Honeywell Optimizer Kontrolatzaile aurreratua

Zehaztapenak

• Produktua: Kontrolatzaile aurreratua
• Modelo zenbakia: 31-00594-03
• Sistema Eragilea: Niagara Sistema Eragilea
• Segurtasun Ezaugarriak: Kontua egiaztatzeko kodea, Sistema kontuak, Pasahitza berreskuratzea, Komunikazio segurua, Ziurtagiriak
• Sarearen bateragarritasuna: BACnetTM, LAN

Erantzukizuna
Dokumentu honen zehaztasuna ziurtatzeko ahaleginetan aritu garen arren, Honeywell-ek ez du inolako kalte-galeren erantzule, barne, mugarik gabe, hemen jasotako informazioa aplikatzearen edo erabiltzearen ondoriozko ondorioak. Hemen argitaratutako informazioa eta zehaztapenak argitalpen honen datan eguneratuta daude eta abisurik gabe alda daitezke. Produktuen azken zehaztapenak gure webgunean aurki daitezke webgunera edo Atlantako (Georgia) gure bulego korporatiboarekin harremanetan jarriz.
Industria askotan oinarritutako RS-485 komunikaziorako, egoera lehenetsia desgaitu egiten da fabrikatik kanpora bidaltzeko unean, segurtasun onena ziurtatzeko, oinordeko komunikazio-bus horiek bateragarritasun onena lortzeko teknologia zaharra erabiltzen dutelako eta segurtasun-babes ahularekin diseinatu zirelako. Beraz, zure sistemaren babesa maximizatzeko, Honeywell-ek modu proaktiboan desgaitu ditu industria-busen komunikazio-atalak (fabrika bidaltzeko unean) eta erabiltzaileak sare bakoitzeko Station-en sareak espresuki gaitu behar ditu. Portu hauek gaitu nahi badituzu, teknologia zaharra erabiltzeak dakarren segurtasun-hausteen arriskuaz jabetu behar duzu. Hauek barne hartzen dituzte, besteak beste: Panel-busa, C-Bus, BACnetTM, M-Bus, CP-IO Bus, NovarNet, XCM-LCD protokoloa, SBC S-Bus eta Modbus, etab.
ISA-62443ra garatzen

Honeywell-ek urte asko daramatza ISA 62443-4-1 estandarrean eta aplika daitezkeen estandarretan oinarritu gure eraikuntza-teknologiako produktuak segurtasunez garatzeko. AdibidezampHala, Honeywell eraikuntza-produktuek ISA/IEC 62443-4-2 erabiltzen dute osagaien segurtasun-baldintza teknikoen oinarri gisa, eta ISA/IEC 62443-3-3 erabiltzen dugu sistema osoetarako. Beraz, eraikuntza-teknologiak hautatzen dituzten integratzaile eta bezeroentzat, Honeywell-ek ISA/IEC 62443 estandar familiarekin duen atxikimenduak konfiantza maila altua eman diezaieke gure produktuek ez dutela ziber-erresilientzia soilik aldarrikatzen - hasieratik ziber-erresilientziarako diseinatu, probatu eta balioztatu egin dira.
Honeywell-ek gure produktuak ISA/IEC 62443-4-1 arauaren arabera garatzen ditu eta hirugarren batek ebaluatu gaitu eta estandar honen arabera ikuskatu gaitu.
Aurkezpena eta aurreikusitako publikoa

Honeywell-ek espresuki adierazten du bere kontrolatzaileak ez daudela berez Internetetik datozen ziber-erasoetatik babestuta eta, beraz, sare pribatuetan erabiltzeko soilik direla. Hala eta guztiz ere, sare pribatuek ere ziber-eraso maltzurren menpe egon daitezke informatika trebe eta hornitutako gizabanakoek eta, beraz, babesa behar dute. Bezeroek, beraz, instalazio- eta segurtasun-jardunbide egokien gidalerroak onartu beharko lituzkete Advanced Plant Controller IP-n oinarritutako produktuetarako, eraso horiek dakarten arriskua arintzeko.
Ondorengo jarraibideek Segurtasun Praktika Orokorrak deskribatzen dituzte IPan oinarritutako Landare Kontrolatzaile Aurreratuen produktuetarako. Gero eta aringarrien hurrenkeran zerrendatzen dira.

Gune bakoitzaren eskakizun zehatzak kasuan-kasuan ebaluatu behar dira. Hemen deskribatutako arintze-maila guztiak ezartzen dituzten instalazio gehienek sistemaren segurtasun egokia lortzeko behar dena baino askoz ere handiagoa izango da. 1-5 elementuak barne hartuta (Tokiko Sareei dagozkienak), Ikus “Local Area Networks (LAN) Gomendioa” 20. orrialdean. Oro har, automatizazio-kontroleko sare-instalazio gehienetarako baldintzak beteko ditu.
Eskuliburu honek Honeywell-eko kontzesionario bateko langileei nola instalatu eta konfiguratu behar den modu seguruan instalatu eta konfiguratzeko informazioa dauka, HMI eta IO moduluak. Funtzionamenduari, USB babeskopia eta leheneratzeari buruzko segurtasunarekin lotutako informazioa eta CleanDist file kontrolagailuaren instalazioa Instalaziorako Argibideen eta Abian jartzeko Gidan (31-00584) aurki daiteke.

OHARRA
Mesedez, hartu denbora instalazio, konfigurazio eta funtzionamendu-eskuliburu garrantzitsu guztiak irakurtzeko eta ulertzeko eta ziurtatu azken bertsioak aldian-aldian eskuratzen dituzula.

1. taula produktuaren informazioa

Produktua	Produktuaren zenbakia	Deskribapena
Landare-kontrolatzailea	N-ADV-134-H	Niagara kontrolagailu aurreratua Lau Ethernet ataka, HMIrako portua eta 4 RS485 ataka ditu
	N-ADV-133-H-BWA	Niagara kontrolagailu aurreratua Lau Ethernet ataka, HMIrako portua, 3 RS485 ataka, Wi-Fi (Amerikako eskualdea) eta BluetoothTM euskarria
	N-ADV-133-H-BWE	Niagara kontrolagailu aurreratua Lau Ethernet ataka, HMIrako portua, 3 RS485 ataka, Wi-Fi (Europako eskualdea) eta BluetoothTM euskarria
	N-ADV-133-H-BWW	Niagara kontrolagailu aurreratua Lau Ethernet ataka, HMIrako portua, 3 RS485 ataka, Wi-Fi (Munduko gainerako eskualdea) eta BluetoothTM euskarria
	N-ADV-133-H	Niagara kontrolagailu aurreratua Lau Ethernet ataka, HMIrako portua eta 3 RS485 ataka ditu
	N-ADV-112-H	Niagara kontrolagailu aurreratua bi Ethernet atakarekin, HMIrako ataka eta 2 RS485 atakarekin
HMI	HMI-DN	HMI (DIN errailaren muntaketa)
	HMI-WL	HMI (atea/hormako muntaketa)
IO modulua	IO-16UIO-SS	16UIO IO Modulua HOArik gabe, Serial Comms, Torloju Terminalak
	IOD-16UIO-SS	16UIO IO modulua HOA pantailarekin, serieko komunikazioekin, torloju terminalekin
	IO-16UI-SS	16UI IO Modulua, Serial Comms, Torloju Terminalak
	IO-16DI-SS	16DI IO Modulua, Serial Comms, Torloju Terminalak
	IO-8DOR-SS	8DO IO modulua HOArik gabe, C/O erreleak, serieko komunikazioak, torloju terminalak
	IOD-8DOR-SS	8DO IO modulua HOA pantailarekin, C/O erreleekin, serieko komunikazioekin, torloju terminalekin
	IO-16UIO-SP	16UIO IO modulua HOA pantailarekin, serieko komunikazioekin, push terminalekin
	IO-16UI-SP	16UIO IO Modulua, Serial Comms, Push Terminalak
	IO-16DI-SP	16DI IO Modulua, Serial Comms, Push Terminalak
	IO-8DOR-SP	8DO IO modulua HOArik gabe, C/O erreleak, serieko komunikazioak, push terminalak
	IOD-8DOR-SP	8DO IO modulua HOA pantailarekin, C/O erreleekin, serieko komunikazioekin, push terminalekin
	IO-8UIO-SS	8UIO IO Modulua HOArik gabe, Serial Comms, Torloju Terminalak

IO modulua	IOD-8UIO-SS	8UIO IO modulua HOA pantailarekin, serieko komunikazioekin, torloju terminalekin
	IO-8AO-SS	8AO IO Modulua HOArik gabe, Serial Comms, Torloju Terminalak
	IOD-8AO-SS	8AO IO modulua HOA pantailarekin, serieko komunikazioekin, torloju terminalekin
	IO-4UIO-SS	4UIO IO Modulua HOArik gabe, Serial Comms, Torloju Terminalak
	IOD-4UIO-SS	4UIO IO modulua HOA pantailarekin, serieko komunikazioekin, torloju terminalekin
	IO-8DI-SS	8DI IO Modulua, Serial Comms, Torloju Terminalak
	IO-4DOR-SS	4DO IO modulua HOArik gabe, C/O erreleak, serieko komunikazioak, torloju terminalak
	IOD-4DOR-SS	4DO IO modulua HOA pantailarekin, C/O erreleekin, serieko komunikazioekin, torloju terminalekin
	IO-4DORE-SS	4DO IO modulua HOA gabe, C/O errele hobetuak, serieko komunikazioak, torloju terminalak
	IOD-4DORE-SS	4DO IO modulua HOA pantailarekin, C/O errele hobetuak, serieko komunikazioak, torloju terminalak
	IO-8UIO-SP	8UIO IO Modulua HOArik gabe, Serial Comms, Push Terminalak
	IOD-8UIO-SP	8UIO IO modulua HOA pantailarekin, serieko komunikazioekin, push terminalekin
	IO-8AO-SP	8AO IO Modulua HOArik gabe, Serial Comms, Push Terminalak
	IOD-8AO-SP	8AO IO modulua HOA pantailarekin, serieko komunikazioekin, push terminalekin
	IO-4UIO-SP	4UIO IO Modulua HOArik gabe, Serial Comms, Push Terminalak
	IOD-4UIO-SP	4UIO IO modulua HOA pantailarekin, serieko komunikazioekin, push terminalekin
	IO-8DI-SP	8DI IO Modulua, Serial Comms, Push Terminalak
	IO-4DOR-SP	4DO IO modulua HOArik gabe, C/O erreleak, serieko komunikazioak, push terminalak
	IOD-4DOR-SP	4DO IO modulua HOA pantailarekin, C/O erreleekin, serieko komunikazioekin, push terminalekin
	IO-4DORE-SP	4DO IO modulua HOA gabe, C/O errele hobetuak, serieko komunikazioak, push terminalak
	IOD-4DORE-SP	4DO IO modulua HOA pantailarekin, C/O errele hobetuak, serieko komunikazioak, push terminalak

ZERGATIK BEGIRATU ZURE CONTROLADORA AURRERATUAK?

• Babestu zure bezeroaren planta-sistemak funtzionamendu-puntu, baliogabetze eta ordutegien aldaketa baimenik gabekoetatik.
• Eragotzi erabiltzaile-kontuaren xehetasunetarako sarbidea: adibidez, erabiltzaile-izenak, pasahitzak, helbide elektronikoak, SMS (mugikor) zenbakiak etab.
• Saihestu komertzialki sentikorrak diren datuetara sarbidea: Adibample- Energia-kontsumoaren neurketak, kontrol-estrategien irtenbide espezializatuak, etab.
• Saihestu baimenik gabeko sarbidea kontroladoreetara, ordenagailuetara eta sareetara BMS softwarea eta kontrol-gailuetara.
• Mantendu datuen osotasuna eta erantzukizuna ematea.

SISTEMA BUKATUTAVIEW

Gehiagoview sistemaren ohiko instalazioarena..

1. Internet/intranet/sare korporatiboa
   Hau eraikinen automatizazio sistema (BAS) esparrutik kanpoko sare guztien irudikapen sinplifikatu eta logiko bat da. BAS kudeaketa interfazeetarako sarbidea eman dezake (adibidez, Niagara lan-estazio nagusia web erabiltzaile-interfazea) baina Interneterako sarbidea eman behar du, Niagarako ordenagailuek sistema eragilearen eta birusen eskanerraren eguneraketak egiaztatu eta deskargatu ahal izateko, horretarako beste bitartekorik ematen ez bada.
2. BAS sarea
   Sare hau BAS protokoloetarako soilik erabiltzen da, hau da, BACnetTM/IP, BACnetTM/Ethernet eta Niagara Integration Services-ek Plant Controller aurreratu batean erabil ditzaketen protokoloak. Sare honek ez du izan behar Internet/intranet/sare korporatiboaren sare bera.
3. BAS suebakia
   BAS-ari bereizketa eta babes gehigarria emateko, Internet/intranet/sare korporatiboaren eta harekin konektatzen den BAS gailuren artean suebaki bat erabili behar da, hala nola Niagara lan-estazio nagusia, Niagara lan-estazio eta Advanced Plant Controller. Suebaki honek BASerako sarbidea baimenduta dauden eta erasoen arriskua murrizten lagun dezakeen ordenagailuetara soilik mugatzen du, hala nola, zerbitzua ukatzeko erasoa.
4. Niagara lantokia
   Niagara lan-estazio nagusia Niagara softwarea exekutatzen duen ordenagailua da. Bi sare-konexio behar ditu: bata kudeaketara konektatzeko web erabiltzailearen interfazea a bidez web arakatzailea (normalean
   Internet/intranet/sare korporatiboa) eta BAS sarera konektatzeko beste bat.
5. Ethernet switch
   Ethernet etengailu batek sareak sortzen ditu eta hainbat ataka erabiltzen ditu LANeko gailuen artean komunikatzeko. Ethernet etengailuak bideratzaileetatik desberdinak dira, sareak konektatzen dituztenak eta LAN eta WAN ataka bakarra erabiltzen dutenak. Hari gabeko haririk gabeko azpiegitura korporatibo osoak kable bidezko konektagarritasuna eta haririk gabeko konexiorako Wi-Fi eskaintzen ditu.
6. Landare-kontrolatzaile aurreratua
   Advanced Plant Controller Ethernet sare batera, BACnetTM IP eta ostalari MS/TP sare-segmentu batera konektatzen den kontrolagailu globala da. MS/TP kontrolagailuak eta sentsoreak konektatzeko erabiltzen den banda-zabalera baxuko konexioa da.
7. HMI
   HMI konektatuta dago eta Niagara planta aurreratuen kontrolagailuetatik energia jasotzen du. Gailu hauek ukipen-pantaila kapazitibo batekin eraikita daude, hatz hutsez hautatzea onartzen duena eta operadoreari funtzioak eskaintzen dizkiona. view, atzitu eta konpontzea kontrolagailu-puntuak, IO moduluak eta konektatutako beste ekipo batzuk.
8. IO modulua
   IO moduluak kontrolagailura konekta daitezke ukipen-flake konexioak erabiliz (potentzia eta komunikazioak) edo IO moduluak elikaduraz hornituko den eta kontrolagailuko RS485 interfazeetako batera konektatu daitezkeen kableatu egokitzaile batera konekta daitezke. IO moduluak lehendik dagoen ingeniaritza tresna erabiliz programagarriak dira, hala nola ComfortPointTM Open Studio tresna eta Niagara 4 Workbench.

SARE-PLANGINTZA ETA SEGURTASUNA

1. Ethernet sarea
   Gomendagarria da BMS sistemak erabiltzen duen Ethernet sarea bulegoko sare arruntetik bereiztea.
   Example:
   Aire hutsune bat edo sare pribatu birtuala erabiliz. Ethernet sarearen azpiegiturarako sarbide fisikoa mugatu behar da. Gainera, ziurtatu behar duzu instalazioak zure enpresaren IT politika betetzen duela.
   Kontrolagailu aurreratuak ez dira zuzenean Internetera konektatuta egon behar.
2. Web Zerbitzaria
   Kontrolatzaile aurreratuak HTTP eta HTTPS eskaintzen ditu web zerbitzariak. a bada web zerbitzaria ez da beharrezkoa, biak izatea gomendatzen da web zerbitzariak desgaituta daude.
3. BACnetTM IP Sarea
   BACnetTM protokoloaren izaera segurua denez, BACnetTM erabiltzen duten Kontrolatzaile Aurreratua, HMI eta IO moduluak ez dira inola ere Internetera konektatuta egon behar. Advanced Controller segurtasun-sistemak ez du BACnetTM idazketen aurka babesten. BACnetTM IP sareko azpiegiturarako sarbide fisikoa mugatu behar da. BACnetTM IP komunikazioak beharrezkoak ez badira, Kontrolatzaile Aurreratuak (BACnetTM IP) Sare Modulua desgaitu egin behar da 'Desgaitu Modulua' parametroa '1' ezarrita.
   BACnetTMTM komunikazioak beharrezkoak badira, oso gomendagarria da BACnetTMTM Babeskopia/Berreskuratu, Gailua berriro hasieratzea eta BACnetTMTM Idazteko zerbitzuak gaituta ez egotea. Hala ere, horrek esan nahi du sortutako estrategia ez dela BTL betetzen - Ikus "Tokiko segurtasuna" 13. orrialdean.
4. MS/TP (NC lizentziak)
   MS/TP sareko azpiegiturarako sarbide fisikoa mugatu behar da. MS/TP sarea behar ez bada, Kontrolatzaile Aurreratua (BACnetTM MSTP) Sare Modulua desgaitu egin behar da 'Desgaitu Modulua' parametroa '1' ezarrita. IO Bus (CAN lizentziak)
   IO Buserako sarbide fisikoa mugatu behar da.
5. USBa
   Kontrolagailu aurreratuaren USB Tokiko Ingeniaritza Portuko sarbide fisikoa mugatu egin behar da.
6. RS485 (Modbus lizentziak barne)
   Kontrolagailuaren RS485 atakarako sarbide fisikoa mugatu behar da. Behar ez bada atakara konektatutako sare-modulurik ez da estrategian sartu behar.
7. Modbus IP sarea (INT lizentziak)
   Modbus IP-a onartzen duen Modbus protokoloaren izaera segurua denez, ez da inola ere Internetera konektatu behar. Modbus IP sareko azpiegiturarako sarbide fisikoa mugatu behar da. Modbus IP komunikazioak behar ez badira, Kontrolagailu Aurreratuaren (Modbus IP) Sare Modulua ez da estrategian sartu behar.

CONTROLLER, HMI ETA IO MODULUAREN SEGURTASUN SISTEMA AURRERATUA

Kontrolagailu aurreratuen segurtasunak ISA 62433-3-3 SL 3-rekin bat egiten du eta abio segurua, autentifikatu eta enkriptatutako sare bat, atsedenean enkriptatzea eta kontuen kudeaketa sinkronizatua eskaintzen ditu.
Kontrolagailu Aurreratuen produktuetarako sarbidea lortzeko edo aurreko zereginetako bat egiteko Ingeniaritza Sistemaren Kontu edo Gailu Sistemaren Konturako baliozko erabiltzaile-izen eta pasahitz bat eman behar da.

1. Segurtasuna Konfiguratu gabe dagoenean
   Kontrolagailu aurreratu batekin, HMI eta IO moduluekin elkarreragiteko, baliozko kredentzialak eman behar dira. Kontrolagailua fabrikatik hornitzen da inolako kredentzialik gabe (Sistema-kontuak edo Erabiltzaile-moduluak), eta horrek bermatzen du lehen aldiz pizten denean baimenik gabeko sarbideetatik babestuta dagoela. Niagara sareko produktu aurreratuetako batean vCNC batera konektatzeko lehen aldian ingeniaritza-sistemako kontu bat sortu behar da Administratzaile Rolarekin.
2. Baimendu gabeko gailuetatik babestea
   Gako esklusibo bat (Network Key) erabiltzen da baimendutako gailuek Niagara sarean sartu ahal izango direla ziurtatzeko. Niagara sare bat osatu behar duten kontrolagailu guztiek Sare-gako eta UDP ataka bera izan behar dute. Hauek IP tresna erabiliz konfiguratzen dira hasierako konfigurazio prozesuan.
   Example:
   Lau planta-kontrolagailu aurreratuek sare-gako bera badute (112233), eta bosgarren batek beste sare-gako bat badu
   (222). Ethernet sare berera konektatzen direnean sare-gako bera duten lau kontrolagailuak elkartzen dira sare bakarra sortzeko, baina bosgarren kontrolatzaileak ezin izango du sarera sartu sareko gako ezberdina duelako, hots (222).
   Era berean, bosgarren kontrolagailua berria bada (fabrikatik bidalitako moduan) eta Ethernet sarera gehitzen bada, ezin izango da Niagara sarera konektatu, ez baitu sareko gakorik.
   1. Kontua egiaztatzeko kodea
      Admin-sistemako kontu bat sareko kontrolagailuetako bati gehitzen zaionean automatikoki kontua egiaztatzeko kodea sortzen du Sistema-kontua gehitu zaion kontrolatzaileak. Kode hau Ethernet sareko sareko gako eta UDP ataka bera duten gainerako kontrolagailu guztiekin sinkronizatuta dago.
      Kontua Egiaztatzeko Kodea sortu ondoren sareko kontrolagailu GUZTIEK KONTUA Egiaztatzeko Kode bera izan BEHAR DA, baita Sareko Gako eta UDP ataka bera ere.
      Example:
      Bost kontrolagailu badaude, kontrolagailu aurreratu guztiek sareko gako bera dute. Lauk Kontua Egiaztatzeko Kode (AVC) bera dute eta, beraz, sare bat osatzen dute. Bosgarrenak kontua egiaztatzeko kode ezberdina du eta sareko gako bera duen arren, ezin da beste kontrolagailuekin elkartu.
3. Sistema-kontuak
   Sistema-kontuek pertsonei eta gailuei Kontrolatzaile aurreratuarekin elkarreragiteko aukera ematen diete. Emandako sarbidea kontu eta rol motaren araberakoa da.
   Bi sistema-kontu mota daude:
   1. Ingeniaritza Sistemaren Kontua
   2. Gailu sistemaren kontua
   3. Ingeniaritza Sistemaren Kontua
      Ingeniaritza Sistemaren Kontuak ingeniariek erabiltzeko pentsatuta daude. Ingeniaritza-sistema-kontu bakoitzak kontu-izena eta pasahitza ditu, kontrolatzaileak eskatzen duenean eman beharrekoak. Baliozko erabiltzaile-izena eta pasahitza ematen badira kontrolatzaileak sarbidea emango du.

Pertsona bakoitzarentzat ingeniaritza-sistema-kontu bereizia sortu behar da. Ingeniaritza-sistemako kontuak bi rol hauetako batean ezar daitezke:

• Ingeniaritza-eginkizuna
• Administratzailearen rola

Ingeniaritza-eginkizuna
Ingeniaritza rolak sistema aurreratua ingeniaritzeko, gailuen sistemako kontuak sortzeko/kudeatzeko eta erabiltzailearen kontuaren xehetasunak (helbide elektronikoa, pasahitza eta abar) kudeatzeko beharrezko sarbidea eskaintzen du.
Administratzailearen rola
Administratzaile rolak Ingeniaritza rolaren sarbide bera eskaintzen du, eta Ingeniaritza eta Gailu Sistemaren Kontu guztiak kudeatzeko gaitasuna.

Gailu sistemaren kontua
Gailu-sistema-kontuak Niagara bezalako gailuei sarera konektatzeko aukera ematea da, beharrezko informazioa lortzeko eta aldaketak egiteko. Gomendagarria da sarera sartu behar den gailu bakoitzeko Gailu-sistemako kontu bat sortzea. 'Begirale' rola dute.

GARRANTZITSUA
Garrantzitsua: gainbegiralearen beraren segurtasun-sistema konfiguratu behar da gainbegirale erabiltzaile bakoitzaren sarbide-eskubideak mugatzeko.

Sistema-kontua sortzea
Administratzaile rola duen Ingeniaritza Sistemaren Kontu bat sortu behar da Niagara sareko vCNC batera konektatzeko lehen aldian. Kontu hau Niagara sareko beste kontrolagailuekin sinkronizatzen da

• Ikus "Kontuen kudeaketa sinkronizatua" 12. orrialdean. Beharrezkoa den kontu gehigarriak sor daitezke Niagara workbench erabiliz.

OHARRA
Kontroladore batean Ingeniaritza Sistemaren Kontua sortzen den lehen aldian Kontua Egiaztatzeko Kode bat automatikoki sortzen da eta Ethernet sareko beste kontrolagailuekin sinkronizatzen da sareko gako eta UDP ataka berdinarekin. Kontrolagailu batek Kontua Egiaztatzeko Kodea daukanean, Kontua Egiaztatzeko Kode bera duten kontrolagailuekin soilik sar daiteke sare batera. Ikusi "Kontua Egiaztatzeko Kodea" 11. orrialdean.

Kontuen kudeaketa sinkronizatua
Sinkronizatutako kontuen kudeaketa erraz eta seguruan sinkronizatzen ditu Sistemako kontuak, kontua egiaztatzeko kodea barne, Niagara sare bereko Kontrolatzaile aurreratu guztiekin. Honek aukera ematen du:

• Sareko saioa bakarra
• Gune osoan sarbidea konfiguratzeko eta mantentzeko kostuak murriztea segurtasuna murriztu gabe sare bereko Kontrolatzaile aurreratu guztiek Sistema-kontu berdinak izango dituzte.

Sistema-konturik gabeko Kontrolatzaile aurreratu bat Ethernet sarera konektatuta eta Niagara sarerako Sare-gakoarekin eta UDP atakarekin konfiguratuta dagoenean, sarean sartuko da eta automatikoki lortuko ditu bere Sistema-kontuak Niagara sareko beste kontrolagailuetatik.

Example:
Sistema-Konturik gabeko Kontrolatzaile Aurreratu bat gehitzen bazaio goiko sistemari eta Niagara sarerako Sare Gakoa (112233) eta UDP ataka ematen bazaio, sarean sartuko da eta bere Sistema-Kontuak (Erabiltzailea 1, Erabiltzailea 2, Erabiltzailea 3) Niagara sareko beste Kontrolatzaile Aurreratuetatik lortuko ditu.
Sinkronizazioa amaitutakoan edozein vCNCtara konektatu ahal izango da, bistaratu web orrialdeak eta hasi saioa Niagara sareko edozein kontrolagailu aurreratutan Sistemako edozein kontu erabiliz.
Sistema-kontuetan aldaketak egiten badira, hau da, kontu bat gehitzen, ezabatu edo editatzen bada aldaketa horiek automatikoki sinkronizatuko dira Niagara sareko Kontrolatzaile aurreratu guztietan.

Example:
bost Kontrolatzaile aurreratu badaude, Kontrolagailuko (1) Sistema-Kontuak editatzen dira 2. erabiltzailea kentzeko, 3 erabiltzailea 3a erabiltzailera izena aldatu eta 4 erabiltzailea gehitzen da, aldaketak Kontrolagailuarekin (2), Kontrolagailuarekin (3), Kontrolagailuarekin (4) eta Kontrolagailuarekin (5) sinkronizatuko dira.

OHARRA:
Sinkronizazioan gatazka bat aurkitzen bada azken aldaketak lehentasuna du.

Kontrolagailu aurreratuaren sareko gako bat aldatzea
Kontrolatzaile aurreratuaren sareko gako bat aldatzen denean, bere Sistema-kontu guztiak ezabatuko dira eta egungo Niagara saretik kenduko da. Sare-gakoaren aldaketa baliozko ingeniari edo administratzaile-sistemako kontu batek baimendu behar du.
Aldaketa egin ondoren, Niagara sare batera sartuko da Sare-gako berria erabiliz, baldin badago, eta sistema-kontuak lortuko ditu Niagara sare berriko Kontrolatzaile aurreratutik, betiere UDP ataka bera badu.

Tokiko Segurtasuna
Tokiko segurtasunak tokiko erabiltzaileak erabiltzen ditu (Erabiltzaile moduluak) Kontrolatzaile aurreratuetarako sarbidea ahalbidetzeko web orrialdeak edo lokalean konektatutako pantaila bat eta ikusgai dagoen informazioa edo doitu daitezkeen balioak kontrolatzeko.
Sarbidea lortzeko eta aldaketak egiteko, tokiko erabiltzaile baten baliozko erabiltzaile-izen eta pasahitza eman behar dira. Erabiltzailearen PIN mailak zehazten du zer parametro ikusi eta doi ditzakeen erabiltzaileak.

OHARRA
Tokiko erabiltzaileak EZ daude Niagara sareko beste Kontrolatzaile aurreratu batzuekin sinkronizatzen.

Sarbidea Web Orriak
Kontrolagailurako sarbidea web orriak Advanced Controller segurtasun-sistemak babestuta daude. Kontrolatzailea denean web zerbitzaria sartzen da a web orrialdea bistaratzen da, oinarrizko informazio batzuk ematen dituena eta erabiltzaileari saioa hasteko aukera ematen diona - Ikus "Hasierako sarbidea" 13. orrialdean.
Saioa hasten duten erabiltzaileak saioa hasitako erabiltzaile gisa tratatuko dira – Ikus 14. orrialdeko “Saioa hasi duten erabiltzaileak” eta web saioa hasi gabe orriei sarbidea emango zaie 13. orrialdean "Hasierako sarbidea" atalean azaltzen den moduan.

Hasierako Sarbidea
Kontrolatzailea denean web zerbitzaria bistaratzen den Ongietorri orrira sartzen da lehenik eta emandako sarbidea kontrolagailuaren uneko segurtasun-konfigurazioaren araberakoa da:

• Ez dago ingeniaritza-sistemako konturik eta ez erabiltzaile-modulurik (fabrikako lehenetsia)
• 'Ongi etorri' orria bistaratzen da eta kontrolagailurako sarbide osoa web orrialdeak eta aldaketak egiteko gaitasuna emango da.

OHARRA
Ingeniaritza-sistemako konturik edo erabiltzaile-modulurik ez dagoenez ezin izango da saioa hasi.

Ingeniaritza Sistemaren Kontuak eta Erabiltzaile modulurik gabe
'Ongi etorri' orria bistaratzen da, eta kontrolagailuak Sentsore, Sarrera digitala, Knob, Switch, Driver, Schedule, Time Schedule, Time, Plot modules, Alarm Log eta Graphics sarbidea emango du eta ez du aldaketarik onartuko.

OHARRA
Ingeniaritza Sistemaren Kontuak erabiliz saioa hasteko aukera izango da.

• Ingeniaritza Sistemaren Kontuak eta Erabiltzaile moduluak
  Hasierako pantaila eta sarbidea Erabiltzaile moduluek kontrolatzen dute. "Gonbidatua" izeneko Erabiltzaile modulu bat badago pasahitzik gabe Kontrolatzaile aurreratua denean web orriak saioa hasi gabe sartzen diren kontrolagailuak sarbide-eskubideak emango ditu (erabiltzaile-maila, hasierako orria eta view lehenetsiak) 'Gonbidatua' Erabiltzaile moduluak zehaztuta.
  Lehenespenez, 'Gonbidatua' Erabiltzaile moduluak 'Ongi etorri' orri aurreraturako sarbidea besterik ez du ematen eta '0' erabiltzaile-maila du. Horrek esan nahi du saio-hasi gabe kontrolagailura sartzen den erabiltzaileak bakarrik egin ahal izango duela view 'Ongi etorri' orria. Sarbide gehiago emateko 'Gonbidatua' erabiltzailea 0 motako beste edozein erabiltzaile-modulu bezala konfiguratu daiteke.

OHARRA:
Niagara laneko mahaiak "Gonbidatua" erabiltzaileari pasahitza, PIN edo erabiltzaile-maila "0" baino handiagoa izatea eragozten du. Hasierako orria onartzen du eta view konfiguratu beharreko lehenetsiak.

Gomendagarria da Gonbidatua erabiltzaileari lehenetsitako konfigurazioarekin uztea (erabiltzaile-maila '0' eta ez view eskubideak).
"Gonbidatua" izeneko Erabiltzaile modulurik ez badago edo pasahitz batekin konfiguratuta badago, "Ongi etorri" orria bistaratuko da, eta kontrolagailuak Sentsore, Sarrera Digitala, Knob, Switch, Driver, Schedule, Time Schedule, Time, Plot modules, Alarm Log eta Graphics bakarrik emango ditu eta ez du aldaketarik onartuko.

OHARRA
Ingeniaritza Sistemaren Kontuak eta dauden Erabiltzaile moduluak erabiliz saioa hasteko aukera izango da.

Saioa hasita Erabiltzaileak
Kontrolatzaile aurreratu batean saioa hasteko web orrialdeetan, Kontrolagailu Aurreratuen Ingeniaritza Sistemaren Kontu edo 0 Mota Erabiltzaile Modulu batekin bat datozen erabiltzaile-izena eta pasahitza sartu behar dira.

Pasahitza berreskuratzea
Erabiltzaile batek pasahitza ahaztu badu, Niagara laneko mahaia erabiliz berreskura daiteke. Niagara erabiliz ahaztutako pasahitza berreskuratzeko xehetasunak ikusteko, ikusi Niagara workbench Erabiltzailearen gida.

NIAGARA SISTEMA ERAGILEA SEGURTATZEA

 Praktika Egoki Orokorrak
Jarraitu praktika on orokorrak sistema eragilea ziurtatzeko, hala nola:

• Pasahitz babestutako pantaila-babeslea
• Drive enkriptatzeko softwarea

Firewall ezarpena
Sistema eragilea automatikoki eguneratzen den suebaki bat erabiltzeko konfiguratu behar da. Konfigurazioak sarbidea eragotzi behar du (IN/OUT) ataka guztientzat sarbidea behar dutenentzat izan ezik. EZ utzi irekita erabili gabeko atakarik.

Sistema eragilearen bertsioa
Ziurtatu BEHAR duzu Niagara aplikazioak exekutatzen dituen edo IP sare berera konektatuta dagoen edozein gailu sistema eragilearen azken eguneraketak instalatuta dituela. Praktika ona da Windows Eguneratzeak automatikoki uzten direla eta garaiz instalatzen direla ziurtatzea.

Birusaren aurkako babesa
Ziurtatu BEHAR duzu Niagara aplikazioak exekutatzen dituzten edo IP sare berera konektatuta dauden edozein ordenagailu birusen babeserako softwarea abian dutela eta birusen definizioak eguneratuta mantentzen direla.

 Intrusio Babesa
Niagara aplikazioa exekutatzen duen edozein ordenagailutan segurtasun produktuen hornitzaile entzutetsu baten Intrusioak Detektatzeko Sistema (IDS) erabiltzea gomendatzen da. Jarraitu aukeratutako produktuetarako praktika onak eta instalazioa egiten den edozein IT politika korporatiboari.
IDS eta suebaki produktu askok konponbide osoa eskaintzen dute ordenagailutik sartu eta irteten den trafiko guztia grabatzeko, erabiltzaileei jarduera guztiak maila baxuenean grabatzeko aukera emanez.

DATUEN BABESAREN ARAUDI OROKORRA (GDPR)

Datuak Babesteko Erregelamendu Orokorra (EB)2016/679 (GDPR) Europar Batasuneko (EB) eta Europako Esparru Ekonomikoko (EEE) datuen babesari eta pribatutasunari buruzko EBko zuzenbideko araudia da. Halaber, EBko eta EEEko eremuetatik kanpo datu pertsonalen transferentziari aurre egiten dio. GDPRk EEE barruan dauden pertsonen (datuen interesatuak) datu pertsonalen tratamenduari lotutako xedapenak eta eskakizunak ditu eta EEEn finkatutako edozein enpresari aplikatzen da (bere kokapena eta interesdunen herritartasuna edozein dela ere) edo EEE barruan interesdunen informazio pertsonala prozesatzen ari dena.
GDPRren baldintzen arabera, datu pertsonalek pertsona bat identifikatzeko erabil daitekeen edozein informazio barne hartzen dute. Honek barne hartzen ditu (baina ez dira mugatuta):

• erabiltzaile-izenak,
• pasahitzak,
• telefono zenbakiak,
• helbide elektronikoak,
• laneko edo bizilekuko helbideak.

Kontrolagailu Aurreratuan, HMIan eta IO Moduluan sartutako informazio hori enkriptatzen da eta produktu Aurreratuetan gordetzen da bezeroaren lokaletan. Honeywell-ek ez du inolako parte-hartzerik Advanced Honeywell produktuen barruan datu pertsonalak biltegiratzeko eta/edo prozesatzeko.
GDPRren eskakizunak betetzearen erantzukizuna sistema integratzaileari edo sistemaren administratzaileari dagokio erabat, eta, horregatik, sistema tekniko eta antolakuntza egokiak ezartzen direla ziurtatu behar dute:

• Interesdun bakoitzaren baimen esplizitua lortzea datu pertsonalak gordetzeko, erabiltzeko eta/edo tratatzeko,
• norbanakoek beren datu pertsonaletarako sarbidea izan dezaten baimendu, zehaztasuna egiaztatzeko,
• norbanakoek edozein unetan baimena kentzeko eta beren datu pertsonalak behin betiko ezabatzeko aukera ematea,
• mantendu datuen biltegiratze eta sarbidearen segurtasuna eta osotasuna uneoro,
• salatu datuen segurtasunaren urraketak (erabiltzaileen pribatutasunari eragin diezaiokeena) dagokion agintaritzari urraketa gertatu eta 72 orduko epean.

KOMUNIKAZIO SEGURUA

Gako Publikoko Azpiegiturak (PKI) sareen bidez, Interneten adibidez, datuen trukea babesteko erabiltzen diren enkriptazio-gako publikoen banaketa eta identifikazioa onartzen du. PKIk beste alderdiaren identitatea egiaztatzen du eta benetako datu-transmisioa kodetzen du. Identitatearen egiaztapenak zerbitzariaren identitatearen bermerik gabe uzten du. Enkriptatzeak konfidentzialtasuna ematen du sareko transmisioan. Sinatutako kode moduluak behar izateak ziurtatzen du espero den kodea bakarrik exekutatzen dela sisteman.

PKI erabiliz sare seguruak eskaintzeko, Niagarak TLS (Transport Layer Security) protokoloa onartzen du, 1.0, 1.1 eta 1.2 bertsioak. TLS-k bere aurrekoa ordezkatzen du, SSL (Secure Sockets Layer).
Niagara instalazio bakoitzak automatikoki ziurtagiri lehenetsi bat sortzen du, eta horrek konexioa berehala enkriptatzea ahalbidetzen du. Hala ere, ziurtagiri hauek abisuak sortzen dituzte arakatzailean eta Workbench-en eta, oro har, ez dira egokiak azken erabiltzaileentzat. Ziurtagiri digital pertsonalizatuak sortzeak eta sinatzeak arakatzailean TLS modurik gabe erabiltzeko aukera ematen du, eta enkriptatzea eta zerbitzariaren autentifikazioa eskaintzen ditu.
Komunikazio-segurtasunetik haratago, sisteman exekutatzen den kode informatikoko modulu bakoitza sinadura digital batekin babestuta dago. Gehitutako programaren objektuek sinadura hau behar dute edo ez dira exekutatzen.

Zerbitzaria egiaztatzea, transmisioa enkriptatzea eta sinatutako kodeen exekuzioek soilik ez dituztela ziurtatzen biltegiratze-gailu batean gordetako datuak. Oraindik ere zure eraikin-eredua kudeatzen duten ordenagailu eta kontrolagailuetarako sarbide fisikoa mugatu behar duzu, erabiltzaileen autentifikazioa pasahitz sendoekin konfiguratu eta osagaiak babestu behar dituzu baimenak kontrolatuz.
Niagarak komunikazio segurua eta sinatutako kodea onartzen eta erabiltzen ditu lehenespenez. Ez duzu lizentzia gehigarririk erosi behar.
Segurtasuna etengabeko kezka da. Komunikazio seguruko gaietan informazio baliotsu asko aurkituko duzun arren, espero etorkizuneko eguneraketak eta aldaketak.
Jarraian, komunikazio seguruak daude. Xehetasun gehiago lortzeko, ikusi Niagara Station Security gida.

• Bezero/zerbitzari harremanak
• Ziurtagiriak
• Ziurtagiri-dendak
• CSR karpeta-egitura
• Ziurtagiria ezarrita
• Ziurtagirien morroia
• Hainbat ziurtagiri sinatzea
• Plataformaren komunikazio segurua konfiguratzea
• Estazioko komunikazio segurua konfiguratzea
• Bezeroak gaitu eta ataka egokian konfiguratzea
• Geltokiko kopia bat beste plataforma batean instalatzea
• Posta elektronikoa babestea
• Komunikazio seguruaren arazoak konpontzea

Bezero/zerbitzari harremanak
Bezero/zerbitzari harremanek babesa behar duten konexioak identifikatzen dituzte. Workbench-eko bezero/zerbitzari harremanak sistema bat konfiguratu eta erabiltzen duzun moduaren arabera aldatzen dira. Workbench beti da bezero bat. Plataforma bat zerbitzari bat da beti. Geltoki bat bezero eta zerbitzari bat izan daiteke.
Komunikazioak kudeatzen dituzten sistema-protokoloak hauek dira:

• Workbench-etik (bezeroa) kontrolagailura edo gainbegiralerako PC plataformako daemon (zerbitzaria) plataformako konexioek Niagara erabiltzen dute. Plataforma-konexio seguru bati platformtls deitzen zaio batzuetan. Plataformaren Administrazioa erabiliz gaitzen dituzu plataformak view.
• Tokiko geltokiko konexioek (gainbegiralea eta plataforma) Foxs erabiltzen dute. Konexio hauek geltoki baten FoxService-n gaitu dituzu (Konfigurazioa > Zerbitzuak > FoxService).
• Arakatzaileen konexioek Https erabiltzen dute, baita Foxs ere erabiltzen ari bazara Web Wb batekin abiarazleaWebProfile. Konexio hauek geltokiaren bidez gaitu dituzu WebZerbitzua (Konfigurazioa > Zerbitzuak > WebZerbitzua).
• Bezeroen konexioak geltokiaren posta-zerbitzariarekin, hala badagokio. Posta elektroniko segurua gaitzen duzu geltokiko EmailService erabiliz (Konfigurazioa > Zerbitzuak > EmailService).

ZIURTAGIRIAK
Ziurtagiria sinadura digitala erabiltzen duen dokumentu elektroniko bat da, gako publiko bat pertsona edo erakunde batekin lotzeko. Ziurtagiriek hainbat helburu izan ditzakete ziurtagiriaren gakoen erabileraren propietatearen konfigurazioaren arabera. Sistema honen helburu nagusia zerbitzari baten identitatea egiaztatzea da, komunikazioa fidagarria izan dadin. Xehetasun gehiago lortzeko, begiratu Niagara Station Segurtasun Gida – Ziurtagiria.
Niagarak ziurtagiri mota hauek onartzen ditu:

• CA (Certificate Authority) ziurtagiria CA bati dagokion autosinatutako ziurtagiria da. Hirugarren bat edo bere CA gisa funtzionatzen duen enpresa bat izan daiteke.
• Erroko CA ziurtagiria autosinatutako CA ziurtagiria da, zeinaren gako pribatua beste ziurtagiri batzuk sinatzeko erabiltzen den ziurtagiri fidagarrien zuhaitza sortzeko. Bere gako pribatuarekin, root CA ziurtagiria esportatu daiteke, USB memoria-unitate batean gorde daiteke ganga batean eta ziurtagiriak sinatu behar direnean bakarrik atera. Erro CA ziurtagiriaren gako pribatuak esportazioan pasahitz bat sortzea eta pasahitz bera ematea eskatzen du beste ziurtagiri batzuk sinatzeko erabiltzen duzunean.
• Bitarteko ziurtagiria zerbitzariaren ziurtagiriak edo bitarteko CA ziurtagiriak sinatzeko erabiltzen den erroko CA ziurtagiri batek sinatutako CA ziurtagiria da. Tarteko ziurtagiriak erabiltzeak zerbitzariaren ziurtagiri talde bat isolatzen du.
• Zerbitzariaren ziurtagiriak konexio seguru baten zerbitzariaren aldea adierazten du. Protokolo bakoitzerako ziurtagiri bereizi bat konfigura dezakezun arren (Foxs, Https, Webs). Plataforma eta geltokia (zerbitzari gisa) zerbitzari-ziurtagiri bereiziekin konfigura ditzakezun arren, sinpletasunerako sistema gehienek zerbitzari-ziurtagiri bera erabiltzen dute normalean.
• Kode sinatzeko ziurtagiria programaren objektuak eta moduluak sinatzeko erabiltzen den ziurtagiria da. Sistemen integratzaileek ziurtagiri hau erabiltzen dute markoa pertsonalizatzen dutenean kode maltzurren sarrera saihesteko.

Norberak sinatutako ziurtagiriak
Norberak sinatutako ziurtagiria bere gako pribatu propioa erabiliz sinatzen dena da, root CA (Certificate Authority) ziurtagiri baten gako pribatuarekin ordez.
Sistemak bi ziurtagiri autosinatutako mota onartzen ditu:

• Erroko CA ziurtagiria inplizituki fidagarria da, ez dagoelako ziurtagiri honen jabea den CA (Certificate Authority) baino autoritate handiagorik. Hori dela eta, CA-ek, zeinen negozioa besteen ziurtagiriak onartzea da, arreta handiz babesten dituzte beren erro-CA ziurtagiriak eta gako pribatuak. Era berean, zure enpresak bere CA gisa balio badu, beste ziurtagiri batzuk sinatzeko erabiltzen duzun root CA ziurtagiria ondo zaindu beharko zenuke.
• Berez sinatutako ziurtagiri lehenetsia: Workbench-en instantzia, plataforma edo geltoki bat instalatu ondoren (abian jarri ondoren) abiarazten duzun lehen aldian, sistemak zerbitzari-ziurtagiri lehenetsia sortzen du, tridium aliasarekin.

OHARRA:
Ez esportatu ziurtagiri hau eta inportatu beste plataforma edo geltoki bateko edozein denda batera. Posible bada ere, hori eginez gero, segurtasuna murrizten da eta ahultasuna areagotzen du.
Norberak sinatutako ziurtagiriak erabiltzean gizon-erdiko eraso baten arriskua minimizatzeko, zure plataforma guztiak sare pribatu seguru batean egon behar dira, lineaz kanpo eta Internetetik sarbide publikorik gabe.

KONTUZ
Norberak sinatutako ziurtagiriak erabiltzeko, Workbench-etik plataformara edo geltokira lehen aldiz sartu aurretik, ziurtatu zure ordenagailua eta plataforma ez daudela sare korporatibo edo Interneten. Deskonektatuta dagoenean, konektatu ordenagailua zuzenean plataformara, ireki plataforma Workbench-etik eta onartu bere autosinatutako ziurtagiria. Orduan bakarrik konektatu beharko zenuke plataforma sare korporatibo batera.

Izen-konbentzioa
Erabiltzaile-gakoen biltegia, Erabiltzaileen konfiantza-biltegia eta System Trust Store-k konfigurazioaren muina dira. Ziurtagiriek oso antzekoak dira, eta autosinatutako ziurtagiri lehenetsiek berdin-berdin izena dute.

Ziurtagiri-dendak
Ziurtagirien kudeaketak lau denda erabiltzen ditu ziurtagiriak kudeatzeko: Erabiltzaile-gakoen biltegia, Sistemaren fidagarritasunaren biltegia, Erabiltzaileen fidagarritasunaren biltegia eta Baimendutako ostalarien zerrenda.
Erabiltzaile-gakoen biltegia bezero-zerbitzariaren harremanaren zerbitzariarekin lotuta dago. Denda honek ziurtagiriak ditu, bakoitzak bere gako publiko eta pribatuekin. Gainera, denda honek Workbench abiarazi zenuenean edo plataforma lehen aldiz abiarazi zenuenean hasiera batean sinatutako ziurtagiria dauka.
Erabiltzaile eta Sistema fidagarrien biltegiak bezero-zerbitzariaren harremanaren bezeroarekin lotuta daude. System Trust Store ziurtagiri publiko estandarrekin aurrez beteta dator: Autoritate ziurtagiri-emaile ezagunen root CA ziurtagiriak, hala nola VeriSign, Thawte eta Digicert. Erabiltzaileen konfiantzazko dendak root CA eta bitarteko ziurtagiriak ditu beren ziurtagiri-agintari gisa funtzionatzen duten enpresentzat.
Baimendutako ostalarien zerrendak bezeroaren Sisteman edo Erabiltzaileen konfiantzazko biltegietan erroko CA ziurtagiri fidagarririk ez dagoen zerbitzari-ziurtagiriak ditu, baina zerbitzari-ziurtagiriak hala ere erabiltzeko onartu dira. Horrek zerbitzariaren ostalari-izena zerbitzariaren ziurtagiriko Izen Amankomunaren berdina ez duten zerbitzariak barne hartzen ditu. Ziurtagiri hauek banaka erabiltzea onartzen duzu. Komunikazioa segurua den bitartean, hobe da sinatutako zerbitzariaren ziurtagiriak erabiltzea.

Enkriptatzea
Enkriptatzea datuen transmisioa kodetzeko prozesua da, fidagarriak ez diren hirugarrenek irakurri ezin ditzaten. TLS-k enkriptatzea erabiltzen du bezeroaren eta zerbitzariaren arteko datuak transmititzeko. Fox edo http protokoloak soilik erabiliz zifratu gabeko konexio bat egitea posible den arren, aukera hau ez jarraitzea gomendatzen dizugu. Zifratu gabe, zure komunikazioak eraso baten menpe egon daitezke. Onartu beti Foxs edo Https konexio lehenetsiak.

SEGURTASUN-PAULA BUKATUVIEW
Niagara 4.10u5 bertsioan eta ondorengoetan, Segurtasun Arbelaren eginbideak (administratzaileentzat eta baimendutako beste erabiltzaileentzat) txori-begi bat eskaintzen du. view zure geltokiaren segurtasun-konfigurazioa. Horri esker, geltokiko zerbitzu askotan segurtasun-konfigurazioa erraz kontrola dezakezu eta geltokiko segurtasun-konfigurazio ahuleziak identifikatzea.

KONTUZ
Segurtasun Arbela View Baliteke segurtasun-ezarpen posible guztiak ez bistaratzea, eta ez da dena modu seguruan konfiguratuta dagoela bermatu behar. Bereziki, hirugarrenen moduluek arbelean erregistratzen ez diren segurtasun-ezarpenak izan ditzakete.

Segurtasun Arbela view nagusia da view geltokiko Segurtasun Zerbitzuan. The view segurtasun ahulezien berri ematen dizu, esate baterako, pasahitzaren sendotasun-ezarpen eskasak; iraungitako ziurtagiriak, autosinatuak edo baliogabeak; zifratu gabeko garraio-protokoloak, etab., konfigurazioak seguruagoa izan behar duen eremuak adieraziz. Salatutako beste datu batzuk honako hauek dira: sistemaren osasuna, kontu aktibo kopurua, kontu inaktiboak, supererabiltzaile baimenak dituzten kontu kopurua, etab. Aukeran, "securityDashboard" lizentzia-eginbideko "sistema" atributua "egia" gisa ezar daiteke Sistema gaitzeko. View NiagaraNetwork-eko menpeko geltoki bakoitzaren segurtasun xehetasunak ematen dituen geltokia.
Segurtasun Arbela da nagusia view Segurtasun Zerbitzuetarako. Informazio osoa lortzeko view, Ikus "nss-SecurityDashboardView” in Niagara Station Security Guide.

PLANGINTZA ETA INSTALAZIOA

Atal honek Landare Kontrolagailu Aurreratuaren instalazioa planifikatzeko eta egiteko informazioa biltzen du.

Gomendatutako instalazioa eta konfigurazioa
Hurrengo atalean gomendatutako bi instalazio-konfigurazio azaltzen dira.

• BACnetTM soilik
• BACnetTM eta Niagara

BACnetTMBACnetTM soilik
Plant Controller aurreratua BACnetTM komunikazioetarako soilik erabiltzen denean, konektatu Ethernet 1 soilik BACnetTM (BACnetTM/IP edo BACnetTM/Ethernet) exekutatzen den BAS sarera.

BACnetTM eta Niagara
Niagara Landare Kontrolatzaile Aurreratuan erabiltzen denean, zerbitzuak eskaintzeko konfigura daiteke, adibidez web zerbitzuak edo Niagara FOXS, Internet/intranet/sare korporatibora. Horrela bada, konektatu Ethernet 2 Internet/intranet/sare korporatiboa BAS suebakiaren bidez sare horri zerbitzuak emateko.

Sare lokalak (LAN) gomendioa
Ziurtatu sistemek pasahitz-politika egoki batekin funtzionatzen dutela erabiltzaileak zerbitzu guztietara sartzeko. Jarraibide honek barne hartuko luke, baina ez da mugatzen:

1. Pasahitz sendoen erabilera.
2. Gomendatutako pasahitzaren ziklo-denbora.
3. Erabiltzaile-izen eta pasahitz bakarrak sistemaren erabiltzaile bakoitzarentzat.
4. Pasahitzak zabaltzeko arauak.
5. Eraikinen kontrol-sistemetarako urruneko sarbidea behar bada, erabili VPN (Virtual Private Network) teknologia datuak atzemateko arriskua murrizteko eta kontrol-gailuak zuzenean Interneten ez jartzeko.

DOKUMENTAZIOA

Dokumentazioa ezinbestekoa da sistema seguru bat mantentzeko beharrezkoa den diseinu eta konfigurazio informazioa atzemateko.

Dokumentatu gailu fisikoak eta konfigurazioak, segurtasunarekin lotutako funtsezko informazioa barne
Gailuei eta konfigurazioei buruzko dokumentazio guztiak segurtasunarekin lotutako informazioa izan behar du aurreikusitako segurtasun kontrolak ezartzeko eta mantentzeko. AdibidezampIzan ere, lehenetsitako zerbitzu edo ataketan aldaketak egiten badira Landareen Kontrolatzaile Aurreratuan, argi eta garbi dokumentatu hauek etorkizunean ezarpenak leheneratu ahal izateko.

Dokumentatu kanpoko sistemak, batez ere Landareen Kontrolatzaile Aurreratuaren eta hari lotutako sistemen arteko elkarrekintza
BASek normalean kanpoko sistemak behar edo erabiltzen ditu funtzionalki, hala nola lehendik dagoen sare-azpiegitura, VPN sarbidea, makina birtualeko ostalariak eta suebakiak. BASek sistema horiek segurtasunerako modu jakin batean konfiguratzea eskatzen badu, adibidez, ataka batzuk baimentzen edo ukatzen dituen suebaki batek edo sistema batzuetara sarbidea ahalbidetzen duen sare bat, orduan informazio hori dokumentatu behar duzu. Sistema hauek etorkizunean uneren batean berreskuratu behar badira, Adibample: ekipoen hutsegiteagatik, edo kanpoko sistemetan aldaketak egin behar direla, Adibample: suebaki bat berritzea, informazio hau dokumentatuta egoteak aurreko segurtasun-maila berreskuratzen lagunduko dizu.

SARBIDEEN KONTROLA ETA SEGURTASUN FISIKOA
Sarbide-kontrolak gailu edo funtzioetarako sarbidea baimendutako erabiltzaileei soilik zehaztea eta mugatzea dakar.

Gorde fisikoki Landareen Kontrolatzaile Aurreratua, HMI eta IO Modulua
Saihestu Honeywell-ek eskaintzen dituen sistemekin batera erabiltzen diren sare-ekipoetara baimenik gabeko sarbidea. Edozein sistemarekin, sarerako eta ekipoetarako sarbide fisikoa eragotziz gero, baimenik gabeko interferentziak izateko arriskua murrizten da. Informatika-instalazioen segurtasun-praktika egokiek zerbitzari-gelak, adabaki-panelak eta informatika-ekipoak blokeatutako geletan daudela bermatuko luke. Honeywell ekipoak blokeatutako kontrol-armairuetan instalatu behar dira, beraiek lantegi seguruetan kokatuta.

Kontrolagailuaren sarbide panelaren edo itxituraren gaineko eranskailua
Aplikatu helbideanampLandare-kontrolagailu aurreratuaren, HMI eta IO moduluaren sarbide-panelen edo itxituraren gaineko eranskailua.
Bezero batek berme gehiago behar badu landare-kontrolatzaile aurreratua, HMI eta IO modulua babesten duen sarbide fisikoa sartu ez dela, instalatu hemen.ampageriko zigilua edo eranskailua sarbide puntuaren gainean.

Sareak bereizi eta babestu

1. Erabili suebaki bat Internet/intranet/sare korporatiboaren eta BASen artean.
2. Erabili sare fisiko berezi bat (kable bereiziak) edo sare birtuala (VLANak) BACnetTM komunikaziorako. Internet/ intranet/ korporazio saretik aparteko sare bat izan behar du.
3. Ez konektatu EN2 Landare Kontrolatzaile Aurreratuan inongo sarera Niagara zerbitzuak behar ez badituzu (Plataforma, Geltokia eta/edo Webzerbitzaria). EN2 Internet/intranet/sare korporatibora konektatu behar baduzu, kanpoko BAS suebaki bat erabili behar duzu Plant Controller aurreratuaren eta Inter-net/intranet/sare korporatiboaren artean.

Haririk gabeko segurtasuna

1. Erabiltzaileak berriro egin behar duview Haririk gabeko sarearen segurtasuna sarearen topologian oinarrituta, INTERNET publikoarekiko nahigabeko esposiziorik ez dagoela bermatuz eta BAS suebakiaren babesa saihesten ez dela ziurtatuz.
2. Ezinbestekoa da beti erabilgarri dauden haririk gabeko segurtasun teknologia gorenak hartzea, WPA2 edo WPA3 adibidez. Gainera, erabiltzaileek segurtasunez babestu behar dituzte pasahitzak, Wi-Fi pasahitzak eta BluetoothTM PIN kodeak barne, baina ez soilik. Inoiz ez utzi kontrolagailua hari gabeko sare ireki batera konektatzen edo hari gabeko sarbide-puntu ireki bat konfiguratzen.
3. Saihestu beti baimenik gabeko gailuak hari gabeko sarera konektatzea edo BluetoothTM konexioak ezartzea balizko ustiapenak saihesteko.
4. Erabiltzailearen erantzukizuna da aldian-aldian berritzeaview segurtasun-ezarpenak, aldatu pasahitzak edo pasakodeak segurtasun-politikaren arabera eta kontrolatu hari gabeko sarean eta azpisareetan konektatuta dauden gailuak. Erabiltzaileek ikuskaritza jarduera horiek ere dokumentatu beharko dituzte.

KONTROLADORA AURRERATUA, HMI ETA IO MODULUA SEGURTATZEA

1. Gunearen erabiltzaileari emandako administrazio-sistemako kontuaren kredentzialak
   'Admin' Sistema-Kontuaren kredentzialak gunearen jabeari eman behar dizkio Sistema-Kontuak kudeatzeko.
2. Segurtasun Programa bat garatzea
   Ikusi 'Segurtasun Orokorreko Praktika Egokiena'
3. Kontu fisikoa eta ingurumena
   Kontrolagailu aurreratua, HMI eta IO modulua blokeatutako ingurune batean instalatu behar da, adibidez, lantegi seguru batean edo blokeatutako armairu batean kokatuta.

OHARRA
Aireztapen egokia ziurtatu.

Segurtasun-eguneratzeak eta zerbitzu-paketeak
Ziurtatu Kontrolagailu Aurreratua, HMI eta IO Modulua firmwarearen azken bertsioa exekutatzen ari dela.

ERABILTZAILEAK ETA PASAHITZAK

Erabiltzaileak
Ziurtatu emandako erabiltzaile-kopurua eta sarbide-mailak egin behar dituzten jardueretarako egokiak direla.

• Kontrolagailuaren gailu mailan konfiguratu sistema-kontuak edo erabiltzaileak kontrolagailuetarako Web Bezeroa, Begiralea eta Peer-to-peer sarbidea.
  Kontrolagailu aurreratuetan Erabiltzaile moduluak konfiguratuz, horrek esan nahi du erabiltzaileak baliozko kredentzialak dituen gailu batean saioa hasi beharko duela doikuntzak egin aurretik. Ziurtatu sistemako kontuei eta erabiltzaileei sarbide-eskubide egokiak esleituta daudela.
• Erabili kontu ezberdin bat Erabiltzaile bakoitzarentzat
  Erabili sistemako erabiltzaile/kontu bakoitzerako izen eta pasahitz esklusiboak, sarbide generikoa baino. Pertsona ezberdinek ez lukete inoiz kontu bera partekatu behar. AdibidezampKudeatzaile askok erabil dezaketen 'kudeatzaile' kontu orokor bat baino, kudeatzaile bakoitzak bere kontu bereizia izan beharko luke.

Erabiltzaile bakoitzak bere kontu indibiduala izateko arrazoi asko daude:

Pertsona bakoitzak bere kontua badu, auditoretza erregistroak informazio gehiago izango dira. Erraza izango da zein erabiltzailek zer egin duen zehatz zehaztea. Honek kontu bat arriskuan jarri den detektatzen lagun dezake.

OHARRA
Produktu guztiek ez dute auditoretza-erregistroko instalaziorik, baina eskuragarri dagoenean ez da desgaitu behar.

• Kontu bat kentzen edo aldatzen bada, ez du eragozpenik sortzen jende askori. AdibidezampIzan ere, pertsona batek ez badu gehiago sarbiderik izan, bere banakako sarbidea ezabatzea erraza da. Partekatutako kontua bada, aukera bakarrak dira pasahitza aldatzea eta guztiei jakinaraztea, edo kontua ezabatu eta guztiei jakinaraztea. Kontua bere horretan uztea ez da aukera bat; helburua sarbidea kentzea da.
• Pertsona bakoitzak bere kontua badu, askoz errazagoa da baimenak egokitzea bere beharrak zehatz-mehatz asetzeko. Partekatutako kontu batek behar baino baimen gehiago izan ditzake jendeak.
  Partekatutako kontu batek pasahitz partekatua esan nahi du. Segurtasun praktika oso txarra da pasahitzak partekatzea. Askoz gehiago litekeena da pasahitza filtratzea, eta zailagoa da pasahitzaren jardunbide egoki batzuk ezartzea, hala nola pasahitza iraungitzea.
• Proiektuetarako Ingeniaritza Erabiltzaile Esklusiboak erabiltzea
  Ohiko praktika da enpresa batzuek kontuaren xehetasun berdinak erabiltzea proiektu guztietan. Sistema bat arriskuan dagoen ala ez jakin ondoren, erasotzaileak enpresa berak instalatutako beste proiektu askotara sartzeko kredentzialak izan ditzake.
• Desgaitu ezagunak diren kontuak posible denean
  Produktu batzuek kontu lehenetsiak dituzte. Hauek konfiguratu behar dira pasahitza lehenetsia izan ez dadin.
• Esleitu erabiltzaileei eskatutako gutxieneko baimenak
  Ziurtatu behar diren kontuak soilik konfiguratuta daudela sisteman behar diren gutxieneko segurtasun-mailekin sarbide osoa baino. Kontu berri bat sortzean, pentsatu zer egin behar duen pertsonak sisteman, eta esleitu ondoren lan hori egiteko behar diren gutxieneko baimenak. Adibidezample, alarmak bakarrik ikusi behar dituen norbaitek ez du administratzaile-sarbiderik behar. Behar ez diren baimenak emateak segurtasun-hauste bat izateko aukera areagotzen du. Erabiltzaileak nahi gabe (edo nahita) aldatu behar ez dituen ezarpenak alda ditzake.
• Erabili Sistema Administratzaileen Kontuen Gutxieneko Kopurua
  Beharrezkoa denean soilik esleitu Sistema Administratzaileen baimenak. Kontu mota hau oso kontu indartsua da - denetarako sarbide osoa ahalbidetzen du. Sistemaren administratzaileak soilik izan beharko luke konturako sarbidea. Pentsatu ere Sistema Administratzaileari bi kontu eskaintzea, bat eguneroko atzipenerako eguneroko jarduerak kudeatzeko eta bigarren maila handiko sarbide kontu bat, administrazio-mota aldaketak behar direnean soilik beharrezkoa dena.

Pasahitzak
Niagara sistemak eta sistema eragileak Honeywell-eko produktu aurreratuak erabiltzen dituzte "erabiltzaileak" gainbegirale, pantaila, tresna edo sistema eragile batean autentifikatzeko pasahitzak erabiltzen dituzte. Bereziki garrantzitsua da pasahitzak behar bezala kudeatzea. Hasierako segurtasun-maila hori ez erabiltzeak sistemara pantaila baten bidez atzitzea ekarriko du, web bezeroak edo arduradunak doikuntzak egiteko sarbidea izango du. Ziurtatu Niagara sistemak erabiltzaileak sartzeko pasahitz-politika egokian funtzionatzen duela.

• Pasahitz sendoen erabilera - Pasahitz sendoak erabili behar dira. Ikusi azken segurtasun-estandarrak pasahitz sendoa zer den jakiteko.
• Gomendatutako pasahitzaren ziklo-denbora - Niagara produktu batzuek sistema-administratzaileak aukera ematen diote pasahitza aldatu behar den epe bat zehaztea. Gaur egun produktu guztiek pasahitza aldatzeko aldi hau behartzen ez badute ere, gunearen politikak hau gomenda dezake.
• Pasahitzak zabaltzeko arauak - Erabiltzaileak ziurtatu BEHAR DU ez dituela bere erabiltzaile-izenaren eta pasahitzaren xehetasunak besteei ezagutarazi eta ez dituela idatzi.

LANDARE-KONTROLATZAILE AURRERATU BAT KONFIGURATZEA
Landare-kontrolatzaile aurreratu baten konfiguraziorako, ikusi Instalazio-argibideak eta martxan jartzeko gida
(31-00584). Ikusi HMI gidariaren gidaliburua (31-00590) HMIrako, eta Panel Bus Driver gida (31-00591) IO modulurako.

Sortu eta mantendu oinarrizko konfigurazio bat
Sortu eta mantendu segurtasunerako behar bezala konfiguratu diren Landare Kontrolatzaile Aurreratuen konfigurazioen oinarrizko lerroa. Ziurtatu oinarri-lerro honek DCF ere barne hartzen duela files eta Niagara osagaiak. Ez jarri konfigurazio seguruak oinarri-lerroan, etorkizunean nahi gabe aplikatzea saihesteko. Eguneratu dokumentazio garrantzitsua konfigurazioak aldatzen direnean.

 Aldatu pasahitz lehenetsiak
Aldatu pasahitz lehenetsi guztiak: kontsolaren konfigurazio pasahitza, babeskopia/berreskuratu/berrabiarazi/kontrola pasahitza eta Niagara Platform pasahitza. Abian jartzean, ziurtatu gailua pasahitz babestuta dagoela. Ziurtatu guneko erabiltzaileei erabiltzaile maila egokiak esleitzen zaizkiela.

Gogoeta gehiago

Zerbitzu Maila hitzarmena
Onartu gunean instalatutako azpiegiturarako eguneratze-politika egokia, zerbitzu-maila-hitzarmen baten barruan. Gidalerro honek sistemaren osagai hauek azken bertsiora eguneratu beharko lituzke, baina ez da soilik:

• Kontrolagailurako gailuen firmwarea, IO moduluak, HMI, etab.;
• Begirale softwarea, esaterako, Arena NX softwarea;
• Ordenagailu / Zerbitzariaren sistema eragileak;
• Sare-azpiegiturak eta urrutiko sarbide-sistema oro.

IT sarearen konfigurazioa
Konfiguratu informatika-sare bereiziak automatizazio-kontrol-sistemetarako eta bezeroaren IT sare korporatiborako. Hau bezeroaren IT azpiegituraren barruan VLANak (LAN birtualak) konfiguratuz edo automatizazioaren kontrol sistemei eskainitako aire-hutsuneko sare azpiegitura bereizi bat instalatuz lor daiteke.
Sistema zentralizatuko gainbegirale bat erabiliz kontrolagailuekin konektatzean (adibample: Niagara) eta non sistemak gailu indibidualetarako sarbide zuzena behar ez duen web zerbitzaria, sarearen azpiegitura mugatzeko konfiguratu behar da web zerbitzarirako sarbidea.
MAC helbidearen esleipena erabiltzen duten VLAN dinamikoek gailu bat sistemara baimendu gabeko konexioaren aurka babes dezakete eta sareko banakako monitorizazio-informazioarekin lotutako arriskua murrizten dute.

BAS SUEGIDEA KONFIGURATZEA

Ondorengo taulak Landare Kontrolatzaile Aurreratu batean erabiltzen diren sareko atakak deskribatzen ditu. Ikusi "Sistema amaituview” 8. orrialdean adibample instalazio arkitektura. Taulak zutabe hauek ditu:

• Ataka lehenetsia eta protokoloa (TCP edo UDP)
• Portuaren xedea
• Ataka lehenetsia aldatu behar den ala ez
• BAS Firewall bidez sarrerako konexioak edo trafikoa baimendu behar diren ala ez
• Taularen azpian ohar osagarriak zerrendatzen dira

2. taula BAS suebakia konfiguratzea

Lehenetsia Portua/Protokoloa	Helburua	Lehenetsita aldatu?	BAS Firewall bidez baimendu?	Oharrak
80 / TCP	HTTP	Ez	Ez
443 / TCP	HTTPak	Ez	Baliteke, bada web Internet/intranet/sare korporatibotik sarbidea behar da.	1
1911 / TCP	Fox (Niagara aplikazio-protokoloaren bertsio ez segurua)	Bai	Ez
4911 / TCP	Fox + SSL (Niagara aplikazio-protokoloaren bertsio segurua)	Bai	Ez
3011 / TCP	NiagaraD (Niagara plataformako protokoloaren bertsio ez segurua)	Bai	Ez
5011 / TCP	NiagaraD + SSL (Niagara plataformako protokoloaren bertsio segurua)	Bai	Ez
2601 / TCP	Zebra kontsolaren ataka	Ez	Ez	2
2602 / TCP	RIP kontsolaren ataka			2
47808/UDP	BACnetTM/IP sareko konexioa	Bai	Ez	3

OHARRA

1. Zuzeneko urrunekoa bada web erabiltzailearen interfazea onartzen da, orduan ataka hau BAS suebakiaren bidez baimendu behar da.
2. Portua automatikoki irekitzen du deabru honek eta funtzionalitate hau ezin da desgaitu. Deabrua ataka honen bidez saio-hasierarik ez uzteko konfiguratuta dago.
3. Jarraitu eskuliburu honetan adierazitako sarearen konfigurazio-jarraibideak, Landare Kontrolatzaile Aurreratuak ez du inoiz UDP trafikoa BAS suebakitik pasa beharko.

Autentikazioa konfiguratzea

Google Authentication Scheme bi faktoreko autentifikazio-mekanismoa da, eta erabiltzaileak bere pasahitza eta erabilera bakarreko token bat sartu behar ditu geltoki batean saioa hastean. Honek erabiltzailearen kontua babesten du bere pasahitza arriskuan egon arren.
Autentifikazio-eskema hau TOTP (Time-based OneTime Password) eta erabiltzailearen gailu mugikorreko Google Authenticator aplikazioan oinarritzen da erabilera bakarreko autentifikazio-tokenak sortzeko eta egiaztatzeko. Google-ren autentifikazioa denboran oinarritzen da, beraz, ez dago sareko komunikazioaren menpekotasunik erabiltzailearen gailu mugikorren, Stationaren edo kanpoko zerbitzarien artean. Autentifikatzailea denboran oinarrituta dagoenez, geltokian eta telefonoan denborak nahiko sinkronizatuta egon behar dute. Aplikazioak 1.5 minutuko gehi edo ken buffer bat eskaintzen du erlojuaren okerra konturatzeko.
Aurrebaldintzak: erabiltzailearen telefono mugikorrak Google Authentication aplikazioa behar du. Workbench-en ari zara lanean. Erabiltzailea estazioaren datu-basean dago.

Prozedura

1. Ireki gauth paleta eta gehitu GoogleAuthenticationScheme Zerbitzuak > Authenticationservice nodoan Nav zuhaitzean.
2. Egin klik eskuineko botoiaz Erabiltzaile zerbitzuan, eta egin klik bikoitza taulako erabiltzaileari. Editatu view erabiltzailearentzat irekitzen da.
3. Konfiguratu Authentication Scheme Name jabetza GoogleAuthenticationScheme-n eta sakatu Gorde.
4. Egin klik erabiltzailearen autentifikatzailearen azpian dagoen gako sekretuaren ondoko botoian eta jarraitu argibideei.
5. Konfigurazioa osatzeko, sakatu Gorde. ren arabera view erabiltzen ari zaren, baliteke erabiltzailea berriro ireki edo freskatu behar izatea gorde ondoren.

SISTEMA ENTREGATZEA
Atal honek sistemaren jabeari BAS entregatzen zaionean eman behar duzun informazioa jasotzen du.

• Segurtasun-informazioa, konfigurazio-ezarpenak, administrazioko erabiltzaile-izenak eta pasahitzak, hondamendiak eta berreskuratze-planak eta babeskopia eta leheneratzeko prozedurak biltzen dituen dokumentazioa.
• Azken erabiltzaileen prestakuntza segurtasunaren mantentze-lanetan.

USB BACKUP ETA GARBITZEA FILE INSTALAZIOA
Erabiltzaileak kontrolagailua konprimitzeko eta deskonprimitzeko erabiltzen den pasaesaldia babestu behar du. Saihestu pasaesaldiak eta kontroladorearen kredentzialak partekatzea babeskopia edo leheneratzeko prozesuan.
USB babeskopia eta CleanDist file instalazioaren informazioa Instalaziorako Argibideen eta Abian jartzeko Gidan aurki daiteke - 31-00584.

SISTEMA DESATZEA
Zerbitzutik kanpo hartzen ari diren unitateetatik datu sentikorrak ezabatu behar dira eta hori fabrika berrezarri egin daiteke. Ikusi Zerbitzu Botoia/Zerbitzu Alarma LEDa eta CleanDist file Instalaziorako Instrukzio eta Abian jartzeko Gidatik instalatzea - ​​31-00584.

OHARRA
The CleanDist file prozedurak fabrikako ezarpenak egin ditzake clean4 instalatuz file.

NIAGARA OINARRITUTAKO PRODUKTU AURRERATUEN SEGURTASUNA
Niagara N4 eta Niagara AX esparruetan oinarritutako Honeywell produktu aurreratuetarako (adibidez, Advanced Plant Controller, HMI eta IO Module), Tridium-en aholkuak jarraitu behar dituzu Niagara esparrua ziurtatzeko.
Honeywell-en produktu aurreratuen segurtasuna maximizatzeko Niagara-n egin daitezkeen konfigurazio-aldaketa ugari egin daitezke.

• Erabili pasahitzaren sendotasuna funtzioa
• Gaitu kontua blokeatzeko eginbidea
• Iraungi pasahitzak
• Erabili pasahitzen historia
• Erabili pasahitza berrezartzeko eginbidea
• Utzi "Gogoratu kredentzial hauek" laukia desmarkatuta
• Aldatu sistemaren pasaesaldi lehenetsia
• Erabili TLS Sistemaren pasaesaldia ezartzeko
• Aukeratu sistemaren pasaesaldi sendoa
• Babestu sistemaren pasaesaldia
• Ziurtatu plataformaren jabeak sistemaren pasaesaldia ezagutzen duela
• Erabili kontu ezberdin bat plataformako erabiltzaile bakoitzeko
• Erabili kontu-izen bakarrak proiektu bakoitzerako
• Ziurtatu plataformaren jabeak plataformaren kredentzialak ezagutzen dituela
• Erabili kontu ezberdin bat Geltokiko Erabiltzaile Bakoitzerako
• Erabili Zerbitzu Mota Kontuak Proiektu Bakoitzerako
• Desgaitu ezagunak diren kontuak posible denean
• Konfiguratu aldi baterako kontuak automatikoki iraungi daitezen
• Aldatu sistema motako kontuaren kredentzialak
• Ez onartu aldibereko saioak egokia denean
• Konfiguratu rolak behar diren gutxieneko baimenekin
• Esleitu behar diren gutxieneko rolak erabiltzaileei
• Erabili Super Erabiltzaileen Gutxieneko Kopurua
• Eskatu Super Erabiltzaileen Baimenak Programa-objektuetarako
• Erabili kanpoko kontuetarako beharrezkoak diren gutxieneko baimenak
• Erabili kontu motarako egokia den autentifikazio-eskema
• Kendu beharrezkoak ez diren autentifikazio-eskemak
• TLS eta ziurtagirien kudeaketa
• Moduluen instalazioa
• Sinatutako programaren objektuak eta robotak eskatu
• Desgaitu SSH eta SFTP
• Desgaitu beharrezkoak ez diren zerbitzuak
• Konfiguratu behar diren zerbitzuak modu seguruan
• Eguneratu Niagara 4 azken bertsiora
• Instalatu produktua kokapen seguru batean
• Ziurtatu geltokiak VPN baten atzean daudela
• Argitalpen tekniko espezifikoak eskuragarri daude eta jarraitu beharrekoak sistema ahalik eta seguruen blokeatuta dagoela ziurtatzeko. Aukera asko daude, hala nola SSL enkriptatzea eta elementuak babesteko urrats gehigarriak, hala nola programa-moduluak, xehetasun gehiagorako, jo Tridium-era. webNiagara 4 Hardening Guiderako (Niagara N4 oinarritutako produktuetarako) eta Niagara Hardening Guiderako (Niagara AX oinarritutako produktuetarako).

Dokumentu honetako materiala informaziorako da. Deskribatutako edukia eta produktua aldez aurretik jakinarazi gabe alda daitezke. Honeywell-ek ez du inolako agiririk edo bermerik ematen dokumentu honi dagokionez. Honeywell-ek ez du inolaz ere erantzukizunik dokumentu honetako huts tekniko edo editorialen edo akatsen erantzule, ezta dokumentu honen erabileragatik edo horrekin lotutako kalteen, zuzeneko edo gorabeheratsuen erantzule ere. Ezin izango da dokumentu honen zatirik erreproduzitu inolaz ere, ez edozein modutan, Honeywell-ek aldez aurretik idatzitako baimenik gabe.
Honeywell | Eraikinen Automatizazioa

715 Peachtree Street, NE,

• Atlanta, Georgia, 30308, Estatu Batuak.
• https://buildings.honeywell.com/us/en
• ® AEBetako marka erregistratua
• ©2024 Honeywell International Inc. 31-00594-03 Rev. 12-24

INSTALAZIOAREN SEGURTASUNAREN KONTROLTZEKO ZERRENDA

• Landare-kontrolatzaile aurreratuaren gailuaren instantzia: _____________________________________________________________
• Landare-kontrolatzaile aurreratuaren deskribapena: _________________________________________________________________
• Landare-kontrolatzaile aurreratua kokapena: ________________________________________________________________________
• Instalatzailea:________________________________________________________
• Data: ___________________________________

Bete segurtasun-zeregin hauek instalatutako Landare Kontrolatzaile Aurreratu bakoitzeko

• Instalatu suebaki bat Plant Controller aurreratuaren eta kanpoko sareen artean. Ikus “BACnet eta Niagara” 19. orrialdean.
• Gorde fisikoki Landareen Kontrolatzaile Aurreratua. Ikusi "Fisikoki babestu landarearen kontroladore aurreratua, HMI eta IO modulua" 22. orrialdean.
• Aldatu pasahitz lehenetsia pasahitz esklusibo batera honako hauetako bakoitzarentzat: Kontsolaren konfigurazioa, Babeskopia/Berrezarri/Berrabiarazi/Kontrola eta Niagara Plataforma. Ikus Instalaziorako Argibideak eta Abian jartzeko Gida - 31-00584
• a bada web zerbitzaria behar da, gero konfiguratu HTTPS moduan soilik funtziona dezan. Ikus Instalaziorako Argibideak eta Abian jartzeko Gida - 31-00584

Web Zerbitzariaren egoera: Desgaituta / Gaituta.
If web zerbitzua gaituta dago, bete honako hau:

• Ezarri Http gaituta = false.
• Ezarri Https gaituta = egia.
• Ezarri Https bakarrik = egia.
• Konfiguratu BAS suebakia. Ikus "BAS suebakia konfiguratzea" 26. orrialdean.
• Eman behar diren datu guztiak BAS sistemaren jabeari entregatzean. Ikus "Autentifikazioa konfiguratzea" 27. orrialdean.

Ohiko galderak

• Zergatik da garrantzitsua Kontrolatzaile aurreratua ziurtatzea?
  Kontroladorea ziurtatzeak baimenik gabeko sarbideak saihesten laguntzen du, datu sentikorrak babesten ditu eta sistemaren fidagarritasuna bermatzen du.
• Nola berreskura dezaket nire pasahitza?
  Pasahitza berreskuratzeko, jarraitu eskuliburuan adierazitako pasahitza berreskuratzeko prozesua. Horrek normalean zure kontuaren informazioa egiaztatzea dakar.

Dokumentuak / Baliabideak

Honeywell Optimizer Kontrolatzaile aurreratua [pdfErabiltzailearen eskuliburua 31-00594-03, Optimizer Kontrolatzaile aurreratua, Kontrolatzaile aurreratua, Kontrolagailua

Erreferentziak

• Erabiltzailearen eskuliburua