មាតិកា លាក់
1 Carrier i-Vu Pro Simplifies Building Management with Building Automation
2 ព័ត៌មានអំពីផលិតផល
3 ការណែនាំអំពីការប្រើប្រាស់ផលិតផល
4 ការអនុវត្តល្អបំផុតសុវត្ថិភាព
5 សុវត្ថិភាពបណ្តាញរាងកាយ
6 ឧបសម្ព័ន្ធ A សទ្ទានុក្រម
7 Appendix B Security checklist
8 ឯកសារ/ធនធាន
8.1 ឯកសារយោង

ស្លាកសញ្ញាក្រុមហ៊ុនដឹកជញ្ជូន

Carrier i-Vu Pro Simplifies Building Management with Building Automation

Carrier-i-Vu-Pro-Simplify-Building-Management-with-Building-Automation-fig-1

ព័ត៌មានអំពីផលិតផល

លក្ខណៈបច្ចេកទេស

  • ពិធីការផ្ទេរ៖ TCP, UDP
  • ច្រក៖ 80 (TCP), 443 (TCP), 47806 (TCP), 47808 (UDP/TCP), 47812 (UDP), 50005-50008 (UDP)
  • ការប្រើប្រាស់៖ HTTP, HTTPS, WSS, Alarm Notification, BACnet/IP, CCN/IP, Firmware CCN/IP, Diagnostic Telnet

ការណែនាំអំពីការប្រើប្រាស់ផលិតផល

ការអនុវត្តល្អបំផុតផ្នែកសន្តិសុខ
Ensure to follow the security best practices outlined in the user manual for optimal security measures.

Physical Network Security
Implement physical network security measures to prevent unauthorized physical access to the network infrastructure.

ការបែងចែកបណ្តាញ
Separate networks based on security risk levels as outlined in the scenarios provided in the manual for better control and security.

Internet Connectivity Scenarios

  • Scenario A: Isolated Network – Low Risk
    For isolated network scenarios with low risk, follow the guidelines provided in the manual for configuring the system securely.
  • Scenario B: Public Users – Medium Risk
    For scenarios involving public users with medium risk, ensure to expose TCP ports 80 and 443 to the Internet and implement necessary whitelisting measures for security.
  • Scenario C: Public Users with Distributed BACnet – High Risk
    In high-risk scenarios involving public users and distributed BACnet, carefully plan the configuration to maximize security. Expose TCP ports 80, 443, and UDP port 47808 with strict whitelisting measures.
  • Scenario D: Public Users with Distributed BACnet/SC – Low Risk
    In low-risk scenarios with distributed BACnet/SC, configure outgoing and incoming ports as required for BACnet/SC traffic and protection of the BACnet/SC Hub.

ជញ្ជាំងភ្លើង BACnet
Utilize the BACnet firewall feature available for XT and TruVu controllers to restrict BACnet/IP communication to private IP addresses or defined whitelisted IP addresses for added security.

ការអនុវត្តល្អបំផុតសុវត្ថិភាព

  • Carrier takes the security of our systems very seriously, and you play the biggest part in this by installing and configuring systems securely. We encourage you to establish security policies for your own company networks and all the systems you install and service.
  • អនុវត្តតាមការអនុវត្តល្អបំផុតនៅក្នុងឯកសារនេះ នៅពេលដាក់ពង្រាយប្រព័ន្ធស្វ័យប្រវត្តិកម្មសាងសង់ i-Vu® Pro ។
  • Use the Security Checklist in Appendix B to track important security steps when designing, installing, and commissioning i-Vu® Pro systems.

សុវត្ថិភាពបណ្តាញរាងកាយ

សុវត្ថិភាពបណ្តាញរាងកាយការពារផ្នែករឹងបណ្តាញ និងហេដ្ឋារចនាសម្ព័ន្ធ (ឧទាហរណ៍ample, servers, routers, switches, and cables) ពីការខូចខាត ការជ្រៀតជ្រែក និងការចូលប្រើដោយគ្មានការអនុញ្ញាត។
ត្រូវប្រាកដថាផែនការសុវត្ថិភាពបណ្តាញរាងកាយរបស់អ្នករួមមានដូចខាងក្រោម៖

  • ការគ្រប់គ្រងការចូលប្រើ៖ Restrict entry to data centers, server rooms, and access to networking equipment by using security measures like passcards, biometric identification, and surveillance.
  • ការគ្រប់គ្រងខ្សែ៖ ទប់ស្កាត់ tampការភ្ជាប់ឬការភ្ជាប់ដោយគ្មានការអនុញ្ញាតដោយដាក់កម្រិតការចូលប្រើជាក់ស្តែងទៅកាន់ខ្សែបណ្តាញ និងច្រក។
  • Device security: Use locks and physical barriers to secure critical hardware.
  • ការការពារបរិស្ថាន៖ Verify proper cooling, fire suppression, and disaster recovery plans. Physical network security measures should also address risks outside of deliberate or malicious attacks.
  • វិធីសាស្រ្តពហុស្រទាប់៖ រួមបញ្ចូលគ្នានូវសុវត្ថិភាពបណ្តាញឌីជីថល និងសុវត្ថិភាពបណ្តាញរូបវន្តសម្រាប់ផែនការសុវត្ថិភាពដែលរឹងមាំជាងមុន។
  • Surveillance and monitoring: Install security cameras and motion sensors to detect unauthorized activity.

ការបែងចែកបណ្តាញ

  • ស្តង់ដារ BACnet គឺជាប្រព័ន្ធបើកចំហដោយចេតនា ដែលធ្វើឱ្យវាងាយស្រួលក្នុងការស្វែងរក និងគ្រប់គ្រងឧបករណ៍ណាមួយនៅលើបណ្តាញរបស់វា។ ដោយសារតែនេះ អ្នកគួរតែរចនាប្រព័ន្ធរបស់អ្នកដើម្បីបំបែកអ្នកប្រើប្រាស់ចេញពីបណ្តាញឧបករណ៍បញ្ជាដោយមានបណ្តាញពីរដាច់ដោយឡែកពីគ្នា។ សម្រាប់អតីតampដូច្នេះ ប្រសិនបើអ្នកប្រើប្រាស់នៅលើ LAN សហគ្រាសរបស់ក្រុមហ៊ុនមួយ អ្នកនឹងមិនចង់បានឧបករណ៍បញ្ជានៅលើ LAN ទេ ដូច្នេះពួកគេជាគោលដៅងាយស្រួលសម្រាប់ការប្រើប្រាស់ខុសដោយនរណាម្នាក់ដែលមានសិទ្ធិចូលប្រើប្រាស់។ ហានិភ័យដ៏ធំបំផុតមួយចំនួនបានមកពីអ្នកខាងក្នុង ដូចជាអ្នកចង់ចង់ដឹងចង់ឃើញ សិស្សនៅលើបណ្តាញនៃប្រព័ន្ធអប់រំ ឬបុគ្គលិកដែលមិនពេញចិត្ត។

    Carrier-i-Vu-Pro-Simplify-Building-Management-with-Building-Automation-fig-2

  • អ្នកអាចបំបែកបណ្តាញអ្នកប្រើប្រាស់ និងបណ្តាញ BACnet ដោយមិនមានការកំណត់ IP រវាងពួកវា ឬអ្នកអាចបំបែកពួកវាដោយឡូជីខលតាមកុងតាក់ដោយប្រើបណ្តាញតំបន់មូលដ្ឋាននិម្មិត (VLAN) ។
  • ប្រសិនបើអ្នកមាន NICs ពីរ (កាតចំណុចប្រទាក់បណ្តាញ) ម៉ាស៊ីនមេត្រូវតែមានអាសយដ្ឋាន IP ផ្សេងគ្នាសម្រាប់បណ្តាញនីមួយៗ។
    • User network – Configure this IP address and subnet mask in SiteBuilder on the Configure > Preferences > Web Server tab.
    • BACnet network – Configure this IP address and subnet mask in the interface on the Driver Properties > Connections page > Configure tab.

សេណារីយ៉ូនៃការតភ្ជាប់អ៊ីនធឺណិត
ការភ្ជាប់ប្រព័ន្ធ i-Vu® Pro ទៅអ៊ីនធឺណិតអាចប្រែប្រួលយ៉ាងខ្លាំង ដោយផ្អែកលើតម្រូវការ និងសមត្ថភាពរបស់អតិថិជន។ សេណារីយ៉ូបណ្តាញដែលអាចកើតមានខាងក្រោមនេះត្រូវបានរាយក្នុងលំដាប់នៃការថយចុះសុវត្ថិភាព។

  • សេណារីយ៉ូ A៖ បណ្តាញដាច់ស្រយាល - ហានិភ័យទាប
    កុំបង្ហាញម៉ាស៊ីនមេ i-Vu® Pro ឬបណ្តាញ BACnet ជាអចិន្ត្រៃយ៍។ ទោះយ៉ាងណាក៏ដោយ អ្នកអាចអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ចូលប្រើម៉ាស៊ីនមេ i-Vu® Pro តាមរយៈការតភ្ជាប់ VPN ដែលមានសុវត្ថិភាព។ ប្រសិនបើរ៉ោតទ័រ NAT ឬជញ្ជាំងភ្លើងមានវត្តមាននៅលើ LAN សម្រាប់គោលបំណងផ្សេងទៀត វាមិនគួរមានច្រកណាមួយដែលបញ្ជូនបន្តទៅម៉ាស៊ីនមេ i-Vu® Pro ឬឧបករណ៍បញ្ជាណាមួយឡើយ។

    Carrier-i-Vu-Pro-Simplify-Building-Management-with-Building-Automation-fig-3

  • សេណារីយ៉ូ ខ៖ អ្នកប្រើប្រាស់សាធារណៈ – ហានិភ័យមធ្យម
    វាអាចទទួលយកបានក្នុងការបង្ហាញម៉ាស៊ីនមេ i-Vu® Pro ជាអចិន្ត្រៃយ៍នៅលើអ៊ីនធឺណិត ដរាបណា៖
    • បណ្តាញ BACnet មិនត្រូវបានលាតត្រដាងទេ។
    • ឧបករណ៍ NAT/Firewall ដែលលាតត្រដាងប្រព័ន្ធ i-Vu® Pro បង្ហាញតែច្រក TCP 80 និង 443 នៅលើម៉ាស៊ីនមេ i-Vu® Pro ប៉ុណ្ណោះ។
    • ចរាចរណ៍ BACnet នៅលើច្រក UDP 47808 មិនត្រូវបានលាតត្រដាងទេ។

      Carrier-i-Vu-Pro-Simplify-Building-Management-with-Building-Automation-fig-4

  • សេណារីយ៉ូ C៖ អ្នកប្រើប្រាស់សាធារណៈដែលមាន BACnet ចែកចាយ - ហានិភ័យខ្ពស់។
    • នៅក្នុងការកំណត់រចនាសម្ព័ន្ធនេះ ទាំងអ្នកប្រើប្រាស់ និងឧបករណ៍បញ្ជា BACnet ប្រើប្រាស់បណ្តាញសាធារណៈ/អ៊ីនធឺណិត។ រៀបចំផែនការកំណត់រចនាសម្ព័ន្ធនេះដោយប្រុងប្រយ័ត្ន ដើម្បីបង្កើនសុវត្ថិភាព។

      Carrier-i-Vu-Pro-Simplify-Building-Management-with-Building-Automation-fig-6

    • ប្រសិនបើម៉ាស៊ីនមេ i-Vu® Pro ត្រូវតែភ្ជាប់ទៅគេហទំព័រជាច្រើនតាមអ៊ីនធឺណិត ភ្ជាប់ពួកវាដោយប្រើ VPN ដើម្បីបង្កើតបណ្តាញតំបន់ធំទូលាយដែលមានសុវត្ថិភាព (ផ្លាស់ប្តូរវាទៅជាសេណារីយ៉ូ A)។
    • ប្រសិនបើវាមិនអាចធ្វើទៅបានទេ សូមប្រើមុខងារជញ្ជាំងភ្លើង BACnet នៅក្នុងឧបករណ៍បញ្ជាដែលមានសមត្ថភាពអ៊ីសឺរណិត ឬការពារឧបករណ៍បញ្ជាដែលមានបញ្ជីសដែលនាយកដ្ឋានព័ត៌មានវិទ្យារបស់អ្នកអាចកំណត់រចនាសម្ព័ន្ធនៅក្នុងឧបករណ៍ភ្ជាប់អ៊ីនធឺណិតនីមួយៗដែលបណ្តាញភ្ជាប់ទៅអ៊ីនធឺណិត។ បញ្ជីសអនុញ្ញាតឱ្យទំនាក់ទំនងជាមួយប្រព័ន្ធ i-Vu® Pro របស់អ្នកតែពីឧបករណ៍ដែលមានអាសយដ្ឋាន IP សាធារណៈនៅក្នុងបញ្ជីប៉ុណ្ណោះ។ ជាញឹកញាប់ ឧបករណ៍បញ្ជាអាសយដ្ឋានតែមួយគត់ដែលត្រូវនិយាយគឺម៉ាស៊ីនមេ i-Vu® Pro ។ បញ្ជីសរបស់ជញ្ជាំងភ្លើងម៉ាស៊ីនមេ i-Vu® Pro នឹងត្រូវបញ្ចូលអាសយដ្ឋានសាធារណៈរបស់ឧបករណ៍បញ្ជា IP ពីចម្ងាយទាំងអស់។
    • កុំភ្ជាប់ឧបករណ៍បញ្ជា BACnet ទៅអ៊ីនធឺណិតដោយគ្មានការការពារយ៉ាងហោចណាស់បញ្ជីស! ប្រសិនបើអ្នកធ្វើដូច្នេះ ពួកគេអាចត្រូវបានរកឃើញ និងកែប្រែយ៉ាងងាយស្រួលដោយនរណាម្នាក់នៅលើអ៊ីនធឺណិត។ ប្រសិនបើរ៉ោតទ័រ BACnet ត្រូវបានភ្ជាប់ទៅអ៊ីនធឺណិតដោយគ្មានការការពារ នោះបណ្តាញទាំងមូលដែលភ្ជាប់ទៅវាគឺអាចចូលដំណើរការបាន។
  • សេណារីយ៉ូ D៖ អ្នកប្រើប្រាស់សាធារណៈដែលមាន BACnet/SC ដែលចែកចាយ - ហានិភ័យទាប
    BACnet Secure Connect, or BACnet/SC, is an industry-standard way of securing BACnet communications over the internet without the need for VPNs. A BACnet/SC network consists of multiple nodes connecting through a central hub. This hub can be located on premises or hosted on the Internet. The figure above depicts the BACnet/SC Hub installed on premises.

    Carrier-i-Vu-Pro-Simplify-Building-Management-with-Building-Automation-fig-6

ជញ្ជាំងភ្លើងបណ្តាញ
កំណត់ច្រកដែលបើកតាមរយៈជញ្ជាំងភ្លើង ឬច្រក NAT បញ្ជូនបន្តទៅកាន់ច្រកអប្បបរមាដែលត្រូវការ។ ប្រព័ន្ធ i-Vu® Pro ប្រើច្រកដូចខាងក្រោម៖

ច្រក ផ្ទេរ Protocol/User ប្រើ
១៦០០ (លំនាំដើម) TCP HTTP (Web ម៉ាស៊ីនមេ) ម៉ាស៊ីនភ្ញៀវ/ម៉ាស៊ីនមេ
១៦០០ (លំនាំដើម) TCP HTTPS (Web ម៉ាស៊ីនមេ) ម៉ាស៊ីនភ្ញៀវ/ម៉ាស៊ីនមេ
១៦០០ (លំនាំដើម) TCP WSS (secure WebSocket for BACnet/SC) អតិថិជន
១៦០០ (លំនាំដើម) TCP Alarm Notification Client ម៉ាស៊ីនភ្ញៀវ/ម៉ាស៊ីនមេ
47808 UDP BACnet/IP Server/i-Vu router
47808 TCP Diagnostic Telnet * ម៉ាស៊ីនភ្ញៀវ/ម៉ាស៊ីនមេ
47812 UDP CCN/IP i-Vu CCN router/ Server
50005 UDP CCN/IP Server/i-Vu CCN
50007     រ៉ោតទ័រ
50008      
50005 - 50008 UDP Firmware CCN/IP CCN router to CCN router

* មុខងារនេះត្រូវបានបិទតាមលំនាំដើម។ អ្នកអាចចាប់ផ្តើមវាដោយប្រើពាក្យបញ្ជាកុងសូល telnetd ។
សេណារីយ៉ូ B ឬ C នៅក្នុងផ្នែកមុនតម្រូវឱ្យច្រក TCP 80 និង 443 ត្រូវបានលាតត្រដាងទៅអ៊ីនធឺណិតសម្រាប់ការចូលប្រើរបស់អ្នកប្រើប្រាស់។
សេណារីយ៉ូ C ក៏តម្រូវឱ្យច្រក UDP 47808 ត្រូវបានលាតត្រដាងសម្រាប់ទាំងម៉ាស៊ីនមេ និងជញ្ជាំងភ្លើងរបស់ឧបករណ៍បញ្ជា។ ប្រសិនបើអ្នកធ្វើដូចនេះ អ្នកត្រូវតែប្រើបញ្ជីសដើម្បីកំណត់ការភ្ជាប់។
សេណារីយ៉ូ D អាចតម្រូវឱ្យមានការកំណត់រចនាសម្ព័ន្ធច្រកចេញសម្រាប់ចរាចរ BACnet/SC និង/ឬច្រកចូលដែលការពារ BACnet/SC Hub ។

ជញ្ជាំងភ្លើង BACnet
កម្មវិធីបញ្ជា drv_fwex និង drv_gen5 សម្រាប់ឧបករណ៍បញ្ជា XT និង TruVu និងកម្មវិធីបញ្ជា v6-02 ឬក្រោយសម្រាប់ឧបករណ៍បញ្ជាក្រុមហ៊ុនដឹកជញ្ជូនដែលមានសមត្ថភាពអ៊ីសឺរណិត មានមុខងារជញ្ជាំងភ្លើង BACnet ដែលអនុញ្ញាតឱ្យអ្នកដាក់កម្រិតការទំនាក់ទំនង BACnet/IP ជាមួយឧបករណ៍បញ្ជាទៅអាសយដ្ឋាន IP ឯកជនទាំងអស់ និង/ឬបញ្ជីសនៃអាសយដ្ឋាន IP ដែលអ្នកកំណត់។ មុខងារនេះផ្តល់នូវស្រទាប់សុវត្ថិភាពមួយផ្សេងទៀតសម្រាប់ប្រព័ន្ធរបស់អ្នក។
ខាងក្រោមនេះជាអតីតampករណីប្រើប្រាស់សម្រាប់ជញ្ជាំងភ្លើង BACnet និងការណែនាំសម្រាប់ដំឡើងវា។

  • Case 1:  Isolated network
    • ខណៈពេលដែលបណ្តាញដាច់ស្រយាលមានសុវត្ថិភាពពីការគំរាមកំហែងនៅលើអ៊ីនធឺណិត អ្នកប្រើប្រាស់ ឬឧបករណ៍ផ្សេងទៀតនៅលើបណ្តាញមូលដ្ឋានអាចជ្រៀតជ្រែកជាមួយឧបករណ៍បញ្ជា។

      Carrier-i-Vu-Pro-Simplify-Building-Management-with-Building-Automation-fig-7

    • នៅក្នុងនេះ អតីតampដូច្នេះ ជញ្ជាំងភ្លើង BACnet របស់ឧបករណ៍បញ្ជានីមួយៗគួរតែអនុញ្ញាតឱ្យមានការទំនាក់ទំនង BACnet ពីអាសយដ្ឋាន IP របស់ម៉ាស៊ីនមេ i-Vu® Pro និងអាសយដ្ឋាន IP របស់ឧបករណ៍បញ្ជា។ អ្នកប្រើប្រាស់នៅ 192.168.24.46 មិនគួរត្រូវបានអនុញ្ញាតឱ្យទំនាក់ទំនង BACnet ជាមួយឧបករណ៍បញ្ជាទេ។
    • The server and controller addresses fall within the private IP address range of 192.168.0.0 to 192.168.255.255, but restricting BACnet communication to all private IP addresses is not sufficient since that would allow communication from the user. So a whitelist must be created in the BACnet firewall.
    • ដើម្បីដំឡើងជញ្ជាំងភ្លើង BACnet៖
      1. In the i-Vu® Pro interface, right-click each controller and select Driver Properties.
      2. Select BACnet Firewall > Properties tab.
      3. Check Enable BACnet firewall.
      4. Uncheck Allow All Private IP Addresses.

        Carrier-i-Vu-Pro-Simplify-Building-Management-with-Building-Automation-fig-8

      5. Check Enable Whitelist.
      6. On the first row, check Enable, check Use IP Range, and then enter the address range 192.168.24.100 through 192.168.24.103.

        Carrier-i-Vu-Pro-Simplify-Building-Management-with-Building-Automation-fig-9

      7. ចុចយល់ព្រម។
      8. Wait for the page to update, and then check Confirm firewall settings.
        ចំណាំ៖ នៅក្នុងនេះ អតីតample, the server and controllers’ IP addresses are sequential, so the whitelist could have an address range. If you anticipate future controller expansion, reserve extra sequential addresses so that you can simply expand the range in the BACnet firewall settings. If the IP addresses are not sequential, you must enter each IP address on a separate line and check Enable.
  • Case 2:  Individual controllers exposed to the Internet
    • ឧបករណ៍បញ្ជាដែលអាចចូលប្រើបាននៅលើអ៊ីនធឺណិត (សម្រាប់ឧample នៅពីក្រោយ DSL ខ្សែ ឬឧបករណ៍ឥតខ្សែ) ប្រហែលជាមិនត្រូវបានការពារដោយជញ្ជាំងភ្លើងបណ្តាញ ឬបញ្ជីសទេ។ នេះអាចបណ្តាលមកពីកង្វះសមត្ថភាពរបស់បណ្តាញជញ្ជាំងភ្លើង ឬការលំបាកក្នុងការដំឡើងវា។

      Carrier-i-Vu-Pro-Simplify-Building-Management-with-Building-Automation-fig-10

    • នៅក្នុងនេះ អតីតample, each controller needs to communicate with only the i-Vu® Pro server, so their BACnet firewall’s whitelist should have only the server’s public IP address. The controllers do not need to communicate with each other.
    • ដើម្បីដំឡើងជញ្ជាំងភ្លើង BACnet៖
      1. In the i-Vu® Pro interface, right-click each controller and select Driver Properties.
      2. Select BACnet Firewall > Properties tab.
      3. Check Enable BACnet firewall.
      4. Uncheck Allow All Private IP Addresses.

        Carrier-i-Vu-Pro-Simplify-Building-Management-with-Building-Automation-fig-11

      5. Check Enable Whitelist.
      6. On the first row, check Enable, and then enter the address 47.23.95.44.

        Carrier-i-Vu-Pro-Simplify-Building-Management-with-Building-Automation-fig-12

      7. ចុចយល់ព្រម។
      8. Wait for the page to update, and then check Confirm firewall settings.
  • Case 3:  Multiple controllers exposed to the Internet at one site
    • ឧបករណ៍បញ្ជាជាច្រើនដែលអាចចូលប្រើបាននៅលើអ៊ីនធឺណិត (សម្រាប់ឧample នៅពីក្រោយ DSL ខ្សែ ឬឧបករណ៍ឥតខ្សែ) ប្រហែលជាមិនត្រូវបានការពារដោយជញ្ជាំងភ្លើងបណ្តាញ ឬបញ្ជីសទេ។ ឧបករណ៍បញ្ជាមានអាសយដ្ឋាន IP ឯកជន ប៉ុន្តែវាជាអាសយដ្ឋាន IP សាធារណៈរបស់ពួកគេដែលត្រូវបានប៉ះពាល់នឹងអ៊ីនធឺណិត។

      Carrier-i-Vu-Pro-Simplify-Building-Management-with-Building-Automation-fig-13

    • នៅក្នុងនេះ អតីតample, the controllers need to communicate with the i-Vu® Pro server and each other. The controllers are the only devices on the site’s private network, and other devices present are benign.
    • ជញ្ជាំងភ្លើង BACnet របស់ឧបករណ៍បញ្ជានីមួយៗគួរតែអនុញ្ញាតឱ្យមានការប្រាស្រ័យទាក់ទងជាមួយ BACnet ជាមួយអាសយដ្ឋាន IP សាធារណៈរបស់ម៉ាស៊ីនមេ i-Vu® Pro និងជាមួយអាសយដ្ឋាន IP ឯកជនទាំងអស់ ដូច្នេះឧបករណ៍បញ្ជាអាចទំនាក់ទំនងគ្នាទៅវិញទៅមក។ ជញ្ជាំងភ្លើង BACnet រារាំងការទំនាក់ទំនង BACnet ទៅកាន់អាសយដ្ឋានសាធារណៈរបស់ឧបករណ៍បញ្ជា។
    • ដើម្បីដំឡើងជញ្ជាំងភ្លើង BACnet៖
      1. In the i-Vu Pro interface, right-click each controller and select Driver Properties.
      2. Select BACnet Firewall > Properties tab.
      3. Check Enable BACnet firewall.
      4. Check Allow All Private IP Addresses.

        Carrier-i-Vu-Pro-Simplify-Building-Management-with-Building-Automation-fig-14

      5. Check Enable Whitelist.
      6. On the first row, check Enable, and then enter the address 47.23.95.44.

        Carrier-i-Vu-Pro-Simplify-Building-Management-with-Building-Automation-fig-15

      7. ចុចយល់ព្រម។
      8. Wait for the page to update, and then check Confirm firewall settings.

អ្នកប្រើប្រាស់
អនុវត្តតាមគោលការណ៍ណែនាំខាងក្រោមដើម្បីកំណត់ការចូលប្រើរបស់អ្នកប្រើប្រាស់ដែលគ្មានការអនុញ្ញាត។

  • ការលើកលែងគោលនយោបាយ—Run the Security > Operator Information report to determine if any existing users are exempt from Automatic Logoff or the system’s Password Policy, and remove those exemptions. All users, including administrator users, should be compliant with security policies.
  • គោលការណ៍ពាក្យសម្ងាត់កម្រិតខ្ពស់-បើកដំណើរការគោលការណ៍ពាក្យសម្ងាត់កម្រិតខ្ពស់ ហើយទាមទារប្រវែងពាក្យសម្ងាត់អប្បបរមាយ៉ាងហោចណាស់ 8 តួអក្សរ។ វានឹងមិនអនុញ្ញាតឱ្យមានពាក្យសម្ងាត់ទទេ។
  • មិនមានគណនីចែករំលែកទេ។- បង្កើតគណនីផ្សេងគ្នាសម្រាប់អ្នកប្រើប្រាស់ម្នាក់ៗ។ កុំបង្កើតគណនីផ្អែកលើតួនាទី ដែលអ្នកប្រើប្រាស់ជាច្រើនចូលដោយប្រើឈ្មោះចូល និងពាក្យសម្ងាត់ដូចគ្នា។
  • លុបគណនីចាស់ - គ្រប់គ្រងគណនីនៅពេលដែលមនុស្សលែងត្រូវការចូលប្រើប្រព័ន្ធ i-Vu® Pro ។ លុបគណនីរបស់ពួកគេ ឬប្តូរពាក្យសម្ងាត់របស់ពួកគេ។
    ចំណាំ៖ Run the Security > Operator Information report to check the following statuses.
    • ប្រតិបត្តិករមិនដែលចូលទេ៖ ###
    • ប្រតិបត្តិករចូលចុងក្រោយ > 180 ថ្ងៃ៖ ###
  • បិទដោយស្វ័យប្រវត្តិ – Verify that the Log off operators after __ (HH: MM) of inactivity is checked on the System Settings > Security tab. NOTE: You can disable this for an individual user (for example គណនីសម្រាប់មជ្ឈមណ្ឌលត្រួតពិនិត្យ)។
  • Policy exemptions – Run the Security > Operator Information report to determine if any existing users are exempt from Automatic Logoff or the system’s Password Policy, and remove those exemptions.
  • បិទអ្នកប្រើប្រាស់—Verify that Lock out operators for __ minutes after __ failed login attempts is checked.
  • សុវត្ថិភាពអាស្រ័យលើទីតាំង-ពិចារណាប្រើគោលការណ៍សុវត្ថិភាពអាស្រ័យលើទីតាំងស្រេចចិត្ត។ សម្រាប់ប្រព័ន្ធធំដែលមានអ្នកប្រើប្រាស់ច្រើន អ្នកអាចដាក់កម្រិតអ្នកប្រើប្រាស់ឱ្យត្រឹមតែទីតាំងដែលពួកគេគួរមានសិទ្ធិចូលប្រើប្រាស់ប៉ុណ្ណោះ។

ម៉ាស៊ីនមេ i-Vu Pro
អនុវត្តតាមការណែនាំខាងក្រោមដើម្បីការពារម៉ាស៊ីនមេ i-Vu Pro ។

  • បំណះ-រក្សាប្រព័ន្ធ i-Vu Pro និងប្រព័ន្ធប្រតិបត្តិការឱ្យទាន់សម័យជាមួយនឹងបំណះចុងក្រោយបំផុត។
  • ការការពារប្រឆាំងនឹងមេរោគ-រក្សាកម្មវិធីកំចាត់មេរោគ និងនិយមន័យរបស់ម៉ាស៊ីនមេ i-Vu Pro ឱ្យទាន់សម័យ។
  • ម៉ាស៊ីនមេប្រើតែមួយ-i-Vu Pro កម្មវិធីគួរតែជាកម្មវិធីតែមួយគត់ដែលដំណើរការលើម៉ាស៊ីនមេ។ កុំដាក់កម្មវិធីផ្សេងទៀតនៅលើម៉ាស៊ីនមេតែមួយ។
  • HTTPS-ប្រើ https:// ជាមួយនឹងវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយអាជ្ញាធរវិញ្ញាបនបត្រស្តង់ដារ នៅពេលដែលអាចធ្វើទៅបាន។ ប្រសិនបើប្រើវិញ្ញាបនបត្រដែលបានចុះហត្ថលេខាដោយខ្លួនឯង ដំឡើងវិញ្ញាបនបត្រម៉ាស៊ីនមេនៅលើកុំព្យូទ័រអតិថិជន ដូច្នេះអ្នកប្រើប្រាស់មិនបង្កើតទម្លាប់អាក្រក់នៃការមិនអើពើនឹងកំហុស "វិញ្ញាបនបត្រមិនមានសុវត្ថិភាព" នោះទេ។
  • ការចូលប្រើពីចម្ងាយ—After commissioning, uncheck Allow remote file management on the System Settings > Security tab.
  • ពាក្យសម្ងាត់ឧបករណ៍– This password is only available on systems with one or more controllers with the Gen_5 driver. Setting the Device Password as described in the i-Vu® Pro v8.0 Help provides an additional level of security.
  • កម្មវិធីដែលបានដំឡើង— Installed Applications includes the full set of applications. There are no options to exclude certain applications during installation. Any applications that should not be available on the i-Vu® Pro server can be deleted from the installation folder.
  • File ការអនុញ្ញាត—The default file permissions of a product installation may not be the most secure setting, depending on the installation needs. It is recommended that file permissions be examined after installation and configured to ensure that only authorized users and service accounts can access and modify files in the installation and data directories.

ម៉ាស៊ីនបម្រើមូលដ្ឋានទិន្នន័យ

  • អនុវត្តតាមការអនុវត្តល្អបំផុតរបស់អ្នកលក់ម៉ាស៊ីនមេមូលដ្ឋានទិន្នន័យសម្រាប់ការដំឡើងដែលមានសុវត្ថិភាព។ នេះគួរតែរួមបញ្ចូលជំហានដូចជាការផ្លាស់ប្តូរគណនីលំនាំដើម និងពាក្យសម្ងាត់។
  • កំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេមូលដ្ឋានទិន្នន័យដើម្បីទទួលយកការតភ្ជាប់តែពីប្រព័ន្ធ i-Vu® Pro ប៉ុណ្ណោះ។ ម៉ាស៊ីនមេមូលដ្ឋានទិន្នន័យភាគច្រើនមានយន្តការបញ្ជីស ដើម្បីជួយសម្រួលដល់បញ្ហានេះ។

សុវត្ថិភាពឧបករណ៍ជាក់លាក់
ឧបករណ៍ដែលមានកម្មវិធីបញ្ជា drv_gen5 គាំទ្រជម្រើសសុវត្ថិភាពជាក់លាក់នៃឧបករណ៍ខាងក្រោម។

  • Configure the security settings on all service ports, as described in the Adjusting driver properties and controller setup through the Service Port section of your device’s technical instructions.
  • Network Time Protocol (NTP) – NTP ផ្តល់នូវមធ្យោបាយសុវត្ថិភាពជាងមុនក្នុងការរក្សានាឡិការបស់ឧបករណ៍ឱ្យមានភាពស៊ីសង្វាក់គ្នា។

ឧបសម្ព័ន្ធ A សទ្ទានុក្រម

  • BAS—A Building Automation System is a collection of BACnet and/or CCN devices, the i-Vu Pro server, and the network(s) they reside on.
  • LAN—A Local Area Network is a computer network that interconnects computers/devices within a limited area, such as an office building.
  • Firewall—A device that restricts network traffic. Firewall functionality is often combined with IP Router functionality in a single device. A firewall is configured with rules to define what kind of traffic is allowed or blocked. Personal computers and servers have firewall functionality built into them.
  • រ៉ោតទ័រ IP—An IP (Internet Protocol) device that connects two or more IP networks. Typically, an IP router connects a local network to the larger enterprise/Internet network.
  • រ៉ោតទ័រ NAT—An IP router that remaps IP addresses from one network to one or more IP addresses on another network. A NAT router is commonly used to connect devices on a private network to the Internet or an enterprise network, and it often has firewall and port forwarding capabilities.
  • ច្រក—A port is a 16-bit (0-65535) number associated with an IP address that defines an endpoint of a computer network connection. There are two types of ports, TCP and UDP. BACnet uses a UDP port. HTTP, HTTPS, and Alarm Notification Client use TCP ports. To manage access to a port in a firewall, you must know its number and type.
  • អាសយដ្ឋាន IP ឯកជន-អាសយដ្ឋាន IP នៅក្នុងជួរមួយក្នុងចំណោមជួរខាងក្រោម៖
    • 10.0.0.0 – ១
    • 172.16.0.0 – ១
    • 192.168.0.0 – ១
  • VLAN-បណ្តាញតំបន់និម្មិតមួយត្រូវបានបែងចែក និងដាច់ដោយការផ្លាស់ប្តូរបណ្តាញ IP (ឬរ៉ោតទ័រ)។ ជាធម្មតាវាមានប្រសិទ្ធភាពដូចការបំបែកបណ្តាញ។
  • VPN—A Virtual Private Network is a method for extending a private network across a public network, such as the Internet. A VPN enables users to send and receive data across shared or public networks as if their computing devices were directly connected to the private network, and they benefit from the functionality, security, and management policies of the private network.
  • បញ្ជីស- បញ្ជីអាសយដ្ឋាន IP ដែលមានតែមួយគត់ដែលត្រូវបានអនុញ្ញាតតាមរយៈជញ្ជាំងភ្លើង។ ឧបករណ៍ជញ្ជាំងភ្លើងកម្រិតខ្ពស់អាចមានបញ្ជីសផ្សេងគ្នាសម្រាប់ច្រក ឬពិធីការដែលបានផ្តល់ឱ្យ។

Appendix B Security checklist

សុវត្ថិភាពបណ្តាញរាងកាយ
Ensure proper measures are in place to protect and restrict access to the network hardware. See Physical network security (page 5).

ការរចនានិងការធ្វើផែនការ

  • បំបែកបណ្តាញអ្នកប្រើប្រាស់ និង BACnet ទាំងរូបវន្ត ឬជាមួយ VLAN ។
  • កំណត់សេណារីយ៉ូនៃការតភ្ជាប់អ៊ីធឺណិតសមស្រប។ សូមមើលសេណារីយ៉ូនៃការតភ្ជាប់អ៊ីនធឺណិត។
  • ប្រើ BACnet/SC នៅពេលដែលអាចធ្វើទៅបាន។ BACnet/SC អ៊ិនគ្រីបទំនាក់ទំនង BACnet លើបណ្តាញ ដើម្បីការពារការបង្ហាញព័ត៌មាន និងគាំទ្រការផ្ទៀងផ្ទាត់ឧបករណ៍ ដើម្បីការពារការក្លែងបន្លំ។

ការដំឡើង

  • ប្រសិនបើអ្នកមាន NICs ពីរ៖
    • Enter the i-Vu Pro user network IP address and subnet mask in SiteBuilder on the Configure  Preferences > Web Server tab.
    • បញ្ចូលអាសយដ្ឋាន IP បណ្តាញ i-Vu Pro BACnet និងរបាំងបណ្តាញរងនៅក្នុងចំណុចប្រទាក់ i-Vu Pro នៅលើ
  • Connections page > Configure tab.
    ប្រសិនបើប្រើសេណារីយ៉ូការតភ្ជាប់អ៊ីធឺណិត A៖
    • ផ្ទៀងផ្ទាត់ថាអាសយដ្ឋាន IP សម្រាប់ម៉ាស៊ីនមេ និងឧបករណ៍បញ្ជា i-Vu Pro គឺស្ថិតនៅក្នុងជួរអាសយដ្ឋាន IP ឯកជនមួយ។
  • ប្រសិនបើប្រើសេណារីយ៉ូនៃការភ្ជាប់អ៊ីនធឺណិត B៖
    • ផ្ទៀងផ្ទាត់ថាអាសយដ្ឋាន IP ឧបករណ៍បញ្ជាស្ថិតនៅក្នុងជួរអាសយដ្ឋាន IP ឯកជនមួយ។
    • ផ្ទៀងផ្ទាត់ថារ៉ោតទ័រ NAT ឬជញ្ជាំងភ្លើងដែលលាតត្រដាងម៉ាស៊ីនមេ i-Vu Pro បង្ហាញតែច្រក TCP 80 និង/ឬ 443 ប៉ុណ្ណោះ។
  • ប្រសិនបើប្រើសេណារីយ៉ូការតភ្ជាប់អ៊ីធឺណិត C:
    • ផ្ទៀងផ្ទាត់ថា រ៉ោតទ័រ NAT ឬជញ្ជាំងភ្លើងដែលលាតត្រដាងម៉ាស៊ីនមេ i-Vu Pro បង្ហាញតែច្រក TCP 80 និង/ឬ 443 និងច្រក UDP 47808 ប៉ុណ្ណោះ។
    • ផ្ទៀងផ្ទាត់ថា រ៉ោតទ័រ ឬជញ្ជាំងភ្លើង NAT នីមួយៗដែលប្រើ (សម្រាប់ទាំងម៉ាស៊ីនមេ និងឧបករណ៍បញ្ជានីមួយៗ) ត្រូវបានកំណត់រចនាសម្ព័ន្ធដោយបញ្ជីសសមរម្យនៃអាសយដ្ឋាន IP ដែលអនុញ្ញាតនៅក្នុងឧបករណ៍ភ្ជាប់អ៊ីនធឺណិតរបស់អ្នក ឬឧបករណ៍បញ្ជានីមួយៗត្រូវបានការពារដោយមុខងារជញ្ជាំងភ្លើង BACnet ខាងក្នុងរបស់វា។
    • សាកល្បងការការពារបញ្ជីសពីអ៊ីនធឺណិត។ ប្រើម៉ាស៊ីនមេ i-Vu Pro ដាច់ដោយឡែកនៅលើបណ្តាញសាធារណៈដោយប្រើ modstat ដូចជា “modstat mac:0,b:1.2.3.4” ។ បញ្ជាក់ថាអ្នកមិនអាចចូលប្រើឧបករណ៍បញ្ជាណាមួយនៃប្រព័ន្ធ។
    • ផ្លាស់ប្តូរឈ្មោះចូលអ្នកគ្រប់គ្រង ហើយបន្ថែមពាក្យសម្ងាត់។
    • ប្រសិនបើអ្នកកំពុងដំណើរការប្រព័ន្ធ pre-v6.5 សូមលុបគណនីអ្នកប្រើប្រាស់អនាមិកចេញ។
    • ផ្ទៀងផ្ទាត់ថាកម្មវិធីកំចាត់មេរោគរបស់ម៉ាស៊ីនមេ i-Vu Pro មានភាពទាន់សម័យ ហើយត្រូវបានកំណត់ដើម្បីធ្វើបច្ចុប្បន្នភាពដោយស្វ័យប្រវត្តិ។
    • កំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេមូលដ្ឋានទិន្នន័យដើម្បីទទួលយកការតភ្ជាប់តែពីកម្មវិធី i-Vu Pro ដោយប្រើបញ្ជីស។

បន្ទាប់​ពី​គណៈកម្មាការ

  • Enable the Advanced password policy and set the minimum password length to at least 8 characters.
  • On the System Options > System Settings > Security tab, verify that:
    • Allowing remote file management is not checked
    • Log off operators after __ (HH: MM) of inactivity is checked
    • Lock out operators for __ minutes after __ failed login attempts are checked
  • On SiteBuilder’s Configure > Preferences > Web Server tab, verify that the following are not checked:
    • Any TLS Level below “TLS 1.3”
    • Allow SOAP applications over HTTP
    • Allow unsigned add-ons
  • បិទការចូលប្រើច្រកសេវាឧបករណ៍ (ឧបករណ៍ drv_gen5 តែប៉ុណ្ណោះ)។ សូមមើលផ្នែកការចូលប្រើការកំណត់រចនាសម្ព័ន្ធនៃទំព័រកម្មវិធីបញ្ជាសុវត្ថិភាពរបស់ឧបករណ៍។
  • ប្រើ NTP (ឧបករណ៍ drv_gen5 តែប៉ុណ្ណោះ) ជាជាងការធ្វើសមកាលកម្ម BACnet ដើម្បីរក្សានាឡិការបស់ឧបករណ៍នៅក្នុងសមកាលកម្ម។

ការថែទាំប្រព័ន្ធ
ដំឡើងការអាប់ដេតកម្មវិធីចុងក្រោយបំផុត ដើម្បីរក្សាប្រព័ន្ធបច្ចុប្បន្នជាមួយនឹងការពង្រឹងសុវត្ថិភាពថ្មីៗបំផុត។

To quickly check the security measures in place
In the i-Vu Pro interface, use the Security Review រាយការណ៍​ទៅ view your system’s critical security compliance status. These settings are described in more detail in the document above.
The Security Review Report displays the following:

Web ម៉ាស៊ីនមេ Possible responses Recommendation for the most secure system
SSL Mode HTTP, HTTPS, ឬ HTTP & HTTPS HTTPS
TLS in use បាទ or ទេ បាទ (when SSL Mode is on or ទាំងពីរ)
ពិធីការ TLS លេខកំណែ TLS 1.3
TLS Redirect HTTP to HTTPS បាទ or ទេ បាទ (when SSL Mode is both)
Allow unsigned add-ons បាទ or ទេ ទេ
Allow SOAP over HTTP បាទ or ទេ ទេ
Reads X-Forwarded-For Header បាទ or ទេ ទេ
វិញ្ញាបនបត្រ Possible responses Recommendation for the most secure system
Self-signed certificate in use បាទឬអត់ ទេ
Certificate issued by Distinguished Name of the certificate signer certificate information, not a setting
Certificate expired បាទឬអត់ certificate information, not a setting
Certificate not yet valid បាទឬអត់ certificate information, not a setting
Certificate expires date and time the certificate becomes invalid certificate information, not a setting
  Possible responses Recommendation for the most secure system
អ៊ីមែល    
Secure SMTP is enabled on the email server បាទឬអត់ បាទ
ពាក្យសម្ងាត់    
Operators never logged in: លេខ 0
Operators’ last login > 180 days លេខ 0
Password policy enforced បាទឬអត់ បាទ
Exempt from password policy លេខ 0
បច្ចុប្បន្នភាព    
Latest cumulative update applied: គ្មាន or កាលបរិច្ឆេទ Keep the i-Vu Pro system and its operating system up to date with the latest patches.

ឯកសារ/ធនធាន

Carrier i-Vu Pro Simplify Building Management with Building Automation [pdf] ការណែនាំអ្នកប្រើប្រាស់
i-Vu Pro, i-Vu Pro Simplify Building Management with Building Automation, Simplify Building Management with Building Automation, Building Management with Building Automation, Management with Building Automation, Building Automation

ឯកសារយោង

ទុកមតិយោបល់

អាសយដ្ឋានអ៊ីមែលរបស់អ្នកនឹងមិនត្រូវបានផ្សព្វផ្សាយទេ។ វាលដែលត្រូវការត្រូវបានសម្គាល់ *