eusi nyumput
1 Honeywell Optimizer Advanced Controller
2 SISTEM OVERVIEW
3 RANCANGAN JEUNG KAAMANAN
4 ADVANCED CONTROLLER, HMI, JEUNG IO MODUL SISTEM KAAMANAN
5 Ngamankeun SISTEM OPERASI NIAGARA
6 PERATURAN PROTEKSI DATA UMUM (GDPR)
7 KOMUNIKASI AMAN
8 RANCANGAN JEUNG INSTALASI
9 DOKUMENTASI
10 Ngamankeun MODUL CONTROLLER, HMI, JEUNG IO
11 Pamaké & kecap akses
12 Ngonpigurasikeun firewall bas
13 Nyetél auténtikasi
14 FAQ
15 Dokumén / Sumberdaya
15.1 Rujukan
16 Tulisan patali

Honeywell-LOGO

Honeywell Optimizer Advanced Controller

Honeywell-Optimizer-Advanced-Controller-PRODUCT

spésifikasi

  • Produk: Advanced Controller
  • Jumlah modél: 31-00594-03
  • Sistem Operasi: Sistem Operasi Niagara
  • Fitur Kaamanan: Kode Verifikasi Akun, Akun Sistem, Pamulihan Sandi, Komunikasi Aman, Sertipikat
  • Kasaluyuan jaringan: BACnetTM, LAN

Bantahan
Bari urang geus kalibet dina usaha pikeun assure katepatan tina dokumén ieu, Honeywell teu nanggungjawaban kanggo karuksakan nanaon, kaasup tanpa watesan Karuksakan consequential timbul tina aplikasi atawa pamakéan informasi ngandung dieu. Inpormasi sareng spésifikasi anu diémbarkeun di dieu nyaéta ayeuna ti tanggal ieu publikasi sareng tiasa robih tanpa aya bewara. Spésifikasi produk panganyarna tiasa dipendakan dina kami websitus atanapi ku ngahubungan kantor perusahaan kami di Atlanta, Georgia.
Pikeun seueur komunikasi berbasis RS-485 industri, status standar ditumpurkeun dina waktos pangiriman kaluar pabrik pikeun mastikeun kaamanan anu pangsaéna, sabab beus komunikasi warisan éta ngagunakeun téknologi warisan pikeun kasaluyuan anu pangsaéna sareng aranjeunna dirancang kalayan panyalindungan kaamanan anu lemah. Janten, pikeun maksimalkeun panyalindungan sistem anjeun, Honeywell sacara proaktif nganonaktipkeun palabuhan komunikasi beus industri warisan (dina waktos kiriman pabrik), sareng pangguna kedah sacara eksplisit ngaktipkeun jaringan di Stasion unggal jaringan. Upami anjeun hoyong ngaktifkeun palabuhan ieu, anjeun kedah sadar kana résiko tina sagala pelanggaran kaamanan anu dibawa ku ngagunakeun téknologi warisan. Ieu kaasup tapi teu diwatesan ku: Panel-beus, C-Beus, BACnetTM, M-Beus, CP-IO Beus, NovarNet, protokol XCM-LCD, SBC S-Beus na Modbus, jsb.
Ngembangkeun kana ISA-62443

Honeywell parantos ngandelkeun standar ISA 62443-4-1 mangtaun-taun sareng standar pendamping anu tiasa dianggo pikeun ngembangkeun produk téknologi wangunan urang sacara aman. Pikeun exampLe, produk wangunan Honeywell ogé ngagunakeun ISA / IEC 62443-4-2 salaku dasar pikeun syarat kaamanan teknis dina komponén, sarta kami nganggo ISA / IEC 62443-3-3 pikeun sistem lengkep. Janten pikeun integrator sareng palanggan anu milih téknologi gedong, ketaatan Honeywell kana kulawarga standar ISA / IEC 62443 tiasa masihan tingkat kapercayaan anu luhur yén produk urang henteu ngan ukur ngaku tahan banting cyber - aranjeunna parantos dirarancang, diuji, sareng disahkeun pikeun ketahanan cyber ti mimiti.
Honeywell ngembangkeun produk urang kana ISA / IEC 62443-4-1 sareng kami parantos ditaksir ku pihak ka-3 sareng diaudit ngalawan standar ieu.
Bubuka sareng Hadirin Anu Dimaksud

Honeywell kalayan ieu nyatakeun sacara jelas yén pangendalina henteu sacara alami dijagi tina serangan cyber tina Internét sareng ku kituna aranjeunna dimaksudkeun ngan ukur pikeun dianggo dina jaringan pribadi. Sanajan kitu, sanajan jaringan pribadi masih bisa tunduk kana serangan cyber jahat ku individu IT terampil sarta dilengkepan sahingga merlukeun panyalindungan. Ku alatan éta, konsumén kedah ngadopsi pamasangan sareng kaamanan tungtunan prakték pangsaéna pikeun produk basis IP Advanced Plant Controller pikeun ngirangan résiko anu ditimbulkeun ku serangan sapertos kitu.
Tungtunan di handap ieu ngajelaskeun Praktek Pangalusna Kaamanan Umum pikeun produk basis ControllerIP Advanced Plant. Aranjeunna didaptarkeun dina raraga ningkatkeun mitigasi.

Sarat pasti unggal situs kudu ditaksir dumasar kana kasus-demi-kasus. Seuseueurna pamasangan anu ngalaksanakeun sadaya tingkat mitigasi anu dijelaskeun di dieu bakal langkung seueur tibatan anu diperyogikeun pikeun kaamanan sistem anu nyugemakeun. Incorporating item 1-5 (patali jeung Lokal Area Network), Tingal "Local Area Network (LAN) Rekomendasi" dina kaca 20. umumna bakal minuhan sarat pikeun paling pamasangan jaringan kontrol automation.
Buku Panduan ieu ngandung émbaran pikeun pituduh tanaga di dealer Honeywell ngeunaan cara aman install jeung ngonpigurasikeun hiji Advanced Plant Controller, HMI jeung modul IO. Inpormasi anu aya hubunganana sareng kaamanan ngeunaan operasi, cadangan sareng pamulihan USB, sareng CleanDist file pamasangan controller bisa kapanggih dina Instruksi instalasi tur Commissioning Guide (31-00584).

CATETAN
Punten waktosna maca sareng ngartos sadaya manual pamasangan, konfigurasi, sareng operasi anu relevan sareng mastikeun yén anjeun rutin nampi versi panganyarna.

meja 1 Émbaran produk

produk Nomer Produk Katerangan
 

 

 

 

 

 

Tutuwuhan Controller

 N-ADV-134-H Niagara controller canggih kalawan Opat palabuhan Ethernet, Port pikeun HMI, jeung 4 palabuhan RS485
 

N-ADV-133-H-BWA

 Controller canggih Niagara sareng Opat palabuhan Ethernet, Port pikeun HMI, 3 palabuhan RS485, Wi-Fi (wilayah Amérika), sareng dukungan BluetoothTM
 

N-ADV-133-H-BWE

 Controller canggih Niagara sareng Opat palabuhan Ethernet, Port pikeun HMI, 3 palabuhan RS485, Wi-Fi (wilayah Éropa), sareng dukungan BluetoothTM
 

N-ADV-133-H-BWW

 Controller canggih Niagara sareng Opat palabuhan Ethernet, Port pikeun HMI, 3 palabuhan RS485, Wi-Fi (Wilayah dunya sésana), sareng dukungan BluetoothTM
N-ADV-133-H Niagara controller canggih kalawan Opat palabuhan Ethernet, Port pikeun HMI, jeung 3 palabuhan RS485
N-ADV-112-H Niagara canggih controller jeung Dua palabuhan Ethernet, Port pikeun HMI, jeung 2 palabuhan RS485
 

HMI

 HMI-DN HMI (gantungan rel DIN)
HMI-WL HMI (panto/dinding dipasang)
 

 

 

 

 

 

 

 

 

 

Modul IO

 IO-16UIO-SS 16UIO IO Module tanpa HOA, Serial Comms, Terminal screw
IOD-16UIO-SS 16UIO IO Module kalawan tampilan HOA, Serial Comms, Terminal screw
IO-16UI-SS 16UI IO Module, Serial Comms, Terminal screw
IO-16DI-SS 16DI IO Module, Serial Comms, Terminal screw
IO-8DOR-SS Modul 8DO IO tanpa HOA, C/O Relays, Serial Comms, Screw Terminal
IOD-8DOR-SS Modul 8DO IO sareng Tampilan HOA, Relay C/O, Komunikasi Serial, Terminal Screw
IO-16UIO-SP 16UIO IO Module kalawan HOA Display, Serial Comms, Push Terminal
IO-16UI-SP 16UIO IO Module, Serial Comms, Push Terminal
IO-16DI-SP 16DI IO Module, Serial Comms, Push Terminal
IO-8DOR-SP 8DO IO Module tanpa HOA, C / O Relays, Serial Comms, Push Terminal
IOD-8DOR-SP Modul 8DO IO sareng Tampilan HOA, Relay C/O, Komunikasi Serial, Terminal Push
IO-8UIO-SS 8UIO IO Module tanpa HOA, Serial Comms, Terminal screw
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Modul IO

 IOD-8UIO-SS 8UIO IO Module kalawan tampilan HOA, Serial Comms, Terminal screw
IO-8AO-SS 8AO IO Module tanpa HOA, Serial Comms, Terminal screw
IOD-8AO-SS 8AO IO Module kalawan tampilan HOA, Serial Comms, Terminal screw
IO-4UIO-SS 4UIO IO Module tanpa HOA, Serial Comms, Terminal screw
IOD-4UIO-SS 4UIO IO Module kalawan tampilan HOA, Serial Comms, Terminal screw
IO-8DI-SS 8DI IO Module, Serial Comms, Terminal screw
IO-4DOR-SS Modul 4DO IO tanpa HOA, C/O Relays, Serial Comms, Screw Terminal
IOD-4DOR-SS Modul 4DO IO sareng Tampilan HOA, Relay C/O, Komunikasi Serial, Terminal Screw
IO-4DORE-SS 4DO IO Module tanpa HOA, Enhanced C/O Relays, Serial Comms, Screw Terminal
IOD-4DORE-SS Modul 4DO IO sareng Tampilan HOA, Relay C/O Ditingkatkeun, Komunikasi Serial, Terminal Screw
IO-8UIO-SP 8UIO IO Module tanpa HOA, Serial Comms, Push Terminal
IOD-8UIO-SP 8UIO IO Module kalawan HOA Display, Serial Comms, Push Terminal
IO-8AO-SP 8AO IO Module tanpa HOA, Serial Comms, Push Terminal
IOD-8AO-SP 8AO IO Module kalawan tampilan HOA, Serial Comms, Push Terminal
IO-4UIO-SP 4UIO IO Module tanpa HOA, Serial Comms, Push Terminal
IOD-4UIO-SP 4UIO IO Module kalawan HOA Display, Serial Comms, Push Terminal
IO-8DI-SP 8DI IO Module, Serial Comms, Push Terminal
IO-4DOR-SP 4DO IO Module tanpa HOA, C / O Relays, Serial Comms, Push Terminal
IOD-4DOR-SP Modul 4DO IO sareng Tampilan HOA, Relay C/O, Komunikasi Serial, Terminal Push
IO-4DORE-SP 4DO IO Module tanpa HOA, Enhanced C/O Relays, Serial Comms, Push Terminal
IOD-4DORE-SP Modul 4DO IO sareng Tampilan HOA, Relay C/O Ditingkatkeun, Komunikasi Serial, Terminal Push

Naha ngamankeun CONTROLLER LANJUTAN Anjeun?

  • Jaga sistem pabrik palanggan anjeun tina parobihan anu teu diidinan pikeun operasi set-point, overrides sareng jadwal waktos.
  • Nyegah aksés ka wincik akun pamaké: misalna ngaran pamaké, kecap akses, alamat surélék, SMS (mobile) nomer jsb.
  • Nyegah aksés ka data sénsitip komersil: Example- Métrik konsumsi énergi, solusi strategi kontrol spesialis jsb.
  • Nyegah aksés teu sah ka controller, komputer jeung jaringan hosting software BMS jeung alat kontrol.
  • Ngajaga integritas data sarta nyadiakeun akuntabilitas.

SISTEM OVERVIEW

Honeywell-Optimizer-Advanced-Controller- (1)

The leuwihview tina instalasi sistem has..

  1. Internét / intranet / jaringan perusahaan
    Ieu mangrupikeun perwakilan jaringan logis anu saderhana pikeun sadaya jaringan di luar ruang lingkup sistem automation wangunan (BAS). Éta tiasa nyayogikeun aksés ka antarmuka manajemén BAS (sapertos workstation primér Niagara web panganteur pamaké) tapi kudu nyadiakeun aksés ka Internet ku kituna komputer Niagara bisa pariksa tur ngundeur apdet sistem operasi sarta virus scanner iwal sarana séjén pikeun ngalakukeun ieu disadiakeun.
  2. jaringan BAS
    Jaringan ieu ngan ukur dianggo pikeun protokol BAS, anu diwangun ku BACnetTM / IP, BACnetTM / Ethernet, sareng protokol naon waé anu tiasa dianggo ku Layanan Integrasi Niagara dina Controller Plant Advanced. Jaringan ieu teu kedah sami sareng jaringan Internét/intranet/perusahaan.
  3. firewall BAS
    Pikeun masihan pamisahan tambahan sareng panyalindungan ka BAS, firewall kedah dianggo antara Internét / intranet / jaringan perusahaan sareng alat BAS anu nyambung ka dinya, sapertos workstation primér Niagara, workstation Niagara, sareng Advanced Plant Controller. Firewall ieu ngabatesan aksés ka BAS ngan ukur komputer anu otorisasi sareng tiasa ngabantosan ngirangan résiko serangan, sapertos serangan panolakan jasa.
  4. workstation Niagara
    The Niagara workstation primér nyaéta komputer ngajalankeun software Niagara. Merlukeun dua sambungan jaringan - hiji pikeun nyambungkeun ka manajemén web panganteur pamaké ngaliwatan a web browser (biasana dina
    Internét/intranét/jaringan perusahaan) jeung nu séjénna pikeun nyambungkeun ka jaringan BAS.
  5. Ethernet Saklar
    Switch Ethernet nyiptakeun jaringan sareng nganggo sababaraha palabuhan pikeun komunikasi antara alat dina LAN. Ethernet switch béda ti routers, nu nyambungkeun jaringan sarta ngagunakeun ngan hiji LAN jeung port Wan. Infrastruktur nirkabel kabel lengkep sareng perusahaan nyayogikeun konektipitas kabel sareng Wi-Fi pikeun konektipitas nirkabel.
  6. Canggih Plant Controller
    Advanced Plant Controller mangrupakeun controller global nu nyambung ka jaringan Ethernet, BACnetTM IP jeung host MS / bagéan jaringan TP. MS/TP mangrupakeun sambungan rubakpita low nu dipaké pikeun nyambungkeun controller jeung sensor.
  7. HMI
    HMI disambungkeun jeung narima kakuatan ti Controllers tutuwuhan Advanced Niagara. Alat-alat ieu diwangun ku tampilan layar rampa kapasitif anu ngadukung pilihan ku ramo kosong sareng nyayogikeun fungsi pikeun operator. view, aksés, jeung troubleshoot titik controller, modul IO, jeung alat disambungkeun séjén.
  8. Modul IO
    Modul IO bisa nyambung ka controller ngagunakeun sambungan flake touch (kakuatan jeung komunikasi) atawa modul IO bisa nyambung ka adaptor wiring nu bakal disadiakeun kalawan kakuatan tur disambungkeun ka salah sahiji interfaces RS485 on controller nu. Modul IO tiasa diprogram nganggo alat rékayasa anu aya sapertos alat ComfortPoint TM Open Studio sareng Niagara 4 Workbench.

RANCANGAN JEUNG KAAMANAN

  1. Jaringan Ethernet
    Disarankeun yén jaringan Ethernet dipaké ku sistem BMS dipisahkeun tina jaringan kantor normal.
    Example:
    Ngagunakeun celah hawa, atawa jaringan pribadi virtual. Aksés fisik ka infrastruktur jaringan Ethernet kedah diwatesan. Anjeun ogé kedah mastikeun yén pamasangan saluyu sareng kawijakan IT perusahaan anjeun.
    Advanced Controllers teu kudu disambungkeun langsung ka Internet.
  2. Web Server
    The Advanced Controller nyadiakeun duanana HTTP na HTTPS web server. Lamun a web server teu diperlukeun, eta Dianjurkeun yén duanana web server ditumpurkeun.
  3. Jaringan IP BACnetTM
    Kusabab sifat teu aman tina protokol BACnetTM, modul Advanced Controller, HMI, sareng IO anu nganggo BACnetTM teu kedah nyambung ka Internét dina kaayaan naon waé. Sistem kaamanan Advanced Controller henteu ngajagaan tina tulisan BACnetTM. Aksés fisik ka infrastruktur jaringan IP BACnetTM kudu diwatesan. Upami komunikasi IP BACnetTM henteu diperyogikeun, Modul Jaringan Advanced Controllers (BACnetTM TM IP) kedah ditumpurkeun ku netepkeun parameter 'Pareuman Modul' ka '1'.
    Upami komunikasi BACnetTMTM diperyogikeun, disarankeun pisan yén BACnetTMTM Backup/Restore, Reinitialize Device sareng BACnetTMTM Writable services teu diaktipkeun. Nanging, ieu hartosna yén strategi anu diciptakeun henteu patuh BTL - Tingali kana "Kaamanan Lokal" dina kaca 13.
  4. MS/TP (lisensi NC)
    Aksés fisik ka infrastruktur jaringan MS/TP kudu diwatesan. Lamun MS / jaringan TP teu diperlukeun, kudu Advanced controller (BACnetTM MSTP) Network Module ditumpurkeun ku netepkeun parameter 'Pareuman Module' ka '1'. IO Bus (lisensi CAN)
    Aksés fisik ka IO Bus kedah diwatesan.
  5. USB
    Aksés fisik ka Advanced Controller USB Port Téknik Lokal kedah diwatesan.
  6. RS485 (kaasup lisénsi Modbus)
    Aksés fisik ka port RS485 Controller kedah diwatesan. Upami henteu diperyogikeun, Modul Jaringan anu nyambung ka palabuhan henteu kedah dilebetkeun kana strategi.
  7. Modbus IP Network (lisensi INT)
    Kusabab sifat teu aman tina protokol Modbus Advanced Controller anu ngadukung Modbus IP teu kedah nyambung ka Internét dina kaayaan naon waé. Aksés fisik ka infrastruktur jaringan Modbus IP kudu diwatesan. Lamun komunikasi Modbus IP teu diperlukeun, Advanced Controller urang (Modbus IP) Network Module teu kudu kaasup dina strategi.

ADVANCED CONTROLLER, HMI, JEUNG IO MODUL SISTEM KAAMANAN

Kaamanan Controllers Advanced sasuai sareng ISA 62433-3-3 SL 3 sareng nyayogikeun boot aman, jaringan anu dioténtikasi sareng énkripsi, énkripsi nalika istirahat, sareng manajemén akun anu disingkronkeun.
Pikeun kéngingkeun aksés kana produk Advanced Controller atanapi ngalaksanakeun salah sahiji pancén di luhur kedah disayogikeun nami pangguna sareng kecap konci anu valid pikeun Akun Sistem Téknik atanapi Akun Sistem Alat.

  1. Kaamanan nalika Unconfigured
    Pikeun berinteraksi sareng hiji Advanced controller, HMI jeung Modul IO, Kapercayaan valid kudu disadiakeun. Kontroler disayogikeun ti pabrik tanpa kapercayaan (Akun Sistem atanapi modul Pamaké) anu mastikeun yén nalika mimiti diaktipkeun, éta ditangtayungan tina aksés anu henteu sah. Kahiji kalina usaha pikeun nyambung ka vCNC di salah sahiji produk Advanced dina jaringan Niagara hiji Rekening System Téknik kalawan Peran Administrator kudu dijieun.
  2. Protéksi ti Alat nu teu sah
    A konci unik (Network Key) dipaké pikeun mastikeun yén ngan alat otorisasi bisa gabung jaringan Niagara. Kabéh controller nu ngabentuk jaringan Niagara kudu boga Network Key na UDP port sarua. Ieu dikonpigurasi nganggo Alat IP salami prosés konfigurasi awal.
    Example:
    Lamun opat Advanced Plant Controllers boga Network Key sarua (112233), sarta kalima boga Network Key béda.
    (222). Nalika aranjeunna disambungkeun ka jaringan Ethernet sarua opat controller jeung Network Key sarua ngagabung babarengan pikeun ngabentuk jaringan tunggal, tapi Controller kalima moal bisa gabung jaringan sabab boga Network Key béda ie (222).
    Nya kitu, lamun controller kalima anyar (sakumaha shipped ti pabrik) sarta ditambahkeun kana jaringan Ethernet moal bisa nyambung ka jaringan Niagara sabab teu boga Network Key.
    1. Kode Verifikasi Akun
      Nalika Akun Sistim Admin ditambahkeun kana salah sahiji controller dina jaringan mangrupa Kodeu Verifikasi Akun otomatis dihasilkeun ku controller nu Akun Sistim ieu ditambahkeun. Kode ieu disingkronkeun ka sadaya Controllers séjén kalawan Network Key na UDP port sarua dina jaringan Ethernet.
      Sakali Kode Verifikasi Akun geus dihasilkeun ALL controller dina jaringan WAJIB boga Code Verifikasi Akun sarua ogé Network Key jeung port UDP sarua.
      Example:
      Upami aya lima pangendali, sadaya pangendali Advanced gaduh Konci Jaringan anu sami. Opat gaduh Kode Verifikasi Akun (AVC) sami sareng janten jaringan. Anu kalima gaduh Kode Verifikasi Akun anu béda sareng sanaos gaduh Konci Jaringan anu sami, éta henteu tiasa ngagabung sareng pangendali anu sanés.
  3. Akun Sistim
    Akun sistem ngamungkinkeun jalma sareng alat pikeun berinteraksi sareng Advanced Controller. Aksés anu dipasihkeun gumantung kana jinis akun sareng peran.
    Aya dua jinis Akun Sistem:
    1. Rekening Sistim rékayasa
    2. Akun Sistim Alat
    3. Rekening Sistim rékayasa
      Akun Sistem Teknik dimaksudkeun pikeun dianggo ku insinyur. Unggal Rekening System rékayasa gaduh nami akun sareng kecap akses anu kedah disayogikeun nalika dipénta ku controller. Lamun ngaran pamaké sarta sandi valid disadiakeun controller bakal masihan aksés.

Akun Sistem rékayasa anu misah kedah didamel pikeun unggal jalma. Akun Sistem Teknik tiasa disetél ka salah sahiji tina dua peran:

  • Peran Téknik
  • Kalungguhan Administrator

Peran Téknik
Peran Téknik nyayogikeun aksés anu dipikabutuh pikeun ngarékayasa sistem Advanced, nyiptakeun/ngatur Akun Sistem Alat sareng pikeun ngatur rinci akun pangguna (alamat email, kecap akses, jsb).
Kalungguhan Administrator
Peran Administrator nyayogikeun aksés anu sami sareng peran Téknik ditambah kamampuan pikeun ngatur sadaya Akun Rekayasa sareng Sistem Alat.

Akun Sistim Alat
Akun Sistim Alat dimaksudkeun pikeun ngidinan alat kayaning Niagara nyambung ka jaringan pikeun ménta inpo nu diperlukeun tur jieun perobahan. Dianjurkeun yén Akun Sistim Alat misah dijieun pikeun tiap alat nu keur ngakses jaringan. Aranjeunna ngagaduhan peran 'Supervisor'.

PENTING
Penting: Sistem kaamanan pengawas sorangan kudu dikonpigurasi pikeun ngawatesan hak aksés unggal pamaké pangawas.

Nyiptakeun Akun Sistem
Rekening Sistem Téknik sareng Peran Administrator kedah didamel nalika pertama kalina usaha pikeun nyambung ka vCNC dina jaringan Niagara. Rekening ieu lajeng nyingkronkeun ka controller séjén dina jaringan Niagara

  • Tingal "Manajemén Akun Disingkronkeun" dina kaca 12. Rekening tambahan bisa dijieun lamun perlu ngagunakeun workbench Niagara.

CATETAN
Pertama kali Rekening System Téknik dijieun di controller hiji Kode Verifikasi Akun otomatis-matically dihasilkeun sarta disingkronkeun jeung controller séjén dina jaringan Ethernet jeung Net-work Key sarua jeung port UDP. Nalika controller boga Kode Verifikasi Akun, éta ngan ukur tiasa gabung ka jaringan sareng pangendali anu gaduh Kode Verifikasi Akun anu sami - Tingali kana "Kode Verifikasi Akun" dina kaca 11.

Manajemén Akun singkronisasi
Manajemén akun singkronisasi gampang sareng aman nyinkronkeun Akun Sistem, kalebet Kode Verifikasi Akun, sareng sadaya Controllers Advanced dina jaringan Niagara anu sami. Ieu ngamungkinkeun:

  • Log tunggal pikeun jaringan
  • Ngurangan overhead pikeun ngonpigurasikeun sareng ngajaga aksés kana situs tanpa ngirangan kaamanan Sadaya Pangendali Canggih dina jaringan anu sami bakal gaduh Akun Sistem anu sami.

Nalika hiji Controller Advanced tanpa Akun Sistim disambungkeun ka jaringan Ethernet jeung ngonpigurasi kalawan Network Key na port UDP pikeun jaringan Niagara bakal gabung jaringan tur otomatis ménta Akun Sistim na ti controller séjén dina jaringan Niagara.

Example:
lamun hiji Advanced controller tanpa Akun Sistim ditambahkeun kana sistem di luhur sarta dibéré Network Key pikeun jaringan Niagara (112233) jeung port UDP bakal gabung jaringan sarta ménta Akun Sistim na (pamaké 1, pamaké 2, pamaké 3) ti Controllers Advanced sejenna dina jaringan Niagara.
Sakali sinkronisasi geus réngsé bakal mungkin pikeun nyambung ka sagala vCNCs, tampilan web kaca jeung asup ka sagala controller Advanced dina jaringan Niagara ngagunakeun salah sahiji Akun Sistim.
Lamun parobahan dijieun kana Akun Sistim ie hiji akun ditambahkeun, dihapus atawa diédit parobahan ieu otomatis bakal nyingkronkeun sakuliah sadaya Controllers Advanced dina jaringan Niagara.

Example:
lamun aya lima Controllers Advanced, Akun Sistim di controller (1) diédit pikeun miceun pamaké 2, ngaganti ngaran pamaké 3 ka pamaké 3a jeung pamaké 4 ditambahkeun parobahanana bakal nyingkronkeun kana controller (2), controller (3), controller (4) jeung Controller (5).

CATETAN:
Lamun dina mangsa sinkronisasi konflik kapanggih parobahan panganyarna nyokot prioritas.

Ngarobah hiji Advanced Controller Network Key
Nalika Advanced Controller Network Key dirobah, sadaya Akun Sistemna bakal dipupus sareng bakal dipiceun tina jaringan Niagara ayeuna. Parobihan kana Network Key kedah diidinan ku Insinyur atanapi Akun Sistem Administrator anu valid.
Sakali robah geus dijieun bakal gabung jaringan Niagara ngagunakeun Network Key anyar, lamun aya, sarta ménta Akun Sistim ti Advanced controller dina jaringan Niagara anyar nyadiakeun eta boga port UDP sarua.

Kaamanan Lokal
Kaamanan lokal ngagunakeun pamaké lokal (modul pamaké) pikeun ngidinan aksés ka Advanced Controllers web kaca atawa tampilan disambungkeun lokal sarta ngadalikeun informasi nu katingali atawa nilai nu bisa disaluyukeun.
Pikeun meunangkeun aksés sarta nyieun parobahan hiji ngaran pamaké sarta sandi valid pikeun pamaké lokal kudu disadiakeun. Tingkat PIN pangguna nangtukeun parameter naon anu tiasa ditingali sareng disaluyukeun ku pangguna.

CATETAN
Pamaké lokal NOT nyingkronkeun jeung Controllers Advanced sejenna dina jaringan Niagara.

Aksés ka Web Kaca
Aksés ka controller urang web Kaca ditangtayungan ku sistem kaamanan Advanced Controller. Nalika controller urang web server diaksés a web halaman ditampilkeun anu nyayogikeun sababaraha inpormasi dasar sareng ngamungkinkeun pangguna pikeun login - Tingali kana "Akses Awal" dina kaca 13.
Pamaké anu log in bakal dianggap salaku pamaké anu asup log – Tingali kana "Pamaké Asup" dina kaca 14. jeung pamaké anu ngaksés éta web kaca tanpa asup log bakal dibéré aksés sakumaha dijelaskeun dina "Akses Awal" dina kaca 13.

Aksés Awal
Nalika controller urang web server munggaran diaksés kaca Wilujeng sumping ditampilkeun sarta aksés dibikeun gumantung kana konfigurasi kaamanan controller urang ayeuna:

  • Henteu aya Akun Sistem Teknik sareng henteu aya modul Pamaké (standar pabrik)
  • Kaca 'Wilujeng sumping' dipintonkeun sarta aksés pinuh ka controller urang web kaca jeung kamampuhan pikeun nyieun parobahan bakal dibikeun.

CATETAN
Kusabab teu aya Akun Sistem Téknik atanapi modul pangguna, éta moal tiasa login.

Akun Sistem rékayasa sareng henteu aya modul Pamaké
Kaca 'Wilujeng sumping' dipintonkeun, sareng controller ngan bakal masihan aksés ka Sensor, Input Digital, Knob, Switch, Supir, Jadwal, Jadwal Waktu, Waktu, modul Plot, Log Alarm, sareng Grafik sareng moal ngijinkeun parobihan.

CATETAN
Éta bakal tiasa login nganggo Akun Sistem Téknik.

  • Akun Sistim rékayasa jeung modul pamaké
    Tampilan awal sareng aksés dikawasa ku modul Pamaké. Lamun aya modul pamaké disebut 'Tamu' tanpa sandi nalika Advanced Controller web kaca nu diakses tanpa logging di controller bakal masihan hak aksés (tingkat pamaké, kaca imah, jeung view standar) ditangtukeun ku modul Pamaké 'Tamu'.
    Sacara standar, modul Pamaké 'Tamu' ngan ukur nyadiakeun aksés ka kaca 'Wilujeng sumping' Lanjutan sarta ngabogaan tingkat pamaké '0'. Ieu ngandung harti yén hiji pamaké ngaksés controller tanpa asup log ngan bakal bisa view kaca 'Wilujeng sumping'. Pikeun masihan langkung seueur aksés, pangguna 'Tamu' tiasa dikonpigurasi dina cara anu sami sareng Modul Pamaké Tipe 0 anu sanés.

CATETAN:
The Niagara workbench nyegah pamaké 'Tamu' dibere sandi, PIN, atawa tingkat pamaké leuwih luhur ti '0'. Éta ngamungkinkeun halaman bumi sareng view standar pikeun dikonpigurasikeun.

Disarankeun pisan yén pangguna Tamu ditinggalkeun kalayan konfigurasi standar (tingkat pangguna '0' sareng henteu view hak).
Upami teu aya modul Pamaké anu disebat 'Tamu' atanapi parantos dikonpigurasi sareng kecap konci, halaman 'Wilujeng sumping' ditampilkeun, sareng pangontrol ngan ukur masihan aksés ka sénsor, Input Digital, Knob, Switch, Supir, Jadwal, Jadwal, Waktos, modul plot, Log Alarm, sareng Grafik sareng moal ngijinkeun parobihan.

CATETAN
Éta bakal tiasa login nganggo Akun Sistem Téknik sareng modul Pamaké anu aya.

Asup pamaké
Pikeun log in ka Advanced Controller web Kaca hiji ngaran pamaké sarta sandi anu cocog pikeun salah sahiji Akun System Téknik Advanced Controller atawa Tipe 0 Modul pamaké kudu diasupkeun.

Pamulihan Sandi
Upami pangguna hilap kecap koncina, éta tiasa diémutan deui ku ngagunakeun workbench Niagara. Pikeun wincik recovery hiji sandi poho maké Niagara tingali Niagara workbench Buku pituduh.

Ngamankeun SISTEM OPERASI NIAGARA

 Praktek Alus Umum
Turutan prakték umum anu saé pikeun ngamankeun sistem operasi sapertos:

  • Sandi ditangtayungan screen saver
  • Parangkat lunak enkripsi drive

Setélan firewall
Sistem operasi kudu dikonpigurasi pikeun ngagunakeun firewall anu otomatis diropéa. Konfigurasi kudu nyegah aksés (IN / OUT) pikeun sakabéh palabuhan iwal maranéhanana anu aksés diperlukeun, Ulah ninggalkeun sagala palabuhan henteu kapake muka.

Vérsi System Operasi
Anjeun WAJIB mastikeun yén sagala alat nu ngajalankeun aplikasi Niagara atawa disambungkeun ka jaringan IP sarua boga apdet sistem operasi panganyarna dipasang. Praktek anu saé pikeun mastikeun yén Pembaruan Windows ditinggalkeun otomatis sareng dipasang dina waktosna.

Parlindungan virus
Anjeun WAJIB mastikeun yén komputer mana wae nu ngajalankeun aplikasi Niagara atawa disambungkeun ka jaringan IP nu sami ngajalankeun software panyalindungan virus, jeung definisi virus nu tetep up-to-date.

 Perlindungan Intrusion
Pamakéan Intrusion Detection System (IDS) ti panyadia reputable produk kaamanan dina komputer mana wae nu ngajalankeun aplikasi Niagara disarankeun. Turutan prakték pangsaéna pikeun produk anu dipilih ogé kabijakan IT perusahaan dimana pamasangan dilakukeun.
Seueur produk IDS sareng firewall nawiskeun solusi lengkep pikeun ngarékam sadaya lalu lintas anu asup sareng kaluar tina komputer, nyayogikeun kamampuan pikeun ngarékam sadaya kagiatan dina tingkat panghandapna.

PERATURAN PROTEKSI DATA UMUM (GDPR)

Peraturan Perlindungan Data Umum (EU) 2016/679 (GDPR) mangrupikeun peraturan dina hukum EU ngeunaan panyalindungan data sareng privasi pikeun sadaya warga individu Uni Éropa (EU) sareng Wewengkon Ékonomi Éropa (EEA). Éta ogé alamat transfer data pribadi di luar daérah EU sareng EEA. GDPR ngandung dibekelan sareng syarat anu aya hubunganana sareng ngolah data pribadi individu (subjék data) di jero EEA sareng manglaku ka perusahaan naon waé anu didirikan di EEA (teu paduli lokasina sareng kawarganagaraan subjék data) atanapi anu ngolah inpormasi pribadi subjek data di jero EEA.
Dina watesan GDPR data pribadi ngawengku sagala informasi nu bisa dipaké pikeun ngaidentipikasi hiji individu. Ieu kalebet (tapi henteu dugi ka):

  • ngaran pamaké,
  • kecap akses,
  • nomer telepon,
  • alamat surélék,
  • alamat gawé atawa padumukan.

Sakur inpormasi anu diasupkeun kana Advanced Controller, HMI, sareng Modul IO énkripsi sareng disimpen dina produk Advanced dina enggon palanggan. Honeywell teu aya kaitan sareng panyimpen sareng/atanapi ngolah data pribadi dina produk Advanced Honeywell.
Tanggung jawab pikeun patuh kana sarat GDPR sapinuhna aya dina integrator sistem atanapi administrator sistem sareng, sapertos kitu, aranjeunna kedah mastikeun yén sistem téknis sareng organisasi anu nyukupan pikeun:

  • ménta idin eksplisit ti unggal subjék data pikeun data pribadi pikeun disimpen, dipaké jeung/atawa diolah,
  • ngidinan individu boga aksés ka data pribadi maranéhanana guna pariksa akurasi,
  • ngidinan individu pikeun mundur idin maranéhanana iraha wae jeung boga data pribadi maranéhanana dihapus permanén,
  • ngajaga kaamanan sareng integritas panyimpen sareng aksés data unggal waktos,
  • ngalaporkeun sagala breaches kaamanan data (anu bisa mangaruhan privasi pamaké) ka otoritas relevan dina 72 jam breach lumangsung.

KOMUNIKASI AMAN

Infrastruktur Kunci Publik (PKI) ngadukung distribusi sareng idéntifikasi konci énkripsi umum anu dianggo pikeun ngajagi pertukaran data dina jaringan, sapertos Internét. PKI marios identitas pihak anu sanés sareng nangkodkeun pangiriman data anu saleresna. Verifikasi identitas nyadiakeun jaminan non-repudiated tina identitas server. Enkripsi nyadiakeun rahasia salila pangiriman jaringan. Merlukeun modul kode ditandatanganan ensures yén kode ngan ekspektasi dijalankeun dina sistem.

Pikeun nyadiakeun jaringan aman maké PKI, Niagara ngarojong protokol TLS (Transport Layer Security), versi 1.0, 1.1 jeung 1.2. TLS ngagantikeun miheulaan na, SSL (Secure Sockets Layer).
Unggal pamasangan Niagara otomatis nyiptakeun sertipikat standar, anu ngamungkinkeun sambungan langsung énkripsi. Nanging, sertipikat ieu ngahasilkeun peringatan dina browser sareng Workbench sareng umumna henteu cocog pikeun pangguna akhir. Nyiptakeun sareng nandatanganan sertipikat digital khusus ngamungkinkeun panggunaan TLS anu lancar dina browser, sareng nyayogikeun enkripsi ogé auténtikasi server.
Saluareun kaamanan komunikasi, unggal modul kode komputer anu dijalankeun dina sistem ditangtayungan ku tanda tangan digital. objék program ditambahkeun merlukeun signature ieu atawa maranéhna teu ngajalankeun.

Verifying server, encrypting pangiriman jeung mastikeun yén kode ngan ditandatanganan ngalir teu ngamankeun data disimpen dina alat panyimpen. Anjeun masih kedah ngawatesan aksés fisik ka komputer sareng pangendali anu ngatur modél gedong anjeun, nyetél auténtikasi pangguna nganggo kecap konci anu kuat, sareng ngamankeun komponén ku ngadalikeun idin.
Niagara ngadukung sareng nganggo komunikasi anu aman sareng kode anu ditandatanganan sacara standar. Anjeun teu kedah mésér lisénsi tambahan.
Kaamanan mangrupikeun perhatian anu terus-terusan. Sanaos anjeun bakal mendakan inpormasi anu berharga dina topik komunikasi anu aman, ngarepkeun apdet sareng parobihan anu bakal datang.
Di handap ieu mangrupakeun komunikasi aman. Pikeun langkung rinci tingal pituduh Kaamanan Stasion Niagara.

  • Hubungan klien / server
  • Sertipikat
  • Toko sertipikat
  • Struktur folder CSR
  • Sertipikat diatur
  • Wizard bijil
  • Signing sababaraha sertipikat
  • Ngonpigurasikeun komunikasi platform aman
  • Ngonpigurasikeun komunikasi stasiun aman
  • Aktipkeun klien tur ngonpigurasikeun aranjeunna pikeun port bener
  • Masang salinan stasiun dina platform anu sanés
  • Ngamankeun email
  • Ngarengsekeun masalah komunikasi aman

Hubungan klien / server
Hubungan klien / server ngaidentipikasi sambungan anu merlukeun protection.Workbench klien / hubungan server rupa-rupa gumantung kana kumaha anjeun ngonpigurasikeun tur ngagunakeun sistem. Workbench sok klien. A platform sok server a. Stasion tiasa janten klien sareng server.
Protokol sistem anu ngatur komunikasi nyaéta:

  • Sambungan platform ti Workbench (klien) pikeun controller atanapi Supervisor PC platform daemon (server) make Niagara. Sambungan platform anu aman sok disebut platformtls. Anjeun ngaktipkeun platformtls ngagunakeun Administrasi Platform view.
  • sambungan stasiun lokal (Supervisor sarta platform) ngagunakeun Foxs. Anjeun ngaktifkeun sambungan ieu dina FoxService stasiun (Config> Services> FoxService).
  • Sambungan browser nganggo Https, kitu ogé Foxs upami anjeun nganggo Web Launcher sareng WbWebProfile. Anjeun ngaktipkeun sambungan ieu ngagunakeun stasiun urang WebService (Config > Services > WebPalayanan).
  • Sambungan klien ka pangladén email stasiun, upami tiasa. Anjeun ngaktifkeun email aman nganggo EmailService stasiun (Config> Services> EmailService).

SERTIFIKAT
Sertipikat mangrupikeun dokumén éléktronik anu ngagunakeun tanda tangan digital pikeun ngabeungkeut konci umum sareng jalma atanapi organisasi. Sertipikat bisa ngawula rupa-rupa kaperluan gumantung kana kumaha anjeun ngonpigurasikeun sipat Key Dianggo sertipikat urang. Tujuan utamina dina sistem ieu nyaéta pikeun pariksa idéntitas server supados komunikasi tiasa dipercaya. Kanggo inpo nu leuwih lengkep mangga tingal Pituduh Kaamanan Stasion Niagara - Sertipikat.
Niagara ngadukung jinis sertipikat ieu:

  • Sertipikat CA (Otoritas Sertipikat) nyaéta sertipikat anu ditandatanganan sorangan anu milik CA. Ieu tiasa janten pihak katilu atanapi perusahaan anu janten CA sorangan.
  • A sertipikat CA root mangrupakeun sertipikat CA timer ditandatanganan anu konci swasta dipaké pikeun asup sertipikat séjén nyieun tangkal sertipikat dipercaya. Kalayan konci pribadina, sertipikat akar CA tiasa diékspor, disimpen dina USB thumb drive dina kolong, sareng dibawa kaluar ngan nalika sertipikat kedah ditandatanganan. Konci pribadi sertipikat akar CA merlukeun kreasi kecap akses dina ékspor sareng nyayogikeun kecap konci anu sami nalika anjeun nganggo éta pikeun ngadaptarkeun sertipikat sanés.
  • Sertipikat Perantara nyaéta sertipikat CA anu ditandatanganan ku sertipikat CA akar anu dianggo pikeun ngadaptarkeun sertipikat server atanapi sertipikat CA panengah anu sanés. Ngagunakeun sertipikat panengah ngasingkeun grup sertipikat server.
  • Sertipikat Server ngagambarkeun sisi-server tina sambungan anu aman. Nalika anjeun tiasa nyetél sertipikat anu misah pikeun tiap protokol (Foxs, Https, Webs). Nalika anjeun tiasa ngonpigurasikeun platform sareng stasiun (salaku server) kalayan sertipikat server anu misah, pikeun kesederhanaan, kalolobaan sistem biasana nganggo sertipikat server anu sami.
  • Sertipikat penandatanganan kode mangrupikeun sertipikat anu dianggo pikeun nandatanganan objék sareng modul program. Sistem integrator ngagunakeun sertipikat ieu pikeun nyegah bubuka kode jahat nalika aranjeunna ngaropéa kerangka.

Sertipikat ditandatanganan diri
Sertipikat anu ditandatanganan sorangan nyaéta anu ditandatanganan sacara standar nganggo konci pribadi sorangan tinimbang ku konci pribadi tina sertipikat akar CA (Otoritas Sertipikat).
Sistem ngadukung dua jinis sertipikat anu ditandatanganan sorangan:

  • Sertipikat CA akar dipercaya sacara implisit sabab teu aya otoritas anu langkung luhur tibatan CA (Otoritas Sertipikat) anu gaduh sertipikat ieu. Ku sabab kitu, CA, anu usaha pikeun ngesahkeun sertipikat jalma séjén, ngajaga sertipikat CA akar sareng konci pribadi. Kitu ogé, upami perusahaan anjeun ngalayanan salaku CA sorangan, anjeun kedah ngajagaan sertipikat CA akar anu anjeun pake pikeun ngadaptarkeun sertipikat sanés.
  • A standar, sertipikat timer ditandatanganan: Pertama kali Anjeun ngamimitian hiji conto Workbench, platform atawa stasiun sanggeus instalasi (commissioning), sistem nyiptakeun standar, sertipikat server timer ditandatanganan kalawan alias of tridium.

CATETAN:
Entong ngékspor sertipikat ieu sareng ngimpor ka toko mana waé platform atanapi stasiun sanés. Sanaos mungkin, ngalakukeun kitu ngirangan kaamanan sareng ningkatkeun kerentanan.
Pikeun ngaleutikan résiko serangan man-in-the-middle nalika nganggo sertipikat anu ditandatanganan sorangan, sadaya platform anjeun kedah aya dina jaringan pribadi anu aman, off line, sareng tanpa aksés umum tina Internét.

PERHATOSAN
Pikeun nganggo sertipikat anu ditandatanganan sorangan, sateuacan anjeun ngaksés platform atanapi stasiun ti Workbench pertama kalina, pastikeun komputer sareng platform anjeun henteu aya dina jaringan perusahaan atanapi Internét. Sakali dipegatkeun, sambungkeun komputer langsung ka platform, buka platform ti Workbench, sarta approve sertipikat timer ditandatanganan na. Ngan teras anjeun kedah nyambungkeun deui platform ka jaringan perusahaan.

Konvénsi ngaran
Toko Kunci Pamaké, Toko Amanah Pamaké, sareng Toko Amanah Sistem ngabentuk jantung konfigurasi. Sertipikat katingalina sami, sareng rupa-rupa sertipikat anu ditandatanganan diri standar dingaranan idéntik.

Toko sertipikat
Manajemén sertipikat ngagunakeun opat toko pikeun ngatur sertipikat: Toko Kunci Pamaké, Toko Amanah Sistem, Toko Amanah Pamaké sareng daptar Host Diidinan.
Toko konci pamaké pakait sareng sisi server tina hubungan klien-server. Toko ieu ngagaduhan sertipikat, masing-masing gaduh konci umum sareng pribadi. Salaku tambahan, toko ieu ngandung sertipikat anu ditandatanganan diri anu mimitina diciptakeun nalika anjeun ngaluncurkeun Workbench atanapi boot platform pikeun kahiji kalina.
Toko Panganggo sareng Sistem Amanah pakait sareng sisi klien tina hubungan klien-server. The System Trust Store asalna tos populata sareng sertipikat umum standar: sertipikat CA akar ti Otoritas Sertipikat anu terkenal, sapertos VeriSign, Thawte sareng Digicert. The User Trust Store nyepeng akar CA sareng sertipikat panengah pikeun perusahaan anu janten otoritas sertipikat sorangan.
Daptar Hosts anu Diidinan ngandung sertipikat pangladén anu teu aya sertipikat akar CA anu dipercaya dina Sistem Pelanggan atanapi Toko Amanah Pamaké, tapi sertipikat pangladén parantos disatujuan pikeun dianggo. Ieu kalebet server anu nami host server henteu sami sareng nami umum dina sertipikat server. Anjeun nyatujuan panggunaan sertipikat ieu sacara individu. Nalika komunikasi aman, langkung saé ngagunakeun sertipikat server anu ditandatanganan.

Énkripsi
Énkripsi nyaéta prosés ngodekeun pangiriman data supados henteu tiasa dibaca ku pihak katilu anu teu dipercaya. TLS ngagunakeun énkripsi pikeun ngirimkeun data antara klien sareng server. Bari kasebut nyaéta dimungkinkeun pikeun nyieun hiji sambungan unencrypted maké ngan rubah atawa protokol http, Anjeun didorong pisan teu ngudag pilihan ieu. Tanpa énkripsi, komunikasi anjeun berpotensi tunduk kana serangan. Salawasna nampi sambungan Foxs atanapi Https standar.

dasbor kaamanan leuwihVIEW
Dina Niagara 4.10u5 sareng engké, fitur Dashboard Kaamanan nyayogikeun (pikeun admin sareng pangguna otorisasi sanés) panon manuk. view tina konfigurasi kaamanan stasiun Anjeun. Ieu ngidinan Anjeun pikeun gampang ngawas konfigurasi kaamanan di loba jasa stasiun, sarta ngaidentipikasi sagala kalemahan konfigurasi kaamanan dina stasiun.

PERHATOSAN
Dashboard Kaamanan View bisa jadi teu nembongkeun unggal setelan kaamanan mungkin, sarta teu kudu dianggap salaku jaminan yén sagalana geus ngonpigurasi aman. Khususna, modul pihak katilu tiasa gaduh setélan kaamanan anu henteu ngadaptar kana dasbor.

Dashboard Kaamanan view nyaeta utama view on SecurityService stasiun urang. The view ngingetkeun anjeun kana kalemahan kaamanan sapertos setélan kakuatan sandi anu goréng; sertipikat kadaluwarsa, ditandatanganan diri atanapi teu sah; protokol angkutan unencrypted, jsb, nunjukkeun wewengkon mana konfigurasi kudu leuwih aman. Data anu dilaporkeun sanésna kalebet: kaséhatan sistem, jumlah akun aktip, akun teu aktip, jumlah akun anu idin super-pamaké, jsb. Optionally, atribut "sistem" dina fitur lisénsi "securityDashboard" tiasa disetel ka "leres" pikeun ngaktipkeun Sistem View stasiun nu nyadiakeun rinci kaamanan pikeun tiap stasiun bawahan di NiagaraNetwork.
Dashboard Kaamanan mangrupikeun anu utama view pikeun Layanan Kaamanan. Pikeun rinci lengkep dina view, Tingal "nss-SecurityDashboardView” dina Pituduh Kaamanan Stasion Niagara.

RANCANGAN JEUNG INSTALASI

bagian ieu ngawengku informasi keur perencanaan sarta ngajalankeun hiji instalasi Advanced Plant Controller.

Disarankeun instalasi tur konfigurasi
Bagian handap illustrates dua konfigurasi instalasi dianjurkeun.

  • BACnetTM wungkul
  • BACnet TM jeung Niagara

BACnetTMBACnetTM wungkul
Nalika Advanced Plant Controller ngan dipaké pikeun komunikasi BACnetTM, sambungkeun wungkul Ethernet 1 ka jaringan BAS dimana BACnet TM (BACnet TM / IP atanapi BACnet TM / Ethernet) bakal ngajalankeun.

Honeywell-Optimizer-Advanced-Controller- (2)

BACnet TM jeung Niagara
Nalika Niagara dipaké dina Advanced Plant controller, eta bisa jadi ngonpigurasi ka nyadiakeun layanan, kayaning web jasa atawa Niagara FOXS, ka Internét / intranet / jaringan perusahaan. Upami ieu masalahna, sambungkeun Ethernet 2 ka Internet / intranet / jaringan perusahaan ngaliwatan firewall BAS pikeun nyadiakeun ladenan ka jaringan éta.

Honeywell-Optimizer-Advanced-Controller- (3)

Rekomendasi Jaringan Area Lokal (LAN).
Pastikeun sistem beroperasi dina kabijakan sandi anu pas pikeun aksés pangguna ka sadaya jasa. Tuntunan ieu kalebet, tapi henteu dugi ka:

  1. Pamakéan kecap akses kuat.
  2. A waktu siklus sandi dianjurkeun.
  3. Ngaran pangguna sareng kecap akses anu unik pikeun unggal pangguna sistem.
  4. Aturan panyingkepan sandi.
  5. Lamun aksés jauh ka sistem kontrol wangunan basis IT diperlukeun, pake VPN (Virtual Private Network) téhnologi pikeun ngurangan résiko interception data jeung ngajaga alat kontrol ti keur langsung disimpen dina Internet.

DOKUMENTASI

Dokuméntasi penting pikeun nyandak inpormasi desain sareng konfigurasi anu diperyogikeun pikeun ngajaga sistem anu aman.

Dokuméntasikeun alat fisik sareng konfigurasi, kalebet inpormasi anu aya hubunganana sareng kaamanan konci
Sadaya dokuméntasi dina alat sareng konfigurasi kedah kalebet inpormasi anu aya hubunganana sareng kaamanan pikeun netepkeun sareng ngajaga kadali kaamanan anu dimaksud. Pikeun example, lamun parobahan jasa standar atawa palabuhan dijieun dina Advanced Plant Controller, lajeng jelas dokumén ieu supados setelan bisa dibalikeun di sawatara titik di mangsa nu bakal datang.

Dokuméntasikeun sistem éksternal, khususna interaksi antara Advanced Plant Controller sareng sistem anu aya hubunganana
BAS biasana ngabutuhkeun atanapi ngagunakeun sistem éksternal pikeun fungsional, sapertos infrastruktur jaringan anu tos aya, aksés VPN, host mesin virtual, sareng firewall. Upami BAS meryogikeun yén sistem éta dikonpigurasi dina cara anu tangtu pikeun kaamanan, sapertos firewall anu ngamungkinkeun atanapi nolak palabuhan atanapi jaringan anu ngamungkinkeun aksés kana sistem anu tangtu, maka anjeun kedah ngadokumentasikeun inpormasi ieu. Lamun sistem ieu kudu dibalikeun di sawatara titik di mangsa nu bakal datang, Example: alatan gagalna alat, atawa parobahan kudu dilakukeun kana sistem éksternal, Example: Ngaronjatkeun firewall a, sanggeus documented inpo ieu baris mantuan anjeun balikkeun ka tingkat kaamanan saméméhna.

KONTROL AKSES JEUNG KAAMANAN FISIK
Kontrol aksés ngalibatkeun nangtukeun jeung ngawatesan aksés ka alat atawa pungsi pikeun pamaké otorisasi wungkul.

Ngamankeun sacara fisik Advanced Plant Controller, HMI, sareng Modul IO
Nyegah aksés anu teu sah kana alat jaringan anu dianggo babarengan sareng sistem anu disayogikeun ku Honeywell. Kalayan sistem naon waé, nyegah aksés fisik kana jaringan sareng alat ngirangan résiko gangguan anu henteu sah. Prakték kaamanan pangsaéna sareng pamasangan IT bakal mastikeun yén kamar server, panel patch, sareng alat IT aya di kamar anu dikonci. Parabot Honeywell kudu dipasang dina cabinets kontrol dikonci, sorangan lokasina di kamar tutuwuhan aman.

Stiker leuwih panel aksés controller atawa dipager
Larapkeun diampstiker er-bukti leuwih Advanced Plant Controller, HMI, sarta panel aksés Modul IO atawa dipager
Upami palanggan peryogi jaminan tambahan yén aksés fisik anu ngajagi Advanced Plant Controller, HMI, sareng Modul IO teu acan diasupkeun, teras pasang diampsegel atanapi stiker anu jelas dina titik aksés.

Misahkeun sareng ngajagi jaringan

  1. Anggo firewall antara Internét/intranet/jaringan perusahaan sareng BAS.
  2. Paké jaringan fisik dedicated misah (kawat misah) atawa jaringan virtual (VLANs) pikeun BACnetTM komunikasi. Ieu kedah janten jaringan anu misah ti Internét / intranet / jaringan perusahaan.
  3. Entong nyambungkeun EN2 dina Advanced Plant Controller ka jaringan naon waé kecuali anjeun peryogi jasa Niagara (Platform, Stasion, sareng/atawa Webserver). Upami anjeun kedah nyambungkeun EN2 ka jaringan Internét/intranet/perusahaan, maka anjeun kedah nganggo firewall BAS éksternal antara Advanced Plant Controller sareng jaringan Inter-net/intranet/perusahaan.

Kaamanan nirkabel

  1. Pamaké perlu ulangview Kaamanan jaringan nirkabel dumasar kana topologi jaringan, mastikeun teu aya paparan anu teu dihaja ka INTERNET umum sareng panyalindungan firewall BAS henteu dilewatan.
  2. Penting pikeun ngadopsi téknologi kaamanan nirkabel anu paling luhur, sapertos WPA2 atanapi WPA3. Salaku tambahan, pangguna kedah ngajagi kecap aksesna sacara aman, kalebet tapi henteu diwatesan ku kecap akses Wi-Fi sareng kode PIN BluetoothTM. Pernah ngidinan controller nyambung ka jaringan nirkabel kabuka atawa nyetel titik aksés nirkabel kabuka.
  3. Salawasna ulah nyambungkeun alat nu teu sah ka jaringan nirkabel atawa nyieun sambungan BluetoothTM pikeun nyegah potensi eksploitasi.
  4. Éta tanggung jawab pamaké pikeun rutin ulangview setelan kaamanan, ngaganti kecap akses atawa kodeu aksés nurutkeun kawijakan kaamanan, sarta monitor alat nu disambungkeun dina jaringan nirkabel sarta subnets. Pamaké ogé kedah ngadokumentasikeun kagiatan audit ieu.

Ngamankeun MODUL CONTROLLER, HMI, JEUNG IO

  1. Kapercayaan Akun Sistem Admin Disayogikeun ka Pamaké Loka
    Kapercayaan tina Akun Sistem 'Admin' kedah disayogikeun ka nu gaduh situs supados aranjeunna tiasa ngatur Akun Sistem.
  2. Ngembangkeun Program Kaamanan
    Tingali kana 'Praktik Pangsaéna Kaamanan Umum'
  3. Pertimbangan Fisik jeung Lingkungan
    Advanced Controller, HMI, sareng Modul IO kedah dipasang dina lingkungan anu dikonci, contona, ayana di rohangan pabrik anu aman, atanapi kabinet anu dikonci.

CATETAN
Mastikeun ventilasi anu cekap.

Apdet Kaamanan sareng Paket Jasa
Pastikeun Advanced Controller, HMI, sareng Modul IO ngajalankeun sékrési firmware panganyarna.

Pamaké & kecap akses

Pamaké
Pastikeun jumlah pangguna sareng tingkat aksés anu disayogikeun cocog pikeun kagiatan anu kedah dilakukeun.

  • Dina tingkat alat controller ngonpigurasikeun akun sistem atawa pamaké di controller pikeun Web klien, Supervisor jeung aksés peer-to-peer.
    Ngonpigurasikeun modul Pamaké dina Pengontrol Advanced, ieu hartina pamaké kudu asup ka alat nu boga kredensial valid saméméh pangaluyuan bisa dijieun. Pastikeun hak aksés anu pas ditugaskeun pikeun akun sistem sareng pangguna.
  • Paké Akun Béda pikeun Unggal Pamaké
    Anggo nami sareng kecap akses anu unik pikeun unggal pangguna / akun dina sistem, tinimbang aksés umum. Jalma anu béda henteu kedah ngabagi akun anu sami. Pikeun exampLe, tinimbang akun 'manajer' umum anu tiasa dianggo ku seueur manajer, unggal manajer kedah gaduh akun anu misah.

Aya seueur alesan pikeun unggal pangguna gaduh akun masing-masing:

Lamun unggal jalma boga akun sorangan, log Inok bakal leuwih informatif. Ieu bakal gampang pikeun nangtukeun persis nu pamaké ngalakukeun naon. Ieu bisa mantuan ngadeteksi lamun hiji akun geus compromised.

CATETAN
Henteu sadayana produk ngagaduhan fasilitas log audit, tapi upami sayogi, éta henteu kedah ditumpurkeun.

  • Upami akun dihapus atanapi dirobih, éta henteu ngaganggu seueur jalma. Pikeun example, lamun hiji jalma kudu euweuh aksés, mupus aksés individu maranéhanana nyaéta basajan. Upami éta akun anu dibagikeun, hiji-hijina pilihan nyaéta ngarobih sandi sareng ngabéjaan ka sadayana, atanapi ngahapus akun sareng ngabéjaan ka sadayana. Ninggalkeun akun sakumaha-nyaéta sanés pilihan - tujuanana nyaéta pikeun nyabut aksés.
  • Upami masing-masing jalma gaduh akun sorangan, langkung gampang pikeun nyaluyukeun idin pikeun nyumponan kabutuhanana. Akun anu dibagikeun tiasa nyababkeun jalma gaduh langkung idin ti anu sakuduna.
    Akun anu dibagikeun hartosna kecap konci anu dibagikeun. Ieu mangrupikeun prakték kaamanan anu goréng pikeun ngabagi kecap akses. Éta ngajantenkeun langkung kamungkinan kecap konci bocor, sareng janten langkung hese pikeun nerapkeun prakték pangsaéna kecap konci, sapertos kadaluwarsa kecap konci.
  • Pamakéan pamaké Téknik Unik pikeun Proyék
    Ieu mangrupikeun prakték umum yén sababaraha perusahaan nganggo detil akun anu sami dina unggal proyék. Sakali ieu dipikanyaho upami hiji sistem dikompromi, panyerang berpotensi gaduh kredensial pikeun aksés ka seueur proyék sanés anu dipasang ku perusahaan anu sami.
  • Pareuman Akun anu Dipikawanoh Nalika Mungkin
    Sababaraha produk gaduh akun standar. Ieu kedah dikonpigurasi supados kecap konci henteu deui standar.
  • Napelkeun Idin Minimum Diperlukeun pikeun pamaké
    Pastikeun yén ngan ukur akun anu diperyogikeun disetél dina sistem kalayan tingkat kaamanan minimum anu diperyogikeun tinimbang aksés pinuh. Nalika nyieun akun anyar, pikirkeun naon anu kedah dilakukeun ku jalma dina sistem, teras pasihan idin minimum anu diperyogikeun pikeun ngalakukeun padamelan éta. Pikeun example, hiji jalma anu ngan perlu ningali alarm teu perlu aksés administrator. Méré idin anu henteu diperyogikeun ningkatkeun kamungkinan ngalanggar kaamanan. Pamaké tiasa sacara teu kahaja (atanapi ngahaja) ngarobih setélan anu teu kedah dirobih.
  • Anggo Jumlah Minimum Mungkin tina akun Administrator Sistem
    Ngan napelkeun idin Administrator System lamun mutlak diperlukeun. Jenis akun ieu mangrupikeun akun anu kuat pisan - ngamungkinkeun aksés lengkep ka sadayana. Ngan administrator sistem kudu boga aksés ka akun. Pikirkeun ogé ngeunaan nyayogikeun Administrator Sistem dua akun, hiji kanggo aksés sapopoé pikeun ngatur kagiatan sapopoé, sareng akun aksés tingkat luhur kadua anu ngan ukur diperyogikeun nalika parobihan jinis administrasi diperyogikeun.

kecap akses
Sistem Niagara sareng sistem operasi nganggo produk Advanced Honeywell nganggo kecap akses pikeun ngaoténtikasi 'pamaké' kana Supervisor, Tampilan, Alat atanapi sistem Operasi. Penting pisan pikeun nanganan kecap akses anu leres. Henteu nganggo tingkat kaamanan paling awal ieu hartosna saha waé anu ngaksés sistem ngalangkungan tampilan, web klien atawa pengawas bakal boga aksés ka nyieun pangaluyuan. Pastikeun yén sistem Niagara beroperasi dina kawijakan sandi luyu pikeun aksés pamaké, guideline ieu ngawengku, tapi teu diwatesan ku:

  • Pamakéan kecap akses anu kuat - Kecap konci anu kuat kedah dianggo. Tingal standar kaamanan panganyarna pikeun detil naon ngajadikeun kecap akses kuat.
  • A waktu siklus sandi dianjurkeun - Sababaraha produk Niagara ngidinan administrator Sistim nangtukeun hiji periode sanggeus nu sandi kudu dirobah. Sanaos henteu sadayana produk ayeuna ngalaksanakeun jaman parobahan sandi ieu, kawijakan situs tiasa nyarankeun ieu.
  • Aturan panyingkepan kecap akses - Pamaké WAJIB mastikeun yén aranjeunna henteu ngungkabkeun detil nami pangguna sareng kecap koncina, ka batur sareng henteu nyeratna.

Ngonpigurasikeun hiji kontrol tutuwuhan canggih
Pikeun konfigurasi tina hiji controller tutuwuhan canggih, tingal Instruksi Instalasi jeung Commissioning Guide
(31-00584). Rujuk pituduh Supir HMI (31-00590) pikeun HMI, sareng Guide Supir Bus Panel (31-00591) pikeun modul IO.

Jieun tur ngajaga konfigurasi dasar
Jieun jeung mertahankeun dasar tina konfigurasi Advanced Plant Controller nu geus ngonpigurasi leres pikeun kaamanan. Pastikeun yén garis dasar ieu ogé kalebet DCF files sarta komponén Niagara. Entong ngalakukeun konfigurasi anu teu aman dina dasar pikeun nyegah nerapkeunana sacara teu kahaja di hareup. Ngamutahirkeun sagala dokuméntasi relevan lamun konfigurasi robah.

 Robah kecap akses standar
Robah sadaya kecap akses standar: sandi Konfigurasi Konsol, sandi cadangan / Mulangkeun / Balikan deui / Kontrol, sareng sandi Niagara Platform. Nalika réngsé komisioning, pastikeun alat ditangtayungan sandi. Pastikeun tingkat pangguna anu pas ditugaskeun pikeun pangguna situs.

Pertimbangan salajengna

Kasapukan Level Service
Ngadopsi kawijakan update luyu pikeun infrastruktur dipasang dina situs salaku bagian tina perjangjian tingkat layanan. Kabijakan ieu kedah kalebet, tapi henteu dugi ka, ngapdet komponén sistem di handap ieu kana rilis panganyarna:

  • firmware alat pikeun controller, modul IO, HMI, jsb;
  • Parangkat lunak pengawas, sapertos parangkat lunak Arena NX;
  • Sistem operasi Komputer / Server;
  • Infrastruktur jaringan sareng sistem aksés jarak jauh.

Konfigurasi jaringan IT
Konpigurasikeun jaringan IT anu misah pikeun sistem kontrol otomatis sareng Jaringan IT perusahaan palanggan. Ieu tiasa dihontal ku cara ngonpigurasikeun VLAN (Virtual LAN) dina infrastruktur IT palanggan atanapi ku cara masang infrastruktur jaringan anu misah-gap hawa khusus pikeun sistem kontrol otomatis.
Nalika ngahubungkeun sareng pangendali nganggo pengawas sistem terpusat (Example: Niagara) jeung dimana sistem teu merlukeun aksés langsung ka alat individu web server, infrastruktur jaringan kudu ngonpigurasi pikeun ngawatesan web aksés server.
VLAN dinamis nganggo alokasi alamat MAC tiasa ngajaga tina sambungan anu teu sah tina alat kana sistem sareng tiasa ngirangan résiko anu aya hubunganana sareng inpormasi ngawaskeun individu dina jaringan.

Ngonpigurasikeun firewall bas

Tabel di handap ieu ngajelaskeun port jaringan anu dianggo dina Advanced Plant Controller. Tingali Rujuk kana "System Overview” dina kaca 8. keur urutample arsitéktur instalasi. tabél boga kolom handap:

  • Port Default sareng Protokol (TCP atanapi UDP)
  • Tujuan tina palabuhan
  • Naha atanapi henteu port standar kedah dirobih
  • Naha sambungan atanapi lalu lintas asup atanapi henteu kedah diidinan ngalangkungan BAS Firewall
  • Catetan tambahan dibéréndélkeun di handap tabél

meja 2 Ngonpigurasikeun firewall BAS

Default Port / Protokol  

Tujuan

 Robah Ti Default?  

Ngidinan Ngaliwatan BAS Firewall?

  

Catetan
80/TCP HTTP No No  
 

443/TCP

  

HTTPs

  

No

 Meureun, lamun web aksés ti Internét / intranet / jaringan perusahaan diperlukeun.  

1
1911/TCP Fox (versi non-aman tina protokol aplikasi Niagara) Sumuhun No  
4911/TCP Fox + SSL (versi aman tina protokol aplikasi Niagara) Sumuhun No  
3011/TCP NiagaraD (versi non-aman tina protokol platform Niagara) Sumuhun No  
5011/TCP NiagaraD + SSL (versi aman tina protokol platform Niagara) Sumuhun No  
2601/TCP port konsol Zebra No No 2
2602/TCP port konsol RIP     2
47808/UDP sambungan jaringan BACnetTM/IP Sumuhun No 3

CATETAN

  1. Upami jarak jauh langsung web panganteur pamaké dirojong, lajeng port ieu kudu diwenangkeun ngaliwatan firewall BAS.
  2. Port otomatis dibuka ku daemon ieu sareng fungsionalitas ieu teu tiasa ditumpurkeun. Daemon dikonpigurasikeun pikeun henteu ngijinkeun logins ngaliwatan port ieu.
  3. Turutan tungtunan konfigurasi jaringan anu dinyatakeun dina manual ieu ku kituna Advanced Plant Controller moal pernah kedah ngalangkungan lalu lintas UDP ngaliwatan firewall BAS.

Nyetél auténtikasi

Skéma Auténtikasi Google nyaéta mékanisme auténtikasi dua-faktor anu meryogikeun pangguna pikeun nuliskeun kecap aksesna ogé token anu dianggo sakali nalika log in ka stasion. Ieu ngajaga akun pangguna sanajan kecap aksesna dikompromi.
Skéma auténtikasi ieu ngandelkeun TOTP (OneTime Sandi dumasar-waktos) sareng aplikasi Google Authenticator dina alat sélulér pamaké pikeun ngahasilkeun sareng pariksa token auténtikasi tunggal. Auténtikasi Google dumasar kana waktos, janten teu aya kagumantungan kana komunikasi jaringan antara alat sélulér pamaké, Stasion, atanapi Server éksternal. Kusabab auténtikator dumasar kana waktos, waktos dina stasiun sareng waktos dina telepon kedah tetep sinkron. Aplikasi nyadiakeun panyangga tambah atanapi dikurangan 1.5 menit pikeun akun jam skew.
Prasarat: Telepon sélulér pamaké merlukeun aplikasi Auténtikasi Google. Anjeun damel di Workbench. Pamaké aya dina pangkalan data stasiun.

Prosedur

  1. Buka palette gauth sareng tambahkeun GoogleAuthenticationScheme kana Services> Authenticationservice node dina tangkal Nav.
  2. Klik-katuhu Userservice, sarta ganda-klik pamaké dina tabél. Édit view pikeun pamaké muka.
  3. Konpigurasikeun sipat Ngaran Skéma auténtikasi kana GoogleAuthenticationScheme teras klik Simpen.
  4. Klik tombol di gigireun Key rusiah handapeun authenticator pamaké sarta turutan prompts.
  5. Pikeun ngalengkepan konfigurasi, klik Simpen. Gumantung kana view Anjeun keur make, Anjeun bisa jadi kudu muka pamaké deui atawa refresh sanggeus nyimpen.

SISTEM pangiriman
bagian ieu ngandung émbaran nu kudu nyadiakeun lamun BAS geus dikirimkeun ka nu boga sistem.

  • Dokuméntasi anu kalebet inpormasi kaamanan, setélan konfigurasi, nami pangguna sareng kecap akses administrasi, rencana bencana sareng pamulihan, sareng prosedur cadangan sareng pamulihan.
  • Pelatihan pangguna akhir ngeunaan tugas pangropéa kaamanan.

USB Nyadangkeun AND CLEANDIST FILE INSTALASI
Pamaké kedah ngajagi frasa sandi anu dianggo pikeun nga-zip sareng ngabuka zip pangontrol. Hindarkeun ngabagikeun frasa sandi sareng kredensial pangendali salami prosés nyadangkeun atanapi malikkeun.
Cadangan USB sareng CleanDist file Inpo instalasi bisa kapanggih dina Instruksi Instalasi jeung Commissioning Guide - 31-00584.

DECOMMISSIONING SISTEM
Data sénsitip kedah dihapus tina unit anu dicabut tina jasa sareng ieu tiasa dilakukeun ku cara ngareset pabrik. Tingal Service Button / Service Alarm LED na CleanDist file instalasi ti Instruksi Instalasi jeung Commissioning Guide - 31-00584.

CATETAN
The CleanDist file prosedur tiasa ngalakukeun set pabrik ku cara masang clean4 file.

Kaamanan Produk Berbasis Niagara Maju
Pikeun produk Advanced Honeywell anu dumasar kana kerangka Niagara N4 sareng Niagara AX (misalna Advanced Plant Controller, HMI, sareng Modul IO), anjeun kedah nuturkeun saran Tridium pikeun ngamankeun kerangka Niagara.
Aya sababaraha parobihan konfigurasi anu tiasa dilakukeun ka Niagara anu tiasa dilakukeun pikeun ngamaksimalkeun kaamanan produk Advanced Honeywell.

  • Paké Fitur Kakuatan Sandi
  • Aktipkeun Fitur Lockout Akun
  • Kadaluwarsa Sandi
  • Paké Sajarah Sandi
  • Paké Fitur Reset Sandi
  • Ninggalkeun kotak "Inget Kapercayaan Ieu" Henteu dicentang
  • Ngarobah kecap akses Sistim Default
  • Anggo TLS Pikeun Nyetél Frase Sandi Sistem
  • Pilih Kecap aksés Sistim Strong
  • Nangtayungan kecap akses Sistim
  • Pastikeun Pamilik Platform Nyaho Frase Sandi Sistem
  • Anggo Akun Béda pikeun Unggal Pamaké Platform
  • Anggo Ngaran Akun Unik pikeun Unggal Proyék
  • Pastikeun Pamilik Platform Nyaho Kapercayaan Platform
  • Anggo Akun Béda pikeun Unggal Pamaké Stasion
  • Anggo Akun Tipe Layanan Unik pikeun Unggal Proyék
  • Pareuman Akun anu Dipikawanoh Nalika Mungkin
  • Nyetél Akun Samentara pikeun Tamat Otomatis
  • Robah Kapercayaan Akun Tipe Sistem
  • Larang Sidang Sidang Nalika Cocog
  • Konpigurasikeun Peran sareng Idin Diperlukeun Minimum
  • Netepkeun Peran Minimum Diperlukeun ka Pamaké
  • Anggo Jumlah Minimum Mungkin Pamaké Super
  • Merlukeun Idin Super pamaké pikeun Objék Program
  • Anggo Idin Minimum Diperlukeun pikeun Akun Eksternal
  • Anggo Skéma Auténtikasi Cocog pikeun Jenis Akun
  • Hapus Skéma Auténtikasi anu Henteu Dipikabutuh
  • TLS & Manajemén Sertipikat
  • Instalasi modul
  • Merlukeun Objék Program jeung Robot Ditandatanganan
  • Pareuman SSH sareng SFTP
  • Pareuman jasa anu teu perlu
  • Konpigurasikeun Jasa Diperlukeun Aman
  • Ngamutahirkeun Niagara 4 ka Release panganyarna
  • Pasang Produk dina Lokasi anu Aman
  • Pastikeun yén Stasion aya di tukangeun VPN
  • Publikasi téknis khusus sayogi anu kedah diturutan pikeun mastikeun sistem dikonci saaman mungkin. Aya seueur pilihan sapertos enkripsi SSL sareng léngkah-léngkah tambahan pikeun ngajagaan elemen sapertos modul program, pikeun langkung rinci tingal Tridium. websitus pikeun Niagara 4 Hardening Guide (pikeun produk dumasar Niagara N4) sarta Niagara Hardening Guide (produk dumasar Niagara kampak).

Bahan dina dokumén ieu kanggo tujuan inpormasi hungkul. Eusi sareng produk anu dijelaskeun tiasa robih tanpa aya bewara. Honeywell henteu ngagambarkeun atanapi ngajamin ngeunaan dokumén ieu. Teu aya kajadian anu Honeywell nanggungjawaban kanggo panyingkiran téknis atanapi éditorial atanapi kasalahan dina dokumén ieu, atanapi henteu ogé nanggungjawaban kanggo karusakan, langsung atanapi saliwatan, anu timbul tina atanapi aya hubunganana sareng panggunaan dokumén ieu. Teu aya bagian tina dokumén ieu anu diréproduksi dina bentuk naon waé atanapi ku cara naon waé tanpa aya ijin tertulis ti Honeywell.
Honeywell | Automasi wangunan

715 Peachtree Street, NE,

Daptar pariksa kaamanan INSTALASI

  • Instance Alat Pangontrol Tutuwuhan Canggih: _____________________________________________________________
  • Katerangan Pengontrol Tutuwuhan Canggih: ________________________________________________________________
  • Lokasi Pangendali Pabrik Canggih: _____________________________________________________________________
  • Pamasang: _________________________________________________________
  • Tanggal: ________________________________

Ngalengkepan tugas kaamanan di handap pikeun tiap dipasang Advanced Plant Controller

  • Pasang firewall antara Advanced Plant Controller sareng jaringan éksternal. Tingali "BACnet sareng Niagara" dina kaca 19.
  • Fisik ngamankeun Advanced Plant Controller. Tingal "Ngamankeun sacara fisik Advanced Plant Controller, HMI, sareng Modul IO" dina kaca 22.
  • Robah kecap akses standar kana kecap akses unik pikeun tiap di handap ieu: Konfigurasi Konsol, Nyadangkeun / Mulangkeun / Balikan deui / Kontrol, sareng Platform Niagara. Tempo Instruksi instalasi tur Commissioning Guide - 31-00584
  • Lamun a web server diperlukeun, lajeng ngonpigurasikeun ka beroperasi dina modeu HTTPS wungkul. Tempo Instruksi instalasi tur Commissioning Guide - 31-00584

Web Status server: ditumpurkeun / diaktipkeun.
If web jasa diaktipkeun, ngalengkepan ieu:

  • Set Http Aktipkeun = palsu.
  • Set Https Diaktipkeun = leres.
  • Set Https Ngan = leres.
  • Konpigurasikeun firewall BAS. Tingal kana "Ngonpigurasikeun firewall BAS" dina kaca 26.
  • Nyadiakeun sagala data diperlukeun ka nu boga sistem BAS dina pangiriman. Tingali kana "Setelan Auténtikasi" dina kaca 27.

FAQ

  • Naha ngamankeun Advanced Controller penting?
    Ngamankeun controller mantuan nyegah aksés nu teu sah, ngajaga data sénsitip, sarta ensures reliabiliti sistem.
  • Kumaha carana abdi tiasa cageur sandi abdi?
    Pikeun cageur sandi anjeun, tuturkeun prosés Pamulihan Sandi anu digariskeun dina manual. Ieu biasana ngalibatkeun verifikasi inpormasi akun anjeun.

Dokumén / Sumberdaya

Honeywell Optimizer Advanced Controller [pdf] Manual pamaké
31-00594-03, Optimizer Advanced controller, Advanced controller, controller

Rujukan

Tulisan patali

Ninggalkeun komentar

alamat surélék anjeun moal diterbitkeun. Widang diperlukeun ditandaan *