Innihald fela sig
1 Honeywell Optimizer háþróaður stjórnandi
2 KERFI YFIRVIEW
3 NETSKIPULAG OG ÖRYGGI
4 FRAMKVÆMDASTJÓRI, HMI OG IO MODULE ÖRYGGISKERFI
5 ÖRYGGI NIAGARA STÝRIKERFIÐ
6 ALMENN REGLUGERÐ gagnaverndar (GDPR)
7 ÖRUG SAMSKIPTI
8 SKIPULAG OG UPPSETNING
9 SKJALASAFN
10 FYRIR FRÁBÆRA STJÓRNINN, HMI OG IO EININGINN
11 NOTENDUR OG LYKILORÐ
12 STILLA BAS ELDVÆGURINN
13 UPPSETNING Auðkenningar
14 Algengar spurningar
15 Skjöl / auðlindir
15.1 Heimildir
16 Tengdar færslur

Honeywell-LOGO

Honeywell Optimizer háþróaður stjórnandi

Honeywell-Optimizer-Advanced-Controller-PRODUCT

Tæknilýsing

  • Vara: Háþróaður stjórnandi
  • Gerðarnúmer: 31-00594-03
  • Stýrikerfi: Niagara stýrikerfi
  • Öryggiseiginleikar: Staðfestingarkóði reiknings, kerfisreikninga, endurheimt lykilorðs, örugg samskipti, vottorð
  • Netsamhæfi: BACnetTM, LAN

Fyrirvari
Þó að við höfum tekið þátt í viðleitni til að tryggja nákvæmni þessa skjals, er Honeywell ekki ábyrgt fyrir tjóni af neinu tagi, þar með talið án takmarkana afleiddra tjóns sem stafar af beitingu eða notkun upplýsinganna sem hér er að finna. Upplýsingar og forskriftir sem birtar eru hér eru í gildi frá og með dagsetningu þessarar útgáfu og geta breyst án fyrirvara. Nýjustu vörulýsingar má finna á okkar websíðuna eða með því að hafa samband við skrifstofu okkar í Atlanta, Georgia.
Fyrir mörg RS-485 byggð samskipti í iðnaði er verið að slökkva á sjálfgefna stöðunni við sendingu frá verksmiðjunni til að tryggja besta öryggið, vegna þess að þessir eldri samskiptarútur nota eldri tækni fyrir besta samhæfni og þeir voru hannaðir með veikri öryggisvörn. Svo, til að hámarka vernd kerfisins þíns, hefur Honeywell fyrirbyggjandi slökkt á eldri samskiptahöfnum iðnaðarrúta (við sendingu verksmiðjunnar) og notandi verður að virkja netkerfin í stöð hvers nets. Ef þú vilt virkja þessar hafnir þarftu að vera meðvitaður um hættuna á öryggisbrestum vegna notkunar eldri tækni. Þetta felur í sér en takmarkast ekki við: Panel-bus, C-Bus, BACnetTM, M-Bus, CP-IO Bus, NovarNet, XCM-LCD samskiptareglur, SBC S-Bus og Modbus, o.fl.
Þróar í ISA-62443

Honeywell hefur reitt sig á ISA 62443-4-1 staðlinum í mörg ár og viðeigandi fylgistaðla til að þróa byggingartæknivörur okkar á öruggan hátt. Til dæmisample, Honeywell byggingarvörur nota einnig ISA/IEC 62443-4-2 sem grunnlínu fyrir tæknilegar öryggiskröfur innan íhluta, og við notum ISA/IEC 62443-3-3 fyrir heildarkerfi. Þannig að fyrir samþættingaraðila og viðskiptavini sem velja byggingartækni, getur fylgni Honeywell við fjölskyldu ISA/IEC 62443 staðla veitt mikið traust á því að vörur okkar segist ekki bara vera netþolnar – þær hafa verið hannaðar, prófaðar og staðfestar fyrir netviðnám frá upphafi.
Honeywell þróar vörur okkar samkvæmt ISA/IEC 62443-4-1 og við höfum verið metin af þriðja aðila og endurskoðuð samkvæmt þessum staðli.
Inngangur og áhorfendur

Honeywell tekur hér með skýrt fram að stjórnendur þess séu ekki í eðli sínu verndaðir gegn netárásum af internetinu og að þeir séu því eingöngu ætlaðir til notkunar í einkanetum. Hins vegar geta jafnvel einkanet enn orðið fyrir skaðlegum netárásum af hæfum og búnum upplýsingatækni einstaklingum og þarfnast því verndar. Viðskiptavinir ættu því að samþykkja uppsetningar- og öryggisleiðbeiningar um bestu starfsvenjur fyrir Advanced Plant Controller IP-undirstaða vörur til að draga úr áhættunni sem stafar af slíkum árásum.
Eftirfarandi viðmiðunarreglur lýsa almennum bestu starfsvenjum um öryggi fyrir háþróaðar vörur sem byggjast á IP-stöðvum fyrir verksmiðjustýringu. Þeir eru taldir upp í röð eftir auknum mótvægisaðgerðum.

Nákvæmar kröfur hvers svæðis skulu metnar í hverju tilviki fyrir sig. Langflestar uppsetningar sem innleiða öll mótvægisstigið sem lýst er hér mun vera langt umfram það sem þarf til að tryggja fullnægjandi kerfisöryggi. Með því að fella inn atriði 1-5 (sem snerta staðarnet), Sjá „Tilmæli um staðarnet (LAN)“ á blaðsíðu 20. mun almennt uppfylla kröfur fyrir flestar sjálfvirkar netkerfisuppsetningar.
Þessi handbók inniheldur upplýsingar til að leiðbeina starfsfólki hjá Honeywell söluaðila um hvernig eigi að setja upp og stilla háþróaðan verksmiðjustýringu, HMI og IO einingar á öruggan hátt. Öryggistengdar upplýsingar um rekstur, USB öryggisafrit og endurheimt og CleanDist file uppsetningu stjórnandans er að finna í leiðbeiningum um uppsetningu og gangsetningu (31-00584).

ATH
Vinsamlegast gefðu þér tíma til að lesa og skilja allar viðeigandi uppsetningar-, uppsetningar- og notkunarhandbækur og tryggja að þú fáir reglulega nýjustu útgáfurnar

Tafla 1 Vöruupplýsingar

Vara Vörunúmer Lýsing
 

 

 

 

 

 

Verksmiðjustjóri

 N-ADV-134-H Niagara háþróaður stjórnandi með fjórum Ethernet tengi, tengi fyrir HMI og 4 RS485 tengi
 

N-ADV-133-H-BWA

 Niagara háþróaður stjórnandi með fjórum Ethernet tengjum, tengi fyrir HMI, 3 RS485 tengi, Wi-Fi (Ameríkusvæði) og BluetoothTM stuðningur
 

N-ADV-133-H-BWE

 Niagara háþróaður stjórnandi með fjórum Ethernet tengjum, tengi fyrir HMI, 3 RS485 tengi, Wi-Fi (Evrópusvæði) og BluetoothTM stuðningur
 

N-ADV-133-H-BWW

 Niagara háþróaður stjórnandi með fjórum Ethernet tengi, tengi fyrir HMI, 3 RS485 tengi, Wi-Fi (Restin af heiminum svæði) og BluetoothTM stuðningur
N-ADV-133-H Niagara háþróaður stjórnandi með fjórum Ethernet tengi, tengi fyrir HMI og 3 RS485 tengi
N-ADV-112-H Niagara háþróaður stjórnandi með tveimur Ethernet tengi, tengi fyrir HMI og 2 RS485 tengi
 

HMI

 HMI-DN HMI (DIN járnbrautarfesting)
HMI-WL HMI (hurð/veggfesting)
 

 

 

 

 

 

 

 

 

 

IO eining

 IO-16UIO-SS 16UIO IO eining án HOA, Serial Comms, Skrúfutengi
IOD-16UIO-SS 16UIO IO eining með HOA skjá, raðtengingum, skrúfutengi
IO-16UI-SS 16UI IO Module, Serial Comms, Skrúfutengi
IO-16DI-SS 16DI IO Module, Serial Comms, Skrúfutengi
IO-8DOR-SS 8DO IO eining án HOA, C/O relays, Serial Comms, skrúfa tengi
IOD-8DOR-SS 8DO IO eining með HOA skjá, C/O relays, Serial Comms, skrúfa tengi
IO-16UIO-SP 16UIO IO eining með HOA skjá, raðtengingum, þrýstitengjum
IO-16UI-SP 16UIO IO Module, Serial Comms, Push Terminals
IO-16DI-SP 16DI IO Module, Serial Comms, Push Terminals
IO-8DOR-SP 8DO IO eining án HOA, C/O relays, Serial Comms, Push Terminals
IOD-8DOR-SP 8DO IO eining með HOA skjá, C/O relays, Serial Comms, Push Terminals
IO-8UIO-SS 8UIO IO eining án HOA, Serial Comms, Skrúfutengi
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

IO eining

 IOD-8UIO-SS 8UIO IO eining með HOA skjá, raðtengingum, skrúfutengi
IO-8AO-SS 8AO IO eining án HOA, Serial Comms, Skrúfutengi
IOD-8AO-SS 8AO IO eining með HOA skjá, raðtengingum, skrúfutengi
IO-4UIO-SS 4UIO IO eining án HOA, Serial Comms, Skrúfutengi
IOD-4UIO-SS 4UIO IO eining með HOA skjá, raðtengingum, skrúfutengi
IO-8DI-SS 8DI IO Module, Serial Comms, Skrúfutengi
IO-4DOR-SS 4DO IO eining án HOA, C/O relays, Serial Comms, skrúfa tengi
IOD-4DOR-SS 4DO IO eining með HOA skjá, C/O relays, Serial Comms, skrúfa tengi
IO-4DORE-SS 4DO IO eining án HOA, endurbætt C/O liða, raðtengingar, skrúfutengi
IOD-4DORE-SS 4DO IO eining með HOA skjá, endurbættum C/O liða, raðtölvum, skrúfutengjum
IO-8UIO-SP 8UIO IO eining án HOA, Serial Comms, Push Terminals
IOD-8UIO-SP 8UIO IO eining með HOA skjá, raðtengingum, þrýstitengjum
IO-8AO-SP 8AO IO Module án HOA, Serial Comms, Push Terminals
IOD-8AO-SP 8AO IO eining með HOA skjá, raðtengingum, þrýstieiningum
IO-4UIO-SP 4UIO IO eining án HOA, Serial Comms, Push Terminals
IOD-4UIO-SP 4UIO IO eining með HOA skjá, raðtengingum, þrýstitengjum
IO-8DI-SP 8DI IO Module, Serial Comms, Push Terminals
IO-4DOR-SP 4DO IO eining án HOA, C/O relays, Serial Comms, Push Terminals
IOD-4DOR-SP 4DO IO eining með HOA skjá, C/O relays, Serial Comms, Push Terminals
IO-4DORE-SP 4DO IO eining án HOA, aukin C/O relays, Serial Comms, Push Terminals
IOD-4DORE-SP 4DO IO eining með HOA skjá, auknum C/O liða, raðtengingum, þrýstitengjum

AFHVERJU AÐ VERA ÞÍNA FRAMKVÆMDASTJÓRNAR?

  • Verndaðu verksmiðjukerfi viðskiptavina þinna fyrir óheimilum breytingum á rekstrarstillingum, hnekkingum og tímaáætlunum.
  • Koma í veg fyrir aðgang að upplýsingum um notandareikning: td notendanöfn, lykilorð, netföng, SMS (farsíma) númer o.s.frv.
  • Koma í veg fyrir aðgang að viðskiptaviðkvæmum gögnum: Dæmiample- Orkunotkunarmælingar, sérfræðistjórnunarstefnulausnir o.fl.
  • Koma í veg fyrir óviðkomandi aðgang að stjórnandi, tölvum og netkerfum sem hýsa BMS hugbúnað og stjórntæki.
  • Viðhalda heiðarleika gagna og veita ábyrgð.

KERFI YFIRVIEW

Honeywell-Optimizer-Advanced-Controller- (1)

The yfirview af dæmigerðri kerfisuppsetningu..

  1. Internet/innra net/fyrirtækjanet
    Þetta er einfölduð, rökrétt framsetning netkerfis á öllum netum utan umfangs byggingar sjálfvirknikerfisins (BAS). Það getur veitt aðgang að BAS stjórnunarviðmótum (td Niagara aðalvinnustöðinni web notendaviðmót) en verða að veita aðgang að internetinu svo að Niagara tölvur geti leitað að og hlaðið niður uppfærslum fyrir stýrikerfi og vírusskanna nema önnur leið sé til staðar.
  2. BAS net
    Þetta net er eingöngu notað fyrir BAS samskiptareglur, sem samanstanda af BACnetTM/IP, BACnetTM/Ethernet, og allar samskiptareglur sem Niagara Integration Services á háþróuðum plöntustýringu gæti notað. Þetta net má ekki vera sama net og internetið/innra netið/fyrirtækjanetið.
  3. BAS eldvegg
    Til að veita BAS viðbótaraðskilnað og vernd verður að nota eldvegg á milli internetsins/innra netsins/fyrirtækjanetsins og hvers kyns BAS tækis sem tengist því, svo sem Niagara aðalvinnustöðina, Niagara vinnustöðvar og Advanced Plant Controller. Þessi eldveggur takmarkar aðgang að BAS við aðeins tölvur sem eru viðurkenndar og getur hjálpað til við að draga úr hættu á árásum, svo sem afneitun-af-þjónustu árás.
  4. Niagara vinnustöð
    Niagara aðal vinnustöðin er tölva sem keyrir Niagara hugbúnað. Það þarf tvær nettengingar - eina til að tengjast stjórnendum web notendaviðmót í gegnum a web vafra (venjulega á
    Internet/innra net/fyrirtækjanet) og annað til að tengjast BAS netinu.
  5. Ethernet rofi
    Ethernet rofi býr til netkerfi og notar margar tengi til að hafa samskipti á milli tækja á staðarnetinu. Ethernet rofar eru frábrugðnir beinum, sem tengja netkerfi og nota aðeins eitt staðarnet og WAN tengi. Fullt þráðlaust innviði með hlerunarbúnaði og fyrirtæki veitir þráðlausa tengingu og Wi-Fi fyrir þráðlausa tengingu.
  6. Háþróaður plöntustýribúnaður
    Advanced Plant Controller er alþjóðlegur stjórnandi sem tengist Ethernet netkerfi, BACnetTM IP og hýsir MS/TP nethluta. MS/TP er tenging með litla bandbreidd sem er notuð til að tengja stýringar og skynjara.
  7. HMI
    HMI er tengt og fær afl frá Advanced Niagara verksmiðjustýringum. Þessi tæki eru byggð með rafrýmdum snertiskjá sem styður val með berum fingri og veitir stjórnandanum aðgerðir til að view, fá aðgang að og bilanaleita stýripunkta, IO einingar og annan tengdan búnað.
  8. IO eining
    IO einingarnar geta tengst við stjórnandann með því að nota snertiflaka tengingar (rafmagn og fjarskipti) eða IO einingarnar geta tengst við millistykki fyrir raflögn sem verður aflgjafi og tengdur við eitt af RS485 viðmótum stjórnandans. IO einingarnar eru forritanlegar með því að nota núverandi verkfræðiverkfæri eins og ComfortPointTM Open Studio tólið og Niagara 4 Workbench.

NETSKIPULAG OG ÖRYGGI

  1. Ethernet net
    Mælt er með því að Ethernet netið sem BMS kerfið notar sé aðskilið frá venjulegu skrifstofuneti.
    Example:
    Notaðu loftgap eða sýndar einkanet. Líkamlegur aðgangur að innviðum Ethernet netkerfisins verður að vera takmarkaður. Þú verður einnig að tryggja að uppsetningin sé í samræmi við upplýsingatæknistefnu fyrirtækisins.
    Háþróaðir stýringar mega ekki vera tengdir beint við internetið.
  2. Web Server
    Háþróaður stjórnandi veitir bæði HTTP og HTTPS web netþjóna. Ef a web miðlara er ekki krafist, mælt er með því að bæði web netþjónar eru óvirkir.
  3. BACnetTM IP net
    Vegna þess hve BACnetTM samskiptareglur eru óöruggar, má ekki undir neinum kringumstæðum tengjast háþróaða stjórnandi, HMI og IO einingar sem nota BACnetTM. Advanced Controller öryggiskerfið verndar ekki gegn BACnetTM skrifum. Líkamlegur aðgangur að BACnetTM IP netkerfisins verður að vera takmarkaður. Ef BACnetTM IP samskipta er ekki krafist, verður að slökkva á Advanced Controllers (BACnetTMTM IP) netkerfiseiningunni með því að stilla færibreytuna 'Disable Module' á '1'.
    Ef þörf er á BACnetTMTM samskiptum er eindregið mælt með því að BACnetTMTM Backup/Restore, Reinitialize Device og BACnetTMTM Writable þjónustur séu ekki virkjaðar. Hins vegar mun þetta þýða að stefnan sem búin er til er ekki BTL samhæfð - Sjá „Staðbundið öryggi“ á síðu 13.
  4. MS/TP (NC leyfi)
    Líkamlegur aðgangur að MS/TP netinnviðum verður að vera takmarkaður. Ef MS/TP netið er ekki krafist, verður að slökkva á Advanced Controller (BACnetTM MSTP) netkerfiseiningunni með því að stilla færibreytuna 'Disable Module' á '1'. IO Bus (CAN leyfi)
    Líkamlegur aðgangur að IO Bus verður að vera takmarkaður.
  5. USB
    Líkamlegur aðgangur að USB staðbundnu tæknitengi fyrir Advanced Controller verður að vera takmarkaður.
  6. RS485 (þar á meðal Modbus leyfi)
    Líkamlegur aðgangur að RS485 tengi stjórnandans verður að vera takmarkaður. Ef þess er ekki krafist, ætti ekki að vera með neinar neteiningar tengdar höfninni í stefnunni.
  7. Modbus IP net (INT leyfi)
    Vegna þess að Modbus samskiptareglur eru óöruggar, mega Advanced Controller's sem styðja Modbus IP ekki vera tengdur við internetið undir neinum kringumstæðum. Líkamlegur aðgangur að Modbus IP netkerfi verður að vera takmarkaður. Ef Modbus IP fjarskipti eru ekki nauðsynleg, ætti háþróaður stjórnandi (Modbus IP) netkerfiseining ekki að vera með í stefnunni.

FRAMKVÆMDASTJÓRI, HMI OG IO MODULE ÖRYGGISKERFI

Öryggi háþróaðra stýrimanna er í samræmi við ISA 62433-3-3 SL 3 og veitir örugga ræsingu, sannvottað og dulkóðað net, dulkóðun í hvíld og samstillt reikningsstjórnun.
Til að fá aðgang að Advanced Controller vörum eða framkvæma eitthvað af ofangreindum verkefnum verður að gefa upp gilt notandanafn og lykilorð fyrir verkfræðikerfisreikning eða tækjakerfisreikning.

  1. Öryggi þegar óstillt
    Til að hafa samskipti við háþróaðan stjórnanda, HMI og IO einingar verður að gefa upp gild skilríki. Stýringin er afhent frá verksmiðjunni án nokkurra skilríkja (kerfisreikninga eða notendaeiningar) sem tryggir að þegar hann er kveiktur fyrst er hann varinn gegn óviðkomandi aðgangi. Í fyrsta skipti sem reynt er að tengjast vCNC í einni af háþróuðu vörum á Niagara netinu verður að búa til verkfræðikerfisreikning með stjórnandahlutverki.
  2. Vörn gegn óviðkomandi tækjum
    Einstakur lykill (Network Key) er notaður til að tryggja að aðeins viðurkennd tæki geti tengst Niagara netinu. Allir stýringar sem eiga að mynda Niagara net verða að hafa sama netlykil og UDP tengi. Þetta er stillt með því að nota IP tól við upphaflega stillingarferlið.
    Example:
    Ef fjórir háþróaðir verksmiðjustýringar eru með sama netlykil (112233) og sá fimmti hefur annan netlykil
    (222). Þegar þeir eru tengdir við sama Ethernet netið sameinast fjórir stýringar með sama netlykil saman til að mynda eitt net, en fimmti stjórnandinn mun ekki geta tengst netinu vegna þess að hann hefur annan netlykil þ.e. (222).
    Á sama hátt, ef fimmti stjórnandinn er nýr (eins og hann er sendur frá verksmiðjunni) og er bætt við Ethernet netið mun hann ekki geta tengst Niagara netinu vegna þess að hann er ekki með netlykil.
    1. Staðfestingarkóði reiknings
      Þegar stjórnandakerfisreikningi er bætt við einn af stjórnendum á netinu myndast reikningsstaðfestingarkóði sjálfkrafa af stjórnandanum sem kerfisreikningnum var bætt við. Þessi kóði er samstilltur við alla aðra stýringar með sama netlykil og UDP tengi á Ethernet netinu.
      Þegar reikningsstaðfestingarkóði hefur verið búinn til VERÐA ALLIR stýringar á netinu að hafa sama reikningsstaðfestingarkóða sem og sama netlykil og UDP tengi.
      Example:
      Ef það eru fimm stýringar hafa allir háþróuðu stýringarnar sama netlykil. Fjórir hafa sama reikningsstaðfestingarkóða (AVC) og mynda því net. Sá fimmti er með annan reikningsstaðfestingarkóða og jafnvel þó að hann hafi sama netlykil getur hann ekki tengst öðrum stjórnendum.
  3. Kerfisreikningar
    Kerfisreikningar gera fólki og tækjum kleift að hafa samskipti við háþróaða stjórnandann. Aðgangurinn sem gefinn er er háður tegund reiknings og hlutverks.
    Það eru tvær tegundir af kerfisreikningum:
    1. Verkfræðikerfisreikningur
    2. Kerfisreikningur tækis
    3. Verkfræðikerfisreikningur
      Verkfræðikerfisreikningar eru ætlaðir til notkunar fyrir verkfræðinga. Hver verkfræðikerfisreikningur hefur reikningsnafn og lykilorð sem þarf að gefa upp þegar stjórnandi biður um það. Ef gilt notendanafn og lykilorð er gefið upp mun stjórnandi veita aðgang.

Búa verður til sérstakan verkfræðikerfisreikning fyrir hvern einstakling. Verkfræðikerfisreikninga er hægt að stilla á eitt af tveimur hlutverkum:

  • Verkfræðihlutverk
  • Stjórnandi hlutverk

Verkfræðihlutverk
Verkfræðihlutverkið veitir nauðsynlegan aðgang til að þróa háþróaða kerfið, búa til/stjórna tækjakerfisreikningum og stjórna eigin reikningsupplýsingum notanda (netfang, lykilorð osfrv.).
Stjórnandi hlutverk
Stjórnandahlutverkið veitir sama aðgang og verkfræðihlutverkið auk getu til að stjórna öllum verkfræði- og tækjakerfisreikningum.

Kerfisreikningur tækis
Tækjakerfisreikningum er ætlað að leyfa tækjum eins og Niagara að tengjast netinu til að fá nauðsynlegar upplýsingar og gera breytingar. Mælt er með því að sérstakur tækjakerfisreikningur sé búinn til fyrir hvert tæki sem á að fá aðgang að netinu. Þeir gegna hlutverki „leiðbeinanda“.

MIKILVÆGT
Mikilvægt: Eigin öryggiskerfi umsjónarmanns verður að vera stillt til að takmarka aðgangsrétt hvers umsjónarnotanda.

Stofnun kerfisreiknings
Búa verður til verkfræðikerfisreikning með stjórnandahlutverki í fyrsta skipti sem reynt er að tengjast vCNC á Niagara netinu. Þessi reikningur er síðan samstilltur við aðra stýringar á Niagara netinu

  • Sjá „Samstillt reikningsstjórnun“ á síðu 12. Hægt er að búa til fleiri reikninga eftir þörfum með því að nota Niagara vinnubekk.

ATH
Í fyrsta skipti sem verkfræðikerfisreikningur er stofnaður í stjórnanda er reikningsstaðfestingarkóði búinn til sjálfkrafa og samstilltur við aðra stýringar á Ethernet netinu með sama netkerfislykli og UDP tengi. Þegar ábyrgðaraðili er með reikningsstaðfestingarkóða getur hann aðeins tengst neti með ábyrgðaraðilum sem hafa sama reikningsstaðfestingarkóða – Sjá „Reikningsstaðfestingarkóða“ á síðu 11.

Samstillt reikningsstjórnun
Samstillt reikningsstjórnun samstillir kerfisreikninga á auðveldan og öruggan hátt, þar á meðal reikningsstaðfestingarkóðann, við alla háþróaða stýringar á sama Niagara netinu. Þetta gerir:

  • Einskráning fyrir netið
  • Minni kostnaður við að stilla og viðhalda aðgangi yfir síðuna án þess að draga úr öryggi. Allir háþróaðir stýringar á sama neti munu hafa sömu kerfisreikninga.

Þegar háþróaður stjórnandi án nokkurra kerfisreikninga er tengdur við Ethernet netið og stilltur með netlyklinum og UDP tengi fyrir Niagara netið mun hann ganga í netið og fá sjálfkrafa kerfisreikninga sína frá öðrum stjórnendum á Niagara netinu.

Example:
ef háþróaður stjórnandi án kerfisreikninga er bætt við kerfið hér að ofan og gefinn netlykill fyrir Niagara netið (112233) og UDP tengi mun hann ganga í netið og fá kerfisreikninga sína (notanda 1, notanda 2, notanda 3) frá hinum háþróuðu stýritækjunum á Niagara netinu.
Þegar samstillingunni er lokið verður hægt að tengjast hvaða vCNC sem er, sýna web síður og skráðu þig inn á hvaða háþróaða stjórnanda sem er á Niagara netinu með því að nota einhvern af kerfisreikningunum.
Ef breytingar eru gerðar á kerfisreikningunum, þ.e. reikningi er bætt við, eytt eða breytt, verða þessar breytingar sjálfkrafa samstilltar yfir alla háþróaða stýringar á Niagara netinu.

Example:
ef það eru fimm háþróaðir stýringar, er kerfisreikningum í stjórnanda (1) breytt til að fjarlægja notanda 2, endurnefna notanda 3 í notanda 3a og notanda 4 er bætt við verða breytingarnar samstilltar við stjórnandi (2), stjórnandi (3), stjórnandi (4) og stjórnandi (5).

ATH:
Ef átök uppgötvast við samstillingu hefur nýjasta breytingin forgang.

Breyting á háþróuðum netlykli stjórnanda
Þegar breytt er um háþróaðan netkerfislykil, verður öllum kerfisreikningum hans eytt og hann fjarlægður af núverandi Niagara neti. Breytingin á netlyklinum verður að vera samþykkt af gildum verkfræðingi eða stjórnandakerfisreikningi.
Þegar breytingin hefur verið gerð mun það ganga í Niagara netkerfi með því að nota nýja netlykilinn, ef hann er til, og fá kerfisreikninga frá háþróaða stjórnandanum á nýja Niagara netinu að því tilskildu að það hafi sömu UDP tengi.

Staðbundið öryggi
Staðbundið öryggi notar staðbundna notendur (User Modules) til að leyfa aðgang að háþróuðum stýritækjum web síðum eða staðbundnum skjá og til að stjórna þeim upplýsingum sem eru sýnilegar eða gildum sem hægt er að breyta.
Til að fá aðgang og gera breytingar þarf að gefa upp gilt notendanafn og lykilorð fyrir staðbundinn notanda. PIN-gildi notandans ákvarðar hvaða færibreytur notandi getur séð og stillt.

ATH
Staðbundnir notendur eru EKKI samstilltir við aðra háþróaða stýringar á Niagara netinu.

Aðgangur að Web Síður
Aðgangur að stjórnandanum web síður er varið af Advanced Controller öryggiskerfinu. Þegar stjórnandinn er web þjónn er opnaður a web síða birtist sem veitir grunnupplýsingar og gerir notanda kleift að skrá sig inn – Sjá „Upphafsaðgangur“ á síðu 13.
Notendur sem skrá sig inn verða meðhöndlaðir sem innskráðir notendur – Sjá „Innskráðir notendur“ á síðu 14. og notendur sem hafa aðgang að web síður án innskráningar fá aðgang eins og lýst er í „Upphafsaðgangur“ á síðu 13.

Upphaflegur aðgangur
Þegar stjórnandinn er web þjónn er fyrst opnuð velkomin síða sem birtist og aðgangur sem gefinn er fer eftir núverandi öryggisstillingu stjórnandans:

  • Engir verkfræðikerfisreikningar og engar notendaeiningar (sjálfgefið verksmiðju)
  • „Velkomin“ síðan birtist og fullur aðgangur að stjórnandanum web síður og getu til að gera breytingar verður gefinn upp.

ATH
Vegna þess að það eru engir verkfræðikerfisreikningar eða notendaeiningar verður ekki hægt að skrá sig inn.

Verkfræðikerfisreikningar og engar notendaeiningar
„Velkomin“ síðan birtist og stjórnandi mun aðeins veita aðgang að skynjara, stafrænu inntaki, hnappi, rofi, ökumanni, tímaáætlun, tímaáætlun, tíma, samsæriseiningum, viðvörunarskrá og grafík og mun ekki leyfa breytingar.

ATH
Hægt verður að skrá sig inn með verkfræðikerfisreikningum.

  • Verkfræðikerfisreikningar og notendaeiningar
    Upphafsskjánum og aðgangi er stjórnað af notendaeiningunum. Ef það er notendaeining sem heitir 'Gestur' án lykilorðs þegar Advanced Controller web Síður eru opnaðar án þess að skrá þig inn mun stjórnandi veita aðgangsrétt (notendastig, heimasíða og view sjálfgefnar) tilgreindar af notendaeiningunni 'Gestur'.
    Sjálfgefið er að 'Gestur' notendaeiningin veitir aðeins aðgang að Ítarlegri 'Velkomin' síðunni og hefur notendastigið '0'. Þetta þýðir að notandi sem hefur aðgang að stjórnandi án þess að skrá sig inn mun aðeins geta það view síðuna „Velkomin“. Til þess að veita meiri aðgang er hægt að stilla 'Gest' notanda á sama hátt og hverja aðra tegund 0 notendaeiningu.

ATH:
Niagara vinnubekkurinn kemur í veg fyrir að „Gestur“ notandi fái lykilorð, PIN eða notendastig hærra en „0“. Það leyfir heimasíðu og view sjálfgefnar stillingar.

Það er eindregið mælt með því að gestanotandinn sitji eftir með sjálfgefna stillingu (notendastigið '0' og nr view réttindi).
Ef það er ekki notendaeining sem heitir „Gestur“ eða hún hefur verið stillt með lykilorði birtist „Velkomin“ síðan og stjórnandi mun aðeins veita aðgang að skynjara, stafrænu inntaki, hnappi, rofi, ökumanni, tímaáætlun, tímaáætlun, tíma, samsæriseiningum, viðvörunarskránni og grafík og mun ekki leyfa breytingar.

ATH
Það verður hægt að skrá sig inn með því að nota verkfræðikerfisreikningana og hvaða notendaeiningar sem eru til.

Innskráðir notendur
Til að skrá þig inn á Advanced Controller web síður þarf að slá inn notandanafn og lykilorð sem passar við einn af Advanced Controller Engineering System Accounts eða Type 0 User Modules.

Endurheimt lykilorðs
Ef notandi hefur gleymt lykilorðinu sínu er hægt að endurheimta það með því að nota Niagara vinnubekkinn. Fyrir upplýsingar um að endurheimta gleymt lykilorð með Niagara, sjá notendahandbók Niagara vinnubekksins.

ÖRYGGI NIAGARA STÝRIKERFIÐ

 Almenn góðir starfshættir
Fylgdu almennum góðum venjum til að tryggja stýrikerfið eins og:

  • Lykilorðsvarinn skjávarinn
  • Hugbúnaður til að dulkóða drif

Eldveggsstilling
Stýrikerfið verður að vera stillt til að nota eldvegg sem er sjálfkrafa uppfærður. Stillingin verður að koma í veg fyrir aðgang (IN/OUT) fyrir allar hafnir nema þær sem aðgangur er nauðsynlegur fyrir, EKKI skilja ónotuð höfn eftir opin.

Útgáfa stýrikerfis
Þú VERÐUR að tryggja að hvaða tæki sem keyrir Niagara forrit eða tengt við sama IP netkerfi hafi nýjustu stýrikerfisuppfærslurnar uppsettar. Það er góð venja að tryggja að Windows uppfærslur séu eftir á sjálfvirkum og að þær séu settar upp tímanlega.

Veiruvarnir
Þú VERÐUR að tryggja að allar tölvur sem keyra Niagara forritin eða tengdar sama IP netkerfi séu með vírusvarnarhugbúnað og vírusskilgreiningunum sé haldið uppfærðum.

 Innbrotavörn
Mælt er með notkun á innbrotsskynjunarkerfi (IDS) frá virtum veitanda öryggisvara á hvaða tölvu sem keyrir Niagara forritið. Fylgdu bestu starfsvenjum fyrir vörurnar sem eru valdar sem og hvers kyns upplýsingatæknistefnu fyrirtækja þar sem uppsetningin er gerð.
Margar IDS- og eldveggsvörur bjóða upp á heildarlausn til að skrá alla umferð sem kemur inn og út úr tölvunni, sem veitir notendum möguleika á að skrá alla virkni á lægsta stigi.

ALMENN REGLUGERÐ gagnaverndar (GDPR)

Almenn gagnaverndarreglugerð (ESB)2016/679 (GDPR) er reglugerð í lögum ESB um gagnavernd og friðhelgi einkalífs fyrir alla einstaka ríkisborgara Evrópusambandsins (ESB) og Evrópska efnahagssvæðisins (EES). Það tekur einnig á flutningi persónuupplýsinga utan ESB og EES svæðisins. GDPR inniheldur ákvæði og kröfur sem tengjast vinnslu persónuupplýsinga einstaklinga (skráraðila) innan EES og á við um hvaða fyrirtæki sem er með staðfestu á EES (óháð staðsetningu þess og ríkisfangi skráðra einstaklinga) eða sem er að vinna með persónuupplýsingar skráðra aðila innan EES.
Samkvæmt skilmálum GDPR innihalda persónuupplýsingar allar upplýsingar sem kunna að vera notaðar til að auðkenna einstakling. Þetta felur í sér (en takmarkast ekki við):

  • notendanöfn,
  • lykilorð,
  • símanúmer,
  • netföng,
  • vinnu- eða heimilisföng.

Allar slíkar upplýsingar sem færðar eru inn í Advanced Controller, HMI og IO Module eru dulkóðaðar og geymdar á Advanced vörum á athafnasvæði viðskiptavinar. Honeywell hefur engin afskipti af geymslu og/eða vinnslu persónuupplýsinga í Advanced Honeywell vörum.
Ábyrgð á því að farið sé að kröfum GDPR er að fullu hjá kerfissamþættara eða kerfisstjóra og, sem slíkur, verða þeir að tryggja að fullnægjandi tækni- og skipulagskerfi séu til staðar til að:

  • fá skýrt samþykki hvers skráðs einstaklings fyrir því að persónuupplýsingar séu geymdar, notaðar og/eða unnar,
  • leyfa einstaklingum að hafa aðgang að persónuupplýsingum sínum til að sannreyna nákvæmni,
  • leyfa einstaklingum að afturkalla samþykki sitt hvenær sem er og að persónuupplýsingum þeirra verði eytt varanlega,
  • viðhalda öryggi og heilleika gagnageymslu og aðgangs á hverjum tíma,
  • tilkynna hvers kyns brot á gagnaöryggi (sem getur haft áhrif á friðhelgi notenda) til viðkomandi yfirvalds innan 72 klukkustunda frá því að brotið átti sér stað.

ÖRUG SAMSKIPTI

A Public Key Infrastructure (PKI) styður dreifingu og auðkenningu opinberra dulkóðunarlykla sem notaðir eru til að vernda gagnaskipti yfir netkerfi, svo sem internetið. PKI sannreynir auðkenni hins aðilans og kóðar raunverulega gagnasendinguna. Auðkennissannprófun veitir óneitanlega fullvissu um auðkenni netþjónsins. Dulkóðun veitir trúnað við netsendingu. Að krefjast undirritaðra kóðaeininga tryggir að aðeins væntanlegur kóða keyrir í kerfinu.

Til að veita örugg netkerfi með PKI, styður Niagara TLS (Transport Layer Security) samskiptareglur, útgáfur 1.0, 1.1 og 1.2. TLS kemur í stað forvera síns, SSL (Secure Sockets Layer).
Hver Niagara uppsetning býr sjálfkrafa til sjálfgefið vottorð, sem gerir kleift að dulkóða tenginguna strax. Hins vegar gefa þessi vottorð viðvaranir í vafranum og vinnubekknum og henta almennt ekki endanotendum. Að búa til og undirrita sérsniðin stafræn skilríki gerir kleift að nota TLS í vafranum óaðfinnanlega og veitir bæði dulkóðun og auðkenningu netþjóns.
Fyrir utan samskiptaöryggi er hver eining af tölvukóða sem keyrir í kerfinu varin með stafrænni undirskrift. Bætt forritshlutir þurfa þessa undirskrift eða þeir keyra ekki.

Að staðfesta þjóninn, dulkóða sendingu og tryggja að aðeins undirritaður kóða keyri tryggir ekki gögn sem geymd eru á geymslutæki. Þú þarft samt að takmarka líkamlegan aðgang að tölvum og stjórnendum sem stjórna byggingarlíkaninu þínu, setja upp notendavottun með sterkum lykilorðum og tryggja íhluti með því að stjórna heimildum.
Niagara styður og notar örugg samskipti og undirritaðan kóða sjálfgefið. Þú þarft ekki að kaupa viðbótarleyfi.
Öryggi er viðvarandi áhyggjuefni. Þó að þú munt finna mikið af verðmætum upplýsingum í öruggum samskiptaþáttum, búist við framtíðaruppfærslum og breytingum.
Hér að neðan eru örugg samskipti. Nánari upplýsingar er að finna í öryggisleiðbeiningum Niagara Station.

  • Sambönd viðskiptavina/miðlara
  • Skírteini
  • Skírteinaverslanir
  • CSR möppuuppbygging
  • Skírteini sett upp
  • Vottorðshjálp
  • Að undirrita mörg vottorð
  • Stilla örugga vettvangssamskipti
  • Stillir örugg stöðvasamskipti
  • Virkja viðskiptavini og stilla þá fyrir rétta höfn
  • Að setja upp stöðvaeintak á öðrum vettvangi
  • Að tryggja tölvupóst
  • Örugg samskipti bilanaleit

Sambönd viðskiptavina/miðlara
Sambönd viðskiptavina/miðlara bera kennsl á þær tengingar sem krefjast verndar. Sambönd viðskiptavina/miðlara á vinnubekk eru mismunandi eftir því hvernig þú stillir og notar kerfi. Vinnubekkur er alltaf viðskiptavinur. Vettvangur er alltaf þjónn. Stöð getur verið viðskiptavinur og þjónn.
Kerfisreglurnar sem stjórna samskiptum eru:

  • Pallur tengingar frá Workbench (viðskiptavinur) til stjórnandi eða Supervisor PC pallur púkinn (miðlara) nota Niagara. Örugg vettvangstenging er stundum nefnd platformtls. Þú virkjar platformtls með því að nota pallastjórnunina view.
  • Staðarstöðvartengingar (umsjónarmaður og pallur) nota Foxs. Þú virkjar þessar tengingar í FoxService stöðvar (Config > Services > FoxService).
  • Vafratengingar nota Https, sem og Foxs ef þú ert að nota Web Sjósetja með WbWebProfile. Þú virkjar þessar tengingar með því að nota stöðina WebÞjónusta (Config > Þjónusta > WebÞjónusta).
  • Viðskiptavinatengingar við tölvupóstþjón stöðvarinnar, ef við á. Þú virkjar öruggan tölvupóst með því að nota EmailService stöðvarinnar (Config > Services > EmailService).

SKRIFTIÐ
Vottorð er rafrænt skjal sem notar stafræna undirskrift til að binda opinberan lykil við einstakling eða stofnun. Vottorð geta þjónað ýmsum tilgangi eftir því hvernig þú stillir lykilnotkunareiginleika vottorðsins. Aðaltilgangur þeirra í þessu kerfi er að sannreyna auðkenni netþjóns svo hægt sé að treysta samskiptum. Fyrir frekari upplýsingar vinsamlegast skoðaðu öryggisleiðbeiningar Niagara Station – Vottorð.
Niagara styður þessar tegundir vottorða:

  • CA (Certificate Authority) vottorð er sjálfundirritað vottorð sem tilheyrir CA. Þetta gæti verið þriðji aðili eða fyrirtæki sem þjónar sem eigin CA.
  • CA-rótarvottorð er sjálfundirritað CA-vottorð þar sem einkalykillinn er notaður til að undirrita önnur vottorð og búa til traust vottorðstré. Með einkalyklinum er hægt að flytja út CA-rótarvottorð, geymt á USB þumalfingursdrifi í hvelfingu, og koma aðeins út þegar undirrita þarf vottorð. Einkalykill CA rótarvottorðs krefst þess að búið sé til lykilorð við útflutning og að sama lykilorð sé gefið upp þegar þú notar það til að undirrita önnur skilríki.
  • Millivottorð er CA-vottorð sem er undirritað af CA-rótarvottorði sem er notað til að undirrita netþjónaskírteini eða önnur millistigs-CA-vottorð. Notkun millivottorða einangrar hóp netþjónavottorða.
  • Netþjónsvottorð táknar miðlarahlið öruggrar tengingar. Þó að þú gætir sett upp sérstakt vottorð fyrir hverja samskiptareglu (Foxs, Https, Webs). Þó að þú gætir stillt vettvang og stöð (sem miðlara) með aðskildum netþjónaskírteinum, til einföldunar nota flest kerfi venjulega sama netþjónsvottorð.
  • Kóða undirritunarvottorð er vottorð sem notað er til að undirrita forritshluti og einingar. Kerfissamþættir nota þetta vottorð til að koma í veg fyrir innleiðingu á skaðlegum kóða þegar þeir sérsníða rammann.

Sjálf undirrituð vottorð
Sjálfundirritað vottorð er vottorð sem er sjálfgefið undirritað með því að nota eigin einkalykil frekar en með einkalykli rót CA (Certificate Authority) vottorðs.
Kerfið styður tvenns konar sjálfstætt undirritað vottorð:

  • Rót CA vottorð er óbeint treyst vegna þess að það er ekkert æðra yfirvald en CA (Certificate Authority) sem á þetta vottorð. Af þessum sökum gæta CA, sem hafa það hlutverk að samþykkja skírteini annarra, náið rótar-CA skírteini sín og einkalykla. Sömuleiðis, ef fyrirtæki þitt þjónar sem eigin CA, ættir þú að gæta náið með rót CA vottorðinu sem þú notar til að undirrita önnur vottorð.
  • Sjálfgefið, sjálfundirritað vottorð: Í fyrsta skipti sem þú byrjar á tilviki af Workbench, vettvangi eða stöð eftir uppsetningu (commissioning), býr kerfið til sjálfgefið, sjálfundirritað netþjónsvottorð með alias tridium.

ATH:
Ekki flytja þetta skírteini út og flytja það inn í neina verslun á öðrum vettvangi eða stöð. Þó það sé mögulegt, dregur það úr öryggi og eykur varnarleysi.
Til að lágmarka hættuna á mann-í-miðju árás þegar þú notar sjálfstætt undirrituð vottorð, ættu allir vettvangar þínir að vera í öruggu einkaneti, utan nets og án almenns aðgangs af internetinu.

VARÚÐ
Til að nota sjálfundirrituð vottorð, áður en þú opnar pallinn eða stöðina frá Workbench í fyrsta skipti, skaltu ganga úr skugga um að tölvan þín og pallurinn séu ekki á neinu fyrirtækjaneti eða internetinu. Þegar það hefur verið aftengt skaltu tengja tölvuna beint við pallinn, opna pallinn frá Workbench og samþykkja sjálfundirritað vottorð hennar. Aðeins þá ættir þú að tengja vettvanginn aftur við fyrirtækjanet.

Nafnasamningur
User Key Store, User Trust Store og System Trust Store mynda hjartað í uppsetningunni. Vottorð líkjast mjög og hin ýmsu sjálfgefna sjálfsskrifuðu skírteini heita eins.

Skírteinaverslanir
Vottorðsstjórnun notar fjórar verslanir til að stjórna vottorðum: Notendalyklaverslun, System Trust Store, User Trust Store og Listi yfir leyfilega gestgjafa.
Notendalyklaverslunin er tengd miðlarahlið sambands viðskiptavinar og netþjóns. Þessi verslun er með skírteini, hvert með opinberum og einkalyklum sínum. Að auki inniheldur þessi verslun sjálfritaða vottorðið sem upphaflega var búið til þegar þú ræstir Workbench eða ræstir pallinn í fyrsta skipti.
Notenda- og kerfistraustsgeymslurnar eru tengdar við biðlarahlið sambands viðskiptavinar og netþjóns. System Trust Store er forútfyllt með stöðluðum opinberum skírteinum: rót CA vottorð frá þekktum vottunaryfirvöldum, svo sem VeriSign, Thawte og Digicert. User Trust Store hefur rót CA og millistigsvottorð fyrir fyrirtæki sem þjóna sem eigin vottorðayfirvöld.
Listinn Leyfðir gestgjafar inniheldur netþjónsvottorð sem ekkert traust rót CA vottorð er fyrir í kerfis- eða notendatraustverslunum viðskiptavinarins, en netþjónsvottorðin hafa samt verið samþykkt til notkunar. Þetta felur í sér netþjóna þar sem hýsilnafn þjónsins er ekki það sama og Common Name í miðlaravottorðinu. Þú samþykkir notkun þessara skírteina á einstaklingsgrundvelli. Þó samskipti séu örugg er betra að nota undirrituð netþjónsvottorð.

Dulkóðun
Dulkóðun er ferlið við að kóða gagnaflutning þannig að ótraust þriðju aðilar geti ekki lesið þær. TLS notar dulkóðun til að senda gögn á milli biðlara og netþjóns. Þó að það sé hægt að koma á ódulkóðaðri tengingu með því að nota aðeins fox eða http samskiptareglur, ertu eindregið hvattur til að nota ekki þennan valkost. Án dulkóðunar eru samskipti þín hugsanlega háð árás. Samþykkja alltaf sjálfgefna Foxs eða Https tengingar.

ÖRYGGISMÆLIBÆLI LOKIÐVIEW
Í Niagara 4.10u5 og síðar veitir öryggismælaborðið (fyrir stjórnendur og aðra viðurkennda notendur) fugla auga view öryggisstillingar stöðvarinnar þinnar. Þetta gerir þér kleift að fylgjast auðveldlega með öryggisstillingum í mörgum stöðvaþjónustum og bera kennsl á veikleika öryggisstillingar á stöðinni.

VARÚÐ
Öryggismælaborðið View birtir kannski ekki allar mögulegar öryggisstillingar og ætti ekki að líta á það sem trygging fyrir því að allt sé stillt á öruggan hátt. Einkum geta einingar frá þriðja aðila verið með öryggisstillingar sem skráist ekki á mælaborðið.

Öryggismælaborðið view er aðal view hjá Öryggisþjónustu stöðvarinnar. The view varar þig við öryggisveikleikum eins og lélegum stillingum lykilorðsstyrks; útrunnið, sjálfundirritað eða ógilt vottorð; ódulkóðaðar flutningsreglur o.s.frv., sem gefa til kynna svæði þar sem uppsetningin ætti að vera öruggari. Önnur tilkynnt gögn innihalda: kerfisheilsu, fjölda virkra reikninga, óvirkra reikninga, fjölda reikninga með ofurnotendaheimildum o.s.frv. Valfrjálst er hægt að stilla „system“ eigindina á „securityDashboard“ leyfiseiginleikanum á „true“ til að virkja kerfið View stöðvarinnar sem veitir öryggisupplýsingar fyrir hverja undirstöð í Niagara Network.
Öryggismælaborðið er aðal view fyrir Öryggisþjónustuna. Fyrir allar upplýsingar um view, Sjá „nss-SecurityDashboardView“ í Niagara Station Security Guide.

SKIPULAG OG UPPSETNING

Þessi hluti inniheldur upplýsingar til að skipuleggja og framkvæma háþróaða uppsetningu verksmiðjustýringar.

Mælt er með uppsetningu og uppsetningu
Eftirfarandi hluti sýnir tvær ráðlagðar uppsetningarstillingar.

  • Aðeins BACnetTM
  • BACnetTM og Niagara

Aðeins BACnetTMBACnetTM
Þegar Advanced Plant Controller er aðeins notaður fyrir BACnetTM fjarskipti, tengdu aðeins Ethernet 1 við BAS netið þar sem BACnetTM (BACnetTM/IP eða BACnetTM/Ethernet) verður í gangi.

Honeywell-Optimizer-Advanced-Controller- (2)

BACnetTM og Niagara
Þegar Niagara er notað á Advanced Plant Controller, getur það verið stillt til að veita þjónustu, svo sem web þjónustu eða Niagara FOXS, á internetið/innranetið/fyrirtækjanetið. Ef þetta er raunin skaltu tengja Ethernet 2 við internetið/innra netið/fyrirtækjanetið í gegnum BAS eldvegginn til að veita þjónustu við það net.

Honeywell-Optimizer-Advanced-Controller- (3)

Ráðleggingar um staðarnet (LAN).
Gakktu úr skugga um að kerfin starfi á viðeigandi lykilorðastefnu fyrir aðgang notenda að allri þjónustu. Þessi leiðbeining myndi innihalda, en takmarkast ekki við:

  1. Notkun sterkra lykilorða.
  2. Ráðlagður hringrásartími lykilorðs.
  3. Einstök notendanöfn og lykilorð fyrir hvern notanda kerfisins.
  4. Reglur um birtingu lykilorða.
  5. Ef þörf er á fjaraðgangi að upplýsingatæknitengdum byggingarstýringarkerfum, notaðu VPN (Virtual Private Network) tækni til að draga úr hættu á hlerun gagna og vernda stjórntækin frá því að vera beint á internetið.

SKJALASAFN

Skjöl eru nauðsynleg til að fanga upplýsingar um hönnun og stillingar sem þarf til að viðhalda öruggu kerfi.

Skjalaðu líkamleg tæki og stillingar, þar á meðal helstu öryggistengdar upplýsingar
Öll skjöl um tæki og stillingar verða að innihalda öryggistengdar upplýsingar til að koma á og viðhalda fyrirhuguðu öryggiseftirliti. Til dæmisample, ef breytingar á sjálfgefnum þjónustu eða höfnum eru gerðar á Advanced Plant Controller, þá skal skýrt skjalfesta þær svo að hægt sé að endurheimta stillingarnar einhvern tíma í framtíðinni.

Skjalfestu ytri kerfi, sérstaklega samskipti milli háþróaða verksmiðjustýringarinnar og tengdra kerfa hans
BAS krefst eða notar almennt ytri kerfi fyrir virkni, svo sem núverandi netkerfi, VPN aðgang, sýndarvélar og eldveggi. Ef BAS krefst þess að þessi kerfi séu stillt á ákveðinn hátt til öryggis, eins og eldveggur sem leyfir eða neitar ákveðnum höfnum eða netkerfi sem leyfir aðgang að ákveðnum kerfum, þá verður þú að skjalfesta þessar upplýsingar. Ef endurheimta þarf þessi kerfi einhvern tíma í framtíðinni, tdample: vegna bilunar í búnaði, eða breytingar þarf að gera á ytri kerfum, tdample: að uppfæra eldvegg, að hafa skjalfest þessar upplýsingar mun hjálpa þér að endurheimta fyrra öryggisstig.

AÐGANGSSTJÓRN OG LÍKAMT ÖRYGGI
Aðgangsstýring felur í sér að tilgreina og takmarka aðgang að tækjum eða aðgerðum við viðurkennda notendur.

Tryggðu líkamlega Advanced Plant Controller, HMI og IO Module
Komið í veg fyrir óviðkomandi aðgang að netbúnaðinum sem er notaður í tengslum við kerfi sem Honeywell býður upp á. Með hvaða kerfi sem er, að koma í veg fyrir líkamlegan aðgang að netinu og búnaði dregur úr hættu á óviðkomandi truflunum. Bestu öryggisvenjur með upplýsingatækniuppsetningum myndu tryggja að netþjónaherbergin, plásturspjöldin og upplýsingatæknibúnaðurinn séu í læstum herbergjum. Honeywell búnað ætti að vera settur upp í læstum stjórnskápum sem eru sjálfir staðsettir í öruggum verksmiðjuherbergjum.

Límmiði yfir aðgangsborð stjórnanda eða girðingu
Sækja um klamper augljós límmiði yfir Advanced Plant Controller, HMI og IO Module aðgangspjaldið eða girðinguna
Ef viðskiptavinur þarf frekari fullvissu um að líkamlegur aðgangur sem verndar Advanced Plant Controller, HMI og IO Module hafi ekki verið færður inn, settu upp kl.ampaugljóst innsigli eða límmiði yfir aðgangsstaðnum.

Aðgreina og vernda net

  1. Notaðu eldvegg á milli internetsins/innranetsins/fyrirtækjanetsins og BAS.
  2. Notaðu sérstakt sérstakt líkamlegt net (aðskilda víra) eða sýndarnet (VLAN) fyrir BACnetTM samskipti. Þetta verður að vera aðskilið net frá internetinu/innra neti/fyrirtækjanetinu.
  3. Ekki tengja EN2 á Advanced Plant Controller við neitt net nema þú þurfir Niagara þjónustu (pall, stöð og/eða Webþjónn). Ef þú þarft að tengja EN2 við internetið/innra netið/fyrirtækjanetið, þá verður þú að nota utanaðkomandi BAS eldvegg á milli Advanced Plant Controller og Internet/innranet/fyrirtækjanetsins.

Þráðlaust öryggi

  1. Notandi þarf að endurskoðaview öryggi þráðlausra neta byggt á svæðisfræði netkerfisins, sem tryggir að engin óviljandi útsetning sé fyrir almenna INTERNETinu og að ekki sé farið framhjá BAS eldveggvörninni.
  2. Nauðsynlegt er að taka alltaf upp bestu fáanlegu þráðlausu öryggistæknina eins og WPA2 eða WPA3. Að auki verða notendur að vernda lykilorð sín á öruggan hátt, þar á meðal en ekki takmarkað við Wi-Fi lykilorð og BluetoothTM PIN-kóða. Aldrei leyfa stjórnandanum að tengjast opnu þráðlausu neti eða setja upp opinn þráðlausan aðgangsstað.
  3. Forðastu alltaf að tengja óviðkomandi tæki við þráðlausa netið eða koma á BluetoothTM tengingum til að koma í veg fyrir hugsanlega misnotkun.
  4. Það er á ábyrgð notanda að endurskoða reglulegaview öryggisstillingar, breyta lykilorðum eða lykilorðum í samræmi við öryggisstefnuna og fylgjast með tengdum tækjum á þráðlausa netinu og undirnetum. Notendur ættu einnig að skrá þessa endurskoðunarstarfsemi.

FYRIR FRÁBÆRA STJÓRNINN, HMI OG IO EININGINN

  1. Skilríki stjórnandakerfisreiknings veitt notanda síðunnar
    Skilríki „Stjórnanda“ kerfisreikningsins verða að vera afhent eiganda vefsvæðisins til að leyfa þeim að stjórna kerfisreikningunum.
  2. Að þróa öryggisáætlun
    Sjá „Almennar bestu starfsvenjur um öryggi“
  3. Eðlis- og umhverfissjónarmið
    Háþróaður stjórnandi, HMI og IO einingin verður að vera sett upp í læstu umhverfi, td staðsett í öruggu verksmiðjuherbergi eða læstum skáp.

ATH
Tryggja skal fullnægjandi loftræstingu.

Öryggisuppfærslur og þjónustupakkar
Gakktu úr skugga um að Advanced Controller, HMI og IO Module keyri nýjustu útgáfuna af fastbúnaði.

NOTENDUR OG LYKILORÐ

Notendur
Gakktu úr skugga um að fjöldi notenda og aðgangsstig sem veitt er séu viðeigandi fyrir þá starfsemi sem þeir þurfa að framkvæma.

  • Á stjórnandi tæki stigi stilla kerfi reikninga eða notendur í stýringar fyrir Web viðskiptavinur, umsjónarmaður og jafningjaaðgangur.
    Með því að stilla notendaeiningar í háþróuðum stýritækjum þýðir þetta að notandi verður að skrá sig inn í tæki með gild skilríki áður en hægt er að gera breytingar. Gakktu úr skugga um að viðeigandi aðgangsréttindum sé úthlutað fyrir kerfisreikninga og notendur.
  • Notaðu annan reikning fyrir hvern notanda
    Notaðu einstök nöfn og lykilorð fyrir hvern notanda/reikning í kerfinu, frekar en almennan aðgang. Mismunandi fólk ætti aldrei að deila sama reikningi. Til dæmisample, frekar en almennan „stjórnendareikning“ sem margir stjórnendur gætu notað, ætti hver stjórnandi að hafa sinn sérstakan reikning.

Það eru margar ástæður fyrir því að hver notandi hafi sinn eigin reikning:

Ef hver einstaklingur er með sinn eigin reikning verða endurskoðunarskrár upplýsandi. Það verður auðvelt að ákvarða nákvæmlega hvaða notandi gerði hvað. Þetta getur hjálpað til við að greina hvort reikningur hafi verið í hættu.

ATH
Ekki eru allar vörur með endurskoðunarskráraðstöðu, en þar sem hún er tiltæk ætti hún ekki að vera óvirk.

  • Ef reikningur er fjarlægður eða honum breytt veldur það ekki mörgum óþægindum. Til dæmisample, ef einstaklingur ætti ekki lengur aðgang, er einfalt að eyða einstaklingsaðgangi hans. Ef það er sameiginlegur reikningur eru einu valkostirnir að breyta lykilorðinu og láta alla vita, eða eyða reikningnum og láta alla vita. Það er ekki valkostur að skilja reikninginn eftir eins og hann er – markmiðið er að afturkalla aðganginn.
  • Ef hver einstaklingur er með sinn eigin reikning er miklu auðveldara að sníða leyfi til að mæta þörfum þeirra nákvæmlega. Sameiginlegur reikningur gæti leitt til þess að fólk hafi meiri heimildir en það ætti að gera.
    Sameiginlegur reikningur þýðir sameiginlegt lykilorð. Það er afar slæm öryggisvenja að deila lykilorðum. Það gerir það mun líklegra að lykilorðinu leki og gerir það erfiðara að innleiða ákveðnar bestu starfsvenjur fyrir lykilorð, svo sem að lykilorð rennur út.
  • Notkun einstaka verkfræðinotenda fyrir verkefni
    Það er algengt að sum fyrirtæki noti sömu reikningsupplýsingar í hverju verkefni. Þegar þetta er vitað ef eitt kerfi er í hættu gæti árásarmaðurinn hugsanlega haft heimildir fyrir aðgang að mörgum öðrum verkefnum sem sama fyrirtæki hefur sett upp.
  • Slökktu á þekktum reikningum þegar mögulegt er
    Sumar vörur eru með sjálfgefna reikninga. Þetta ætti að stilla þannig að lykilorðið sé ekki lengur sjálfgefið.
  • Úthlutaðu lágmarksheimildum fyrir notendur
    Gakktu úr skugga um að aðeins nauðsynlegir reikningar séu settir upp í kerfinu með lágmarksöryggisstigum sem krafist er frekar en fullur aðgangur. Þegar þú býrð til nýjan reikning skaltu hugsa um hvað viðkomandi þarf að gera í kerfinu og úthluta síðan lágmarksheimildum sem þarf til að vinna það starf. Til dæmisample, einhver sem þarf aðeins að sjá viðvörun þarf ekki stjórnandaaðgang. Að veita heimildir sem eru ekki nauðsynlegar eykur líkurnar á öryggisbrestum. Notandinn gæti óvart (eða markvisst) breytt stillingum sem hann ætti ekki að breyta.
  • Notaðu mögulega lágmarksfjölda kerfisstjórareikninga
    Úthlutaðu aðeins kerfisstjórum heimildum þegar brýna nauðsyn krefur. Þessi tegund af reikningi er afar öflugur reikningur - hann veitir fullan aðgang að öllu. Aðeins kerfisstjóri ætti að hafa aðgang að reikningnum. Hugsaðu líka um að útvega kerfisstjóra tvo reikninga, einn fyrir daglegan aðgang til að stjórna daglegum athöfnum og annan aðgangsreikning á háu stigi sem er aðeins nauðsynlegur þegar þörf er á breytingum á gerð stjórnunar.

Lykilorð
Niagara kerfið og stýrikerfin sem notuð eru. Advanced Honeywell vörurnar nota lykilorð til að auðkenna „notendur“ í yfirmann, skjá, tól eða stýrikerfi. Það er sérstaklega mikilvægt að meðhöndla lykilorð á réttan hátt. Að nota ekki þetta fyrsta öryggisstig mun þýða að allir hafi aðgang að kerfinu í gegnum skjá, web viðskiptavinur eða umsjónarmaður mun hafa aðgang að leiðréttingum. Gakktu úr skugga um að Niagara kerfið starfi í samræmi við viðeigandi lykilorðastefnu fyrir notendaaðgang, þessi leiðbeining myndi innihalda, en takmarkast ekki við:

  • Notkun sterkra lykilorða - Nota skal sterk lykilorð. Skoðaðu nýjustu öryggisstaðla til að fá upplýsingar um hvað gerir sterkt lykilorð.
  • Ráðlagður hringrásartími lykilorðs – Sumar Niagara vörur leyfa kerfisstjóra að tilgreina tímabil eftir að breyta þarf lykilorði. Þó ekki allar vörur framfylgi þessu lykilorðsbreytingartímabili sem stendur getur stefna vefsvæðis mælt með þessu.
  • Reglur um birtingu lykilorðs - Notandinn VERÐUR að tryggja að hann birti ekki upplýsingar um notendanafn sitt og lykilorð til annarra og skrifa þær ekki niður.

UPPSTJÓÐA VIÐBRÉTTAN STJÓRNVÖLD
Fyrir uppsetningu á háþróaðri verksmiðjustýringu, sjáðu uppsetningarleiðbeiningar og gangsetningarleiðbeiningar
(31-00584). Sjá HMI ökumannsleiðbeiningar (31-00590) fyrir HMI og Panel Bus Driver Guide (31-00591) fyrir IO einingu.

Búðu til og viðhaldið grunnstillingum
Búðu til og viðhaldið grunnlínu háþróaðra stillinga verksmiðjustýringar sem hafa verið rétt stilltar til öryggis. Gakktu úr skugga um að þessi grunnlína feli einnig í sér DCF files og Niagara hluti. Ekki skuldbinda óöruggar stillingar við grunnlínuna til að koma í veg fyrir að óviljandi sé beitt þeim í framtíðinni. Uppfærðu öll viðeigandi skjöl þegar stillingar breytast.

 Breyttu sjálfgefnum lykilorðum
Breyttu öllum sjálfgefnum lykilorðum: Console Configuration lykilorð, öryggisafrit/Restore/Restart/Control lykilorð og Niagara Platform lykilorð. Þegar gangsetning er lokið skaltu ganga úr skugga um að tækið sé varið með lykilorði. Gakktu úr skugga um að viðeigandi notendastigum sé úthlutað fyrir notendur síðunnar.

Frekari hugleiðingar

Þjónustustigssamningur
Samþykkja viðeigandi uppfærslustefnu fyrir innviði sem er uppsettur á staðnum sem hluti af þjónustustigssamningi. Þessi stefna ætti að innihalda, en takmarkast ekki við, uppfærslu á eftirfarandi kerfishlutum í nýjustu útgáfuna:

  • Fastbúnað tækja fyrir stjórnandi, IO einingar, HMI, osfrv .;
  • Umsjónarhugbúnaður, eins og Arena NX hugbúnaður;
  • Stýrikerfi fyrir tölvu/þjón;
  • Netinnviðir og hvaða fjaraðgangskerfi sem er.

Uppsetning upplýsingatækninets
Stilltu aðskilin upplýsingatækninet fyrir sjálfvirknistjórnunarkerfin og upplýsingatækninet viðskiptavinarins. Þessu er hægt að ná með því að stilla VLAN (Virtual LANs) innan upplýsingatækniinnviða viðskiptavinarins eða með því að setja upp sérstakt netkerfi með loftgapa sem er tileinkað sjálfvirknistýringarkerfunum.
Þegar samskipti eru við stjórnendur með miðlægum kerfisstjóra (tdample: Niagara) og þar sem kerfið þarf ekki beinan aðgang að einstökum tækjum web miðlara ætti að stilla netinnviðina til að takmarka web aðgangur að netþjóni.
Dynamic VLAN sem nota MAC vistfangaúthlutun geta verndað gegn óleyfilegri tengingu tækis inn í kerfið og getur dregið úr áhættu sem tengist einstökum eftirlitsupplýsingum á netinu.

STILLA BAS ELDVÆGURINN

Eftirfarandi tafla lýsir nettengjunum sem notuð eru í háþróuðum verksmiðjustýringu. Sjá tilvísun í „System Overview” á síðu 8. fyrir fyrrvample uppsetningararkitektúr. Taflan hefur eftirfarandi dálka:

  • Sjálfgefin höfn og bókun (TCP eða UDP)
  • Tilgangur hafnarinnar
  • Hvort þarf að breyta sjálfgefna gáttinni eða ekki
  • Hvort komandi tengingar eða umferð ætti að vera leyfð í gegnum BAS eldvegginn
  • Fleiri athugasemdir eru taldar upp fyrir neðan töfluna

Tafla 2 Stilling BAS eldveggsins

Sjálfgefið Höfn/bókun  

Tilgangur

 Breyta úr sjálfgefnu?  

Leyfa í gegnum BAS eldvegg?

  

Skýringar
80 / TCP HTTP Nei Nei  
 

443 / TCP

  

HTTPs

  

Nei

 Hugsanlega, ef web aðgangur frá internetinu/innranetinu/fyrirtækjaneti er nauðsynlegur.  

1
1911 / TCP Fox (óörugg útgáfa af Niagara forritareglum) Nei  
4911 / TCP Fox + SSL (örugg útgáfa af Niagara forritareglum) Nei  
3011 / TCP NiagaraD (óörugg útgáfa af Niagara vettvangssamskiptareglum) Nei  
5011 / TCP NiagaraD + SSL (örugg útgáfa af Niagara vettvangssamskiptareglum) Nei  
2601 / TCP Zebra stjórnborðstengi Nei Nei 2
2602 / TCP RIP console tengi     2
47808/UDP BACnetTM/IP nettenging Nei 3

ATH

  1. Ef bein fjarstýring web notendaviðmót er stutt, þá verður að leyfa þessari höfn í gegnum BAS eldvegginn.
  2. Gátt er sjálfkrafa opnað af þessum púka og ekki er hægt að slökkva á þessari virkni. Púkinn er stilltur til að leyfa enga innskráningu í gegnum þessa höfn.
  3. Fylgdu leiðbeiningunum um netstillingar sem tilgreindar eru í þessari handbók svo að háþróaður verksmiðjustýribúnaður þurfi aldrei að senda UDP umferð í gegnum BAS eldvegginn.

UPPSETNING Auðkenningar

Google Authentication Scheme er tveggja þátta auðkenningarkerfi sem krefst þess að notandinn slær inn lykilorð sitt og einnota auðkenni þegar hann skráir sig inn á stöð. Þetta verndar reikning notanda jafnvel þótt lykilorð hans sé í hættu.
Þetta auðkenningarkerfi byggir á TOTP (Time-based OneTime Password) og Google Authenticator appinu á fartæki notandans til að búa til og sannreyna einnota auðkenningarmerki. Google auðkenning er tímabundin, þannig að það er ekkert háð netsamskiptum milli farsíma notandans, stöðvarinnar eða ytri netþjóna. Þar sem auðkenningartækið er tímabundið verður tíminn í stöðinni og tíminn í símanum að vera tiltölulega samstilltur. Forritið veitir biðminni upp á plús eða mínus 1.5 mínútur til að taka tillit til klukkuskekkju.
Forkröfur: Farsími notandans krefst Google Authentication app. Þú ert að vinna í Workbench. Notandinn er til í stöðvagagnagrunninum.

Málsmeðferð

  1. Opnaðu Gauth litatöfluna og bættu GoogleAuthenticationScheme við Þjónusta > Authenticationservice hnútinn í Nav trénu.
  2. Hægrismelltu á Userservice og tvísmelltu á notandann í töflunni. The Edit view fyrir notandann opnast.
  3. Stilltu eiginleikann Authentication Scheme Name í GoogleAuthenticationScheme og smelltu á Vista.
  4. Smelltu á hnappinn við hlið leynilykils undir auðkenningartæki notandans og fylgdu leiðbeiningunum.
  5. Til að ljúka uppsetningunni, smelltu á Vista. Það fer eftir view þú ert að nota gætirðu þurft að opna notandann aftur eða endurnýja eftir vistun.

KERFIAFENDING
Þessi hluti inniheldur upplýsingar sem þú verður að gefa upp þegar BAS er afhent eiganda kerfisins.

  • Skjöl sem innihalda öryggisupplýsingar, stillingar, stjórnun notendanöfn og lykilorð, hörmungar- og endurheimtaráætlanir og afritunar- og endurheimtaraðferðir.
  • Þjálfun notenda um öryggisviðhaldsverkefni.

USB Öryggisafrit OG CLANDIST FILE UPPSETNING
Notandi verður að vernda lykilorðið sem notað er til að renna og renna stjórnandanum upp. Forðastu að deila aðgangsorðunum og skilríkjum stjórnanda meðan á öryggisafritinu eða endurheimtunarferlinu stendur.
USB öryggisafrit og CleanDist file upplýsingar um uppsetningu er að finna í leiðbeiningum um uppsetningu og gangsetningu – 31-00584.

KERFISLÖGUN
Eyða skal viðkvæmum gögnum úr einingum sem verið er að taka úr notkun og það er hægt að gera með því að endurstilla verksmiðju. Sjá þjónustuhnapp/þjónustuviðvörunarljósdíóða og CleanDist file uppsetningu frá uppsetningarleiðbeiningum og gangsetningarhandbók – 31-00584.

ATH
The CleanDist file aðferð getur framkvæmt verksmiðjustillingu með því að setja upp clean4 file.

Háþróuð NIAGARA BYGGÐ VÖRUÖRYGGI
Fyrir Advanced Honeywell vörur sem eru byggðar á Niagara N4 og Niagara AX ramma (td Advanced Plant Controller, HMI og IO Module), verður þú að fylgja ráðleggingum Tridium um að tryggja Niagara ramma.
Það eru ýmsar stillingarbreytingar sem hægt er að gera á Niagara sem hægt er að gera til að hámarka öryggi Advanced Honeywell vara.

  • Notaðu eiginleikann fyrir styrkleika lykilorðs
  • Virkjaðu eiginleika læsingar reiknings
  • Renna út lykilorð
  • Notaðu lykilorðasöguna
  • Notaðu eiginleikann til að endurstilla lykilorð
  • Skildu „Mundu eftir þessum skilríkjum“ reitnum ómerkt
  • Breyttu sjálfgefna kerfisaðgangsorðinu
  • Notaðu TLS til að stilla lykilorð kerfisins
  • Veldu sterkt kerfisaðgangsorð
  • Verndaðu lykilorð kerfisins
  • Gakktu úr skugga um að eigandi pallsins þekki lykilorð kerfisins
  • Notaðu annan reikning fyrir hvern pallnotanda
  • Notaðu einstök reikningsnöfn fyrir hvert verkefni
  • Gakktu úr skugga um að eigandi pallsins þekki skilríki pallsins
  • Notaðu annan reikning fyrir hvern stöðvarnotanda
  • Notaðu einstaka þjónustutegundareikninga fyrir hvert verkefni
  • Slökktu á þekktum reikningum þegar mögulegt er
  • Settu upp tímabundna reikninga til að renna út sjálfkrafa
  • Breyta kerfistegund reikningsskilríkja
  • Ekki leyfa samhliða fundi þegar við á
  • Stilltu hlutverk með lágmarksheimildum sem krafist er
  • Úthlutaðu lágmarks nauðsynlegum hlutverkum til notenda
  • Notaðu mögulega lágmarksfjölda ofurnotenda
  • Krefjast ofurnotendaheimilda fyrir forritahluti
  • Notaðu lágmarksheimildir fyrir utanaðkomandi reikninga
  • Notaðu auðkenningarkerfi sem hæfir reikningsgerðinni
  • Fjarlægðu óþarfa auðkenningarkerfi
  • TLS & skírteinastjórnun
  • Uppsetning mát
  • Krefjast undirritaðs forritshluta og vélmenna
  • Slökktu á SSH og SFTP
  • Slökktu á óþarfa þjónustu
  • Stilltu nauðsynlega þjónustu á öruggan hátt
  • Uppfærðu Niagara 4 í nýjustu útgáfuna
  • Settu upp vöru á öruggum stað
  • Gakktu úr skugga um að stöðvar séu á bak við VPN
  • Sértæk tæknileg rit eru fáanleg sem þarf að fylgja til að tryggja að kerfið sé læst eins öruggt og hægt er. Margir valkostir eru til eins og SSL dulkóðun og viðbótarskref til að vernda þætti eins og forritaeiningar, fyrir frekari upplýsingar, sjá Tridium websíða fyrir Niagara 4 Hardening Guide (fyrir Niagara N4 byggðar vörur) og Niagara Hardening Guide (Niagara AX byggðar vörur).

Efnið í þessu skjali er eingöngu ætlað til upplýsinga. Innihald og lýsing á vörunni geta breyst án fyrirvara. Honeywell ábyrgist ekki þetta skjal. Í engu tilviki skal Honeywell bera ábyrgð á tæknilegum eða ritstjórnarlegum vanrækslum eða mistökum í þessu skjali, né skal hún bera ábyrgð á tjóni, beinum eða tilfallandi, sem stafar af eða tengist notkun þessa skjals. Óheimilt er að afrita hluta þessa skjals í neinu formi eða með neinum hætti nema með skriflegu leyfi frá Honeywell.
Honeywell | Sjálfvirkni bygginga

715 Peachtree Street, NE,

GÁTLIsti um UPPSETNINGARÖRYGGI

  • Ítarlegt tilvik stöðvarstýringartækis: __________________________________________________________________
  • Lýsing á háþróaðri plöntustýringu: __________________________________________________________________
  • Staðsetning háþróaðrar verksmiðjustýringar: __________________________________________________________________
  • Uppsetningaraðili:__________________________________________________________
  • Dagsetning: __________________________________

Ljúktu eftirfarandi öryggisverkefnum fyrir hvern uppsettan Advanced Plant Controller

  • Settu upp eldvegg á milli Advanced Plant Controller og ytri netkerfa. Sjá „BACnet og Niagara“ á síðu 19.
  • Tryggja háþróaða plöntustýringuna líkamlega. Sjá „Líkamlega tryggðu háþróaða verksmiðjustýringuna, HMI og IO eininguna“ á síðu 22.
  • Breyttu sjálfgefna lykilorðinu í einstakt lykilorð fyrir hvert af eftirfarandi: Console Configuration, Backup/Restore/Restart/Control og Niagara Platform. Sjá leiðbeiningar um uppsetningu og gangsetningu – 31-00584
  • Ef a web þjónsins er þörf, stilltu hann síðan þannig að hann virki aðeins í HTTPS ham. Sjá leiðbeiningar um uppsetningu og gangsetningu – 31-00584

Web Staða netþjóns: Slökkt / Virkt.
If web þjónusta er virkjuð skaltu ljúka eftirfarandi:

  • Stilltu Http virkt = false.
  • Stilltu Https virkt = satt.
  • Stilltu Https Only = true.
  • Stilltu BAS eldvegginn. Sjá „Stilling BAS eldveggsins“ á síðu 26.
  • Gefðu BAS kerfiseiganda öll nauðsynleg gögn við afhendingu. Sjá „Setja upp auðkenningu“ á blaðsíðu 27.

Algengar spurningar

  • Hvers vegna er mikilvægt að tryggja háþróaða stjórnandann?
    Að tryggja stjórnanda hjálpar til við að koma í veg fyrir óviðkomandi aðgang, verndar viðkvæm gögn og tryggir áreiðanleika kerfisins.
  • Hvernig get ég endurheimt lykilorðið mitt?
    Til að endurheimta lykilorðið þitt skaltu fylgja ferlinu fyrir endurheimt lykilorðs sem lýst er í handbókinni. Þetta felur venjulega í sér að staðfesta reikningsupplýsingarnar þínar.

Skjöl / auðlindir

Honeywell Optimizer háþróaður stjórnandi [pdfNotendahandbók
31-00594-03, Optimizer Advanced Controller, Advanced Controller, Controller

Heimildir

Tengdar færslur

Skildu eftir athugasemd

Netfangið þitt verður ekki birt. Nauðsynlegir reitir eru merktir *