že protokoly MQTT neobsahují žádné úniky informací, které by útočníkům umožnily nesprávnou konfiguraci SBM nebo zařízení.
Ujistěte se, že všechna data IoT jsou šifrována!
Ujistěte se, že každé okrajové zařízení implementuje alespoň základní autentizaci s uživatelským jménem, heslem a ID klienta.
◦ ID klienta by mělo být jeho MAC adresa nebo sériové číslo.
◦ Pro identifikaci okrajového zařízení je mnohem bezpečnější používat certifikáty X.509.

Kapitola 4. Zabezpečení síťových zařízení

Proveďte níže uvedené akce pro posouzení zranitelnosti.

Změňte výchozí hesla všech svých přepínačů a okrajových zařízení!
Stále jsou k dispozici síťová zařízení obsahující široce známé výchozí uživatelské účty a hesla. Změňte alespoň hesla stávajících uživatelských účtů. Nikdy neponechávejte výchozí hesla tak, jak jsou!
Postupujte podle pokynů v příručce MICROSENS Security Guide, aby byl váš přepínač MICROSENS a SmartDirector co nejbezpečnější!
Nejnovější verzi Průvodce zabezpečením naleznete v oblast stahování MICROSENS web strana.
Použijte systém správy identit k vytvoření certifikátů pro vaše přepínače!
Bezpečná a stabilní správa identit je komplexní pracovní zátěž s vysokým potenciálem chyb a nedbalosti. Tento úkol bude podporovat systém správy identit.
Nezapomeňte aktualizovat úložiště důvěryhodnosti instance SBM, aby byly akceptovány certifikáty přepínačů!
K čemu jsou zabezpečená síťová zařízení, když je SBM nerozpozná?

Zvažte použití VLAN, aby byla vaše síť bezpečnější díky přístupu mikrosegmentace!
Mikrosegmentace minimalizuje účinek útoků na infrastrukturu tím, že zachycuje důsledky pouze pro postižené segmenty.

Kapitola 5. Správa uživatelů

Chcete-li ovládat přístup uživatelů k vaší instanci SBM, proveďte níže uvedené akce.

Z bezpečnostních důvodů by měl být vytvořen pouze minimální počet skutečně požadovaných uživatelů!
Správa uživatelů bude s každým novým uživatelským účtem stále složitější a náchylnější k chybám.

Upravte úroveň oprávnění pro každého uživatele!
Uživatel by měl mít minimální úroveň oprávnění a přístupu, aby mohl plnit své současné povinnosti.
Vytvořte různé uživatele pro různé role!
Přiřazení rolí uživatelům pomůže pohodlně spravovat uživatele.
Ujistěte se, že uživatel musí po prvním přihlášení změnit přihlašovací heslo!
Neudělají to sami, ale musí k tomu být dotlačeni při prvním přihlášení.

Postarejte se o uživatelská nastavení, např.
◦ Uzamčení účtu
◦ Časové limity relací

Kapitola 6. Technický strom

Technický strom SBM poskytuje možnost spravovat technické služby (tj. zařízení, senzory, aktivátory), které nebyly přiřazeny ke konkrétnímu prvku infrastruktury budovy (tj. místnostem nebo podlažím).

Ujasněte si, které služby z vaší infrastruktury mají být přiřazeny do technického stromu.
Není možné použít stejnou položku pro zařízení i technický strom!

Definujte uzly a hierarchické struktury na základě potřeb koncových uživatelů.
Z důvodů použitelnosti ponechte stromovou hierarchii co nejrovnější (doporučení: max. hloubka 2-3 úrovně).

Kapitola 7. Správa datových bodů

7.1. Schéma tématu MQTT

Před vytvořením listu datových bodů MQTT nejprve definujte schéma tématu MQTT.
◦ Použijte stromový diagram nebo dendrogram k vizualizaci hierarchické struktury MQTT.
◦ Tento diagram pomůže při použití zástupných znaků (např. + pro jednu úroveň, # pro více úrovní) pro seskupené odběry témat MQTT.

7.2. Datový list MQTT

Nezapomeňte znovuview následující položky po importu datového listu MQTT:
◦ Seznam konfigurace datových bodů
◦ Přiřazení datových bodů

Použijte simulační software IoT.
To vám pomůže publikovat data MQTT do SBM, abyste si mohli ověřit, zda publikované datové body odpovídají vašemu očekávání, pomocí tabulek a panelů SBM.
Definujte pravidla alarmu pro nejkritičtější hodnoty datových bodů
To přinutí SBM odeslat upozornění na alarm v případě, že hodnota datového bodu překročí určitý rozsah hodnot.

Kapitola 8. Přizpůsobení

Začněte s návrhem datového bodu následovně:
◦ Definujte ID/názvy datových bodů
◦ Definujte názvy témat MQTT na základě vámi definovaného schématu témat
◦ Přiřaďte správnou třídu DataPointClass

Ujistěte se, že je režim přístupu přiřazený každému datovému bodu správný.
◦ READONLY znamená, že datový bod lze použít pouze pro vizualizaci
◦ READWRITE znamená, že hodnotu datového bodu lze zapsat za účelem implementace řídicích funkcí
Ujistěte se, že jsou každému datovému bodu přiřazeny správné kontextové informace.
K vizualizaci datových bodů použijte co nejjednodušší SVG, abyste se vyhnuli vizuálnímu šumu.
Pomůže to rychle překonatview všech stavů datových bodů.

Použijte typy místností a přiřaďte je místnostem, abyste se vyhnuli pracovní zátěži vynaložené na definování karet stavu místnosti pro každou místnost zvlášť.

Náš Všeobecné obchodní podmínky prodeje (GTCS) platí pro všechny objednávky (viz https://www.microsens.com/fileadmin/files/downloads/Impressum/MICROSENS_AVB_EN.pdf).

Zřeknutí se odpovědnosti
Všechny informace v tomto dokumentu jsou poskytovány „tak, jak jsou“ a mohou se bez upozornění změnit.
MICROSENS GmbH & Co. KG odmítá jakoukoli odpovědnost za správnost, úplnost nebo kvalitu poskytovaných informací, vhodnost pro určitý účel nebo za následné škody.
Jakékoli zde uvedené názvy produktů mohou být ochrannými známkami a/nebo registrovanými ochrannými známkami příslušných vlastníků.
©2023 MICROSENS GmbH & Co. KG, Kueferstr. 16, 59067 Hamm, Německo.
Všechna práva vyhrazena. Tento dokument jako celek ani zčásti nesmí být duplikován, reprodukován, ukládán nebo znovu přenášen bez předchozího písemného souhlasu společnosti MICROSENS GmbH & Co. KG.
ID dokumentu: DEV-EN-SBM-Best-Practice_v0.3

Dokumenty / zdroje

	Software MICROSENS Smart Building Manager [pdfUživatelská příručka Smart Building Manager Software, Building Manager Software, Manager Software, Software
	MICROSENS Smart Building Manager [pdfPokyny Smart Building Manager, Smart Building Manager, Building Manager, Manager

Reference

Uživatelská příručka

Kapitola 1. Úvod

Kapitola 2. Běžné úkoly