Honeywell Optimizer Advanced Controller

Mga pagtutukoy

• Produkto: Advanced na Controller
• Numero ng Modelo: 31-00594-03
• Operating System: Niagara Operating System
• Mga Tampok ng Seguridad: Account Verification Code, System Accounts, Password Recovery, Secure Communication, Certificates
• Pagkakatugma sa Network: BACnetTM, LAN

Disclaimer
Habang nagsasagawa kami ng mga pagsisikap na tiyakin ang katumpakan ng dokumentong ito, hindi mananagot ang Honeywell para sa anumang uri ng pinsala, kasama nang walang limitasyon ang mga kahihinatnang pinsala na nagmumula sa aplikasyon o paggamit ng impormasyong nakapaloob dito. Ang impormasyon at mga detalyeng inilathala dito ay napapanahon sa petsa ng publikasyong ito at maaaring magbago nang walang abiso. Ang pinakabagong mga detalye ng produkto ay matatagpuan sa aming website o sa pamamagitan ng pakikipag-ugnayan sa aming corporate office sa Atlanta, Georgia.
Para sa maraming komunikasyong nakabase sa RS-485 sa industriya, ang default na status ay hindi pinagana sa oras ng pagpapadala sa labas ng pabrika upang matiyak ang pinakamahusay na seguridad, dahil ang mga legacy na bus ng komunikasyon ay gumagamit ng legacy na teknolohiya para sa pinakamahusay na compatibility at ang mga ito ay dinisenyo na may mahinang proteksyon sa seguridad. Kaya, para ma-maximize ang proteksyon ng iyong system, proactive na hindi pinagana ng Honeywell ang mga legacy na pang-industriya na mga port ng komunikasyon sa bus (sa oras ng pagpapadala ng pabrika), at dapat na tahasang paganahin ng user ang mga network sa Station ng bawat network. Kung gusto mong paganahin ang mga port na ito, kailangan mong magkaroon ng kamalayan sa panganib ng anumang mga paglabag sa seguridad na dala ng paggamit ng legacy na teknolohiya. Kabilang dito ngunit hindi limitado sa: Panel-bus, C-Bus, BACnetTM, M-Bus, CP-IO Bus, NovarNet, XCM-LCD protocol, SBC S-Bus at Modbus, atbp.
Pagbuo sa ISA-62443

Ang Honeywell ay umasa sa ISA 62443-4-1 na pamantayan sa loob ng maraming taon at mga naaangkop na kasamang pamantayan upang ligtas na mabuo ang aming mga produkto ng teknolohiya ng gusali. Para kay exampAng mga produkto ng gusali ng Honeywell ay gumagamit din ng ISA/IEC 62443-4-2 bilang baseline para sa mga teknikal na kinakailangan sa seguridad sa loob ng mga bahagi, at ginagamit namin ang ISA/IEC 62443-3-3 para sa mga kumpletong system. Kaya para sa mga integrator at customer na pumipili ng mga teknolohiya ng gusali, ang pagsunod ni Honeywell sa pamilya ng mga pamantayan ng ISA/IEC 62443 ay maaaring magbigay ng mataas na antas ng kumpiyansa na hindi lang inaangkin ng aming mga produkto na cyber resilient – ​​ang mga ito ay idinisenyo, sinubukan, at napatunayan para sa cyber resilience mula pa sa simula.
Binubuo ng Honeywell ang aming mga produkto sa ISA/IEC 62443-4-1 at kami ay nasuri ng isang 3rd party at na-audit laban sa pamantayang ito.
Panimula at nilalayong Madla

Ang Honeywell ay hayagang nagsasaad na ang mga controllers nito ay hindi likas na protektado laban sa cyber attacks mula sa Internet at na ang mga ito ay nilayon lamang para sa paggamit sa mga pribadong network. Gayunpaman, kahit na ang mga pribadong network ay maaari pa ring sumailalim sa malisyosong pag-atake sa cyber ng mga may kasanayan at kagamitang IT na mga indibidwal at sa gayon ay nangangailangan ng proteksyon. Samakatuwid, dapat gamitin ng mga customer ang mga patnubay sa pinakamahuhusay na kagawian sa pag-install at seguridad para sa mga produktong nakabatay sa IP na Advanced na Plant Controller para mabawasan ang panganib na dulot ng mga naturang pag-atake.
Ang mga sumusunod na alituntunin ay naglalarawan sa Pangkalahatang Mga Kasanayan sa Seguridad para sa Advanced na Plant Controller na mga produktong nakabatay sa IP. Ang mga ito ay nakalista sa pagkakasunud-sunod ng pagtaas ng pagpapagaan.

Ang eksaktong mga kinakailangan ng bawat site ay dapat masuri sa isang case-by-case na batayan. Ang karamihan sa mga pag-install na nagpapatupad ng lahat ng mga antas ng pagpapagaan na inilarawan dito ay magiging labis sa kinakailangan para sa kasiya-siyang seguridad ng system. Isinasama ang mga aytem 1-5 (na may kaugnayan sa Mga Local Area Network), Sumangguni sa “Rekomendasyon ng Mga Lokal na Area Network (LAN)” sa pahina 20. sa pangkalahatan ay matutugunan ang mga kinakailangan para sa karamihan ng mga pag-install ng network ng kontrol sa automation.
Ang manwal na ito ay naglalaman ng impormasyon upang gabayan ang mga tauhan sa isang dealer ng Honeywell kung paano ligtas na mag-install at mag-configure ng Advanced na Plant Controller, HMI at IO modules. Impormasyong nauugnay sa seguridad sa pagpapatakbo, USB backup at restore, at CleanDist file Ang pag-install ng controller ay matatagpuan sa Installation Instruction and Commissioning Guide (31-00584).

TANDAAN
Mangyaring maglaan ng oras upang basahin at unawain ang lahat ng nauugnay na pag-install, pagsasaayos, at mga manual ng pagpapatakbo at tiyaking regular mong nakukuha ang mga pinakabagong bersyon

Talahanayan 1 Impormasyon ng Produkto

produkto	Numero ng Produkto	Paglalarawan
Controller ng Halaman	N-ADV-134-H	Niagara advanced controller na may Apat na Ethernet port, Port para sa HMI, at 4 RS485 port
	N-ADV-133-H-BWA	Niagara advanced controller na may Apat na Ethernet port, Port para sa HMI, 3 RS485 port, Wi-Fi (rehiyon ng America), at suporta sa BluetoothTM
	N-ADV-133-H-BWE	Niagara advanced controller na may Apat na Ethernet port, Port para sa HMI, 3 RS485 port, Wi-Fi (rehiyon ng Europe), at suporta sa BluetoothTM
	N-ADV-133-H-BWW	Niagara advanced controller na may Apat na Ethernet port, Port para sa HMI, 3 RS485 port, Wi-Fi (Rest of the world region), at BluetoothTM support
	N-ADV-133-H	Niagara advanced controller na may Apat na Ethernet port, Port para sa HMI, at 3 RS485 port
	N-ADV-112-H	Niagara advanced controller na may Dalawang Ethernet port, Port para sa HMI, at 2 RS485 port
HMI	HMI-DN	HMI (DIN rail mount)
	HMI-WL	HMI (Door/Wall mount)
IO Module	IO-16UIO-SS	16UIO IO Module na walang HOA, Serial Comms, Screw Terminal
	IOD-16UIO-SS	16UIO IO Module na may HOA Display, Serial Comms, Screw Terminal
	IO-16UI-SS	16UI IO Module, Mga Serial Comm, Mga Turnilyo na Terminal
	IO-16DI-SS	16DI IO Module, Mga Serial Comm, Mga Turnilyo na Terminal
	IO-8DOR-SS	8DO IO Module na walang HOA, C/O Relay, Serial Comms, Screw Terminal
	IOD-8DOR-SS	8DO IO Module na may HOA Display, C/O Relays, Serial Comms, Screw Terminals
	IO-16UIO-SP	16UIO IO Module na may HOA Display, Serial Comms, Push Terminal
	IO-16UI-SP	16UIO IO Module, Serial Comms, Push Terminals
	IO-16DI-SP	16DI IO Module, Serial Comms, Push Terminals
	IO-8DOR-SP	8DO IO Module na walang HOA, C/O Relay, Serial Comms, Push Terminal
	IOD-8DOR-SP	8DO IO Module na may HOA Display, C/O Relay, Serial Comms, Push Terminal
	IO-8UIO-SS	8UIO IO Module na walang HOA, Serial Comms, Screw Terminal

IO Module	IOD-8UIO-SS	8UIO IO Module na may HOA Display, Serial Comms, Screw Terminal
	IO-8AO-SS	8AO IO Module na walang HOA, Serial Comms, Screw Terminal
	IOD-8AO-SS	8AO IO Module na may HOA Display, Serial Comms, Screw Terminal
	IO-4UIO-SS	4UIO IO Module na walang HOA, Serial Comms, Screw Terminal
	IOD-4UIO-SS	4UIO IO Module na may HOA Display, Serial Comms, Screw Terminal
	IO-8DI-SS	8DI IO Module, Mga Serial Comm, Mga Turnilyo na Terminal
	IO-4DOR-SS	4DO IO Module na walang HOA, C/O Relay, Serial Comms, Screw Terminal
	IOD-4DOR-SS	4DO IO Module na may HOA Display, C/O Relays, Serial Comms, Screw Terminals
	IO-4DORE-SS	4DO IO Module na walang HOA, Mga Pinahusay na C/O Relay, Serial Comms, Mga Screw Terminal
	IOD-4DORE-SS	4DO IO Module na may HOA Display, Mga Pinahusay na C/O Relay, Serial Comms, Mga Screw Terminal
	IO-8UIO-SP	8UIO IO Module na walang HOA, Serial Comms, Push Terminals
	IOD-8UIO-SP	8UIO IO Module na may HOA Display, Serial Comms, Push Terminal
	IO-8AO-SP	8AO IO Module na walang HOA, Serial Comms, Push Terminals
	IOD-8AO-SP	8AO IO Module na may HOA Display, Serial Comms, Push Terminal
	IO-4UIO-SP	4UIO IO Module na walang HOA, Serial Comms, Push Terminals
	IOD-4UIO-SP	4UIO IO Module na may HOA Display, Serial Comms, Push Terminal
	IO-8DI-SP	8DI IO Module, Serial Comms, Push Terminals
	IO-4DOR-SP	4DO IO Module na walang HOA, C/O Relay, Serial Comms, Push Terminal
	IOD-4DOR-SP	4DO IO Module na may HOA Display, C/O Relay, Serial Comms, Push Terminal
	IO-4DORE-SP	4DO IO Module na walang HOA, Mga Pinahusay na C/O Relay, Serial Comms, Push Terminal
	IOD-4DORE-SP	4DO IO Module na may HOA Display, Pinahusay na C/O Relay, Serial Comms, Push Terminal

BAKIT SIGURADO ANG IYONG MGA ADVANCED CONTROLLER?

• Protektahan ang mga system ng planta ng iyong customer mula sa mga hindi awtorisadong pagbabago sa mga operating set-point, override at iskedyul ng oras.
• Pigilan ang pag-access sa mga detalye ng user account: hal. mga username, password, email address, SMS (mobile) na numero atbp.
• Pigilan ang pag-access sa komersyal na sensitibong data: Halample- Mga sukatan ng pagkonsumo ng enerhiya, mga solusyon sa diskarte sa pagkontrol ng espesyalista atbp.
• Pigilan ang hindi awtorisadong pag-access sa controller, mga computer at network na nagho-host ng BMS software at mga control device.
• Panatilihin ang integridad ng data at magbigay ng pananagutan.

SISTEMA PAVIEW

Ang taposview ng karaniwang pag-install ng system..

1. Internet/intranet/corporate network
   Ito ay isang pinasimple, lohikal na representasyon ng network ng lahat ng network sa labas ng saklaw ng building automation system (BAS). Maaari itong magbigay ng access sa mga interface ng pamamahala ng BAS (hal. ang pangunahing workstation ng Niagara web user interface) ngunit dapat magbigay ng access sa Internet upang masuri at ma-download ng mga computer ng Niagara ang operating system at mga update sa virus scanner maliban kung may ibinigay na ibang paraan para gawin ito.
2. network ng BAS
   Ang network na ito ay ginagamit lamang para sa mga BAS protocol, na binubuo ng BACnetTM/IP, BACnetTM/ Ethernet, at anumang mga protocol na maaaring gamitin ng Niagara Integration Services sa isang Advanced na Plant Controller. Ang network na ito ay hindi dapat kapareho ng network sa Internet/intranet/corporate network.
3. BAS firewall
   Upang magbigay ng karagdagang paghihiwalay at proteksyon sa BAS, dapat gumamit ng firewall sa pagitan ng Internet/intranet/corporate network at anumang BAS device na kumokonekta dito, gaya ng Niagara primary workstation, Niagara workstation, at Advanced Plant Controller. Nililimitahan ng firewall na ito ang pag-access sa BAS sa mga computer lamang na awtorisado at maaaring makatulong na mabawasan ang panganib ng mga pag-atake, tulad ng pag-atake sa pagtanggi sa serbisyo.
4. workstation ng Niagara
   Ang pangunahing workstation ng Niagara ay isang computer na nagpapatakbo ng Niagara software. Nangangailangan ito ng dalawang koneksyon sa network - isa para sa pagkonekta sa pamamahala web user interface sa pamamagitan ng a web browser (karaniwan ay nasa
   Internet/intranet/corporate network) at isa pa para sa pagkonekta sa BAS network.
5. Ethernet switch
   Lumilikha ng mga network ang Ethernet switch at gumagamit ng maraming port para makipag-ugnayan sa pagitan ng mga device sa LAN. Ang mga switch ng Ethernet ay naiiba sa mga router, na kumokonekta sa mga network at gumagamit lamang ng isang LAN at WAN port. Ang isang buong wired at corporate wireless na imprastraktura ay nagbibigay ng wired na koneksyon at Wi-Fi para sa wireless na pagkakakonekta.
6. Advanced na Controller ng Plant
   Ang Advanced Plant Controller ay isang pandaigdigang controller na kumokonekta sa isang Ethernet network, BACnetTM IP at host ng MS/TP network segment. Ang MS/TP ay isang mababang bandwidth na koneksyon na ginagamit upang ikonekta ang mga controller at sensor.
7. HMI
   Ang HMI ay konektado at tumatanggap ng kapangyarihan mula sa Advanced Niagara plant controllers. Ang mga device na ito ay binuo gamit ang isang capacitive touch-screen display na sumusuporta sa isang seleksyon sa pamamagitan ng hubad na daliri at nagbibigay sa operator ng mga function upang view, i-access, at i-troubleshoot ang mga controller point, IO module, at iba pang konektadong kagamitan.
8. IO Module
   Ang mga IO module ay maaaring kumonekta sa controller gamit ang mga touch flake na koneksyon (power at communications) o ang IO modules ay maaaring kumonekta sa isang wiring adapter na ibibigay ng power at konektado sa isa sa mga RS485 interface sa controller. Ang mga module ng IO ay na-program gamit ang kasalukuyang tool sa engineering gaya ng ComfortPointTM Open Studio tool at Niagara 4 Workbench.

NETWORK PLANNING AT SEGURIDAD

1. Ethernet Network
   Inirerekomenda na ang Ethernet network na ginagamit ng BMS system ay hiwalay sa normal na network ng opisina.
   Example:
   Paggamit ng air gap, o virtual private network. Dapat paghigpitan ang pisikal na pag-access sa imprastraktura ng Ethernet network. Dapat mo ring tiyakin na ang pag-install ay sumusunod sa patakaran sa IT ng iyong kumpanya.
   Ang mga Advanced na Controller ay hindi dapat direktang konektado sa Internet.
2. Web server
   Ang Advanced na Controller ay nagbibigay ng parehong HTTP at HTTPS web mga server. Kung a web server ay hindi kinakailangan, ito ay inirerekomenda na pareho web ang mga server ay hindi pinagana.
3. BACnetTM IP Network
   Dahil sa hindi secure na katangian ng BACnetTM protocol, ang Advanced Controller, HMI, at IO modules na gumagamit ng BACnetTM ay hindi dapat nakakonekta sa Internet sa anumang sitwasyon. Ang sistema ng seguridad ng Advanced na Controller ay hindi nagpoprotekta laban sa pagsusulat ng BACnetTM. Dapat paghigpitan ang pisikal na pag-access sa imprastraktura ng BACnetTM IP network. Kung hindi kinakailangan ang mga komunikasyon sa BACnetTM IP, dapat na hindi paganahin ang Network Module ng Advanced Controllers (BACnetTMTM IP) sa pamamagitan ng pagtatakda ng parameter na 'Disable Module' sa '1'.
   Kung ang mga komunikasyon sa BACnetTMTM ay kinakailangan, masidhing inirerekomenda na ang BACnetTMTM Backup/Restore, Reinitialize Device at BACnetTMTM Writable na mga serbisyo ay hindi pinagana. Gayunpaman, ito ay nangangahulugan na ang ginawang diskarte ay hindi sumusunod sa BTL – Sumangguni sa “Lokal na Seguridad” sa pahina 13.
4. MS/TP (mga lisensya ng NC)
   Dapat paghigpitan ang pisikal na pag-access sa imprastraktura ng MS/TP network. Kung ang MS/TP network ay hindi kinakailangan, ang Advanced Controller (BACnetTM MSTP) Network Module ay dapat na hindi pinagana sa pamamagitan ng pagtatakda ng 'Disable Module' na parameter sa '1'. IO Bus (mga lisensya ng CAN)
   Dapat na pinaghihigpitan ang pisikal na pag-access sa IO Bus.
5. USB
   Dapat na pinaghihigpitan ang pisikal na pag-access sa Advanced na Controller USB Local Engineering Port.
6. RS485 (kabilang ang mga lisensya ng Modbus)
   Dapat na pinaghihigpitan ang pisikal na pag-access sa RS485 port ng Controller. Kung hindi kinakailangan ang anumang Network Module na konektado sa port ay hindi dapat isama sa diskarte.
7. Modbus IP Network (mga lisensya ng INT)
   Dahil sa hindi secure na katangian ng Modbus protocol Advanced Controller's na sumusuporta sa Modbus IP ay hindi dapat konektado sa Internet sa anumang sitwasyon. Dapat paghigpitan ang pisikal na pag-access sa imprastraktura ng network ng Modbus IP. Kung hindi kinakailangan ang mga komunikasyon sa Modbus IP, hindi dapat isama sa diskarte ang Network Module ng Advanced Controller (Modbus IP).

ADVANCED CONTROLLER, HMI, AT IO MODULE SECURITY SYSTEM

Sumusunod ang seguridad ng Advanced na mga controllers sa ISA 62433-3-3 SL 3 at nagbibigay ng secure na boot, isang napatotohanan at naka-encrypt na network, at rest encryption, at naka-synchronize na pamamahala ng account.
Upang makakuha ng access sa mga produkto ng Advanced na Controller o maisagawa ang alinman sa mga gawain sa itaas ay dapat magbigay ng wastong username at password para sa isang Engineering System Account o Device System Account.

1. Seguridad kapag Hindi na-configure
   Para makipag-ugnayan sa isang Advanced na controller, HMI at IO Module, dapat magbigay ng mga valid na kredensyal. Ang controller ay ibinibigay mula sa pabrika nang walang anumang mga kredensyal (System Accounts o User modules) na nagsisiguro na kapag unang pinagana ito ay protektado laban sa hindi awtorisadong pag-access. Sa unang pagkakataong sinubukang kumonekta sa isang vCNC sa isa sa mga Advanced na produkto sa network ng Niagara, dapat gumawa ng Engineering System Account na may Tungkulin ng Administrator.
2. Proteksyon mula sa Mga Hindi Awtorisadong Device
   Ang isang natatanging key (Network Key) ay ginagamit upang matiyak na ang mga awtorisadong device lamang ang makakasali sa network ng Niagara. Ang lahat ng mga controllers na bubuo ng isang Niagara network ay dapat magkaroon ng parehong Network Key at UDP port. Ang mga ito ay na-configure gamit ang IP Tool sa panahon ng paunang proseso ng pagsasaayos.
   Example:
   Kung ang apat na Advanced na Controller ng Plant ay may parehong Network Key (112233), at ang ikalimang bahagi ay may ibang Network Key
   (222). Kapag nakakonekta sila sa parehong Ethernet network, ang apat na controller na may parehong Network Key ay nagsasama-sama upang bumuo ng isang network, ngunit ang ikalimang Controller ay hindi makakasali sa network dahil mayroon itong ibang Network Key ie (222).
   Katulad nito, kung ang ikalimang controller ay bago (tulad ng ipinadala mula sa pabrika) at idinagdag sa Ethernet network hindi ito makakakonekta sa Niagara network dahil wala itong Network Key.
   1. Code sa Pag-verify ng Account
      Kapag ang isang Admin System Account ay idinagdag sa isa sa mga controllers sa network, ang isang Account Verification Code ay awtomatikong nabuo ng controller kung saan ang System Account ay idinagdag. Ang code na ito ay naka-synchronize sa lahat ng iba pang controller na may parehong Network Key at UDP port sa Ethernet network.
      Kapag nabuo na ang isang Account Verification Code, LAHAT ng controller sa network ay DAPAT magkaroon ng parehong Account Verification Code pati na rin ang parehong Network Key at UDP port.
      Example:
      Kung mayroong limang controller, lahat ng Advanced na controller ay may parehong Network Key. Apat ang may parehong Account Verification Code (AVC) at samakatuwid ay bumubuo ng isang network. Ang ikalima ay may ibang Account Verification Code at kahit na mayroon itong parehong Network Key, hindi ito makakasama sa iba pang mga controller.
3. Mga System Account
   Nagbibigay-daan ang mga system account sa mga tao at device na makipag-ugnayan sa Advanced na Controller. Ang ibinigay na access ay nakadepende sa uri ng account at tungkulin.
   Mayroong dalawang uri ng System Accounts:
   1. Account ng Engineering System
   2. Account ng System ng Device
   3. Account ng Engineering System
      Ang Engineering System Accounts ay inilaan para sa paggamit ng mga inhinyero. Ang bawat engineering System Account ay may pangalan ng account at password na dapat ibigay kapag hiniling ng controller. Kung ang isang wastong username at password ay ibinigay ang controller ay magbibigay ng access.

Dapat gumawa ng hiwalay na Engineering System Account para sa bawat tao. Maaaring itakda ang Engineering System Accounts sa isa sa dalawang tungkulin:

• Tungkulin sa Engineering
• Tungkulin ng Administrator

Tungkulin sa Engineering
Ang tungkulin ng Engineering ay nagbibigay ng kinakailangang pag-access para sa pag-engineer ng Advanced na system, paggawa/pamamahala ng Mga Device System Account at upang pamahalaan ang sariling mga detalye ng account ng user (email address, password atbp).
Tungkulin ng Administrator
Ang tungkulin ng Administrator ay nagbibigay ng parehong pag-access gaya ng tungkulin ng Engineering at ang kakayahang pamahalaan ang lahat ng Engineering at Device System Account.

Account ng System ng Device
Ang Mga Device System Account ay nilayon upang payagan ang mga device tulad ng Niagara na kumonekta sa network upang makuha ang kinakailangang impormasyon at gumawa ng mga pagbabago. Inirerekomenda na gumawa ng hiwalay na Device System Account para sa bawat device na mag-a-access sa network. May papel silang 'Supervisor'.

MAHALAGA
Mahalaga: Dapat na i-configure ang sariling sistema ng seguridad ng superbisor upang paghigpitan ang mga karapatan sa pag-access ng bawat user ng superbisor.

Paglikha ng System Account
Kailangang gumawa ng Engineering System Account na may Tungkulin ng Administrator sa unang pagkakataong gumawa ng pagtatangkang kumonekta sa isang vCNC sa Niagara network. Ang account na ito ay pagkatapos ay naka-synchronize sa iba pang mga controllers sa Niagara network

• Sumangguni sa “Synchronized Account Management” sa pahina 12. Maaaring gumawa ng mga karagdagang account kung kinakailangan gamit ang Niagara workbench.

TANDAAN
Sa unang pagkakataon na gumawa ng Engineering System Account sa isang controller, awtomatikong nabubuo at naka-synchronize ang Account Verification Code sa iba pang mga controller sa Ethernet network na may parehong Net-work Key at UDP port. Kapag ang isang controller ay may Account Verification Code maaari lamang itong sumali sa isang network na may mga controller na may parehong Account Verification Code – Sumangguni sa “Account Verification Code” sa pahina 11.

Naka-synchronize na Pamamahala ng Account
Madali at secure na sini-synchronize ng naka-synchronize na pamamahala ng account ang Mga System Account, kasama ang Account Verification Code, sa lahat ng Advanced na Controller sa parehong Niagara network. Ito ay nagbibigay-daan sa:

• Isang pag-log on para sa network
• Binawasan ang overhead ng pag-configure at pagpapanatili ng access sa buong site nang hindi binabawasan ang seguridad Ang lahat ng Advanced na Controller sa parehong network ay magkakaroon ng parehong System Accounts.

Kapag ang isang Advanced na Controller na walang anumang System Account ay nakakonekta sa Ethernet network at na-configure gamit ang Network Key at UDP port para sa Niagara network, sasali ito sa network at awtomatikong makukuha ang System Accounts nito mula sa iba pang mga controller sa Niagara network.

Example:
kung ang isang Advanced na Controller na walang anumang System Account ay idinagdag sa system sa itaas at bibigyan ng Network Key para sa Niagara network (112233) at UDP port ito ay sasali sa network at makuha ang kanyang System Accounts (User 1, User 2, User 3) mula sa iba pang Advanced Controllers sa Niagara network.
Kapag nakumpleto na ang pag-synchronize magiging posible na kumonekta sa anumang mga vCNC, ipakita web mga pahina at mag-log in sa anumang Advanced na controller sa Niagara network gamit ang alinman sa System Accounts.
Kung ang mga pagbabago ay ginawa sa System Accounts ie isang account ay idinagdag, tatanggalin o na-edit ang mga pagbabagong ito ay awtomatikong masi-synchronize sa lahat ng Advanced na Controller sa Niagara network.

Example:
kung mayroong limang Advanced na Controller, ang Mga System Account sa Controller (1) ay ine-edit upang alisin ang User 2, palitan ang pangalan ng User 3 sa User 3a at idinagdag ang User 4 ang mga pagbabago ay isi-synchronize sa Controller (2), Controller (3), Controller (4) at Controller (5).

TANDAAN:
Kung sa panahon ng pag-synchronize, may matuklasang salungatan, ang pinakabagong pagbabago ang uunahin.

Pagbabago ng Advanced Controller Network Key
Kapag ang isang Advanced Controller Network Key ay binago, ang lahat ng System Account nito ay tatanggalin at ito ay aalisin sa kasalukuyan nitong Niagara network. Ang pagbabago sa Network Key ay dapat na pinahintulutan ng isang wastong Engineer o Administrator System Account.
Kapag nagawa na ang pagbabago, sasali ito sa isang Niagara network gamit ang bagong Network Key, kung mayroon, at kukuha ng System Accounts mula sa Advanced Controller sa bagong Niagara network kung mayroon itong parehong UDP port.

Lokal na Seguridad
Ang lokal na seguridad ay gumagamit ng mga lokal na user (User Module) upang payagan ang pag-access sa Mga Advanced na Controller web mga pahina o isang lokal na konektadong display at upang kontrolin ang impormasyon na nakikita o mga halaga na maaaring isaayos.
Upang makakuha ng access at gumawa ng mga pagbabago ay dapat magbigay ng wastong username at password para sa isang lokal na user. Tinutukoy ng antas ng PIN ng user kung anong mga parameter ang makikita at maisasaayos ng user.

TANDAAN
HINDI naka-synchronize ang mga lokal na user sa iba pang Advanced na Controller sa network ng Niagara.

Access sa Web Mga pahina
Access sa controller's web Ang mga pahina ay protektado ng Advanced Controller na sistema ng seguridad. Kapag ang controller's web na-access ang server a web ipinapakita ang pahina na nagbibigay ng ilang pangunahing impormasyon at nagbibigay-daan sa isang user na mag-login – Sumangguni sa “Initial Access” sa pahina 13.
Ang mga user na nag-log in ay ituturing bilang mga naka-log in na user – Sumangguni sa “Mga Naka-log in na User” sa pahina 14. at mga user na nag-a-access sa web ang mga pahinang walang pag-log in ay bibigyan ng access gaya ng inilarawan sa “Initial Access” sa pahina 13.

Paunang Pag-access
Kapag ang controller's web Ang server ay unang na-access ang Welcome page na ipinapakita at ang access na ibinigay ay depende sa kasalukuyang configuration ng seguridad ng controller:

• Walang Engineering System Accounts at walang User modules (factory default)
• Ang pahina ng 'Welcome' ay ipinapakita at ganap na access sa controller's web mga pahina at ang kakayahang gumawa ng mga pagbabago ay ibibigay.

TANDAAN
Dahil walang Engineering System Accounts o user modules hindi ito magiging posible na mag-login.

Engineering System Accounts at walang User modules
Ang 'Welcome' na page ay ipinapakita, at ang controller ay magbibigay lamang ng access sa Sensor, Digital Input, Knob, Switch, Driver, Schedule, Time Schedule, Time, Plot modules, ang Alarm Log, at Graphics at hindi papayagan ang mga pagbabago.

TANDAAN
Magiging posible na mag-login gamit ang Engineering System Accounts.

• Engineering System Accounts at User modules
  Ang unang pagpapakita at pag-access ay kinokontrol ng mga module ng User. Kung may User module na tinatawag na 'Guest' na walang password kapag ang Advanced Controller web naa-access ang mga pahina nang hindi nagla-log in ang controller ay magbibigay ng mga karapatan sa pag-access (level ng user, home page, at view default) na tinukoy ng 'Bisita' na module ng User.
  Bilang default, ang 'Bisita' na module ng User ay nagbibigay lamang ng access sa Advanced na 'Welcome' na pahina at may antas ng user na '0'. Nangangahulugan ito na ang isang user na nag-a-access sa controller nang hindi nagla-log in ay magagawa lang view ang pahina ng 'Welcome'. Upang mabigyan ng higit na access ang 'Bisita' na user ay maaaring i-configure sa parehong paraan tulad ng anumang iba pang Type 0 User Module.

TANDAAN:
Pinipigilan ng Niagara workbench ang user na 'Bisita' na mabigyan ng password, PIN, o antas ng user na mas mataas sa '0'. Pinapayagan nito ang isang home page at view mga default na iko-configure.

Lubos na inirerekumenda na ang Bisita na gumagamit ay naiwan sa default na configuration (level ng user na '0' at hindi view karapatan).
Kung walang User module na tinatawag na 'Guest' o ito ay na-configure gamit ang isang password ang 'Welcome' na page ay ipinapakita, at ang controller ay magbibigay lamang ng access sa Sensor, Digital Input, Knob, Switch, Driver, Schedule, Time Schedule, Time, Plot modules, ang Alarm Log, at Graphics at hindi papayagan ang mga pagbabago.

TANDAAN
Magiging posible na mag-login gamit ang Engineering System Accounts at anumang User modules na umiiral.

Naka-log in na Mga User
Upang mag-log in sa isang Advanced na Controller web mga pahina ang isang user name at password na tugma para sa isa sa Advanced Controller Engineering System Accounts o Type 0 User Module ay dapat na ilagay.

Pagbawi ng Password
Kung nakalimutan ng isang user ang kanilang password maaari itong mabawi sa pamamagitan ng paggamit ng Niagara workbench. Para sa mga detalye ng pagbawi ng nakalimutang password gamit ang Niagara tingnan ang Niagara workbench User guide.

PAG-SECURE SA NIAGARA OPERATING SYSTEM

 Pangkalahatang Mabuting Pagsasanay
Sundin ang pangkalahatang mabuting kasanayan para sa pag-secure ng operating system tulad ng:

• Screen saver na protektado ng password
• Drive encryption software

Setting ng Firewall
Dapat na i-configure ang operating system na gumamit ng firewall na awtomatikong ina-update. Dapat pigilan ng configuration ang pag-access (IN/OUT) para sa lahat ng port maliban sa kung saan kailangan ang access, HUWAG iwanang bukas ang anumang hindi nagamit na port.

Bersyon ng Operating System
DAPAT mong tiyakin na anumang device na nagpapatakbo ng mga Niagara application o nakakonekta sa parehong IP network ay may mga pinakabagong update sa operating system na naka-install. Mabuting kasanayan upang matiyak na ang Windows Updates ay naiwan sa awtomatiko at na sila ay na-install sa isang napapanahong paraan.

Proteksyon laban sa virus
DAPAT mong tiyakin na ang anumang mga computer na nagpapatakbo ng mga application ng Niagara o konektado sa parehong IP network ay nagpapatakbo ng software na proteksyon ng virus, at ang mga kahulugan ng virus ay pinananatiling napapanahon.

 Pagprotekta sa Intrusion
Inirerekomenda ang paggamit ng Intrusion Detection System (IDS) mula sa isang kagalang-galang na provider ng mga produkto ng seguridad sa anumang computer na nagpapatakbo ng Niagara application. Sundin ang pinakamahusay na kasanayan para sa mga produktong pinili pati na rin ang anumang corporate IT policy kung saan ginawa ang pag-install.
Maraming mga produkto ng IDS at firewall ang nag-aalok ng kumpletong solusyon para sa pagtatala ng lahat ng trapikong papasok at palabas sa computer, na nagbibigay sa mga user ng kakayahang itala ang lahat ng aktibidad sa pinakamababang antas.

PANGKALAHATANG DATA PROTECTION REGULATION (GDPR)

Ang General Data Protection Regulation (EU)2016/679 (GDPR) ay isang regulasyon sa batas ng EU sa proteksyon ng data at privacy para sa lahat ng indibidwal na mamamayan ng European Union (EU) at ng European Economic Area (EEA). Tinutugunan din nito ang paglilipat ng personal na data sa labas ng mga lugar ng EU at EEA. Ang GDPR ay naglalaman ng mga probisyon at kinakailangan na nauugnay sa pagproseso ng personal na data ng mga indibidwal (mga paksa ng data) sa loob ng EEA at nalalapat sa anumang negosyong itinatag sa EEA (anuman ang lokasyon nito at ang pagkamamamayan ng mga paksa ng data) o na nagpoproseso ng personal na impormasyon ng mga paksa ng data sa loob ng EEA.
Sa ilalim ng mga tuntunin ng GDPR, kasama sa personal na data ang anumang impormasyon na maaaring gamitin upang makilala ang isang indibidwal. Kabilang dito ang (ngunit hindi limitado sa):

• mga user name,
• mga password,
• mga numero ng telepono,
• mga email address,
• mga address ng trabaho o tirahan.

Anumang naturang impormasyon na ipinasok sa Advanced Controller, HMI, at IO Module ay naka-encrypt at naka-imbak sa Advanced na mga produkto sa lugar ng isang customer. Walang kinalaman ang Honeywell sa pag-iimbak at/o pagproseso ng personal na data sa loob ng mga produkto ng Advanced na Honeywell.
Ang responsibilidad para sa pagsunod sa mga kinakailangan ng GDPR ay ganap na nakasalalay sa system integrator o system administrator at, dahil dito, dapat nilang tiyakin na may sapat na teknikal at organisasyonal na mga sistema upang:

• kumuha ng tahasang pahintulot mula sa bawat paksa ng data para sa personal na data na maimbak, magamit at/o maproseso,
• payagan ang mga indibidwal na magkaroon ng access sa kanilang personal na data upang ma-verify ang katumpakan,
• payagan ang mga indibidwal na bawiin ang kanilang pahintulot anumang oras at permanenteng mabura ang kanilang personal na data,
• panatilihin ang seguridad at integridad ng pag-iimbak at pag-access ng data sa lahat ng oras,
• iulat ang anumang mga paglabag sa seguridad ng data (na maaaring makaapekto sa privacy ng user) sa may-katuturang awtoridad sa loob ng 72 oras pagkatapos mangyari ang paglabag.

LIGTAS NA KOMUNIKASYON

Sinusuportahan ng Public Key Infrastructure (PKI) ang pamamahagi at pagkakakilanlan ng mga pampublikong encryption key na ginagamit upang protektahan ang pagpapalitan ng data sa mga network, gaya ng Internet. Bine-verify ng PKI ang pagkakakilanlan ng kabilang partido at ine-encode ang aktwal na paghahatid ng data. Ang pagpapatunay ng pagkakakilanlan ay nagbibigay ng hindi tinatanggihan na katiyakan ng pagkakakilanlan ng server. Ang pag-encrypt ay nagbibigay ng kumpidensyal sa panahon ng paghahatid ng network. Ang pag-aatas ng mga naka-sign na module ng code ay tumitiyak na ang inaasahang code lang ang tatakbo sa system.

Upang magbigay ng mga secure na network gamit ang PKI, sinusuportahan ng Niagara ang TLS (Transport Layer Security) protocol, mga bersyon 1.0, 1.1 at 1.2. Pinapalitan ng TLS ang hinalinhan nito, ang SSL (Secure Sockets Layer).
Ang bawat pag-install ng Niagara ay awtomatikong lumilikha ng isang default na sertipiko, na nagpapahintulot sa koneksyon na ma-encrypt kaagad. Gayunpaman, ang mga certificate na ito ay bumubuo ng mga babala sa browser at Workbench at sa pangkalahatan ay hindi angkop para sa mga end user. Ang paggawa at paglagda ng mga custom na digital na certificate ay nagbibigay-daan sa walang putol na paggamit ng TLS sa browser, at nagbibigay ng parehong pag-encrypt pati na rin ng pagpapatunay ng server.
Higit pa sa seguridad ng komunikasyon, ang bawat module ng computer code na tumatakbo sa system ay protektado ng isang digital na lagda. Ang mga idinagdag na bagay sa programa ay nangangailangan ng lagda na ito o hindi sila tumatakbo.

Ang pag-verify sa server, pag-encrypt ng transmission at pagtiyak na ang mga sign na code lang ang tumatakbo ay hindi nakaka-secure ng data na nakaimbak sa isang storage device. Kailangan mo pa ring paghigpitan ang pisikal na pag-access sa mga computer at controller na namamahala sa iyong modelo ng gusali, mag-set up ng pagpapatunay ng user gamit ang malalakas na password, at secure na mga bahagi sa pamamagitan ng pagkontrol sa mga pahintulot.
Sinusuportahan at ginagamit ng Niagara ang secure na komunikasyon at nilagdaang code bilang default. Hindi mo kailangang bumili ng karagdagang lisensya.
Ang seguridad ay isang patuloy na alalahanin. Habang makakahanap ka ng maraming mahalagang impormasyon sa mga secure na paksa ng komunikasyon, asahan ang mga update at pagbabago sa hinaharap.
Nasa ibaba ang mga secure na komunikasyon. Para sa higit pang mga detalye sumangguni sa gabay sa Seguridad ng Istasyon ng Niagara.

• Mga relasyon sa kliyente/server
• Mga sertipiko
• Mga tindahan ng sertipiko
• Istruktura ng folder ng CSR
• Naka-set up ang certificate
• Certificate Wizard
• Pagpirma ng maramihang mga sertipiko
• Pag-configure ng secure na komunikasyon sa platform
• Pag-configure ng ligtas na komunikasyon sa istasyon
• Paganahin ang mga kliyente at pag-configure sa kanila para sa tamang port
• Pag-install ng kopya ng istasyon sa ibang platform
• Pag-secure ng email
• Secure na pag-troubleshoot ng komunikasyon

Mga relasyon sa kliyente/server
Tinutukoy ng mga ugnayan ng kliyente/server ang mga koneksyon na nangangailangan ng proteksyon. Ang mga ugnayan ng kliyente/server sa Workbench ay nag-iiba depende sa kung paano mo iko-configure at ginagamit ang isang system. Ang workbench ay palaging isang kliyente. Ang isang platform ay palaging isang server. Ang isang istasyon ay maaaring isang kliyente at isang server.
Ang mga protocol ng system na namamahala sa mga komunikasyon ay:

• Ang mga koneksyon sa platform mula sa Workbench (client) hanggang sa controller o Supervisor PC platform daemon (server) ay gumagamit ng Niagara. Ang isang secure na koneksyon sa platform ay tinutukoy kung minsan bilang mga platformtl. I-enable mo ang platformtls gamit ang Platform Administration view.
• Ang mga lokal na koneksyon sa istasyon (Supervisor at platform) ay gumagamit ng Foxs. I-enable mo ang mga koneksyong ito sa FoxService ng isang istasyon (Config > Services > FoxService).
• Gumagamit ang mga koneksyon sa browser ng Https, pati na rin ang Foxs kung gumagamit ka Web Launcher na may WbWebProfile. I-enable mo ang mga koneksyong ito gamit ang mga istasyon WebSerbisyo (Config > Mga Serbisyo > WebSerbisyo).
• Mga koneksyon ng kliyente sa email server ng istasyon, kung naaangkop. I-enable mo ang secure na email gamit ang EmailService ng istasyon (Config > Services > EmailService).

MGA SERTIPIKO
Ang isang sertipiko ay isang elektronikong dokumento na gumagamit ng isang digital na lagda upang itali ang isang pampublikong susi sa isang tao o organisasyon. Maaaring magsilbi ang mga certificate ng iba't ibang layunin depende sa kung paano mo iko-configure ang property ng Key Usage ng certificate. Ang kanilang pangunahing layunin sa system na ito ay i-verify ang pagkakakilanlan ng isang server upang mapagkakatiwalaan ang komunikasyon. Para sa higit pang mga detalye mangyaring sumangguni sa Niagara Station Security Guide – Sertipiko.
Sinusuportahan ng Niagara ang mga ganitong uri ng mga sertipiko:

• Ang sertipiko ng CA (Certificate Authority) ay isang self-signed certificate na kabilang sa isang CA. Ito ay maaaring isang third party o isang kumpanya na nagsisilbing sarili nitong CA.
• Ang root CA certificate ay isang self-signed na CA certificate na ang pribadong key ay ginagamit para lagdaan ang iba pang mga certificate na lumilikha ng pinagkakatiwalaang certificate tree. Gamit ang pribadong key nito, maaaring i-export ang isang root CA certificate, iimbak sa isang USB thumb drive sa isang vault, at ilabas lamang kapag kailangang pirmahan ang mga certificate. Ang pribadong key ng root CA certificate ay nangangailangan ng paglikha ng isang password sa pag-export at ang probisyon ng parehong password kapag ginamit mo ito upang pumirma sa iba pang mga certificate.
• Ang Intermediate certificate ay isang CA certificate na nilagdaan ng root CA certificate na ginagamit para pumirma sa mga certificate ng server o iba pang intermediate na certificate ng CA. Ang paggamit ng mga intermediate na sertipiko ay naghihiwalay ng isang pangkat ng mga sertipiko ng server.
• Ang isang server certificate ay kumakatawan sa server-side ng isang secure na koneksyon. Habang maaari kang mag-set up ng hiwalay na certificate para sa bawat protocol (Foxs, Https, Webs). Bagama't maaari mong i-configure ang isang platform at istasyon (bilang server) na may hiwalay na mga sertipiko ng server, para sa pagiging simple karamihan sa mga system ay karaniwang gumagamit ng parehong sertipiko ng server.
• Ang certificate-signing certificate ay isang certificate na ginagamit para lagdaan ang mga object at module ng program. Ginagamit ng mga system integrator ang certificate na ito para pigilan ang pagpapakilala ng malisyosong code kapag kino-customize nila ang framework.

Mga sertipiko na nilagdaan ng sarili
Ang self-signed certificate ay isa na nilagdaan bilang default gamit ang sarili nitong pribadong key kaysa sa pribadong key ng root CA (Certificate Authority) certificate.
Sinusuportahan ng system ang dalawang uri ng mga self-signed certificate:

• Ang isang root CA certificate ay tahasang pinagkakatiwalaan dahil walang mas mataas na awtoridad kaysa sa CA (Certificate Authority) na nagmamay-ari ng certificate na ito. Para sa kadahilanang ito, ang mga CA, na ang negosyo ay mag-endorso ng mga sertipiko ng ibang tao, ay mahigpit na nagbabantay sa kanilang (mga) root CA certificate at pribadong mga susi. Gayundin, kung ang iyong kumpanya ay nagsisilbing sarili nitong CA, dapat mong bantayang mabuti ang root CA certificate na iyong ginagamit upang pumirma sa iba pang mga certificate.
• Default, self-signed certificate: Sa unang pagkakataong magsisimula ka ng isang instance ng Workbench, isang platform o isang istasyon pagkatapos ng pag-install (commissioning), ang system ay gagawa ng default, self-signed server certificate na may alias ng tridium.

TANDAAN:
Huwag i-export ang certificate na ito at i-import ito sa anumang tindahan ng ibang platform o istasyon. Bagama't posible, ang paggawa nito ay nagpapababa ng seguridad at nagpapataas ng kahinaan.
Upang mabawasan ang panganib ng isang man-in-the-middle na pag-atake kapag gumagamit ng mga self-signed certificate, ang lahat ng iyong mga platform ay dapat na nasa isang secure na pribadong network, off line, at walang pampublikong access mula sa Internet.

MAG-INGAT
Upang gumamit ng mga sertipiko na nilagdaan ng sarili, bago mo i-access ang platform o istasyon mula sa Workbench sa unang pagkakataon, siguraduhin na ang iyong computer at ang platform ay wala sa anumang corporate network o sa Internet. Kapag nadiskonekta, direktang ikonekta ang computer sa platform, buksan ang platform mula sa Workbench, at aprubahan ang self-signed certificate nito. Pagkatapos lamang ay dapat mong muling ikonekta ang platform sa isang corporate network.

Pangalan ng kombensiyon
Ang User Key Store, User Trust Store, at System Trust Store ang bumubuo sa puso ng configuration. Magkamukha ang mga certificate, at ang iba't ibang default na self-signed na mga certificate ay pareho ang pangalan.

Mga tindahan ng sertipiko
Gumagamit ang pamamahala ng certificate ng apat na tindahan para pamahalaan ang mga certificate: isang User Key Store, System Trust Store, User Trust Store at Allowed Hosts list.
Ang User Key Store ay nauugnay sa bahagi ng server ng relasyon ng client-server. Ang tindahang ito ay may hawak na mga sertipiko, bawat isa ay may pampubliko at pribadong mga susi. Bilang karagdagan, naglalaman ang tindahang ito ng self-signed certificate na unang ginawa noong inilunsad mo ang Workbench o na-boot ang platform sa unang pagkakataon.
Ang User at System Trust Stores ay nauugnay sa panig ng kliyente ng relasyon ng client-server. Ang System Trust Store ay pre-populated na may mga karaniwang pampublikong certificate: root CA certificate mula sa mga kilalang Certificate Authority, gaya ng VeriSign, Thawte at Digicert. Ang User Trust Store ay may hawak na root CA at mga intermediate na certificate para sa mga kumpanyang nagsisilbing sarili nilang awtoridad sa certificate.
Ang listahan ng Allowed Hosts ay naglalaman ng (mga) server certificate kung saan walang pinagkakatiwalaang root CA certificate na umiiral sa System o User Trust Stores ng kliyente, ngunit ang mga server certificate ay naaprubahan para magamit pa rin. Kabilang dito ang mga server kung saan ang host name ng server ay hindi katulad ng Common Name sa certificate ng server. Inaprubahan mo ang paggamit ng mga certificate na ito sa isang indibidwal na batayan. Habang ligtas ang komunikasyon, mas mainam na gumamit ng mga naka-sign na sertipiko ng server.

Pag-encrypt
Ang pag-encrypt ay ang proseso ng pag-encode ng paghahatid ng data upang hindi ito mabasa ng mga hindi pinagkakatiwalaang third party. Gumagamit ang TLS ng encryption upang magpadala ng data sa pagitan ng kliyente at server. Bagama't posibleng gumawa ng hindi naka-encrypt na koneksyon gamit lamang ang fox o http na mga protocol, lubos kang hinihikayat na huwag ituloy ang opsyong ito. Kung walang pag-encrypt, ang iyong mga komunikasyon ay posibleng mapailalim sa isang pag-atake. Palaging tanggapin ang mga default na koneksyon ng Foxs o Https.

TAPOS NA ANG DASHBOARD NG SECURITYVIEW
Sa Niagara 4.10u5 at mas bago, ang tampok na Security Dashboard ay nagbibigay (para sa admin at iba pang mga awtorisadong user) ng isang ibon. view ng configuration ng seguridad ng iyong istasyon. Nagbibigay-daan ito sa iyong madaling masubaybayan ang configuration ng seguridad sa maraming serbisyo ng istasyon, at tukuyin ang anumang mga kahinaan ng configuration ng seguridad sa istasyon.

MAG-INGAT
Ang Dashboard ng Seguridad View maaaring hindi ipakita ang lahat ng posibleng setting ng seguridad, at hindi dapat ituring bilang isang garantiya na ang lahat ay na-configure nang secure. Sa partikular, ang mga third party na module ay maaaring may mga setting ng seguridad na hindi nakarehistro sa dashboard.

Ang Dashboard ng Seguridad view ay ang pangunahing view sa SecurityService ng istasyon. Ang view inaalertuhan ka sa mga kahinaan sa seguridad gaya ng mahinang setting ng lakas ng password; nag-expire, self-signed o di-wastong mga sertipiko; hindi naka-encrypt na transport protocol, atbp., na nagsasaad ng mga lugar kung saan dapat maging mas secure ang configuration. Kasama sa iba pang naiulat na data ang: kalusugan ng system, bilang ng mga aktibong account, mga hindi aktibong account, bilang ng mga account na may mga pahintulot ng super-user, atbp. Bilang opsyon, ang attribute na "system" sa feature ng lisensya na "securityDashboard" ay maaaring itakda sa "true" upang paganahin ang System View ng istasyon na nagbibigay ng mga detalye ng seguridad para sa bawat subordinate na istasyon sa NiagaraNetwork.
Ang Security Dashboard ang pangunahing view para sa Mga Serbisyo sa Seguridad. Para sa kumpletong detalye sa view, Sumangguni sa “nss-SecurityDashboardView” sa Niagara Station Security Guide.

PAGPAPLANO AT PAG-INSTALL

Kasama sa seksyong ito ang impormasyon para sa pagpaplano at pagsasagawa ng pag-install ng Advanced na Plant Controller.

Inirerekomenda ang pag-install at pagsasaayos
Ang sumusunod na seksyon ay naglalarawan ng dalawang inirerekomendang configuration ng pag-install.

• BACnetTM lang
• BACnetTM at Niagara

BACnetTMBACnetTM lang
Kapag ang Advanced Plant Controller ay ginagamit lamang para sa mga komunikasyon ng BACnetTM, ikonekta lamang ang Ethernet 1 sa BAS network kung saan tatakbo ang BACnetTM (BACnetTM/IP o BACnetTM/Ethernet).

BACnetTM at Niagara
Kapag ginamit ang Niagara sa Advanced na Plant Controller, maaari itong i-configure upang magbigay ng mga serbisyo, gaya ng web mga serbisyo o Niagara FOXS, sa Internet/intranet/corporate network. Kung ito ang kaso, ikonekta ang Ethernet 2 sa Internet/ intranet/corporate network sa pamamagitan ng BAS firewall upang magbigay ng mga serbisyo sa network na iyon.

Rekomendasyon ng Local Area Networks (LAN).
Tiyaking gumagana ang mga system sa naaangkop na patakaran sa password para sa access ng user sa lahat ng serbisyo. Kasama sa patnubay na ito, ngunit hindi limitado sa:

1. Ang paggamit ng malakas na password.
2. Isang inirerekomendang cycle ng password.
3. Mga natatanging user name at password para sa bawat user ng system.
4. Mga panuntunan sa pagbubunyag ng password.
5. Kung kailangan ng malayuang pag-access sa mga IT-based na sistema ng kontrol sa gusali, gumamit ng teknolohiya ng VPN (Virtual Private Network) upang bawasan ang panganib ng pagharang ng data at protektahan ang mga control device mula sa direktang ilagay sa Internet.

DOKUMENTASYON

Ang dokumentasyon ay mahalaga sa pagkuha ng disenyo at impormasyon ng pagsasaayos na kinakailangan upang mapanatili ang isang secure na sistema.

Idokumento ang mga pisikal na device at configuration, kabilang ang pangunahing impormasyong nauugnay sa seguridad
Ang lahat ng dokumentasyon sa mga device at configuration ay dapat na may kasamang impormasyong nauugnay sa seguridad upang maitatag at mapanatili ang nilalayong mga kontrol sa seguridad. Para kay exampKung ang mga pagbabago sa mga default na serbisyo o port ay ginawa sa Advanced na Plant Controller, malinaw na idokumento ang mga ito upang ang mga setting ay maibalik sa isang punto sa hinaharap.

Idokumento ang mga panlabas na system, lalo na ang pakikipag-ugnayan sa pagitan ng Advanced na Plant Controller at mga kaugnay nitong sistema
Ang BAS ay karaniwang nangangailangan o gumagamit ng mga panlabas na system para sa functionally, tulad ng umiiral na imprastraktura ng network, VPN access, virtual machine host, at mga firewall. Kung hinihiling ng BAS na i-configure ang mga system na iyon sa isang tiyak na paraan para sa seguridad, tulad ng pagpapahintulot o pagtanggi ng firewall sa ilang port o network na nagpapahintulot ng access sa ilang partikular na system, dapat mong idokumento ang impormasyong ito. Kung ang mga sistemang ito ay kailangang maibalik sa isang punto sa hinaharap, Halample: dahil sa pagkabigo ng kagamitan, o kailangang gawin ang mga pagbabago sa mga panlabas na sistema, Halample: ang pag-upgrade ng firewall, kapag naidokumento ang impormasyong ito ay makakatulong sa iyong ibalik sa dating antas ng seguridad.

ACCESS CONTROL AT PISIKAL NA SEGURIDAD
Kasama sa kontrol sa pag-access ang pagtukoy at paglilimita sa pag-access sa mga device o function sa mga awtorisadong user lamang.

Pisikal na i-secure ang Advanced na Plant Controller, HMI, at IO Module
Pigilan ang hindi awtorisadong pag-access sa network equipment na ginagamit kasabay ng mga system na ibinigay ng Honeywell. Sa anumang sistema, ang pagpigil sa pisikal na pag-access sa network at kagamitan ay binabawasan ang panganib ng hindi awtorisadong panghihimasok. Ang pinakamahuhusay na kagawian sa seguridad sa mga IT installation ay magtitiyak na ang mga server room, patch panel, at IT equipment ay nasa mga naka-lock na kwarto. Ang kagamitan ng Honeywell ay dapat na naka-install sa loob ng mga naka-lock na control cabinet, na matatagpuan mismo sa mga secured na silid ng halaman.

Sticker sa ibabaw ng controller access panel o enclosure
Mag-apply saamper-evident na sticker sa ibabaw ng Advanced Plant Controller, HMI, at IO Module access panel o enclosure
Kung ang isang customer ay nangangailangan ng karagdagang katiyakan na ang pisikal na pag-access na nagpoprotekta sa isang Advanced na Plant Controller, HMI, at IO Module ay hindi pa naipasok, pagkatapos ay i-install saamper-evident na selyo o sticker sa ibabaw ng access point.

Paghiwalayin at protektahan ang mga network

1. Gumamit ng firewall sa pagitan ng Internet/intranet/corporate network at ng BAS.
2. Gumamit ng hiwalay na nakalaang pisikal na network (hiwalay na mga wire) o virtual network (mga VLAN) para sa BACnetTM communi-cation. Ito ay dapat na isang hiwalay na network mula sa Internet/ intranet/corporate network.
3. Huwag ikonekta ang EN2 sa Advanced Plant Controller sa anumang network maliban kung kailangan mo ng mga serbisyo ng Niagara (Platform, Station, at/o Webserver). Kung kailangan mong ikonekta ang EN2 sa Internet/ intranet/corporate network, dapat kang gumamit ng external na BAS firewall sa pagitan ng Advanced na Plant Controller at Inter-net/intranet/corporate network.

Wireless Security

1. Kailangang mulingview seguridad ng wireless network batay sa topology ng network, na tinitiyak na walang hindi sinasadyang pagkakalantad sa pampublikong INTERNET at ang proteksyon ng BAS firewall ay hindi nalampasan.
2. Mahalagang palaging gamitin ang pinakamataas na magagamit na wireless na teknolohiya sa seguridad, gaya ng WPA2 o WPA3. Bukod pa rito, dapat na ligtas na protektahan ng mga user ang kanilang mga password, kabilang ngunit hindi limitado sa mga Wi-Fi password at BluetoothTM PIN code. Huwag kailanman payagan ang controller na kumonekta sa isang bukas na wireless network o mag-set up ng isang bukas na wireless access point.
3. Palaging iwasan ang pagkonekta ng mga hindi awtorisadong device sa wireless network o pagtatatag ng mga koneksyon sa BluetoothTM upang maiwasan ang mga potensyal na pagsasamantala.
4. Responsibilidad ng gumagamit na regular na mulingview mga setting ng seguridad, baguhin ang mga password o passcode ayon sa patakaran sa seguridad, at subaybayan ang mga konektadong device sa wireless network at mga subnet. Dapat ding idokumento ng mga user ang mga aktibidad sa pag-audit na ito.

PAG-SECURE NG ADVANCED CONTROLLER, HMI, AT IO MODULE

1. Mga Kredensyal ng Admin System Account na Ibinigay sa User ng Site
   Ang mga kredensyal ng 'Admin' System Account ay dapat ibigay sa may-ari ng site upang payagan silang pamahalaan ang Mga System Account.
2. Pagbuo ng Programang Pangseguridad
   Sumangguni sa 'General Security Best Practice'
3. Pagsasaalang-alang sa Pisikal at Pangkapaligiran
   Ang Advanced na Controller, HMI, at IO Module ay dapat na naka-install sa loob ng isang naka-lock na kapaligiran hal na matatagpuan sa isang secured plant room, o isang naka-lock na cabinet.

TANDAAN
Tiyaking sapat na bentilasyon.

Mga Update sa Seguridad at Mga Service Pack
Tiyaking pinapagana ng Advanced na Controller, HMI, at IO Module ang pinakabagong release ng firmware.

MGA USER at PASSWORDS

Mga gumagamit
Tiyaking naaangkop ang bilang ng mga user at antas ng access na ibinigay para sa mga aktibidad na kailangan nilang gawin.

• Sa antas ng controller device, i-configure ang mga system account o user sa mga controller para sa Web kliyente, Supervisor at Peer-to-peer na pag-access.
  Ang pag-configure ng mga module ng User sa Advanced na mga controller, nangangahulugan ito na ang isang user ay kailangang mag-log in sa isang device na may wastong mga kredensyal bago magawa ang mga pagsasaayos. Tiyaking itinalaga ang naaangkop na mga karapatan sa pag-access para sa mga account at user ng system.
• Gumamit ng Iba't ibang Account para sa Bawat User
  Gumamit ng mga natatanging pangalan at password para sa bawat user/account sa system, sa halip na generic na pag-access. Ang iba't ibang tao ay hindi dapat magbahagi ng parehong account. Para kay exampSa halip, sa halip na isang pangkalahatang 'manager' na account na maaaring gamitin ng maraming tagapamahala, ang bawat tagapamahala ay dapat magkaroon ng kanilang sariling, hiwalay na account.

Maraming dahilan para magkaroon ng sariling indibidwal na account ang bawat user:

Kung ang bawat tao ay may sariling account, ang mga audit log ay magiging mas nagbibigay-kaalaman. Madaling matukoy kung sinong user ang gumawa ng ano. Makakatulong ito sa pagtukoy kung ang isang account ay nakompromiso.

TANDAAN
Hindi lahat ng produkto ay may pasilidad ng audit log, ngunit kung saan magagamit ay hindi ito dapat i-disable.

• Kung aalisin o binago ang isang account, hindi ito nakakaabala sa maraming tao. Para kay exampSa gayon, kung ang isang tao ay hindi na dapat magkaroon ng access, ang pagtanggal ng kanilang indibidwal na pag-access ay simple. Kung ito ay isang nakabahaging account, ang tanging pagpipilian ay upang baguhin ang password at ipaalam sa lahat, o tanggalin ang account at abisuhan ang lahat. Ang pag-iwan sa account bilang-ayon ay hindi isang opsyon - ang layunin ay bawiin ang pag-access.
• Kung ang bawat tao ay may sariling account, mas madaling maiangkop ang mga pahintulot upang tumpak na matugunan ang kanilang mga pangangailangan. Ang isang nakabahaging account ay maaaring magresulta sa mga tao na magkaroon ng higit na mga pahintulot kaysa sa nararapat.
  Ang isang nakabahaging account ay nangangahulugang isang nakabahaging password. Ito ay isang napakasamang kasanayan sa seguridad na magbahagi ng mga password. Ginagawa nitong mas malamang na ma-leak ang password, at ginagawang mas mahirap na ipatupad ang ilang pinakamahuhusay na kasanayan sa password, tulad ng pag-expire ng password.
• Paggamit ng Mga Natatanging Gumagamit ng Engineering para sa Mga Proyekto
  Karaniwang kasanayan na ang ilang kumpanya ay gumagamit ng parehong mga detalye ng account sa bawat proyekto. Kapag nalaman na ito kung ang isang system ay nakompromiso, ang umaatake ay maaaring magkaroon ng mga kredensyal para sa pag-access sa maraming iba pang mga proyektong na-install ng parehong kumpanya.
• I-disable ang Mga Kilalang Account Kapag Posible
  May mga default na account ang ilang produkto. Dapat itong i-configure upang ang password ay hindi na ang default.
• Italaga ang Minimum na Kinakailangang Pahintulot para sa mga user
  Tiyaking mga kinakailangang account lang ang naka-set up sa system na may mga minimum na antas ng seguridad na kinakailangan sa halip na ganap na pag-access. Kapag gumagawa ng bagong account, isipin kung ano ang kailangang gawin ng tao sa system, at pagkatapos ay italaga ang mga minimum na pahintulot na kinakailangan para gawin ang trabahong iyon. Para kay exampAng isang tao na kailangan lang makakita ng mga alarma ay hindi nangangailangan ng access ng administrator. Ang pagbibigay ng mga pahintulot na hindi kinakailangan ay nagpapataas ng pagkakataon ng isang paglabag sa seguridad. Maaaring hindi sinasadya (o sinasadya) ng user na baguhin ang mga setting na hindi nila dapat baguhin.
• Gamitin ang Minimum na Posibleng Bilang ng mga System Administrator account
  Magtalaga lamang ng mga pahintulot sa Mga Administrator ng System kapag talagang kinakailangan. Ang ganitong uri ng account ay isang napakalakas na account – nagbibigay-daan ito sa kumpletong access sa lahat. Ang system administrator lang ang dapat magkaroon ng access sa account. Pag-isipan din ang pagbibigay sa System Administrator ng dalawang account, isa para sa pang-araw-araw na pag-access upang pamahalaan ang pang-araw-araw na aktibidad, at isang pangalawang mataas na antas ng access na account na kinakailangan lamang kapag kinakailangan ang mga pagbabago sa uri ng administrasyon.

Mga password
Ang Niagara system at mga operating system na ginamit ang Advanced na mga produkto ng Honeywell ay gumagamit ng mga password upang patotohanan ang 'mga user' sa isang Supervisor, Display, Tool o Operating system. Ito ay partikular na mahalaga upang mahawakan nang tama ang mga password. Ang hindi paggamit ng pinakaunang antas ng seguridad na ito ay mangangahulugan ng sinumang ma-access ang system sa pamamagitan ng isang display, web magkakaroon ng access ang kliyente o superbisor upang gumawa ng mga pagsasaayos. Tiyaking gumagana ang Niagara system sa isang naaangkop na patakaran sa password para sa pag-access ng user, kasama sa guideline na ito, ngunit hindi limitado sa:

• Ang paggamit ng mga malalakas na password – Ang mga malalakas na password ay dapat gamitin. Sumangguni sa pinakabagong mga pamantayan sa seguridad para sa mga detalye kung ano ang gumagawa ng isang malakas na password.
• Isang inirerekumendang oras ng pag-ikot ng password – Ang ilang mga produkto ng Niagara ay nagpapahintulot sa administrator ng system na tukuyin ang isang panahon pagkatapos kung saan ang isang password ay dapat palitan. Bagama't hindi lahat ng produkto ay kasalukuyang nagpapatupad ng panahon ng pagpapalit ng password na ito ay maaaring irekomenda ng isang patakaran sa site.
• Mga panuntunan sa pagsisiwalat ng password – DAPAT tiyakin ng user na hindi nila isisiwalat ang mga detalye ng kanilang user name at password, sa iba at upang hindi isulat ang mga ito.

PAG-CONFIGURING NG ISANG ADVANCED PLANT CONTROLLER
Para sa pagsasaayos ng isang advanced na controller ng halaman, Sumangguni sa Pagtuturo sa Pag-install at Gabay sa Pagkomisyon
(31-00584). Sumangguni sa HMI Driver guide (31-00590) para sa HMI, at Panel Bus Driver Guide (31-00591) para sa IO module.

Gumawa at magpanatili ng mga baseline na configuration
Gumawa at magpanatili ng baseline ng mga configuration ng Advanced na Plant Controller na maayos na na-configure para sa seguridad. Tiyaking kasama rin sa baseline na ito ang DCF files at mga bahagi ng Niagara. Huwag gumawa ng mga hindi secure na configuration sa baseline upang maiwasan ang hindi sinasadyang paglalapat ng mga ito sa hinaharap. I-update ang anumang nauugnay na dokumentasyon kapag nagbago ang mga configuration.

 Baguhin ang mga default na password
Baguhin ang lahat ng default na password: Console Configuration password, ang backup/Restore/Restart/Control password, at ang Niagara Platform password. Kapag kinukumpleto ang pagkomisyon, tiyaking protektado ng password ang device. Tiyaking itinalaga ang mga naaangkop na antas ng user para sa mga user ng site.

Karagdagang Pagsasaalang-alang

Kasunduan sa Antas ng Serbisyo
Magpatibay ng naaangkop na patakaran sa pag-update para sa imprastraktura na naka-install sa site bilang bahagi ng isang kasunduan sa antas ng serbisyo. Dapat kasama sa patakarang ito, ngunit hindi limitado sa, pag-update ng mga sumusunod na bahagi ng system sa pinakabagong release:

• Firmware ng mga device para sa controller, IO modules, HMI, atbp.;
• Supervisor software, tulad ng Arena NX software;
• Mga operating system ng Computer / Server;
• Imprastraktura ng network at anumang remote access system.

configuration ng IT network
I-configure ang magkahiwalay na IT network para sa mga automation control system at corporate IT Network ng customer. Ito ay maaaring makamit sa pamamagitan ng pag-configure ng mga VLAN (Virtual LAN) sa loob ng IT infrastructure ng customer o sa pamamagitan ng pag-install ng air-gapped na hiwalay na imprastraktura ng network na nakatuon sa mga automation control system.
Kapag nakikipag-interfacing sa mga controllers gamit ang isang sentralisadong system supervisor (Example: Niagara) at kung saan ang system ay hindi nangangailangan ng direktang pag-access sa mga indibidwal na device web server, ang imprastraktura ng network ay dapat na i-configure upang paghigpitan web access sa server.
Ang mga Dynamic na VLAN na gumagamit ng MAC address allocation ay maaaring maprotektahan laban sa hindi awtorisadong koneksyon ng isang device sa system at maaaring mabawasan ang panganib na nauugnay sa isang indibidwal na impormasyon sa pagsubaybay sa network.

I-CONFIGURING ANG BAS FIREWALL

Inilalarawan ng sumusunod na talahanayan ang mga network port na ginagamit sa isang Advanced na Controller ng Plant. Tingnan ang Sumangguni sa "System Overview” sa pahina 8. para sa isang example installation architecture. Ang talahanayan ay may mga sumusunod na column:

• Default na Port at ang Protocol (TCP o UDP)
• Layunin ng daungan
• Kung kailangang baguhin o hindi ang default na port
• Kung ang mga papasok na koneksyon o trapiko ay dapat payagan o hindi sa pamamagitan ng BAS Firewall
• Ang mga karagdagang tala ay nakalista sa ibaba ng talahanayan

Talahanayan 2 Pag-configure ng BAS firewall

Default Port/Protocol	Layunin	Baguhin Mula sa Default?	Payagan Sa pamamagitan ng BAS Firewall?	Mga Tala
80 / TCP	HTTP	Hindi	Hindi
443 / TCP	Mga HTTP	Hindi	Malamang, kung web kailangan ang access mula sa Internet/intranet/corporate network.	1
1911 / TCP	Fox (hindi secure na bersyon ng Niagara application protocol)	Oo	Hindi
4911 / TCP	Fox + SSL (secure na bersyon ng Niagara application protocol)	Oo	Hindi
3011 / TCP	NiagaraD (hindi secure na bersyon ng Niagara platform protocol)	Oo	Hindi
5011 / TCP	NiagaraD + SSL (secure na bersyon ng Niagara platform protocol)	Oo	Hindi
2601 / TCP	Zebra console port	Hindi	Hindi	2
2602 / TCP	RIP console port			2
47808/UDP	BACnetTM/IP network connection	Oo	Hindi	3

TANDAAN

1. Kung direktang remote web user interface ay suportado, pagkatapos ay ang port na ito ay dapat na pinapayagan sa pamamagitan ng BAS firewall.
2. Awtomatikong binuksan ng daemon na ito ang port at hindi maaaring i-disable ang functionality na ito. Ang daemon ay na-configure upang hindi payagan ang anumang mga pag-login sa pamamagitan ng port na ito.
3. Sundin ang mga alituntunin sa pagsasaayos ng network na nakasaad sa manwal na ito upang hindi na kailangang ipasa ng Advanced Plant Controller ang trapiko ng UDP sa pamamagitan ng BAS firewall.

PAG-SET UP NG AUTENTICATION

Ang Google Authentication Scheme ay isang two-factor authentication mechanism na nangangailangan ng user na ipasok ang kanyang password pati na rin ang single-use token kapag nagla-log in sa isang istasyon. Pinoprotektahan nito ang account ng isang user kahit na nakompromiso ang kanyang password.
Ang scheme ng pagpapatotoo na ito ay umaasa sa TOTP (Time-based OneTime Password) at sa Google Authenticator app sa mobile device ng user upang bumuo at mag-verify ng mga single-use na authentication token. Ang pagpapatotoo ng Google ay batay sa oras, kaya walang dependency sa komunikasyon sa network sa pagitan ng mobile device ng user, Station, o mga external na Server. Dahil ang authenticator ay batay sa oras, ang oras sa istasyon at oras sa telepono ay dapat manatiling medyo naka-sync. Ang app ay nagbibigay ng buffer ng plus o minus 1.5 minuto upang i-account ang clock skew.
Mga Kinakailangan: Ang mobile phone ng user ay nangangailangan ng Google Authentication app. Nagtatrabaho ka sa Workbench. Ang gumagamit ay umiiral sa database ng istasyon.

Pamamaraan

1. Buksan ang gauth palette at idagdag ang GoogleAuthenticationScheme sa Services > Authenticationservice node sa Nav tree.
2. I-right-click ang Userservice, at i-double click ang user sa talahanayan. Ang Pag-edit view para mabuksan ng user.
3. I-configure ang property ng Authentication Scheme Name sa GoogleAuthenticationScheme at i-click ang I-save.
4. I-click ang button sa tabi ng secret Key sa ilalim ng authenticator ng user at sundin ang mga prompt.
5. Upang kumpletuhin ang configuration, i-click ang I-save. Depende sa view ginagamit mo, maaaring kailanganin mong buksan muli ang user o i-refresh pagkatapos i-save.

PAGHAHATID NG SISTEMA
Ang seksyong ito ay naglalaman ng impormasyon na dapat mong ibigay kapag ang BAS ay naihatid sa may-ari ng system.

• Dokumentasyon na kinabibilangan ng impormasyon sa seguridad, mga setting ng pagsasaayos, mga username at password ng administrasyon, mga plano sa sakuna at pagbawi, at mga pamamaraan sa pag-backup at pagpapanumbalik.
• Pagsasanay sa end-user sa mga gawain sa pagpapanatili ng seguridad.

USB BACKUP AT CLEANDIST FILE PAG-INSTALL
Dapat protektahan ng user ang passphrase na ginagamit para sa pag-zip at pag-unzip ng controller. Iwasang ibahagi ang mga passphrase at mga kredensyal ng controller sa panahon ng proseso ng pag-backup o pag-restore.
USB backup at CleanDist file Ang impormasyon sa pag-install ay matatagpuan sa Pagtuturo sa Pag-install at Gabay sa Pagkomisyon – 31-00584.

PAG-DECOMMISION NG SYSTEM
Dapat mabura ang sensitibong data sa mga unit na inaalis sa serbisyo at magagawa ito sa pamamagitan ng pagsasagawa ng factory reset. Sumangguni sa Pindutan ng Serbisyo/Serbisyo na Alarm LED at CleanDist file pag-install mula sa Installation Instruction and Commissioning Guide – 31-00584.

TANDAAN
Ang CleanDist file procedure ay maaaring magsagawa ng factory set sa pamamagitan ng pag-install ng clean4 file.

ADVANCED NIAGARA BASED PRODUCTS SECURITY
Para sa Advanced na mga produkto ng Honeywell na nakabatay sa Niagara N4 at Niagara AX frameworks (hal. Advanced Plant Controller, HMI, at IO Module), dapat mong sundin ang payo ng Tridium sa pag-secure ng Niagara framework.
Mayroong ilang mga pagbabago sa configuration na maaaring gawin sa Niagara na maaaring gawin upang i-maximize ang seguridad ng mga Advanced na produkto ng Honeywell.

• Gamitin ang Tampok na Lakas ng Password
• Paganahin ang Account Lockout Feature
• Mag-expire ng Mga Password
• Gamitin ang Kasaysayan ng Password
• Gamitin ang Feature ng Pag-reset ng Password
• Iwanan ang kahon na "Tandaan ang Mga Kredensyal na Ito" na Walang check
• Baguhin ang Default na System Passphrase
• Gamitin ang TLS Para Itakda ang System Passphrase
• Pumili ng Strong System Passphrase
• Protektahan ang System Passphrase
• Tiyaking Alam ng May-ari ng Platform ang Passphrase ng System
• Gumamit ng Iba't Ibang Account para sa Bawat User ng Platform
• Gumamit ng Mga Natatanging Pangalan ng Account para sa Bawat Proyekto
• Tiyaking Alam ng May-ari ng Platform ang Mga Kredensyal ng Platform
• Gumamit ng Iba't ibang Account para sa Bawat Gumagamit ng Istasyon
• Gumamit ng Mga Natatanging Uri ng Serbisyong Account para sa Bawat Proyekto
• I-disable ang Mga Kilalang Account Kapag Posible
• Mag-set Up ng Mga Pansamantalang Account para Awtomatikong Mag-expire
• Baguhin ang Uri ng System na Mga Kredensyal ng Account
• Huwag Payagan ang Mga Kasabay na Session Kapag Angkop
• I-configure ang Mga Tungkulin na may Minimum na Kinakailangang Pahintulot
• Magtalaga ng Mga Minimum na Kinakailangang Tungkulin sa Mga User
• Gamitin ang Pinakamababang Posibleng Bilang ng Mga Super User
• Nangangailangan ng Super User Permissions para sa Program Objects
• Gamitin ang Minimum na Kinakailangang Pahintulot para sa Mga Panlabas na Account
• Gumamit ng Authentication Scheme na Naaangkop para sa Uri ng Account
• Alisin ang Mga Hindi Kailangang Authentication Scheme
• TLS at Pamamahala ng Sertipiko
• Pag-install ng Modyul
• Mangangailangan ng Mga Nilagdaan na Mga Bagay at Robot ng Programa
• Huwag paganahin ang SSH at SFTP
• Huwag paganahin ang Mga Hindi Kailangang Serbisyo
• I-configure ang Mga Kinakailangang Serbisyo nang Ligtas
• I-update ang Niagara 4 sa Pinakabagong Paglabas
• I-install ang Produkto sa isang Secure na Lokasyon
• Tiyaking Nasa Likod ng VPN ang Mga Istasyon
• Available ang mga partikular na teknikal na publikasyon na dapat sundin upang matiyak na naka-lock ang system nang secure hangga't maaari. Maraming mga opsyon ang umiiral tulad ng SSL encryption at karagdagang mga hakbang upang protektahan ang mga elemento tulad ng mga module ng programa, para sa higit pang mga detalye sumangguni sa Tridium website para sa Niagara 4 Hardening Guide (para sa Niagara N4 based na mga produkto) at sa Niagara Hardening Guide (Niagara AX based na mga produkto).

Ang materyal sa dokumentong ito ay para lamang sa mga layunin ng impormasyon. Ang nilalaman at inilarawan ang produkto ay maaaring magbago nang walang abiso. Walang representasyon o warranty ang Honeywell tungkol sa dokumentong ito. Sa anumang kaganapan ay hindi mananagot si Honeywell para sa mga pagkukulang sa teknikal o editoryal o pagkakamali sa dokumentong ito, o mananagot din para sa anumang mga pinsala, direkta o hindi sinasadya, na nagmula sa o may kaugnayan sa paggamit ng dokumentong ito. Walang bahagi ng dokumentong ito na maaaring kopyahin sa anumang anyo o sa anumang paraan nang walang paunang nakasulat na pahintulot mula kay Honeywell.
Honeywell | Building Automation

715 Peachtree Street, NE,

• Atlanta, Georgia, 30308, Estados Unidos.
• https://buildings.honeywell.com/us/en
• ® US Registered Trademark
• ©2024 Honeywell International Inc. 31-00594-03 Rev. 12-24

CHECKLIST NG SEGURIDAD NG PAG-INSTALL

• Advanced na Plant Controller Device Instance: ______________________________________________________________
• Deskripsyon ng Advanced na Controller ng Plant: ________________________________________________________________
• Lokasyon ng Advanced na Controller ng Plant: _____________________________________________________________________
• Nag-install:________________________________________________________________
• Petsa: ________________________________

Kumpletuhin ang sumusunod na mga gawaing panseguridad para sa bawat naka-install na Advanced na Plant Controller

• Mag-install ng firewall sa pagitan ng Advanced na Plant Controller at (mga) panlabas na network. Tingnan ang “BACnet at Niagara” sa pahina 19.
• Pisikal na secure ang Advanced Plant Controller. Sumangguni sa “Phisikal na secure ang Advanced na Plant Controller, HMI, at IO Module” sa pahina 22.
• Baguhin ang default na password sa isang natatanging password para sa bawat isa sa mga sumusunod: Console Configuration, Backup/Restore/Restart/Control, at ang Niagara Platform. Tingnan ang Pagtuturo sa Pag-install at Gabay sa Pagkomisyon – 31-00584
• Kung a web server ay kailangan, pagkatapos ay i-configure ito upang gumana sa HTTPS mode lamang. Tingnan ang Pagtuturo sa Pag-install at Gabay sa Pagkomisyon – 31-00584

Web Katayuan ng Server: Hindi Pinagana / Pinagana.
If web naka-enable ang serbisyo, kumpletuhin ang sumusunod:

• Itakda ang Http Enabled = false.
• Itakda ang Https Enabled = true.
• Itakda ang Https Lamang = totoo.
• I-configure ang BAS firewall. Sumangguni sa “Pag-configure ng BAS firewall” sa pahina 26.
• Ibigay ang lahat ng kinakailangang data sa may-ari ng BAS system sa paghahatid. Sumangguni sa “Pagse-set Up ng Authentication” sa pahina 27.

FAQ

• Bakit mahalaga ang pag-secure sa Advanced na Controller?
  Ang pag-secure sa controller ay nakakatulong na maiwasan ang hindi awtorisadong pag-access, pinoprotektahan ang sensitibong data, at tinitiyak ang pagiging maaasahan ng system.
• Paano ko mababawi ang aking password?
  Upang mabawi ang iyong password, sundin ang proseso ng Pagbawi ng Password na nakabalangkas sa manual. Karaniwang kinabibilangan ito ng pag-verify ng impormasyon ng iyong account.

Mga Dokumento / Mga Mapagkukunan

Honeywell Optimizer Advanced Controller [pdf] User Manual 31-00594-03, Optimizer Advanced na Controller, Advanced na Controller, Controller

Mga sanggunian

• User Manual