د هني ویل اصلاح کوونکی پرمختللی کنټرولر

مشخصات

• محصول: پرمختللی کنټرولر
• د موډل شمېر: 31-00594-03
• عملیاتي سیسټم: د نیاګارا عملیاتي سیسټم
• امنیتي ځانګړتیاوې: د حساب تایید کوډ، د سیسټم حسابونه، د پټنوم بیا رغونه، خوندي اړیکه، سندونه
• د شبکې مطابقت: BACnet™، LAN

ردول
که څه هم موږ د دې سند د دقت د ډاډ ترلاسه کولو لپاره هڅې کړې دي، هني ویل د هر ډول زیانونو مسؤلیت نلري، په شمول د محدودیتونو پرته د پایلو زیانونه چې دلته د معلوماتو د کارولو یا کارولو څخه رامینځته کیږي. دلته خپاره شوي معلومات او مشخصات د دې خپرونې نیټې پورې اوسني دي او پرته له خبرتیا د بدلون تابع دي. د محصول وروستي مشخصات زموږ په ویب پاڼه کې موندل کیدی شي webسایټ یا په اتلانتا، جورجیا کې زموږ د کارپوریټ دفتر سره اړیکه ونیسئ.
د ډیری صنعتونو RS-485 پر بنسټ اړیکو لپاره، د فابریکې څخه د لیږد په وخت کې د ډیفالټ حالت غیر فعال کیږي ترڅو غوره امنیت ډاډمن شي، ځکه چې دا میراثي مخابراتي بسونه د غوره مطابقت لپاره میراثي ټیکنالوژي کاروي او دوی د ضعیف امنیتي محافظت سره ډیزاین شوي. نو، ستاسو د سیسټم د ساتنې اعظمي کولو لپاره، هنی ویل په فعاله توګه د میراثي صنعتي بس مخابراتي بندرونه غیر فعال کړي دي (د فابریکې د لیږد په وخت کې)، او کارونکي باید په واضح ډول د هرې شبکې په سټیشن کې شبکې فعالې کړي. که تاسو غواړئ دا بندرونه فعال کړئ، تاسو اړتیا لرئ چې د میراثي ټیکنالوژۍ کارولو له امله رامینځته شوي هر ډول امنیتي سرغړونو خطر څخه خبر اوسئ. پدې کې شامل دي مګر محدود ندي: پینل-بس، سي-بس، بي اي سي نيټ ټي ايم، ايم-بس، سي پي-آيو بس، نووار نیټ، ایکس سي ايم-ايل سي ډي پروتوکول، ايس بي سي ايس-بس او موډبس، او نور.
ISA-62443 ته پراختیا ورکول

هني ویل د ډیرو کلونو لپاره د ISA 62443-4-1 معیار او د تطبیق وړ ملګري معیارونو باندې تکیه کړې ترڅو زموږ د ساختماني ټیکنالوژۍ محصولات په خوندي ډول رامینځته کړي. د مثال په توګهampپه هرصورت، د هني ویل ساختماني محصولات هم د اجزاو دننه د تخنیکي امنیت اړتیاو لپاره د اساس په توګه ISA/IEC 62443-4-2 کاروي، او موږ د بشپړ سیسټمونو لپاره ISA/IEC 62443-3-3 کاروو. نو د هغو ادغام کونکو او پیرودونکو لپاره چې د ودانیو ټیکنالوژي غوره کوي، د ISA/IEC 62443 معیارونو کورنۍ ته د هني ویل اطاعت کولی شي د باور لوړه کچه چمتو کړي چې زموږ محصولات یوازې د سایبر مقاومت ادعا نه کوي - دوی له پیل څخه د سایبر مقاومت لپاره ډیزاین شوي، ازمول شوي او تایید شوي دي.
هني ویل زموږ محصولات د ISA/IEC 62443-4-1 سره سم رامینځته کوي او موږ د دریمې ډلې لخوا ارزول شوي او د دې معیار سره سم تفتیش شوي یو.
معرفي او مطلوب لیدونکي

هني ویل په دې توګه په څرګنده توګه وايي چې د دوی کنټرولرونه په طبیعي ډول د انټرنیټ څخه د سایبر بریدونو په وړاندې خوندي ندي او له همدې امله دوی یوازې په خصوصي شبکو کې د کارولو لپاره دي. په هرصورت، حتی خصوصي شبکې لاهم د ماهرو او مجهزو معلوماتي ټکنالوژۍ اشخاصو لخوا د ناوړه سایبر بریدونو سره مخ کیدی شي او له همدې امله محافظت ته اړتیا لري. له همدې امله پیرودونکي باید د پرمختللي پلانټ کنټرولر IP پر بنسټ محصولاتو لپاره د نصب او امنیت غوره کړنو لارښوونې غوره کړي ترڅو د داسې بریدونو لخوا رامینځته شوي خطر کم کړي.
لاندې لارښوونې د پرمختللي نبات کنټرولر IP پر بنسټ محصولاتو لپاره د عمومي امنیت غوره کړنې تشریح کوي. دوی د زیاتوالي کمولو په ترتیب سره لیست شوي دي.

د هرې سیمې دقیق اړتیاوې باید د قضیې په اساس وارزول شي. د تاسیساتو لویه برخه چې دلته تشریح شوي د کمولو ټولې کچې پلي کوي به د قناعت وړ سیسټم امنیت لپاره اړین څخه ډیر وي. د 1-5 توکو شاملول (د سیمه ایزو شبکو پورې اړوند)، په 20 مخ کې "د سیمه ایزو شبکو (LAN) سپارښتنې" ته مراجعه وکړئ. عموما به د ډیری اتومات کنټرول شبکې نصبولو اړتیاوې پوره کړي.
دا لارښود د هني ویل ډیلر کارمندانو ته د پرمختللي پلانټ کنټرولر، HMI او IO ماډلونو په خوندي ډول نصب او تنظیم کولو په اړه معلومات لري. د عملیاتو، USB بیک اپ او بیا رغونې، او کلین ډیسټ په اړه د امنیت پورې اړوند معلومات. file د کنټرولر نصب کول د نصبولو لارښوونې او کمیشن کولو لارښود (31-00584) کې موندل کیدی شي.

نوټ
مهرباني وکړئ د ټولو اړونده نصبولو، ترتیب کولو، او عملیاتو لارښودونو لوستلو او پوهیدو لپاره وخت ونیسئ او ډاډ ترلاسه کړئ چې تاسو په منظم ډول وروستي نسخې ترلاسه کوئ.

جدول 1 د محصول معلومات

محصول	د محصول شمیره	تفصیل
د نبات کنټرولر	N-ADV-134-H	د نیاګارا پرمختللی کنټرولر د څلورو ایترنیټ بندرونو سره، د HMI لپاره بندر، او د 4 RS485 بندرونو سره
	د N-ADV-133-H-BWA لپاره تفتیش وسپارئ، موږ به په XNUMX ساعتونو کې له تاسو سره اړیکه ونیسو.	د نیاګارا پرمختللی کنټرولر د څلورو ایترنیټ پورټونو سره، د HMI لپاره پورټ، 3 RS485 پورټونه، وای فای (د امریکا سیمه)، او بلوتوث ™ ملاتړ
	د N-ADV-133-H-BWE معرفي کول	د نیاګارا پرمختللی کنټرولر د څلورو ایترنیټ پورټونو سره، د HMI لپاره پورټ، 3 RS485 پورټونه، وای فای (د اروپا سیمه)، او بلوتوث ™ ملاتړ
	د N-ADV-133-H-BWW لپاره تفتیش وسپارئ، موږ به په XNUMX ساعتونو کې له تاسو سره اړیکه ونیسو.	د نیاګارا پرمختللی کنټرولر د څلورو ایترنیټ پورټونو سره، د HMI لپاره پورټ، 3 RS485 پورټونه، وای فای (د نړۍ پاتې سیمه)، او بلوتوث ™ ملاتړ
	N-ADV-133-H	د نیاګارا پرمختللی کنټرولر د څلورو ایترنیټ بندرونو سره، د HMI لپاره بندر، او د 3 RS485 بندرونو سره
	N-ADV-112-H	د نیاګارا پرمختللی کنټرولر د دوه ایترنیټ پورټونو سره، د HMI لپاره پورټ، او دوه RS2 پورټونه
HMI	د HMI-DN	HMI (د DIN ریل ماونټ)
	د HMI-WL	HMI (دروازه/دیوال نصب)
د IO ماډل	IO-16UIO-SS	د HOA، سریال کمیونونو، سکرو ټرمینلونو پرته د 16UIO IO ماډل
	د IOD-16UIO-SS معرفي کول	د HOA ښودنې، سریال کمیونونو، سکرو ټرمینلونو سره 16UIO IO ماډل
	د IO-16UI-SS معرفي کول	د ۱۶UI IO ماډل، سریال کمیونټونه، سکرو ټرمینلونه
	د IO-16DI-SS معرفي کول	د ۱۶DI IO ماډل، سریال کمیونټونه، سکرو ټرمینلونه
	د IO-8DOR-SS معرفي کول	د HOA، C/O ریلې، سیریل کمیونونو، سکرو ټرمینلونو پرته 8DO IO ماډل
	د IOD-8DOR-SS معرفي کول	د HOA ښودنې، C/O ریلې، سریال کمیونونو، سکرو ټرمینلونو سره 8DO IO ماډل
	د IO-16UIO-SP لپاره تفتیش وسپارئ، موږ به په XNUMX ساعتونو کې له تاسو سره اړیکه ونیسو.	د HOA ښودنې، سریال کمیونونو، پش ټرمینلونو سره 16UIO IO ماډل
	د IO-16UI-SP لپاره تفتیش وسپارئ، موږ به په XNUMX ساعتونو کې له تاسو سره اړیکه ونیسو.	د ۱۶UIO IO ماډل، سریال کمیونټونه، د فشار ټرمینلونه
	د IO-16DI-SP لپاره تفتیش وسپارئ، موږ به په XNUMX ساعتونو کې له تاسو سره اړیکه ونیسو.	د ۱۶DI IO ماډل، سریال کمیونټونه، د فشار ټرمینلونه
	د IO-8DOR-SP لپاره تفتیش وسپارئ، موږ به په XNUMX ساعتونو کې له تاسو سره اړیکه ونیسو.	د HOA، C/O ریلیز، سیریل کمیونونو، پش ټرمینلونو پرته 8DO IO ماډل
	د IOD-8DOR-SP لپاره تفتیش وسپارئ، موږ به په XNUMX ساعتونو کې له تاسو سره اړیکه ونیسو.	د HOA ښودنې، C/O ریلې، سیریل کمیونونو، پش ټرمینلونو سره 8DO IO ماډل
	IO-8UIO-SS	د HOA، سریال کمیونونو، سکرو ټرمینلونو پرته د 8UIO IO ماډل

د IO ماډل	د IOD-8UIO-SS معرفي کول	د HOA ښودنې، سریال کمیونونو، سکرو ټرمینلونو سره 8UIO IO ماډل
	د IO-8AO-SS معرفي کول	د HOA، سریال کمیونونو، سکرو ټرمینلونو پرته د 8AO IO ماډل
	د IOD-8AO-SS معرفي کول	د HOA ښودنې، سریال کمیونونو، سکرو ټرمینلونو سره 8AO IO ماډل
	IO-4UIO-SS	د HOA، سریال کمیونونو، سکرو ټرمینلونو پرته د 4UIO IO ماډل
	د IOD-4UIO-SS معرفي کول	د HOA ښودنې، سریال کمیونونو، سکرو ټرمینلونو سره 4UIO IO ماډل
	د IO-8DI-SS معرفي کول	د ۱۶DI IO ماډل، سریال کمیونټونه، سکرو ټرمینلونه
	د IO-4DOR-SS معرفي کول	د HOA، C/O ریلې، سیریل کمیونونو، سکرو ټرمینلونو پرته 4DO IO ماډل
	د IOD-4DOR-SS معرفي کول	د HOA ښودنې، C/O ریلې، سریال کمیونونو، سکرو ټرمینلونو سره 4DO IO ماډل
	د IO-4DORE-SS معرفي کول	د HOA پرته د 4DO IO ماډل، پرمختللي C/O ریلونه، سریال کمیونټونه، سکرو ټرمینلونه
	د IOD-4DORE-SS معرفي کول	د HOA ښودنې سره د 4DO IO ماډل، پرمختللي C/O ریلې، سریال کمیونټونه، سکرو ټرمینلونه
	د IO-8UIO-SP لپاره تفتیش وسپارئ، موږ به په XNUMX ساعتونو کې له تاسو سره اړیکه ونیسو.	د 8UIO IO ماډل پرته له HOA، سریال کمیونونو، پش ټرمینلونو
	د IOD-8UIO-SP لپاره تفتیش وسپارئ، موږ به په XNUMX ساعتونو کې له تاسو سره اړیکه ونیسو.	د HOA ښودنې، سریال کمیونونو، پش ټرمینلونو سره 8UIO IO ماډل
	د IO-8AO-SP لپاره تفتیش وسپارئ، موږ به په XNUMX ساعتونو کې له تاسو سره اړیکه ونیسو.	د 8AO IO ماډل پرته له HOA، سریال کمیونونو، پش ټرمینلونو
	د IOD-8AO-SP لپاره تفتیش وسپارئ، موږ به په XNUMX ساعتونو کې له تاسو سره اړیکه ونیسو.	د HOA ښودنې، سریال کمیونونو، پش ټرمینلونو سره 8AO IO ماډل
	د IO-4UIO-SP لپاره تفتیش وسپارئ، موږ به په XNUMX ساعتونو کې له تاسو سره اړیکه ونیسو.	د 4UIO IO ماډل پرته له HOA، سریال کمیونونو، پش ټرمینلونو
	د IOD-4UIO-SP لپاره تفتیش وسپارئ، موږ به په XNUMX ساعتونو کې له تاسو سره اړیکه ونیسو.	د HOA ښودنې، سریال کمیونونو، پش ټرمینلونو سره 4UIO IO ماډل
	د IO-8DI-SP لپاره تفتیش وسپارئ، موږ به په XNUMX ساعتونو کې له تاسو سره اړیکه ونیسو.	د ۱۶DI IO ماډل، سریال کمیونټونه، د فشار ټرمینلونه
	د IO-4DOR-SP لپاره تفتیش وسپارئ، موږ به په XNUMX ساعتونو کې له تاسو سره اړیکه ونیسو.	د HOA، C/O ریلیز، سیریل کمیونونو، پش ټرمینلونو پرته 4DO IO ماډل
	د IOD-4DOR-SP لپاره تفتیش وسپارئ، موږ به په XNUMX ساعتونو کې له تاسو سره اړیکه ونیسو.	د HOA ښودنې، C/O ریلې، سیریل کمیونونو، پش ټرمینلونو سره 4DO IO ماډل
	د IO-4DORE-SP لپاره تفتیش وسپارئ، موږ به په XNUMX ساعتونو کې له تاسو سره اړیکه ونیسو.	د HOA پرته د 4DO IO ماډل، پرمختللي C/O ریلی، سیریل کمیونونه، پش ټرمینلونه
	د IOD-4DORE-SP لپاره تفتیش وسپارئ، موږ به په XNUMX ساعتونو کې له تاسو سره اړیکه ونیسو.	د HOA ښودنې سره د 4DO IO ماډل، پرمختللي C/O ریلې، سیریل کمیونونه، پش ټرمینلونه

ولې خپل پرمختللي کنټرولرونه خوندي کړئ؟

• د خپلو پیرودونکو د فابریکې سیسټمونه د عملیاتي سیټ پوائنټونو، اووررایډونو او وخت مهالویشونو کې د غیر مجاز بدلونونو څخه خوندي کړئ.
• د کارونکي حساب جزئیاتو ته د لاسرسي مخه ونیسئ: د بیلګې په توګه د کارونکي نومونه، پټنومونه، د بریښنالیک پتې، د SMS (ګرځنده) شمیرې او نور.
• د سوداګریزو حساسو معلوماتو ته د لاسرسي مخه ونیسئ: پخوانیample- د انرژۍ مصرف میټریکونه، د کنټرول متخصص ستراتیژۍ حلونه او نور.
• کنټرولر، کمپیوټرونو او شبکو ته چې د BMS سافټویر او کنټرول وسایلو کوربه توب کوي د غیر مجاز لاسرسي مخه ونیسئ.
• د معلوماتو بشپړتیا وساتئ او حساب ورکول چمتو کړئ.

سیسټم اوورVIEW

اوورview د عادي سیسټم نصبولو څخه..

1. انټرنیټ/انټرانیټ/کارپوریټ شبکه
   دا د ودانۍ اتومات سیسټم (BAS) له ساحې څخه بهر د ټولو شبکو ساده، منطقي شبکې استازیتوب دی. دا ممکن د BAS مدیریت انٹرفیسونو ته لاسرسی چمتو کړي (د بیلګې په توګه د نیاګارا لومړني ورک سټیشن) web د کارن انٹرفیس) مګر باید انټرنیټ ته لاسرسی چمتو کړي ترڅو د نیاګارا کمپیوټرونه وکولی شي د عملیاتي سیسټم او ویروس سکینر تازه معلومات وګوري او ډاونلوډ کړي پرته لدې چې د دې کولو لپاره بله وسیله چمتو شي.
2. د BAS شبکه
   دا شبکه یوازې د BAS پروتوکولونو لپاره کارول کیږي، کوم چې د BACnetTM/IP، BACnetTM/ ایترنیټ، او هر هغه پروتوکولونه لري چې د نیاګارا ادغام خدمات په پرمختللي پلانټ کنټرولر کې کارولی شي. دا شبکه باید د انټرنیټ/انټرانیټ/کارپوریټ شبکې سره ورته شبکه نه وي.
3. د BAS فایر وال
   د BAS لپاره د اضافي جلا کولو او محافظت چمتو کولو لپاره، د انټرنیټ/انټرانیټ/کارپوریټ شبکې او هر هغه BAS وسیلې ترمنځ چې ورسره وصل کیږي، لکه د نیاګارا لومړني ورک سټیشن، نیاګارا ورک سټیشنونه، او پرمختللي پلانټ کنټرولر ترمنځ باید د اور وژنې وسیله وکارول شي. دا اور وژنې وسیله یوازې هغه کمپیوټرونو ته BAS ته لاسرسی محدودوي چې مجاز دي او ممکن د بریدونو خطر کمولو کې مرسته وکړي، لکه د خدماتو څخه انکار برید.
4. د نیاګارا کارځای
   د نیاګارا لومړني ورک سټیشن یو کمپیوټر دی چې د نیاګارا سافټویر چلوي. دا دوه شبکې اتصالاتو ته اړتیا لري - یو د مدیریت سره د نښلولو لپاره web د کارن انٹرفیس له لارې a web براوزر (معمولا په
   انټرنیټ/انټرانیټ/کارپوریټ شبکه) او بل د BAS شبکې سره د نښلولو لپاره.
5. ایترنیټ سویچ
   د ایترنیټ سویچ شبکې جوړوي او په LAN کې د وسیلو ترمنځ د اړیکو لپاره ډیری پورټونه کاروي. ایترنیټ سویچونه د روټرونو څخه توپیر لري، کوم چې شبکې سره وصل کوي او یوازې یو واحد LAN او WAN پورټ کاروي. یو بشپړ تار لرونکی او کارپوریټ بېسیم زیربنا د بېسیم اتصال لپاره تار لرونکی اتصال او وای فای چمتو کوي.
6. د نبات پرمختللی کنټرولر
   د پرمختللي پلانټ کنټرولر یو نړیوال کنټرولر دی چې د ایترنیټ شبکې، BACnet™ IP او کوربه MS/TP شبکې برخو سره وصل کیږي. MS/TP یو ټیټ بینډ ویت اتصال دی چې د کنټرولرانو او سینسرونو سره وصل کولو لپاره کارول کیږي.
7. HMI
   HMI وصل دی او د پرمختللي نیاګارا پلانټ کنټرولرانو څخه بریښنا ترلاسه کوي. دا وسایل د ظرفیت لرونکي ټچ سکرین ښودنې سره جوړ شوي چې د خالي ګوتو لخوا د انتخاب ملاتړ کوي او آپریټر ته دندې چمتو کوي ترڅو viewد کنټرولر نقطو، IO ماډلونو، او نورو وصل شوي تجهیزاتو ته لاسرسی، او ستونزې حل کول.
8. د IO ماډل
   د IO ماډلونه کولی شي د ټچ فلیک اتصالونو (بریښنا او مخابراتو) په کارولو سره کنټرولر سره وصل شي یا د IO ماډلونه کولی شي د تار اډاپټر سره وصل شي کوم چې به بریښنا چمتو شي او په کنټرولر کې د RS485 انٹرفیسونو څخه یو سره وصل شي. د IO ماډلونه د موجوده انجینرۍ وسیلې لکه ComfortPointTM Open Studio وسیلې او Niagara 4 Workbench په کارولو سره د پروګرام وړ دي.

د شبکې پلان جوړونه او امنیت

1. ایترنیټ جال
   سپارښتنه کیږي چې د BMS سیسټم لخوا کارول شوي ایترنیټ شبکه د عادي دفتر شبکې څخه جلا شي.
   ExampLe:
   د هوا تشې یا مجازی خصوصي شبکې کارول. د ایترنیټ شبکې زیربنا ته فزیکي لاسرسی باید محدود وي. تاسو باید دا هم ډاډ ترلاسه کړئ چې نصب کول ستاسو د شرکت د معلوماتي ټکنالوژۍ پالیسۍ سره سمون لري.
   پرمختللي کنټرولرونه باید په مستقیم ډول له انټرنیټ سره وصل نه وي.
2. Web سرور
   پرمختللی کنټرولر HTTP او HTTPS دواړه چمتو کوي web سرورونه. که یو web سرور ته اړتیا نشته، سپارښتنه کیږي چې دواړه web سرورونه غیر فعال دي.
3. د BACnet™ IP شبکه
   د BACnetTM پروتوکول د ناامنه طبیعت له امله، پرمختللي کنټرولر، HMI، او IO ماډلونه چې BACnetTM کاروي باید په هیڅ حالت کې له انټرنیټ سره وصل نشي. د پرمختللي کنټرولر امنیتي سیسټم د BACnetTM لیکنو په وړاندې ساتنه نه کوي. د BACnetTM IP شبکې زیربنا ته فزیکي لاسرسی باید محدود شي. که چیرې د BACnetTM IP مخابراتو ته اړتیا نه وي، د پرمختللي کنټرولرانو (BACnetTMTM IP) شبکې ماډل باید د 'غیر فعال ماډل' پیرامیټر '1' ته تنظیم کولو سره غیر فعال شي.
   که چیرې د BACnetTMTM اړیکو ته اړتیا وي نو په کلکه سپارښتنه کیږي چې د BACnetTMTM بیک اپ/بیارغونه، وسیله بیا پیل کول او BACnetTMTM لیکلو وړ خدمات فعال نه شي. په هرصورت، دا به پدې معنی وي چې رامینځته شوې ستراتیژي د BTL سره مطابقت نلري - په 13 مخ کې "سیمه ایز امنیت" ته مراجعه وکړئ.
4. MS/TP (NC جوازونه)
   د MS/TP شبکې زیربنا ته فزیکي لاسرسی باید محدود شي. که چیرې د MS/TP شبکې ته اړتیا نه وي، د پرمختللي کنټرولر (BACnet™ MSTP) شبکې ماډل باید د 'غیر فعال ماډل' پیرامیټر '1' ته تنظیم کولو سره غیر فعال شي. IO بس (CAN جوازونه)
   د IO بس ته فزیکي لاسرسی باید محدود شي.
5. USB
   د پرمختللي کنټرولر USB محلي انجینرۍ پورټ ته فزیکي لاسرسی باید محدود شي.
6. RS485 (د موډبس جوازونو په ګډون)
   د کنټرولر RS485 پورټ ته فزیکي لاسرسی باید محدود شي. که اړتیا نه وي، د شبکې کوم ماډلونه چې له پورټ سره وصل وي باید په ستراتیژۍ کې شامل نه شي.
7. د موډبس IP شبکه (INT جوازونه)
   د موډبس پروتوکول د ناامنه طبیعت له امله، هغه پرمختللي کنټرولرونه چې د موډبس IP ملاتړ کوي باید په هیڅ حالت کې له انټرنیټ سره وصل نشي. د موډبس IP شبکې زیربنا ته فزیکي لاسرسی باید محدود شي. که چیرې د موډبس IP اړیکو ته اړتیا نه وي، د پرمختللي کنټرولر (موډبس IP) شبکې ماډل باید په ستراتیژۍ کې شامل نه شي.

پرمختللی کنټرولر، HMI، او IO ماډل امنیتي سیسټم

د پرمختللي کنټرولرانو امنیت د ISA 62433-3-3 SL 3 سره مطابقت لري او خوندي بوټ، یو تصدیق شوی او کوډ شوی شبکه، په آرامۍ کې کوډ کول، او همغږي شوي حساب مدیریت چمتو کوي.
د پرمختللي کنټرولر محصولاتو ته د لاسرسي ترلاسه کولو یا د پورته ذکر شویو دندو ترسره کولو لپاره باید د انجینرۍ سیسټم حساب یا د وسیلې سیسټم حساب لپاره یو باوري کارن نوم او پټنوم چمتو شي.

1. امنیت کله چې تنظیم شوی نه وي
   د پرمختللي کنټرولر، HMI او IO ماډلونو سره د تعامل لپاره، باید باوري اسناد چمتو شي. کنټرولر د فابریکې څخه پرته له کوم اسنادو (د سیسټم حسابونو یا کارونکي ماډلونو) څخه چمتو کیږي کوم چې ډاډ ترلاسه کوي چې کله لومړی ځل بریښنا ورکول کیږي نو دا د غیر مجاز لاسرسي څخه خوندي دی. کله چې لومړی ځل هڅه وشي چې د نیاګارا شبکې په پرمختللي محصولاتو کې د vCNC سره وصل شي نو د مدیر رول سره د انجینرۍ سیسټم حساب باید رامینځته شي.
2. د غیر مجاز وسیلو څخه ساتنه
   یو ځانګړی کیلي (د شبکې کیلي) د دې لپاره کارول کیږي چې ډاډ ترلاسه شي چې یوازې مجاز وسایل کولی شي د نیاګارا شبکې سره یوځای شي. ټول کنټرولرونه چې د نیاګارا شبکې جوړوي باید ورته د شبکې کیلي او UDP پورټ ولري. دا د لومړني ترتیب پروسې په جریان کې د IP وسیلې په کارولو سره تنظیم شوي.
   ExampLe:
   که چیرې څلور پرمختللي پلانټ کنټرولرونه ورته د شبکې کیلي (112233) ولري، او پنځم یې مختلف د شبکې کیلي ولري
   (۲۲۲). کله چې دوی د ورته ایترنیټ شبکې سره وصل شي، څلور کنټرولرونه چې ورته شبکې کیلي لري سره یوځای کیږي ترڅو یو واحد شبکه جوړه کړي، مګر پنځم کنټرولر به ونشي کولی چې له شبکې سره یوځای شي ځکه چې دا یو مختلف شبکې کیلي لري لکه (۲۲۲).
   په ورته ډول، که پنځم کنټرولر نوی وي (لکه څنګه چې له فابریکې څخه لیږدول شوی) او د ایترنیټ شبکې ته اضافه شي نو دا به د نیاګارا شبکې سره وصل نشي ځکه چې دا د شبکې کیلي نلري.
   1. د حساب د تایید کوډ
      کله چې د شبکې په کنټرولرونو کې د ادارې سیسټم حساب اضافه شي، د حساب تایید کوډ په اتوماتيک ډول د هغه کنټرولر لخوا رامینځته کیږي چې سیسټم حساب پکې اضافه شوی و. دا کوډ د ایترنیټ شبکې په ورته شبکې کیلي او UDP پورټ سره نورو ټولو کنټرولرونو سره همغږي کیږي.
      کله چې د حساب د تایید کوډ جوړ شي، په شبکه کې ټول کنټرولران باید د حساب د تایید کوډ او همدارنګه د شبکې کیلي او UDP پورټ ولري.
      Example:
      که چیرې پنځه کنټرولرونه وي، نو ټول پرمختللي کنټرولرونه ورته د شبکې کیلي لري. څلور یې ورته د حساب تایید کوډ (AVC) لري او له همدې امله یو شبکه جوړوي. پنځم یې د حساب تایید کوډ مختلف لري او که څه هم دا ورته د شبکې کیلي لري، دا نشي کولی د نورو کنټرولرانو سره یوځای شي.
3. د سیسټم حسابونه
   د سیسټم حسابونه خلکو او وسایلو ته دا توان ورکوي چې د پرمختللي کنټرولر سره اړیکه ونیسي. ورکړل شوی لاسرسی د حساب ډول او رول پورې اړه لري.
   د سیسټم حسابونه دوه ډوله دي:
   1. د انجینرۍ سیسټم حساب
   2. د وسیلې سیسټم حساب
   3. د انجینرۍ سیسټم حساب
      د انجینرۍ سیسټم حسابونه د انجینرانو لخوا د کارولو لپاره دي. د انجینرۍ هر سیسټم حساب د حساب نوم او پټنوم لري چې باید د کنټرولر لخوا د غوښتنې په وخت کې ورکړل شي. که چیرې یو باوري کارن نوم او پټنوم چمتو شي، کنټرولر به لاسرسی ورکړي.

د هر کس لپاره باید د انجینرۍ سیسټم جلا حساب جوړ شي. د انجینرۍ سیسټم حسابونه د دوو رولونو څخه یو ته ټاکل کیدی شي:

• د انجینرۍ رول
• د مدیر رول

د انجینرۍ رول
د انجینرۍ رول د پرمختللي سیسټم انجینرۍ، د وسیلې سیسټم حسابونو جوړولو/مدیریت او د کارونکي د خپل حساب توضیحاتو (بریښنالیک پته، پټنوم او نور) اداره کولو لپاره اړین لاسرسی چمتو کوي.
د مدیر رول
د مدیر رول د انجینرۍ رول په څیر ورته لاسرسی چمتو کوي او د ټولو انجینرۍ او وسیلو سیسټم حسابونو اداره کولو وړتیا هم لري.

د وسیلې سیسټم حساب
د وسیلې سیسټم حسابونه د دې لپاره دي چې د نیاګارا په څیر وسیلو ته اجازه ورکړي چې له شبکې سره وصل شي ترڅو اړین معلومات ترلاسه کړي او بدلونونه راولي. سپارښتنه کیږي چې د هرې وسیلې لپاره چې شبکې ته لاسرسی ولري د وسیلې سیسټم جلا حساب جوړ شي. دوی د 'څارونکي' رول لري.

مهم
مهم: د سرپرست خپل امنیتي سیسټم باید داسې تنظیم شي چې د هر سرپرست کارونکي د لاسرسي حقونه محدود کړي.

د سیسټم حساب جوړول
کله چې په نیاګارا شبکه کې د vCNC سره د نښلولو لپاره لومړی هڅه کیږي، نو باید د مدیر رول سره د انجینرۍ سیسټم حساب جوړ شي. دا حساب بیا د نیاګارا شبکې نورو کنټرولرانو سره همغږي کیږي.

• په ۱۲ مخ کې "همغږي شوي حساب مدیریت" ته مراجعه وکړئ. د نیاګارا ورک بینچ په کارولو سره د اړتیا په صورت کې اضافي حسابونه رامینځته کیدی شي.

نوټ
کله چې لومړی ځل د انجینرۍ سیسټم حساب په کنټرولر کې جوړ شي، د حساب تایید کوډ په اتوماتيک ډول تولید کیږي او د ایترنیټ شبکې نورو کنټرولرانو سره د ورته شبکې کیلي او UDP پورټ سره همغږي کیږي. کله چې کنټرولر د حساب تایید کوډ ولري، دا یوازې هغه شبکې سره یوځای کیدی شي چې کنټرولرونه ورته حساب تایید کوډ لري - په 11 مخ کې "د حساب تایید کوډ" ته مراجعه وکړئ.

د حساب همغږي مدیریت
د حسابونو همغږي مدیریت په اسانۍ او خوندي ډول د سیسټم حسابونه، د حساب تصدیق کوډ په ګډون، د ورته نیاګارا شبکې ټولو پرمختللي کنټرولرانو سره همغږي کوي. دا وړتیا ورکوي:

• د شبکې لپاره یو ځل ننوتل
• د امنیت کمولو پرته په ټوله سایټ کې د لاسرسي تنظیم کولو او ساتلو لګښت کم شوی. په ورته شبکه کې ټول پرمختللي کنټرولران به ورته سیسټم حسابونه ولري.

کله چې یو پرمختللی کنټرولر پرته له کوم سیسټم حسابونو څخه د ایترنیټ شبکې سره وصل شي او د نیاګارا شبکې لپاره د شبکې کیلي او UDP پورټ سره تنظیم شي نو دا به له شبکې سره یوځای شي او په اتوماتيک ډول به د نیاګارا شبکې له نورو کنټرولرانو څخه خپل سیسټم حسابونه ترلاسه کړي.

ExampLe:
که چیرې پورته سیسټم ته یو پرمختللی کنټرولر چې هیڅ سیسټم حسابونه نلري اضافه شي او د نیاګارا شبکې (112233) او UDP پورټ لپاره د شبکې کیلي ورکړل شي نو دا به له شبکې سره یوځای شي او د نیاګارا شبکې له نورو پرمختللو کنټرولرانو څخه به خپل سیسټم حسابونه (کاروونکی 1، کاروونکی 2، کاروونکی 3) ترلاسه کړي.
کله چې همغږي بشپړه شي نو دا به ممکنه وي چې د هر vCNC سره وصل شئ، ښکاره کړئ web پاڼې خلاصې کړئ او د نیاګارا شبکې هر پرمختللي کنټرولر ته د هر سیسټم حسابونو په کارولو سره ننوتل.
که چیرې د سیسټم حسابونو کې بدلونونه راشي لکه یو حساب اضافه شي، حذف شي یا ترمیم شي، دا بدلونونه به په اتوماتيک ډول د نیاګارا شبکې په ټولو پرمختللو کنټرولرونو کې همغږي شي.

ExampLe:
که چیرې پنځه پرمختللي کنټرولرونه شتون ولري، نو په کنټرولر (1) کې د سیسټم حسابونه د کارونکي 2 لرې کولو لپاره ترمیم کیږي، د کارونکي 3 نوم په کارونکي 3a بدلیږي او کارونکي 4 اضافه کیږي، بدلونونه به د کنټرولر (2)، کنټرولر (3)، کنټرولر (4) او کنټرولر (5) سره همغږي شي.

یادونه:
که چیرې د همغږۍ په جریان کې شخړه وموندل شي، وروستی بدلون لومړیتوب لري.

د پرمختللي کنټرولر شبکې کیلي بدلول
کله چې د پرمختللي کنټرولر شبکې کیلي بدله شي، نو د هغې ټول سیسټم حسابونه به حذف شي او دا به د هغې اوسني نیاګارا شبکې څخه حذف شي. د شبکې کیلي ته بدلون باید د یو باوري انجینر یا مدیر سیسټم حساب لخوا تصویب شي.
کله چې بدلون راشي، نو دا به د نوي شبکې کیلي په کارولو سره د نیاګارا شبکې سره یوځای شي، که چیرې شتون ولري، او د نوي نیاګارا شبکې له پرمختللي کنټرولر څخه د سیسټم حسابونه ترلاسه کړي، په دې شرط چې ورته UDP پورټ ولري.

سیمه ییز امنیت
سیمه ییز امنیت سیمه ییز کاروونکي (کاروونکي ماډلونه) کاروي ترڅو پرمختللي کنټرولرانو ته لاسرسی ومومي. web پاڼې یا په محلي ډول وصل شوي نندارتون او د لیدلو وړ معلوماتو کنټرول یا هغه ارزښتونه چې تنظیم کیدی شي.
د لاسرسي ترلاسه کولو او بدلونونو راوستلو لپاره باید د محلي کارونکي لپاره یو باوري کارن نوم او پټنوم چمتو شي. د کارونکي د PIN کچه دا ټاکي چې کوم پیرامیټرونه یو کارونکی لیدلی او تنظیمولی شي.

نوټ
محلي کاروونکي د نیاګارا شبکې د نورو پرمختللو کنټرولرانو سره همغږي نه دي.

ته لاسرسی Web پاڼې
کنټرولر ته لاسرسی web پاڼې د پرمختللي کنټرولر امنیتي سیسټم لخوا خوندي شوي دي. کله چې کنټرولر web سرور ته لاسرسی شوی a web یوه پاڼه ښکاره کیږي چې ځینې اساسي معلومات چمتو کوي او کارونکي ته د ننوتلو توان ورکوي - په ۱۳ مخ کې "ابتدايي لاسرسي" ته مراجعه وکړئ.
هغه کارونکي چې ننوځي د ننوتل شوي کاروونکو په توګه به چلند وشي - په 14 مخ کې "ننوتل شوي کاروونکي" ته مراجعه وکړئ. او هغه کارونکي چې لاسرسی لري web هغه پاڼې چې پرته له ننوتلو څخه وي، هغو ته به لاسرسی ورکړل شي لکه څنګه چې په ۱۳ مخ کې "ابتدايي لاسرسی" کې تشریح شوی.

لومړنی لاسرسی
کله چې کنټرولر web سرور ته لومړی لاسرسی د ښه راغلاست پاڼې ته ښودل کیږي او ورکړل شوی لاسرسی د کنټرولر اوسني امنیتي ترتیب پورې اړه لري:

• د انجینرۍ سیسټم حسابونه نشته او د کارونکي ماډلونه نشته (د فابریکې ډیفالټ)
• د 'ښه راغلاست' پاڼه ښکاره کیږي او د کنټرولر ته بشپړ لاسرسی لري web پاڼې او د بدلونونو کولو وړتیا به ورکړل شي.

نوټ
ځکه چې د انجینرۍ سیسټم حسابونه یا د کارونکي ماډلونه شتون نلري نو ننوتل به ممکن نه وي.

د انجینرۍ سیسټم حسابونه او د کارونکي ماډلونه نشته
د 'ښه راغلاست' پاڼه ښکاره کیږي، او کنټرولر به یوازې سینسر، ډیجیټل ان پټ، نوب، سویچ، ډرایور، مهالویش، د وخت مهالویش، وخت، پلاټ ماډلونو، د الارم لاګ، او ګرافیکونو ته لاسرسی ورکړي او بدلونونو ته به اجازه ورنکړي.

نوټ
د انجینرۍ سیسټم حسابونو په کارولو سره به ننوتل ممکن وي.

• د انجینرۍ سیسټم حسابونه او د کارونکي ماډلونه
  لومړنی ښودنه او لاسرسی د کارونکي ماډلونو لخوا کنټرول کیږي. که چیرې د کارونکي ماډل شتون ولري چې 'میلمه' نومیږي پرته له پټنوم څخه کله چې پرمختللي کنټرولر web مخونه پرته له ننوتلو څخه لاسرسی کیږي کنټرولر به د لاسرسي حقونه ورکړي (د کارونکي کچه، کور پاڼه، او view (د 'میلمه' کارونکي ماډل لخوا مشخص شوي).
  په ډیفالټ ډول د 'میلمه' کارونکي ماډل یوازې پرمختللي 'ښه راغلاست' پاڼې ته لاسرسی چمتو کوي او د کارونکي کچه '0' لري. دا پدې مانا ده چې یو کارونکی چې کنټرولر ته لاسرسی لري پرته له دې چې ننوځي یوازې به وکولی شي view د 'ښه راغلاست' پاڼه. د لا زیاتو لاسرسي لپاره د 'میلمه' کارونکي د بل ټایپ 0 کارونکي ماډل په څیر تنظیم کیدی شي.

یادونه:
د نیاګارا کاري بینچ د 'میلمه' کارونکي ته د پټنوم، پن، یا د '0' څخه لوړ کارونکي کچه ورکولو مخه نیسي. دا د کور پاڼې ته اجازه ورکوي او view د تنظیم کولو لپاره ډیفالټونه.

دا په کلکه سپارښتنه کیږي چې میلمه کارونکي د ډیفالټ ترتیب سره پاتې شي (د کارونکي کچه '0' او نه view حقونه).
که چیرې د 'میلمه' په نوم د کارونکي ماډل شتون ونلري یا دا د پټنوم سره تنظیم شوی وي نو 'ښه راغلاست' پاڼه ښکاره کیږي، او کنټرولر به یوازې سینسر، ډیجیټل ان پټ، نوب، سویچ، ډرایور، مهالویش، د وخت مهالویش، وخت، پلاټ ماډلونو، د الارم لاګ او ګرافیکونو ته لاسرسی ورکړي او بدلونونو ته به اجازه ورنکړي.

نوټ
دا به ممکنه وي چې د انجینرۍ سیسټم حسابونو او هر هغه کارونکي ماډلونو په کارولو سره ننوتل شي چې شتون لري.

ننوتل شوي کاروونکي
پرمختللي کنټرولر ته د ننوتلو لپاره web د مخونو لپاره، یو کارن نوم او پټنوم چې د پرمختللي کنټرولر انجینرۍ سیسټم حسابونو یا د ټایپ 0 کارن ماډلونو سره سمون لري باید داخل شي.

د پټنوم بیرته راګرځول
که چیرې یو کاروونکی خپل پټنوم هیر کړی وي نو دا د نیاګارا ورک بینچ په کارولو سره بیرته ترلاسه کیدی شي. د نیاګارا په کارولو سره د هیر شوي پټنوم بیرته ترلاسه کولو په اړه د جزیاتو لپاره د نیاګارا ورک بینچ کارونکي لارښود وګورئ.

د نیاګارا عملیاتي سیسټم خوندي کول

 عمومي ښه عمل
د عملیاتي سیسټم د خوندي کولو لپاره عمومي ښه عملونه تعقیب کړئ لکه:

• د پټنوم خوندي شوی سکرین سیور
• د ډرایو کوډ کولو سافټویر

د فایروال ترتیب
عملیاتي سیسټم باید د فایر وال کارولو لپاره تنظیم شي چې په اتوماتيک ډول تازه کیږي. ترتیب باید د ټولو پورټونو لپاره د لاسرسي (IN/OUT) مخه ونیسي پرته له هغو چې لاسرسی ورته اړین دی، هیڅ غیر کارول شوي پورټونه خلاص مه پریږدئ.

د عملیاتي سیسټم نسخه
تاسو باید ډاډ ترلاسه کړئ چې هر هغه وسیله چې د نیاګارا غوښتنلیکونه چلوي یا ورته IP شبکې سره وصل وي د عملیاتي سیسټم وروستي تازه معلومات نصب شوي دي. دا ښه عمل دی چې ډاډ ترلاسه کړئ چې د وینډوز تازه معلومات په اتوماتیک ډول پاتې کیږي او په وخت سره نصب شوي دي.

له وایرس څخه خوندیتوب
تاسو باید ډاډ ترلاسه کړئ چې هر هغه کمپیوټر چې د نیاګارا غوښتنلیکونه چلوي یا ورته IP شبکې سره وصل وي د ویروس محافظت سافټویر چلوي، او د ویروس تعریفونه تازه ساتل شوي دي.

 د مداخلې محافظت
د نیاګارا اپلیکیشن چلولو په هر کمپیوټر کې د امنیتي محصولاتو د یو معتبر چمتو کونکي څخه د مداخلې کشف سیسټم (IDS) کارول سپارښتنه کیږي. د غوره شوي محصولاتو لپاره غوره عملونه تعقیب کړئ او همدارنګه د هر هغه شرکت IT پالیسي تعقیب کړئ چیرې چې نصب شوی وي.
ډیری IDS او فایر وال محصولات د کمپیوټر دننه او بهر د ټولو ترافیکو ثبتولو لپاره بشپړ حل وړاندې کوي، کاروونکو ته دا وړتیا ورکوي چې ټول فعالیتونه په ټیټه کچه ثبت کړي.

د عمومي معلوماتو د ساتنې مقررات (GDPR)

د عمومي معلوماتو د ساتنې مقرره (EU)2016/679 (GDPR) د اروپايي اتحادیې په قانون کې د اروپايي اتحادیې (EU) او اروپايي اقتصادي سیمې (EEA) د ټولو انفرادي اتباعو لپاره د معلوماتو د ساتنې او محرمیت په اړه یو مقرره ده. دا د اروپايي اتحادیې او EEA سیمو څخه بهر د شخصي معلوماتو لیږد ته هم پاملرنه کوي. GDPR د EEA دننه د اشخاصو (د معلوماتو موضوعاتو) د شخصي معلوماتو پروسس کولو پورې اړوند احکام او اړتیاوې لري او په EEA کې رامینځته شوي هر شرکت ته پلي کیږي (پرته له دې چې د هغې موقعیت او د معلوماتو موضوعاتو تابعیت په پام کې ونیول شي) یا دا چې د EEA دننه د معلوماتو موضوعاتو شخصي معلومات پروسس کوي.
د GDPR د شرایطو لاندې، شخصي معلومات هر هغه معلومات شامل دي چې ممکن د یو فرد د پیژندلو لپاره وکارول شي. پدې کې شامل دي (مګر محدود ندي):

• د کارونکو نومونه،
• پاسورډونه،
• د تلیفون شمیرې،
• د برېښنالیک پتې،
• د کار یا استوګنې پتې.

هر ډول داسې معلومات چې په پرمختللي کنټرولر، HMI، او IO ماډل کې داخل شوي وي کوډ شوي او د پیرودونکي په ځای کې په پرمختللي محصولاتو کې زیرمه شوي دي. هني ویل د پرمختللي هني ویل محصولاتو کې د شخصي معلوماتو ذخیره کولو او/یا پروسس کولو کې هیڅ ډول ښکیلتیا نلري.
د GDPR د اړتیاوو سره د مطابقت مسؤلیت په بشپړ ډول د سیسټم ادغام کونکي یا سیسټم مدیر پورې اړه لري او په دې توګه، دوی باید ډاډ ترلاسه کړي چې کافي تخنیکي او سازماني سیسټمونه شتون لري ترڅو:

• د شخصي معلوماتو د ذخیره کولو، کارولو او/یا پروسس کولو لپاره د هر معلوماتي موضوع څخه واضح رضایت ترلاسه کړئ،
• افرادو ته اجازه ورکړئ چې د دوی شخصي معلوماتو ته لاسرسی ولري ترڅو دقت تایید کړي،
• افرادو ته اجازه ورکړئ چې هر وخت خپله رضایت بیرته واخلي او د دوی شخصي معلومات د تل لپاره له منځه یوړل شي،
• د معلوماتو د ذخیره کولو او لاسرسي امنیت او بشپړتیا په هر وخت کې ساتل،
• د معلوماتو د امنیت د هر ډول سرغړونې (چې ممکن د کارونکي محرمیت اغیزمن کړي) د سرغړونې د پیښې څخه د ۷۲ ساعتونو دننه اړونده ادارې ته راپور ورکړئ.

خوندي اړیکه

د عامه کیلي زیربنا (PKI) د عامه کوډ کولو کیليونو ویش او پیژندنه ملاتړ کوي چې د شبکو لکه انټرنیټ له لارې د معلوماتو تبادلې ساتلو لپاره کارول کیږي. PKI د بل اړخ هویت تاییدوي او د معلوماتو اصلي لیږد کوډ کوي. د هویت تایید د سرور د هویت غیر رد شوی ډاډ چمتو کوي. کوډ کول د شبکې لیږد پرمهال محرمیت چمتو کوي. د لاسلیک شوي کوډ ماډلونو ته اړتیا ډاډ ورکوي چې یوازې تمه شوي کوډ په سیسټم کې چلیږي.

د PKI په کارولو سره د خوندي شبکو چمتو کولو لپاره، نیاګارا د TLS (ټرانسپورټ پرت امنیت) پروتوکول ملاتړ کوي، نسخې 1.0، 1.1 او 1.2. TLS د خپل مخکیني، SSL (خوندي ساکټ پرت) ځای نیسي.
د نیاګارا هر نصب په اتوماتيک ډول یو ډیفالټ سند رامینځته کوي، کوم چې پیوستون ته سمدلاسه کوډ کولو ته اجازه ورکوي. په هرصورت، دا سندونه په براوزر او ورک بینچ کې خبرداری ورکوي او عموما د پای کاروونکو لپاره مناسب ندي. د دودیز ډیجیټل سندونو رامینځته کول او لاسلیک کول په براوزر کې د TLS بې ساري کارونې ته اجازه ورکوي، او دواړه کوډ کول او همدارنګه د سرور تصدیق چمتو کوي.
د مخابراتو امنیت هاخوا، د کمپیوټر کوډ هر ماډل چې په سیسټم کې چلیږي د ډیجیټل لاسلیک سره خوندي شوی. اضافه شوي پروګرام توکي دې لاسلیک ته اړتیا لري یا دوی نه چلیږي.

د سرور تایید کول، د لیږد کوډ کول او ډاډ ترلاسه کول چې یوازې لاسلیک شوي کوډ چلول د ذخیره کولو وسیلې کې زیرمه شوي معلومات خوندي نه کوي. تاسو لاهم اړتیا لرئ کمپیوټرونو او کنټرولرونو ته فزیکي لاسرسی محدود کړئ چې ستاسو د ودانۍ ماډل اداره کوي، د قوي پاسورډونو سره د کارونکي تصدیق تنظیم کړئ، او د اجازې کنټرولولو سره اجزا خوندي کړئ.
نیاګارا په ډیفالټ ډول د خوندي اړیکو او لاسلیک شوي کوډ ملاتړ او کاروي. تاسو اړتیا نلرئ اضافي جواز واخلئ.
امنیت یوه دوامداره اندیښنه ده. پداسې حال کې چې تاسو به د خوندي اړیکو موضوعاتو کې ډیر ارزښتناک معلومات ومومئ، د راتلونکي تازه معلوماتو او بدلونونو تمه وکړئ.
لاندې خوندي اړیکې دي. د نورو جزیاتو لپاره د نیاګارا سټیشن امنیت لارښود ته مراجعه وکړئ.

• د مراجعینو او سرورونو اړیکې
• سندونه
• د سندونو پلورنځي
• د CSR فولډر جوړښت
• د سند تنظیم
• د سند جادوګر
• د ګڼو سندونو لاسلیک کول
• د خوندي پلیټ فارم اړیکو تنظیم کول
• د خوندي سټیشن اړیکو تنظیم کول
• د مراجعینو فعالول او د سم پورټ لپاره یې تنظیم کول
• په بل پلیټ فارم کې د سټیشن کاپي نصب کول
• د برېښنالیک خوندي کول
• د خوندي اړیکو ستونزې حل کول

د مراجعینو او سرورونو اړیکې
د مراجعینو/سرور اړیکې هغه اړیکې پیژني چې محافظت ته اړتیا لري. د کار بینچ مراجعینو/سرور اړیکې د دې پورې اړه لري چې تاسو څنګه سیسټم تنظیم او کاروئ. کار بینچ تل یو مراجع وي. پلیټ فارم تل یو سرور وي. یو سټیشن ممکن یو مراجع او سرور وي.
د سیسټم پروتوکولونه چې اړیکې اداره کوي عبارت دي له:

• د ورک بینچ (مراجع) څخه د کنټرولر یا سوپروایزر PC پلیټ فارم ډیمون (سرور) پورې د پلیټ فارم اړیکې د نیاګارا کاروي. د خوندي پلیټ فارم اتصال ځینې وختونه د پلیټ فارم ټی ایل په نوم یادیږي. تاسو د پلیټ فارم ادارې په کارولو سره پلیټ فارم ټی ایل فعال کوئ. view.
• د محلي سټیشن اړیکې (سوپروایزران او پلیټ فارم) د فاکس څخه کار اخلي. تاسو دا اړیکې د سټیشن په فاکس سروس (کنفیګ> خدمات> فاکس سروس) کې فعالوئ.
• د براوزر اړیکې Https کاروي، او همدارنګه که تاسو یې کاروئ نو فاکس هم کاروي Web لانچر د Wb سرهWebپروfile. تاسو دا اړیکې د سټیشن په کارولو سره فعالوئ Webخدمت (تنظیم> خدمات> Webخدمت).
• د سټیشن د بریښنالیک سرور سره د مراجعینو اړیکې، که چیرې د تطبیق وړ وي. تاسو د سټیشن د بریښنالیک خدمت (Config > Services > Email Service) په کارولو سره خوندي بریښنالیک فعال کوئ.

سندونه
سند یو بریښنایی سند دی چې د یو شخص یا سازمان سره د عامه کیلي تړلو لپاره ډیجیټل لاسلیک کاروي. سندونه ممکن د مختلفو موخو لپاره کار وکړي پدې پورې اړه لري چې تاسو د سند د کیلي کارولو ملکیت څنګه تنظیم کوئ. پدې سیسټم کې د دوی اصلي هدف د سرور هویت تایید کول دي ترڅو اړیکه باوري شي. د نورو جزیاتو لپاره مهرباني وکړئ د نیاګارا سټیشن امنیت لارښود - سند ته مراجعه وکړئ.
نیاګارا د دې ډول سندونو ملاتړ کوي:

• د CA (د سند واک) سند یو ځان لاسلیک شوی سند دی چې د CA پورې اړه لري. دا ممکن دریم اړخ یا یو شرکت وي چې د خپل CA په توګه کار کوي.
• د روټ CA سند یو ځان لاسلیک شوی CA سند دی چې شخصي کیلي یې د نورو سندونو لاسلیک کولو لپاره کارول کیږي چې د باوري سند ونې رامینځته کوي. د دې شخصي کیلي سره، د روټ CA سند صادر کیدی شي، په USB ګوتو ډرایو کې په والټ کې زیرمه شي، او یوازې هغه وخت راوړل شي کله چې سندونه لاسلیک کولو ته اړتیا ولري. د روټ CA سند شخصي کیلي د صادرولو په وخت کې د پټنوم جوړولو او د ورته پټنوم چمتو کولو ته اړتیا لري کله چې تاسو یې د نورو سندونو لاسلیک کولو لپاره کاروئ.
• انټرمیډیټ سند د CA سند دی چې د روټ CA سند لخوا لاسلیک شوی وي چې د سرور سندونو یا نورو انټرمیډیټ CA سندونو لاسلیک کولو لپاره کارول کیږي. د انټرمیډیټ سندونو کارول د سرور سندونو یوه ډله جلا کوي.
• د سرور سند د خوندي پیوستون د سرور اړخ استازیتوب کوي. پداسې حال کې چې تاسو ممکن د هر پروتوکول لپاره جلا سند تنظیم کړئ (فاکس، Https، Webs). پداسې حال کې چې تاسو کولی شئ یو پلیټ فارم او سټیشن (د سرور په توګه) د جلا سرور سندونو سره تنظیم کړئ، د ساده والي لپاره ډیری سیسټمونه معمولا ورته سرور سند کاروي.
• د کوډ لاسلیک کولو سند هغه سند دی چې د پروګرام شیانو او ماډلونو لاسلیک کولو لپاره کارول کیږي. د سیسټمونو ادغام کونکي دا سند د دې لپاره کاروي چې د چوکاټ تنظیم کولو پرمهال د ناوړه کوډ معرفي کیدو مخه ونیسي.

پخپله لاسلیک شوي سندونه
یو ځان لاسلیک شوی سند هغه دی چې د ډیفالټ له مخې د خپل شخصي کیلي په کارولو سره لاسلیک کیږي نه د روټ CA (د سند اداره) سند شخصي کیلي لخوا.
دا سیسټم د ځان لاسلیک شوي سندونو دوه ډوله ملاتړ کوي:

• د روټ CA سند په ضمني ډول باور لري ځکه چې د CA (د سند اداره) څخه لوړ واک نشته چې دا سند لري. د دې دلیل لپاره، CAs، چې دنده یې د نورو خلکو سندونو تایید کول دي، د دوی د روټ CA سند (ونه) او شخصي کیلي په دقت سره ساتي. په ورته ډول، که ستاسو شرکت د خپل CA په توګه خدمت کوي، تاسو باید د روټ CA سند په دقت سره وساتئ چې تاسو یې د نورو سندونو لاسلیک کولو لپاره کاروئ.
• یو ډیفالټ، پخپله لاسلیک شوی سند: لومړی ځل چې تاسو د نصبولو (کمیشن کولو) وروسته د ورک بینچ، پلیټ فارم یا سټیشن یوه بیلګه پیل کوئ، سیسټم د ټریډیم عرف سره یو ډیفالټ، پخپله لاسلیک شوی سرور سند رامینځته کوي.

یادونه:
دا سند مه صادروئ او د بل پلیټ فارم یا سټیشن کوم پلورنځي ته یې وارد کړئ. که څه هم امکان لري، دا کار امنیت کموي او زیان منونکي زیاتوي.
د ځان لاسلیک شوي سندونو کارولو پرمهال د سړي په مینځ کې د برید خطر کمولو لپاره، ستاسو ټول پلیټ فارمونه باید په یوه خوندي خصوصي شبکه کې، له آنلاین څخه بهر، او د انټرنیټ څخه د عامه لاسرسي پرته وي.

احتیاط
د ځان لاسلیک شوي سندونو کارولو لپاره، مخکې له دې چې تاسو د لومړي ځل لپاره د ورک بینچ څخه پلیټ فارم یا سټیشن ته لاسرسی ومومئ، ډاډ ترلاسه کړئ چې ستاسو کمپیوټر او پلیټ فارم په کوم کارپوریټ شبکې یا انټرنیټ کې ندي. یوځل چې منقطع شي، کمپیوټر مستقیم پلیټ فارم سره وصل کړئ، پلیټ فارم د ورک بینچ څخه خلاص کړئ، او د هغې ځان لاسلیک شوی سند تصویب کړئ. یوازې بیا تاسو باید پلیټ فارم د کارپوریټ شبکې سره وصل کړئ.

د نوم ورکولو کنوانسیون
د کارونکي کیلي پلورنځی، د کارونکي باور پلورنځی، او د سیسټم باور پلورنځی د ترتیب زړه جوړوي. سندونه ډیر ورته ښکاري، او مختلف ډیفالټ ځان لاسلیک شوي سندونه ورته نومول شوي دي.

د سندونو پلورنځي
د سند مدیریت د سندونو اداره کولو لپاره څلور پلورنځي کاروي: د کارونکي کیلي پلورنځی، د سیسټم باور پلورنځی، د کارونکي باور پلورنځی او اجازه ورکړل شوي کوربه لیست.
د کارونکي کیلي پلورنځی د مراجعینو او سرور اړیکو د سرور اړخ سره تړاو لري. دا پلورنځی سندونه لري، هر یو یې د عامه او شخصي کیلي سره. سربیره پردې، دا پلورنځی هغه ځان لاسلیک شوی سند لري چې په پیل کې رامینځته شوی کله چې تاسو د لومړي ځل لپاره ورک بینچ پیل کړ یا پلیټ فارم بوټ کړ.
د کارونکي او سیسټم ټرسټ پلورنځي د مراجعینو او سرور اړیکو د مراجعینو اړخ سره تړاو لري. د سیسټم ټرسټ پلورنځی د معیاري عامه سندونو سره دمخه ډک شوی: د پیژندل شوي سند چارواکو څخه د روټ CA سندونه، لکه VeriSign، Thawte او Digicert. د کارونکي ټرسټ پلورنځي د هغو شرکتونو لپاره روټ CA او منځمهاله سندونه لري چې د خپل سند واک په توګه کار کوي.
د اجازه ورکړل شویو کوربه ګانو لیست د سرور سندونه لري چې د مراجعینو په سیسټم یا د کارونکي باور پلورنځیو کې د باور وړ روټ CA سند شتون نلري، مګر د سرور سندونه په هرصورت د کارولو لپاره تصویب شوي دي. پدې کې هغه سرورونه شامل دي چې د سرور کوربه نوم د سرور سند کې د عام نوم سره ورته نه دی. تاسو د دې سندونو کارول په انفرادي ډول تصویب کوئ. پداسې حال کې چې اړیکه خوندي ده، دا غوره ده چې لاسلیک شوي سرور سندونه وکاروئ.

کوډ کول
کوډ کول د معلوماتو د لیږد کوډ کولو پروسه ده ترڅو دا د غیر باوري دریمې ډلې لخوا ونه لوستل شي. TLS د مراجعینو او سرور ترمنځ د معلوماتو لیږدولو لپاره کوډ کول کاروي. پداسې حال کې چې دا ممکنه ده چې یوازې د فاکس یا HTTP پروتوکولونو په کارولو سره غیر کوډ شوي اړیکه جوړه کړئ، تاسو په کلکه هڅول کیږئ چې دا اختیار تعقیب نه کړئ. د کوډ کولو پرته، ستاسو اړیکې په بالقوه توګه د برید تابع دي. تل د ډیفالټ فاکس یا Https اړیکې ومنئ.

د امنیت ډشبورډ پورتهVIEW
په نیاګارا 4.10u5 او وروسته کې، د امنیت ډشبورډ ځانګړتیا (د مدیر او نورو مجاز کاروونکو لپاره) د الوتونکي سترګې چمتو کوي view ستاسو د سټیشن د امنیتي ترتیب. دا تاسو ته اجازه درکوي چې په ډیری سټیشن خدماتو کې د امنیتي ترتیب په اسانۍ سره وڅارئ، او په سټیشن کې د امنیتي ترتیب هر ډول ضعفونه وپیژنئ.

احتیاط
د امنیت ډشبورډ View ممکن هر ممکنه امنیتي ترتیبات ونه ښیې، او باید د دې تضمین په توګه ونه ګڼل شي چې هرڅه په خوندي ډول تنظیم شوي دي. په ځانګړې توګه، د دریمې ډلې ماډلونه ممکن امنیتي ترتیبات ولري چې ډشبورډ ته راجستر نه شي.

د امنیت ډشبورډ view اصلي دی view د سټیشن د امنیتي خدماتو په اړه. view تاسو ته د امنیتي کمزورتیاوو په اړه خبرداری درکوي لکه د پټنوم ضعیف ځواک ترتیبات؛ ختم شوي، پخپله لاسلیک شوي یا باطل سندونه؛ غیر کوډ شوي ټرانسپورټ پروتوکولونه، او نور، هغه سیمې په ګوته کوي چیرې چې ترتیب باید ډیر خوندي وي. نور راپور شوي معلومات شامل دي: د سیسټم روغتیا، د فعالو حسابونو شمیر، غیر فعال حسابونه، د سوپر کارونکي اجازې سره د حسابونو شمیر، او نور. په اختیاري توګه، د "securityDashboard" جواز ځانګړتیا کې د "سیسټم" ځانګړتیا د سیسټم فعالولو لپاره "ریښتیا" ته تنظیم کیدی شي. View د هغه سټیشن چې په نیاګارا نیټ ورک کې د هر فرعي سټیشن لپاره د امنیت توضیحات چمتو کوي.
د امنیت ډشبورډ اصلي دی view د امنیتي خدماتو لپاره. د بشپړ جزیاتو لپاره view، "nss-SecurityDashboard" ته مراجعه وکړئView"د نیاګارا سټیشن امنیتي لارښود کې."

پلان جوړول او نصب کول

پدې برخه کې د پرمختللي نبات کنټرولر نصبولو پلان کولو او ترسره کولو لپاره معلومات شامل دي.

وړاندیز شوی نصب او ترتیب
لاندې برخه د نصبولو دوه وړاندیز شوي ترتیبات ښیې.

• یوازې BACnet™
• BACnet™ او نیاګارا

یوازې BACnetTMBACnetTM
کله چې د پرمختللي پلانټ کنټرولر یوازې د BACnet™ مخابراتو لپاره کارول کیږي، یوازې ایترنیټ 1 د BAS شبکې سره وصل کړئ چیرې چې BACnet™ (BACnet™/IP یا BACnet™/Ethernet) به روان وي.

BACnet™ او نیاګارا
کله چې نیاګارا په پرمختللي پلانټ کنټرولر کې کارول کیږي، دا ممکن د خدماتو چمتو کولو لپاره تنظیم شي، لکه web خدمات یا نیاګرا فاکس، انټرنیټ/انټرانیټ/کارپوریټ شبکې ته. که دا قضیه وي، ایترنیټ 2 د BAS فایر وال له لارې انټرنیټ/انټرانیټ/کارپوریټ شبکې سره وصل کړئ ترڅو دې شبکې ته خدمات چمتو کړي.

د سیمه ییزو شبکو (LAN) سپارښتنه
ډاډ ترلاسه کړئ چې سیسټمونه ټولو خدماتو ته د کاروونکو د لاسرسي لپاره د مناسب پټنوم پالیسۍ سره سم کار کوي. پدې لارښود کې به شامل وي، مګر محدود نه دي:

1. د قوي پاسورډونو کارول.
2. د پټنوم د دوران سپارښتنه شوې موده.
3. د سیسټم د هر کارونکي لپاره ځانګړي کارونکي نومونه او پټنومونه.
4. د پټنوم افشا کولو قواعد.
5. که چیرې د معلوماتي ټکنالوژۍ پر بنسټ د ودانیو کنټرول سیسټمونو ته لیرې لاسرسی اړین وي، نو د معلوماتو د مداخلې خطر کمولو لپاره د VPN (مجازی خصوصي شبکې) ټیکنالوژۍ څخه کار واخلئ او د کنټرول وسایل په مستقیم ډول په انټرنیټ کې ځای پر ځای کیدو څخه خوندي کړئ.

اسناد

اسناد د ډیزاین او ترتیب معلوماتو په نیولو کې اړین دي چې د خوندي سیسټم ساتلو لپاره اړین دي.

د فزیکي وسایلو او تشکیلاتو مستند کول، په شمول د کلیدي امنیت پورې اړوند معلوماتو
په وسایلو او تشکیلاتو کې ټول اسناد باید د امنیت اړوند معلومات شامل وي ترڅو د ټاکل شوي امنیتي کنټرولونو رامینځته کولو او ساتلو لپاره. د مثال لپارهampاو، که چیرې په پرمختللي پلانټ کنټرولر کې په ډیفالټ خدماتو یا پورټونو کې بدلونونه رامینځته شي، نو دا په واضح ډول مستند کړئ ترڅو په راتلونکي کې په یو وخت کې تنظیمات بیرته راګرځول شي.

بهرني سیسټمونه مستند کړئ، په ځانګړې توګه د پرمختللي نبات کنټرولر او د هغې اړوند سیسټمونو ترمنځ تعامل
BAS عموما د فعالیت لپاره بهرني سیسټمونو ته اړتیا لري یا کاروي، لکه د موجوده شبکې زیربنا، VPN لاسرسی، مجازی ماشین کوربه، او فایر والونه. که BAS غواړي چې دا سیسټمونه د امنیت لپاره په یو ځانګړي ډول تنظیم شي، لکه فایر وال چې ځینې پورټونو ته اجازه ورکوي یا ردوي یا یوه شبکه چې ځینې سیسټمونو ته لاسرسی اجازه ورکوي، نو تاسو باید دا معلومات مستند کړئ. که چیرې دا سیسټمونه په راتلونکي کې په یو وخت کې بیا رغولو ته اړتیا ولري، مثالample: د تجهیزاتو د ناکامۍ له امله، یا په بهرني سیسټمونو کې بدلونونو ته اړتیا ده، مثالample: د فایر وال لوړول، د دې معلوماتو مستند کول به تاسو سره د پخوانۍ امنیتي کچې بیرته راګرځولو کې مرسته وکړي.

د لاسرسي کنټرول او فزیکي امنیت
د لاسرسي کنټرول کې یوازې مجاز کاروونکو ته وسیلو یا دندو ته لاسرسی مشخص کول او محدودول شامل دي.

د پرمختللي نبات کنټرولر، HMI، او IO ماډل په فزیکي توګه خوندي کړئ
د شبکې تجهیزاتو ته د غیر مجاز لاسرسي مخه ونیسئ چې د هني ویل لخوا چمتو شوي سیسټمونو سره په ګډه کارول کیږي. د هر سیسټم سره، شبکې او تجهیزاتو ته د فزیکي لاسرسي مخنیوی د غیر مجاز لاسوهنې خطر کموي. د معلوماتي ټکنالوژۍ نصبولو سره د امنیت غوره کړنې به ډاډ ترلاسه کړي چې د سرور خونې، پیچ پینلونه، او د معلوماتي ټکنالوژۍ تجهیزات په تړلو خونو کې دي. د هني ویل تجهیزات باید د تړلو کنټرول کابینې دننه نصب شي، چې پخپله په خوندي فابریکې خونو کې موقعیت لري.

د کنټرولر لاسرسي پینل یا احاطې باندې سټیکر
په کې درخواست وکړئampد پرمختللي پلانټ کنټرولر، HMI، او IO ماډل لاسرسي پینل یا احاطې باندې څرګند سټیکر
که چیرې یو پیرودونکی اضافي ډاډ ته اړتیا ولري چې د پرمختللي پلانټ کنټرولر، HMI، او IO ماډل ساتنه فزیکي لاسرسی نه دی داخل شوی، نو بیا په لاندې ډول نصب کړئ:ampد لاسرسي نقطې باندې څرګند مهر یا سټیکر.

شبکې جلا کړئ او خوندي یې کړئ

1. د انټرنیټ/انټرانیټ/کارپوریټ شبکې او BAS ترمنځ د فایر وال څخه کار واخلئ.
2. د BACnet™ اړیکو لپاره جلا وقف شوي فزیکي شبکې (جلا تارونه) یا مجازی شبکې (VLANs) وکاروئ. دا باید د انټرنیټ/انټرانیټ/کارپوریټ شبکې څخه جلا شبکه وي.
3. په پرمختللي پلانټ کنټرولر کې EN2 له هیڅ شبکې سره مه وصل کوئ پرته لدې چې تاسو د نیاګارا خدماتو (پلیټ فارم، سټیشن، او/یا) ته اړتیا ولرئ. Web(که تاسو اړتیا لرئ چې EN2 د انټرنیټ/انټرانیټ/کارپوریټ شبکې سره وصل کړئ، نو تاسو باید د پرمختللي پلانټ کنټرولر او انټر-نیټ/انټرانیټ/کارپوریټ شبکې ترمنځ د بهرني BAS فایر وال څخه کار واخلئ.)

بې سیم امنیت

1. کارونکي اړتیا لري چې بیاview د بېسیم شبکې امنیت د شبکې ټوپولوژي پر بنسټ، ډاډ ترلاسه کوي چې عامه انټرنیټ ته هیڅ ناغوښتل شوی مخابرات شتون نلري او د BAS فایر وال محافظت له پامه غورځول شوی نه وي.
2. دا اړینه ده چې تل د لوړ موجود بېسیم امنیت ټیکنالوژۍ لکه WPA2 یا WPA3 غوره کړئ. سربیره پردې، کاروونکي باید خپل پاسورډونه په خوندي ډول خوندي کړي، په شمول د وای فای پاسورډونه او بلوتوث ™ پن کوډونه مګر محدود ندي. هیڅکله کنټرولر ته اجازه مه ورکوئ چې د خلاص بېسیم شبکې سره وصل شي یا د خلاص بېسیم لاسرسي نقطه تنظیم کړي.
3. د احتمالي استحصالونو د مخنیوي لپاره تل د بېسیم شبکې سره د غیر مجاز وسیلو د نښلولو یا د بلوتوث ™ اتصالاتو رامینځته کولو څخه ډډه وکړئ.
4. دا د کارونکي مسؤلیت دی چې په منظم ډول بیا کتنه وکړيview د امنیت ترتیبات، د امنیتي پالیسۍ سره سم پاسورډونه یا پاس کوډونه بدل کړئ، او په بېسیم شبکې او فرعي شبکو کې وصل شوي وسایل وڅارئ. کاروونکي باید د دې پلټنې فعالیتونه هم مستند کړي.

د پرمختللي کنټرولر، HMI، او IO ماډل خوندي کول

1. د سایټ کارونکي ته د اداري سیسټم حساب اسناد ورکړل شوي
   د 'اډمین' سیسټم حساب اسناد باید د سایټ مالک ته ورکړل شي ترڅو دوی ته اجازه ورکړل شي چې د سیسټم حسابونه اداره کړي.
2. د امنیتي پروګرام جوړول
   'عمومي امنیت غوره عمل' ته مراجعه وکړئ
3. فزیکي او چاپیریالي پاملرنه
   پرمختللي کنټرولر، HMI، او IO ماډل باید په یوه تړل شوي چاپیریال کې نصب شي، د بیلګې په توګه په یوه خوندي فابریکه خونه کې، یا په یوه تړل شوې کابینې کې.

نوټ
د کافي هوا ککړه کول

امنیتي تازه معلومات او د خدماتو پیکونه
ډاډ ترلاسه کړئ چې پرمختللي کنټرولر، HMI، او IO ماډل د فرم ویئر وروستۍ نسخه چلوي.

کاروونکي او پاسورډونه

کاروونکي
ډاډ ترلاسه کړئ چې د کاروونکو شمیر او د لاسرسي کچه د هغو فعالیتونو لپاره مناسبه ده چې دوی ورته اړتیا لري.

• د کنټرولر وسیلې په کچه د سیسټم حسابونه یا کاروونکي په کنټرولرونو کې تنظیم کړئ Web مراجع، څارونکی او د ملګري سره لاسرسی.
  په پرمختللي کنټرولرونو کې د کارونکي ماډلونو تنظیم کول، دا پدې مانا ده چې یو کارونکی به د سمونونو رامینځته کولو دمخه د اعتبار وړ اسنادو سره وسیله ته ننوتل ولري. ډاډ ترلاسه کړئ چې د سیسټم حسابونو او کاروونکو لپاره مناسب لاسرسي حقونه ټاکل شوي دي.
• د هر کارونکي لپاره جلا حساب وکاروئ
  د عمومي لاسرسي پرځای، په سیسټم کې د هر کارونکي/حساب لپاره ځانګړي نومونه او پټنومونه وکاروئ. مختلف خلک باید هیڅکله ورته حساب شریک نه کړي. د مثال په توګهampاو، د عمومي 'مدیرانو' حساب پر ځای چې ډیری مدیران یې کارولی شي، هر مدیر باید خپل جلا حساب ولري.

ډیری دلیلونه شتون لري چې هر کارونکی خپل انفرادي حساب لري:

که چیرې هر کس خپل حساب ولري، نو د پلټنې لاګونه به ډیر معلوماتي وي. دا به اسانه وي چې په سمه توګه معلومه شي چې کوم کارونکي څه کړي دي. دا کولی شي د دې په موندلو کې مرسته وکړي چې ایا حساب له خطر سره مخ شوی دی.

نوټ
ټول محصولات د پلټنې لاګ اسانتیا نلري، مګر چیرې چې شتون ولري باید غیر فعال نشي.

• که چیرې یو حساب لرې شي یا تعدیل شي، نو دا ډیری خلکو ته تکلیف نه ورکوي. د مثال په توګهampخو، که چیرې یو کس نور لاسرسی ونلري، نو د دوی انفرادي لاسرسی حذف کول ساده دي. که دا یو شریک حساب وي، یوازینۍ اختیارونه د پټنوم بدلول او ټولو ته خبر ورکول دي، یا حساب حذف کول او ټولو ته خبر ورکول دي. حساب لکه څنګه چې دی پریښودل یو اختیار نه دی - هدف دا دی چې لاسرسی لغوه شي.
• که چیرې هر کس خپل حساب ولري، نو د دوی اړتیاوو د پوره کولو لپاره د اجازې تنظیم کول خورا اسانه دي. یو شریک حساب کولی شي خلک د هغه څه په پرتله ډیر اجازې ولري چې دوی یې باید ولري.
  یو شریک شوی حساب د شریک شوي پټنوم معنی لري. د پټنومونو شریکول یو خورا ناوړه امنیتي عمل دی. دا د پټنوم د لیکیدو احتمال ډیر کوي، او د ځینې غوره پټنومونو پلي کول خورا ستونزمن کوي، لکه د پټنوم پای ته رسیدل.
• د پروژو لپاره د ځانګړو انجینرۍ کاروونکو کارول
  دا یو عام عمل دی چې ځینې شرکتونه په هره پروژه کې ورته حساب توضیحات کاروي. یوځل چې دا معلومه شي چې ایا یو سیسټم له خطر سره مخ دی، بریدګر ممکن د ورته شرکت لخوا نصب شوي ډیری نورو پروژو ته د لاسرسي لپاره اسناد ولري.
• کله چې امکان ولري پیژندل شوي حسابونه غیر فعال کړئ
  ځینې ​​محصولات ډیفالټ حسابونه لري. دا باید داسې تنظیم شي چې پټنوم نور ډیفالټ نه وي.
• د کاروونکو لپاره لږترلږه اړینې اجازې وټاکئ
  ډاډ ترلاسه کړئ چې یوازې اړین حسابونه په سیسټم کې د لږترلږه امنیتي کچو سره تنظیم شوي دي نه د بشپړ لاسرسي پرځای. کله چې نوی حساب جوړ کړئ، فکر وکړئ چې سړی په سیسټم کې څه کولو ته اړتیا لري، او بیا د دې کار کولو لپاره اړین لږترلږه اجازې ورکړئ. د مثال په توګهampکه نه، هغه څوک چې یوازې د الارمونو لیدلو ته اړتیا لري د مدیر لاسرسي ته اړتیا نلري. د هغو اجازو ورکول چې اړین ندي د امنیت سرغړونې چانس زیاتوي. کارونکی ممکن په ناڅاپي ډول (یا په قصدي ډول) هغه ترتیبات بدل کړي چې دوی باید بدل نه کړي.
• د سیسټم مدیر حسابونو لږترلږه ممکنه شمیره وکاروئ
  یوازې هغه وخت د سیسټم مدیرانو ته اجازه ورکړئ کله چې په بشپړه توګه اړین وي. دا ډول حساب یو خورا پیاوړی حساب دی - دا هرڅه ته بشپړ لاسرسی ته اجازه ورکوي. یوازې د سیسټم مدیر باید حساب ته لاسرسی ولري. همدارنګه د سیسټم مدیر ته د دوه حسابونو چمتو کولو په اړه فکر وکړئ، یو د ورځني لاسرسي لپاره د ورځني فعالیتونو اداره کولو لپاره، او دوهم د لوړې کچې لاسرسي حساب چې یوازې هغه وخت اړین وي کله چې د ادارې ډول بدلونونو ته اړتیا وي.

پاسورډونه
د نیاګارا سیسټم او عملیاتي سیسټمونه چې د پرمختللي هني ویل محصولات کاروي د پاسورډونو څخه کار اخلي ترڅو 'کاروونکي' په څارونکي، ښودنې، وسیلې یا عملیاتي سیسټمونو کې تصدیق کړي. دا په ځانګړي ډول مهم دي چې پاسورډونه په سمه توګه اداره کړئ. د امنیت د دې لومړني کچې نه کارول به پدې معنی وي چې هرڅوک د ښودنې له لارې سیسټم ته لاسرسی ولري، web مراجع یا څارونکی به د سمونونو کولو لپاره لاسرسی ولري. ډاډ ترلاسه کړئ چې د نیاګارا سیسټم د کارونکي لاسرسي لپاره د مناسب پټنوم پالیسۍ سره سم کار کوي، پدې لارښود کې به شامل وي، مګر محدود نه وي:

• د قوي پاسورډونو کارول - قوي پاسورډونه باید وکارول شي. د دې لپاره چې یو قوي پاسورډ څه شی جوړوي، د وروستي امنیتي معیارونو ته مراجعه وکړئ.
• د پاسورډ د دورې سپارښتنه - د نیاګارا ځینې محصولات د سیسټم مدیر ته اجازه ورکوي چې یوه موده مشخص کړي چې وروسته باید پاسورډ بدل شي. که څه هم ټول محصولات اوس مهال د پاسورډ د بدلون دا موده نه پلي کوي، د سایټ پالیسي کولی شي دا سپارښتنه وکړي.
• د پټنوم د افشا کولو قواعد - کارونکی باید ډاډ ترلاسه کړي چې دوی د خپل کارونکي نوم او پټنوم توضیحات نورو ته نه افشا کوي او نه یې لیکي.

د پرمختللي نباتاتو کنټرولر تنظیم کول
د پرمختللي پلانټ کنټرولر د تنظیم لپاره، د نصبولو لارښوونې او کمیشن کولو لارښود وګورئ.
(۳۱-۰۰۵۸۴). د HMI لپاره د HMI ډرایور لارښود (۳۱-۰۰۵۹۰) او د IO ماډل لپاره د پینل بس ډرایور لارښود (۳۱-۰۰۵۹۱) وګورئ.

د بنسټیز تشکیلاتو جوړول او ساتل
د پرمختللي پلانټ کنټرولر تشکیلاتو اساس جوړ کړئ او وساتئ چې د امنیت لپاره په سمه توګه تنظیم شوي وي. ډاډ ترلاسه کړئ چې پدې اساس کې DCF هم شامل دی. files او نیاګارا اجزا. په راتلونکي کې د دوی د ناڅرګند پلي کولو مخنیوي لپاره ناامنه تشکیلات اساس ته مه اړوئ. کله چې تشکیلات بدل شي نو اړوند اسناد تازه کړئ.

 ډیفالټ پاسورډونه بدل کړئ
ټول ډیفالټ پاسورډونه بدل کړئ: د کنسول ترتیب پاسورډ، د بیک اپ/بیا رغونه/بیا پیل/کنټرول پاسورډ، او د نیاګارا پلیټ فارم پاسورډ. کله چې کمیشن کول بشپړ کړئ، ډاډ ترلاسه کړئ چې وسیله د پټنوم سره خوندي ده. ډاډ ترلاسه کړئ چې د سایټ کاروونکو لپاره مناسب کارونکي کچې ټاکل شوي دي.

نور نظرونه

د خدماتو د کچې تړون
د خدماتو کچې تړون د یوې برخې په توګه په سایټ کې نصب شوي زیربنا لپاره د تازه کولو مناسبه پالیسي غوره کړئ. پدې پالیسي کې باید د سیسټم لاندې برخې وروستي نسخې ته تازه کول شامل وي، مګر محدود ندي:

• د کنټرولر، IO ماډلونو، HMI، او نورو لپاره د وسیلو فرم ویئر؛
• د څارونکي سافټویر، لکه د ارینا این ایکس سافټویر؛
• د کمپیوټر / سرور عملیاتي سیسټمونه؛
• د شبکې زیربنا او هر ډول لرې لاسرسي سیسټمونه.

د معلوماتي ټکنالوژۍ شبکې ترتیب
د اتومات کنټرول سیسټمونو او د پیرودونکي د شرکت د معلوماتي ټکنالوژۍ شبکې لپاره جلا معلوماتي ټکنالوژۍ شبکې تنظیم کړئ. دا ممکن د پیرودونکي د معلوماتي ټکنالوژۍ زیربنا کې د VLANs (مجازی LANs) تنظیم کولو یا د اتومات کنټرول سیسټمونو لپاره وقف شوي هوایی ګیپ شوي جلا شبکې زیربنا نصبولو سره ترلاسه شي.
کله چې د مرکزي سیسټم څارونکي په کارولو سره د کنټرولرانو سره اړیکه ونیسئ (پخوانیample: نیاګارا) او چیرې چې سیسټم انفرادي وسیلو ته مستقیم لاسرسي ته اړتیا نلري web سرور، د شبکې زیربنا باید د محدودولو لپاره تنظیم شي web سرور لاسرسی.
متحرک VLANs چې د MAC پتې تخصیص کاروي کولی شي د سیسټم سره د وسیلې د غیر مجاز پیوستون په وړاندې ساتنه وکړي او کولی شي په شبکه کې د انفرادي څارنې معلوماتو سره تړلی خطر کم کړي.

د باس اور دیوال تنظیم کول

لاندې جدول د پرمختللي پلانټ کنټرولر کې کارول شوي شبکې پورټونه تشریح کوي. د "سیسټم اوور" ته مراجعه وګورئ.view"په ۸ مخ کې. د پخواني لپارهampد نصبولو جوړښت. جدول لاندې ستنې لري:

• ډیفالټ پورټ او پروتوکول (TCP یا UDP)
• د بندر موخه
• ایا ډیفالټ پورټ بدلولو ته اړتیا لري یا نه
• آیا د BAS فایر وال له لارې راتلونکو اړیکو یا ترافیک ته اجازه ورکړل شي یا نه
• اضافي یادښتونه د جدول لاندې لیست شوي دي

جدول ۲ د BAS فایر وال تنظیم کول

ډیفالټ پورټ/پروتوکول	موخه	له ډیفالټ څخه بدل کړئ؟	د BAS فایروال له لارې اجازه ورکړئ؟	یادښتونه
80 / TCP	HTTP	نه	نه
443 / TCP	HTTPs	نه	احتمال لري، که web د انټرنیټ/انټرانیټ/کارپوریټ شبکې څخه لاسرسی اړین دی.	1
1911 / TCP	فاکس (د نیاګارا اپلیکیشن پروتوکول غیر خوندي نسخه)	هو	نه
4911 / TCP	فاکس + ایس ایس ایل (د نیاګارا اپلیکیشن پروتوکول خوندي نسخه)	هو	نه
3011 / TCP	نیاګارا ډي (د نیاګارا پلیټ فارم پروتوکول غیر خوندي نسخه)	هو	نه
5011 / TCP	نیاګاراډ + ایس ایس ایل (د نیاګارا پلیټ فارم پروتوکول خوندي نسخه)	هو	نه
2601 / TCP	د زیبرا کنسول پورټ	نه	نه	2
2602 / TCP	د RIP کنسول پورټ			2
47808/UDP	د BACnet™/IP شبکې اتصال	هو	نه	3

نوټ

1. که مستقیم ریموټ وي web که چیرې د کارونکي انٹرفیس ملاتړ شوی وي، نو دا پورټ باید د BAS فایر وال له لارې اجازه ورکړل شي.
2. پورټ په اتوماتيک ډول د دې ډیمون لخوا خلاصیږي او دا فعالیت نشي کولی غیر فعال شي. ډیمون داسې تنظیم شوی چې د دې پورټ له لارې هیڅ ننوتلو ته اجازه ورنکړي.
3. په دې لارښود کې ذکر شوي د شبکې تنظیم کولو لارښوونې تعقیب کړئ نو پرمختللي پلانټ کنټرولر به هیڅکله د BAS فایر وال له لارې د UDP ترافیک تیرولو ته اړتیا ونلري.

د اعتبار ټاکل

د ګوګل د تصدیق سکیم د دوه فکتورونو تصدیق کولو میکانیزم دی چې کارونکي ته اړتیا لري چې خپل پټنوم او همدارنګه د سټیشن ته د ننوتلو پرمهال یو ځل کارول کیدونکی نښه دننه کړي. دا د کارونکي حساب ساتي حتی که د هغه پټنوم له خطر سره مخ شوی وي.
دا د تصدیق سکیم د کارونکي په ګرځنده وسیله کې د TOTP (وخت پر بنسټ یو وخت پاسورډ) او د ګوګل تصدیق کونکي ایپ باندې تکیه کوي ترڅو د یوځل کارولو تصدیق ټوکنونه تولید او تایید کړي. د ګوګل تصدیق د وخت پر بنسټ دی، نو د کارونکي د ګرځنده وسیلې، سټیشن، یا بهرني سرورونو ترمنځ د شبکې اړیکو پورې هیڅ تړاو نشته. څرنګه چې تصدیق کونکی د وخت پر بنسټ دی، په سټیشن کې وخت او په تلیفون کې وخت باید په نسبي ډول همغږي پاتې شي. ایپ د ساعت د اندازې د حساب لپاره د جمع یا منفي 1.5 دقیقو بفر چمتو کوي.
شرطونه: د کارونکي ګرځنده تلیفون د ګوګل تصدیق ایپ ته اړتیا لري. تاسو په ورک بینچ کې کار کوئ. کارونکی د سټیشن ډیټابیس کې شتون لري.

کړنلاره

1. د ګاؤت پیلټ پرانیزئ او د ګوګل تصدیق سکیم د Nav ونې کې د خدماتو > تصدیق خدماتو نوډ ته اضافه کړئ.
2. په Userservice ښي کلیک وکړئ، او په جدول کې په کاروونکي دوه ځله کلیک وکړئ. view د کارونکي لپاره خلاصیږي.
3. د تصدیق سکیم نوم ملکیت د ګوګل تصدیق سکیم ته تنظیم کړئ او په خوندي کولو کلیک وکړئ.
4. د کارونکي تصدیق کونکي لاندې د پټې کیلي تر څنګ تڼۍ کلیک وکړئ او لارښوونې تعقیب کړئ.
5. د ترتیب بشپړولو لپاره، خوندي کلیک وکړئ. پورې اړه لري view که تاسو یې کاروئ، نو تاسو ممکن د کارونکي بیا خلاصولو یا د خوندي کولو وروسته تازه کولو ته اړتیا ولرئ.

د سیسټم تحویلي
دا برخه هغه معلومات لري چې تاسو باید د سیسټم مالک ته د BAS سپارلو پرمهال چمتو کړئ.

• هغه اسناد چې د امنیت معلومات، د ترتیب ترتیبات، د ادارې کارونکي نومونه او پاسورډونه، د ناورین او بیا رغونې پلانونه، او د بیک اپ او بیا رغونې پروسیجرونه پکې شامل دي.
• د امنیتي ساتنې دندو په اړه د وروستي کاروونکو روزنه.

د USB بیک اپ او کلینډیسټ FILE نصب کول
کاروونکی باید هغه پاسفریج خوندي کړي چې د کنټرولر د زپ کولو او خلاصولو لپاره کارول کیږي. د بیک اپ یا بیا رغونې پروسې په جریان کې د پاسفریجونو او کنټرولر اسنادو شریکولو څخه ډډه وکړئ.
د USB بیک اپ او کلین ډیسټ file د نصبولو معلومات د نصبولو لارښوونې او کمیشن کولو لارښود - 31-00584 کې موندل کیدی شي.

د سیسټم لغوه کول
حساس معلومات باید د هغو واحدونو څخه پاک شي چې له خدمت څخه ایستل کیږي او دا د فابریکې بیا تنظیم کولو سره ترسره کیدی شي. د خدماتو تڼۍ/د خدماتو الارم LED او کلین ډیسټ ته مراجعه وکړئ. file د نصبولو لارښوونې او کمیشن کولو لارښود څخه نصب کول - 31-00584.

نوټ
کلین ډیسټ file پروسیجر کولی شي د کلین 4 نصبولو سره د فابریکې سیټ ترسره کړي file.

د نیاګارا پر بنسټ پرمختللي محصولاتو امنیت
د پرمختللي هني ویل محصولاتو لپاره چې د نیاګرا N4 او نیاګرا AX چوکاټونو پر بنسټ والړ دي (د بیلګې په توګه د پرمختللي نبات کنټرولر، HMI، او IO ماډل)، تاسو باید د نیاګرا چوکاټ خوندي کولو لپاره د ټریډیم مشورې تعقیب کړئ.
په نیاګارا کې یو شمیر ترتیباتي بدلونونه شتون لري چې د پرمختللي هني ویل محصولاتو امنیت اعظمي کولو لپاره ترسره کیدی شي.

• د پټنوم د ځواک ځانګړتیا وکاروئ
• د حساب بندولو ځانګړتیا فعاله کړئ
• د پاسورډونو موده ختمه شوه
• د پټنوم تاریخ وکاروئ
• د پټنوم بیا تنظیمولو ځانګړتیا وکاروئ
• د "دا اسناد په یاد ولرئ" بکس بې چک پریږدئ.
• د سیسټم ډیفالټ پاسفریج بدل کړئ
• د سیسټم پاسفریج تنظیم کولو لپاره TLS وکاروئ
• د سیسټم یو پیاوړی پاسورډ غوره کړئ
• د سیسټم پاسفریز خوندي کړئ
• ډاډ ترلاسه کړئ چې د پلیټ فارم مالک د سیسټم پاسفریج پیژني
• د هر پلیټ فارم کارونکي لپاره یو جلا حساب وکاروئ
• د هرې پروژې لپاره د حساب ځانګړي نومونه وکاروئ
• ډاډ ترلاسه کړئ چې د پلیټ فارم مالک د پلیټ فارم اسناد پیژني
• د هر سټیشن کارونکي لپاره یو جلا حساب وکاروئ
• د هرې پروژې لپاره د خدماتو ځانګړي ډول حسابونه وکاروئ
• کله چې امکان ولري پیژندل شوي حسابونه غیر فعال کړئ
• لنډمهاله حسابونه تنظیم کړئ ترڅو په اتوماتيک ډول پای ته ورسیږي
• د سیسټم ډول حساب اسناد بدل کړئ
• کله چې مناسب وي هممهاله غونډو ته اجازه مه ورکوئ
• د لږترلږه اړینو اجازو سره رولونه تنظیم کړئ
• کاروونکو ته لږترلږه اړین رولونه وټاکئ
• د سوپر کاروونکو لږترلږه ممکنه شمیره وکاروئ
• د پروګرام شیانو لپاره د سوپر کارونکي اجازې ته اړتیا ده
• د بهرنیو حسابونو لپاره لږترلږه اړین اجازې وکاروئ
• د حساب ډول لپاره مناسب د تصدیق سکیم وکاروئ
• د غیر ضروري تصدیق سکیمونه لرې کړئ
• د TLS او سند مدیریت
• روزنیز ماډل
• د لاسلیک شوي پروګرام شیانو او روبوټونو ته اړتیا ده
• SSH او SFTP غیر فعال کړئ
• غیر ضروري خدمات غیر فعال کړئ
• اړین خدمات په خوندي ډول تنظیم کړئ
• نیاګارا ۴ وروستي نسخې ته تازه کړئ
• محصول په خوندي ځای کې نصب کړئ
• ډاډ ترلاسه کړئ چې سټیشنونه د VPN تر شا دي
• ځانګړي تخنیکي خپرونې شتون لري چې باید تعقیب شي ترڅو ډاډ ترلاسه شي چې سیسټم د امکان تر حده په خوندي ډول تړل شوی دی. ډیری اختیارونه شتون لري لکه د SSL کوډ کول او د عناصرو د ساتنې لپاره اضافي ګامونه لکه د پروګرام ماډلونه، د نورو جزیاتو لپاره ټریډیم ته مراجعه وکړئ. webد نیاګارا ۴ سختولو لارښود (د نیاګارا N4 پر بنسټ محصولاتو لپاره) او د نیاګارا سختولو لارښود (د نیاګارا AX پر بنسټ محصولات) لپاره سایټ.

پدې سند کې توکي یوازې د معلوماتو هدفونو لپاره دي. مینځپانګه او بیان شوي محصول د خبرتیا پرته د بدلون تابع دي. هوني ویل د دې سند په اړه هیڅ نمایش یا تضمین نلري. په هیڅ حالت کې به هوني ویل پدې سند کې د تخنیکي یا مدیریتي نیمګړتیاو یا غلطیو لپاره مسؤل نه وي ، او نه به دا د کوم زیان ، مستقیم یا ناڅاپي ، د دې سند کارولو څخه رامینځته شوي یا پورې اړوند مسؤلیت ولري. د دې سند هیڅ برخه ممکن د هوني ویل مخکیني لیکلي اجازې پرته په کوم شکل یا کومې لارې بیا تولید نشي.
هیني ویل | د ودانولو اتومات

715 د پیچ ​​ټریټ سړک، NE،

• اتلانتا، جورجیا، 30308، متحده ایالات.
• https://buildings.honeywell.com/us/en
• ® د متحده ایالاتو راجستر شوی سوداګریز نښه
• ©۲۰۲۴ هني ویل انټرنیشنل شرکت ۳۱-۰۰۵۹۴-۰۳ ریو. ۱۲-۲۴

د نصبولو امنیتي چک لیست

• د پرمختللي نبات کنټرولر وسیلې مثال: ______________________________________________________________
• د پرمختللي نبات کنټرولر توضیحات: ________________________________________________________________
• د پرمختللي نبات کنټرولر ځای: ___________________________________________________________________
• نصب کونکی: ______________________________________________________
• نیټه: ____________________________________

د هر نصب شوي پرمختللي پلانټ کنټرولر لپاره لاندې امنیتي دندې بشپړې کړئ

• د پرمختللي پلانټ کنټرولر او بهرنۍ شبکې (شبکو) ترمنځ فایر وال نصب کړئ. په ۱۹ مخ کې "BACnet او نیاګارا" وګورئ.
• د پرمختللي نبات کنټرولر په فزیکي توګه خوندي کړئ. په ۲۲ مخ کې "د پرمختللي نبات کنټرولر، HMI، او IO ماډل په فزیکي توګه خوندي کړئ" ته مراجعه وکړئ.
• د لاندې هر یو لپاره ډیفالټ پټنوم په ځانګړي پټنوم بدل کړئ: د کنسول ترتیب، بیک اپ/بیا رغونه/بیا پیل/کنټرول، او د نیاګارا پلیټ فارم. د نصبولو لارښوونې او کمیشن کولو لارښود وګورئ - 31-00584
• که الف web سرور ته اړتیا ده، بیا یې یوازې په HTTPS حالت کې د کار کولو لپاره تنظیم کړئ. د نصبولو لارښوونې او کمیشن کولو لارښود وګورئ - 31-00584

Web د سرور حالت: غیر فعال / فعال شوی.
If web که خدمت فعال شوی وي، لاندې کارونه بشپړ کړئ:

• د Http فعالول = غلط تنظیم کړئ.
• د Https فعالول = ریښتیا تنظیم کړئ.
• یوازې Https تنظیم کړئ = ریښتیا.
• د BAS فایر وال تنظیم کړئ. په ۲۶ مخ کې "د BAS فایر وال تنظیم کول" ته مراجعه وکړئ.
• د سپارلو پر مهال د BAS سیسټم مالک ته ټول اړین معلومات ورکړئ. په ۲۷ مخ کې "د تصدیق تنظیم کول" ته مراجعه وکړئ.

FAQ

• ولې د پرمختللي کنټرولر خوندي کول مهم دي؟
  د کنټرولر خوندي کول د غیر مجاز لاسرسي مخنیوي کې مرسته کوي، حساس معلومات ساتي، او د سیسټم اعتبار ډاډمن کوي.
• څنګه کولی شم خپل پټنوم بیرته ترلاسه کړم؟
  د خپل پټنوم د بیرته ترلاسه کولو لپاره، په لارښود کې ذکر شوي د پټنوم د بیرته ترلاسه کولو پروسه تعقیب کړئ. پدې کې معمولا ستاسو د حساب معلوماتو تایید کول شامل دي.

اسناد / سرچینې

د هني ویل اصلاح کوونکی پرمختللی کنټرولر [pdf] د کارونکي لارښود ۳۱-۰۰۵۹۴-۰۳، اصلاح کوونکی پرمختللی کنټرولر، پرمختللی کنټرولر، کنټرولر

حوالې

• د کارن لارښود