Kontenut ħabi
1 Kontrollur Avvanzat tal-Ottimizzatur tal-Honeywell
2 SISTEMA OVERVIEW
3 IPPJANAR U SIGURTÀ TAN-NETWERK
4 SISTEMA TA' SIGURTÀ TAL-KONTROLLUR AVVANZAT, HMI, U MODULU IO
5 NIŻGURAW IS-SISTEMA OPERATTIVA NIAGARA
6 REGOLAMENT ĠENERALI DWAR IL-PROTEZZJONI TAD-DATA (GDPR)
7 KOMUNIKAZZJONI SIGURA
8 IPPJANAR U INSTALLAZZJONI
9 DOKUMENTAZZJONI
10 L-ASSIGURAZZJONI TAL-KONTROLLUR AVVANZAT, L-HMI, U L-MODULU IO
11 UTENTI U PASSWORDS
12 KONFIGURAZZJONI TAL-BAS FIREWALL
13 IT-TWAQQIF TAL-AWENTIKAZZJONI
14 FAQ
15 Dokumenti / Riżorsi
15.1 Referenzi
16 Karigi Relatati

Honeywell-LOGO

Kontrollur Avvanzat tal-Ottimizzatur tal-Honeywell

PRODOTT tal-Kontrollur Avvanzat tal-Ottimizzatur tal-Honeywell

Speċifikazzjonijiet

  • Prodott: Kontrollur Avvanzat
  • Numru tal-Mudell: 31-00594-03
  • Sistema Operattiva: Sistema Operattiva Niagara
  • Karatteristiċi ta' Sigurtà: Kodiċi ta' Verifika tal-Kont, Kontijiet tas-Sistema, Irkupru tal-Password, Komunikazzjoni Sikura, Ċertifikati
  • Kompatibilità tan-Netwerk: BACnet™, LAN

Ċaħda
Filwaqt li ħdimna għal sforzi biex niżguraw l-eżattezza ta’ dan id-dokument, Honeywell mhijiex responsabbli għal danni ta’ kwalunkwe tip, inklużi mingħajr limitazzjonijiet danni konsegwenzjali li jirriżultaw mill-applikazzjoni jew l-użu tal-informazzjoni li tinsab hawnhekk. L-informazzjoni u l-ispeċifikazzjonijiet ippubblikati hawnhekk huma aġġornati mid-data ta’ din il-pubblikazzjoni u huma soġġetti għal tibdil mingħajr avviż. L-aħħar speċifikazzjonijiet tal-prodott jistgħu jinstabu fuq is-sit elettroniku tagħna. websit jew billi tikkuntattja l-uffiċċju korporattiv tagħna f'Atlanta, Georgia.
Għal ħafna komunikazzjonijiet industrijali bbażati fuq l-RS-485, l-istatus awtomatiku huwa li jiġi diżattivat fil-ħin tal-ġarr 'il barra mill-fabbrika biex tiġi żgurata l-aħjar sigurtà, għaliex dawk ix-xarabanks ta' komunikazzjoni legati jużaw teknoloġija legata għall-aħjar kompatibilità u ġew iddisinjati bi protezzjoni ta' sigurtà dgħajfa. Għalhekk, biex timmassimizza l-protezzjoni tas-sistema tiegħek, Honeywell iddiżattivat b'mod proattiv il-portijiet ta' komunikazzjoni tax-xarabank industrijali legati (sal-ħin tal-ġarr mill-fabbrika), u l-utent irid jippermetti espliċitament in-netwerks fl-Istazzjon ta' kull netwerk. Jekk trid tippermetti dawn il-portijiet, trid tkun konxju tar-riskju ta' kwalunkwe ksur tas-sigurtà miġjub mill-użu ta' teknoloġija legata. Dawn jinkludu iżda mhux limitati għal: Panel-bus, C-Bus, BACnetTM, M-Bus, CP-IO Bus, NovarNet, protokoll XCM-LCD, SBC S-Bus u Modbus, eċċ.
Żvilupp għal ISA-62443

Honeywell ilha tiddependi fuq l-istandard ISA 62443-4-1 għal ħafna snin u standards akkumpanjanti applikabbli biex tiżviluppa l-prodotti tat-teknoloġija tal-bini tagħna b'mod sigur. PereżempjuampJiġifieri, il-prodotti tal-bini Honeywell jużaw ukoll l-ISA/IEC 62443-4-2 bħala l-linja bażi għar-rekwiżiti tas-sigurtà teknika fil-komponenti, u aħna nużaw l-ISA/IEC 62443-3-3 għal sistemi kompluti. Għalhekk, għall-integraturi u l-klijenti li jagħżlu t-teknoloġiji tal-bini, l-aderenza ta' Honeywell mal-familja tal-istandards ISA/IEC 62443 tista' tipprovdi livell għoli ta' kunfidenza li l-prodotti tagħna mhux biss jgħidu li huma reżiljenti għaċ-ċibersigurtà – ġew iddisinjati, ittestjati, u vvalidati għar-reżiljenza ċibernetika mill-bidu.
Honeywell tiżviluppa l-prodotti tagħna skont l-ISA/IEC 62443-4-1 u ġejna vvalutati minn parti terza u awditjati skont dan l-istandard.
Introduzzjoni u Udjenza Maħsuba

Honeywell b'dan tiddikjara espressament li l-kontrolluri tagħha mhumiex intrinsikament protetti kontra attakki ċibernetiċi mill-Internet u li għalhekk huma maħsuba biss għall-użu f'netwerks privati. Madankollu, anke netwerks privati ​​xorta jistgħu jkunu soġġetti għal attakki ċibernetiċi malizzjużi minn individwi tal-IT b'ħiliet u mgħammra u għalhekk jeħtieġu protezzjoni. Il-klijenti għalhekk għandhom jadottaw il-linji gwida tal-aħjar prattiki ta' installazzjoni u sigurtà għal prodotti bbażati fuq l-IP tal-Advanced Plant Controller biex jimmitigaw ir-riskju li joħolqu attakki bħal dawn.
Il-linji gwida li ġejjin jiddeskrivu l-Aħjar Prattiki Ġenerali tas-Sigurtà għal prodotti bbażati fuq Advanced Plant ControllerIP. Dawn huma elenkati skont l-ordni ta' mitigazzjoni dejjem tiżdied.

Ir-rekwiżiti eżatti ta' kull sit għandhom jiġu vvalutati każ b'każ. Il-maġġoranza l-kbira tal-installazzjonijiet li jimplimentaw il-livelli kollha ta' mitigazzjoni deskritti hawn se jkunu ferm ogħla minn dak meħtieġ għal sigurtà sodisfaċenti tas-sistema. Bl-inkorporazzjoni tal-punti 1-5 (relatati man-Netwerks taż-Żona Lokali), Irreferi għar-"Rakkomandazzjoni tan-Netwerks taż-Żona Lokali (LAN)" f'paġna 20. ġeneralment jissodisfaw ir-rekwiżiti għall-biċċa l-kbira tal-installazzjonijiet tan-netwerk ta' kontroll tal-awtomazzjoni.
Dan il-manwal fih informazzjoni biex tiggwida lill-persunal f'negozjant ta' Honeywell dwar kif jinstalla u jikkonfigura b'mod sigur Kontrollur Avvanzat tal-Pjanti, moduli HMI u IO. Informazzjoni relatata mas-sigurtà dwar l-operazzjoni, backup u restawr tal-USB, u CleanDist. file L-installazzjoni tal-kontrollur tista' tinstab fl-Istruzzjonijiet tal-Installazzjoni u l-Gwida tal-Kummissjonar (31-00584).

NOTA
Jekk jogħġbok ħu l-ħin biex taqra u tifhem il-manwali rilevanti kollha tal-installazzjoni, il-konfigurazzjoni u t-tħaddim u kun żgur li tikseb regolarment l-aħħar verżjonijiet.

Tabella 1 Informazzjoni dwar il-Prodott

Prodott Numru tal-Prodott Deskrizzjoni
 

 

 

 

 

 

Kontrollur tal-Pjanti

 N-ADV-134-H Kontrollur avvanzat Niagara b'erba' portijiet Ethernet, Port għal HMI, u 4 portijiet RS485
 

N-ADV-133-H-BWA

 Kontrollur avvanzat Niagara b'erba' portijiet Ethernet, Port għal HMI, 3 portijiet RS485, Wi-Fi (reġjun tal-Ameriki), u appoġġ Bluetooth™
 

N-ADV-133-H-BWE

 Kontrollur avvanzat Niagara b'erba' portijiet Ethernet, Port għal HMI, 3 portijiet RS485, Wi-Fi (reġjun tal-Ewropa), u appoġġ Bluetooth™
 

N-ADV-133-H-BWW

 Kontrollur avvanzat Niagara b'erba' portijiet Ethernet, Port għal HMI, 3 portijiet RS485, Wi-Fi (reġjun tal-bqija tad-dinja), u appoġġ Bluetooth™
N-ADV-133-H Kontrollur avvanzat Niagara b'erba' portijiet Ethernet, Port għal HMI, u 3 portijiet RS485
N-ADV-112-H Kontrollur avvanzat Niagara b'żewġ portijiet Ethernet, Port għal HMI, u 2 portijiet RS485
 

HMI

 HMI-DN HMI (immuntar fuq binarju DIN)
HMI-WL HMI (Immuntar mal-Bieb/Ħajt)
 

 

 

 

 

 

 

 

 

 

Modulu IO

 IO-16UIO-SS Modulu IO 16UIO mingħajr HOA, Komunikazzjonijiet Serjali, Terminali bil-Kamin
IOD-16UIO-SS Modulu IO 16UIO b'Wiri HOA, Komunikazzjonijiet Serjali, Terminali bil-Viti
IO-16UI-SS Modulu IO 16UI, Komunikazzjonijiet Serjali, Terminali bil-Kamin
IO-16DI-SS Modulu IO 16DI, Komunikazzjonijiet Serjali, Terminali bil-Kamin
IO-8DOR-SS Modulu IO 8DO mingħajr HOA, Relays C/O, Komunikazzjonijiet Serjali, Terminali bil-Kamin
IOD-8DOR-SS Modulu IO 8DO b'Wiri HOA, Relays C/O, Komunikazzjonijiet Serjali, Terminali bil-Kamin
IO-16UIO-SP Modulu IO 16UIO b'Wiri HOA, Komunikazzjonijiet Serjali, Terminali Push
IO-16UI-SP Modulu IO 16UIO, Komunikazzjonijiet Serjali, Terminali Push
IO-16DI-SP Modulu IO 16DI, Komunikazzjonijiet Serjali, Terminali Push
IO-8DOR-SP Modulu IO 8DO mingħajr HOA, Relays C/O, Komunikazzjonijiet Serjali, Terminali Push
IOD-8DOR-SP Modulu IO 8DO b'Wiri HOA, Relays C/O, Komunikazzjonijiet Serjali, Terminali Push
IO-8UIO-SS Modulu IO 8UIO mingħajr HOA, Komunikazzjonijiet Serjali, Terminali bil-Kamin
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Modulu IO

 IOD-8UIO-SS Modulu IO 8UIO b'Wiri HOA, Komunikazzjonijiet Serjali, Terminali bil-Viti
IO-8AO-SS Modulu 8AO IO mingħajr HOA, Komunikazzjonijiet Serjali, Terminali bil-Kamin
IOD-8AO-SS Modulu 8AO IO b'Wiri HOA, Komunikazzjonijiet Serjali, Terminali bil-Kamin
IO-4UIO-SS Modulu IO 4UIO mingħajr HOA, Komunikazzjonijiet Serjali, Terminali bil-Kamin
IOD-4UIO-SS Modulu IO 4UIO b'Wiri HOA, Komunikazzjonijiet Serjali, Terminali bil-Viti
IO-8DI-SS Modulu IO 8DI, Komunikazzjonijiet Serjali, Terminali bil-Kamin
IO-4DOR-SS Modulu IO 4DO mingħajr HOA, Relays C/O, Komunikazzjonijiet Serjali, Terminali bil-Kamin
IOD-4DOR-SS Modulu IO 4DO b'Wiri HOA, Relays C/O, Komunikazzjonijiet Serjali, Terminali bil-Kamin
IO-4DORE-SS Modulu 4DO IO mingħajr HOA, Relays C/O Msaħħa, Komunikazzjonijiet Serjali, Terminali bil-Kamin
IOD-4DORE-SS Modulu 4DO IO b'Displej HOA, Relays C/O Msaħħa, Komunikazzjonijiet Serjali, Terminali bil-Kamin
IO-8UIO-SP Modulu 8UIO IO mingħajr HOA, Komunikazzjonijiet Serjali, Terminali Push
IOD-8UIO-SP Modulu IO 8UIO b'Wiri HOA, Komunikazzjonijiet Serjali, Terminali Push
IO-8AO-SP Modulu 8AO IO mingħajr HOA, Komunikazzjonijiet Serjali, Terminali Push
IOD-8AO-SP Modulu 8AO IO b'Wiri HOA, Komunikazzjonijiet Serjali, Terminali Push
IO-4UIO-SP Modulu 4UIO IO mingħajr HOA, Komunikazzjonijiet Serjali, Terminali Push
IOD-4UIO-SP Modulu IO 4UIO b'Wiri HOA, Komunikazzjonijiet Serjali, Terminali Push
IO-8DI-SP Modulu IO 8DI, Komunikazzjonijiet Serjali, Terminali Push
IO-4DOR-SP Modulu IO 4DO mingħajr HOA, Relays C/O, Komunikazzjonijiet Serjali, Terminali Push
IOD-4DOR-SP Modulu IO 4DO b'Wiri HOA, Relays C/O, Komunikazzjonijiet Serjali, Terminali Push
IO-4DORE-SP Modulu 4DO IO mingħajr HOA, Relays C/O Msaħħa, Komunikazzjonijiet Serjali, Terminali Push
IOD-4DORE-SP Modulu IO 4DO b'Displej HOA, Relays C/O Mtejba, Komunikazzjonijiet Serjali, Terminali Push

GĦALIEX GĦANDEK TIPPROTEĠI L-KONTROLLURI AVVANZATI TIEGĦEK?

  • Ipproteġi s-sistemi tal-impjant tal-klijent tiegħek minn bidliet mhux awtorizzati fil-punti stabbiliti tat-tħaddim, overrides u skedi tal-ħin.
  • Ipprevjeni l-aċċess għad-dettalji tal-kont tal-utent: eż. usernames, passwords, indirizzi tal-email, numri tal-SMS (mobbli) eċċ.
  • Prevenzjoni tal-aċċess għal dejta kummerċjalment sensittiva: Eż.ampMetriċi tal-konsum tal-enerġija, soluzzjonijiet ta' strateġija ta' kontroll speċjalizzati eċċ.
  • Ipprevjeni aċċess mhux awtorizzat għall-kontrollur, kompjuters u netwerks li jospitaw softwer tal-BMS u apparati ta' kontroll.
  • Żomm l-integrità tad-dejta u agħti r-responsabbiltà.

SISTEMA OVERVIEW

Kontrollur Avvanzat tal-Ottimizzatur ta' Honeywell (1)

Il fuqview tal-installazzjoni tipika tas-sistema..

  1. Internet/intranet/netwerk korporattiv
    Din hija rappreżentazzjoni simplifikata u loġika tan-netwerk tan-netwerks kollha barra mill-ambitu tas-sistema ta' awtomazzjoni tal-bini (BAS). Tista' tipprovdi aċċess għall-interfejsijiet tal-ġestjoni tal-BAS (eż. l-istazzjon tax-xogħol primarju ta' Niagara) web interfaċċja tal-utent) iżda jrid jipprovdi aċċess għall-Internet sabiex il-kompjuters Niagara jkunu jistgħu jiċċekkjaw u jniżżlu aġġornamenti tas-sistema operattiva u tal-iskanner tal-virus sakemm ma jiġix provdut mezz ieħor biex dan isir.
  2. Netwerk tal-BAS
    Din in-netwerk tintuża biss għall-protokolli BAS, li jikkonsistu minn BACnetTM/IP, BACnetTM/Ethernet, u kwalunkwe protokoll li jistgħu jużaw in-Niagara Integration Services fuq Advanced Plant Controller. Din in-netwerk m'għandhiex tkun l-istess netwerk bħan-netwerk tal-Internet/intranet/korporattiv.
  3. Firewall tal-BAS
    Biex tiġi pprovduta separazzjoni u protezzjoni addizzjonali lill-BAS, irid jintuża firewall bejn l-Internet/intranet/netwerk korporattiv u kwalunkwe apparat BAS li jikkonnettja miegħu, bħall-workstation primarja ta' Niagara, il-workstations ta' Niagara, u l-Advanced Plant Controller. Dan il-firewall jillimita l-aċċess għall-BAS għal kompjuters biss li huma awtorizzati u jista' jgħin biex jitnaqqas ir-riskju ta' attakki, bħal attakk ta' denial-of-service.
  4. Stazzjoni tax-xogħol tan-Niagara
    L-istazzjon tax-xogħol primarju ta' Niagara huwa kompjuter li jħaddem is-softwer ta' Niagara. Jeħtieġ żewġ konnessjonijiet tan-netwerk – waħda għall-konnessjoni mal-maniġment web interface tal-utent permezz ta' a web browser (ġeneralment fuq il-
    Internet/intranet/netwerk korporattiv) u ieħor għall-konnessjoni man-netwerk tal-BAS.
  5. Iswiċċ tal-Ethernet
    Swiċċ Ethernet joħloq netwerks u juża diversi portijiet biex jikkomunika bejn apparati fil-LAN. Is-swiċċijiet Ethernet huma differenti mir-routers, li jgħaqqdu n-netwerks u jużaw biss port LAN u WAN wieħed. Infrastruttura mingħajr fili korporattiva u bil-fili sħiħa tipprovdi konnettività bil-fili u Wi-Fi għall-konnettività mingħajr fili.
  6. Kontrollur Avvanzat tal-Pjanti
    Il-Kontrollur Avvanzat tal-Impjant huwa kontrollur globali li jikkonnettja ma' netwerk Ethernet, BACnetTM IP u segmenti tan-netwerk ospitanti MS/TP. MS/TP hija konnessjoni b'bandwidth baxx li tintuża biex tikkonnettja kontrolluri u sensuri.
  7. HMI
    L-HMI huwa konness u jirċievi l-enerġija mill-kontrolluri tal-impjant Advanced Niagara. Dawn l-apparati huma mibnija b'displej touch-screen kapaċittiv li jappoġġja għażla b'subgħajk u jipprovdi lill-operatur b'funzjonijiet biex view, aċċessa, u solvi l-problemi tal-punti tal-kontrollur, il-moduli tal-IO, u tagħmir ieħor konness.
  8. Modulu IO
    Il-moduli tal-IO jistgħu jikkonnettjaw mal-kontrollur bl-użu tal-konnessjonijiet touch flake (enerġija u komunikazzjonijiet) jew il-moduli tal-IO jistgħu jikkonnettjaw ma' adapter tal-wajers li se jiġi fornut bl-enerġija u konness ma' waħda mill-interfejsijiet RS485 fuq il-kontrollur. Il-moduli tal-IO huma programmabbli bl-użu tal-għodda tal-inġinerija eżistenti bħall-għodda ComfortPointTM Open Studio u Niagara 4 Workbench.

IPPJANAR U SIGURTÀ TAN-NETWERK

  1. Netwerk Ethernet
    Huwa rakkomandat li n-netwerk Ethernet użat mis-sistema BMS ikun separat min-netwerk normali tal-uffiċċju.
    Example:
    Bl-użu ta' air gap, jew netwerk privat virtwali. L-aċċess fiżiku għall-infrastruttura tan-netwerk Ethernet irid ikun ristrett. Trid tiżgura wkoll li l-installazzjoni tikkonforma mal-politika tal-IT tal-kumpanija tiegħek.
    Il-Kontrolluri Avvanzati m'għandhomx ikunu konnessi direttament mal-Internet.
  2. Web Server
    Il-Kontrollur Avvanzat jipprovdi kemm HTTP kif ukoll HTTPS web servers. Jekk web server mhux meħtieġ, huwa rakkomandat li t-tnejn web is-servers huma diżattivati.
  3. Netwerk IP BACnetTM
    Minħabba n-natura mhux sigura tal-protokoll BACnetTM, il-moduli tal-Kontrollur Avvanzat, l-HMI, u l-IO li jużaw BACnetTM m'għandhomx ikunu konnessi mal-Internet taħt l-ebda ċirkostanza. Is-sistema ta' sigurtà tal-Kontrollur Avvanzat ma tipproteġix kontra l-kitbiet tal-BACnetTM. L-aċċess fiżiku għall-infrastruttura tan-netwerk tal-BACnetTM IP għandu jkun ristrett. Jekk il-komunikazzjonijiet tal-BACnetTM IP mhumiex meħtieġa, il-Modulu tan-Netwerk tal-Kontrolluri Avvanzati (BACnetTMTM IP) għandu jiġi diżattivat billi l-parametru 'Iddiżattiva Modulu' jiġi ssettjat għal '1'.
    Jekk ikunu meħtieġa komunikazzjonijiet BACnetTMTM, huwa rakkomandat ħafna li s-servizzi BACnetTMTM Backup/Restore, Reinitialize Device u BACnetTMTM Writable ma jkunux attivati. Madankollu, dan ifisser li l-istrateġija maħluqa mhijiex konformi mal-BTL – Irreferi għas-“Sigurtà Lokali” f’paġna 13.
  4. MS/TP (liċenzji NC)
    L-aċċess fiżiku għall-infrastruttura tan-netwerk MS/TP irid ikun ristrett. Jekk in-netwerk MS/TP mhux meħtieġ, il-Modulu tan-Netwerk tal-Kontrollur Avvanzat (BACnetTM MSTP) irid jiġi diżattivat billi l-parametru 'Disable Module' jiġi ssettjat għal '1'. IO Bus (liċenzji CAN)
    L-aċċess fiżiku għall-IO Bus irid ikun ristrett.
  5. USB
    L-aċċess fiżiku għall-Port Lokali tal-Inġinerija USB tal-Kontrollur Avvanzat irid ikun ristrett.
  6. RS485 (inklużi liċenzji Modbus)
    L-aċċess fiżiku għall-port RS485 tal-Kontrollur għandu jkun ristrett. Jekk mhux meħtieġ, kwalunkwe Modulu tan-Netwerk imqabbad mal-port m'għandux jiġi inkluż fl-istrateġija.
  7. Netwerk Modbus IP (liċenzji INT)
    Minħabba n-natura mhux sigura tal-protokoll Modbus, il-Kontrolluri Avvanzati li jappoġġjaw il-Modbus IP m'għandhomx ikunu konnessi mal-Internet taħt l-ebda ċirkostanza. L-aċċess fiżiku għall-infrastruttura tan-netwerk Modbus IP għandu jkun ristrett. Jekk il-komunikazzjonijiet Modbus IP mhumiex meħtieġa, il-Modulu tan-Netwerk tal-Kontrolluri Avvanzati (Modbus IP) m'għandux jiġi inkluż fl-istrateġija.

SISTEMA TA' SIGURTÀ TAL-KONTROLLUR AVVANZAT, HMI, U MODULU IO

Is-sigurtà tal-Kontrolluri Avvanzati tikkonforma mal-ISA 62433-3-3 SL 3 u tipprovdi boot sigur, netwerk awtentikat u kriptat, kriptaġġ waqt il-mistrieħ, u ġestjoni sinkronizzata tal-kontijiet.
Biex tikseb aċċess għall-prodotti tal-Kontrollur Avvanzat jew twettaq kwalunkwe waħda mill-kompiti ta' hawn fuq, iridu jiġu pprovduti isem tal-utent u password validi għal Kont tas-Sistema tal-Inġinerija jew Kont tas-Sistema tal-Apparat.

  1. Sigurtà meta Mhux Konfigurata
    Biex tinteraġixxi ma' kontrollur Avvanzat, HMI u Moduli IO, iridu jiġu pprovduti kredenzjali validi. Il-kontrollur jiġi fornut mill-fabbrika mingħajr ebda kredenzjali (Kontijiet tas-Sistema jew Moduli tal-Utent) li jiżgura li meta jinxtegħel għall-ewwel darba jkun protett kontra aċċess mhux awtorizzat. L-ewwel darba li jsir tentattiv biex tikkonnettja ma' vCNC f'wieħed mill-prodotti Avvanzati fuq in-netwerk Niagara, irid jinħoloq Kont tas-Sistema tal-Inġinerija b'Rwol ta' Amministratur.
  2. Protezzjoni minn Apparati Mhux Awtorizzati
    Ċavetta unika (Network Key) tintuża biex tiżgura li apparati awtorizzati biss jistgħu jingħaqdu man-netwerk Niagara. Il-kontrolluri kollha li għandhom jiffurmaw netwerk Niagara jrid ikollhom l-istess Network Key u port UDP. Dawn huma kkonfigurati bl-użu tal-IP Tool matul il-proċess ta' konfigurazzjoni inizjali.
    Example:
    Jekk erba' Kontrolluri Avvanzati tal-Impjant għandhom l-istess Ċavetta tan-Netwerk (112233), u l-ħames wieħed għandu Ċavetta tan-Netwerk differenti
    (222). Meta jkunu konnessi mal-istess netwerk Ethernet, l-erba' kontrolluri bl-istess Network Key jingħaqdu flimkien biex jiffurmaw netwerk wieħed, iżda l-ħames Kontrollur mhux se jkun jista' jingħaqad man-netwerk għax għandu Network Key differenti jiġifieri (222).
    Bl-istess mod, jekk il-ħames kontrollur ikun ġdid (kif intbagħat mill-fabbrika) u jiżdied man-netwerk Ethernet, mhux se jkun jista' jikkonnettja man-netwerk Niagara għax m'għandux Network Key.
    1. Kodiċi ta' Verifika tal-Kont
      Meta Kont tas-Sistema tal-Amministratur jiżdied ma' wieħed mill-kontrolluri fuq in-netwerk, Kodiċi ta' Verifika tal-Kont jiġi ġġenerat awtomatikament mill-kontrollur li miegħu żdied il-Kont tas-Sistema. Dan il-kodiċi jiġi sinkronizzat mal-kontrolluri l-oħra kollha bl-istess Ċavetta tan-Netwerk u port UDP fuq in-netwerk Ethernet.
      Ladarba jkun ġie ġġenerat Kodiċi ta' Verifika tal-Kont, il-kontrolluri KOLLHA fuq in-netwerk GĦANDU jkollhom l-istess Kodiċi ta' Verifika tal-Kont kif ukoll l-istess Ċavetta tan-Netwerk u port UDP.
      Example:
      Jekk ikun hemm ħames kontrolluri, il-kontrolluri Avvanzati kollha jkollhom l-istess Ċavetta tan-Netwerk. Erbgħa għandhom l-istess Kodiċi ta' Verifika tal-Kont (AVC) u għalhekk jiffurmaw netwerk. Il-ħames wieħed għandu Kodiċi ta' Verifika tal-Kont differenti u anke jekk għandu l-istess Ċavetta tan-Netwerk ma jistax jingħaqad mal-kontrolluri l-oħra.
  3. Kontijiet tas-Sistema
    Il-kontijiet tas-sistema jippermettu lin-nies u l-apparati jinteraġixxu mal-Kontrollur Avvanzat. L-aċċess mogħti jiddependi mit-tip ta' kont u r-rwol.
    Hemm żewġ tipi ta' Kontijiet tas-Sistema:
    1. Kont tas-Sistema tal-Inġinerija
    2. Kont tas-Sistema tal-Apparat
    3. Kont tas-Sistema tal-Inġinerija
      Il-Kontijiet tas-Sistema tal-Inġinerija huma maħsuba għall-użu mill-inġiniera. Kull Kont tas-Sistema tal-inġinerija għandu isem tal-kont u password li jridu jingħataw meta jintalbu mill-kontrollur. Jekk jingħataw username u password validi, il-kontrollur jagħti aċċess.

Irid jinħoloq Kont tas-Sistema tal-inġinerija separat għal kull persuna. Il-Kontijiet tas-Sistema tal-Inġinerija jistgħu jiġu ssettjati għal wieħed minn żewġ rwoli:

  • Rwol tal-Inġinerija
  • Rwol ta' Amministratur

Rwol tal-Inġinerija
Ir-rwol tal-Inġinerija jipprovdi l-aċċess meħtieġ għall-inġinerija tas-sistema Avvanzata, il-ħolqien/ġestjoni tal-Kontijiet tas-Sistema tal-Apparat u l-ġestjoni tad-dettalji tal-kont tal-utent stess (indirizz elettroniku, password eċċ.).
Rwol ta' Amministratur
Ir-rwol ta' Amministratur jipprovdi l-istess aċċess bħar-rwol ta' Inġinerija flimkien mal-abbiltà li jimmaniġġja l-Kontijiet kollha tas-Sistema tal-Inġinerija u tal-Apparat.

Kont tas-Sistema tal-Apparat
Il-Kontijiet tas-Sistema tal-Apparat huma maħsuba biex jippermettu lil apparati bħal Niagara jikkonnettjaw man-netwerk biex jiksbu l-informazzjoni meħtieġa u jagħmlu bidliet. Huwa rakkomandat li jinħoloq Kont tas-Sistema tal-Apparat separat għal kull apparat li se jaċċessa n-netwerk. Għandhom rwol ta' 'Superviżur'.

IMPORTANTI
Importanti: Is-sistema ta' sigurtà tas-superviżur stess trid tkun ikkonfigurata biex tirrestrinġi d-drittijiet ta' aċċess ta' kull utent tas-superviżur.

Ħolqien ta' Kont tas-Sistema
Kont tas-Sistema tal-Inġinerija b'Rwol ta' Amministratur irid jinħoloq l-ewwel darba li jsir tentattiv biex tikkonnettja ma' vCNC fuq in-netwerk Niagara. Dan il-kont imbagħad jiġi sinkronizzat mal-kontrolluri l-oħra fuq in-netwerk Niagara.

  • Irreferi għall-“Ġestjoni Sinkronizzata tal-Kontijiet” f’paġna 12. Kontijiet addizzjonali jistgħu jinħolqu kif meħtieġ bl-użu ta’ Niagara workbench.

NOTA
L-ewwel darba li jinħoloq Kont tas-Sistema tal-Inġinerija f'kontrollur, Kodiċi ta' Verifika tal-Kont jiġi ġġenerat awtomatikament u sinkronizzat mal-kontrolluri l-oħra fuq in-netwerk Ethernet bl-istess Ċavetta tan-Netwerk u port UDP. Meta kontrollur ikollu Kodiċi ta' Verifika tal-Kont, jista' jingħaqad biss ma' netwerk b'kontrolluri li għandhom l-istess Kodiċi ta' Verifika tal-Kont – Irreferi għall-“Kodiċi ta' Verifika tal-Kont” f'paġna 11.

Ġestjoni Sinkronizzata tal-Kont
Il-ġestjoni sinkronizzata tal-kontijiet tissinkronizza faċilment u b'mod sigur il-Kontijiet tas-Sistema, inkluż il-Kodiċi ta' Verifika tal-Kont, mal-Kontrolluri Avvanzati kollha fuq l-istess netwerk Niagara. Dan jippermetti:

  • Login wieħed għan-netwerk
  • Tnaqqis fl-ispejjeż tal-konfigurazzjoni u ż-żamma tal-aċċess fis-sit kollu mingħajr ma titnaqqas is-sigurtà. Il-Kontrolluri Avvanzati kollha fuq l-istess netwerk se jkollhom l-istess Kontijiet tas-Sistema.

Meta Kontrollur Avvanzat mingħajr Kontijiet tas-Sistema jkun imqabbad man-netwerk Ethernet u kkonfigurat biċ-Ċavetta tan-Netwerk u l-port UDP għan-netwerk Niagara, dan jingħaqad man-netwerk u awtomatikament jikseb il-Kontijiet tas-Sistema tiegħu mill-kontrolluri l-oħra fuq in-netwerk Niagara.

Example:
Jekk Kontrollur Avvanzat mingħajr Kontijiet tas-Sistema jiżdied mas-sistema ta' hawn fuq u jingħata ċ-Ċavetta tan-Netwerk għan-netwerk Niagara (112233) u l-port UDP, dan jingħaqad man-netwerk u jikseb il-Kontijiet tas-Sistema tiegħu (Utent 1, Utent 2, Utent 3) mill-Kontrolluri Avvanzati l-oħra fuq in-netwerk Niagara.
Ladarba s-sinkronizzazzjoni tkun tlestiet ikun possibbli li tikkonnettja ma' kwalunkwe vCNCs, wiri web paġni u idħol fi kwalunkwe kontrollur Avvanzat fuq in-netwerk Niagara billi tuża kwalunkwe wieħed mill-Kontijiet tas-Sistema.
Jekk isiru bidliet fil-Kontijiet tas-Sistema jiġifieri jekk jiżdied, jitħassar jew jiġi editjat kont, dawn il-bidliet jiġu sinkronizzati awtomatikament mal-Kontrolluri Avvanzati kollha fuq in-netwerk Niagara.

Example:
Jekk ikun hemm ħames Kontrolluri Avvanzati, il-Kontijiet tas-Sistema fil-Kontrollur (1) jiġu editjati biex jitneħħa l-Utent 2, l-isem tal-Utent 3 jinbidel għal Utent 3a u jiżdied l-Utent 4, il-bidliet jiġu sinkronizzati mal-Kontrollur (2), il-Kontrollur (3), il-Kontrollur (4) u l-Kontrollur (5).

NOTA:
Jekk waqt is-sinkronizzazzjoni jinstab kunflitt, l-aħħar bidla tieħu prijorità.

Tibdil ta' Ċavetta tan-Netwerk tal-Kontrollur Avvanzat
Meta tinbidel Ċavetta tan-Netwerk ta' Kontrollur Avvanzat, il-Kontijiet tas-Sistema kollha tagħha jitħassru u titneħħa min-netwerk Niagara attwali tagħha. Il-bidla fiċ-Ċavetta tan-Netwerk trid tkun awtorizzata minn Kont tas-Sistema ta' Inġinier jew Amministratur validu.
Ladarba tkun saret il-bidla, din tingħaqad ma' netwerk Niagara bl-użu taċ-Ċavetta tan-Netwerk il-ġdida, jekk teżisti waħda, u tikseb Kontijiet tas-Sistema mill-Kontrollur Avvanzat fuq in-netwerk Niagara l-ġdid sakemm ikollha l-istess port UDP.

Sigurtà Lokali
Is-sigurtà lokali tuża utenti lokali (Moduli tal-Utent) biex tippermetti aċċess għall-Kontrolluri Avvanzati web paġni jew display konness lokalment u biex tikkontrolla l-informazzjoni li hija viżibbli jew il-valuri li jistgħu jiġu aġġustati.
Biex tikseb aċċess u tagħmel bidliet, iridu jiġu pprovduti username u password validi għal utent lokali. Il-livell tal-PIN tal-utent jiddetermina liema parametri utent jista' jara u jaġġusta.

NOTA
L-utenti lokali MHUMIEX sinkronizzati ma' Kontrolluri Avvanzati oħra fuq in-netwerk Niagara.

Aċċess għal Web Paġni
Aċċess għall-kontrollur web Il-paġni huma protetti mis-sistema tas-sigurtà tal-Kontrollur Avvanzat. Meta l-kontrollur web is-server jiġi aċċessat a web tintwera paġna li tipprovdi xi informazzjoni bażika u tippermetti lill-utent jidħol – Irreferi għall-“Aċċess Inizjali” f’paġna 13.
L-utenti li jilloggjaw se jiġu ttrattati bħala utenti illoggjati – Irreferi għal “Utenti Illoggjati” f’paġna 14. u utenti li jaċċessaw is-sistema web Il-paġni mingħajr ma tidħol se jingħataw aċċess kif deskritt f’“Aċċess Inizjali” f’paġna 13.

Aċċess Inizjali
Meta l-kontrollur web Is-server jiġi aċċessat l-ewwel, il-paġna ta' Merħba murija u l-aċċess mogħti jiddependi fuq il-konfigurazzjoni tas-sigurtà attwali tal-kontrollur:

  • L-ebda Kontijiet tas-Sistema tal-Inġinerija u l-ebda moduli tal-Utent (default tal-fabbrika)
  • Il-paġna ta' 'Merħba' tintwera u jingħata aċċess sħiħ għall-kontrollur web paġni u se tingħata l-abbiltà li jsiru bidliet.

NOTA
Minħabba li m'hemm l-ebda Kontijiet tas-Sistema tal-Inġinerija jew moduli tal-utent mhux se jkun possibbli li tidħol.

Kontijiet tas-Sistema tal-Inġinerija u l-ebda modulu tal-Utent
Tintwera l-paġna ta' 'Merħba', u l-kontrollur jagħti aċċess biss għas-Sensor, l-Input Diġitali, il-Pum, is-Swiċċ, is-Sewwieq, l-Iskeda, l-Iskeda tal-Ħin, il-Ħin, il-moduli tal-Plott, il-Log tal-Allarm, u l-Grafika u mhux se jippermetti bidliet.

NOTA
Se jkun possibbli li tidħol billi tuża l-Kontijiet tas-Sistema tal-Inġinerija.

  • Kontijiet tas-Sistema tal-Inġinerija u Moduli tal-Utent
    Il-wiri u l-aċċess inizjali huma kkontrollati mill-moduli tal-Utent. Jekk ikun hemm modulu tal-Utent imsejjaħ 'Mistieden' mingħajr password meta l-Kontrollur Avvanzat web il-paġni jiġu aċċessati mingħajr ma tidħol fil-kontrollur jagħti d-drittijiet tal-aċċess (livell tal-utent, paġna ewlenija, u view defaults) speċifikati mill-modulu tal-Utent 'Mistieden'.
    B'mod awtomatiku, il-modulu tal-Utent 'Mistieden' jipprovdi biss aċċess għall-paġna Avvanzata 'Merħba' u għandu livell ta' utent ta' '0'. Dan ifisser li utent li jaċċessa l-kontrollur mingħajr ma jidħol ikun jista' biss view il-paġna ta' 'Merħba'. Sabiex jingħata aktar aċċess, l-utent 'Mistieden' jista' jiġi kkonfigurat bl-istess mod bħal kwalunkwe Modulu ta' Utent tat-Tip 0 ieħor.

NOTA:
Il-workbench tan-Niagara jipprevjeni li l-utent 'Mistieden' jingħata password, PIN, jew livell ta' utent ogħla minn '0'. Jippermetti paġna ewlenija u view defaults li għandhom jiġu kkonfigurati.

Huwa rrakkomandat ħafna li l-utent Guest jitħalla bil-konfigurazzjoni default (livell tal-utent ta' '0' u le view drittijiet).
Jekk ma jkunx hemm modulu tal-Utent imsejjaħ 'Mistieden' jew jekk ikun ġie kkonfigurat b'password, tintwera l-paġna 'Merħba', u l-kontrollur jagħti aċċess biss għall-moduli tas-Sensor, l-Input Diġitali, il-Pum, is-Swiċċ, is-Sewwieq, l-Iskeda, l-Iskeda tal-Ħin, il-Ħin, il-Plott, il-Log tal-Allarm, u l-Grafika u mhux se jippermetti bidliet.

NOTA
Se jkun possibbli li tidħol billi tuża l-Kontijiet tas-Sistema tal-Inġinerija u kwalunkwe modulu tal-Utent li jeżisti.

Utenti Illoggjati
Biex tidħol f'Kontrollur Avvanzat web Fil-paġni jridu jiddaħħlu isem tal-utent u password li jaqblu ma' wieħed mill-Kontijiet tas-Sistema tal-Inġinerija tal-Kontrollur Avvanzat jew il-Moduli tal-Utent tat-Tip 0.

Irkupru tal-Password
Jekk utent ikun nesa l-password tiegħu, din tista' tiġi rkuprata billi tuża n-Niagara workbench. Għal aktar dettalji dwar kif tirkupra password minsija bl-użu tan-Niagara ara l-gwida għall-utent tan-Niagara workbench.

NIŻGURAW IS-SISTEMA OPERATTIVA NIAGARA

 Prattika Tajba Ġenerali
Segwi l-prattika ġenerali tajba biex tiżgura s-sistema operattiva bħal:

  • Screensaver protett bil-password
  • Softwer tal-kriptaġġ tas-sewqan

Setting tal-Firewall
Is-sistema operattiva trid tkun ikkonfigurata biex tuża firewall li jiġi aġġornat awtomatikament. Il-konfigurazzjoni trid tipprevjeni l-aċċess (IN/OUT) għall-portijiet kollha ħlief dawk li għalihom huwa meħtieġ aċċess, TĦALLIX portijiet mhux użati miftuħa.

Verżjoni tas-Sistema Operattiva
GĦANDEK tiżgura li kwalunkwe apparat li jħaddem applikazzjonijiet Niagara jew li huwa konness mal-istess netwerk IP ikollu l-aħħar aġġornamenti tas-sistema operattiva installati. Hija prattika tajba li tiżgura li l-Aġġornamenti tal-Windows jitħallew mixgħula awtomatikament u li jiġu installati fil-ħin.

Protezzjoni tal-Virus
GĦANDEK tiżgura li kwalunkwe kompjuter li jħaddem l-applikazzjonijiet Niagara jew li huwa konness mal-istess netwerk IP qed juża softwer ta' protezzjoni kontra l-virus, u li d-definizzjonijiet tal-virus jinżammu aġġornati.

 Protezzjoni kontra l-Intrużjoni
Huwa rakkomandat l-użu ta' Sistema ta' Sejbien ta' Intrużjoni (IDS) minn fornitur ta' prodotti ta' sigurtà ta' fama tajba fuq kwalunkwe kompjuter li jħaddem l-applikazzjoni Niagara. Segwi l-aħjar prattika għall-prodotti magħżula kif ukoll kwalunkwe politika tal-IT korporattiva fejn issir l-installazzjoni.
Ħafna prodotti tal-IDS u tal-firewall joffru soluzzjoni kompluta għar-reġistrazzjoni tat-traffiku kollu li jidħol u joħroġ mill-kompjuter, u b'hekk jipprovdu lill-utenti l-abbiltà li jirreġistraw l-attività kollha fl-aktar livell baxx.

REGOLAMENT ĠENERALI DWAR IL-PROTEZZJONI TAD-DATA (GDPR)

Ir-Regolament Ġenerali dwar il-Protezzjoni tad-Data (UE) 2016/679 (GDPR) huwa regolament fil-liġi tal-UE dwar il-protezzjoni tad-data u l-privatezza għaċ-ċittadini individwali kollha tal-Unjoni Ewropea (UE) u ż-Żona Ekonomika Ewropea (ŻEE). Jindirizza wkoll it-trasferiment ta’ data personali barra ż-żoni tal-UE u taż-ŻEE. Il-GDPR fih dispożizzjonijiet u rekwiżiti relatati mal-ipproċessar ta’ data personali ta’ individwi (suġġetti tad-data) fiż-ŻEE u japplika għal kwalunkwe intrapriża stabbilita fiż-ŻEE (irrispettivament mill-post tagħha u ċ-ċittadinanza tas-suġġetti tad-data) jew li qed tipproċessa l-informazzjoni personali tas-suġġetti tad-data fiż-ŻEE.
Skont it-termini tal-GDPR, id-dejta personali tinkludi kwalunkwe informazzjoni li tista' tintuża biex tidentifika individwu. Dan jinkludi (iżda mhux limitat għal):

  • ismijiet tal-utenti,
  • passwords,
  • numri tat-telefon,
  • indirizzi tal-email,
  • indirizzi tax-xogħol jew residenzjali.

Kwalunkwe informazzjoni bħal din li tiddaħħal fil-Kontrollur Avvanzat, l-HMI, u l-Modulu IO hija kriptata u maħżuna fuq il-prodotti Avvanzati fil-bini tal-klijent. Honeywell m'għandha l-ebda involviment fil-ħażna u/jew l-ipproċessar ta' dejta personali fi ħdan il-prodotti Avvanzati ta' Honeywell.
Ir-responsabbiltà għall-konformità mar-rekwiżiti tal-GDPR hija kompletament tal-integratur tas-sistema jew tal-amministratur tas-sistema u, bħala tali, iridu jiżguraw li jkun hemm fis-seħħ sistemi tekniċi u organizzattivi adegwati biex:

  • niksbu kunsens espliċitu mingħand kull suġġett tad-dejta biex id-dejta personali tinħażen, tintuża u/jew tiġi pproċessata,
  • jippermettu lill-individwi jkollhom aċċess għad-dejta personali tagħhom sabiex jivverifikaw l-eżattezza,
  • jippermettu lill-individwi jirtiraw il-kunsens tagħhom fi kwalunkwe ħin u li d-dejta personali tagħhom titħassar b'mod permanenti,
  • iżżomm is-sigurtà u l-integrità tal-ħażna u l-aċċess għad-dejta f'kull ħin,
  • irrapporta kwalunkwe ksur tas-sigurtà tad-dejta (li jista' jaffettwa l-privatezza tal-utent) lill-awtorità rilevanti fi żmien 72 siegħa minn meta sseħħ il-ksur.

KOMUNIKAZZJONI SIGURA

Infrastruttura taċ-Ċavetta Pubblika (PKI) tappoġġja d-distribuzzjoni u l-identifikazzjoni taċ-ċwievet pubbliċi tal-kriptaġġ użati biex jipproteġu l-iskambju tad-dejta fuq netwerks, bħall-Internet. Il-PKI tivverifika l-identità tal-parti l-oħra u tikkodifika t-trażmissjoni attwali tad-dejta. Il-verifika tal-identità tipprovdi assigurazzjoni mhux repudjata tal-identità tas-server. Il-kriptaġġ jipprovdi kunfidenzjalità waqt it-trażmissjoni tan-netwerk. Il-ħtieġa ta' moduli ta' kodiċi ffirmati tiżgura li fis-sistema jaħdem biss il-kodiċi mistenni.

Biex tipprovdi netwerks siguri bl-użu tal-PKI, Niagara tappoġġja l-protokoll TLS (Transport Layer Security), verżjonijiet 1.0, 1.1 u 1.2. TLS jieħu post il-predeċessur tiegħu, SSL (Secure Sockets Layer).
Kull installazzjoni ta' Niagara toħloq awtomatikament ċertifikat awtomatiku, li jippermetti li l-konnessjoni tiġi enkriptata immedjatament. Madankollu, dawn iċ-ċertifikati jiġġeneraw twissijiet fil-browser u fil-Workbench u ġeneralment mhumiex adattati għall-utenti finali. Il-ħolqien u l-iffirmar ta' ċertifikati diġitali personalizzati jippermettu użu bla xkiel tat-TLS fil-browser, u jipprovdi kemm enkriptaġġ kif ukoll awtentikazzjoni tas-server.
Lil hinn mis-sigurtà tal-komunikazzjoni, kull modulu tal-kodiċi tal-kompjuter li jaħdem fis-sistema huwa protett b'firma diġitali. L-oġġetti tal-programm miżjuda jeħtieġu din il-firma jew ma jaħdmux.

Il-verifika tas-server, il-kriptaġġ tat-trażmissjoni u l-iżgurar li l-kodiċi ffirmat biss ma jiżgurax id-dejta maħżuna fuq apparat tal-ħażna. Xorta trid tirrestrinġi l-aċċess fiżiku għall-kompjuters u l-kontrolluri li jimmaniġġjaw il-mudell tal-bini tiegħek, twaqqaf l-awtentikazzjoni tal-utent b'passwords b'saħħithom, u tiżgura l-komponenti billi tikkontrolla l-permessi.
Niagara jappoġġja u juża komunikazzjoni sigura u kodiċi ffirmat awtomatikament. M'għandekx bżonn tixtri liċenzja addizzjonali.
Is-sigurtà hija tħassib kontinwu. Filwaqt li se ssib ħafna informazzjoni siewja fis-suġġetti tal-komunikazzjoni sigura, stenna aġġornamenti u bidliet futuri.
Hawn taħt jinsabu l-komunikazzjonijiet siguri. Għal aktar dettalji ara l-gwida tas-Sigurtà tal-Istazzjon ta' Niagara.

  • Relazzjonijiet bejn il-klijent u s-server
  • Ċertifikati
  • Ħwienet taċ-ċertifikati
  • Struttura tal-fowlder tas-CSR
  • Twaqqif taċ-ċertifikat
  • Wizard taċ-Ċertifikat
  • Iffirmar ta' ċertifikati multipli
  • Konfigurazzjoni ta' komunikazzjoni sigura tal-pjattaforma
  • Konfigurazzjoni ta' komunikazzjoni sigura tal-istazzjon
  • L-attivazzjoni tal-klijenti u l-konfigurazzjoni tagħhom għall-port korrett
  • Installazzjoni ta' kopja tal-istazzjon fuq pjattaforma oħra
  • Is-sigurtà tal-email
  • Issolvi l-problemi ta' komunikazzjoni sigura

Relazzjonijiet bejn il-klijent u s-server
Ir-relazzjonijiet bejn il-klijent u s-server jidentifikaw il-konnessjonijiet li jeħtieġu protezzjoni. Ir-relazzjonijiet bejn il-klijent u s-server ta' Workbench ivarjaw skont kif tikkonfigura u tuża sistema. Workbench huwa dejjem klijent. Pjattaforma hija dejjem server. Stazzjon jista' jkun klijent u server.
Il-protokolli tas-sistema li jimmaniġġjaw il-komunikazzjonijiet huma:

  • Il-konnessjonijiet tal-pjattaforma minn Workbench (klijent) għal kontrollur jew daemon tal-pjattaforma tas-Supervisor PC (server) jużaw Niagara. Konnessjoni sigura tal-pjattaforma xi kultant tissejjaħ platformtls. Inti tippermetti platformtls billi tuża l-Amministrazzjoni tal-Pjattaforma. view.
  • Il-konnessjonijiet tal-istazzjon lokali (Supervisor u pjattaforma) jużaw Foxs. Dawn il-konnessjonijiet jistgħu jiġu attivati ​​fis-Servizz Fox ta' stazzjon (Config > Services > FoxService).
  • Il-konnessjonijiet tal-browser jużaw Https, kif ukoll Foxs jekk qed tuża Web Lanċatur b'WbWebProfileInti tippermetti dawn il-konnessjonijiet billi tuża l-konnessjonijiet tal-istazzjon WebServizz (Konfigurazzjoni > Servizzi > WebServizz).
  • Konnessjonijiet tal-klijent mas-server tal-email tal-istazzjon, jekk applikabbli. Inti tippermetti email sigura billi tuża l-EmailService tal-istazzjon (Config > Services > EmailService).

ĊERTIFIKATI
Ċertifikat huwa dokument elettroniku li juża firma diġitali biex jorbot ċavetta pubblika ma' persuna jew organizzazzjoni. Iċ-ċertifikati jistgħu jservu għal diversi skopijiet skont kif tikkonfigura l-proprjetà Key Usage taċ-ċertifikat. L-iskop primarju tagħhom f'din is-sistema huwa li jivverifikaw l-identità ta' server sabiex il-komunikazzjoni tkun tista' tiġi fdata. Għal aktar dettalji jekk jogħġbok irreferi għall-Gwida tas-Sigurtà tal-Istazzjon Niagara – Ċertifikat.
Niagara jappoġġja dawn it-tipi ta’ ċertifikati:

  • Ċertifikat ta' CA (Awtorità taċ-Ċertifikazzjoni) huwa ċertifikat iffirmat minnu nnifsu li jappartjeni lil CA. Din tista' tkun parti terza jew kumpanija li sservi bħala s-CA tagħha stess.
  • Ċertifikat ta' CA ewlieni huwa ċertifikat ta' CA awtofirmat li ċ-ċavetta privata tiegħu tintuża biex tiffirma ċertifikati oħra u toħloq siġra ta' ċertifikati fdata. Biċ-ċavetta privata tiegħu, ċertifikat ta' CA ewlieni jista' jiġi esportat, maħżun fuq USB thumb drive f'kaxxaforti, u meħud biss meta ċ-ċertifikati jkollhom bżonn jiġu ffirmati. Iċ-ċavetta privata ta' ċertifikat ta' CA ewlieni teħtieġ il-ħolqien ta' password mal-esportazzjoni u l-għoti tal-istess password meta tużaha biex tiffirma ċertifikati oħra.
  • Ċertifikat intermedju huwa ċertifikat CA ffirmat minn ċertifikat CA ewlieni li jintuża biex jiffirma ċertifikati tas-server jew ċertifikati CA intermedji oħra. L-użu ta' ċertifikati intermedji jiżola grupp ta' ċertifikati tas-server.
  • Ċertifikat tas-Server jirrappreżenta n-naħa tas-server ta' konnessjoni sigura. Filwaqt li tista' twaqqaf ċertifikat separat għal kull protokoll (Foxs, Https, Webs). Filwaqt li tista' tikkonfigura pjattaforma u stazzjon (bħala server) b'ċertifikati separati tas-server, għas-sempliċità ħafna sistemi ġeneralment jużaw l-istess ċertifikat tas-server.
  • Ċertifikat ta' ffirmar tal-kodiċi huwa ċertifikat użat biex jiffirma oġġetti u moduli ta' programmi. L-integraturi tas-sistemi jużaw dan iċ-ċertifikat biex jipprevjenu l-introduzzjoni ta' kodiċi malizzjuż meta jippersonalizzaw il-qafas.

Ċertifikati ffirmati waħedhom
Ċertifikat iffirmat awtomatikament huwa wieħed li jiġi ffirmat awtomatikament bl-użu taċ-ċavetta privata tiegħu stess minflok biċ-ċavetta privata ta' ċertifikat ta' CA (Awtorità taċ-Ċertifikazzjoni) ewlieni.
Is-sistema tappoġġja żewġ tipi ta’ ċertifikati ffirmati waħedhom:

  • Ċertifikat ta' root CA huwa impliċitament fdat għaliex m'hemm l-ebda awtorità ogħla mis-CA (Awtorità taċ-Ċertifikazzjoni) li tippossjedi dan iċ-ċertifikat. Għal din ir-raġuni, is-CAs, li x-xogħol tagħhom hu li japprovaw iċ-ċertifikati ta' nies oħra, jgħassu mill-qrib iċ-ċertifikat(i) tas-CA root tagħhom u ċ-ċwievet privati. Bl-istess mod, jekk il-kumpanija tiegħek qed isservi bħala s-CA tagħha stess, għandek tgħassu mill-qrib iċ-ċertifikat tas-CA root li tuża biex tiffirma ċertifikati oħra.
  • Ċertifikat awtomatiku u ffirmat awtomatikament: L-ewwel darba li tibda istanza ta' Workbench, pjattaforma jew stazzjon wara l-installazzjoni (ikkummissjonar), is-sistema toħloq ċertifikat tas-server awtomatiku u ffirmat awtomatikament bl-alias ta' tridium.

NOTA:
Tesportax dan iċ-ċertifikat u timportahx f'xi ħanut ta' pjattaforma jew stazzjon ieħor. Għalkemm possibbli, dan inaqqas is-sigurtà u jżid il-vulnerabbiltà.
Biex jitnaqqas ir-riskju ta' attakk man-in-the-middle meta jintużaw ċertifikati ffirmati minnek innifsek, il-pjattaformi kollha tiegħek għandhom ikunu miżmuma f'netwerk privat sigur, offline, u mingħajr aċċess pubbliku mill-Internet.

ATTENZJONI
Biex tuża ċertifikati ffirmati waħdek, qabel ma taċċessa l-pjattaforma jew l-istazzjon minn Workbench għall-ewwel darba, kun żgur li l-kompjuter tiegħek u l-pjattaforma mhumiex fuq xi netwerk korporattiv jew fuq l-Internet. Ladarba tkun skonnettjat, qabbad il-kompjuter direttament mal-pjattaforma, iftaħ il-pjattaforma minn Workbench, u approva ċ-ċertifikat iffirmat waħdek tagħha. Imbagħad biss għandek terġa' tqabbad il-pjattaforma ma' netwerk korporattiv.

Konvenzjoni dwar ismijiet
Il-User Key Store, il-User Trust Store, u s-System Trust Store jiffurmaw il-qalba tal-konfigurazzjoni. Iċ-ċertifikati jixbhu ħafna lil xulxin, u d-diversi ċertifikati awtofirmati awtomatikament huma msemmija bl-istess mod.

Ħwienet taċ-ċertifikati
Il-ġestjoni taċ-ċertifikati tuża erba' ħwienet biex timmaniġġja ċ-ċertifikati: User Key Store, System Trust Store, User Trust Store u lista ta' Allowed Hosts.
Il-Maħżen taċ-Ċwievet tal-Utent huwa assoċjat man-naħa tas-server tar-relazzjoni bejn il-klijent u s-server. Dan il-maħżen iżomm ċertifikati, kull wieħed biċ-ċwievet pubbliċi u privati ​​tiegħu. Barra minn hekk, dan il-maħżen fih iċ-ċertifikat iffirmat awtomatikament li nħoloq inizjalment meta nedejt Workbench jew meta bdejt il-pjattaforma għall-ewwel darba.
Il-User Trust Stores u s-System Trust Stores huma assoċjati man-naħa tal-klijent tar-relazzjoni bejn il-klijent u s-server. Is-System Trust Store jiġi mimli minn qabel b'ċertifikati pubbliċi standard: ċertifikati root CA minn Awtoritajiet taċ-Ċertifikazzjoni magħrufa sew, bħal VeriSign, Thawte u Digicert. Il-User Trust Store iżomm ċertifikati root CA u intermedji għal kumpaniji li jservu bħala l-awtorità taċ-ċertifikazzjoni tagħhom stess.
Il-lista tal-Hosts Permessi fiha ċertifikat(i) tas-server li għalihom ma jeżisti l-ebda ċertifikat CA ewlieni fdat fis-Sistema jew fil-Ħwienet ta' Fiduċja tal-Utent tal-klijent, iżda ċ-ċertifikati tas-server xorta waħda ġew approvati għall-użu. Dan jinkludi servers li għalihom l-isem tal-host tas-server mhuwiex l-istess bħall-Isem Komuni fiċ-ċertifikat tas-server. Inti tapprova l-użu ta' dawn iċ-ċertifikati fuq bażi individwali. Filwaqt li l-komunikazzjoni hija sigura, huwa aħjar li tuża ċertifikati tas-server iffirmati.

Encryption
L-encryption huwa l-proċess tal-kodifikazzjoni tat-trażmissjoni tad-dejta sabiex ma tkunx tista' tinqara minn partijiet terzi mhux fdati. TLS juża encryption biex jittrażmetti d-dejta bejn il-klijent u s-server. Filwaqt li huwa possibbli li tagħmel konnessjoni mhux encrypted billi tuża biss il-protokolli fox jew http, int imħeġġeġ bil-qawwa li ma ssegwix din l-għażla. Mingħajr encryption, il-komunikazzjonijiet tiegħek huma potenzjalment soġġetti għal attakk. Dejjem aċċetta l-konnessjonijiet default ta' Foxs jew Https.

DASHBOARD TAS-SIGURTÀ MGĦADDIVIEW
F'Niagara 4.10u5 u aktar tard, il-karatteristika tas-Security Dashboard tipprovdi (għall-amministratur u utenti awtorizzati oħra) ħarsa ġenerali lejn l-aspettattivi. view tal-konfigurazzjoni tas-sigurtà tal-istazzjon tiegħek. Dan jippermettilek timmonitorja faċilment il-konfigurazzjoni tas-sigurtà f'ħafna servizzi tal-istazzjon, u tidentifika kwalunkwe dgħufija fil-konfigurazzjoni tas-sigurtà fuq l-istazzjon.

ATTENZJONI
Id-Dashboard tas-Sigurtà View jista' ma jurix kull setting ta' sigurtà possibbli, u m'għandux jitqies bħala garanzija li kollox huwa kkonfigurat b'mod sigur. B'mod partikolari, moduli ta' partijiet terzi jista' jkollhom settings ta' sigurtà li ma jirreġistrawx mad-dashboard.

Id-Dashboard tas-Sigurtà view hija l-prinċipali view fuq is-Servizz tas-Sigurtà tal-istazzjon. view javżak dwar dgħufijiet fis-sigurtà bħal settings ta’ saħħa ħażina tal-password; ċertifikati skaduti, iffirmati waħedhom jew invalidi; protokolli tat-trasport mhux kriptati, eċċ., li jindikaw oqsma fejn il-konfigurazzjoni għandha tkun aktar sigura. Dejta oħra rrappurtata tinkludi: is-saħħa tas-sistema, in-numru ta’ kontijiet attivi, kontijiet inattivi, in-numru ta’ kontijiet b’permessi ta’ superutent, eċċ. B’mod fakultattiv, l-attribut “system” fuq il-karatteristika tal-liċenzja “securityDashboard” jista’ jiġi ssettjat għal “true” biex jippermetti s-Sistema View tal-istazzjon li jipprovdi dettalji ta' sigurtà għal kull stazzjon subordinat fin-NiagaraNetwork.
Id-Dashboard tas-Sigurtà huwa l-element ewlieni view għas-Servizzi tas-Sigurtà. Għal dettalji kompluti dwar view, Irreferi għal “nss-SecurityDashboardView"fil-Gwida tas-Sigurtà tal-Istazzjon ta' Niagara.

IPPJANAR U INSTALLAZZJONI

Din it-taqsima tinkludi informazzjoni għall-ippjanar u t-twettiq ta' installazzjoni ta' Advanced Plant Controller.

Installazzjoni u konfigurazzjoni rakkomandati
It-taqsima li ġejja turi żewġ konfigurazzjonijiet ta' installazzjoni rakkomandati.

  • BACnetTM biss
  • BACnet™ u Niagara

BACnetTMBACnetTM biss
Meta l-Kontrollur Avvanzat tal-Impjant jintuża biss għal komunikazzjonijiet BACnetTM, qabbad biss Ethernet 1 man-netwerk BAS fejn se jkun qed jaħdem BACnetTM (BACnetTM/IP jew BACnetTM/Ethernet).

Kontrollur Avvanzat tal-Ottimizzatur ta' Honeywell (2)

BACnet™ u Niagara
Meta Niagara jintuża fuq l-Advanced Plant Controller, jista' jiġi kkonfigurat biex jipprovdi servizzi, bħal web servizzi jew Niagara FOXS, man-netwerk tal-Internet/intranet/korporattiv. Jekk dan huwa l-każ, qabbad Ethernet 2 man-netwerk tal-Internet/intranet/korporattiv permezz tal-firewall tal-BAS biex tipprovdi servizzi lil dak in-netwerk.

Kontrollur Avvanzat tal-Ottimizzatur ta' Honeywell (3)

Rakkomandazzjoni dwar Netwerks ta' Żona Lokali (LAN)
Kun żgur li s-sistemi joperaw fuq politika ta' password xierqa għall-aċċess tal-utent għas-servizzi kollha. Din il-linja gwida tinkludi, iżda mhijiex limitata għal:

  1. L-użu ta' passwords b'saħħithom.
  2. Ħin taċ-ċiklu tal-password rakkomandat.
  3. Ismijiet tal-utent u passwords uniċi għal kull utent tas-sistema.
  4. Regoli dwar l-iżvelar tal-password.
  5. Jekk ikun meħtieġ aċċess remot għal sistemi ta' kontroll tal-bini bbażati fuq l-IT, uża t-teknoloġija VPN (Virtual Private Network) biex tnaqqas ir-riskju ta' interċettazzjoni tad-dejta u tipproteġi l-apparati ta' kontroll milli jitqiegħdu direttament fuq l-Internet.

DOKUMENTAZZJONI

Id-dokumentazzjoni hija essenzjali biex tinġabar l-informazzjoni dwar id-disinn u l-konfigurazzjoni meħtieġa biex tinżamm sistema sigura.

Iddokumenta apparati fiżiċi u konfigurazzjonijiet, inkluża informazzjoni ewlenija relatata mas-sigurtà
Id-dokumentazzjoni kollha dwar l-apparati u l-konfigurazzjonijiet għandha tinkludi informazzjoni relatata mas-sigurtà biex jiġu stabbiliti u miżmuma l-kontrolli tas-sigurtà maħsuba. Per exampJiġifieri, jekk isiru bidliet fis-servizzi jew fil-portijiet default fuq l-Advanced Plant Controller, imbagħad iddokumenta dawn b'mod ċar sabiex is-settings ikunu jistgħu jiġu restawrati f'xi punt fil-futur.

Iddokumenta sistemi esterni, speċjalment l-interazzjoni bejn il-Kontrollur Avvanzat tal-Pjanti u s-sistemi relatati tiegħu
Il-BAS komunement jeħtieġ jew juża sistemi esterni għal skopijiet funzjonali, bħal infrastruttura tan-netwerk eżistenti, aċċess VPN, hosts ta' magni virtwali, u firewalls. Jekk il-BAS jeħtieġ li dawk is-sistemi jiġu kkonfigurati b'ċertu mod għas-sigurtà, bħal firewall li jippermetti jew jiċħad ċerti portijiet jew netwerk li jippermetti aċċess għal ċerti sistemi, allura trid tiddokumenta din l-informazzjoni. Jekk dawn is-sistemi jeħtieġ li jiġu restawrati f'xi punt fil-futur, Example: minħabba ħsara fit-tagħmir, jew jeħtieġ li jsiru bidliet fis-sistemi esterni, ExampPereżempju: meta taġġorna firewall, wara li tkun iddokumentajt din l-informazzjoni se tgħinek tirrestawra l-livell ta' sigurtà preċedenti.

KONTROLL TAL-AĊĊESS U SIGURTÀ FIŻIKA
Il-kontroll tal-aċċess jinvolvi l-ispeċifikazzjoni u l-limitazzjoni tal-aċċess għal apparati jew funzjonijiet għal utenti awtorizzati biss.

Żgura fiżikament il-Kontrollur Avvanzat tal-Impjant, l-HMI, u l-Modulu IO
Ipprevjeni aċċess mhux awtorizzat għat-tagħmir tan-netwerk li jintuża flimkien mas-sistemi pprovduti minn Honeywell. Ma' kwalunkwe sistema, il-prevenzjoni tal-aċċess fiżiku għan-netwerk u t-tagħmir tnaqqas ir-riskju ta' interferenza mhux awtorizzata. L-aħjar prattiki tas-sigurtà bl-installazzjonijiet tal-IT jiżguraw li l-kmamar tas-servers, il-patch panels, u t-tagħmir tal-IT ikunu f'kmamar imsakkra. It-tagħmir ta' Honeywell għandu jiġi installat f'kabinetti tal-kontroll imsakkra, li huma stess jinsabu f'kmamar tal-impjanti siguri.

Stiker fuq il-pannell tal-aċċess jew l-għeluq tal-kontrollur
Applika fiampstiker li ma jidhirx sew fuq il-pannell tal-aċċess jew l-għeluq tal-Advanced Plant Controller, l-HMI, u l-IO Module
Jekk klijent jeħtieġ assigurazzjoni addizzjonali li ma jkunx ġie aċċessat l-aċċess fiżiku li jipproteġi Kontrollur Avvanzat tal-Impjant, HMI, u Modulu IO, allura installa fuqampSiġill jew stiker li jkun evidenti fuq il-punt ta' aċċess.

Segregazzjoni u protezzjoni tan-netwerks

  1. Uża firewall bejn l-Internet/intranet/netwerk korporattiv u l-BAS.
  2. Uża netwerk fiżiku dedikat separat (wajers separati) jew netwerk virtwali (VLANs) għall-komunikazzjoni BACnetTM. Dan irid ikun netwerk separat mill-Internet/intranet/netwerk korporattiv.
  3. Tqabbadx l-EN2 fuq il-Kontrollur Avvanzat tal-Impjant ma' xi netwerk sakemm ma jkollokx bżonn is-servizzi tan-Niagara (Pjattaforma, Stazzjoni, u/jew Web(server). Jekk teħtieġ li tqabbad l-EN2 man-netwerk tal-Internet/intranet/korporattiv, allura trid tuża firewall BAS estern bejn l-Advanced Plant Controller u l-Internet/intranet/netwerk korporattiv.

Sigurtà mingħajr fili

  1. L-utent jeħtieġ li jerġa'view Sigurtà tan-netwerk mingħajr fili bbażata fuq it-topoloġija tan-netwerk, li tiżgura li ma jkun hemm l-ebda espożizzjoni mhux intenzjonata għall-INTERNET pubbliku u li l-protezzjoni tal-firewall tal-BAS ma tiġix evitata.
  2. Huwa essenzjali li dejjem tadotta l-ogħla teknoloġiji ta' sigurtà mingħajr fili disponibbli, bħal WPA2 jew WPA3. Barra minn hekk, l-utenti għandhom jipproteġu l-passwords tagħhom b'mod sigur, inklużi iżda mhux limitati għal passwords tal-Wi-Fi u kodiċijiet PIN tal-Bluetooth™. Qatt tħalli l-kontrollur jikkonnettja ma' netwerk mingħajr fili miftuħ jew jissettja punt ta' aċċess mingħajr fili miftuħ.
  3. Dejjem evita li tqabbad apparati mhux awtorizzati man-netwerk mingħajr fili jew li tistabbilixxi konnessjonijiet Bluetooth™ biex tevita sfruttamenti potenzjali.
  4. Hija r-responsabbiltà tal-utent li jerġa' jagħmel dan regolarmentview is-settings tas-sigurtà, ibdel il-passwords jew il-kodiċijiet skont il-politika tas-sigurtà, u ssorvelja l-apparati konnessi fuq in-netwerk mingħajr fili u s-subnets. L-utenti għandhom ukoll jiddokumentaw dawn l-attivitajiet ta' awditjar.

L-ASSIGURAZZJONI TAL-KONTROLLUR AVVANZAT, L-HMI, U L-MODULU IO

  1. Kredenzjali tal-Kont tas-Sistema tal-Amministratur Mogħtija lill-Utent tas-Sit
    Il-kredenzjali tal-Kont tas-Sistema 'Admin' għandhom jingħataw lis-sid tas-sit biex ikunu jistgħu jimmaniġġjaw il-Kontijiet tas-Sistema.
  2. Żvilupp ta' Programm ta' Sigurtà
    Irreferi għall-'Aħjar Prattika Ġenerali tas-Sigurtà'
  3. Konsiderazzjoni Fiżika u Ambjentali
    Il-Kontrollur Avvanzat, l-HMI, u l-Modulu IO għandhom jiġu installati f'ambjent imsakkar eż. f'kamra tal-impjanti sigura, jew f'kabinett imsakkar.

NOTA
Żgura ventilazzjoni adegwata.

Aġġornamenti tas-Sigurtà u Service Packs
Kun żgur li l-Kontrollur Avvanzat, l-HMI, u l-Modulu IO qed imexxu l-aħħar rilaxx tal-firmware.

UTENTI U PASSWORDS

Utenti
Kun żgur li n-numru ta' utenti u l-livelli ta' aċċess ipprovduti huma xierqa għall-attivitajiet li jeħtieġu jwettqu.

  • Fil-livell tal-apparat tal-kontrollur, ikkonfigura l-kontijiet tas-sistema jew l-utenti fil-kontrolluri għal Web aċċess għall-klijent, is-Superviżur u l-peer-to-peer.
    Il-konfigurazzjoni tal-moduli tal-Utent fil-Kontrolluri Avvanzati, dan ifisser li utent ikollu jidħol f'apparat b'kredenzjali validi qabel ma jkunu jistgħu jsiru l-aġġustamenti. Kun żgur li d-drittijiet ta' aċċess xierqa huma assenjati għall-kontijiet tas-sistema u l-utenti.
  • Uża Kont Differenti għal Kull Utent
    Uża ismijiet u passwords uniċi għal kull utent/kont fis-sistema, minflok aċċess ġeneriku. Nies differenti qatt m'għandhom jaqsmu l-istess kont. PereżempjuampJiġifieri, minflok kont ġenerali ta' 'maniġers' li ħafna maniġers jistgħu jużaw, kull maniġer għandu jkollu l-kont separat tiegħu stess.

Hemm ħafna raġunijiet għaliex kull utent għandu jkollu l-kont individwali tiegħu:

Jekk kull persuna jkollha l-kont tagħha stess, il-logs tal-verifika se jkunu aktar informattivi. Se jkun faċli li jiġi ddeterminat eżattament liema utent għamel xiex. Dan jista' jgħin biex jinstab jekk kont ġiex kompromess.

NOTA
Mhux il-prodotti kollha għandhom faċilità ta' reġistru tal-verifika, iżda fejn disponibbli m'għandhiex tiġi diżattivata.

  • Jekk kont jitneħħa jew jiġi modifikat, dan ma joħloqx inkonvenjent għal ħafna nies. PereżempjuampJiġifieri, jekk persuna m'għandhiex ikollha aktar aċċess, it-tħassir tal-aċċess individwali tagħha huwa sempliċi. Jekk huwa kont kondiviż, l-uniċi għażliet huma li tibdel il-password u tinnotifika lil kulħadd, jew li tħassar il-kont u tinnotifika lil kulħadd. Li tħalli l-kont kif inhu mhijiex għażla – l-għan huwa li tirrevoka l-aċċess.
  • Jekk kull persuna għandha l-kont tagħha stess, ikun ħafna aktar faċli li l-permessi jiġu mfassla biex jissodisfaw preċiżament il-bżonnijiet tagħhom. Kont kondiviż jista' jirriżulta f'nies li jkollhom aktar permessi milli suppost.
    Kont kondiviż ifisser password kondiviża. Hija prattika ta' sigurtà ħażina ħafna li taqsam il-passwords. Tagħmilha ħafna aktar probabbli li l-password tiġi żvelata, u tagħmilha aktar diffiċli li jiġu implimentati ċerti prattiki tajbin tal-passwords, bħall-iskadenza tal-password.
  • Użu ta' Utenti Uniċi tal-Inġinerija għal Proġetti
    Hija prattika komuni li xi kumpaniji jużaw l-istess dettalji tal-kont fuq kull proġett. Ladarba dan ikun magħruf jekk sistema waħda tiġi kompromessa, l-attakkant jista' potenzjalment ikollu kredenzjali għal aċċess għal ħafna proġetti oħra installati mill-istess kumpanija.
  • Iddiżattiva l-Kontijiet Magħrufa Meta jkun Possibbli
    Xi prodotti għandhom kontijiet awtomatiċi. Dawn għandhom jiġu kkonfigurati sabiex il-password ma tibqax dik awtomatika.
  • Agħti l-Permessi Minimi Meħtieġa għall-utenti
    Kun żgur li l-kontijiet meħtieġa biss jiġu ssettjati fis-sistema bil-livelli minimi ta' sigurtà meħtieġa minflok aċċess sħiħ. Meta toħloq kont ġdid, aħseb dwar x'għandha tagħmel il-persuna fis-sistema, u mbagħad assenja l-permessi minimi meħtieġa biex tagħmel dak ix-xogħol. PereżempjuampJiġifieri, xi ħadd li jeħtieġ biss li jara allarmi m'għandux bżonn aċċess ta' amministratur. L-għoti ta' permessi li mhumiex meħtieġa jżid iċ-ċans ta' ksur tas-sigurtà. L-utent jista' bla ma jrid (jew apposta) jibdel settings li m'għandux jibdel.
  • Uża l-Minimu Numru Possibbli ta' kontijiet ta' Amministratur tas-Sistema
    Agħti permessi lill-Amministraturi tas-Sistema biss meta jkun assolutament neċessarju. Dan it-tip ta’ kont huwa kont estremament qawwi – jippermetti aċċess sħiħ għal kollox. L-amministratur tas-sistema biss għandu jkollu aċċess għall-kont. Aħseb ukoll dwar li tipprovdi lill-Amministratur tas-Sistema żewġ kontijiet, wieħed għal aċċess ta’ kuljum biex jimmaniġġja l-attivitajiet ta’ kuljum, u t-tieni kont ta’ aċċess ta’ livell għoli li huwa meħtieġ biss meta jkunu meħtieġa bidliet fit-tip ta’ amministrazzjoni.

Passwords
Is-sistema Niagara u s-sistemi operattivi użati fil-prodotti Advanced Honeywell jużaw passwords biex jawtentikaw l-'utenti' f'Supervisor, Display, Għodda jew Sistemi Operattivi. Huwa partikolarment importanti li l-passwords jiġu mmaniġġjati b'mod korrett. Jekk ma jintużax dan l-ewwel livell ta' sigurtà, kulħadd se jaċċessa s-sistema permezz ta' display, web Il-klijent jew is-superviżur se jkollhom aċċess biex jagħmlu aġġustamenti. Kun żgur li s-sistema Niagara topera b'politika ta' password xierqa għall-aċċess tal-utent, din il-linja gwida tinkludi, iżda mhux limitata għal:

  • L-użu ta’ passwords b’saħħithom – Għandhom jintużaw passwords b’saħħithom. Irreferi għall-aħħar standards ta’ sigurtà għal dettalji dwar x’jagħmel password b’saħħitha.
  • Ħin taċ-ċiklu tal-password rakkomandat – Xi prodotti Niagara jippermettu lill-amministratur tas-sistema li jispeċifika perjodu li warajh trid tinbidel il-password. Għalkemm mhux il-prodotti kollha bħalissa jinfurzaw dan il-perjodu ta' bidla tal-password, politika tas-sit tista' tirrakkomanda dan.
  • Regoli dwar l-iżvelar tal-password – L-utent GĦANDU jiżgura li ma jiżvelax dettalji tal-isem tal-utent u l-password tiegħu lil ħaddieħor u li ma jiktebhomx.

KONFIGURAZZJONI TA' KONTROLLUR AVVANZAT TAL-PJANTI
Għall-konfigurazzjoni ta' kontrollur avvanzat tal-impjant, irreferi għall-Istruzzjonijiet tal-Installazzjoni u l-Gwida tal-Ikkummissjonar
(31-00584). Irreferi għall-gwida tas-Sewwieq tal-HMI (31-00590) għall-HMI, u l-Gwida tas-Sewwieq tal-Panel Bus (31-00591) għall-modulu IO.

Oħloq u żomm konfigurazzjonijiet bażi
Oħloq u żomm linja bażi ta' konfigurazzjonijiet tal-Kontrollur Avvanzat tal-Pjanti li ġew ikkonfigurati kif suppost għas-sigurtà. Kun żgur li din il-linja bażi tinkludi wkoll id-DCF fileKomponenti s u Niagara. Tikkommettix konfigurazzjonijiet mhux siguri għal-linja bażi biex tevita li tapplikahom mingħajr ma trid fil-futur. Aġġorna kwalunkwe dokumentazzjoni rilevanti meta l-konfigurazzjonijiet jinbidlu.

 Ibdel il-passwords default
Ibdel il-passwords default kollha: Il-password tal-Konfigurazzjoni tal-Console, il-password tal-backup/Restore/Restart/Control, u l-password tal-Pjattaforma Niagara. Meta tlesti l-ikkummissjonar, kun żgur li l-apparat huwa protett bil-password. Kun żgur li l-livelli tal-utent xierqa huma assenjati għall-utenti tas-sit.

Aktar Konsiderazzjonijiet

Ftehim dwar il-Livell tas-Servizz
Adotta politika ta' aġġornament xierqa għall-infrastruttura installata fis-sit bħala parti minn ftehim dwar il-livell ta' servizz. Din il-politika għandha tinkludi, iżda mhijiex limitata għal, l-aġġornament tal-komponenti tas-sistema li ġejjin għall-aħħar rilaxx:

  • Firmware tal-apparati għall-kontrollur, moduli IO, HMI, eċċ.;
  • Softwer tas-superviżur, bħas-softwer Arena NX;
  • Sistemi operattivi tal-kompjuter / server;
  • Infrastruttura tan-netwerk u kwalunkwe sistema ta' aċċess remot.

Konfigurazzjoni tan-netwerk tal-IT
Ikkonfigura netwerks tal-IT separati għas-sistemi ta' kontroll tal-awtomazzjoni u n-Netwerk tal-IT korporattiv tal-klijent. Dan jista' jinkiseb billi jiġu kkonfigurati VLANs (Virtual LANs) fl-infrastruttura tal-IT tal-klijent jew billi tiġi installata infrastruttura ta' netwerk separata b'ispazju għall-arja ddedikata għas-sistemi ta' kontroll tal-awtomazzjoni.
Meta tkun qed tinteraġixxi ma' kontrolluri bl-użu ta' superviżur tas-sistema ċentralizzata (Eż.ampeż.: Niagara) u fejn is-sistema ma teħtieġx aċċess dirett għall-apparati individwali web server, l-infrastruttura tan-netwerk għandha tkun ikkonfigurata biex tirrestrinġi web aċċess għal servers.
VLANs dinamiċi li jużaw l-allokazzjoni tal-indirizz MAC jistgħu jipproteġu kontra l-konnessjoni mhux awtorizzata ta' apparat fis-sistema u jistgħu jnaqqsu r-riskju assoċjat ma' informazzjoni ta' monitoraġġ individwali fuq in-netwerk.

KONFIGURAZZJONI TAL-BAS FIREWALL

It-tabella li ġejja tiddeskrivi l-portijiet tan-netwerk użati f'Kontrollur tal-Impjant Avvanzat. Ara r-Referenza għas-“System Overview"f'paġna 8. għal eż.ampl-arkitettura tal-installazzjoni. It-tabella għandha l-kolonni li ġejjin:

  • Port Predefinit u l-Protokoll (TCP jew UDP)
  • L-iskop tal-port
  • Jekk il-port awtomatiku jeħtieġx li jinbidel jew le
  • Jekk il-konnessjonijiet jew it-traffiku li jkun dieħel għandhomx jitħallew jgħaddu mill-BAS Firewall
  • Noti addizzjonali huma elenkati taħt it-tabella

Tabella 2 Konfigurazzjoni tal-firewall tal-BAS

Default Port/Protokoll  

Għan

 Bidla minn Default?  

Ħalli l-BAS Firewall Jgħaddi?

  

Noti
80/TCP HTTP Nru Nru  
 

443/TCP

  

HTTPs

  

Nru

 Possibilment, jekk web Huwa meħtieġ aċċess mill-Internet/intranet/netwerk korporattiv.  

1
1911/TCP Fox (verżjoni mhux sigura tal-protokoll tal-applikazzjoni Niagara) Iva Nru  
4911/TCP Fox + SSL (verżjoni sigura tal-protokoll tal-applikazzjoni Niagara) Iva Nru  
3011/TCP NiagaraD (verżjoni mhux sigura tal-protokoll tal-pjattaforma Niagara) Iva Nru  
5011/TCP NiagaraD + SSL (verżjoni sigura tal-protokoll tal-pjattaforma Niagara) Iva Nru  
2601/TCP Port tal-console taż-Żebra Nru Nru 2
2602/TCP Port tal-konsoll RIP     2
47808/UDP Konnessjoni tan-netwerk BACnetTM/IP Iva Nru 3

NOTA

  1. Jekk remot dirett web Jekk l-interfaċċja tal-utent hija appoġġjata, allura dan il-port irid jitħalla jgħaddi mill-firewall tal-BAS.
  2. Il-port jinfetaħ awtomatikament minn dan id-daemon u din il-funzjonalità ma tistax tiġi diżattivata. Id-daemon huwa kkonfigurat biex ma jippermetti l-ebda logins permezz ta' dan il-port.
  3. Segwi l-linji gwida tal-konfigurazzjoni tan-netwerk iddikjarati f'dan il-manwal sabiex il-Kontrollur tal-Impjant Avvanzat qatt ma jkollu bżonn jgħaddi t-traffiku UDP mill-firewall tal-BAS.

IT-TWAQQIF TAL-AWENTIKAZZJONI

L-Iskema ta' Awtentikazzjoni ta' Google hija mekkaniżmu ta' awtentikazzjoni b'żewġ fatturi li jirrikjedi li l-utent idaħħal il-password tiegħu kif ukoll token ta' użu wieħed meta jidħol f'stazzjon. Dan jipproteġi l-kont ta' utent anke jekk il-password tiegħu tiġi kompromessa.
Din l-iskema ta' awtentikazzjoni tiddependi fuq TOTP (Time-based OneTime Password) u l-app Google Authenticator fuq l-apparat mobbli tal-utent biex tiġġenera u tivverifika tokens ta' awtentikazzjoni ta' użu wieħed. L-awtentikazzjoni ta' Google hija bbażata fuq il-ħin, għalhekk m'hemm l-ebda dipendenza fuq il-komunikazzjoni tan-netwerk bejn l-apparat mobbli tal-utent, l-Istazzjon, jew Servers esterni. Peress li l-awtentikatur huwa bbażat fuq il-ħin, il-ħin fl-istazzjon u l-ħin fit-telefon iridu jibqgħu relattivament sinkronizzati. L-app tipprovdi buffer ta' plus jew minus 1.5 minuti biex tikkunsidra d-devjazzjoni tal-arloġġ.
Prerekwiżiti: Il-mowbajl tal-utent jeħtieġ l-app Google Authentication. Qed taħdem f'Workbench. L-utent jeżisti fid-database tal-istazzjon.

Proċedura

  1. Iftaħ il-paletta gauth u żid GoogleAuthenticationScheme man-nodu Services > Authenticationservice fis-siġra tan-Navigazzjoni.
  2. Ikklikkja bil-lemin fuq Userservice, u kklikkja darbtejn fuq l-utent fit-tabella. L-Edit view għall-utent jiftaħ.
  3. Ikkonfigura l-proprjetà tal-Isem tal-Iskema tal-Awtentikazzjoni għal GoogleAuthenticationScheme u kklikkja Save.
  4. Ikklikkja l-buttuna ħdejn iċ-Ċavetta sigrieta taħt l-awtentikatur tal-utent u segwi l-istruzzjonijiet.
  5. Biex tlesti l-konfigurazzjoni, ikklikkja Save. Skont il- view li qed tuża, jista' jkollok terġa' tiftaħ l-utent jew taġġorna wara li ssalva.

TWASSIL SISTEMA
Din it-taqsima fiha informazzjoni li trid tipprovdi meta l-BAS jitwassal lis-sid tas-sistema.

  • Dokumentazzjoni li tinkludi informazzjoni dwar is-sigurtà, settings tal-konfigurazzjoni, usernames u passwords tal-amministrazzjoni, pjanijiet ta' diżastru u rkupru, u proċeduri ta' backup u restawr.
  • Taħriġ għall-utenti finali dwar kompiti ta' manutenzjoni tas-sigurtà.

BACKUP TAL-USB U CLEANDIST FILE INSTALLAZZJONI
L-utent irid jipproteġi l-passphrase użata biex jiġi zipped u unzipped il-kontrollur. Evita li taqsam il-passphrases u l-kredenzjali tal-kontrollur matul il-proċess ta' backup jew restawr.
Backup tal-USB u CleanDist file Informazzjoni dwar l-installazzjoni tista' tinstab fl-Istruzzjonijiet għall-Installazzjoni u l-Gwida għall-Ikkummissjonar – 31-00584.

DEKUMMISSJONI TAS-SISTEMA
Id-dejta sensittiva għandha titħassar minn unitajiet li qed jitneħħew mis-servizz u dan jista' jsir billi jsir reset tal-fabbrika. Irreferi għall-Buttuna tas-Servizz/l-LED tal-Allarm tas-Servizz u CleanDist. file installazzjoni mill-Istruzzjonijiet tal-Installazzjoni u l-Gwida tal-Kummissjonar – 31-00584.

NOTA
Id-Dist Nadif file Il-proċedura tista' titwettaq is-sett tal-fabbrika billi tinstalla l-clean4 file.

SIGURTÀ AVVANZATA TAL-PRODOTTI BBAŻATI F'NIAGARA
Għal prodotti Advanced Honeywell li huma bbażati fuq il-qafas Niagara N4 u Niagara AX (eż. Advanced Plant Controller, HMI, u IO Module), trid issegwi l-parir tat-Tridium dwar kif tiżgura l-qafas Niagara.
Hemm numru ta' bidliet fil-konfigurazzjoni li jistgħu jsiru f'Niagara biex tiġi massimizzata s-sigurtà tal-prodotti Advanced Honeywell.

  • Uża l-Karatteristika tas-Saħħa tal-Password
  • Ippermetti l-Karatteristika tal-Imblukkar tal-Kont
  • Passwords Skaduti
  • Uża l-Istorja tal-Passwords
  • Uża l-Karatteristika tar-Risettjar tal-Password
  • Ħalli l-Kaxxa "Ftakar Dawn il-Kredenzjali" Mhux Immarkata
  • Ibdel il-Passphrase tas-Sistema Default
  • Uża TLS Biex Tissettja l-Passphrase tas-Sistema
  • Agħżel Passphrase tas-Sistema Qawwija
  • Ipproteġi l-Passphrase tas-Sistema
  • Kun żgur li s-Sid tal-Pjattaforma jaf il-Passphrase tas-Sistema
  • Uża Kont Differenti għal Kull Utent tal-Pjattaforma
  • Uża Ismijiet ta' Kont Uniċi għal Kull Proġett
  • Kun żgur li s-Sid tal-Pjattaforma jaf il-Kredenzjali tal-Pjattaforma
  • Uża Kont Differenti għal Kull Utent tal-Istazzjon
  • Uża Kontijiet tat-Tip ta' Servizz Uniku għal Kull Proġett
  • Iddiżattiva l-Kontijiet Magħrufa Meta jkun Possibbli
  • Issettja Kontijiet Temporanji biex Jiskadu Awtomatikament
  • Ibdel il-Kredenzjali tal-Kont tat-Tip tas-Sistema
  • Ipprojbixxi Sessjonijiet Konkorrenti Meta Jkun Xieraq
  • Ikkonfigura r-Rwoli bil-Permessi Minimi Meħtieġa
  • Assenja Rwoli Minimi Meħtieġa lill-Utenti
  • Uża l-Minimu Numru Possibbli ta' Super Utenti
  • Jeħtieġ Permessi ta' Super Utent għal Oġġetti tal-Programm
  • Uża l-Permessi Minimi Meħtieġa għal Kontijiet Esterni
  • Uża Skema ta' Awtentikazzjoni Adatta għat-Tip ta' Kont
  • Neħħi Skemi ta' Awtentikazzjoni Mhux Neċessarji
  • TLS u Ġestjoni taċ-Ċertifikati
  • Installazzjoni tal-Modulu
  • Jeħtieġu Oġġetti u Robots tal-Programm Iffirmati
  • Iddiżattiva l-SSH u l-SFTP
  • Iddiżattiva s-Servizzi Mhux Meħtieġa
  • Ikkonfigura s-Servizzi Neċessarji b'mod Sikur
  • Aġġorna Niagara 4 għall-Aħħar Verżjoni
  • Installa l-Prodott f'Post Sikur
  • Kun Żgur li l-Istazzjonijiet Qegħdin Wara VPN
  • Hemm disponibbli pubblikazzjonijiet tekniċi speċifiċi li jridu jiġu segwiti biex jiġi żgurat li s-sistema tkun imsakkra bl-aktar mod sigur possibbli. Jeżistu ħafna għażliet bħall-kriptaġġ SSL u passi addizzjonali biex jiġu protetti elementi bħal moduli tal-programm, għal aktar dettalji ara t-Tridium websit għall-Gwida għat-Twebbis tan-Niagara 4 (għal prodotti bbażati fuq Niagara N4) u l-Gwida għat-Twebbis tan-Niagara (prodotti bbażati fuq Niagara AX).

Il-materjal f'dan id-dokument huwa għal skopijiet ta 'informazzjoni biss. Il-kontenut u l-prodott deskritt huma soġġetti għal bidla mingħajr avviż. Honeywell ma jagħmel l-ebda rappreżentazzjoni jew garanzija fir-rigward ta 'dan id-dokument. Fl-ebda każ Honeywell m’għandu jkun responsabbli għal ommissjonijiet tekniċi jew editorjali jew żbalji f’dan id-dokument, u lanqas m’għandu jkun responsabbli għal kwalunkwe ħsara, diretta jew inċidentali, li tirriżulta minn jew relatata mal-użu ta ’dan id-dokument. L-ebda parti minn dan id-dokument ma tista 'tiġi riprodotta fi kwalunkwe forma jew bi kwalunkwe mezz mingħajr permess bil-miktub minn qabel minn Honeywell.
Honeywell | Awtomazzjoni tal-Bini

715 Peachtree Street, NE,

LISTA TA' KONTROLL TAS-SIGURTÀ TA' L-INSTALLAZZJONI

  • Istanza tal-Apparat tal-Kontrollur tal-Impjant Avvanzat: __________________________________________________________________________
  • Deskrizzjoni tal-Kontrollur Avvanzat tal-Impjant: __________________________________________________________________
  • Post tal-Kontrollur Avvanzat tal-Impjant: __________________________________________________________________________
  • Installatur:___________________________________________________________
  • Data: ___________________________________

Imla l-kompiti ta' sigurtà li ġejjin għal kull Kontrollur Avvanzat tal-Impjant installat

  • Installa firewall bejn l-Advanced Plant Controller u n-netwerk(s) estern(i). Ara “BACnet u Niagara” f’paġna 19.
  • Issir fiżikament sikur il-Kontrollur Avvanzat tal-Impjant. Irreferi għal “Issir fiżikament sikur il-Kontrollur Avvanzat tal-Impjant, l-HMI, u l-Modulu IO” f’paġna 22.
  • Ibdel il-password awtomatika għal password unika għal kull wieħed minn dawn li ġejjin: Konfigurazzjoni tal-Konsol, Backup/Restore/Restart/Kontroll, u l-Pjattaforma Niagara. Ara l-Istruzzjonijiet tal-Installazzjoni u l-Gwida tal-Ikkummissjonar – 31-00584
  • Jekk a web Jekk ikun meħtieġ server, imbagħad ikkonfigurah biex jopera fil-modalità HTTPS biss. Ara l-Istruzzjonijiet tal-Installazzjoni u l-Gwida tal-Kummissjonar – 31-00584

Web Status tas-Server: Diżattivat / Attivat.
If web is-servizz ikun attivat, imla dan li ġej:

  • Issettja Http Attivat = falz.
  • Issettja Https Attivat = veru.
  • Issettja Https Only = veru.
  • Ikkonfigura l-firewall tal-BAS. Irreferi għal “Konfigurazzjoni tal-firewall tal-BAS” f’paġna 26.
  • Ipprovdi d-dejta kollha meħtieġa lis-sid tas-sistema BAS mal-kunsinna. Irreferi għal “Setting Up Authentication” f’paġna 27.

FAQ

  • Għaliex huwa importanti li l-Kontrollur Avvanzat jiġi żgurat?
    Is-sigurtà tal-kontrollur tgħin biex tevita aċċess mhux awtorizzat, tipproteġi d-dejta sensittiva, u tiżgura l-affidabbiltà tas-sistema.
  • Kif nista' nirkupra l-password tiegħi?
    Biex tirkupra l-password tiegħek, segwi l-proċess ta' Rkupru tal-Password deskritt fil-manwal. Dan tipikament jinvolvi l-verifika tal-informazzjoni tal-kont tiegħek.

Dokumenti / Riżorsi

Kontrollur Avvanzat tal-Ottimizzatur tal-Honeywell [pdfManwal tal-Utent
31-00594-03, Kontrollur Avvanzat tal-Ottimizzatur, Kontrollur Avvanzat, Kontrollur

Referenzi

Karigi Relatati

Ħalli kumment

L-indirizz elettroniku tiegħek mhux se jiġi ppubblikat. L-oqsma meħtieġa huma mmarkati *