Sadržaj sakriti
1 Honeywell Optimizer napredni kontroler
2 SISTEM JE GOTOVVIEW
3 PLANIRANJE I SIGURNOST MREŽE
4 NAPREDNI SISTEM SIGURNOSTI KONTROLERA, HMI I IO MODULA
5 OSIGURANJE NIAGARA OPERATIVNOG SISTEMA
6 OPĆA UREDBA O ZAŠTITI PODATAKA (GDPR)
7 SIGURNA KOMUNIKACIJA
8 PLANIRANJE I UGRADNJA
9 DOKUMENTACIJA
10 OSIGURANJE NAPREDNOG KONTROLERA, HMI-ja I IO MODULA
11 KORISNICI I LOZINKE
12 KONFIGURIŠANJE BAS ZAŠTITNOG ZID-A
13 POSTAVLJANJE AUTENTIKACIJE
14 FAQ
15 Dokumenti / Resursi
15.1 Reference
16 Related Posts

Honeywell-LOGO

Honeywell Optimizer napredni kontroler

Honeywell-Optimizer-Advanced-Controller-PROIZVOD

Specifikacije

  • Proizvod: Napredni kontroler
  • Broj modela: 31-00594-03
  • Operativni sistem: Niagara operativni sistem
  • Sigurnosne funkcije: Kod za verifikaciju računa, Sistemski računi, Oporavak lozinke, Sigurna komunikacija, Certifikati
  • Mrežna kompatibilnost: BACnet™, LAN

Odricanje od odgovornosti
Iako smo uložili napore da osiguramo tačnost ovog dokumenta, Honeywell nije odgovoran za štete bilo koje vrste, uključujući, bez ograničenja, posljedične štete nastale primjenom ili korištenjem informacija sadržanih u ovom dokumentu. Informacije i specifikacije objavljene ovdje su ažurne na dan ove publikacije i podložne su promjenama bez prethodne najave. Najnovije specifikacije proizvoda možete pronaći na našoj websajtu ili kontaktiranjem naše korporativne kancelarije u Atlanti, Džordžija.
Za mnoge industrijske komunikacije zasnovane na RS-485, zadani status je onemogućavanje u trenutku isporuke iz fabrike kako bi se osigurala najbolja sigurnost, jer te naslijeđene komunikacijske magistrale koriste naslijeđenu tehnologiju za najbolju kompatibilnost i dizajnirane su sa slabom sigurnosnom zaštitom. Dakle, kako bi se maksimizirala zaštita vašeg sistema, Honeywell je proaktivno onemogućio komunikacijske portove naslijeđenih industrijskih magistrala (u trenutku fabričke isporuke), a korisnik mora eksplicitno omogućiti mreže u stanici svake mreže. Ako želite omogućiti ove portove, morate biti svjesni rizika od bilo kakvih sigurnosnih propusta koje donosi korištenje naslijeđene tehnologije. To uključuje, ali nije ograničeno na: Panel-bus, C-Bus, BACnetTM, M-Bus, CP-IO Bus, NovarNet, XCM-LCD protokol, SBC S-Bus i Modbus, itd.
Razvoj prema ISA-62443 standardu

Honeywell se godinama oslanja na standard ISA 62443-4-1 i primjenjive prateće standarde kako bi sigurno razvijao svoje proizvode za građevinsku tehnologiju. Na primjerampDakle, Honeywell građevinski proizvodi također koriste ISA/IEC 62443-4-2 kao osnovu za tehničke sigurnosne zahtjeve unutar komponenti, a mi koristimo ISA/IEC 62443-3-3 za kompletne sisteme. Dakle, za integratore i kupce koji biraju građevinske tehnologije, Honeywellovo pridržavanje porodice ISA/IEC 62443 standarda može pružiti visok nivo povjerenja da naši proizvodi ne samo da tvrde da su otporni na sajber napade – oni su od samog početka dizajnirani, testirani i validirani za sajber otpornost.
Honeywell razvija svoje proizvode u skladu sa standardom ISA/IEC 62443-4-1, a procijenila nas je i revidirala treća strana u skladu sa ovim standardom.
Uvod i ciljana publika

Honeywell ovim izričito izjavljuje da njegovi kontroleri nisu inherentno zaštićeni od sajber napada s interneta i da su stoga namijenjeni isključivo za upotrebu u privatnim mrežama. Međutim, čak i privatne mreže mogu biti predmet zlonamjernih sajber napada od strane vještih i opremljenih IT stručnjaka te im je stoga potrebna zaštita. Kupci bi stoga trebali usvojiti smjernice za najbolju praksu instalacije i sigurnosti za napredne IP proizvode za upravljanje postrojenjima kako bi ublažili rizik koji predstavljaju takvi napadi.
Sljedeće smjernice opisuju najbolje opće sigurnosne prakse za napredne IP proizvode za upravljanje postrojenjima. Navedene su po redoslijedu rastućeg ublažavanja.

Tačne zahtjeve svake lokacije treba procijeniti od slučaja do slučaja. Velika većina instalacija koje implementiraju sve ovdje opisane nivoe ublažavanja bit će daleko iznad onoga što je potrebno za zadovoljavajuću sigurnost sistema. Uključivanje stavki 1-5 (koje se odnose na lokalne mreže), pogledajte "Preporuku za lokalne mreže (LAN)" na stranici 20, uglavnom će ispuniti zahtjeve za većinu instalacija mreže za automatizaciju upravljanja.
Ovaj priručnik sadrži informacije koje će osoblju Honeywell distributera pomoći u sigurnoj instalaciji i konfiguraciji naprednog kontrolera postrojenja, HMI i IO modula. Također sadrži sigurnosne informacije o radu, USB sigurnosnoj kopiji i vraćanju podataka, te CleanDist-u. file Upute za instalaciju kontrolera možete pronaći u Vodiču za instalaciju i puštanje u rad (31-00584).

NAPOMENA
Molimo vas da odvojite vrijeme da pročitate i razumijete sve relevantne priručnike za instalaciju, konfiguraciju i upotrebu i da redovno nabavljate najnovije verzije.

Tabela 1 Informacije o proizvodu

Proizvod Broj proizvoda Opis
 

 

 

 

 

 

Kontrolor postrojenja

 N-ADV-134-H Niagara napredni kontroler sa četiri Ethernet porta, portom za HMI i 4 RS485 porta
 

N-ADV-133-H-BWA

 Niagara napredni kontroler sa četiri Ethernet porta, portom za HMI, 3 RS485 porta, Wi-Fi (američka regija) i Bluetooth™ podrškom
 

N-ADV-133-H-BWE

 Niagara napredni kontroler sa četiri Ethernet porta, portom za HMI, 3 RS485 porta, Wi-Fi (regija Evrope) i Bluetooth™ podrškom
 

N-ADV-133-H-BWW

 Niagara napredni kontroler sa četiri Ethernet porta, portom za HMI, 3 RS485 porta, Wi-Fi (ostatak svijeta) i Bluetooth™ podrškom
N-ADV-133-H Niagara napredni kontroler sa četiri Ethernet porta, portom za HMI i 3 RS485 porta
N-ADV-112-H Niagara napredni kontroler sa dva Ethernet porta, portom za HMI i 2 RS485 porta
 

HMI

 HMI-DN HMI (montaža na DIN šinu)
HMI-WL HMI (montaža na vrata/zid)
 

 

 

 

 

 

 

 

 

 

IO modul

 IO-16UIO-SS 16UIO IO modul bez HOA, serijska komunikacija, vijčani terminali
IOD-16UIO-SS 16UIO IO modul sa HOA displejem, serijskom komunikacijom, vijčanim terminalima
IO-16UI-SS 16UI IO modul, serijska komunikacija, vijčani terminali
IO-16DI-SS 16DI IO modul, serijska komunikacija, vijčani terminali
IO-8DOR-SS 8DO IO modul bez HOA, C/O releja, serijske komunikacije, vijčanih terminala
IOD-8DOR-SS 8DO IO modul sa HOA displejem, C/O relejima, serijskom komunikacijom, vijčanim terminalima
IO-16UIO-SP 16UIO IO modul sa HOA displejem, serijskom komunikacijom, push terminalima
IO-16UI-SP 16UIO IO modul, serijska komunikacija, push terminali
IO-16DI-SP 16DI IO modul, serijska komunikacija, push terminali
IO-8DOR-SP 8DO IO modul bez HOA, C/O releja, serijske komunikacije, push terminala
IOD-8DOR-SP 8DO IO modul sa HOA displejem, C/O relejima, serijskom komunikacijom, push terminalima
IO-8UIO-SS 8UIO IO modul bez HOA, serijska komunikacija, vijčani terminali
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

IO modul

 IOD-8UIO-SS 8UIO IO modul sa HOA displejem, serijskom komunikacijom, vijčanim terminalima
IO-8AO-SS 8AO IO modul bez HOA, serijska komunikacija, vijčani terminali
IOD-8AO-SS 8AO IO modul sa HOA displejem, serijskom komunikacijom, vijčanim terminalima
IO-4UIO-SS 4UIO IO modul bez HOA, serijska komunikacija, vijčani terminali
IOD-4UIO-SS 4UIO IO modul sa HOA displejem, serijskom komunikacijom, vijčanim terminalima
IO-8DI-SS 8DI IO modul, serijska komunikacija, vijčani terminali
IO-4DOR-SS 4DO IO modul bez HOA, C/O releja, serijske komunikacije, vijčanih terminala
IOD-4DOR-SS 4DO IO modul sa HOA displejem, C/O relejima, serijskom komunikacijom, vijčanim terminalima
IO-4DORE-SS 4DO IO modul bez HOA, poboljšani C/O releji, serijska komunikacija, vijčani terminali
IOD-4DORE-SS 4DO IO modul sa HOA displejem, poboljšanim C/O relejima, serijskom komunikacijom, vijčanim terminalima
IO-8UIO-SP 8UIO IO modul bez HOA, serijske komunikacije, push terminali
IOD-8UIO-SP 8UIO IO modul sa HOA displejem, serijskom komunikacijom, push terminalima
IO-8AO-SP 8AO IO modul bez HOA, serijska komunikacija, push terminali
IOD-8AO-SP 8AO IO modul sa HOA displejem, serijskom komunikacijom, push terminalima
IO-4UIO-SP 4UIO IO modul bez HOA, serijske komunikacije, push terminali
IOD-4UIO-SP 4UIO IO modul sa HOA displejem, serijskom komunikacijom, push terminalima
IO-8DI-SP 8DI IO modul, serijska komunikacija, push terminali
IO-4DOR-SP 4DO IO modul bez HOA, C/O releja, serijske komunikacije, push terminala
IOD-4DOR-SP 4DO IO modul sa HOA displejem, C/O relejima, serijskom komunikacijom, push terminalima
IO-4DORE-SP 4DO IO modul bez HOA, poboljšani C/O releji, serijska komunikacija, push terminali
IOD-4DORE-SP 4DO IO modul sa HOA displejem, poboljšanim C/O relejima, serijskom komunikacijom, push terminalima

ZAŠTO OSIGURATI SVOJE NAPREDNE KONTROLERE?

  • Zaštitite sisteme postrojenja vaših kupaca od neovlaštenih promjena radnih postavki, premošćivanja i vremenskih rasporeda.
  • Spriječite pristup detaljima korisničkog računa: npr. korisničkim imenima, lozinkama, adresama e-pošte, SMS (mobilnim) brojevima itd.
  • Sprečavanje pristupa komercijalno osjetljivim podacima: Primjerample- Metrike potrošnje energije, rješenja specijalizirane strategije upravljanja itd.
  • Spriječite neovlašteni pristup kontroleru, računarima i mrežama koje hostuju BMS softver i kontrolne uređaje.
  • Održavajte integritet podataka i osigurajte odgovornost.

SISTEM JE GOTOVVIEW

Honeywell-Optimizer-Advanced-Controller- (1)

Krajview tipične instalacije sistema..

  1. Internet/intranet/korporativna mreža
    Ovo je pojednostavljeni, logički mrežni prikaz svih mreža izvan opsega sistema automatizacije zgrada (BAS). Može omogućiti pristup interfejsima za upravljanje BAS-om (npr. primarna radna stanica Niagara web korisničko sučelje), ali mora omogućiti pristup internetu kako bi Niagara računari mogli provjeravati i preuzimati ažuriranja operativnog sistema i skenera virusa, osim ako nije obezbijeđen drugi način za to.
  2. BAS mreža
    Ova mreža se koristi isključivo za BAS protokole, koji se sastoje od BACnetTM/IP, BACnetTM/Ethernet i bilo kojih protokola koje Niagara Integration Services na naprednom kontroleru postrojenja može koristiti. Ova mreža ne smije biti ista mreža kao i internet/intranet/korporativna mreža.
  3. BAS zaštitni zid
    Da bi se osigurala dodatna odvojenost i zaštita BAS-a, mora se koristiti zaštitni zid (firewall) između interneta/intraneta/korporativne mreže i bilo kojeg BAS uređaja koji se povezuje na nju, kao što su primarna radna stanica Niagara, radne stanice Niagara i napredni kontroler postrojenja (Advanced Plant Controller). Ovaj zaštitni zid ograničava pristup BAS-u samo na ovlaštene računare i može pomoći u smanjenju rizika od napada, kao što je napad uskraćivanjem usluge (denial-of-service).
  4. Niagara radna stanica
    Primarna radna stanica Niagara je računar na kojem je pokrenut Niagara softver. Potrebne su joj dvije mrežne veze – jedna za povezivanje s upravljačkim web korisnički interfejs preko a web preglednik (obično na
    Internet/intranet/korporativna mreža) i drugi za povezivanje na BAS mrežu.
  5. Ethernet prekidač
    Ethernet prekidač stvara mreže i koristi više portova za komunikaciju između uređaja u LAN mreži. Ethernet prekidači se razlikuju od rutera, koji povezuju mreže i koriste samo jedan LAN i WAN port. Potpuno žičana i korporativna bežična infrastruktura pruža žičanu povezivost i Wi-Fi za bežičnu povezivost.
  6. Napredni kontroler postrojenja
    Napredni kontroler postrojenja je globalni kontroler koji se povezuje na Ethernet mrežu, BACnetTM IP i hostuje MS/TP mrežne segmente. MS/TP je veza niskog propusnog opsega koja se koristi za povezivanje kontrolera i senzora.
  7. HMI
    HMI je povezan i prima napajanje od naprednih Niagara kontrolera postrojenja. Ovi uređaji su izgrađeni sa kapacitivnim ekranom osjetljivim na dodir koji podržava odabir golim prstom i pruža operateru funkcije za view, pristupiti i rješavati probleme s kontrolnim tačkama, IO modulima i ostalom povezanom opremom.
  8. IO modul
    IO moduli se mogu povezati s kontrolerom pomoću touch flake priključaka (napajanje i komunikacija) ili se IO moduli mogu povezati s adapterom za ožičenje koji će se napajati i biti povezan s jednim od RS485 interfejsa na kontroleru. IO moduli se mogu programirati pomoću postojećeg inženjerskog alata kao što su ComfortPoint™ Open Studio alat i Niagara 4 Workbench.

PLANIRANJE I SIGURNOST MREŽE

  1. Ethernet mreža
    Preporučuje se da Ethernet mreža koju koristi BMS sistem bude odvojena od uobičajene kancelarijske mreže.
    Example:
    Korištenje zračnog prostora ili virtualne privatne mreže. Fizički pristup Ethernet mrežnoj infrastrukturi mora biti ograničen. Također morate osigurati da je instalacija u skladu s IT politikom vaše kompanije.
    Napredni kontroleri ne smiju biti direktno povezani na internet.
  2. Web Server
    Napredni kontroler pruža i HTTP i HTTPS web serveri. Ako web Server nije potreban, preporučuje se da oba web serveri su onemogućeni.
  3. BACnet™ IP mreža
    Zbog nesigurne prirode BACnet™ protokola, Advanced Controller, HMI i IO moduli koji koriste BACnet™ ne smiju biti povezani na internet ni pod kojim okolnostima. Sigurnosni sistem Advanced Controllera ne štiti od pisanja putem BACnet™ protokola. Fizički pristup BACnet™ IP mrežnoj infrastrukturi mora biti ograničen. Ako BACnet™ IP komunikacija nije potrebna, mrežni modul Advanced Controllers (BACnet™ IP) mora se onemogućiti postavljanjem parametra 'Onemogući modul' na '1'.
    Ako je potrebna BACnetTM™ komunikacija, toplo se preporučuje da usluge BACnetTMTM Backup/Restore, Reinitialize Device i BACnetTMTM Writable ne budu omogućene. Međutim, to će značiti da kreirana strategija nije BTL kompatibilna – pogledajte „Lokalna sigurnost“ na stranici 13.
  4. MS/TP (NC licence)
    Fizički pristup MS/TP mrežnoj infrastrukturi mora biti ograničen. Ako MS/TP mreža nije potrebna, mrežni modul Advanced Controller (BACnetTM MSTP) mora se onemogućiti postavljanjem parametra 'Onemogući modul' na '1'. IO magistrala (CAN licence)
    Fizički pristup IO sabirnici mora biti ograničen.
  5. USB
    Fizički pristup lokalnom inženjerskom portu USB naprednog kontrolera mora biti ograničen.
  6. RS485 (uključujući Modbus licence)
    Fizički pristup RS485 portu kontrolera mora biti ograničen. Ako nije potrebno, mrežni moduli povezani na port ne bi trebali biti uključeni u strategiju.
  7. Modbus IP mreža (INT licence)
    Zbog nesigurne prirode Modbus protokola, napredni kontroleri koji podržavaju Modbus IP ne smiju biti povezani na internet ni pod kojim okolnostima. Fizički pristup Modbus IP mrežnoj infrastrukturi mora biti ograničen. Ako Modbus IP komunikacija nije potrebna, mrežni modul naprednog kontrolera (Modbus IP) ne bi trebao biti uključen u strategiju.

NAPREDNI SISTEM SIGURNOSTI KONTROLERA, HMI I IO MODULA

Napredna sigurnost kontrolera u skladu je sa ISA 62433-3-3 SL 3 i pruža sigurno pokretanje, autentificiranu i šifriranu mrežu, šifriranje u stanju mirovanja i sinhronizirano upravljanje računima.
Da biste dobili pristup proizvodima naprednog kontrolera ili izvršili bilo koji od gore navedenih zadataka, morate navesti važeće korisničko ime i lozinku za račun inženjerskog sistema ili račun sistema uređaja.

  1. Sigurnost kada nije konfigurirano
    Za interakciju s naprednim kontrolerom, HMI i IO modulima, moraju se navesti važeći podaci za prijavu. Kontroler se isporučuje iz tvornice bez ikakvih podataka za prijavu (sistemski računi ili korisnički moduli), što osigurava da je prilikom prvog uključivanja zaštićen od neovlaštenog pristupa. Prilikom prvog pokušaja povezivanja na vCNC u jednom od naprednih proizvoda na Niagara mreži, mora se kreirati sistemski inženjerski račun s administratorskom ulogom.
  2. Zaštita od neovlaštenih uređaja
    Jedinstveni ključ (mrežni ključ) se koristi kako bi se osiguralo da se samo ovlašteni uređaji mogu pridružiti Niagara mreži. Svi kontroleri koji će formirati Niagara mrežu moraju imati isti mrežni ključ i UDP port. Oni se konfigurišu pomoću IP alata tokom početnog procesa konfiguracije.
    Example:
    Ako četiri napredna kontrolera postrojenja imaju isti mrežni ključ (112233), a peti ima drugačiji mrežni ključ
    (222). Kada su povezani na istu Ethernet mrežu, četiri kontrolera s istim mrežnim ključem spajaju se u jednu mrežu, ali peti kontroler se neće moći pridružiti mreži jer ima drugačiji mrežni ključ, tj. (222).
    Slično tome, ako je peti kontroler nov (kao što je isporučen iz fabrike) i dodat je Ethernet mreži, neće se moći povezati s Niagara mrežom jer nema mrežni ključ.
    1. Verifikacijski kod računa
      Kada se administratorski sistemski račun doda jednom od kontrolera na mreži, kontroler kojem je sistemski račun dodan automatski generira kod za verifikaciju računa. Ovaj kod se sinhronizira sa svim ostalim kontrolerima s istim mrežnim ključem i UDP portom na Ethernet mreži.
      Nakon što je generiran kod za verifikaciju računa, SVI kontroleri na mreži MORAJU imati isti kod za verifikaciju računa, kao i isti mrežni ključ i UDP port.
      Example:
      Ako postoji pet kontrolera, svi napredni kontroleri imaju isti mrežni ključ. Četiri imaju isti kod za verifikaciju računa (AVC) i stoga formiraju mrežu. Peti ima drugačiji kod za verifikaciju računa i iako ima isti mrežni ključ, ne može se povezati s ostalim kontrolerima.
  3. Sistemski računi
    Sistemski računi omogućavaju ljudima i uređajima interakciju s naprednim kontrolerom. Dodijeljeni pristup ovisi o vrsti računa i ulozi.
    Postoje dvije vrste sistemskih računa:
    1. Račun inženjerskog sistema
    2. Račun sistema uređaja
    3. Račun inženjerskog sistema
      Inženjerski sistemski računi namijenjeni su za korištenje inženjerima. Svaki inženjerski sistemski račun ima korisničko ime i lozinku koje kontroler mora dati kada to zatraži. Ako se daju važeće korisničko ime i lozinka, kontroler će odobriti pristup.

Za svaku osobu mora se kreirati zaseban inženjerski sistemski račun. Inženjerski sistemski računi mogu se postaviti na jednu od dvije uloge:

  • Uloga inženjera
  • Administratorska uloga

Uloga inženjera
Uloga inženjera pruža potreban pristup za inženjering naprednog sistema, kreiranje/upravljanje sistemskim računima uređaja i upravljanje detaljima korisničkog računa (e-mail adresa, lozinka itd.).
Administratorska uloga
Uloga Administratora pruža isti pristup kao i uloga Inženjera, plus mogućnost upravljanja svim Inženjerskim računima i Računima sistema uređaja.

Račun sistema uređaja
Sistemski računi uređaja namijenjeni su omogućavanju uređajima poput Niagare da se povežu na mrežu kako bi dobili potrebne informacije i izvršili promjene. Preporučuje se da se za svaki uređaj koji će pristupiti mreži kreira zaseban sistemski račun uređaja. Oni imaju ulogu 'Nadzornika'.

VAŽNO
Važno: Nadzornikov vlastiti sigurnosni sistem mora biti konfiguriran tako da ograniči prava pristupa svakog nadzornikovog korisnika.

Kreiranje sistemskog računa
Prilikom prvog pokušaja povezivanja na vCNC na Niagara mreži mora se kreirati račun inženjerskog sistema s administratorskom ulogom. Ovaj račun se zatim sinhronizuje s ostalim kontrolerima na Niagara mreži.

  • Pogledajte „Upravljanje sinhronizovanim računima“ na stranici 12. Dodatni računi se mogu kreirati po potrebi pomoću Niagara Workbench-a.

NAPOMENA
Prilikom prvog kreiranja Inženjerskog sistemskog računa u kontroleru, automatski se generira Verifikacijski kod računa i sinhronizira s drugim kontrolerima na Ethernet mreži s istim mrežnim ključem i UDP portom. Kada kontroler ima Verifikacijski kod računa, može se pridružiti samo mreži s kontrolerima koji imaju isti Verifikacijski kod računa – Pogledajte „Verifikacijski kod računa“ na stranici 11.

Sinhronizovano upravljanje računima
Sinhronizovano upravljanje računima lako i sigurno sinhronizuje sistemske račune, uključujući verifikacioni kod računa, sa svim naprednim kontrolerima na istoj Niagara mreži. Ovo omogućava:

  • Jednokratna prijava na mrežu
  • Smanjeni troškovi konfigurisanja i održavanja pristupa na cijeloj lokaciji bez smanjenja sigurnosti. Svi napredni kontroleri na istoj mreži imat će iste sistemske račune.

Kada se napredni kontroler bez ikakvih sistemskih računa poveže na Ethernet mrežu i konfiguriše mrežnim ključem i UDP portom za Niagara mrežu, on će se pridružiti mreži i automatski dobiti svoje sistemske račune od ostalih kontrolera na Niagara mreži.

Example:
Ako se napredni kontroler bez ikakvih sistemskih računa doda u gornji sistem i dodijeli mu se mrežni ključ za Niagara mrežu (112233) i UDP port, pridružit će se mreži i dobiti svoje sistemske račune (Korisnik 1, Korisnik 2, Korisnik 3) od ostalih naprednih kontrolera na Niagara mreži.
Nakon što je sinhronizacija završena, bit će moguće povezati se s bilo kojim vCNC-om, prikazati web stranice i prijavite se na bilo koji napredni kontroler na Niagara mreži koristeći bilo koji od sistemskih računa.
Ako se izvrše promjene na sistemskim računima, tj. ako se račun doda, izbriše ili uredi, te promjene će se automatski sinhronizirati na svim naprednim kontrolerima na Niagara mreži.

Example:
Ako postoji pet naprednih kontrolera, sistemski računi u Kontroleru (1) se uređuju kako bi se uklonio Korisnik 2, preimenovao Korisnik 3 u Korisnik 3a i dodao Korisnik 4, promjene će biti sinhronizovane na Kontroler (2), Kontroler (3), Kontroler (4) i Kontroler (5).

NAPOMENA:
Ako se tokom sinhronizacije otkrije konflikt, prioritet ima najnovija promjena.

Promjena mrežnog ključa naprednog kontrolera
Kada se promijeni mrežni ključ naprednog kontrolera, svi njegovi sistemski računi bit će izbrisani i on će biti uklonjen iz trenutne Niagara mreže. Promjenu mrežnog ključa mora odobriti važeći sistemski račun inženjera ili administratora.
Nakon što se promjena izvrši, pridružit će se Niagara mreži koristeći novi mrežni ključ, ako postoji, i dobiti sistemske račune od naprednog kontrolera na novoj Niagara mreži, pod uvjetom da ima isti UDP port.

Lokalna sigurnost
Lokalna sigurnost koristi lokalne korisnike (korisničke module) kako bi omogućila pristup naprednim kontrolerima web stranice ili lokalno povezani ekran i za kontrolu vidljivih informacija ili vrijednosti koje se mogu podešavati.
Da biste dobili pristup i izvršili promjene, morate unijeti važeće korisničko ime i lozinku za lokalnog korisnika. PIN kod korisnika određuje koje parametre korisnik može vidjeti i podesiti.

NAPOMENA
Lokalni korisnici NISU sinhronizovani sa drugim naprednim kontrolerima na Niagara mreži.

Pristup do Web Stranice
Pristup kontroleru web stranice su zaštićene sigurnosnim sistemom Advanced Controller-a. Kada je kontroler web serveru se pristupa web Prikazuje se stranica koja pruža neke osnovne informacije i omogućava korisniku prijavu – Pogledajte „Početni pristup“ na stranici 13.
Korisnici koji se prijave bit će tretirani kao prijavljeni korisnici – Pogledajte „Prijavljeni korisnici“ na stranici 14. i korisnici koji pristupaju web Stranice bez prijave će dobiti pristup kako je opisano u odjeljku „Početni pristup“ na stranici 13.

Initial Access
Kada je kontrolor web Prilikom prvog pristupa serveru, prikazuje se stranica dobrodošlice, a dati pristup zavisi od trenutne sigurnosne konfiguracije kontrolera:

  • Nema inženjerskih sistemskih računa i nema korisničkih modula (fabrički zadano)
  • Prikazuje se stranica 'Dobrodošli' i dobija se puni pristup kontrolerima web stranice i bit će data mogućnost unošenja promjena.

NAPOMENA
Budući da ne postoje Inženjerski sistemski računi ili korisnički moduli, prijava neće biti moguća.

Računi inženjerskog sistema i bez korisničkih modula
Prikazuje se stranica 'Dobrodošli', a kontroler će dati pristup samo senzoru, digitalnom ulazu, dugmetu, prekidaču, upravljačkom programu, rasporedu, vremenskom rasporedu, vremenu, modulima grafikona, dnevniku alarma i grafici, a neće dozvoliti promjene.

NAPOMENA
Bit će moguće prijaviti se pomoću računa inženjerskog sistema.

  • Inženjerski sistemski računi i korisnički moduli
    Početni prikaz i pristup kontroliraju korisnički moduli. Ako postoji korisnički modul pod nazivom 'Gost' bez lozinke kada je napredni kontroler web stranicama se pristupa bez prijave, kontroler će dodijeliti prava pristupa (korisnički nivo, početna stranica i view zadane vrijednosti) koje je odredio korisnički modul 'Gost'.
    Podrazumevano, korisnički modul 'Gost' omogućava pristup samo naprednoj stranici 'Dobrodošli' i ima korisnički nivo '0'. To znači da će korisnik koji pristupa kontroleru bez prijave moći samo view stranica 'Dobrodošli'. Kako bi se omogućio veći pristup, korisnik 'Gost' može se konfigurirati na isti način kao i bilo koji drugi korisnički modul tipa 0.

NAPOMENA:
Niagara radna površina sprečava da korisnik 'Gost' dobije lozinku, PIN ili korisnički nivo veći od '0'. Omogućava početnu stranicu i view zadane vrijednosti koje treba konfigurirati.

Preporučuje se da gostujući korisnik ostane sa zadanom konfiguracijom (korisnički nivo '0' i bez view prava).
Ako ne postoji korisnički modul pod nazivom 'Gost' ili je konfiguriran s lozinkom, prikazuje se stranica 'Dobrodošli', a kontroler će dati pristup samo modulima senzora, digitalnog ulaza, gumba, prekidača, upravljačkog programa, rasporeda, vremenskog rasporeda, vremena, grafikona, dnevnika alarma i grafike, a neće dozvoliti promjene.

NAPOMENA
Bit će moguće prijaviti se koristeći račune inženjerskog sistema i sve postojeće korisničke module.

Prijavljeni korisnici
Za prijavu na napredni kontroler web stranice moraju se unijeti korisničko ime i lozinka koji odgovaraju jednom od računa naprednog kontrolnog inženjerskog sistema ili korisničkih modula tipa 0.

Password Recovery
Ako je korisnik zaboravio lozinku, može je oporaviti korištenjem Niagara Workbencha. Za detalje o oporavku zaboravljene lozinke pomoću Niagara Workbencha pogledajte Niagara Workbench User Guide.

OSIGURANJE NIAGARA OPERATIVNOG SISTEMA

 Opšta dobra praksa
Slijedite opće dobre prakse za osiguranje operativnog sistema kao što su:

  • Čuvar ekrana zaštićen lozinkom
  • Softver za šifriranje diska

Firewall Setting
Operativni sistem mora biti konfigurisan da koristi zaštitni zid (firewall) koji se automatski ažurira. Konfiguracija mora spriječiti pristup (ULAZ/IZLAZ) za sve portove osim onih za koje je potreban pristup. NE OSTAVLJAJTE otvorene nekorištene portove.

Verzija operativnog sistema
MORATE osigurati da svaki uređaj koji pokreće Niagara aplikacije ili je povezan na istu IP mrežu ima instalirana najnovija ažuriranja operativnog sistema. Dobra je praksa osigurati da su Windows ažuriranja ostavljena uključena automatski i da se instaliraju na vrijeme.

Zaštita od virusa
MORATE osigurati da svi računari koji koriste Niagara aplikacije ili su povezani na istu IP mrežu koriste softver za zaštitu od virusa i da su definicije virusa ažurirane.

 Zaštita od upada
Preporučuje se korištenje sistema za detekciju upada (IDS) od renomiranog dobavljača sigurnosnih proizvoda na bilo kojem računaru na kojem se pokreće Niagara aplikacija. Slijedite najbolju praksu za odabrane proizvode, kao i sve korporativne IT politike na kojima se vrši instalacija.
Mnogi IDS i firewall proizvodi nude kompletno rješenje za snimanje cjelokupnog prometa koji dolazi i izlazi iz računara, pružajući korisnicima mogućnost snimanja svih aktivnosti na najnižem nivou.

OPĆA UREDBA O ZAŠTITI PODATAKA (GDPR)

Opća uredba o zaštiti podataka (EU) 2016/679 (GDPR) je uredba u pravu EU o zaštiti podataka i privatnosti za sve građane Evropske unije (EU) i Evropskog ekonomskog prostora (EEA). Također se odnosi na prenos ličnih podataka izvan područja EU i EEA. GDPR sadrži odredbe i zahtjeve koji se odnose na obradu ličnih podataka pojedinaca (subjekata podataka) unutar EEA i primjenjuje se na svako preduzeće osnovano u EEA (bez obzira na njegovu lokaciju i državljanstvo subjekata podataka) ili koje obrađuje lične podatke subjekata podataka unutar EEA.
Prema uslovima GDPR-a, lični podaci uključuju sve informacije koje se mogu koristiti za identifikaciju pojedinca. To uključuje (ali nije ograničeno na):

  • korisnička imena,
  • lozinke,
  • brojevi telefona,
  • adrese e-pošte,
  • poslovne ili stambene adrese.

Sve takve informacije unesene u napredni kontroler, HMI i IO modul šifriraju se i pohranjuju na naprednim proizvodima u prostorijama kupca. Honeywell nema nikakvu ulogu u pohranjivanju i/ili obradi ličnih podataka unutar naprednih Honeywell proizvoda.
Odgovornost za usklađenost sa zahtjevima GDPR-a u potpunosti leži na sistem integratoru ili sistem administratoru i, kao takvi, moraju osigurati da su uspostavljeni adekvatni tehnički i organizacijski sistemi za:

  • dobiti izričitu saglasnost svakog subjekta podataka za pohranjivanje, korištenje i/ili obradu ličnih podataka,
  • omogućiti pojedincima pristup njihovim ličnim podacima radi provjere tačnosti,
  • omogućiti pojedincima da u bilo kojem trenutku povuku svoj pristanak i da se njihovi lični podaci trajno izbrišu,
  • održavati sigurnost i integritet pohrane i pristupa podacima u svakom trenutku,
  • prijavite svako kršenje sigurnosti podataka (koje može uticati na privatnost korisnika) nadležnom organu u roku od 72 sata od nastanka kršenja.

SIGURNA KOMUNIKACIJA

Infrastruktura javnih ključeva (PKI) podržava distribuciju i identifikaciju javnih ključeva za šifriranje koji se koriste za zaštitu razmjene podataka preko mreža, kao što je Internet. PKI provjerava identitet druge strane i kodira stvarni prijenos podataka. Provjera identiteta pruža nepobitnu garanciju identiteta servera. Šifriranje osigurava povjerljivost tokom prijenosa putem mreže. Zahtjev za potpisanim modulima koda osigurava da se u sistemu izvršava samo očekivani kod.

Da bi se obezbijedile sigurne mreže korištenjem PKI-a, Niagara podržava TLS (Transport Layer Security) protokol, verzije 1.0, 1.1 i 1.2. TLS zamjenjuje svog prethodnika, SSL (Secure Sockets Layer).
Svaka Niagara instalacija automatski kreira zadani certifikat, koji omogućava trenutno šifriranje veze. Međutim, ovi certifikati generiraju upozorenja u pregledniku i Workbenchu ​​i uglavnom nisu prikladni za krajnje korisnike. Kreiranje i potpisivanje prilagođenih digitalnih certifikata omogućava besprijekorno korištenje TLS-a u pregledniku i pruža i šifriranje i autentifikaciju servera.
Pored sigurnosti komunikacije, svaki modul računarskog koda koji se izvršava u sistemu zaštićen je digitalnim potpisom. Dodani programski objekti zahtijevaju ovaj potpis ili se neće pokrenuti.

Verifikacija servera, šifriranje prijenosa i osiguravanje da samo potpisani kod ne osigurava podatke pohranjene na uređaju za pohranu. I dalje morate ograničiti fizički pristup računarima i kontrolerima koji upravljaju vašim modelom zgrade, postaviti autentifikaciju korisnika jakim lozinkama i osigurati komponente kontroliranjem dozvola.
Niagara podržava i koristi sigurnu komunikaciju i potpisani kod prema zadanim postavkama. Ne morate kupiti dodatnu licencu.
Sigurnost je stalna briga. Iako ćete u temama o sigurnoj komunikaciji pronaći mnogo vrijednih informacija, očekujte buduća ažuriranja i promjene.
Ispod su navedene sigurne komunikacije. Za više detalja pogledajte vodič za sigurnost stanice Niagara.

  • Odnosi klijent/server
  • Certifikati
  • Trgovine certifikatima
  • Struktura CSR foldera
  • Postavljanje certifikata
  • Čarobnjak za certifikate
  • Potpisivanje više certifikata
  • Konfigurisanje sigurne komunikacije platforme
  • Konfigurisanje sigurne komunikacije stanice
  • Omogućavanje klijenata i njihovo konfigurisanje za ispravan port
  • Instaliranje kopije stanice na drugu platformu
  • Zaštita e-pošte
  • Rješavanje problema sa sigurnom komunikacijom

Odnosi klijent/server
Klijent/server odnosi identificiraju veze koje zahtijevaju zaštitu. Klijent/server odnosi u Workbenchu ​​variraju ovisno o tome kako konfigurirate i koristite sistem. Workbench je uvijek klijent. Platforma je uvijek server. Stanica može biti i klijent i server.
Sistemski protokoli koji upravljaju komunikacijom su:

  • Platformske veze od Workbencha (klijent) do kontrolera ili Supervisor PC platforme daemon (server) koriste Niagara. Sigurna platformska veza se ponekad naziva platformtls. Platformtls se omogućavaju korištenjem Platform Administration. view.
  • Lokalne veze stanica (nadzornik i platforma) koriste Foxs. Ove veze omogućavate u FoxServiceu stanice (Konfiguracija > Usluge > FoxService).
  • Veze preglednika koriste HTTPS, kao i Fox ako koristite Web Lanser sa WbWebProfileOve veze omogućavate pomoću stanice WebUsluga (Konfiguracija > Usluge > WebUsluga).
  • Klijentske veze sa email serverom stanice, ako je primjenjivo. Sigurnu e-poštu omogućavate korištenjem EmailService stanice (Konfiguracija > Usluge > EmailService).

CERTIFIKATI
Certifikat je elektronski dokument koji koristi digitalni potpis za povezivanje javnog ključa s osobom ili organizacijom. Certifikati mogu služiti u različite svrhe ovisno o tome kako konfigurirate svojstvo korištenja ključa certifikata. Njihova primarna svrha u ovom sistemu je provjera identiteta servera kako bi komunikacija bila pouzdana. Za više detalja pogledajte Vodič za sigurnost stanice Niagara – Certifikat.
Niagara podržava ove vrste certifikata:

  • CA (Certificate Authority) certifikat je samopotpisani certifikat koji pripada CA. To može biti treća strana ili kompanija koja služi kao vlastiti CA.
  • Korijenski CA certifikat je samopotpisani CA certifikat čiji se privatni ključ koristi za potpisivanje drugih certifikata, kreirajući stablo pouzdanih certifikata. Pomoću svog privatnog ključa, korijenski CA certifikat se može izvesti, pohraniti na USB memorijski uređaj u trezoru i koristiti samo kada je potrebno potpisati certifikate. Privatni ključ korijenskog CA certifikata zahtijeva kreiranje lozinke pri izvozu i pružanje iste lozinke kada ga koristite za potpisivanje drugih certifikata.
  • Međucertifikat je CA certifikat potpisan korijenskim CA certifikatom koji se koristi za potpisivanje serverskih certifikata ili drugih međucertifikata CA. Korištenje međucertifikata izolira grupu serverskih certifikata.
  • Serverski certifikat predstavlja serversku stranu sigurne veze. Iako možete postaviti zaseban certifikat za svaki protokol (Foxs, Https, Webs). Iako možete konfigurirati platformu i stanicu (kao server) s odvojenim serverskim certifikatima, radi jednostavnosti većina sistema obično koristi isti serverski certifikat.
  • Certifikat za potpisivanje koda je certifikat koji se koristi za potpisivanje programskih objekata i modula. Sistem integratori koriste ovaj certifikat kako bi spriječili uvođenje zlonamjernog koda prilikom prilagođavanja okvira.

Samopotpisani certifikati
Samopotpisani certifikat je onaj koji je potpisan prema zadanim postavkama koristeći vlastiti privatni ključ, a ne privatnim ključem korijenskog CA (Certificate Authority) certifikata.
Sistem podržava dvije vrste samopotpisanih certifikata:

  • Korijenski CA certifikat je implicitno pouzdan jer ne postoji viši autoritet od CA (Certificate Authority) koji posjeduje ovaj certifikat. Iz tog razloga, CA, čiji je posao odobravanje certifikata drugih ljudi, pažljivo čuvaju svoje korijenske CA certifikate i privatne ključeve. Slično tome, ako vaša kompanija služi kao vlastiti CA, trebali biste pažljivo čuvati korijenski CA certifikat koji koristite za potpisivanje drugih certifikata.
  • Podrazumevani, samopotpisani certifikat: Prvi put kada pokrenete instancu Workbencha, platforme ili stanice nakon instalacije (puštanja u rad), sistem kreira podrazumijevani, samopotpisani serverski certifikat sa aliasom tridium.

NAPOMENA:
Nemojte izvoziti ovaj certifikat i uvoziti ga u bilo koju trgovinu druge platforme ili stanice. Iako je moguće, to smanjuje sigurnost i povećava ranjivost.
Da biste smanjili rizik od napada tipa "čovjek u sredini" pri korištenju samopotpisanih certifikata, sve vaše platforme trebaju biti smještene u sigurnoj privatnoj mreži, van mreže i bez javnog pristupa s interneta.

OPREZ
Da biste koristili samopotpisane certifikate, prije prvog pristupa platformi ili stanici iz Workbencha, provjerite da vaš računar i platforma nisu na korporativnoj mreži ili internetu. Nakon prekida veze, povežite računar direktno na platformu, otvorite platformu iz Workbencha i odobrite njen samopotpisani certifikat. Tek tada biste trebali ponovo povezati platformu na korporativnu mrežu.

Konvencija imenovanja
Spremište korisničkih ključeva, spremište korisničkih povjerenja i spremište sistemskih povjerenja čine srž konfiguracije. Certifikati izgledaju vrlo slično, a različiti zadani samopotpisani certifikati imaju identična imena.

Trgovine certifikatima
Upravljanje certifikatima koristi četiri skladišta za upravljanje certifikatima: skladište korisničkih ključeva, skladište pouzdanih sistema, skladište pouzdanih korisnika i listu dozvoljenih hostova.
Spremište korisničkih ključeva povezano je sa serverskom stranom klijent-server odnosa. Ovo spremište sadrži certifikate, svaki sa svojim javnim i privatnim ključevima. Osim toga, ovo spremište sadrži samopotpisani certifikat koji je prvobitno kreiran kada ste pokrenuli Workbench ili prvi put pokrenuli platformu.
Korisnička i sistemska skladišta povjerenja povezana su s klijentskom stranom odnosa klijent-server. Sistemska skladišta povjerenja dolazi unaprijed popunjena standardnim javnim certifikatima: korijenskim CA certifikatima od poznatih certifikacijskih tijela, kao što su VeriSign, Thawte i Digicert. Korisnička skladišta povjerenja sadrže korijenske CA i posredničke certifikate za kompanije koje služe kao vlastita certifikacijska tijela.
Lista dozvoljenih hostova sadrži certifikat(e) servera za koje ne postoji pouzdani korijenski CA certifikat u sistemskim ili korisničkim skladištima povjerenja klijenta, ali su certifikati servera ipak odobreni za upotrebu. Ovo uključuje servere za koje naziv hosta servera nije isti kao uobičajeni naziv u certifikatu servera. Korištenje ovih certifikata odobravate pojedinačno. Iako je komunikacija sigurna, bolje je koristiti potpisane certifikate servera.

Enkripcija
Šifriranje je proces kodiranja prijenosa podataka tako da ih ne mogu pročitati nepouzdane treće strane. TLS koristi šifriranje za prijenos podataka između klijenta i servera. Iako je moguće uspostaviti nešifriranu vezu koristeći samo fox ili http protokole, toplo vam se preporučuje da ne koristite ovu opciju. Bez šifriranja, vaša komunikacija je potencijalno podložna napadu. Uvijek prihvatite zadane Fox ili HTTPS veze.

SIGURNOSNA NADZORNA PLOČA PREKOVIEW
U Niagara verziji 4.10u5 i novijim, funkcija Sigurnosne kontrolne ploče pruža (administratoru i drugim ovlaštenim korisnicima) pregled iz ptičje perspektive view sigurnosne konfiguracije vaše stanice. Ovo vam omogućava da lako pratite sigurnosnu konfiguraciju u mnogim uslugama stanice i identifikujete sve slabosti sigurnosne konfiguracije na stanici.

OPREZ
Sigurnosna kontrolna ploča View možda neće prikazati sve moguće sigurnosne postavke i ne treba ih smatrati garancijom da je sve sigurno konfigurisano. Konkretno, moduli trećih strana mogu imati sigurnosne postavke koje se ne registruju na kontrolnoj tabli.

Sigurnosna kontrolna ploča view je glavni view na stanicinoj Službi obezbjeđenja. view upozorava vas na sigurnosne slabosti kao što su loše postavke jačine lozinke; istekli, samopotpisani ili nevažeći certifikati; nešifrirani transportni protokoli itd., što ukazuje na područja gdje konfiguracija treba biti sigurnija. Ostali prijavljeni podaci uključuju: stanje sistema, broj aktivnih računa, neaktivne račune, broj računa sa dozvolama superkorisnika itd. Opcionalno, atribut „system“ na funkciji licence „securityDashboard“ može se postaviti na „true“ da bi se omogućio System View stanice koja pruža sigurnosne detalje za svaku podređenu stanicu u Niagara Networku.
Sigurnosna kontrolna tabla je glavna view za Sigurnosne službe. Za potpune detalje o viewPogledajte „nss-SecurityDashboard“View"u Vodiču za sigurnost stanice Niagara.

PLANIRANJE I UGRADNJA

Ovaj odjeljak sadrži informacije za planiranje i izvođenje instalacije naprednog kontrolera postrojenja.

Preporučena instalacija i konfiguracija
Sljedeći odjeljak ilustruje dvije preporučene konfiguracije instalacije.

  • Samo BACnet™
  • BACnet™ i Niagara

Samo BACnetTM BACnetTM
Kada se napredni kontroler postrojenja koristi samo za BACnet™ komunikaciju, povežite samo Ethernet 1 na BAS mrežu na kojoj će BACnet™ (BACnet™/IP ili BACnet™/Ethernet) raditi.

Honeywell-Optimizer-Advanced-Controller- (2)

BACnet™ i Niagara
Kada se Niagara koristi na naprednom kontroleru postrojenja, može biti konfigurisana da pruža usluge, kao što su web usluge ili Niagara FOXS, na internet/intranet/korporativnu mrežu. Ako je to slučaj, povežite Ethernet 2 na internet/intranet/korporativnu mrežu putem BAS zaštitnog zida (firewall) kako biste pružili usluge toj mreži.

Honeywell-Optimizer-Advanced-Controller- (3)

Preporuka za lokalne mreže (LAN)
Osigurajte da sistemi rade na odgovarajućoj politici lozinki za pristup korisnika svim uslugama. Ove smjernice bi uključivale, ali nisu ograničene na:

  1. Upotreba jakih lozinki.
  2. Preporučeno vrijeme ciklusa lozinke.
  3. Jedinstvena korisnička imena i lozinke za svakog korisnika sistema.
  4. Pravila otkrivanja lozinki.
  5. Ako je potreban udaljeni pristup IT sistemima za upravljanje zgradama, koristite VPN (virtualnu privatnu mrežu) tehnologiju kako biste smanjili rizik od presretanja podataka i zaštitili uređaje za upravljanje od direktnog postavljanja na internet.

DOKUMENTACIJA

Dokumentacija je ključna za prikupljanje informacija o dizajnu i konfiguraciji potrebnih za održavanje sigurnog sistema.

Dokumentujte fizičke uređaje i konfiguracije, uključujući ključne informacije vezane za sigurnost
Sva dokumentacija o uređajima i konfiguracijama mora uključivati ​​informacije vezane za sigurnost za uspostavljanje i održavanje predviđenih sigurnosnih kontrola. Za npramptj. ako se na Advanced Plant Controlleru izvrše promjene zadanih usluga ili portova, onda ih jasno dokumentirajte kako bi se postavke mogle vratiti u nekom trenutku u budućnosti.

Dokumentujte eksterne sisteme, posebno interakciju između naprednog kontrolera postrojenja i njegovih povezanih sistema
BAS obično zahtijeva ili koristi eksterne sisteme za funkcionalnost, kao što su postojeća mrežna infrastruktura, VPN pristup, hostovi virtuelnih mašina i zaštitni zidovi (firewall). Ako BAS zahtijeva da ti sistemi budu konfigurisani na određeni način radi sigurnosti, kao što je zaštitni zid koji dozvoljava ili zabranjuje određene portove ili mreža koja dozvoljava pristup određenim sistemima, onda morate dokumentovati ove informacije. Ako ove sisteme treba vratiti u nekom trenutku u budućnosti, npr.ampnpr. zbog kvara opreme ili potrebe za izmjenama na vanjskim sistemima, ExampPrilikom nadogradnje zaštitnog zida (firewall), dokumentiranje ovih informacija pomoći će vam da se vratite na prethodni nivo sigurnosti.

KONTROLA PRISTUPA I FIZIČKA SIGURNOST
Kontrola pristupa uključuje specificiranje i ograničavanje pristupa uređajima ili funkcijama samo ovlaštenim korisnicima.

Fizički osigurajte napredni kontroler postrojenja, HMI i IO modul
Spriječite neovlašteni pristup mrežnoj opremi koja se koristi zajedno sa sistemima koje pruža Honeywell. Kod bilo kojeg sistema, sprječavanje fizičkog pristupa mreži i opremi smanjuje rizik od neovlaštenog ometanja. Najbolje sigurnosne prakse kod IT instalacija osigurale bi da se serverske sobe, patch paneli i IT oprema nalaze u zaključanim prostorijama. Honeywell oprema treba biti instalirana unutar zaključanih upravljačkih ormara, koji se nalaze u osiguranim strojarnicama.

Naljepnica preko pristupne ploče kontrolera ili kućišta
Prijavite se naampVidljiva naljepnica preko pristupne ploče ili kućišta naprednog kontrolera postrojenja, HMI-ja i IO modula
Ako kupcu treba dodatna garancija da fizički pristup koji štiti napredni kontroler postrojenja, HMI i IO modul nije unesen, instalirajte naampvidljivi pečat ili naljepnica preko pristupne tačke.

Odvojite i zaštitite mreže

  1. Koristite zaštitni zid (firewall) između interneta/intraneta/korporativne mreže i BAS-a.
  2. Koristite zasebnu namjensku fizičku mrežu (odvojene žice) ili virtualnu mrežu (VLAN) za BACnetTM komunikaciju. Ovo mora biti odvojena mreža od interneta/intraneta/korporativne mreže.
  3. Ne spajajte EN2 na naprednom kontroleru postrojenja ni na jednu mrežu osim ako vam nisu potrebne Niagara usluge (Platforma, Stanica i/ili Webserver). Ako trebate povezati EN2 na internet/intranet/korporativnu mrežu, morate koristiti vanjski BAS zaštitni zid (firewall) između naprednog kontrolera postrojenja i interneta/intraneta/korporativne mreže.

Wireless Security

  1. Korisnik treba ponovoview Sigurnost bežične mreže zasnovana na topologiji mreže, osiguravajući da nema nenamjernog izlaganja javnom INTERNETU i da se BAS zaštita vatrozida ne zaobiđe.
  2. Neophodno je uvijek primjenjivati ​​najviše dostupne bežične sigurnosne tehnologije, kao što su WPA2 ili WPA3. Osim toga, korisnici moraju sigurno zaštititi svoje lozinke, uključujući, ali ne ograničavajući se na Wi-Fi lozinke i Bluetooth™ PIN kodove. Nikada ne dozvolite kontroleru da se poveže na otvorenu bežičnu mrežu ili da postavi otvorenu bežičnu pristupnu tačku.
  3. Uvijek izbjegavajte povezivanje neovlaštenih uređaja na bežičnu mrežu ili uspostavljanje Bluetooth™ veza kako biste spriječili potencijalne zloupotrebe.
  4. Korisnik je odgovoran za redovno ažuriranjeview sigurnosne postavke, mijenjati lozinke ili pristupne kodove u skladu sa sigurnosnom politikom i pratiti povezane uređaje na bežičnoj mreži i podmrežama. Korisnici bi također trebali dokumentirati ove aktivnosti revizije.

OSIGURANJE NAPREDNOG KONTROLERA, HMI-ja I IO MODULA

  1. Akreditivi administratorskog sistemskog računa dodijeljeni korisniku stranice
    Vlasniku web-mjesta moraju se dati podaci za administratorski sistemski račun kako bi mogao upravljati sistemskim računima.
  2. Razvoj sigurnosnog programa
    Pogledajte 'Najbolju opću sigurnosnu praksu'
  3. Fizička i ekološka razmatranja
    Napredni kontroler, HMI i IO modul moraju biti instalirani u zaključanom okruženju, npr. u osiguranoj strojarnici ili zaključanom ormaru.

NAPOMENA
Osigurajte odgovarajuću ventilaciju.

Sigurnosna ažuriranja i servisni paketi
Provjerite da li napredni kontroler, HMI i IO modul koriste najnoviju verziju firmvera.

KORISNICI I LOZINKE

Korisnici
Osigurajte da su broj korisnika i nivoi pristupa odgovarajući za aktivnosti koje trebaju obavljati.

  • Na nivou kontrolnog uređaja konfigurišite sistemske račune ili korisnike u kontrolerima za Web klijentski, nadzornički i peer-to-peer pristup.
    Konfigurisanjem korisničkih modula u naprednim kontrolerima, korisnik se mora prijaviti na uređaj sa važećim akreditivima prije nego što se mogu izvršiti podešavanja. Osigurajte da su sistemskim računima i korisnicima dodijeljena odgovarajuća prava pristupa.
  • Koristite drugačiji račun za svakog korisnika
    Koristite jedinstvena imena i lozinke za svakog korisnika/račun na sistemu, umjesto generičkog pristupa. Različite osobe nikada ne bi trebale dijeliti isti račun. Na primjerampTj. umjesto općeg „menadžerskog“ računa koji bi mnogi menadžeri mogli koristiti, svaki menadžer bi trebao imati svoj vlastiti, zaseban račun.

Postoji mnogo razloga zašto bi svaki korisnik trebao imati svoj individualni račun:

Ako svaka osoba ima svoj račun, zapisnici revizije bit će informativniji. Bit će lako utvrditi koji je korisnik šta uradio. Ovo može pomoći u otkrivanju da li je račun kompromitovan.

NAPOMENA
Nemaju svi proizvodi mogućnost evidentiranja revizije, ali tamo gdje je dostupna, ne bi je trebalo onemogućavati.

  • Ako se račun ukloni ili izmijeni, to ne predstavlja problem mnogim ljudima. Na primjeramptj. ako osoba više nema pristup, brisanje njenog individualnog pristupa je jednostavno. Ako se radi o dijeljenom računu, jedine opcije su promjena lozinke i obavještavanje svih ili brisanje računa i obavještavanje svih. Ostavljanje računa kakav jeste nije opcija – cilj je opozvati pristup.
  • Ako svaka osoba ima svoj račun, mnogo je lakše prilagoditi dozvole kako bi precizno zadovoljile njihove potrebe. Zajednički račun može rezultirati time da ljudi imaju više dozvola nego što bi trebali.
    Dijeljeni račun znači dijeljenu lozinku. Dijeljenje lozinki je izuzetno loša sigurnosna praksa. To znatno povećava vjerovatnoću da će lozinka procuriti i otežava primjenu određenih najboljih praksi za lozinke, kao što je istek lozinke.
  • Korištenje jedinstvenih inženjerskih korisnika za projekte
    Uobičajena je praksa da neke kompanije koriste iste podatke o računu na svakom projektu. Nakon što se to sazna, ako je jedan sistem kompromitovan, napadač bi potencijalno mogao imati pristupne podatke za mnoge druge projekte koje je instalirala ista kompanija.
  • Onemogućite poznate račune kada je to moguće
    Neki proizvodi imaju zadane račune. Treba ih konfigurirati tako da lozinka više ne bude zadana.
  • Dodijelite minimalne potrebne dozvole korisnicima
    Osigurajte da su na sistemu postavljeni samo potrebni računi s minimalnim potrebnim nivoima sigurnosti, a ne punim pristupom. Prilikom kreiranja novog računa, razmislite o tome šta osoba treba da radi u sistemu, a zatim dodijelite minimalne dozvole potrebne za obavljanje tog posla. Na primjerampTj. nekome ko samo treba da vidi alarme nije potreban administratorski pristup. Davanje dozvola koje nisu potrebne povećava mogućnost kršenja sigurnosti. Korisnik može nenamjerno (ili namjerno) promijeniti postavke koje ne bi trebao mijenjati.
  • Koristite minimalni mogući broj računa sistem administratora
    Dodjeljujte dozvole sistem administratorima samo kada je to apsolutno neophodno. Ova vrsta računa je izuzetno moćan račun – omogućava potpuni pristup svemu. Samo sistem administrator treba imati pristup računu. Također razmislite o tome da sistem administratoru date dva računa, jedan za dnevni pristup za upravljanje svakodnevnim aktivnostima i drugi račun visokog nivoa pristupa koji je potreban samo kada su potrebne promjene tipa administracije.

Lozinke
Niagara sistem i operativni sistemi koje koriste napredni Honeywell proizvodi koriste lozinke za autentifikaciju 'korisnika' u nadzornim, ekranskim, alatnim ili operativnim sistemima. Posebno je važno pravilno rukovati lozinkama. Nekorištenje ovog najosnovnijeg nivoa sigurnosti značit će da će svako pristupiti sistemu putem ekrana, web Klijent ili nadzornik će imati pristup za podešavanje. Osigurajte da Niagara sistem radi u skladu s odgovarajućom politikom lozinki za korisnički pristup. Ove smjernice bi uključivale, ali nisu ograničene na:

  • Upotreba jakih lozinki – Treba koristiti jake lozinke. Za detalje o tome šta čini jaku lozinku, pogledajte najnovije sigurnosne standarde.
  • Preporučeno vrijeme ciklusa lozinke – Neki Niagara proizvodi omogućavaju administratoru sistema da odredi period nakon kojeg se lozinka mora promijeniti. Iako trenutno ne provode svi proizvodi ovaj period promjene lozinke, politika web-mjesta može to preporučiti.
  • Pravila otkrivanja lozinke – Korisnik MORA osigurati da ne otkriva detalje svog korisničkog imena i lozinke drugima i da ih ne zapisuje.

KONFIGURIŠANJE NAPREDNOG KONTROLERA POSTROJENJA
Za konfiguraciju naprednog kontrolera postrojenja, pogledajte Upute za instalaciju i Vodič za puštanje u rad
(31-00584). Za HMI pogledajte vodič za HMI drajver (31-00590), a za IO modul vodič za Panel Bus (31-00591).

Kreirajte i održavajte osnovne konfiguracije
Kreirajte i održavajte osnovnu liniju konfiguracija naprednog kontrolera postrojenja koje su pravilno konfigurisane za sigurnost. Osigurajte da ova osnovna linija uključuje i DCF. files i Niagara komponente. Nemojte prenositi nesigurne konfiguracije na osnovnu liniju kako biste spriječili njihovu nenamjernu primjenu u budućnosti. Ažurirajte svu relevantnu dokumentaciju kada se konfiguracije promijene.

 Promijenite zadane lozinke
Promijenite sve zadane lozinke: lozinku za konfiguraciju konzole, lozinku za sigurnosnu kopiju/vraćanje/ponovno pokretanje/kontrolu i lozinku za Niagara platformu. Prilikom puštanja u rad, provjerite je li uređaj zaštićen lozinkom. Osigurajte da su korisnicima lokacije dodijeljeni odgovarajući korisnički nivoi.

Dalja razmatranja

Ugovor o nivou usluge
Usvojite odgovarajuću politiku ažuriranja za infrastrukturu instaliranu na lokaciji kao dio ugovora o nivou usluge. Ova politika treba da uključuje, ali nije ograničena na, ažuriranje sljedećih sistemskih komponenti na najnovije izdanje:

  • Firmver uređaja za kontroler, IO module, HMI itd.;
  • Supervizorski softver, kao što je Arena NX softver;
  • Operativni sistemi za računare/servere;
  • Mrežna infrastruktura i svi sistemi za daljinski pristup.

Konfiguracija IT mreže
Konfigurišite odvojene IT mreže za sisteme automatizacije upravljanja i korporativnu IT mrežu klijenta. To se može postići konfigurisanjem VLAN-ova (virtualnih LAN-ova) unutar IT infrastrukture klijenta ili instaliranjem odvojene mrežne infrastrukture sa odvojenim vazdušnim prostorom namijenjene sistemima automatizacije upravljanja.
Prilikom povezivanja s kontrolerima pomoću centralizovanog nadzornika sistema (npr.ampnpr. Niagara) i gdje sistem ne zahtijeva direktan pristup pojedinačnim uređajima web server, mrežna infrastruktura treba biti konfigurirana tako da ograničava web pristup serveru.
Dinamički VLAN-ovi koji koriste dodjelu MAC adresa mogu zaštititi od neovlaštenog povezivanja uređaja sa sistemom i mogu smanjiti rizik povezan s pojedinačnim nadzorom informacija na mreži.

KONFIGURIŠANJE BAS ZAŠTITNOG ZID-A

Sljedeća tabela opisuje mrežne portove koji se koriste u naprednom kontroleru postrojenja. Pogledajte "Sistem prekoview"na stranici 8. za primjeramparhitektura instalacije le. Tabela ima sljedeće kolone:

  • Zadani port i protokol (TCP ili UDP)
  • Namjena luke
  • Da li je potrebno promijeniti zadani port ili ne
  • Da li treba dozvoliti dolazne veze ili promet kroz BAS zaštitni zid
  • Dodatne napomene su navedene ispod tabele

Tabela 2 Konfigurisanje BAS zaštitnog zida

Default Port/Protokol  

Svrha

 Promjena u odnosu na zadano?  

Dozvoliti kroz BAS zaštitni zid?

  

Bilješke
80 / TCP HTTP br br  
 

443 / TCP

  

HTTPs

  

br

 Moguće, ako web Potreban je pristup s interneta/intraneta/korporativne mreže.  

1
1911 / TCP Fox (nesigurna verzija Niagara aplikacijskog protokola) Da br  
4911 / TCP Fox + SSL (sigurna verzija Niagara aplikacijskog protokola) Da br  
3011 / TCP NiagaraD (nesigurna verzija protokola Niagara platforme) Da br  
5011 / TCP NiagaraD + SSL (sigurna verzija protokola Niagara platforme) Da br  
2601 / TCP Zebra konzolni port br br 2
2602 / TCP RIP konzolni port     2
47808/UDP BACnetTM/IP mrežna veza Da br 3

NAPOMENA

  1. Ako je direktno daljinsko upravljanje web Ako je korisničko sučelje podržano, onda ovaj port mora biti dozvoljen kroz BAS zaštitni zid.
  2. Port se automatski otvara ovim daemon-om i ova funkcionalnost se ne može onemogućiti. Daemon je konfigurisan da ne dozvoljava nikakve prijave putem ovog porta.
  3. Slijedite smjernice za konfiguraciju mreže navedene u ovom priručniku kako napredni kontroler postrojenja nikada neće morati propuštati UDP promet kroz BAS zaštitni zid.

POSTAVLJANJE AUTENTIKACIJE

Googleova shema autentifikacije je mehanizam dvofaktorske autentifikacije koji zahtijeva od korisnika da unese svoju lozinku, kao i token za jednokratnu upotrebu prilikom prijave na stanicu. Ovo štiti korisnički račun čak i ako je njegova lozinka kompromitovana.
Ova shema autentifikacije oslanja se na TOTP (vremenski zasnovana jednokratna lozinka) i aplikaciju Google Authenticator na korisnikovom mobilnom uređaju za generiranje i provjeru tokena za jednokratnu autentifikaciju. Google autentifikacija je zasnovana na vremenu, tako da ne postoji ovisnost o mrežnoj komunikaciji između korisnikovog mobilnog uređaja, stanice ili vanjskih servera. Budući da je autentifikator zasnovan na vremenu, vrijeme u stanici i vrijeme na telefonu moraju ostati relativno sinhronizirani. Aplikacija pruža međuspremnik od plus ili minus 1.5 minuta kako bi se uračunalo odstupanje sata.
Preduslovi: Na korisnikovom mobilnom telefonu je instalirana aplikacija Google Authentication. Radite u Workbenchu. Korisnik postoji u bazi podataka stanice.

Procedura

  1. Otvorite gauth paletu i dodajte GoogleAuthenticationScheme u čvor Usluge > Authenticationservice u navigacijskom stablu.
  2. Desnim klikom miša kliknite na Userservice i dvaput kliknite na korisnika u tabeli. Edit view za korisnika se otvara.
  3. Konfigurirajte svojstvo Naziv sheme autentifikacije na GoogleAuthenticationScheme i kliknite Sačuvaj.
  4. Kliknite na dugme pored tajnog ključa ispod autentifikatora korisnika i slijedite upute.
  5. Da biste dovršili konfiguraciju, kliknite na Sačuvaj. U zavisnosti od view koju koristite, možda ćete morati ponovo otvoriti korisnika ili osvježiti nakon spremanja.

ISPORUKA SISTEMA
Ovaj odjeljak sadrži informacije koje morate dostaviti kada se BAS isporuči vlasniku sistema.

  • Dokumentacija koja uključuje sigurnosne informacije, postavke konfiguracije, korisnička imena i lozinke za administratore, planove za oporavak od katastrofe i katastrofe te postupke sigurnosnog kopiranja i vraćanja podataka.
  • Obuka krajnjih korisnika o zadacima sigurnosnog održavanja.

USB REZERVNA KOPIJA I ČIŠĆENJE FILE INSTALACIJA
Korisnik mora zaštititi lozinku koja se koristi za zipovanje i raspakivanje kontrolera. Izbjegavajte dijeljenje lozinki i podataka kontrolera tokom procesa pravljenja sigurnosne kopije ili vraćanja podataka.
USB sigurnosna kopija i CleanDist file Informacije o instalaciji mogu se pronaći u Vodiču za instalaciju i puštanje u rad – 31-00584.

UKLANJANJE SISTEMA IZ POGONA
Osjetljive podatke treba izbrisati s jedinica koje se isključuju iz upotrebe, a to se može učiniti vraćanjem na tvorničke postavke. Pogledajte dugme za servis/LED alarm za servis i CleanDist. file instalaciju iz Vodiča za instalaciju i puštanje u rad – 31-00584.

NAPOMENA
CleanDist file Postupak se može izvršiti na tvornički postavljenim postavkama instaliranjem clean4 file.

NAPREDNA SIGURNOST PROIZVODA IZ NIJAGARE
Za napredne Honeywell proizvode koji su zasnovani na Niagara N4 i Niagara AX okvirima (npr. napredni kontroler postrojenja, HMI i IO modul), morate slijediti savjete Tridiuma o osiguranju Niagara okvira.
Postoji niz promjena konfiguracije koje se mogu napraviti na Niagari kako bi se maksimizirala sigurnost naprednih Honeywell proizvoda.

  • Koristite funkciju Jačina lozinke
  • Omogućite funkciju zaključavanja računa
  • Lozinke isteka
  • Koristite historiju lozinki
  • Koristite funkciju resetiranja lozinke
  • Ostavite polje "Zapamti ove akreditive" neoznačeno
  • Promijenite zadanu sistemsku lozinku
  • Koristite TLS za postavljanje sistemske lozinke
  • Odaberite jaku sistemsku lozinku
  • Zaštitite sistemsku lozinku
  • Osigurajte da vlasnik platforme zna sistemsku lozinku
  • Koristite drugačiji račun za svakog korisnika platforme
  • Koristite jedinstvena imena računa za svaki projekat
  • Osigurajte da vlasnik platforme zna vjerodajnice platforme
  • Koristite drugačiji račun za svakog korisnika stanice
  • Koristite jedinstvene račune tipa usluge za svaki projekat
  • Onemogućite poznate račune kada je to moguće
  • Postavite privremene račune koji će automatski isteći
  • Promjena vjerodajnica za tip sistema
  • Zabrani istovremene sesije kada je to prikladno
  • Konfigurišite uloge sa minimalnim potrebnim dozvolama
  • Dodijelite minimalne potrebne uloge korisnicima
  • Koristite minimalni mogući broj superkorisnika
  • Zahtijeva dozvole super korisnika za objekte programa
  • Koristite minimalne potrebne dozvole za eksterne račune
  • Koristite shemu autentifikacije koja odgovara vrsti računa
  • Uklonite nepotrebne sheme autentifikacije
  • TLS i upravljanje certifikatima
  • Instalacija modula
  • Zahtijevajte potpisane programske objekte i robote
  • Onemogućite SSH i SFTP
  • Onemogućite nepotrebne usluge
  • Sigurno konfigurirajte potrebne usluge
  • Ažurirajte Niagaru 4 na najnovije izdanje
  • Instalirajte proizvod na sigurnoj lokaciji
  • Provjerite da li su stanice iza VPN-a
  • Dostupne su specifične tehničke publikacije koje se moraju slijediti kako bi se osiguralo da je sistem što sigurnije zaključan. Postoje mnoge opcije kao što su SSL enkripcija i dodatni koraci za zaštitu elemenata kao što su programski moduli, za više detalja pogledajte Tridium. webStranica za Vodič za očvršćavanje Niagara 4 (za proizvode na bazi Niagara N4) i Vodič za očvršćavanje Niagara (proizvodi na bazi Niagara AX).

Materijal u ovom dokumentu služi samo u informativne svrhe. Sadržaj i opisani proizvod podložni su promjenama bez prethodne najave. Honeywell ne daje nikakve izjave niti jamstva u vezi s ovim dokumentom. Honeywell ni u kojem slučaju neće biti odgovoran za tehničke ili uredničke propuste ili greške u ovom dokumentu, niti će biti odgovoran za bilo kakvu štetu, izravnu ili slučajnu, nastalu ili povezanu s upotrebom ovog dokumenta. Nijedan dio ovog dokumenta ne smije se reproducirati u bilo kojem obliku ili na bilo koji način bez prethodnog pismenog odobrenja kompanije Honeywell.
Honeywell | Automatizacija zgrada

715 Peachtree Street, NE,

  • Atlanta, Georgia, 30308, Sjedinjene Američke Države.
  • https://buildings.honeywell.com/us/en
  • ® US registrovani zaštitni znak
  • ©2024 Honeywell International Inc. 31-00594-03 Rev. 12-24

LISTA SIGURNOSTI INSTALACIJE

  • Instanca uređaja naprednog kontrolera postrojenja: ________________________________________________________________
  • Opis naprednog kontrolera postrojenja: _________________________________________________________________
  • Lokacija naprednog kontrolera postrojenja: _____________________________________________________________________
  • Instalater:________________________________________________________
  • Datum: _________________________________

Izvršite sljedeće sigurnosne zadatke za svaki instalirani napredni kontroler postrojenja

  • Instalirajte zaštitni zid (firewall) između naprednog kontrolera postrojenja i vanjske mreže (mreža). Pogledajte odlomak „BACnet i Niagara“ na stranici 19.
  • Fizički osigurajte napredni kontroler postrojenja. Pogledajte „Fizičko osiguranje naprednog kontrolera postrojenja, HMI-ja i IO modula“ na stranici 22.
  • Promijenite zadanu lozinku u jedinstvenu lozinku za svako od sljedećeg: Konfiguracija konzole, Sigurnosna kopija/Vraćanje/Ponovno pokretanje/Kontrola i Niagara platforma. Pogledajte Upute za instalaciju i Vodič za puštanje u rad – 31-00584
  • Ako a web Ako je potreban server, konfigurirajte ga da radi samo u HTTPS načinu rada. Pogledajte Upute za instalaciju i puštanje u rad – 31-00584

Web Status servera: Onemogućen / Omogućen.
If web usluga omogućena, izvršite sljedeće:

  • Postavi HTTP omogućeno na false.
  • Postavite HTTPS omogućen na = tačno.
  • Postavi Samo HTTPS = tačno.
  • Konfigurišite BAS zaštitni zid. Pogledajte "Konfigurisanje BAS zaštitnog zida" na stranici 26.
  • Dostavite sve potrebne podatke vlasniku BAS sistema prilikom isporuke. Pogledajte "Postavljanje autentifikacije" na stranici 27.

FAQ

  • Zašto je važno osigurati napredni kontroler?
    Osiguranje kontrolera pomaže u sprečavanju neovlaštenog pristupa, štiti osjetljive podatke i osigurava pouzdanost sistema.
  • Kako mogu oporaviti svoju lozinku?
    Da biste oporavili lozinku, slijedite postupak oporavka lozinke opisan u priručniku. To obično uključuje provjeru podataka o vašem računu.

Dokumenti / Resursi

Honeywell Optimizer napredni kontroler [pdf] Korisnički priručnik
31-00594-03, Napredni kontroler za optimizaciju, Napredni kontroler, Kontroler

Reference

Related Posts

Ostavite komentar

Vaša email adresa neće biti objavljena. Obavezna polja su označena *