Contidos ocultar
1 Controlador avanzado Honeywell Optimizer
2 SISTEMA REMATADOVIEW
3 PLANIFICACIÓN E SEGURIDADE DE REDES
4 SISTEMA DE SEGURIDADE DE CONTROLADOR AVANZADO, HMI E MÓDULO IO
5 ASEGURACIÓN DO SISTEMA OPERATIVO NIAGARA
6 REGULAMENTO XERAL DE PROTECCIÓN DE DATOS (GDPR)
7 COMUNICACIÓN SEGURO
8 PLANIFICACIÓN E INSTALACIÓN
9 DOCUMENTACIÓN
10 ASEGURACIÓN DO CONTROLADOR AVANZADO, HMI E MÓDULO IO
11 USUARIOS E CONTRASEÑAS
12 CONFIGURACIÓN DO FIREWALL DE BAS
13 CONFIGURACIÓN DA AUTENTICACIÓN
14 FAQ
15 Documentos/Recursos
15.1 Referencias
16 Publicacións relacionadas

Honeywell-LOGO

Controlador avanzado Honeywell Optimizer

Honeywell-Optimizer-Advanced-Controller-PRODUCT

Especificacións

  • Produto: Controlador avanzado
  • Número de modelo: 31-00594-03
  • Sistema Operativo: Sistema Operativo Niagara
  • Funcións de seguridade: Código de verificación da conta, Contas do sistema, Recuperación de contrasinal, Comunicación segura, Certificados
  • Compatibilidade de rede: BACnetTM, LAN

Exención de responsabilidade
Aínda que fixemos esforzos para garantir a precisión deste documento, Honeywell non se fai responsable dos danos de ningún tipo, incluídos, sen limitacións, os danos consecuentes derivados da aplicación ou uso da información aquí contida. A información e as especificacións publicadas aquí están actualizadas a partir da data desta publicación e están suxeitas a cambios sen previo aviso. As últimas especificacións do produto pódense atopar na nosa web websitio ou contactando coa nosa oficina corporativa en Atlanta, Xeorxia.
Para moitas comunicacións baseadas en RS-485 do sector, o estado predeterminado está a ser desactivado no momento do envío fóra de fábrica para garantir a mellor seguridade, porque eses buses de comunicación legados usan tecnoloxía antiga para a mellor compatibilidade e foron deseñados cunha protección de seguridade débil. Polo tanto, para maximizar a protección do seu sistema, Honeywell desactivou de forma proactiva os portos de comunicación do bus industrial legados (no momento do envío á fábrica) e o usuario ten que habilitar explícitamente as redes na estación de cada rede. Se queres activar estes portos, debes estar consciente do risco de calquera violación de seguridade provocada polo uso da tecnoloxía antiga. Estes inclúen pero non limitados a: Panel-bus, C-Bus, BACnetTM, M-Bus, CP-IO Bus, NovarNet, protocolo XCM-LCD, SBC S-Bus e Modbus, etc.
Desenvolvendo a ISA-62443

Honeywell confiou no estándar ISA 62443-4-1 durante moitos anos e nos estándares complementarios aplicables para desenvolver os nosos produtos de tecnoloxía de construción de forma segura. Por exampOs produtos de construción de Honeywell tamén usan ISA/IEC 62443-4-2 como base para os requisitos técnicos de seguridade dentro dos compoñentes, e usamos ISA/IEC 62443-3-3 para sistemas completos. Polo tanto, para os integradores e os clientes que seleccionan tecnoloxías de construción, a adhesión de Honeywell á familia de estándares ISA/IEC 62443 pode proporcionar un alto nivel de confianza en que os nosos produtos non só pretenden ser resilientes cibernéticos, senón que foron deseñados, probados e validados para a resiliencia cibernética desde o principio.
Honeywell desenvolve os nosos produtos segundo a norma ISA/IEC 62443-4-1 e fomos avaliados por un terceiro e auditados segundo este estándar.
Introdución e público destinatario

Honeywell declara expresamente que os seus controladores non están inherentemente protexidos contra ataques cibernéticos de Internet e que, polo tanto, están destinados exclusivamente ao seu uso en redes privadas. Non obstante, incluso as redes privadas poden estar suxeitas a ataques cibernéticos maliciosos por parte de TI cualificados e equipados e, polo tanto, requiren protección. Polo tanto, os clientes deben adoptar as directrices de prácticas recomendadas de instalación e seguridade dos produtos baseados en IP de controladores avanzados de plantas para mitigar o risco que supoñen estes ataques.
As seguintes directrices describen as mellores prácticas xerais de seguridade para produtos baseados en IP Controller avanzado de plantas. Están listados por orde crecente de mitigación.

Os requisitos exactos de cada sitio deben ser avaliados caso por caso. A gran maioría das instalacións que implementan todos os niveis de mitigación descritos aquí serán moi superiores ao necesario para unha seguridade satisfactoria do sistema. Ao incorporar os elementos 1-5 (relativos ás redes de área local), consulte a “Recomendación de redes de área local (LAN)” na páxina 20. xeralmente cumprirán os requisitos para a maioría das instalacións de redes de control de automatización.
Este manual contén información para guiar ao persoal dun distribuidor Honeywell sobre como instalar e configurar de forma segura un controlador de planta avanzado, módulos HMI e IO. Información relacionada coa seguridade sobre o funcionamento, copia de seguridade e restauración USB e CleanDist file A instalación do controlador pódese atopar na Guía de instrucións de instalación e posta en servizo (31-00584).

NOTA
Tómese o tempo para ler e comprender todos os manuais de instalación, configuración e operación relevantes e asegúrese de obter regularmente as versións máis recentes.

Táboa 1 Información do produto

Produto Número de produto Descrición
 

 

 

 

 

 

Controlador de Planta

 N-ADV-134-H Controlador avanzado Niagara con catro portos Ethernet, porto para HMI e 4 portos RS485
 

N-ADV-133-H-BWA

 Controlador avanzado Niagara con catro portos Ethernet, porto para HMI, 3 portos RS485, Wi-Fi (rexión de América) e compatibilidade con BluetoothTM
 

N-ADV-133-H-BWE

 Controlador avanzado Niagara con catro portos Ethernet, porto para HMI, 3 portos RS485, Wi-Fi (rexión de Europa) e compatibilidade con BluetoothTM
 

N-ADV-133-H-BWW

 Controlador avanzado Niagara con catro portos Ethernet, porto para HMI, 3 portos RS485, Wi-Fi (rexión do resto do mundo) e compatibilidade con BluetoothTM
N-ADV-133-H Controlador avanzado Niagara con catro portos Ethernet, porto para HMI e 3 portos RS485
N-ADV-112-H Controlador avanzado Niagara con dous portos Ethernet, porto para HMI e 2 portos RS485
 

HMI

 HMI-DN HMI (montaxe en carril DIN)
HMI-WL HMI (montaxe para porta/parede)
 

 

 

 

 

 

 

 

 

 

Módulo IO

 IO-16UIO-SS Módulo 16UIO IO sen HOA, comunicacións serie, terminais de parafuso
IOD-16UIO-SS Módulo 16UIO IO con pantalla HOA, comunicacións serie, terminais de rosca
IO-16UI-SS Módulo IO 16UI, comunicacións serie, terminais de parafuso
IO-16DI-SS Módulo 16DI IO, comunicacións serie, terminais de parafuso
IO-8DOR-SS Módulo 8DO IO sen HOA, relés C/O, comunicacións serie, terminais de rosca
IOD-8DOR-SS Módulo 8DO IO con pantalla HOA, relés C/O, comunicacións serie, terminais de rosca
IO-16UIO-SP Módulo 16UIO IO con pantalla HOA, comunicaciones serie, terminales push
IO-16UI-SP Módulo 16UIO IO, comunicacións serie, terminais push
IO-16DI-SP Módulo 16DI IO, comunicacións serie, terminais push
IO-8DOR-SP Módulo 8DO IO sen HOA, relés C/O, comunicacións serie, terminais push
IOD-8DOR-SP Módulo 8DO IO con pantalla HOA, relés C/O, comunicaciones serie, terminales push
IO-8UIO-SS Módulo 8UIO IO sen HOA, comunicacións serie, terminais de parafuso
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Módulo IO

 IOD-8UIO-SS Módulo 8UIO IO con pantalla HOA, comunicacións serie, terminais de rosca
IO-8AO-SS Módulo 8AO IO sen HOA, comunicacións serie, terminais de parafuso
IOD-8AO-SS Módulo 8AO IO con pantalla HOA, comunicacións serie, terminais de rosca
IO-4UIO-SS Módulo 4UIO IO sen HOA, comunicacións serie, terminais de parafuso
IOD-4UIO-SS Módulo 4UIO IO con pantalla HOA, comunicacións serie, terminais de rosca
IO-8DI-SS Módulo 8DI IO, comunicacións serie, terminais de parafuso
IO-4DOR-SS Módulo 4DO IO sen HOA, relés C/O, comunicacións serie, terminais de rosca
IOD-4DOR-SS Módulo 4DO IO con pantalla HOA, relés C/O, comunicacións serie, terminais de rosca
IO-4DORE-SS Módulo 4DO IO sen HOA, relés C/O mellorados, comunicacións en serie, terminais de parafuso
IOD-4DORE-SS Módulo 4DO IO con pantalla HOA, relés C/O mellorados, comunicacións en serie, terminais de rosca
IO-8UIO-SP Módulo 8UIO IO sen HOA, comunicacións serie, terminais push
IOD-8UIO-SP Módulo 8UIO IO con pantalla HOA, comunicaciones serie, terminales push
IO-8AO-SP Módulo 8AO IO sen HOA, comunicacións serie, terminais push
IOD-8AO-SP Módulo 8AO IO con pantalla HOA, comunicaciones serie, terminales push
IO-4UIO-SP Módulo 4UIO IO sen HOA, comunicacións serie, terminais push
IOD-4UIO-SP Módulo 4UIO IO con pantalla HOA, comunicaciones serie, terminales push
IO-8DI-SP Módulo 8DI IO, comunicacións serie, terminais push
IO-4DOR-SP Módulo 4DO IO sen HOA, relés C/O, comunicacións serie, terminais push
IOD-4DOR-SP Módulo 4DO IO con pantalla HOA, relés C/O, comunicaciones serie, terminales push
IO-4DORE-SP Módulo 4DO IO sen HOA, relés C/O mellorados, comunicacións en serie, terminais push
IOD-4DORE-SP Módulo 4DO IO con pantalla HOA, relés C/O mellorados, comunicacións en serie, terminais push

POR QUE SEGUIR OS SEUS CONTROLADORES AVANZADOS?

  • Protexa os sistemas da planta dos seus clientes de cambios non autorizados nos puntos de referencia operativos, anulacións e horarios.
  • Evitar o acceso aos detalles da conta de usuario: por exemplo, nomes de usuario, contrasinais, enderezos de correo electrónico, números de SMS (móbiles), etc.
  • Evitar o acceso a datos comercialmente sensibles: Example- Métricas de consumo de enerxía, solucións de estratexias de control especializadas, etc.
  • Evita o acceso non autorizado ao controlador, ordenadores e redes que aloxan software BMS e dispositivos de control.
  • Manter a integridade dos datos e proporcionar responsabilidade.

SISTEMA REMATADOVIEW

Honeywell-Optimizer-Advanced-Controller- (1)

O rematouview da instalación típica do sistema..

  1. Internet/intranet/rede corporativa
    Esta é unha representación de rede simplificada e lóxica de todas as redes fóra do ámbito do sistema de automatización de edificios (BAS). Pode proporcionar acceso ás interfaces de xestión de BAS (por exemplo, a estación de traballo principal Niagara web interface de usuario), pero debe proporcionar acceso a Internet para que os ordenadores Niagara poidan comprobar e descargar actualizacións do sistema operativo e do escáner de virus a menos que se proporcione outro medio para facelo.
  2. Rede BAS
    Esta rede úsase unicamente para os protocolos BAS, que consisten en BACnetTM/IP, BACnetTM/Ethernet e calquera protocolo que os servizos de integración de Niagara nun controlador de planta avanzado poidan utilizar. Esta rede non debe ser a mesma rede que Internet/intranet/rede corporativa.
  3. Firewall BAS
    Para proporcionar separación e protección adicional ao BAS, débese utilizar un firewall entre Internet/intranet/rede corporativa e calquera dispositivo BAS que se conecte a el, como a estación de traballo principal Niagara, as estacións de traballo Niagara e o Advanced Plant Controller. Este firewall limita o acceso ao BAS só aos ordenadores autorizados e pode axudar a reducir o risco de ataques, como un ataque de denegación de servizo.
  4. Estación de traballo Niagara
    A estación de traballo principal Niagara é unha computadora que executa o software Niagara. Require dúas conexións de rede, unha para conectarse á xestión web interface de usuario a través de a web navegador (normalmente en
    Internet/intranet/rede corporativa) e outra para a conexión á rede BAS.
  5. Switch Ethernet
    Un conmutador Ethernet crea redes e usa varios portos para comunicarse entre dispositivos na LAN. Os interruptores Ethernet difieren dos enrutadores, que conectan redes e usan só un único porto LAN e WAN. Unha infraestrutura sen fíos corporativa e con fíos completa ofrece conectividade con fíos e Wi-Fi para a conectividade sen fíos.
  6. Controlador avanzado de plantas
    O Advanced Plant Controller é un controlador global que se conecta a unha rede Ethernet, BACnetTM IP e segmentos de rede host MS/TP. MS/TP é unha conexión de baixo ancho de banda que se usa para conectar controladores e sensores.
  7. HMI
    HMI está conectada e recibe enerxía dos controladores avanzados da planta Niagara. Estes dispositivos están construídos cunha pantalla táctil capacitiva que admite unha selección co dedo desnudo e proporciona ao operador funcións para view, acceda e solucione os problemas dos puntos do controlador, dos módulos de E/S e doutros equipos conectados.
  8. Módulo IO
    Os módulos de E/S poden conectarse ao controlador mediante as conexións táctiles (alimentación e comunicacións) ou os módulos de E/S poden conectarse a un adaptador de cableado que recibirá alimentación e se conectará a unha das interfaces RS485 do controlador. Os módulos IO son programables mediante a ferramenta de enxeñería existente, como a ferramenta ComfortPointTM Open Studio e Niagara 4 Workbench.

PLANIFICACIÓN E SEGURIDADE DE REDES

  1. Rede Ethernet
    Recoméndase que a rede Ethernet utilizada polo sistema BMS estea separada da rede normal da oficina.
    ExampLe:
    Usando un aire ou rede privada virtual. O acceso físico á infraestrutura de rede Ethernet debe estar restrinxido. Tamén debe asegurarse de que a instalación cumpre coa política de TI da súa empresa.
    Os controladores avanzados non deben estar conectados directamente a Internet.
  2. Web Servidor
    O controlador avanzado ofrece HTTP e HTTPS web servidores. Se a web servidor non é necesario, recoméndase que ambos web os servidores están desactivados.
  3. Rede IP BACnetTM
    Debido á natureza insegura do protocolo BACnetTM, os módulos Advanced Controller, HMI e IO que usan BACnetTM non deben estar conectados a Internet baixo ningunha circunstancia. O sistema de seguridade Advanced Controller non protexe contra as escrituras BACnetTM. O acceso físico á infraestrutura de rede BACnetTM IP debe estar restrinxido. Se as comunicacións BACnetTM IP non son necesarias, o módulo de rede de controladores avanzados (BACnetTMTM IP) debe desactivarse configurando o parámetro "Desactivar módulo" en "1".
    Se son necesarias comunicacións BACnetTMTM, recoméndase encarecidamente que os servizos BACnetTMTM Backup/Restore, Reinicializar dispositivo e BACnetTMTM Writable non estean activados. Non obstante, isto significará que a estratexia creada non cumpre con BTL. Consulte a "Seguridade local" na páxina 13.
  4. MS/TP (licenzas NC)
    O acceso físico á infraestrutura de rede MS/TP debe estar restrinxido. Se non se precisa a rede MS/TP, o módulo de rede de controlador avanzado (BACnetTM MSTP) debe desactivarse configurando o parámetro "Desactivar módulo" en "1". IO Bus (licenzas CAN)
    O acceso físico ao bus IO debe estar restrinxido.
  5. USB
    O acceso físico ao porto de enxeñería local USB do controlador avanzado debe estar restrinxido.
  6. RS485 (incluíndo licenzas Modbus)
    O acceso físico ao porto RS485 do controlador debe estar restrinxido. Se non é necesario, ningún módulo de rede conectado ao porto non debería incluírse na estratexia.
  7. Red IP Modbus (licenzas INT)
    Debido á natureza insegura do protocolo Modbus, os controladores avanzados que admiten Modbus IP non deben estar conectados a Internet baixo ningunha circunstancia. O acceso físico á infraestrutura de rede Modbus IP debe estar restrinxido. Se as comunicacións Modbus IP non son necesarias, o módulo de rede do controlador avanzado (Modbus IP) non debería incluírse na estratexia.

SISTEMA DE SEGURIDADE DE CONTROLADOR AVANZADO, HMI E MÓDULO IO

A seguridade dos controladores avanzados cumpre coa norma ISA 62433-3-3 SL 3 e proporciona un arranque seguro, unha rede autenticada e cifrada, cifrado en reposo e xestión de contas sincronizada.
Para acceder aos produtos Advanced Controller ou realizar calquera das tarefas anteriores, débese proporcionar un nome de usuario e un contrasinal válidos para unha conta do sistema de enxeñería ou unha conta do sistema de dispositivo.

  1. Seguridade cando non está configurado
    Para interactuar cun controlador avanzado, HMI e módulos IO, deben proporcionarse credenciais válidas. O controlador entrégase de fábrica sen ningunha credencial (Contas do sistema ou módulos de usuario), o que garante que cando se acende por primeira vez estea protexido contra accesos non autorizados. A primeira vez que se intenta conectarse a un vCNC nun dos produtos avanzados da rede Niagara, debe crearse unha conta de sistema de enxeñería con función de administrador.
  2. Protección contra dispositivos non autorizados
    Utilízase unha clave única (clave de rede) para garantir que só os dispositivos autorizados poidan unirse á rede Niagara. Todos os controladores que van formar unha rede Niagara deben ter a mesma clave de rede e porto UDP. Estes configúranse mediante a ferramenta IP durante o proceso de configuración inicial.
    ExampLe:
    Se catro controladores avanzados de planta teñen a mesma clave de rede (112233) e un quinto ten unha clave de rede diferente
    (222). Cando están conectados á mesma rede Ethernet, os catro controladores coa mesma clave de rede únense para formar unha única rede, pero o quinto controlador non poderá unirse á rede porque ten unha clave de rede diferente, é dicir (222).
    Do mesmo xeito, se o quinto controlador é novo (como se envía de fábrica) e se engade á rede Ethernet, non poderá conectarse á rede Niagara porque non ten unha clave de rede.
    1. Código de verificación da conta
      Cando se engade unha conta do sistema de administrador a un dos controladores da rede, o controlador ao que se engadiu a conta do sistema xera automaticamente un código de verificación da conta. Este código está sincronizado con todos os demais controladores coa mesma clave de rede e porto UDP na rede Ethernet.
      Unha vez que se xerou un código de verificación de conta TODOS os controladores da rede DEBEN ter o mesmo código de verificación de conta, así como a mesma clave de rede e porto UDP.
      Example:
      Se hai cinco controladores, todos os controladores avanzados teñen a mesma clave de rede. Catro teñen o mesmo código de verificación de conta (AVC) e, polo tanto, forman unha rede. O quinto ten un código de verificación de conta diferente e, aínda que ten a mesma clave de rede, non pode unirse cos outros controladores.
  3. Contas do sistema
    As contas do sistema permiten que as persoas e os dispositivos interactúen co controlador avanzado. O acceso proporcionado depende do tipo de conta e función.
    Hai dous tipos de contas do sistema:
    1. Conta do sistema de enxeñería
    2. Conta do sistema do dispositivo
    3. Conta do sistema de enxeñería
      As contas do sistema de enxeñería están pensadas para o seu uso por enxeñeiros. Cada conta do sistema de enxeñaría ten un nome de conta e un contrasinal que deben proporcionarse cando o solicite o controlador. Se se proporciona un nome de usuario e un contrasinal válidos, o controlador concederá o acceso.

Debe crearse unha conta de sistema de enxeñería separada para cada persoa. As contas do sistema de enxeñería pódense configurar nun dos dous roles:

  • Papel de enxeñaría
  • Función de administrador

Papel de enxeñaría
O rol de Enxeñaría proporciona o acceso necesario para deseñar o sistema avanzado, crear/xestionar Contas do sistema de dispositivos e xestionar os detalles da propia conta do usuario (enderezo de correo electrónico, contrasinal, etc.).
Función de administrador
O rol de administrador ofrece o mesmo acceso que o de Enxeñaría ademais da capacidade de xestionar todas as contas do sistema de Enxeñaría e Dispositivos.

Conta do sistema do dispositivo
As contas do sistema de dispositivos están destinadas a permitir que dispositivos como Niagara se conecten á rede para obter a información necesaria e facer cambios. Recoméndase que se cree unha conta de sistema de dispositivo separada para cada dispositivo que vaia acceder á rede. Teñen un papel de 'Supervisor'.

IMPORTANTE
Importante: O propio sistema de seguridade do supervisor debe estar configurado para restrinxir os dereitos de acceso de cada usuario supervisor.

Creación de conta do sistema
Debe crearse unha conta de sistema de enxeñería con función de administrador a primeira vez que se intente conectarse a un vCNC na rede Niagara. A continuación, esta conta sincronízase cos outros controladores da rede Niagara

  • Consulte a "Xestión de contas sincronizadas" na páxina 12. Pódense crear contas adicionais segundo sexa necesario mediante Niagara Workbench.

NOTA
A primeira vez que se crea unha conta de sistema de enxeñería nun controlador, un código de verificación de conta é automaticamente xerado e sincronizado cos outros controladores da rede Ethernet coa mesma clave de rede e porto UDP. Cando un controlador ten un código de verificación da conta, só pode unirse a unha rede con controladores que teñan o mesmo código de verificación da conta. Consulte o "Código de verificación da conta" na páxina 11.

Xestión de contas sincronizada
A xestión de contas sincronizada sincroniza de forma sinxela e segura as contas do sistema, incluído o código de verificación da conta, con todos os controladores avanzados da mesma rede Niagara. Isto permite:

  • Inicio de sesión único na rede
  • Reducida a sobrecarga de configuración e mantemento do acceso en todo o sitio sen reducir a seguridade Todos os controladores avanzados da mesma rede terán as mesmas contas do sistema.

Cando un controlador avanzado sen ningunha conta do sistema está conectado á rede Ethernet e configurado coa clave de rede e o porto UDP para a rede Niagara, unirase á rede e obterá automaticamente as súas contas do sistema dos outros controladores da rede Niagara.

ExampLe:
se se engade un controlador avanzado sen ningunha conta do sistema ao sistema anterior e se lle dá a clave de rede para a rede Niagara (112233) e o porto UDP, unirase á rede e obterá as súas contas de sistema (usuario 1, usuario 2, usuario 3) dos outros controladores avanzados da rede de Niagara.
Unha vez que se complete a sincronización, será posible conectarse a calquera vCNC, mostra web páxinas e inicie sesión en calquera controlador avanzado da rede Niagara mediante calquera das contas do sistema.
Se se realizan cambios nas contas do sistema, é dicir, se engade, elimina ou edita unha conta, estes cambios sincronizaranse automaticamente en todos os controladores avanzados da rede Niagara.

ExampLe:
se hai cinco controladores avanzados, as contas do sistema no controlador (1) edítanse para eliminar o usuario 2, renomear o usuario 3 por usuario 3a e engádese o usuario 4, os cambios sincronizaranse con controlador (2), controlador (3), controlador (4) e controlador (5).

NOTA:
Se durante a sincronización se descobre un conflito, o último cambio terá prioridade.

Cambio dunha clave de rede de controlador avanzado
Cando se cambie unha clave de rede do controlador avanzado, eliminaranse todas as súas contas do sistema e eliminarase da súa rede Niagara actual. O cambio na clave de rede debe ser autorizado por unha conta de sistema de enxeñeiro ou administrador válida.
Unha vez realizado o cambio, unirase a unha rede Niagara mediante a nova clave de rede, se a existe, e obterá contas do sistema do controlador avanzado na nova rede Niagara sempre que teña o mesmo porto UDP.

Seguridade local
A seguridade local usa usuarios locais (módulos de usuario) para permitir o acceso aos controladores avanzados web páxinas ou unha pantalla conectada localmente e para controlar a información visible ou os valores que se poden axustar.
Para acceder e facer cambios, debe proporcionarse un nome de usuario e un contrasinal válidos para un usuario local. O nivel de PIN do usuario determina os parámetros que un usuario pode ver e axustar.

NOTA
Os usuarios locais NON están sincronizados con outros controladores avanzados da rede Niagara.

Acceso a Web Páxinas
Acceso ao controlador web páxinas está protexida polo sistema de seguridade Advanced Controller. Cando o controlador web accédese ao servidor a web móstrase unha páxina que proporciona información básica e permite que un usuario inicie sesión. Consulte o "Acceso inicial" na páxina 13.
Os usuarios que inicien sesión serán tratados como usuarios iniciados. Consulte “Usuarios iniciados” na páxina 14. e os usuarios que accedan ao web ás páxinas sen iniciar sesión terán acceso como se describe en "Acceso inicial" na páxina 13.

Acceso Inicial
Cando o controlador web primeiro accede ao servidor á páxina de benvida que se mostra e o acceso que se outorga depende da configuración de seguranza actual do controlador:

  • Sen contas do sistema de enxeñería e sen módulos de usuario (predeterminado de fábrica)
  • Móstrase a páxina "Benvido" e ten acceso total ao controlador web páxinas e darase a posibilidade de facer cambios.

NOTA
Debido a que non hai Contas do sistema de enxeñería nin módulos de usuario, non será posible iniciar sesión.

Contas do sistema de enxeñería e sen módulos de usuario
Móstrase a páxina "Benvido" e o controlador só dará acceso ao sensor, a entrada dixital, a perilla, o interruptor, o controlador, a programación, a programación horaria, a hora, os módulos de trazado, o rexistro de alarmas e os gráficos e non permitirá cambios.

NOTA
Será posible iniciar sesión usando as Contas do sistema de enxeñería.

  • Contas do sistema de enxeñería e módulos de usuario
    A visualización e o acceso inicial están controlados polos módulos Usuario. Se hai un módulo de Usuario chamado "Convidado" sen contrasinal cando o Controlador Avanzado web ás páxinas ás que se accede sen iniciar sesión o controlador dará os dereitos de acceso (nivel de usuario, páxina de inicio e view valores predeterminados) especificados polo módulo Usuario "Convidado".
    Por defecto, o módulo Usuario "Convidado" só proporciona acceso á páxina "Benvido" avanzada e ten un nivel de usuario "0". Isto significa que un usuario que accede ao controlador sen iniciar sesión só poderá facelo view a páxina "Benvido". Para dar máis acceso o usuario "Convidado" pódese configurar do mesmo xeito que calquera outro Módulo de Usuario Tipo 0.

NOTA:
O banco de traballo de Niagara impide que o usuario "convidado" reciba un contrasinal, un PIN ou un nivel de usuario superior a "0". Permite unha páxina de inicio e view configurados por defecto.

Recoméndase encarecidamente que o usuario convidado quede coa configuración predeterminada (nivel de usuario "0" e no view dereitos).
Se non hai un módulo de Usuario chamado "Invitado" ou se configurou cun contrasinal, móstrase a páxina "Benvido" e o controlador só dará acceso ao sensor, entrada dixital, botón, interruptor, controlador, programación, horario, hora, módulos de trazado, rexistro de alarmas e gráficos e non permitirá cambios.

NOTA
Poderase iniciar sesión mediante as Contas do Sistema de Enxeñaría e calquera módulo de Usuario que exista.

Usuarios iniciados
Para iniciar sesión nun controlador avanzado web páxinas debe introducirse un nome de usuario e un contrasinal que coincidan cunha das contas do sistema de enxeñería de controladores avanzadas ou dos módulos de usuario de tipo 0.

Recuperación de contrasinal
Se un usuario esqueceu o seu contrasinal, pódese recuperar usando o banco de traballo Niagara. Para obter máis información sobre como recuperar un contrasinal esquecido usando Niagara, consulte a guía de usuario de Niagara workbench.

ASEGURACIÓN DO SISTEMA OPERATIVO NIAGARA

 Boas Prácticas Xerais
Siga as boas prácticas xerais para protexer o sistema operativo, como:

  • Protector de pantalla protexido por contrasinal
  • Software de cifrado Drive

Configuración do firewall
O sistema operativo debe estar configurado para utilizar un firewall que se actualiza automaticamente. A configuración debe impedir o acceso (IN/OUT) a todos os portos, excepto aqueles para os que se require acceso, NON deixe abertos os portos non utilizados.

Versión do sistema operativo
DEBE asegurarse de que calquera dispositivo que execute aplicacións Niagara ou conectado á mesma rede IP teña instaladas as últimas actualizacións do sistema operativo. É unha boa práctica asegurarse de que as actualizacións de Windows se deixan activadas e que se instalan a tempo.

Protección contra virus
DEBE asegurarse de que todos os ordenadores que executen as aplicacións Niagara ou conectados á mesma rede IP estean executando un software de protección contra virus e que as definicións de virus se manteñan actualizadas.

 Protección contra intrusións
Recoméndase o uso dun sistema de detección de intrusos (IDS) dun provedor reputado de produtos de seguridade en calquera ordenador que execute a aplicación Niagara. Siga as mellores prácticas para os produtos escollidos, así como calquera política de TI corporativa onde se realice a instalación.
Moitos produtos IDS e firewall ofrecen unha solución completa para rexistrar todo o tráfico que entra e sae do ordenador, proporcionando aos usuarios a posibilidade de rexistrar toda a actividade ao nivel máis baixo.

REGULAMENTO XERAL DE PROTECCIÓN DE DATOS (GDPR)

O Regulamento Xeral de Protección de Datos (UE) 2016/679 (GDPR) é un regulamento da lexislación da UE sobre protección de datos e privacidade para todos os cidadáns individuais da Unión Europea (UE) e do Espazo Económico Europeo (EEE). Tamén aborda a transferencia de datos persoais fóra das áreas da UE e do EEE. O RGPD contén disposicións e requisitos relacionados co tratamento de datos persoais de persoas físicas (suxeitos de datos) dentro do EEE e aplícase a calquera empresa establecida no EEE (independentemente da súa localización e da cidadanía dos interesados) ou que estea a procesar a información persoal dos interesados ​​dentro do EEE.
Segundo os termos do GDPR, os datos persoais inclúen calquera información que se poida utilizar para identificar a un individuo. Isto inclúe (pero non está limitado a):

  • nomes de usuario,
  • contrasinais,
  • números de teléfono,
  • enderezos de correo electrónico,
  • domicilios laborais ou residenciais.

Calquera información deste tipo introducida no Controlador avanzado, HMI e Módulo IO está cifrada e almacenada nos produtos avanzados nas instalacións do cliente. Honeywell non está involucrado co almacenamento e/ou procesamento de datos persoais nos produtos Advanced Honeywell.
A responsabilidade do cumprimento dos requisitos do RGPD corresponde plenamente ao integrador de sistemas ou ao administrador do sistema e, como tal, deben garantir que existan sistemas técnicos e organizativos adecuados para:

  • obter o consentimento explícito de cada interesado para que os datos persoais sexan almacenados, utilizados e/ou tratados,
  • permitir que as persoas teñan acceso aos seus datos persoais para verificar a exactitude,
  • permitir ás persoas retirar o seu consentimento en calquera momento e que os seus datos persoais sexan borrados permanentemente,
  • manter a seguridade e integridade do almacenamento e o acceso aos datos en todo momento,
  • informar de calquera violación da seguridade dos datos (que poida afectar á privacidade do usuario) á autoridade competente nun prazo de 72 horas desde que se produza a violación.

COMUNICACIÓN SEGURO

Unha infraestrutura de clave pública (PKI) admite a distribución e identificación de claves de cifrado públicas utilizadas para protexer o intercambio de datos a través de redes, como Internet. PKI verifica a identidade da outra parte e codifica a transmisión de datos real. A verificación de identidade ofrece unha garantía non repudiada da identidade do servidor. O cifrado proporciona confidencialidade durante a transmisión da rede. Esixir módulos de código asinado garante que só se execute o código esperado no sistema.

Para proporcionar redes seguras mediante PKI, Niagara admite o protocolo TLS (Transport Layer Security), versións 1.0, 1.1 e 1.2. TLS substitúe ao seu predecesor, SSL (Secure Sockets Layer).
Cada instalación de Niagara crea automaticamente un certificado predeterminado, que permite cifrar a conexión inmediatamente. Non obstante, estes certificados xeran avisos no navegador e no Workbench e xeralmente non son axeitados para os usuarios finais. Crear e asinar certificados dixitais personalizados permite un uso perfecto de TLS no navegador e proporciona tanto o cifrado como a autenticación do servidor.
Máis aló da seguridade das comunicacións, cada módulo de código informático que se executa no sistema está protexido cunha sinatura dixital. Os obxectos do programa engadidos requiren esta sinatura ou non se executan.

Verificar o servidor, cifrar a transmisión e asegurarse de que só as execucións de código asinado non protexen os datos almacenados nun dispositivo de almacenamento. Aínda debes restrinxir o acceso físico aos ordenadores e controladores que xestionan o teu modelo de edificio, configurar a autenticación de usuarios con contrasinais seguros e protexer os compoñentes controlando os permisos.
Niagara admite e utiliza comunicacións seguras e código asinado de forma predeterminada. Non é necesario mercar unha licenza adicional.
A seguridade é unha preocupación permanente. Aínda que atoparás moita información valiosa nos temas de comunicación segura, espera actualizacións e cambios futuros.
Abaixo amósanse as comunicacións seguras. Para máis detalles consulte a guía de seguridade da estación de Niagara.

  • Relacións cliente/servidor
  • Certificados
  • Tendas de certificados
  • Estrutura do cartafol CSR
  • Certificado configurado
  • Asistente de certificados
  • Asinando varios certificados
  • Configuración de comunicación segura da plataforma
  • Configurar a comunicación segura da estación
  • Habilitar clientes e configuralos para o porto correcto
  • Instalación dunha copia da estación noutra plataforma
  • Correo electrónico seguro
  • Resolución de problemas de comunicación segura

Relacións cliente/servidor
As relacións cliente/servidor identifican as conexións que requiren protección. As relacións cliente/servidor de Workbench varían dependendo de como configure e utilice un sistema. Workbench sempre é un cliente. Unha plataforma sempre é un servidor. Unha estación pode ser un cliente e un servidor.
Os protocolos do sistema que xestionan as comunicacións son:

  • As conexións de plataforma desde Workbench (cliente) ata o controlador ou o daemon da plataforma Supervisor PC (servidor) usan Niagara. Ás veces, unha conexión de plataforma segura denomínase platformtls. Activa as plataformas mediante a Administración da plataforma view.
  • As conexións das estacións locais (supervisor e plataforma) usan Foxs. Habilita estas conexións no FoxService dunha estación (Configuración > Servizos > FoxService).
  • As conexións do navegador usan Https, así como Foxs se está a usar Web Lanzador cun WbWebProfile. Activas estas conexións usando as da estación WebServizo (Configuración > Servizos > WebServizo).
  • Conexións de cliente ao servidor de correo electrónico da estación, se é o caso. Activa o correo electrónico seguro mediante o Servizo de correo electrónico da estación (Configuración > Servizos > Servizo de correo electrónico).

CERTIFICADOS
Un certificado é un documento electrónico que utiliza unha sinatura dixital para vincular unha clave pública a unha persoa ou organización. Os certificados poden servir para varios propósitos dependendo de como configure a propiedade de uso de claves do certificado. O seu propósito principal neste sistema é verificar a identidade dun servidor para que a comunicación sexa de confianza. Para obter máis detalles, consulte a Guía de seguridade da estación Niagara - Certificado.
Niagara admite estes tipos de certificados:

  • Un certificado CA (Certificate Authority) é un certificado autofirmado que pertence a unha CA. Pode ser un terceiro ou unha empresa que actúa como a súa propia CA.
  • Un certificado de CA raíz é un certificado de CA auto-asinado cuxa clave privada se usa para asinar outros certificados creando unha árbore de certificados de confianza. Coa súa clave privada, pódese exportar un certificado de CA raíz, almacenarse nunha memoria USB nunha bóveda e sacar só cando os certificados deben asinarse. A clave privada dun certificado de CA raíz require a creación dun contrasinal na exportación e a subministración do mesmo contrasinal cando se usa para asinar outros certificados.
  • Un certificado intermedio é un certificado de CA asinado por un certificado de CA raíz que se usa para asinar certificados de servidor ou outros certificados de CA intermedios. O uso de certificados intermedios illa un grupo de certificados de servidor.
  • Un certificado de servidor representa o lado do servidor dunha conexión segura. Aínda que pode configurar un certificado separado para cada protocolo (Foxs, Https, Webs). Aínda que pode configurar unha plataforma e unha estación (como servidor) con certificados de servidor separados, para simplificar a maioría dos sistemas adoitan usar o mesmo certificado de servidor.
  • Un certificado de sinatura de código é un certificado usado para asinar obxectos e módulos de programas. Os integradores de sistemas usan este certificado para evitar a introdución de código malicioso cando personalizan o marco.

Certificados autofirmados
Un certificado autoasinado é aquel que está asinado de forma predeterminada usando a súa propia chave privada en lugar da clave privada dun certificado CA raíz (Autoridade de certificación).
O sistema admite dous tipos de certificados autoasinados:

  • Un certificado de CA raíz é de confianza implícita porque non hai unha autoridade superior á CA (Autoridade de certificación) propietaria deste certificado. Por este motivo, as CA, cuxo negocio é avalar os certificados doutras persoas, gardan de preto os seus certificados de CA raíz e as claves privadas. Do mesmo xeito, se a túa empresa está a servir como a súa propia CA, debes gardar de preto o certificado de CA raíz que utilizas para asinar outros certificados.
  • Un certificado predeterminado auto-asinado: a primeira vez que inicia unha instancia de Workbench, unha plataforma ou unha estación despois da instalación (posta en servizo), o sistema crea un certificado de servidor predeterminado e auto-asinado co alias de tridium.

NOTA:
Non exportes este certificado e importalo a calquera tenda doutra plataforma ou estación. Aínda que sexa posible, facelo diminúe a seguridade e aumenta a vulnerabilidade.
Para minimizar o risco dun ataque de intermediarios cando se usan certificados autoasinados, todas as súas plataformas deben estar contidas nunha rede privada segura, fóra de liña e sen acceso público desde Internet.

PRECAUCIÓN
Para utilizar certificados autoasinados, antes de acceder á plataforma ou estación desde Workbench por primeira vez, asegúrese de que o seu ordenador e a plataforma non estean en ningunha rede corporativa nin en Internet. Unha vez desconectado, conecte o ordenador directamente á plataforma, abra a plataforma desde Workbench e aprobe o seu certificado autoasinado. Só entón deberías volver conectar a plataforma a unha rede corporativa.

Convención de nomenclatura
A tenda de claves de usuario, a tenda de confianza do usuario e a tenda de confianza do sistema forman o corazón da configuración. Os certificados se parecen moito e os distintos certificados autoasinados predeterminados teñen o mesmo nome.

Tendas de certificados
A xestión de certificados usa catro almacéns para xestionar certificados: un almacén de claves de usuario, un almacén de confianza do sistema, un almacén de confianza do usuario e unha lista de hosts permitidos.
O almacén de claves de usuario está asociado co lado do servidor da relación cliente-servidor. Esta tenda ten certificados, cada un coas súas claves públicas e privadas. Ademais, esta tenda contén o certificado autoasinado creado inicialmente cando iniciaches Workbench ou iniciaches a plataforma por primeira vez.
Os almacéns de confianza do usuario e do sistema están asociados co lado cliente da relación cliente-servidor. A System Trust Store vén pre-enchada con certificados públicos estándar: certificados CA raíz de autoridades de certificación coñecidas, como VeriSign, Thawte e Digicert. A User Trust Store ten certificados de CA raíz e intermedios para as empresas que actúan como a súa propia autoridade de certificación.
A lista de Anfitrións permitidos contén certificados de servidor para os que non existe ningún certificado de CA raíz de confianza nos Almacéns de confianza do usuario ou do sistema do cliente, pero os certificados do servidor foron aprobados para o seu uso de todos os xeitos. Isto inclúe servidores para os que o nome de host do servidor non é o mesmo que o nome común no certificado do servidor. Vostede aproba o uso destes certificados de forma individual. Aínda que a comunicación é segura, é mellor utilizar certificados de servidor asinados.

Cifrado
O cifrado é o proceso de codificación da transmisión de datos para que non poidan ser lidos por terceiros non fiables. TLS usa o cifrado para transmitir datos entre o cliente e o servidor. Aínda que é posible facer unha conexión sen cifrar usando só os protocolos fox ou http, recoméndase encarecidamente que non busque esta opción. Sen cifrado, as túas comunicacións están potencialmente suxeitas a un ataque. Acepte sempre as conexións Foxs ou Https predeterminadas.

O TABLERO DE SEGURIDADE ACABADOVIEW
En Niagara 4.10u5 e posteriores, a función Security Dashboard ofrece (para administradores e outros usuarios autorizados) un ollo de paxaro view da configuración de seguridade da súa estación. Isto permítelle supervisar facilmente a configuración de seguranza en moitos servizos da estación e identificar calquera debilidade da configuración de seguridade da estación.

PRECAUCIÓN
O panel de seguridade View pode non mostrar todas as opcións de seguranza posibles e non debe considerarse como unha garantía de que todo estea configurado de forma segura. En particular, os módulos de terceiros poden ter unha configuración de seguranza que non se rexistra no panel.

O panel de seguridade view é o principal view no Servizo de Seguridade da estación. O view advírteche de debilidades de seguridade, como a configuración deficiente do contrasinal; certificados caducados, autofirmados ou non válidos; protocolos de transporte sen cifrar, etc., indicando áreas onde a configuración debería ser máis segura. Outros datos informados inclúen: estado do sistema, número de contas activas, contas inactivas, número de contas con permisos de superusuario, etc. Opcionalmente, o atributo "system" na función de licenza "securityDashboard" pódese configurar como "true" para activar o sistema. View da estación que proporciona detalles de seguridade para cada estación subordinada da NiagaraNetwork.
O panel de seguridade é o principal view para os Servizos de Seguridade. Para obter detalles completos sobre o view, Consulte “nss-SecurityDashboardView” en Niagara Station Security Guide.

PLANIFICACIÓN E INSTALACIÓN

Esta sección inclúe información para planificar e realizar unha instalación de controlador de planta avanzado.

Instalación e configuración recomendadas
A seguinte sección ilustra dúas configuracións de instalación recomendadas.

  • Só BACnetTM
  • BACnetTM e Niagara

Só BACnetTMBACnetTM
Cando o Advanced Plant Controller só se utilice para comunicacións BACnetTM, conecte só Ethernet 1 á rede BAS onde se executará BACnetTM (BACnetTM/IP ou BACnetTM/Ethernet).

Honeywell-Optimizer-Advanced-Controller- (2)

BACnetTM e Niagara
Cando se usa Niagara no Advanced Plant Controller, pódese configurar para proporcionar servizos, como web servizos ou Niagara FOXS, a Internet/intranet/rede corporativa. Se este é o caso, conecte Ethernet 2 a Internet/intranet/rede corporativa a través do firewall BAS para proporcionar servizos a esa rede.

Honeywell-Optimizer-Advanced-Controller- (3)

Recomendación de redes de área local (LAN).
Asegúrese de que os sistemas funcionan cunha política de contrasinais adecuada para o acceso dos usuarios a todos os servizos. Esta directriz incluiría, pero non se limita a:

  1. O uso de contrasinais seguros.
  2. Un tempo de ciclo de contrasinal recomendado.
  3. Nomes de usuario e contrasinais únicos para cada usuario do sistema.
  4. Regras de divulgación de contrasinal.
  5. Se é necesario o acceso remoto aos sistemas de control de edificios baseados en TI, use a tecnoloxía VPN (Rede Privada Virtual) para reducir o risco de interceptación de datos e protexer os dispositivos de controis para que non se coloquen directamente en Internet.

DOCUMENTACIÓN

A documentación é esencial para capturar a información de deseño e configuración necesaria para manter un sistema seguro.

Documenta os dispositivos físicos e as configuracións, incluída a información clave relacionada coa seguridade
Toda a documentación sobre dispositivos e configuracións debe incluír información relacionada coa seguridade para establecer e manter os controis de seguridade previstos. Por example, se se realizan cambios nos servizos ou portos predeterminados no Advanced Plant Controller, documentaos claramente para que a configuración se poida restaurar nalgún momento no futuro.

Documentar sistemas externos, especialmente a interacción entre o controlador de planta avanzado e os seus sistemas relacionados
O BAS normalmente require ou utiliza sistemas externos funcionalmente, como a infraestrutura de rede existente, o acceso VPN, os hosts de máquinas virtuais e os cortalumes. Se o BAS require que eses sistemas estean configurados de certa forma por motivos de seguridade, como un firewall que permita ou denegue certos portos ou unha rede que permita o acceso a determinados sistemas, entón debes documentar esta información. Se estes sistemas deben ser restaurados nalgún momento no futuro, Example: por avaría do equipo, ou é preciso realizar cambios nos sistemas externos, Example: actualizar un firewall, ter documentado esta información axudarache a restaurar o nivel de seguranza anterior.

CONTROL DE ACCESO E SEGURIDADE FÍSICA
O control de acceso implica especificar e limitar o acceso aos dispositivos ou funcións só aos usuarios autorizados.

Asegure fisicamente o controlador de planta avanzado, o HMI e o módulo IO
Evite o acceso non autorizado ao equipo de rede que se utiliza xunto cos sistemas proporcionados por Honeywell. Con calquera sistema, impedir o acceso físico á rede e aos equipos reduce o risco de interferencias non autorizadas. As mellores prácticas de seguridade coas instalacións de TI asegurarían que as salas de servidores, os paneis de conexión e os equipos informáticos estean en salas pechadas. Os equipos de Honeywell deben instalarse dentro de armarios de control pechados, eles mesmos situados en salas de plantas seguras.

Adhesivo sobre o panel de acceso ao controlador ou a carcasa
Solicitar enampAdhesivo evidente sobre o panel de acceso ou carcasa do controlador de planta avanzado, HMI e módulo IO
Se un cliente necesita unha garantía adicional de que non se introduciu o acceso físico que protexe un controlador de planta avanzado, HMI e módulo IO, instale enampselo ou adhesivo evidente sobre o punto de acceso.

Segregar e protexer as redes

  1. Use un firewall entre Internet/intranet/rede corporativa e o BAS.
  2. Use unha rede física dedicada separada (fíos separados) ou rede virtual (VLAN) para a comunicación BACnetTM. Esta debe ser unha rede separada da Internet/intranet/rede corporativa.
  3. Non conecte EN2 no Advanced Plant Controller a ningunha rede a menos que necesite servizos de Niagara (plataforma, estación e/ou Webservidor). Se precisa conectar EN2 á Internet/intranet/rede corporativa, debe utilizar un firewall BAS externo entre o Advanced Plant Controller e a Internet/intranet/rede corporativa.

Seguridade sen fíos

  1. O usuario ten que volverview seguridade da rede sen fíos baseada na topoloxía da rede, garantindo que non haxa exposición non desexada á INTERNET pública e que non se omita a protección do firewall BAS.
  2. É fundamental adoptar sempre as tecnoloxías de seguridade sen fíos máis altas dispoñibles, como WPA2 ou WPA3. Ademais, os usuarios deben protexer de forma segura os seus contrasinais, incluíndo, entre outros, os contrasinais de Wi-Fi e os códigos PIN BluetoothTM. Nunca permita que o controlador se conecte a unha rede sen fíos aberta nin configure un punto de acceso sen fíos aberto.
  3. Evite sempre conectar dispositivos non autorizados á rede sen fíos ou establecer conexións BluetoothTM para evitar posibles explotacións.
  4. É responsabilidade do usuario revisar regularmenteview configuración de seguranza, cambie contrasinais ou contrasinais segundo a política de seguranza e monitorice os dispositivos conectados na rede sen fíos e nas subredes. Os usuarios tamén deben documentar estas actividades de auditoría.

ASEGURACIÓN DO CONTROLADOR AVANZADO, HMI E MÓDULO IO

  1. Credenciais da conta do sistema de administración proporcionadas ao usuario do sitio
    As credenciais da conta do sistema "Administrador" deben proporcionarse ao propietario do sitio para permitirlle xestionar as contas do sistema.
  2. Desenvolvemento dun programa de seguridade
    Consulte a "Práctica recomendada de seguridade xeral"
  3. Consideración física e ambiental
    O controlador avanzado, o HMI e o módulo IO deben instalarse nun ambiente bloqueado, por exemplo, nunha sala de planta segura ou nun armario pechado.

NOTA
Garantir unha ventilación adecuada.

Actualizacións de seguridade e Service Packs
Asegúrese de que o controlador avanzado, o HMI e o módulo IO estean executando a última versión do firmware.

USUARIOS E CONTRASEÑAS

Usuarios
Asegúrese de que o número de usuarios e os niveis de acceso proporcionados sexan adecuados para as actividades que deben realizar.

  • A nivel de dispositivo controlador configure as contas do sistema ou os usuarios en controladores para Web Acceso cliente, supervisor e punto a punto.
    Configurando os módulos de usuario nos controladores avanzados, isto significa que un usuario terá que iniciar sesión nun dispositivo con credenciais válidas antes de que se poidan facer axustes. Asegúrese de que se asignen dereitos de acceso adecuados ás contas do sistema e aos usuarios.
  • Use unha conta diferente para cada usuario
    Use nomes e contrasinais únicos para cada usuario/conta do sistema, en lugar de acceso xenérico. As persoas diferentes nunca deberían compartir a mesma conta. Por example, en lugar dunha conta xeral de "xestores" que moitos xestores poderían usar, cada xestor debería ter a súa propia conta separada.

Hai moitas razóns para que cada usuario teña a súa propia conta individual:

Se cada persoa ten a súa propia conta, os rexistros de auditoría serán máis informativos. Será doado determinar exactamente que usuario fixo que. Isto pode axudar a detectar se unha conta foi comprometida.

NOTA
Non todos os produtos teñen unha función de rexistro de auditoría, pero non se debe desactivar cando estea dispoñible.

  • Se se elimina ou modifica unha conta, non incomoda a moita xente. Por example, se unha persoa xa non debería ter acceso, eliminar o seu acceso individual é sinxelo. Se é unha conta compartida, as únicas opcións son cambiar o contrasinal e notificar a todos, ou eliminar a conta e notificar a todos. Deixar a conta como está non é unha opción: o obxectivo é revogar o acceso.
  • Se cada persoa ten a súa propia conta, é moito máis fácil adaptar os permisos para satisfacer con precisión as súas necesidades. Unha conta compartida pode facer que as persoas teñan máis permisos dos que deberían.
    Unha conta compartida significa un contrasinal compartido. É unha práctica de seguranza moi mala compartir contrasinais. Fai que sexa moito máis probable que se filtre o contrasinal e dificulta a implementación de determinadas prácticas recomendadas de contrasinal, como a caducidade do contrasinal.
  • Uso de usuarios únicos de enxeñería para proxectos
    É unha práctica habitual que algunhas empresas utilicen os mesmos detalles da conta en cada proxecto. Unha vez que se sabe se un sistema está comprometido, o atacante podería ter credenciais para acceder a moitos outros proxectos instalados pola mesma empresa.
  • Desactivar as contas coñecidas cando sexa posible
    Algúns produtos teñen contas predeterminadas. Deben configurarse para que o contrasinal xa non sexa o predeterminado.
  • Asigne os permisos mínimos necesarios para os usuarios
    Asegúrate de que só as contas obrigatorias estean configuradas no sistema cos niveis de seguridade mínimos necesarios en lugar de acceso total. Ao crear unha nova conta, pense no que a persoa ten que facer no sistema e, a continuación, asigne os permisos mínimos necesarios para facer ese traballo. Por example, unha persoa que só necesita ver alarmas non necesita acceso de administrador. Dar permisos que non son necesarios aumenta a posibilidade de que haxa unha brecha de seguridade. O usuario pode inadvertidamente (ou deliberadamente) cambiar a configuración que non debería cambiar.
  • Use o número mínimo posible de contas de administrador do sistema
    Só asigne permisos de administrador do sistema cando sexa absolutamente necesario. Este tipo de conta é unha conta moi poderosa: permite un acceso completo a todo. Só o administrador do sistema debe ter acceso á conta. Pense tamén en proporcionarlle ao administrador do sistema dúas contas, unha para o acceso diario para xestionar as actividades diarias e unha segunda conta de acceso de alto nivel que só se require cando se requiren cambios de tipo de administración.

Contrasinais
O sistema Niagara e os sistemas operativos utilizaron os produtos Advanced Honeywell que usan contrasinais para autenticar "usuarios" nun supervisor, pantalla, ferramenta ou sistemas operativos. É especialmente importante manexar os contrasinais correctamente. Non empregar este nivel inicial de seguridade significará que calquera persoa accederá ao sistema a través dunha pantalla. web cliente ou supervisor terá acceso para facer axustes. Asegúrate de que o sistema Niagara funciona cunha política de contrasinais adecuada para o acceso dos usuarios. Esta directriz incluiría, pero non limitarase a:

  • O uso de contrasinais seguros: deben usarse contrasinais seguros. Consulte os estándares de seguridade máis recentes para obter detalles sobre o que fai un contrasinal seguro.
  • Un tempo de ciclo de contrasinal recomendado: algúns produtos de Niagara permiten que o administrador do sistema especifique un período despois do cal se debe cambiar un contrasinal. Aínda que actualmente non todos os produtos aplican este período de cambio de contrasinal, a política do sitio pode recomendalo.
  • Regras de divulgación do contrasinal: o usuario DEBE asegurarse de non revelar detalles do seu nome de usuario e contrasinal a outras persoas e de non anotalos.

CONFIGURACIÓN DUN CONTROLADOR DE PLANTA AVANZADO
Para a configuración dun controlador de planta avanzado, consulte as instrucións de instalación e a guía de posta en servizo
(31-00584). Consulte a guía de controlador de HMI (31-00590) para a HMI e a guía de controlador de bus de panel (31-00591) para o módulo IO.

Crear e manter unha configuración de referencia
Cree e manteña unha liña base de configuracións de controladores de plantas avanzados que se configuraron correctamente para a seguridade. Asegúrese de que esta liña base tamén inclúa DCF files e compoñentes do Niágara. Non cometa configuracións inseguras na liña de base para evitar aplicalas inadvertidamente no futuro. Actualiza calquera documentación relevante cando cambien as configuracións.

 Cambiar os contrasinais predeterminados
Cambia todos os contrasinais predeterminados: o contrasinal de configuración da consola, o contrasinal de copia de seguridade/restauración/reinicio/control e o contrasinal da plataforma Niagara. Ao completar a posta en servizo, asegúrese de que o dispositivo estea protexido por contrasinal. Asegúrese de que se asignen niveis de usuario adecuados para os usuarios do sitio.

Consideracións adicionais

Acordo de nivel de servizo
Adopte unha política de actualización adecuada para a infraestrutura instalada no lugar como parte dun acordo de nivel de servizo. Esta política debería incluír, pero non limitarse a, a actualización dos seguintes compoñentes do sistema á última versión:

  • Firmware de dispositivos para controlador, módulos IO, HMI, etc.;
  • Software de supervisión, como o software Arena NX;
  • Sistemas operativos de ordenador/servidor;
  • Infraestrutura de rede e calquera sistema de acceso remoto.

Configuración da rede de TI
Configure redes informáticas separadas para os sistemas de control de automatización e a rede informática corporativa do cliente. Isto pódese conseguir configurando VLAN (LAN virtuais) dentro da infraestrutura de TI do cliente ou instalando unha infraestrutura de rede separada con espazo de aire dedicada aos sistemas de control de automatización.
Cando se interactúa con controladores mediante un supervisor de sistema centralizado (Example: Niagara) e onde o sistema non require acceso directo aos dispositivos individuais web servidor, a infraestrutura de rede debe estar configurada para restrinxir web acceso ao servidor.
As VLAN dinámicas que usan a asignación de enderezos MAC poden protexer contra a conexión non autorizada dun dispositivo ao sistema e poden reducir o risco asociado coa información de seguimento individual na rede.

CONFIGURACIÓN DO FIREWALL DE BAS

A seguinte táboa describe os portos de rede utilizados nun controlador de planta avanzado. Consulte o Consulte "Sistema superadoview” na páxina 8. por example arquitectura de instalación. A táboa ten as seguintes columnas:

  • Porto predeterminado e protocolo (TCP ou UDP)
  • Finalidade do porto
  • Indica se hai que cambiar o porto predeterminado ou non
  • Indica se as conexións entrantes ou o tráfico deben permitirse ou non a través do Firewall BAS
  • As notas adicionais están listadas debaixo da táboa

Táboa 2 Configuración do firewall BAS

Por defecto Porto/Protocolo  

Finalidade

 Cambiar do predeterminado?  

Permitir a través do firewall de BAS?

  

Notas
80/TCP HTTP Non Non  
 

443/TCP

  

HTTPs

  

Non

 Posiblemente, se web Requírese acceso desde Internet/intranet/rede corporativa.  

1
1911/TCP Fox (versión non segura do protocolo de aplicación Niagara) Si Non  
4911/TCP Fox + SSL (versión segura do protocolo de aplicación Niagara) Si Non  
3011/TCP NiagaraD (versión non segura do protocolo da plataforma Niagara) Si Non  
5011/TCP NiagaraD + SSL (versión segura do protocolo da plataforma Niagara) Si Non  
2601/TCP Porto de consola Zebra Non Non 2
2602/TCP Porto de consola RIP     2
47808/UDP Conexión de rede BACnetTM/IP Si Non 3

NOTA

  1. Se control remoto directo web é compatible coa interface de usuario, entón este porto debe permitirse a través do firewall BAS.
  2. Este daemon abre o porto automaticamente e esta funcionalidade non se pode desactivar. O daemon está configurado para non permitir ningún inicio de sesión a través deste porto.
  3. Siga as directrices de configuración da rede indicadas neste manual para que o Advanced Plant Controller nunca necesite pasar tráfico UDP a través do firewall BAS.

CONFIGURACIÓN DA AUTENTICACIÓN

O esquema de autenticación de Google é un mecanismo de autenticación de dous factores que require que o usuario introduza o seu contrasinal e un token dun só uso ao iniciar sesión nunha estación. Isto protexe a conta dun usuario aínda que o seu contrasinal estea comprometido.
Este esquema de autenticación baséase en TOTP (contrasinal único baseado no tempo) e na aplicación Google Authenticator no dispositivo móbil do usuario para xerar e verificar tokens de autenticación dun só uso. A autenticación de Google está baseada no tempo, polo que non hai dependencia da comunicación de rede entre o dispositivo móbil do usuario, a estación ou os servidores externos. Dado que o autenticador está baseado no tempo, o tempo na estación e o tempo no teléfono deben estar relativamente sincronizados. A aplicación ofrece un búfer de máis ou menos 1.5 minutos para ter en conta o sesgo do reloxo.
Requisitos previos: o teléfono móbil do usuario require a aplicación Google Authentication. Estás traballando en Workbench. O usuario existe na base de datos da estación.

Procedemento

  1. Abre a paleta Gauth e engade GoogleAuthenticationScheme ao nodo Servizos > Authenticationservice na árbore de navegación.
  2. Fai clic co botón dereito do rato en Servizo de usuario e fai dobre clic no usuario na táboa. A Edición view para o usuario abre.
  3. Configure a propiedade Nome do esquema de autenticación en GoogleAuthenticationScheme e faga clic en Gardar.
  4. Fai clic no botón xunto á Chave secreta baixo o autenticador do usuario e siga as indicacións.
  5. Para completar a configuración, faga clic en Gardar. Dependendo de view está a usar, pode ter que abrir o usuario de novo ou actualizar despois de gardar.

ENTREGA DO SISTEMA
Esta sección contén información que debes proporcionar cando o BAS se entrega ao propietario do sistema.

  • Documentación que inclúe información de seguridade, axustes de configuración, nomes de usuario e contrasinais de administración, plans de recuperación e desastres e procedementos de copia de seguridade e restauración.
  • Formación do usuario final en tarefas de mantemento da seguridade.

COPIA DE SEGURIDADE E LIMPEZA USB FILE INSTALACIÓN
O usuario debe protexer a frase de acceso utilizada para comprimir e descomprimir o controlador. Evite compartir as frases de acceso e as credenciais do controlador durante o proceso de copia de seguridade ou restauración.
Copia de seguridade USB e CleanDist file A información de instalación pódese atopar na Guía de instrucións de instalación e posta en servizo - 31-00584.

DESACTIVACIÓN DO SISTEMA
Os datos confidenciais deben borrarse das unidades que se están a deixar fóra de servizo e isto pódese facer realizando un restablecemento de fábrica. Consulte o botón de servizo/LED de alarma de servizo e CleanDist file instalación a partir de Instrucións de instalación e Guía de posta en servizo - 31-00584.

NOTA
O CleanDist file O procedemento pode realizar a configuración de fábrica instalando o clean4 file.

SEGURIDADE AVANZADA DE PRODUCTOS BASADO EN NIAGARA
Para produtos Advanced Honeywell que se basean nos frameworks Niagara N4 e Niagara AX (por exemplo, Advanced Plant Controller, HMI e IO Module), debes seguir os consellos de Tridium sobre como protexer o framework Niagara.
Hai unha serie de cambios de configuración que se poden facer en Niagara para maximizar a seguridade dos produtos Advanced Honeywell.

  • Use a función de fortaleza do contrasinal
  • Activa a función de bloqueo da conta
  • Caducidade de contrasinais
  • Use o historial de contrasinais
  • Use a función de restablecemento de contrasinal
  • Deixe a caixa "Lembrar estas credenciais" desmarcada
  • Cambia a frase de contrasinal do sistema predeterminada
  • Use TLS para configurar a frase de contrasinal do sistema
  • Escolla unha frase de contrasinal do sistema forte
  • Protexa a frase de paso do sistema
  • Asegúrese de que o propietario da plataforma coñeza a frase de paso do sistema
  • Use unha conta diferente para cada usuario da plataforma
  • Use nomes de conta únicos para cada proxecto
  • Asegúrese de que o propietario da plataforma coñeza as credenciais da plataforma
  • Use unha conta diferente para cada usuario da estación
  • Use contas de tipo de servizo únicas para cada proxecto
  • Desactivar as contas coñecidas cando sexa posible
  • Configura contas temporais para que caduquen automaticamente
  • Cambiar as credenciais da conta do tipo de sistema
  • Non permitir sesións simultáneas cando proceda
  • Configure roles cos permisos mínimos necesarios
  • Asigne os roles mínimos necesarios aos usuarios
  • Use o número mínimo posible de superusuarios
  • Require permisos de superusuario para os obxectos do programa
  • Use os permisos mínimos necesarios para contas externas
  • Use un esquema de autenticación adecuado para o tipo de conta
  • Eliminar esquemas de autenticación innecesarios
  • TLS e xestión de certificados
  • Instalación do módulo
  • Requiren obxectos de programa e robots asinados
  • Desactivar SSH e SFTP
  • Desactivar servizos innecesarios
  • Configure os servizos necesarios de forma segura
  • Actualiza Niagara 4 á última versión
  • Instala o produto nun lugar seguro
  • Asegúrate de que as estacións están detrás dunha VPN
  • Están dispoñibles publicacións técnicas específicas que deben seguirse para garantir que o sistema estea bloqueado da forma máis segura posible. Existen moitas opcións, como o cifrado SSL e pasos adicionais para protexer elementos como módulos de programas. Para máis detalles, consulte o Tridium. websitio para Niagara 4 Hardening Guide (para produtos baseados en Niagara N4) e Niagara Hardening Guide (produtos baseados en Niagara AX).

O material deste documento ten carácter meramente informativo. O contido e o produto descrito están suxeitos a cambios sen previo aviso. Honeywell non fai ningunha representación nin garantía con respecto a este documento. En ningún caso Honeywell será responsable de omisións ou erros técnicos ou editoriais neste documento, nin tampouco de ningún dano, directo ou incidental, derivado ou relacionado co uso deste documento. Non se pode reproducir ningunha parte deste documento de ningunha forma nin por ningún medio sen o permiso previo e por escrito de Honeywell.
Honeywell | Automatización de edificios

715 Peachtree Street, NE,

LISTA DE CONTROL DE SEGURIDADE DA INSTALACIÓN

  • Instancia do dispositivo de controlador de planta avanzado: ________________________________________________________________
  • Descrición do controlador de planta avanzado: ________________________________________________________________
  • Localización do controlador de planta avanzado: ___________________________________________________________________________
  • Instalador: ________________________________________________________
  • Data: ______________________________

Complete as seguintes tarefas de seguridade para cada controlador de planta avanzado instalado

  • Instale un firewall entre o Advanced Plant Controller e as redes externas. Consulte "BACnet e Niagara" na páxina 19.
  • Asegure fisicamente o controlador de planta avanzado. Consulte a "Protección física do controlador de planta avanzado, HMI e módulo IO" na páxina 22.
  • Cambie o contrasinal predeterminado a un contrasinal único para cada un dos seguintes elementos: Configuración da consola, Copia de seguranza/Restauración/Reinicio/Control e a plataforma Niagara. Consulte as instrucións de instalación e a guía de posta en servizo – 31-00584
  • Se a web é necesario un servidor e, a continuación, configúrao para que funcione só en modo HTTPS. Consulte as instrucións de instalación e a guía de posta en servizo – 31-00584

Web Estado do servidor: desactivado/activado.
If web o servizo está activado, complete o seguinte:

  • Establecer HTTP activado = falso.
  • Establecer Https activado = verdadeiro.
  • Establecer só Https = verdadeiro.
  • Configure o firewall BAS. Consulte "Configuración do firewall BAS" na páxina 26.
  • Proporcione todos os datos necesarios ao propietario do sistema BAS no momento da entrega. Consulte "Configuración da autenticación" na páxina 27.

FAQ

  • Por que é importante protexer o controlador avanzado?
    Protexer o controlador axuda a evitar o acceso non autorizado, protexe os datos confidenciais e garante a fiabilidade do sistema.
  • Como podo recuperar o meu contrasinal?
    Para recuperar o seu contrasinal, siga o proceso de recuperación de contrasinal descrito no manual. Normalmente, isto implica verificar a información da túa conta.

Documentos/Recursos

Controlador avanzado Honeywell Optimizer [pdfManual do usuario
31-00594-03, Optimizer Controlador avanzado, Controlador avanzado, Controlador

Referencias

Publicacións relacionadas

Deixa un comentario

O teu enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados *