Напреден контролер на Honeywell Optimizer

Спецификации

• Производ: Напреден контролер
• Број на модел: 31-00594-03
• Оперативен систем: Нијагара оперативен систем
• Безбедносни карактеристики: код за потврда на сметката, системски сметки, враќање на лозинката, безбедна комуникација, сертификати
• Мрежна компатибилност: BACnetTM, LAN

Одрекување
Иако се трудиме да ја увериме точноста на овој документ, Honeywell не е одговорен за штети од кој било вид, вклучително и без ограничувања последователни штети кои произлегуваат од примената или употребата на информациите содржани овде. Информациите и спецификациите објавени овде се актуелни од датумот на ова објавување и се предмет на промена без најава. Најновите спецификации на производи може да се најдат на нашата webсајт или со контактирање на нашата корпоративна канцеларија во Атланта, Џорџија.
За многу индустриски комуникации базирани на RS-485, стандардниот статус се оневозможува во моментот на испорака надвор од фабриката за да се обезбеди најдобра безбедност, бидејќи тие наследни комуникациски автобуси користат стара технологија за најдобра компатибилност и тие се дизајнирани со слаба безбедносна заштита. Значи, за да се максимизира заштитата на вашиот систем, Honeywell проактивно ги оневозможи наследените индустриски порти за комуникација со автобус (до моментот на фабричка испорака), а корисникот треба експлицитно да ги овозможи мрежите во станицата на секоја мрежа. Ако сакате да ги овозможите овие пристаништа, треба да бидете свесни за ризикот од какви било безбедносни прекршувања предизвикани од употребата на стара технологија. Тие вклучуваат, но не ограничувајќи се на: Panel-bus, C-Bus, BACnetTM, M-Bus, CP-IO Bus, NovarNet, XCM-LCD протокол, SBC S-Bus и Modbus, итн.
Се развива според ISA-62443

Honeywell се потпираше на стандардот ISA 62443-4-1 со години и на применливите придружни стандарди за безбедно да ги развие нашите производи за градежна технологија. За прampле, градежните производи на Honeywell исто така користат ISA/IEC 62443-4-2 како основа за техничките безбедносни барања во рамките на компонентите, а ние користиме ISA/IEC 62443-3-3 за целосни системи. Така, за интеграторите и клиентите кои избираат градежни технологии, придржувањето на Honeywell до семејството на стандарди ISA/IEC 62443 може да обезбеди високо ниво на доверба дека нашите производи не само што тврдат дека се сајбер еластични - тие се дизајнирани, тестирани и потврдени за сајбер еластичност од самиот почеток.
Honeywell ги развива нашите производи според ISA/IEC 62443-4-1 и ние сме оценети од трета страна и ревидирани според овој стандард.
Вовед и наменета публика

Honeywell со ова изрично наведува дека неговите контролори не се инхерентно заштитени од сајбер напади од Интернет и дека затоа се наменети исклучиво за употреба во приватни мрежи. Сепак, дури и приватните мрежи сè уште можат да бидат предмет на малициозни сајбер напади од вешти и опремени ИТ поединци и затоа бараат заштита. Затоа, клиентите треба да ги усвојат упатствата за најдобри практики за инсталација и безбедност за производите базирани на IP на Advanced Plant Controller за да го ублажат ризикот од таквите напади.
Следниве упатства ги опишуваат Општите безбедносни практики за напредни производи засновани на IP контролер на растенија. Тие се наведени по редослед на зголемување на ублажувањето.

Точните барања на секоја локација треба да се оценуваат од случај до случај. Огромното мнозинство на инсталации што ги имплементираат сите нивоа на ублажување опишани овде ќе бидат многу повеќе од оние што се потребни за задоволителна безбедност на системот. Вклучувајќи ги ставките 1-5 (се однесуваат на локални мрежи), погледнете ја „Препорака за локални мрежи (LAN)“ на страница 20. генерално ќе ги исполни барањата за повеќето мрежни инсталации за контрола на автоматизација.
Овој прирачник содржи информации за насочување на персоналот во продавачот на Honeywell за тоа како безбедно да инсталираат и конфигурираат напреден контролер на постројки, HMI и IO модули. Информации поврзани со безбедноста за работењето, резервна копија и обновување на USB и CleanDist file инсталацијата на контролерот може да се најде во Упатството за инсталација и пуштање во работа (31-00584).

ЗАБЕЛЕШКА
Ве молиме одвојте време да ги прочитате и разберете сите релевантни прирачници за инсталација, конфигурација и работа и погрижете се редовно да ги добивате најновите верзии

Табела 1 Информации за производот

Производ	Број на производ	Опис
Контролор на растенија	N-ADV-134-H	Нијагара напреден контролер со четири порти за етернет, порта за HMI и 4 порти RS485
	N-ADV-133-H-BWA	Нијагара напреден контролер со четири порти за етернет, порта за HMI, 3 порти RS485, Wi-Fi (регионот Америка) и поддршка за BluetoothTM
	N-ADV-133-H-BWE	Нијагара напреден контролер со четири порти за етернет, порта за HMI, 3 порти RS485, Wi-Fi (регион Европа) и поддршка за BluetoothTM
	N-ADV-133-H-BWW	Нијагара напреден контролер со четири порти за етернет, порта за HMI, 3 порти RS485, Wi-Fi (регионот во остатокот од светот) и поддршка за BluetoothTM
	N-ADV-133-H	Нијагара напреден контролер со четири порти за етернет, порта за HMI и 3 порти RS485
	N-ADV-112-H	Нијагара напреден контролер со две порти за етернет, порта за HMI и 2 порти RS485
HMI	HMI-DN	HMI (DIN шина монтажа)
	HMI-WL	HMI (поставување на врата/ѕид)
IO модул	IO-16UIO-SS	16UIO IO модул без HOA, сериски комуникации, терминали со завртки
	IOD-16UIO-SS	16UIO IO модул со HOA дисплеј, сериски комуникации, терминали со завртки
	IO-16UI-SS	16UI IO модул, сериски соопштенија, терминали со завртки
	IO-16DI-SS	16DI IO модул, сериски соопштенија, терминали со завртки
	ИО-8ДОР-СС	8DO IO модул без HOA, C/O релеи, сериски комуникации, терминали со завртки
	IOD-8DOR-SS	8DO IO модул со HOA дисплеј, C/O релеи, сериски комуникации, терминали со завртки
	IO-16UIO-SP	16UIO IO модул со HOA дисплеј, сериски комуникации, притисни терминали
	IO-16UI-SP	16UIO IO модул, сериски комуникации, притисни терминали
	IO-16DI-SP	16DI IO модул, сериски комуникации, притисни терминали
	ИО-8ДОР-СП	8DO IO модул без HOA, C/O релеи, сериски комуникации, притисни терминали
	IOD-8DOR-SP	8DO IO модул со HOA дисплеј, C/O релеи, сериски комуникации, притисни терминали
	IO-8UIO-SS	8UIO IO модул без HOA, сериски комуникации, терминали со завртки

IO модул	IOD-8UIO-SS	8UIO IO модул со HOA дисплеј, сериски комуникации, терминали со завртки
	ИО-8АО-СС	8AO IO модул без HOA, сериски комуникации, терминали со завртки
	IOD-8AO-SS	8AO IO модул со HOA дисплеј, сериски соопштенија, терминали со завртки
	IO-4UIO-SS	4UIO IO модул без HOA, сериски комуникации, терминали со завртки
	IOD-4UIO-SS	4UIO IO модул со HOA дисплеј, сериски комуникации, терминали со завртки
	IO-8DI-SS	8DI IO модул, сериски соопштенија, терминали со завртки
	ИО-4ДОР-СС	4DO IO модул без HOA, C/O релеи, сериски комуникации, терминали со завртки
	IOD-4DOR-SS	4DO IO модул со HOA дисплеј, C/O релеи, сериски комуникации, терминали со завртки
	IO-4DORE-SS	4DO IO модул без HOA, подобрени C/O релеи, сериски комуникации, терминали со завртки
	IOD-4DORE-SS	4DO IO модул со HOA дисплеј, подобрени C/O релеи, сериски комуникации, терминали со завртки
	IO-8UIO-SP	8UIO IO модул без HOA, сериски комуникации, притисни терминали
	IOD-8UIO-SP	8UIO IO модул со HOA дисплеј, сериски комуникации, притисни терминали
	ИО-8АО-СП	8AO IO модул без HOA, сериски комуникации, притисни терминали
	IOD-8AO-SP	8AO IO модул со HOA дисплеј, сериски комуникации, притисни терминали
	IO-4UIO-SP	4UIO IO модул без HOA, сериски комуникации, притисни терминали
	IOD-4UIO-SP	4UIO IO модул со HOA дисплеј, сериски комуникации, притисни терминали
	IO-8DI-SP	8DI IO модул, сериски комуникации, притисни терминали
	ИО-4ДОР-СП	4DO IO модул без HOA, C/O релеи, сериски комуникации, притисни терминали
	IOD-4DOR-SP	4DO IO модул со HOA дисплеј, C/O релеи, сериски комуникации, притисни терминали
	IO-4DORE-SP	4DO IO модул без HOA, подобрени C/O релеи, сериски комуникации, притисни терминали
	IOD-4DORE-SP	4DO IO модул со HOA дисплеј, подобрени C/O релеи, сериски комуникации, притисни терминали

ЗОШТО ДА ГИ ОБЕЗБЕДУВАТЕ ВАШИТЕ НАПРЕДНИ КОНТРОЛЕРИ?

• Заштитете ги постројките на вашите клиенти од неовластени промени на работните поставки, отфрлања и временски распореди.
• Спречете пристап до деталите на корисничката сметка: на пр. кориснички имиња, лозинки, адреси на е-пошта, СМС (мобилни) броеви итн.
• Спречете пристап до комерцијално чувствителни податоци: прample- Метрика за потрошувачка на енергија, решенија за специјалистичка стратегија за контрола итн.
• Спречете неовластен пристап до контролорот, компјутерите и мрежите што хостираат BMS софтвер и контролни уреди.
• Одржувајте го интегритетот на податоците и обезбедете одговорност.

СИСТЕМОТ ЗАВРШЕНVIEW

На крајотview од типичната системска инсталација..

1. Интернет/интранет/корпоративна мрежа
   Ова е поедноставено, логично мрежно претставување на сите мрежи надвор од опсегот на системот за автоматизација на згради (BAS). Може да обезбеди пристап до интерфејсите за управување со BAS (на пр. примарната работна станица Нијагара web кориснички интерфејс), но мора да обезбеди пристап до Интернет, така што компјутерите на Нијагара можат да проверат и преземаат ажурирања на оперативниот систем и скенерот за вируси, освен ако не е обезбедено друго средство за тоа.
2. БАС мрежа
   Оваа мрежа се користи исклучиво за протоколи BAS, кои се состојат од BACnetTM/IP, BACnetTM/ Ethernet и сите протоколи што може да ги користат Niagara Integration Services на напреден контролер на постројки. Оваа мрежа не смее да биде иста мрежа како Интернет/интранет/корпоративна мрежа.
3. Заштитен ѕид на BAS
   За да се обезбеди дополнително раздвојување и заштита на BAS, мора да се користи заштитен ѕид помеѓу Интернет/интранет/корпоративна мрежа и кој било уред BAS што се поврзува со него, како што се примарната работна станица Нијагара, работните станици на Нијагара и Напредниот контролер на постројки. Овој заштитен ѕид го ограничува пристапот до BAS само на компјутери кои се овластени и може да помогне да се намали ризикот од напади, како што е напад со одбивање на услугата.
4. Работна станица Нијагара
   Примарната работна станица Нијагара е компјутер кој работи на софтверот Нијагара. Потребни се две мрежни врски - една за поврзување со управувањето web кориснички интерфејс преку а web прелистувач (обично на
   Интернет/интранет/корпоративна мрежа) и уште една за поврзување со мрежата БАС.
5. Преклопник на етернет
   Етернет прекинувач создава мрежи и користи повеќе порти за да комуницира помеѓу уредите во LAN. Етернет прекинувачите се разликуваат од рутерите, кои поврзуваат мрежи и користат само една LAN и WAN порта. Целосната жична и корпоративна безжична инфраструктура обезбедува жична врска и Wi-Fi за безжично поврзување.
6. Напреден контролер на растенија
   Напредниот контролер на постројки е глобален контролер што се поврзува со етернет мрежа, BACnetTM IP и хостирани мрежни сегменти MS/TP. MS/TP е врска со низок опсег што се користи за поврзување на контролери и сензори.
7. HMI
   HMI е поврзан и добива енергија од напредните контролори на постројката во Нијагара. Овие уреди се изградени со капацитивен екран на допир кој поддржува избор со гол прст и му овозможува на операторот функции да view, пристапете и решавајте ги точките на контролорот, IO модулите и другата поврзана опрема.
8. IO модул
   IO-модулите може да се поврзат со контролорот со помош на приклучоците за допир (напојување и комуникации) или IO-модулите може да се поврзат со адаптер за жици што ќе се напојува и ќе се поврзе со еден од интерфејсите RS485 на контролерот. IO модулите се програмираат со користење на постоечката инженерска алатка како што се ComfortPointTM Open Studio алатката и Niagara 4 Workbench.

МРЕЖНО ПЛАНИРАЊЕ И БЕЗБЕДНОСТ

1. Етернет мрежа
   Се препорачува етернет мрежата што ја користи системот BMS да биде одвоена од нормалната канцелариска мрежа.
   Exampле:
   Користење на воздушен јаз или виртуелна приватна мрежа. Физичкиот пристап до етернет мрежната инфраструктура мора да биде ограничен. Исто така, мора да се осигурате дека инсталацијата е во согласност со политиката за ИТ на вашата компанија.
   Напредните контролери не смеат да бидат директно поврзани на Интернет.
2. Web Сервер
   Напредниот контролер обезбедува и HTTP и HTTPS web сервери. Ако А web серверот не е потребен, се препорачува и двете web серверите се оневозможени.
3. BACnetTM IP мрежа
   Поради несигурната природа на протоколот BACnetTM, модулите за напреден контролер, HMI и IO што користат BACnetTM не смеат да бидат поврзани на Интернет под никакви околности. Системот за безбедност Advanced Controller не заштитува од пишувањето BACnetTM. Физичкиот пристап до мрежната инфраструктура BACnetTM IP мора да биде ограничен. Ако не се потребни BACnetTM IP комуникации, мрежниот модул Advanced Controllers (BACnetTMTM IP) мора да се оневозможи со поставување на параметарот „Disable Module“ на „1“.
   Доколку се потребни BACnetTMTM комуникации, строго се препорачува услугите BACnetTMTM Backup/Restore, Reinitialize Device и BACnetTMTM Writable да не се овозможени. Сепак, ова ќе значи дека креираната стратегија не е усогласена со BTL - погледнете во „Локална безбедност“ на страница 13.
4. MS/TP (NC лиценци)
   Физичкиот пристап до мрежната инфраструктура MS/TP мора да биде ограничен. Ако мрежата MS/TP не е потребна, мрежниот модул за напреден контролер (BACnetTM MSTP) мора да се оневозможи со поставување на параметарот „Оневозможи модул“ на „1“. IO Bus (CAN лиценци)
   Физичкиот пристап до IO Bus мора да биде ограничен.
5. USB
   Мора да се ограничи физичкиот пристап до USB Local Engineering Port за Advanced Controller.
6. RS485 (вклучувајќи лиценци за Modbus)
   Физичкиот пристап до портата RS485 на контролорот мора да биде ограничен. Доколку не е потребно, ниту еден мрежен модул поврзан на пристаништето не треба да биде вклучен во стратегијата.
7. Modbus IP мрежа (INT лиценци)
   Поради несигурната природа на протоколот Modbus, Напредните контролери кои поддржуваат IP IP на Modbus не смеат да бидат поврзани на Интернет под никакви околности. Физичкиот пристап до мрежната инфраструктура на IP на Modbus мора да биде ограничен. Ако не се потребни Modbus IP комуникации, мрежниот модул на Advanced Controller (Modbus IP) не треба да биде вклучен во стратегијата.

НАПРЕДЕН КОНТРОЛЕР, БЕЗБЕДЕН СИСТЕМ НА МОДУЛ HMI И IO

Безбедноста на напредните контролери е во согласност со ISA 62433-3-3 SL 3 и обезбедува безбедно подигање, автентицирана и шифрирана мрежа, шифрирање во мирување и синхронизирано управување со сметките.
За да добиете пристап до производите на Advanced Controller или да извршите некоја од горенаведените задачи, мора да се наведат важечко корисничко име и лозинка за сметка на инженерски систем или сметка на системот на уредот.

1. Безбедност кога е неконфигуриран
   За да комуницирате со напреден контролер, HMI и IO модули, мора да се обезбедат валидни ингеренции. Контролорот се испорачува од фабриката без никакви ингеренции (Системски сметки или кориснички модули) што гарантира дека при првото вклучување е заштитен од неовластен пристап. Првиот пат кога ќе се направи обид да се поврзе со vCNC во еден од напредните производи на мрежата Нијагара, мора да се создаде сметка на инженерски систем со администраторска улога.
2. Заштита од неовластени уреди
   Уникатен клуч (мрежен клуч) се користи за да се осигура дека само овластени уреди можат да се приклучат на мрежата Нијагара. Сите контролери што треба да формираат мрежа на Нијагара мора да го имаат истиот мрежен клуч и UDP порта. Тие се конфигурирани со помош на IP Tool за време на почетниот процес на конфигурација.
   Exampле:
   Ако четири напредни контролери на постројки имаат ист мрежен клуч (112233), а петтиот има различен мрежен клуч
   (222). Кога се поврзани на иста етернет мрежа, четирите контролери со ист мрежен клуч се спојуваат за да формираат единствена мрежа, но петтиот контролер нема да може да се приклучи на мрежата бидејќи има различен мрежен клуч, т.е. (222).
   Слично на тоа, ако петтиот контролер е нов (како што е испорачан од фабриката) и е додаден на мрежата на етернет, нема да може да се поврзе на мрежата Нијагара бидејќи нема мрежен клуч.
   1. Код за потврда на сметката
      Кога ќе се додаде административна системска сметка на еден од контролорите на мрежата, кодот за потврда на сметката автоматски се генерира од контролорот на кој е додадена Системската сметка. Овој код е синхронизиран со сите други контролери со истиот мрежен клуч и UDP порта на етернет мрежата.
      Откако ќе се генерира код за потврда на сметката СИТЕ контролери на мрежата МОРА да го имаат истиот код за потврда на сметката, како и истиот мрежен клуч и порта UDP.
      Example:
      Ако има пет контролери, сите напредни контролери го имаат истиот мрежен клуч. Четворица имаат ист код за потврда на сметката (AVC) и затоа формираат мрежа. Петтиот има различен код за потврда на сметката и иако го има истиот мрежен клуч, не може да се приклучи заедно со другите контролери.
3. Системски сметки
   Системските сметки им овозможуваат на луѓето и уредите да комуницираат со напредниот контролер. Дадениот пристап зависи од видот на сметката и улогата.
   Постојат два вида системски сметки:
   1. Сметка на инженерски систем
   2. Сметка на системот на уредот
   3. Сметка на инженерски систем
      Сметките на инженерскиот систем се наменети за употреба од страна на инженерите. Секоја инженерска системска сметка има име и лозинка на сметката кои мора да бидат доставени кога ќе ги побара контролорот. Доколку се дадени важечко корисничко име и лозинка, контролорот ќе дозволи пристап.

За секое лице мора да се креира посебна сметка за инженерски систем. Сметките на инженерскиот систем може да се постават на една од двете улоги:

• Инженерска улога
• Улога на администратор

Инженерска улога
Инженерската улога го обезбедува потребниот пристап за инженерство на Напредниот систем, креирање/управување со сметки на системот на уреди и за управување со деталите за сопствената сметка на корисникот (адреса на е-пошта, лозинка итн.).
Улога на администратор
Улогата на администратор обезбедува ист пристап како и инженерската улога, плус можност за управување со сите сметки за инженерство и системски уреди.

Сметка на системот на уредот
Сметките на системот на уреди се наменети да им овозможат на уредите како Нијагара да се поврзат на мрежата за да ги добијат потребните информации и да направат промени. Се препорачува да се создаде посебна Системска сметка на уредот за секој уред што треба да пристапи до мрежата. Тие имаат улога на „Супервизор“.

ВАЖНО
Важно: Сопствениот безбедносен систем на супервизорот мора да биде конфигуриран да ги ограничи правата за пристап на секој корисник на надзорникот.

Создавање системска сметка
Сметка на инженерски систем со администраторска улога мора да се создаде првиот пат кога ќе се направи обид за поврзување со vCNC на мрежата Нијагара. Оваа сметка потоа се синхронизира со другите контролери на мрежата Нијагара

• Видете во „Синхронизирано управување со сметки“ на страница 12. По потреба може да се креираат дополнителни сметки со помош на работната маса на Нијагара.

ЗАБЕЛЕШКА
Првиот пат кога ќе се креира сметка на инженерски систем во контролер, автоматски се генерира код за потврда на сметката и се синхронизира со другите контролери на етернет мрежата со истиот мрежен клуч и UDP порта. Кога контролорот има код за потврда на сметката, тој може да се приклучи на мрежа само со контролори кои го имаат истиот код за потврда на сметката – погледнете во „Кодот за потврда на сметката“ на страница 11.

Синхронизирано управување со сметки
Синхронизираното управување со сметки лесно и безбедно ги синхронизира системските сметки, вклучително и кодот за потврда на сметката, со сите напредни контролери на истата мрежа на Нијагара. Ова овозможува:

• Еднократно најавување за мрежата
• Намалени трошоци за конфигурирање и одржување на пристапот низ страницата без намалување на безбедноста Сите напредни контролери на истата мрежа ќе ги имаат истите системски сметки.

Кога напреден контролер без никакви системски сметки е поврзан на етернет мрежата и е конфигуриран со мрежниот клуч и UDP портот за мрежата Нијагара, тој ќе се приклучи на мрежата и автоматски ќе ги добие своите Системски сметки од другите контролери на мрежата Нијагара.

Exampле:
ако на системот погоре се додаде напреден контролер без никакви системски сметки и му се даде мрежниот клуч за мрежата Нијагара (112233) и портата UDP, тој ќе се приклучи на мрежата и ќе ги добие своите системски сметки (корисник 1, корисник 2, корисник 3) од другите напредни контролери на мрежата Нијагара.
Откако ќе заврши синхронизацијата, ќе биде можно да се поврзете со кој било vCNC, приказ web страници и најавете се на кој било Напреден контролер на мрежата Нијагара користејќи која било од Системските сметки.
Ако се направат промени на Системските сметки, т.е. додадена, избришана или уредена сметка, овие промени автоматски ќе се синхронизираат низ сите Напредни контролери на мрежата Нијагара.

Exampле:
ако има пет Напредни контролери, Системските сметки во контролорот (1) се уредуваат за да се отстрани корисникот 2, преименувај го корисникот 3 во корисник 3а и се додаде Корисникот 4, промените ќе се синхронизираат со контролор (2), контролер (3), контролер (4) и контролор (5).

ЗАБЕЛЕШКА:
Ако при синхронизацијата се открие конфликт, најновата промена има приоритет.

Промена на мрежен клуч за напреден контролер
Кога ќе се смени мрежен клуч за напреден контролер, сите негови системски сметки ќе бидат избришани и тој ќе биде отстранет од моменталната мрежа на Нијагара. Промената на мрежниот клуч мора да биде одобрена од валидна инженерска или администраторска системска сметка.
Откако ќе се изврши промената, ќе се приклучи на мрежата на Нијагара користејќи го новиот мрежен клуч, доколку постои, и ќе добие системски сметки од напредниот контролер на новата мрежа на Нијагара, под услов да ја има истата порта UDP.

Локална безбедност
Локалната безбедност користи локални корисници (Кориснички модули) за да дозволи пристап до Напредните контролери web страници или локално поврзан дисплеј и да ги контролирате информациите што се видливи или вредностите што може да се прилагодат.
За да добиете пристап и да направите промени, мора да се обезбедат важечко корисничко име и лозинка за локален корисник. Нивото на PIN на корисникот одредува кои параметри корисникот може да ги види и прилагоди.

ЗАБЕЛЕШКА
Локалните корисници НЕ се синхронизирани со други напредни контролери на мрежата Нијагара.

Пристап до Web Страници
Пристап до контролорот web страниците се заштитени со безбедносниот систем Advanced Controller. Кога на контролорот web се пристапува до серверот a web се прикажува страница која обезбедува некои основни информации и му овозможува на корисникот да се најави – погледнете во „Почетен пристап“ на страница 13.
Корисниците кои се најавуваат ќе се третираат како најавени корисници – погледнете во „Најавени корисници“ на страница 14. и корисници кои пристапуваат до web страниците без најавување ќе добијат пристап како што е опишано во „Почетен пристап“ на страница 13.

Почетен пристап
Кога на контролорот web На серверот прво му се пристапува на прикажаната страница за добредојде и даден пристап зависи од тековната безбедносна конфигурација на контролорот:

• Без сметки на инженерскиот систем и без кориснички модули (фабрички стандардно)
• Се прикажува страницата „Добре дојдовте“ и целосен пристап до контролорот web ќе бидат дадени страници и можност за правење промени.

ЗАБЕЛЕШКА
Бидејќи нема сметки на инженерски систем или кориснички модули, нема да биде можно да се најавите.

Сметки на инженерски систем и без кориснички модули
Се прикажува страницата „Добре дојдовте“, а контролорот ќе дава пристап само до сензорот, дигиталниот влез, копчето, прекинувачот, драјверот, распоредот, распоредот за време, времето, модулите за заплетот, дневникот за аларм и графиката и нема да дозволи промени.

ЗАБЕЛЕШКА
Ќе биде можно да се најавите користејќи ги сметките на инженерскиот систем.

• Сметки на инженерски систем и кориснички модули
  Почетниот приказ и пристапот се контролирани од корисничките модули. Ако има кориснички модул наречен „Гостин“ без лозинка кога напредниот контролер web до страниците се пристапува без да се најавите, контролорот ќе ги даде правата за пристап (корисничко ниво, почетна страница и view стандардно) одредено од модулот „Гостин“ корисник.
  Стандардно, корисничкиот модул „Гост“ обезбедува пристап само до страницата „Добредојдовте“ и има корисничко ниво од „0“. Ова значи дека корисникот што пристапува до контролорот без да се најави ќе може само view страницата „Добредојдовте“. Со цел да се даде поголем пристап, корисникот „Гост“ може да се конфигурира на ист начин како и секој друг кориснички модул од тип 0.

ЗАБЕЛЕШКА:
Работната маса на Нијагара спречува на корисникот „Гост“ да му се даде лозинка, PIN или корисничко ниво повисоко од „0“. Дозволува почетна страница и view стандардно да се конфигурира.

Силно се препорачува гостинскиот корисник да ја остави стандардната конфигурација (корисничко ниво „0“ и не view права).
Ако нема кориснички модул наречен „Гостин“ или е конфигуриран со лозинка, страницата „Добре дојдовте“ се прикажува и контролорот ќе даде пристап само до сензорот, дигиталниот влез, копчето, прекинувачот, драјверот, распоредот, временскиот распоред, модулите за време, заговорот, дневникот за аларм и графиката и нема да дозволи промени.

ЗАБЕЛЕШКА
Ќе биде можно да се најавите користејќи ги сметките на инженерскиот систем и сите постоечки кориснички модули.

Најавени корисници
За да се најавите на напреден контролер web страници мора да се внесат корисничко име и лозинка што се совпаѓаат со една од сметките на инженерскиот систем на напреден контролер или кориснички модули Тип 0.

Враќање на лозинка
Ако корисникот ја заборавил лозинката, може да се врати со користење на работната маса на Нијагара. За детали за враќање на заборавената лозинка со помош на Нијагара, видете го Упатството за употреба на работната маса на Нијагара.

ОБЕЗБЕДУВАЊЕ НА ОПЕРАТИВНИОТ СИСТЕМ НА НИЈАГАРА

 Општа добра практика
Следете ги општите добри практики за обезбедување на оперативниот систем како што се:

• Заштитник на екранот со лозинка
• Софтвер за шифрирање на диск

Поставување на заштитен ѕид
Оперативниот систем мора да биде конфигуриран да користи заштитен ѕид кој автоматски се ажурира. Конфигурацијата мора да го спречи пристапот (IN/OUT) за сите порти освен оние за кои е потребен пристап, НЕ оставајте отворени неискористени порти.

Верзија на оперативен систем
МОРА да осигурате дека секој уред што работи со апликации на Нијагара или е поврзан на истата IP мрежа ги има инсталирано најновите ажурирања на оперативниот систем. Добра практика е да се осигурате дека Windows Updates се оставени автоматски и тие се инсталирани навремено.

Заштита од вирус
МОРА да се осигурате дека сите компјутери што ги извршуваат апликациите на Нијагара или се поврзани на истата IP мрежа користат софтвер за заштита од вируси и дека дефинициите за вируси се ажурирани.

 Заштита од упади
Се препорачува употреба на систем за откривање на упад (IDS) од реномиран снабдувач на безбедносни производи на кој било компјутер што ја користи апликацијата Нијагара. Следете ги најдобрите практики за избраните производи, како и секоја корпоративна ИТ политика каде што се врши инсталацијата.
Многу производи IDS и заштитен ѕид нудат комплетно решение за снимање на целиот сообраќај што влегува и излегува од компјутерот, обезбедувајќи им на корисниците можност да ја снимаат целата активност на најниско ниво.

РЕГУЛАТИВА ЗА ЗАШТИТА НА ПОДАТОЦИ ОПШТИ (GDPR)

Општата регулатива за заштита на податоците (ЕУ) 2016/679 (GDPR) е регулатива во правото на ЕУ за заштита на податоците и приватноста за сите поединечни граѓани на Европската унија (ЕУ) и Европската економска област (ЕЕА). Исто така, се однесува на преносот на лични податоци надвор од областите на ЕУ и ЕЕА. GDPR содржи одредби и барања поврзани со обработката на личните податоци на поединци (субјекти на податоци) во рамките на ЕЕА и се применува на секое претпријатие основано во ЕЕА (без оглед на нејзината локација и државјанството на субјектите на податоците) или што ги обработува личните информации на субјектите на податоците во ЕЕА.
Според условите на GDPR, личните податоци ги вклучуваат сите информации што може да се користат за идентификација на поединец. Ова вклучува (но не е ограничено на):

• кориснички имиња,
• лозинки,
• телефонски броеви,
• е-пошта адреси,
• адреси на работа или на живеење.

Секоја таква информација внесена во Напредниот контролер, HMI и IO модулот е шифрирана и складирана на Напредните производи во просториите на клиентот. Honeywell нема никаква вклученост во складирањето и/или обработката на личните податоци во рамките на напредните производи на Honeywell.
Одговорноста за усогласеност со барањата на GDPR е целосно на системскиот интегратор или системскиот администратор и, како такви, тие мора да обезбедат дека се воспоставени соодветни технички и организациски системи за:

• да добие експлицитна согласност од секој субјект на податоци за личните податоци да се чуваат, користат и/или обработуваат,
• им овозможи на поединците да имаат пристап до нивните лични податоци со цел да се потврди точноста,
• им овозможи на поединците да ја повлечат својата согласност во секое време и нивните лични податоци да бидат трајно избришани,
• одржувајте ја безбедноста и интегритетот на складирањето на податоците и пристапот во секое време,
• пријавете ги сите прекршувања на безбедноста на податоците (кои може да влијаат на приватноста на корисникот) до релевантниот орган во рок од 72 часа од настанувањето на прекршувањето.

БЕЗБЕДНА КОМУНИКАЦИЈА

Инфраструктурата со јавен клуч (PKI) поддржува дистрибуција и идентификација на јавни клучеви за шифрирање што се користат за заштита на размената на податоци преку мрежи, како што е Интернет. PKI го потврдува идентитетот на другата страна и го шифрира вистинскиот пренос на податоци. Потврдата на идентитетот обезбедува неотфрлена гаранција за идентитетот на серверот. Шифрирањето обезбедува доверливост при мрежен пренос. Барањето потпишани кодни модули гарантира дека во системот работи само очекуваниот код.

За да обезбеди безбедни мрежи користејќи PKI, Нијагара го поддржува протоколот TLS (Transport Layer Security), верзии 1.0, 1.1 и 1.2. TLS го заменува својот претходник, SSL (Secure Sockets Layer).
Секоја инсталација на Нијагара автоматски создава стандарден сертификат, кој овозможува врската веднаш да се шифрира. Сепак, овие сертификати генерираат предупредувања во прелистувачот и Workbench и генерално не се погодни за крајните корисници. Создавањето и потпишувањето на сопствени дигитални сертификати овозможува беспрекорна употреба на TLS во прелистувачот и обезбедува и шифрирање, како и автентикација на серверот.
Надвор од безбедноста на комуникацијата, секој модул на компјутерски код што работи во системот е заштитен со дигитален потпис. Додадените програмски објекти бараат овој потпис или тие не работат.

Потврдувањето на серверот, шифрирањето на преносот и обезбедувањето дека само потпишаните кодови се извршуваат не ги обезбедуваат податоците зачувани на уред за складирање. Сè уште треба да го ограничите физичкиот пристап до компјутерите и контролорите кои управуваат со вашиот модел на зграда, да поставите автентикација на корисникот со силни лозинки и безбедни компоненти со контролирање на дозволите.
Нијагара стандардно поддржува и користи безбедна комуникација и потпишан код. Не треба да купувате дополнителна лиценца.
Безбедноста е постојана грижа. Иако ќе најдете многу вредни информации во темите за безбедна комуникација, очекувајте идни ажурирања и промени.
Подолу се безбедните комуникации. За повеќе детали погледнете го водичот за безбедност на станицата Нијагара.

• Односи со клиент/сервер
• Сертификати
• Продавници за сертификати
• Структура на папката за ООП
• Поставен сертификат
• Волшебник за сертификати
• Потпишување повеќе сертификати
• Конфигурирање на безбедна платформа за комуникација
• Конфигурирање на безбедна комуникација на станицата
• Овозможување клиенти и нивно конфигурирање за правилната порта
• Инсталирање копија на станица на друга платформа
• Обезбедување на е-пошта
• Безбедно решавање проблеми во комуникацијата

Односи со клиент/сервер
Односите клиент/сервер ги идентификуваат врските кои бараат заштита. Односите на клиент/сервер на работната маса варираат во зависност од тоа како го конфигурирате и користите системот. Workbench е секогаш клиент. Платформата е секогаш сервер. Станицата може да биде клиент и сервер.
Системските протоколи кои управуваат со комуникациите се:

• Врските на платформата од Workbench (клиент) до контролорот или Supervisor PC платформата демон (сервер) користат Нијагара. Сигурната врска со платформата понекогаш се нарекува platformtls. Овозможувате platformtls користејќи ја Администрацијата на платформата view.
• Врските на локалната станица (надзорник и платформа) користат Foxs. Овие врски ги овозможувате во FoxService на станицата (Config > Services > FoxService).
• Врските со прелистувачи користат Https, како и Foxs ако користите Web Стартувач со WbWebПроfile. Овие врски ги овозможувате користејќи ги станиците WebУслуга (Конфиг > Услуги > WebСервис).
• Врски на клиентот со серверот за е-пошта на станицата, доколку е применливо. Овозможувате безбедна е-пошта користејќи ја услугата за е-пошта на станицата (Конфиг > Услуги > Услуга за е-пошта).

СЕРТИФИКАТИ
Сертификатот е електронски документ кој користи дигитален потпис за врзување на јавен клуч со лице или организација. Сертификатите може да служат за различни цели во зависност од тоа како ја конфигурирате сопственоста на сертификатот Key Usage. Нивната примарна цел во овој систем е да го потврдат идентитетот на серверот за да може да и се верува на комуникацијата. За повеќе детали, погледнете го Водичот за безбедност на станицата Нијагара - сертификат.
Нијагара ги поддржува овие типови на сертификати:

• Сертификат CA (Certificate Authority) е самопотпишан сертификат кој припаѓа на CA. Ова може да биде трето лице или компанија која служи како сопствен CA.
• Корен сертификат CA е самопотпишан CA сертификат чиј приватен клуч се користи за потпишување други сертификати создавајќи доверливо стебло на сертификати. Со неговиот приватен клуч, root CA сертификат може да се извезе, да се складира на USB-уред на палецот во сеф и да се извади само кога треба да се потпишат сертификатите. Приватниот клуч на root CA сертификат бара создавање лозинка при извоз и обезбедување на истата лозинка кога ја користите за потпишување други сертификати.
• Среден сертификат е CA сертификат потпишан од root CA сертификат кој се користи за потпишување сертификати на серверот или други посредни сертификати CA. Користењето на средни сертификати изолира група сертификати за сервери.
• Серверскиот сертификат ја претставува серверската страна на безбедна врска. Додека можете да поставите посебен сертификат за секој протокол (Foxs, Https, Webс). Иако можете да конфигурирате платформа и станица (како сервер) со посебни сертификати за сервер, за едноставност, повеќето системи обично го користат истиот сертификат за серверот.
• Сертификатот за потпишување код е сертификат што се користи за потпишување на програмски објекти и модули. Системските интегратори го користат овој сертификат за да спречат воведување на злонамерен код кога ја прилагодуваат рамката.

Самопотпишани сертификати
Сертификат кој е самопотпишан е оној кој стандардно е потпишан со користење на сопствен приватен клуч наместо со приватниот клуч на root CA (Certificate Authority) сертификат.
Системот поддржува два типа на самопотпишани сертификати:

• Сертификатот за root CA е имплицитно доверлив бидејќи не постои повисок авторитет од CA (Автор за сертификати) што го поседува овој сертификат. Поради оваа причина, CA, чија работа е да ги одобруваат туѓите сертификати, внимателно ги чуваат нивните основни сертификати CA и приватните клучеви. Исто така, ако вашата компанија служи како сопствен CA, треба внимателно да го чувате root сертификатот CA што го користите за потпишување други сертификати.
• Стандарден, самопотпишан сертификат: Првиот пат кога ќе стартувате примерок од Workbench, платформа или станица по инсталацијата (пуштање во работа), системот создава стандарден, самопотпишан сертификат за сервер со алијас тридиум.

ЗАБЕЛЕШКА:
Не извезувајте го овој сертификат и увезете го во која било продавница на друга платформа или станица. Иако е можно, тоа ја намалува безбедноста и ја зголемува ранливоста.
За да се минимизира ризикот од напад од човек во средината кога користите самопотпишани сертификати, сите ваши платформи треба да бидат содржани во безбедна приватна мрежа, офлајн и без јавен пристап од Интернет.

ВНИМАНИЕ
За да користите самопотпишани сертификати, пред да пристапите на платформата или станицата од Workbench за прв пат, проверете дали вашиот компјутер и платформата не се на некоја корпоративна мрежа или на Интернет. Откако ќе се исклучите, поврзете го компјутерот директно со платформата, отворете ја платформата од Workbench и одобрите го неговиот самопотпишан сертификат. Само тогаш треба повторно да ја поврзете платформата со корпоративна мрежа.

Конвенција за именување
Продавницата за кориснички клучеви, продавницата за доверба на корисници и продавницата за доверба на системот го формираат срцето на конфигурацијата. Сертификатите изгледаат многу слично, а различните стандардни самопотпишани сертификати се именувани идентично.

Продавници за сертификати
Управувањето со сертификати користи четири складишта за управување со сертификати: Продавница за кориснички клучеви, Продавница за доверба на системот, продавница за доверба на корисници и листа на дозволени домаќини.
Продавницата за кориснички клучеви е поврзана со серверската страна на односот клиент-сервер. Оваа продавница поседува сертификати, секој со своите јавни и приватни клучеви. Дополнително, оваа продавница го содржи самопотпишаниот сертификат првично создаден кога го стартувавте Workbench или ја подигнавте платформата за прв пат.
Продавниците за доверба на корисникот и системот се поврзани со клиентската страна на односот клиент-сервер. System Trust Store е претходно наполнет со стандардни јавни сертификати: root CA сертификати од познати авторитети за сертификати, како што се VeriSign, Thawte и Digicert. Продавницата за доверба на корисници има root CA и посредни сертификати за компании кои служат како сопствен авторитет за сертификати.
Списокот на дозволени домаќини содржи сертификат(и) на сервер за кои не постои доверлив root CA сертификат во системот на клиентот или во продавниците за доверба на корисници, но сепак сертификатите на серверот се одобрени за употреба. Ова ги вклучува серверите за кои името на домаќинот на серверот не е исто со Заедничкото име во сертификатот на серверот. Вие ја одобрувате употребата на овие сертификати на индивидуална основа. Додека комуникацијата е безбедна, подобро е да користите потпишани сертификати на серверот.

Енкрипција
Енкрипцијата е процес на кодирање на пренос на податоци за да не можат да бидат прочитани од недоверливи трети страни. TLS користи шифрирање за пренос на податоци помеѓу клиентот и серверот. Иако е можно да се направи нешифрирана врска користејќи ги само протоколите fox или http, вие сте силно охрабрени да не ја следите оваа опција. Без шифрирање, вашите комуникации се потенцијално предмет на напад. Секогаш прифаќајте ги стандардните врски на Foxs или Https.

БЕЗБЕДНОСНАТА ТАБЛА ЗАВРШЕVIEW
Во Niagara 4.10u5 и подоцна, функцијата за безбедносна контролна табла обезбедува (за администраторот и другите овластени корисници) птичја перспектива view на безбедносната конфигурација на вашата станица. Ова ви овозможува лесно да ја следите безбедносната конфигурација во многу услуги на станицата и да ги идентификувате сите слабости во безбедносната конфигурација на станицата.

ВНИМАНИЕ
Контролната табла за безбедност View може да не ги прикажува сите можни безбедносни поставки и не треба да се смета како гаранција дека сè е безбедно конфигурирано. Особено, модулите од трети страни може да имаат безбедносни поставки кои не се регистрираат на контролната табла.

Контролната табла за безбедност view е главната view на службата за безбедност на станицата. На view ве предупредува за безбедносни слабости како што се лошите поставки за јачина на лозинката; истечени, самопотпишани или неважечки сертификати; нешифрирани транспортни протоколи, итн., што укажува на области каде што конфигурацијата треба да биде посигурна. Другите пријавени податоци вклучуваат: здравје на системот, број на активни сметки, неактивни сметки, број на сметки со дозволи за супер-корисници, итн. По избор, атрибутот „систем“ на функцијата за лиценца „securityDashboard“ може да се постави на „true“ за да се овозможи системот View на станицата која обезбедува безбедносни детали за секоја подредена станица во мрежата Нијагара.
Безбедносната контролна табла е главната view за Службите за безбедност. За целосни детали за view, Погледнете во „nss-SecurityDashboardView“ во Водичот за безбедност на станицата Нијагара.

ПЛАНИРАЊЕ И ИНСТАЛАЦИЈА

Овој дел вклучува информации за планирање и изведување на инсталација на Advanced Plant Controller.

Препорачана инсталација и конфигурација
Следниот дел илустрира две препорачани конфигурации за инсталација.

• Само BACnetTM
• BACnetTM и Нијагара

Само BACnetTMBACnetTM
Кога Advanced Plant Controller се користи само за BACnetTM комуникации, поврзете само Ethernet 1 на мрежата BAS каде што ќе работи BACnetTM (BACnetTM/IP или BACnetTM/Ethernet).

BACnetTM и Нијагара
Кога Niagara се користи на Advanced Plant Controller, тој може да биде конфигуриран да дава услуги, како на пр. web услуги или Niagara FOXS, на интернет/интранет/корпоративна мрежа. Ако е така, поврзете го Ethernet 2 на интернет/интранет/корпоративна мрежа преку заштитниот ѕид на BAS за да обезбедите услуги на таа мрежа.

Препорака за локални мрежи (LAN).
Погрижете се системите да работат на соодветна политика за лозинка за кориснички пристап до сите услуги. Ова упатство би вклучувало, но не е ограничено на:

1. Употреба на силни лозинки.
2. Препорачано време за циклус на лозинка.
3. Единствени кориснички имиња и лозинки за секој корисник на системот.
4. Правила за откривање на лозинка.
5. Ако е потребен далечински пристап до системи за контрола на зградите базирани на ИТ, користете ја технологијата VPN (Виртуелна приватна мрежа) за да го намалите ризикот од следење податоци и да ги заштитите контролните уреди од директно поставување на Интернет.

ДОКУМЕНТАЦИЈА

Документацијата е од суштинско значење за снимање на информациите за дизајнот и конфигурацијата потребни за одржување на безбеден систем.

Документирајте физички уреди и конфигурации, вклучувајќи клучни информации поврзани со безбедноста
Целата документација за уредите и конфигурациите мора да вклучува информации поврзани со безбедноста за да се воспостават и одржуваат предвидените безбедносни контроли. За прampле, ако се направат промени на стандардните услуги или порти на напредниот контролер на постројки, тогаш јасно документирајте ги за да може поставките да се обноват во одреден момент во иднина.

Документирајте ги надворешните системи, особено интеракцијата помеѓу Advanced Plant Controller и неговите поврзани системи
BAS вообичаено бара или користи надворешни системи за функционално, како што се постоечката мрежна инфраструктура, VPN пристап, хостови за виртуелни машини и заштитни ѕидови. Ако BAS бара тие системи да се конфигурираат на одреден начин за безбедност, како што е заштитен ѕид што дозволува или одбива одредени порти или мрежа што дозволува пристап до одредени системи, тогаш мора да ги документирате овие информации. Ако овие системи треба да се обноват во одреден момент во иднина, прample: поради дефект на опремата или треба да се направат промени на надворешните системи, прample: надградба на заштитен ѕид, откако ќе ги документирате овие информации ќе ви помогне да се вратите на претходното безбедносно ниво.

КОНТРОЛА НА ПРИСТАП И ФИЗИЧКА БЕЗБЕДНОСТ
Контролата на пристап вклучува специфицирање и ограничување на пристапот до уредите или функциите само за овластени корисници.

Физички обезбедете го Напредниот контролер на постројки, HMI и IO модулот
Спречете неовластен пристап до мрежната опрема што се користи заедно со системите обезбедени од Honeywell. Со кој било систем, спречувањето физички пристап до мрежата и опремата го намалува ризикот од неовластени пречки. Најдобрите безбедносни практики со ИТ инсталации ќе осигурат дека собите на серверот, лепенките и ИТ опремата се во заклучени простории. Опремата Honeywell треба да се инсталира во заклучени контролни ормари, кои самите се наоѓаат во обезбедени простории на фабриката.

Налепница над таблата за пристап до контролорот или куќиштето
Пријавете се наampевидентна налепница над напредниот контролер на постројки, HMI и IO модулот за пристапен панел или куќиште
Ако на клиентот му треба дополнително уверување дека физичкиот пристап кој штити напреден контролер на постројки, HMI и IO модул не е внесен, тогаш инсталирајте наampевидентно заптивка или налепница над пристапната точка.

Одвојување и заштита на мрежите

1. Користете заштитен ѕид помеѓу Интернет/интранет/корпоративна мрежа и BAS.
2. Користете посебна посветена физичка мрежа (посебни жици) или виртуелна мрежа (VLAN) за BACnetTM комуникација. Ова мора да биде посебна мрежа од Интернет/интранет/корпоративна мрежа.
3. Не поврзувајте EN2 на напредниот контролер на постројки со која било мрежа освен ако не ви требаат услуги на Нијагара (платформа, станица и/или Webсервер). Ако навистина треба да го поврзете EN2 на Интернет/интранет/корпоративна мрежа, тогаш мора да користите надворешен заштитен ѕид BAS помеѓу напредниот контролер на постројки и интер-мрежа/интранет/корпоративна мрежа.

Безжична безбедност

1. Корисникот треба повторноview безбедност на безжичната мрежа базирана на мрежна топологија, осигурувајќи дека нема ненамерна изложеност на јавниот ИНТЕРНЕТ и дека заштитата на заштитен ѕид BAS не е заобиколена.
2. Неопходно е секогаш да се усвојуваат највисоките достапни безжични безбедносни технологии, како што се WPA2 или WPA3. Дополнително, корисниците мора безбедно да ги заштитат своите лозинки, вклучувајќи, но не ограничувајќи се на лозинки за Wi-Fi и PIN-кодови BluetoothTM. Никогаш не дозволувајте контролорот да се поврзе со отворена безжична мрежа или да поставува отворена безжична пристапна точка.
3. Секогаш избегнувајте поврзување на неовластени уреди на безжичната мрежа или воспоставување BluetoothTM конекции за да спречите потенцијални експлоатирања.
4. Одговорност на корисникот е редовно да се реview безбедносни поставки, менувајте ги лозинките или шифрите според безбедносната политика и следете ги поврзаните уреди на безжичната мрежа и подмрежите. Корисниците исто така треба да ги документираат овие ревизорски активности.

ОБЕЗБЕДУВАЊЕ НА НАПРЕДНИОТ КОНТРОЛЕР, HMI И IO МОДУЛ

1. Ингеренциите за сметката на администраторот на системот доставени до корисникот на страницата
   Ингеренциите на Системската сметка „Администратор“ мора да му се достават на сопственикот на страницата за да му се овозможи да управуваат со системските сметки.
2. Развивање програма за безбедност
   Видете ја „Најдобрата пракса за општа безбедност“
3. Физичко и еколошки предвид
   Напредниот контролер, HMI и IO модулот мора да се инсталираат во заклучена средина, на пр. лоцирана во заштитена просторија на фабриката или заклучен кабинет.

ЗАБЕЛЕШКА
Обезбедете соодветна вентилација.

Безбедносни ажурирања и сервисни пакети
Проверете дали напредниот контролер, HMI и модулот IO ја извршуваат најновата верзија на фирмверот.

КОРИСНИЦИ И ЛАЗИНКИ

Корисници
Осигурете се дека бројот на корисници и нивоата на пристап се соодветни за активностите што треба да ги извршуваат.

• На ниво на уред на контролорот, конфигурирајте ги системските сметки или корисниците во контролорите за Web клиент, Супервизор и пристап до Peer-to-peer.
  Конфигурирање на кориснички модули во Напредните контролери, тоа значи дека корисникот ќе мора да се најави на уред со валидни ингеренции пред да може да се направат прилагодувања. Осигурајте се дека се доделени соодветни права за пристап за системските сметки и корисници.
• Користете различна сметка за секој корисник
  Користете уникатни имиња и лозинки за секој корисник/сметка на системот, наместо генерички пристап. Различни луѓе никогаш не треба да споделуваат иста сметка. За прampнаместо општа „менаџерска“ сметка која многу менаџери би можеле да ја користат, секој менаџер треба да има своја, посебна сметка.

Постојат многу причини за секој корисник да има своја индивидуална сметка:

Ако секое лице има своја сметка, дневниците за ревизија ќе бидат поинформативни. Ќе биде лесно да се одреди точно кој корисник што направил. Ова може да помогне да се открие дали сметката е компромитирана.

ЗАБЕЛЕШКА
Не сите производи имаат уред за евиденција за ревизија, но таму каде што е достапно не треба да се оневозможи.

• Ако сметката е отстранета или изменета, тоа не предизвикува непријатности за многу луѓе. За прampЛе, ако некое лице повеќе не треба да има пристап, бришењето на неговиот индивидуален пристап е едноставно. Ако се работи за споделена сметка, единствените опции се да ја смените лозинката и да ги известите сите или да ја избришете сметката и да ги известите сите. Оставањето на сметката како што е не е опција - целта е да се отповика пристапот.
• Ако секој човек има своја сметка, многу е полесно да се прилагодат дозволите за прецизно да се задоволат неговите потреби. Споделената сметка може да доведе до тоа луѓето да имаат повеќе дозволи отколку што треба.
  Заедничка сметка значи споделена лозинка. Исклучително лоша безбедносна практика е споделувањето лозинки. Тоа ја прави многу поголема веројатноста за протекување на лозинката и го отежнува спроведувањето на одредени најдобри практики за лозинка, како што е истекувањето на лозинката.
• Користење на единствени инженерски корисници за проекти
  Вообичаена практика е некои компании да користат исти детали за сметката за секој проект. Откако ќе се знае дали еден систем е компромитиран, напаѓачот потенцијално би можел да има ингеренции за пристап до многу други проекти инсталирани од истата компанија.
• Оневозможете ги познатите сметки кога е можно
  Некои производи имаат стандардни сметки. Тие треба да се конфигурираат така што лозинката повеќе не е стандардна.
• Доделете ги минималните потребни дозволи за корисниците
  Осигурете се дека на системот се поставени само потребните сметки со минимални потребни нивоа на безбедност наместо целосен пристап. Кога креирате нова сметка, размислете што треба да прави лицето во системот, а потоа доделете ги минималните дозволи потребни за таа работа. За прampле, на некој што треба само да гледа аларми не му треба администраторски пристап. Давањето дозволи што не се потребни ја зголемува можноста за нарушување на безбедноста. Корисникот може ненамерно (или намерно) да ги промени поставките што не треба да ги менува.
• Користете го минималниот можен број на сметки на системски администратор
  Доделете ги дозволите на системските администратори само кога е апсолутно неопходно. Овој тип на сметка е исклучително моќна сметка - овозможува целосен пристап до сè. Само администраторот на системот треба да има пристап до сметката. Размислете и за обезбедување на Системскиот администратор две сметки, една за дневен пристап за управување со секојдневните активности и втора сметка за пристап на високо ниво која е потребна само кога се потребни промени во типот на администрацијата.

Лозинки
Системот и оперативните системи Нијагара ги користеа Напредните производи на Honeywell користат лозинки за автентикација на „корисниците“ во супервизор, дисплеј, алатка или оперативни системи. Особено е важно правилно да се ракува со лозинките. Некористењето на ова најпочетно ниво на безбедност ќе значи дека секој ќе пристапи до системот преку екран, web клиентот или супервизорот ќе имаат пристап да направат прилагодувања. Осигурајте се дека системот Нијагара работи во соодветна политика за лозинка за кориснички пристап, ова упатство ќе вклучува, но не е ограничено на:

• Употреба на силни лозинки – Треба да се користат силни лозинки. Погледнете ги најновите безбедносни стандарди за детали за тоа што значи силна лозинка.
• Препорачано време за циклус на лозинка – Некои производи на Нијагара му дозволуваат на администраторот на системот да одреди период после кој мора да се смени лозинката. Иако не сите производи во моментов го спроведуваат овој период за промена на лозинката, политиката на страницата може да го препорача ова.
• Правила за откривање на лозинката – Корисникот МОРА да се погрижи да не ги открива деталите за своето корисничко име и лозинка на други и да не ги запишува.

КОНФИГУРИРАЊЕ НА НАПРЕДЕН КОНТРОЛЕР НА РАСТЕНИЈАТА
За конфигурација на напреден контролер на постројка, погледнете ги упатствата за инсталација и упатството за пуштање во работа
(31-00584). Погледнете го водичот за возачот HMI (31-00590) за HMI, и Водичот за возачот на таблата автобус (31-00591) за IO-модулот.

Креирајте и одржувајте конфигурации за основна линија
Создадете и одржувајте основна линија на конфигурации на Advanced Plant Controller кои се правилно конфигурирани за безбедност. Погрижете се оваа основна линија да вклучува и DCF files и Niagara компоненти. Не поставувајте несигурни конфигурации на основната линија за да спречите ненамерно нивно применување во иднина. Ажурирајте ја секоја релевантна документација кога ќе се променат конфигурациите.

 Променете ги стандардните лозинки
Променете ги сите стандардни лозинки: лозинка за конфигурација на конзолата, лозинката за резервна копија/Врати/Рестартирај/Контрола и лозинката на платформата Нијагара. Кога го завршувате пуштањето во работа, проверете дали уредот е заштитен со лозинка. Осигурајте се дека се доделени соодветни кориснички нивоа за корисниците на страницата.

Дополнителни размислувања

Договор за ниво на услуга
Донесете соодветна политика за ажурирање за инфраструктурата инсталирана на локацијата како дел од договор за ниво на услуга. Оваа политика треба да вклучува, но не е ограничена на, ажурирање на следните компоненти на системот до најновото издание:

• Фирмвер на уреди за контролер, IO модули, HMI итн.;
• Супервизорски софтвер, како што е софтверот Arena NX;
• Оперативни системи на компјутер/сервер;
• Мрежна инфраструктура и сите системи за далечински пристап.

Конфигурација на ИТ мрежа
Конфигурирајте посебни ИТ мрежи за системи за контрола на автоматизација и корпоративна ИТ мрежа на клиентот. Ова може да се постигне со конфигурирање на VLAN (виртуелни LAN) во рамките на ИТ инфраструктурата на клиентот или со инсталирање на посебна мрежна инфраструктура со воздушна празнина посветена на системите за контрола на автоматизацијата.
Кога се поврзувате со контролори користејќи централизиран системски надзорник (Прample: Niagara) и каде што системот не бара директен пристап до поединечните уреди web серверот, мрежната инфраструктура треба да биде конфигурирана да ограничува web пристап до серверот.
Динамичките VLAN-и кои користат распределба на MAC адреса може да заштитат од неовластено поврзување на уред во системот и може да го намалат ризикот поврзан со индивидуалните информации за следење на мрежата.

КОНФИГУРИРАЊЕ НА БАСНИОТ заштитен ѕид

Следната табела ги опишува мрежните порти што се користат во напредниот контролер на постројки. Видете во поглед на „Системот завршиview” на страница 8. за ексampархитектура за инсталација. Табелата ги има следните колони:

• Стандардна порта и протокол (TCP или UDP)
• Цел на пристаништето
• Дали треба да се смени стандардната порта или не
• Дали треба да се дозволат дојдовни врски или сообраќај преку заштитниот ѕид на BAS
• Дополнителни белешки се наведени под табелата

Табела 2 Конфигурирање на заштитниот ѕид на BAS

Стандардно Порта/Протокол	Цел	Промена од стандардно?	Да се ​​дозволи преку BAS Firewall?	Белешки
80/TCP	HTTP	бр	бр
443/TCP	HTTP	бр	Можно е, ако web потребен е пристап од Интернет/интранет/корпоративна мрежа.	1
1911/TCP	Fox (небезбедна верзија на протоколот за апликација Нијагара)	Да	бр
4911/TCP	Fox + SSL (безбедна верзија на протоколот за апликација Нијагара)	Да	бр
3011/TCP	NiagaraD (небезбедна верзија на протоколот на платформата Нијагара)	Да	бр
5011/TCP	NiagaraD + SSL (безбедна верзија на протоколот на платформата Нијагара)	Да	бр
2601/TCP	Приклучок за конзола Зебра	бр	бр	2
2602/TCP	RIP конзолна порта			2
47808/UDP	BACnetTM/IP мрежна врска	Да	бр	3

ЗАБЕЛЕШКА

1. Ако директно далечински web корисничкиот интерфејс е поддржан, тогаш оваа порта мора да биде дозволена преку заштитниот ѕид на BAS.
2. Портата автоматски се отвора од овој демон и оваа функционалност не може да се оневозможи. Демонот е конфигуриран да не дозволува никакви најавувања преку оваа порта.
3. Следете ги упатствата за конфигурација на мрежата наведени во ова упатство, така што Advanced Plant Controller никогаш нема да треба да го пренесува UDP сообраќајот преку заштитниот ѕид на BAS.

ПОСТАВУВАЊЕ НА АВТЕНТИКАЦИЈАТА

Шемата за автентикација на Google е механизам за автентикација со два фактори што бара од корисникот да ја внесе својата лозинка, како и токен за еднократна употреба кога се најавува на станица. Ова ја штити сметката на корисникот дури и ако неговата лозинка е компромитирана.
Оваа шема за автентикација се потпира на TOTP (Time-based OneTime Password) и апликацијата Google Authenticator на мобилниот уред на корисникот за да генерира и потврди токени за автентикација за еднократна употреба. Автентикацијата на Google се заснова на време, така што нема зависност од мрежната комуникација помеѓу мобилниот уред на корисникот, станицата или надворешните сервери. Бидејќи автентикаторот е заснован на време, времето во станицата и времето во телефонот мора да бидат релативно синхронизирани. Апликацијата обезбедува тампон од плус или минус 1.5 минути за да го земе предвид искривувањето на часовникот.
Предуслови: За мобилниот телефон на корисникот е потребна апликацијата Google Authentication. Работите во Workbench. Корисникот постои во базата на податоци на станицата.

Постапка

1. Отворете ја палетата gauth и додајте GoogleAuthenticationScheme во јазолот Services > Authenticationsservice во дрвото Nav.
2. Кликнете со десното копче на корисникот сервис и кликнете двапати на корисникот во табелата. Уредувањето view за корисникот се отвора.
3. Конфигурирајте го својството Име на шема за автентикација во GoogleAuthenticationScheme и кликнете Зачувај.
4. Кликнете на копчето веднаш до тајниот клуч под автентикаторот на корисникот и следете ги инструкциите.
5. За да ја завршите конфигурацијата, кликнете Зачувај. Во зависност од view што го користите, можеби ќе треба повторно да го отворите корисникот или да го освежите по зачувувањето.

СИСТЕМСКА ИСПОРАКА
Овој дел содржи информации што мора да ги дадете кога BAS се доставува до сопственикот на системот.

• Документација која вклучува безбедносни информации, поставки за конфигурација, кориснички имиња и лозинки на администрацијата, планови за катастрофи и обновување и процедури за резервна копија и обновување.
• Обука на крајните корисници за задачите за одржување на безбедноста.

USB резервна копија и чистење FILE ИНСТАЛАЦИЈА
Корисникот мора да ја заштити лозинката што се користи за ципање и отпакување на контролерот. Избегнувајте споделување на фразите за лозинка и ингеренциите на контролорот за време на процесот на резервна копија или обновување.
USB резервна копија и CleanDist file информациите за инсталација може да се најдат во Упатството за инсталација и пуштање во работа – 31-00584.

РАСПАЃАЊЕ НА СИСТЕМ
Чувствителните податоци треба да се избришат од единиците што се извадени од употреба и тоа може да се направи со ресетирање на фабричките поставки. Упатете се на копче за сервисирање/Сервисен аларм LED и CleanDist file инсталација од Упатство за инсталација и пуштање во работа – 31-00584.

ЗАБЕЛЕШКА
The CleanDist file процедурата може да се изврши фабрички сет со инсталирање на clean4 file.

НАПРЕДНА БЕЗБЕДНОСТ НА ПРОИЗВОДИ ЗАСНОВАНИ НА НИЈАГАРА
За напредните производи на Honeywell кои се засновани на рамки на Niagara N4 и Niagara AX (на пр. Напреден контролер на растенија, HMI и IO модул), мора да ги следите советите на Tridium за обезбедување на рамката Нијагара.
Постојат голем број промени во конфигурацијата што може да се направат на Нијагара, кои може да се направат за да се зголеми безбедноста на напредните производи на Honeywell.

• Користете ја функцијата за јачина на лозинката
• Овозможете ја функцијата за заклучување на сметката
• Лозинки кои истекуваат
• Користете ја историјата на лозинка
• Користете ја функцијата за ресетирање на лозинката
• Оставете го полето „Запомни ги овие акредитиви“ нештиклирано
• Променете ја стандардната системска лозинка
• Користете TLS за да ја поставите системската лозинка
• Изберете силна системска лозинка
• Заштитете ја системската лозинка
• Осигурете се дека сопственикот на платформата ја знае лозинката на системот
• Користете различна сметка за секој корисник на платформата
• Користете уникатни имиња на сметки за секој проект
• Погрижете се сопственикот на платформата да ги знае ингеренциите на платформата
• Користете различна сметка за секој корисник на станицата
• Користете единствени сметки за тип на услуга за секој проект
• Оневозможете ги познатите сметки кога е можно
• Поставете привремени сметки да истекуваат автоматски
• Променете ги акредитивите на сметката за типот на системот
• Не дозволувајте истовремени сесии кога е соодветно
• Конфигурирајте улоги со минимални потребни дозволи
• Доделете минимум потребни улоги на корисниците
• Користете го минималниот можен број на супер корисници
• Потребни се супер кориснички дозволи за објекти на програмата
• Користете ги минималните потребни дозволи за надворешни сметки
• Користете шема за автентикација соодветна за типот на сметката
• Отстранете ги непотребните шеми за автентикација
• TLS и управување со сертификати
• Инсталација на модулот
• Потребни се потпишани објекти на програмата и роботи
• Оневозможи SSH и SFTP
• Оневозможете ги непотребните услуги
• Безбедно конфигурирајте ги потребните услуги
• Ажурирајте го Niagara 4 до најновото издание
• Инсталирајте производ на безбедна локација
• Осигурете се дека станиците се зад VPN
• Достапни се специфични технички публикации кои мора да се следат за да се осигура дека системот е заклучен што е можно посигурно. Постојат многу опции како што се шифрирање SSL и дополнителни чекори за заштита на елементите како што се програмските модули, за повеќе детали погледнете во Tridium webсајт за Нијагара 4 Водич за стврднување (за производи базирани на Нијагара N4) и Водич за стврднување на Нијагара (производи базирани на Нијагара AX).

Материјалот во овој документ е само за информативни цели. Содржината и опишаниот производ се предмет на промена без претходна најава. Honeywell не дава никакви изјави или гаранции во врска со овој документ. Во никој случај Honeywell нема да биде одговорен за технички или уреднички пропусти или грешки во овој документ, ниту пак ќе биде одговорен за каква било штета, директна или случајна, произлезена или поврзана со користењето на овој документ. Ниту еден дел од овој документ не смее да се репродуцира во каква било форма или на кој било начин без претходна писмена дозвола од Honeywell.
Ханивел | Автоматизација на зградата

715 Peachtree Street, NE,

• Атланта, Џорџија, 30308, Соединети Американски Држави.
• https://buildings.honeywell.com/us/en
• ® регистрирана трговска марка во САД
• ©2024 Honeywell International Inc. 31-00594-03 Rev. 12-24

ЛИСТА ЗА ПРОВЕРЛИВА ЗА БЕЗБЕДНОСТ НА ИНСТАЛАЦИЈАТА

• Напреден уред за контролер на постројки: ________________________________________________________________
• Опис на напреден контролер на постројки: _________________________________________________________________
• Напреден контролер на постројки Локација: _________________________________________________________________________________
• Инсталатор:________________________________________________________
• Датум: _________________________________

Завршете ги следните безбедносни задачи за секој инсталиран Напреден контролер на постројки

• Инсталирајте заштитен ѕид помеѓу напредниот контролер на постројки и надворешната мрежа(и). Видете „BACnet и Нијагара“ на страница 19.
• Физички прицврстете го Напредниот контролер на растенијата. Погледнете во „Физички прицврстете го напредниот контролер на постројки, HMI и IO модулот“ на страница 22.
• Променете ја стандардната лозинка во единствена лозинка за секое од следново: Конфигурација на конзолата, Бекап/Враќање/Рестартирање/Контрола и платформата Нијагара. Видете Упатство за инсталација и Водич за пуштање во работа – 31-00584
• Ако А web потребен е сервер, а потоа конфигурирајте го да работи само во режим HTTPS. Видете Упатство за инсталација и Водич за пуштање во работа – 31-00584

Web Статус на серверот: оневозможен / овозможен.
If web услугата е овозможена, пополнете го следново:

• Поставете Http Enabled = неточно.
• Поставете Https Enabled = точно.
• Поставете само Https = точно.
• Конфигурирајте го заштитниот ѕид на BAS. Видете во „Конфигурирање на заштитниот ѕид на BAS“ на страница 26.
• Обезбедете ги сите потребни податоци на сопственикот на системот BAS при испораката. Погледнете во „Поставување автентикација“ на страница 27.

Најчесто поставувани прашања

• Зошто е важно обезбедувањето на напредниот контролер?
  Обезбедувањето на контролорот помага да се спречи неовластен пристап, да се заштитат чувствителните податоци и да се обезбеди сигурност на системот.
• Како можам да ја повратам мојата лозинка?
  За да ја вратите лозинката, следете го процесот на враќање на лозинката наведен во прирачникот. Ова обично вклучува проверка на информациите за вашата сметка.

Документи / ресурси

Напреден контролер на Honeywell Optimizer [pdf] Упатство за користење 31-00594-03, Напреден контролер за оптимизатор, напреден контролер, контролер

Референци

• Упатство за употреба