Cynnwys cuddio
1 Rheolydd Uwch Honeywell Optimizer
2 SYSTEM DROSVIEW
3 CYNLLUNIO RHWYDWAITH A DIOGELWCH
4 RHEOLWR UWCH, AEM, A SYSTEM DIOGELWCH MODIWL IO
5 SICRHAU SYSTEM WEITHREDOL NIAGARA
6 RHEOLIAD DIOGELU DATA CYFFREDINOL (GDPR)
7 CYFATHREBU DIOGEL
8 CYNLLUNIO A GOSOD
9 DOGFENNAETH
10 SICRHAU'R UWCH REOLWR, AEM, A MODIWL IO
11 DEFNYDDWYR A CHYFRIFON
12 ADDASU'R LLAWR Dân BAS
13 SEFYDLU DILYSU
14 FAQ
15 Dogfennau / Adnoddau
15.1 Cyfeiriadau
16 Swyddi Cysylltiedig

Honeywell-LOGO

Rheolydd Uwch Honeywell Optimizer

Honeywell-Optimizer-Uwch-Rheolwr-CYNNYRCH

Manylebau

  • Cynnyrch: Rheolydd Uwch
  • Rhif Model: 31-00594-03
  • System Weithredu: System Weithredu Niagara
  • Nodweddion Diogelwch: Cod Dilysu Cyfrif, Cyfrifon System, Adfer Cyfrinair, Cyfathrebu Diogel, Tystysgrifau
  • Cydnawsedd Rhwydwaith: BACnetTM, LAN

Ymwadiad
Er ein bod wedi cymryd rhan mewn ymdrechion i sicrhau cywirdeb y ddogfen hon, nid yw Honeywell yn gyfrifol am iawndal o unrhyw fath, gan gynnwys heb gyfyngiadau iawndal canlyniadol sy'n deillio o gymhwyso neu ddefnyddio'r wybodaeth a gynhwysir yma. Mae'r wybodaeth a'r manylebau a gyhoeddir yma yn gyfredol o ddyddiad y cyhoeddiad hwn a gallant newid heb rybudd. Gellir dod o hyd i'r manylebau cynnyrch diweddaraf ar ein webneu drwy gysylltu â'n swyddfa gorfforaethol yn Atlanta, Georgia.
I lawer o gyfathrebu sy'n seiliedig ar RS-485 diwydiant, mae'r statws rhagosodedig yn cael ei analluogi ar adeg cludo allan o'r ffatri i sicrhau'r diogelwch gorau, oherwydd bod y bysiau cyfathrebu etifeddiaeth hynny yn defnyddio technoleg etifeddiaeth ar gyfer y cydnawsedd gorau ac fe'u dyluniwyd gyda diogelwch diogelwch gwan. Felly, er mwyn gwneud y mwyaf o amddiffyniad eich system, mae Honeywell wedi mynd ati'n rhagweithiol i analluogi'r porthladdoedd cyfathrebu bysiau diwydiannol etifeddiaeth (erbyn amser cludo ffatri), ac mae'n rhaid i'r defnyddiwr alluogi'r rhwydweithiau yng Ngorsaf pob rhwydwaith yn benodol. Os ydych chi am alluogi'r porthladdoedd hyn, mae angen i chi fod yn ymwybodol o'r risg o unrhyw doriadau diogelwch a ddaw yn sgil defnyddio technoleg etifeddol. Mae'r rhain yn cynnwys ond heb fod yn gyfyngedig i: Bws panel, C-Bus, BACnetTM, M-Bus, CP-IO Bus, NovarNet, protocol XCM-LCD, SBC S-Bus a Modbus, ac ati.
Yn datblygu i ISA-62443

Mae Honeywell wedi dibynnu ar safon ISA 62443-4-1 ers blynyddoedd lawer a safonau cydymaith cymwys i ddatblygu ein cynhyrchion technoleg adeiladu yn ddiogel. Am gynampLe, mae cynhyrchion adeiladu Honeywell hefyd yn defnyddio ISA/IEC 62443-4-2 fel y llinell sylfaen ar gyfer gofynion diogelwch technegol o fewn cydrannau, ac rydym yn defnyddio ISA/IEC 62443-3-3 ar gyfer systemau cyflawn. Felly ar gyfer yr integreiddwyr a'r cwsmeriaid sy'n dewis technolegau adeiladu, gall ymlyniad Honeywell at y teulu o safonau ISA/IEC 62443 roi lefel uchel o hyder nad yw ein cynnyrch yn honni eu bod yn seiber-wydn yn unig - maen nhw wedi cael eu dylunio, eu profi a'u dilysu ar gyfer seiber-gydnerthedd o'r cychwyn cyntaf.
Mae Honeywell yn datblygu ein cynnyrch i ISA/IEC 62443-4-1 ac rydym wedi cael ein hasesu gan drydydd parti a'n harchwilio yn erbyn y safon hon.
Rhagarweiniad a Chynulleidfa Fwriadol

Mae Honeywell trwy hyn yn nodi'n benodol nad yw ei reolwyr yn cael eu hamddiffyn yn gynhenid ​​rhag ymosodiadau seiber o'r Rhyngrwyd ac felly eu bod wedi'u bwriadu i'w defnyddio mewn rhwydweithiau preifat yn unig. Fodd bynnag, gall hyd yn oed rhwydweithiau preifat ddal i fod yn destun ymosodiadau seiber maleisus gan unigolion TG medrus â chyfarpar ac felly mae angen eu hamddiffyn. Felly, dylai cwsmeriaid fabwysiadu'r canllawiau arferion gorau gosod a diogelwch ar gyfer cynhyrchion sy'n seiliedig ar IP Rheolydd Planhigion Uwch i liniaru'r risg a achosir gan ymosodiadau o'r fath.
Mae'r canllawiau canlynol yn disgrifio'r Arferion Gorau Diogelwch Cyffredinol ar gyfer cynhyrchion sy'n seiliedig ar IP Rheolwr Planhigion Uwch. Fe'u rhestrir yn nhrefn lliniaru cynyddol.

Dylid asesu union ofynion pob safle fesul achos. Bydd mwyafrif helaeth y gosodiadau sy'n gweithredu'r holl lefelau lliniaru a ddisgrifir yma yn llawer uwch na'r hyn sy'n ofynnol ar gyfer diogelwch system foddhaol. Gan ymgorffori'r eitemau 1-5 (sy'n ymwneud â Rhwydweithiau Ardal Leol), Cyfeiriwch at yr Argymhelliad “Rhwydweithiau Ardal Leol (LAN)” ar dudalen 20. yn gyffredinol yn bodloni'r gofynion ar gyfer y rhan fwyaf o osodiadau rhwydwaith rheoli awtomeiddio.
Mae'r llawlyfr hwn yn cynnwys gwybodaeth i arwain personél mewn deliwr Honeywell ar sut i osod a ffurfweddu modiwlau Rheolydd Offer Uwch, AEM ac IO yn ddiogel. Gwybodaeth sy'n ymwneud â diogelwch ar weithrediad, USB wrth gefn ac adfer, a CleanDist file gellir dod o hyd i osod y rheolydd yn y Cyfarwyddyd Gosod a Chanllaw Comisiynu (31-00584).

NODYN
Cymerwch amser i ddarllen a deall yr holl lawlyfrau gosod, ffurfweddu a gweithredu perthnasol a sicrhau eich bod yn cael y fersiynau diweddaraf yn rheolaidd

Tabl 1 Gwybodaeth Cynnyrch

Cynnyrch Rhif Cynnyrch Disgrifiad
 

 

 

 

 

 

Rheolydd Planhigion

 N-ADV-134-H Rheolydd uwch Niagara gyda Phedwar porthladd Ethernet, Porthladd ar gyfer AEM, a 4 porthladd RS485
 

N-ADV-133-H-BWA

 Rheolydd uwch Niagara gyda Phedwar porthladd Ethernet, Porthladd ar gyfer AEM, 3 porthladd RS485, Wi-Fi (rhanbarth America), a chefnogaeth BluetoothTM
 

N-ADV-133-H-BWE

 Rheolydd uwch Niagara gyda Phedwar porthladd Ethernet, Porthladd ar gyfer AEM, 3 porthladd RS485, Wi-Fi (rhanbarth Ewrop), a chefnogaeth BluetoothTM
 

N-ADV-133-H-BWW

 Rheolydd uwch Niagara gyda Phedwar porthladd Ethernet, Porthladd ar gyfer AEM, 3 porthladd RS485, Wi-Fi (rhanbarth Gweddill y byd), a chefnogaeth BluetoothTM
N-ADV-133-H Rheolydd uwch Niagara gyda Phedwar porthladd Ethernet, Porthladd ar gyfer AEM, a 3 porthladd RS485
N-ADV-112-H Rheolydd uwch Niagara gyda Dau borthladd Ethernet, Porthladd ar gyfer AEM, a 2 borthladd RS485
 

AEM

 AEM-DN AEM (mount rheilffordd DIN)
AEM-WL AEM (Gosod drws/wal)
 

 

 

 

 

 

 

 

 

 

Modiwl IO

 IO-16UIO-SS Modiwl 16UIO IO heb HOA, Cyfathrebiadau Cyfresol, Terfynellau Sgriw
IOD-16UIO-SS Modiwl 16UIO IO gyda Arddangosfa HOA, Cyfathrebiadau Cyfresol, Terfynellau Sgriw
IO-16UI-SS Modiwl 16UI IO, Cyfathrebiadau Cyfresol, Terfynellau Sgriw
IO-16DI-SS Modiwl 16DI IO, Cyfathrebiadau Cyfresol, Terfynellau Sgriw
IO-8DOR-SS Modiwl 8DO IO heb HOA, Teithiau Cyfnewid C/O, Cyfathrebiadau Cyfresol, Terfynellau Sgriw
IOD-8DOR-SS Modiwl 8DO IO gydag Arddangosfa HOA, Releiau C/O, Cyfathrebiadau Cyfresol, Terfynellau Sgriw
IO-16UIO-SP Modiwl 16UIO IO gydag Arddangosfa HOA, Cyfathrebiadau Cyfresol, Terfynellau Gwthio
IO-16UI-SP Modiwl 16UIO IO, Cyfathrebiadau Cyfresol, Terfynellau Gwthio
IO-16DI-SP Modiwl 16DI IO, Cyfathrebiadau Cyfresol, Terfynellau Gwthio
IO-8DOR-SP Modiwl 8DO IO heb HOA, Teithiau Cyfnewid C/O, Cyfathrebiadau Cyfresol, Terfynellau Gwthio
IOD-8DOR-SP Modiwl 8DO IO gydag Arddangosfa HOA, Releiau C/O, Cyfathrebiadau Cyfresol, Terfynellau Gwthio
IO-8UIO-SS Modiwl 8UIO IO heb HOA, Cyfathrebiadau Cyfresol, Terfynellau Sgriw
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Modiwl IO

 IOD-8UIO-SS Modiwl 8UIO IO gyda Arddangosfa HOA, Cyfathrebiadau Cyfresol, Terfynellau Sgriw
IO-8AO-SS Modiwl 8AO IO heb HOA, Cyfathrebiadau Cyfresol, Terfynellau Sgriw
IOD-8AO-SS Modiwl 8AO IO gyda Arddangosfa HOA, Cyfathrebiadau Cyfresol, Terfynellau Sgriw
IO-4UIO-SS Modiwl 4UIO IO heb HOA, Cyfathrebiadau Cyfresol, Terfynellau Sgriw
IOD-4UIO-SS Modiwl 4UIO IO gyda Arddangosfa HOA, Cyfathrebiadau Cyfresol, Terfynellau Sgriw
IO-8DI-SS Modiwl 8DI IO, Cyfathrebiadau Cyfresol, Terfynellau Sgriw
IO-4DOR-SS Modiwl 4DO IO heb HOA, Teithiau Cyfnewid C/O, Cyfathrebiadau Cyfresol, Terfynellau Sgriw
IOD-4DOR-SS Modiwl 4DO IO gydag Arddangosfa HOA, Releiau C/O, Cyfathrebiadau Cyfresol, Terfynellau Sgriw
IO-4DORE-SS Modiwl 4DO IO heb HOA, Teithiau Cyfnewid C/O Gwell, Cyfathrebiadau Cyfresol, Terfynellau Sgriw
IOD-4DORE-SS Modiwl 4DO IO gydag Arddangosfa HOA, Releiau C/O Gwell, Cyfathrebiadau Cyfresol, Terfynellau Sgriw
IO-8UIO-SP Modiwl 8UIO IO heb HOA, Cyfathrebiadau Cyfresol, Terfynellau Gwthio
IOD-8UIO-SP Modiwl 8UIO IO gydag Arddangosfa HOA, Cyfathrebiadau Cyfresol, Terfynellau Gwthio
IO-8AO-SP Modiwl 8AO IO heb HOA, Cyfathrebiadau Cyfresol, Terfynellau Gwthio
IOD-8AO-SP Modiwl 8AO IO gydag Arddangosfa HOA, Cyfathrebiadau Cyfresol, Terfynellau Gwthio
IO-4UIO-SP Modiwl 4UIO IO heb HOA, Cyfathrebiadau Cyfresol, Terfynellau Gwthio
IOD-4UIO-SP Modiwl 4UIO IO gydag Arddangosfa HOA, Cyfathrebiadau Cyfresol, Terfynellau Gwthio
IO-8DI-SP Modiwl 8DI IO, Cyfathrebiadau Cyfresol, Terfynellau Gwthio
IO-4DOR-SP Modiwl 4DO IO heb HOA, Teithiau Cyfnewid C/O, Cyfathrebiadau Cyfresol, Terfynellau Gwthio
IOD-4DOR-SP Modiwl 4DO IO gydag Arddangosfa HOA, Releiau C/O, Cyfathrebiadau Cyfresol, Terfynellau Gwthio
IO-4DORE-SP Modiwl 4DO IO heb HOA, Teithiau Cyfnewid C/O Gwell, Cyfathrebiadau Cyfresol, Terfynellau Gwthio
IOD-4DORE-SP Modiwl 4DO IO gydag Arddangosfa HOA, Teithiau Cyfnewid C/O Gwell, Cyfathrebiadau Cyfresol, Terfynellau Gwthio

PAM DIOGELU EICH RHEOLWYR UWCH?

  • Diogelu systemau peiriannau eich cwsmer rhag newidiadau anawdurdodedig i bwyntiau gosod gweithredu, gwrthwneud ac amserlenni.
  • Atal mynediad at fanylion cyfrif defnyddiwr: e.e. enwau defnyddwyr, cyfrineiriau, cyfeiriadau e-bost, rhifau SMS (symudol) ac ati.
  • Atal mynediad at ddata sy'n sensitif yn fasnachol: Example- Metrigau defnydd ynni, datrysiadau strategaeth reoli arbenigol ac ati.
  • Atal mynediad anawdurdodedig i reolwr, cyfrifiaduron a rhwydweithiau sy'n cynnal meddalwedd BMS a dyfeisiau rheoli.
  • Cynnal cywirdeb data a darparu atebolrwydd.

SYSTEM DROSVIEW

Honeywell-Optimizer-Uwch-Rheolwr- (1)

Mae'r drosoddview o'r gosodiad system nodweddiadol..

  1. Rhyngrwyd/mewnrwyd/rhwydwaith corfforaethol
    Mae hwn yn gynrychiolaeth rhwydwaith symlach, rhesymegol o'r holl rwydweithiau y tu allan i gwmpas y system awtomeiddio adeiladau (BAS). Gall ddarparu mynediad i ryngwynebau rheoli BAS (ee prif weithfan Niagara web rhyngwyneb defnyddiwr) ond rhaid iddo ddarparu mynediad i'r Rhyngrwyd fel y gall cyfrifiaduron Niagara wirio a lawrlwytho diweddariadau i'r system weithredu a sganiwr firws oni bai bod modd arall i wneud hyn.
  2. Rhwydwaith BAS
    Defnyddir y rhwydwaith hwn ar gyfer protocolau BAS yn unig, sy'n cynnwys BACnetTM / IP, BACnetTM / Ethernet, ac unrhyw brotocolau y gallai Gwasanaethau Integreiddio Niagara ar Reolydd Planhigion Uwch eu defnyddio. Ni ddylai'r rhwydwaith hwn fod yr un rhwydwaith â'r Rhyngrwyd/mewnrwyd/rhwydwaith corfforaethol.
  3. wal dân BAS
    Er mwyn darparu gwahaniad ac amddiffyniad ychwanegol i'r BAS, rhaid defnyddio wal dân rhwng y Rhyngrwyd / mewnrwyd / rhwydwaith corfforaethol ac unrhyw ddyfais BAS sy'n cysylltu ag ef, megis prif weithfan Niagara, gweithfannau Niagara, a Rheolydd Planhigion Uwch. Mae'r wal dân hon yn cyfyngu mynediad i'r BAS i gyfrifiaduron sydd wedi'u hawdurdodi yn unig a gallai helpu i leihau'r risg o ymosodiadau, megis ymosodiad gwrthod gwasanaeth.
  4. Gweithfan Niagara
    Mae gweithfan gynradd Niagara yn gyfrifiadur sy'n rhedeg meddalwedd Niagara. Mae angen dau gysylltiad rhwydwaith - un ar gyfer cysylltu â'r rheolwyr web rhyngwyneb defnyddiwr trwy a web porwr (fel arfer ar y
    Rhyngrwyd/mewnrwyd/rhwydwaith corfforaethol) ac un arall ar gyfer cysylltu â rhwydwaith BAS.
  5. Newid Ethernet
    Mae switsh Ethernet yn creu rhwydweithiau ac yn defnyddio sawl porthladd i gyfathrebu rhwng dyfeisiau yn y LAN. Mae switshis Ethernet yn wahanol i lwybryddion, sy'n cysylltu rhwydweithiau ac yn defnyddio un porthladd LAN a WAN yn unig. Mae seilwaith diwifr gwifrau a chorfforaethol llawn yn darparu cysylltedd â gwifrau a Wi-Fi ar gyfer cysylltedd diwifr.
  6. Rheolydd Planhigion Uwch
    Mae'r Rheolydd Planhigion Uwch yn rheolydd byd-eang sy'n cysylltu â rhwydwaith Ethernet, BACnetTM IP a chynnal segmentau rhwydwaith MS/TP. Mae MS/TP yn gysylltiad lled band isel a ddefnyddir i gysylltu rheolwyr a synwyryddion.
  7. AEM
    Mae AEM wedi'i gysylltu ac yn derbyn pŵer gan reolwyr planhigion Uwch Niagara. Mae'r dyfeisiau hyn wedi'u hadeiladu gydag arddangosfa sgrin gyffwrdd capacitive sy'n cefnogi detholiad â bys noeth ac sy'n rhoi swyddogaethau i'r gweithredwr view, mynediad, a datrys problemau'r pwyntiau rheolydd, modiwlau IO, ac offer cysylltiedig arall.
  8. Modiwl IO
    Gall y modiwlau IO gysylltu â'r rheolydd gan ddefnyddio'r cysylltiadau fflawiau cyffwrdd (pŵer a chyfathrebu) neu gall y modiwlau IO gysylltu ag addasydd gwifrau a fydd yn cael pŵer ac yn gysylltiedig ag un o'r rhyngwynebau RS485 ar y rheolydd. Mae'r modiwlau IO yn rhaglenadwy gan ddefnyddio'r offeryn peirianneg presennol fel offeryn Stiwdio Agored ComfortPointTM a Niagara 4 Workbench.

CYNLLUNIO RHWYDWAITH A DIOGELWCH

  1. Rhwydwaith Ethernet
    Argymhellir bod y rhwydwaith Ethernet a ddefnyddir gan y system BMS yn cael ei wahanu oddi wrth y rhwydwaith swyddfa arferol.
    Example:
    Defnyddio bwlch aer, neu rwydwaith preifat rhithwir. Rhaid cyfyngu ar fynediad corfforol i seilwaith rhwydwaith Ethernet. Rhaid i chi hefyd sicrhau bod y gosodiad yn cydymffurfio â pholisi TG eich cwmni.
    Ni ddylai Uwch Reolwyr fod wedi'u cysylltu'n uniongyrchol â'r Rhyngrwyd.
  2. Web Gweinydd
    Mae'r Rheolydd Uwch yn darparu HTTP a HTTPS web gweinyddion. Os a web Nid oes angen gweinydd, argymhellir bod y ddau web gweinyddwyr yn anabl.
  3. Rhwydwaith IP BACnetTM
    Oherwydd natur ansicr y protocol BACnetTM ni ddylai'r modiwlau Rheolydd Uwch, AEM, ac IO sy'n defnyddio BACnetTM fod yn gysylltiedig â'r Rhyngrwyd o dan unrhyw amgylchiad. Nid yw system ddiogelwch y Rheolwr Uwch yn amddiffyn rhag ysgrifen BACnetTM. Rhaid cyfyngu ar fynediad corfforol i seilwaith rhwydwaith IP BACnetTM. Os nad oes angen cyfathrebiadau IP BACnetTM, rhaid analluogi Modiwl Rhwydwaith Uwch Reolwyr (BACnetTMTM IP) trwy osod y paramedr 'Modiwl Analluogi' i '1'.
    Os oes angen cyfathrebiadau BACnetTMTM, argymhellir yn gryf nad yw gwasanaethau BACnetTMTM Backup/Restore, Re-Initialize Device a BACnetTMTM Writable yn cael eu galluogi. Fodd bynnag, bydd hyn yn golygu nad yw’r strategaeth a grëwyd yn cydymffurfio â BTL – Cyfeiriwch at y “Diogelwch Lleol” ar dudalen 13.
  4. MS/TP (trwyddedau NC)
    Rhaid cyfyngu ar fynediad corfforol i seilwaith rhwydwaith MS/TP. Os nad oes angen y rhwydwaith MS/TP, rhaid analluogi Modiwl Rhwydwaith y Rheolydd Uwch (BACnetTM MSTP) trwy osod y paramedr 'Modiwl Analluogi' i '1'. Bws IO (trwyddedau CAN)
    Rhaid cyfyngu mynediad corfforol i'r Bws IO.
  5. USB
    Rhaid cyfyngu ar fynediad corfforol i Borthladd Peirianneg Lleol USB y Rheolwr Uwch.
  6. RS485 (gan gynnwys trwyddedau Modbus)
    Rhaid cyfyngu ar fynediad corfforol i borthladd RS485 y Rheolwr. Os nad oes angen, ni ddylid cynnwys unrhyw Fodiwlau Rhwydwaith sy'n gysylltiedig â'r porthladd yn y strategaeth.
  7. Rhwydwaith IP Modbus (trwyddedau INT)
    Oherwydd natur ansicr protocol Modbus ni ddylai Uwch Reolwr sy'n cefnogi Modbus IP fod wedi'i gysylltu â'r Rhyngrwyd o dan unrhyw amgylchiadau. Rhaid cyfyngu ar fynediad corfforol i seilwaith rhwydwaith IP Modbus. Os nad oes angen cyfathrebiadau Modbus IP, ni ddylid cynnwys Modiwl Rhwydwaith y Rheolydd Uwch (Modbus IP) yn y strategaeth.

RHEOLWR UWCH, AEM, A SYSTEM DIOGELWCH MODIWL IO

Mae diogelwch y rheolwyr Uwch yn cydymffurfio ag ISA 62433-3-3 SL 3 ac yn darparu cychwyn diogel, rhwydwaith wedi'i ddilysu a'i amgryptio, amgryptio gorffwys, a rheoli cyfrifon wedi'u cydamseru.
Er mwyn cael mynediad at gynhyrchion y Rheolydd Uwch neu gyflawni unrhyw un o'r tasgau uchod, rhaid darparu enw defnyddiwr a chyfrinair dilys ar gyfer Cyfrif System Beirianneg neu Gyfrif System Dyfais.

  1. Diogelwch pan Heb ei Gyflunio
    I ryngweithio â rheolydd Uwch, Modiwlau AEM ac IO, rhaid darparu tystlythyrau dilys. Mae'r rheolydd yn cael ei gyflenwi o'r ffatri heb unrhyw gymwysterau (Cyfrifon System neu fodiwlau Defnyddiwr) sy'n sicrhau pan gaiff ei bweru gyntaf ei fod yn cael ei ddiogelu rhag mynediad anawdurdodedig. Y tro cyntaf y gwneir ymgais i gysylltu â vCNC yn un o'r cynhyrchion Uwch ar rwydwaith Niagara rhaid creu Cyfrif System Beirianneg gyda Rôl Gweinyddwr.
  2. Amddiffyn rhag Dyfeisiau Anawdurdodedig
    Defnyddir allwedd unigryw (Allwedd Rhwydwaith) i sicrhau mai dim ond dyfeisiau awdurdodedig all ymuno â rhwydwaith Niagara. Rhaid i'r holl reolwyr sydd i ffurfio rhwydwaith Niagara gael yr un Allwedd Rhwydwaith a phorthladd CDU. Mae'r rhain yn cael eu ffurfweddu gan ddefnyddio IP Tool yn ystod y broses ffurfweddu gychwynnol.
    Example:
    Os oes gan bedwar Rheolydd Peiriannau Uwch yr un Allwedd Rhwydwaith (112233), a bod gan un rhan o bump Allwedd Rhwydwaith wahanol
    (222). Pan fyddant wedi'u cysylltu â'r un rhwydwaith Ethernet mae'r pedwar rheolydd sydd â'r un Allwedd Rhwydwaith yn ymuno â'i gilydd i ffurfio un rhwydwaith, ond ni fydd y pumed Rheolydd yn gallu ymuno â'r rhwydwaith oherwydd bod ganddo Allwedd Rhwydwaith wahanol hy (222).
    Yn yr un modd, os yw'r pumed rheolydd yn newydd (fel y'i cludir o'r ffatri) ac yn cael ei ychwanegu at y rhwydwaith Ethernet ni fydd yn gallu cysylltu â rhwydwaith Niagara oherwydd nad oes ganddo Allwedd Rhwydwaith.
    1. Cod Dilysu Cyfrif
      Pan fydd Cyfrif System Weinyddol yn cael ei ychwanegu at un o'r rheolyddion ar y rhwydwaith, mae Cod Gwirio Cyfrif yn cael ei gynhyrchu'n awtomatig gan y rheolydd yr ychwanegwyd y Cyfrif System ato. Mae'r cod hwn wedi'i gydamseru â'r holl reolwyr eraill sydd â'r un Allwedd Rhwydwaith a phorthladd CDU ar y rhwydwaith Ethernet.
      Unwaith y bydd Cod Dilysu Cyfrif wedi'i gynhyrchu RHAID i BOB rheolydd ar y rhwydwaith gael yr un Cod Dilysu Cyfrif yn ogystal â'r un Allwedd Rhwydwaith a phorthladd CDU.
      Example:
      Os oes pum rheolydd, mae gan bob rheolydd Uwch yr un Allwedd Rhwydwaith. Mae gan bedwar yr un Cod Dilysu Cyfrif (AVC) ac felly maent yn ffurfio rhwydwaith. Mae gan y pumed God Dilysu Cyfrif gwahanol ac er bod ganddo'r un Allwedd Rhwydwaith nid yw'n gallu ymuno â'r rheolwyr eraill.
  3. Cyfrifon System
    Mae cyfrifon system yn galluogi pobl a dyfeisiau i ryngweithio â'r Rheolydd Uwch. Mae'r mynediad a roddir yn dibynnu ar y math o gyfrif a rôl.
    Mae dau fath o Gyfrifon System:
    1. Cyfrif System Beirianneg
    2. Cyfrif System Dyfais
    3. Cyfrif System Beirianneg
      Bwriedir i Gyfrifon System Beirianneg eu defnyddio gan beirianwyr. Mae gan bob Cyfrif System beirianneg enw cyfrif a chyfrinair y mae'n rhaid eu darparu ar gais y rheolwr. Os darperir enw defnyddiwr a chyfrinair dilys bydd y rheolydd yn caniatáu mynediad.

Rhaid creu Cyfrif System peirianneg ar wahân ar gyfer pob person. Gellir gosod Cyfrifon System Beirianneg i un o ddwy rôl:

  • Rôl Peirianneg
  • Rôl Gweinyddwr

Rôl Peirianneg
Mae'r rôl Peirianneg yn darparu'r mynediad angenrheidiol ar gyfer peirianneg y system Uwch, creu/rheoli Cyfrifon System Dyfeisiau ac i reoli manylion cyfrif y defnyddiwr ei hun (cyfeiriad e-bost, cyfrinair ac ati).
Rôl Gweinyddwr
Mae rôl y Gweinyddwr yn darparu'r un mynediad â'r rôl Peirianneg ynghyd â'r gallu i reoli'r holl Gyfrifon Peirianneg a System Dyfeisiau.

Cyfrif System Dyfais
Bwriad Cyfrifon System Dyfeisiau yw caniatáu i ddyfeisiau fel Niagara gysylltu â'r rhwydwaith i gael y wybodaeth ofynnol a gwneud newidiadau. Argymhellir creu Cyfrif System Dyfais ar wahân ar gyfer pob dyfais sydd i gael mynediad i'r rhwydwaith. Mae ganddyn nhw rôl 'Goruchwyliwr'.

PWYSIG
Pwysig: Rhaid i system ddiogelwch y goruchwyliwr ei hun gael ei ffurfweddu i gyfyngu ar hawliau mynediad pob defnyddiwr goruchwyliwr.

Creu Cyfrif System
Rhaid creu Cyfrif System Beirianneg gyda Rôl Gweinyddwr y tro cyntaf y gwneir ymgais i gysylltu â vCNC ar rwydwaith Niagara. Yna caiff y cyfrif hwn ei gysoni â'r rheolwyr eraill ar rwydwaith Niagara

  • Cyfeiriwch at y “Conchronized Account Management” ar dudalen 12. Gellir creu cyfrifon ychwanegol yn ôl yr angen gan ddefnyddio mainc waith Niagara.

NODYN
Y tro cyntaf y bydd Cyfrif System Beirianneg yn cael ei greu mewn rheolydd mae Cod Gwirio Cyfrif yn cael ei gynhyrchu'n awtomatig a'i gydamseru â'r rheolwyr eraill ar y rhwydwaith Ethernet gyda'r un Allwedd Rhwydwaith a phorthladd CDU. Pan fydd gan reolwr God Dilysu Cyfrif dim ond rhwydwaith gyda rheolwyr sydd â’r un Cod Dilysu Cyfrif y gall ymuno â rhwydwaith – Cyfeiriwch at y “Cod Gwirio Cyfrif” ar dudalen 11.

Rheoli Cyfrifon Cydamserol
Mae rheoli cyfrifon cydamserol yn cydamseru Cyfrifon System yn hawdd ac yn ddiogel, gan gynnwys y Cod Dilysu Cyfrif, gyda'r holl Uwch Reolwyr ar yr un rhwydwaith Niagara. Mae hyn yn galluogi:

  • Mewngofnodi sengl ar gyfer y rhwydwaith
  • Llai o orbenion ffurfweddu a chynnal mynediad ar draws y safle heb leihau diogelwch Bydd gan bob Rheolydd Uwch ar yr un rhwydwaith yr un Cyfrifon System.

Pan fydd Rheolydd Uwch heb unrhyw Gyfrifon System wedi'i gysylltu â'r rhwydwaith Ethernet a'i ffurfweddu gydag Allwedd Rhwydwaith a phorthladd CDU ar gyfer rhwydwaith Niagara, bydd yn ymuno â'r rhwydwaith ac yn cael ei Gyfrifon System yn awtomatig gan y rheolwyr eraill ar rwydwaith Niagara.

Example:
os yw Rheolydd Uwch heb unrhyw Gyfrifon System yn cael ei ychwanegu at y system uchod ac o gael yr Allwedd Rhwydwaith ar gyfer rhwydwaith Niagara (112233) a phorthladd CDU bydd yn ymuno â'r rhwydwaith ac yn cael ei Gyfrifon System (Defnyddiwr 1, Defnyddiwr 2, Defnyddiwr 3) gan y Rheolwyr Uwch eraill ar rwydwaith Niagara.
Unwaith y bydd y cysoni wedi'i gwblhau bydd yn bosibl cysylltu ag unrhyw vCNCs, arddangos web tudalennau a mewngofnodwch i unrhyw reolwr Uwch ar rwydwaith Niagara gan ddefnyddio unrhyw un o'r Cyfrifon System.
Os gwneir newidiadau i'r System Accounts hy cyfrif yn cael ei ychwanegu, ei ddileu neu ei olygu, bydd y newidiadau hyn yn cael eu cysoni'n awtomatig ar draws yr holl Uwch Reolwyr ar rwydwaith Niagara.

Example:
os oes pum Rheolydd Uwch, mae'r Cyfrifon System yn Rheolydd (1) yn cael eu golygu i ddileu Defnyddiwr 2, ailenwi Defnyddiwr 3 i Ddefnyddiwr 3a a Defnyddiwr 4 yn cael ei ychwanegu bydd y newidiadau'n cael eu cysoni i Rheolydd (2), Rheolydd (3), Rheolydd (4) a Rheolydd (5).

NODYN:
Os darganfyddir gwrthdaro yn ystod cydamseru, y newid diweddaraf sy'n cael blaenoriaeth.

Newid Allwedd Rhwydwaith Rheolydd Uwch
Pan fydd Allwedd Rhwydwaith Rheolydd Uwch yn cael ei newid, bydd ei holl Gyfrifon System yn cael ei ddileu a bydd yn cael ei dynnu o'i rwydwaith Niagara presennol. Rhaid i'r newid i'r Allwedd Rhwydwaith gael ei awdurdodi gan Gyfrif System Peiriannydd neu Weinyddwr dilys.
Unwaith y bydd y newid wedi'i wneud bydd yn ymuno â rhwydwaith Niagara gan ddefnyddio'r Allwedd Rhwydwaith newydd, os oes un yn bodoli, ac yn cael Cyfrifon System gan y Rheolwr Uwch ar rwydwaith newydd Niagara ar yr amod bod ganddo'r un porthladd CDU.

Diogelwch Lleol
Mae diogelwch lleol yn defnyddio defnyddwyr lleol (Modiwlau Defnyddiwr) i ganiatáu mynediad i'r Uwch Reolwyr web tudalennau neu arddangosfa sydd wedi'i chysylltu'n lleol ac i reoli'r wybodaeth sy'n weladwy neu'r gwerthoedd y gellir eu haddasu.
Er mwyn cael mynediad a gwneud newidiadau rhaid darparu enw defnyddiwr a chyfrinair dilys ar gyfer defnyddiwr lleol. Mae lefel PIN y defnyddiwr yn pennu pa baramedrau y gall defnyddiwr eu gweld a'u haddasu.

NODYN
NID yw defnyddwyr lleol yn cael eu cysoni â Rheolwyr Uwch eraill ar rwydwaith Niagara.

Mynediad i Web Tudalennau
Mynediad i'r rheolydd web tudalennau wedi'u diogelu gan system ddiogelwch y Rheolwr Uwch. Pan fydd y rheolydd web gweinydd yn cael mynediad a web tudalen yn cael ei harddangos sy'n darparu rhywfaint o wybodaeth sylfaenol ac yn galluogi defnyddiwr i fewngofnodi - Cyfeiriwch at y “Mynediad Cychwynnol” ar dudalen 13.
Bydd defnyddwyr sy'n mewngofnodi yn cael eu trin fel defnyddwyr sydd wedi mewngofnodi – Cyfeiriwch at y “Defnyddwyr sydd wedi mewngofnodi” ar dudalen 14. a defnyddwyr sy'n cyrchu'r web bydd tudalennau heb fewngofnodi yn cael mynediad fel y disgrifir yn “Mynediad Cychwynnol” ar dudalen 13.

Mynediad Cychwynnol
Pan fydd y rheolydd web gweinydd yn cael mynediad cyntaf i'r dudalen Croeso a ddangosir ac mae mynediad a roddir yn dibynnu ar ffurfweddiad diogelwch cyfredol y rheolydd:

  • Dim Cyfrifon System Beirianneg a dim modiwlau Defnyddiwr (diofyn ffatri)
  • Mae'r dudalen 'Croeso' yn cael ei harddangos a mynediad llawn i'r rheolydd web tudalennau a bydd y gallu i wneud newidiadau yn cael ei roi.

NODYN
Gan nad oes Cyfrifon System Beirianneg na modiwlau defnyddwyr ni fydd yn bosibl mewngofnodi.

Cyfrifon System Beirianneg a dim modiwlau Defnyddiwr
Mae'r dudalen 'Croeso' yn cael ei harddangos, a bydd y rheolydd ond yn rhoi mynediad i Synhwyrydd, Mewnbwn Digidol, Knob, Switsh, Gyrrwr, Amserlen, Amserlen Amser, Modiwlau Plot, Log Larwm, a Graffeg ac ni fydd yn caniatáu newidiadau.

NODYN
Bydd yn bosibl mewngofnodi gan ddefnyddio Cyfrifon System Beirianneg.

  • Cyfrifon System Beirianneg a modiwlau Defnyddwyr
    Mae'r arddangosfa gychwynnol a mynediad yn cael ei reoli gan y modiwlau Defnyddiwr. Os oes modiwl Defnyddiwr o'r enw 'Guest' heb gyfrinair pan fydd y Rheolydd Uwch web tudalennau yn cael eu cyrchu heb fewngofnodi bydd y rheolydd yn rhoi'r hawliau mynediad (lefel defnyddiwr, tudalen gartref, a view rhagosodiadau) a bennir gan y modiwl Defnyddiwr Gwadd.
    Yn ddiofyn mae'r modiwl Defnyddiwr Gwadd yn darparu mynediad i'r dudalen 'Croeso' Uwch yn unig ac mae ganddo lefel defnyddiwr o '0'. Mae hyn yn golygu mai dim ond defnyddiwr sy'n cyrchu'r rheolydd heb fewngofnodi fydd yn gallu gwneud hynny view y dudalen 'Croeso'. Er mwyn rhoi mwy o fynediad gellir ffurfweddu'r defnyddiwr 'Guest' yn yr un modd ag unrhyw Fodiwl Defnyddiwr Math 0 arall.

NODYN:
Mae mainc waith Niagara yn atal y defnyddiwr 'Guest' rhag cael cyfrinair, PIN, neu lefel defnyddiwr uwch na '0'. Mae'n caniatáu tudalen gartref a view rhagosodiadau i'w ffurfweddu.

Argymhellir yn gryf bod y defnyddiwr Gwadd yn cael ei adael gyda'r ffurfweddiad rhagosodedig (lefel defnyddiwr o '0' a dim view hawliau).
Os nad oes modiwl Defnyddiwr o'r enw 'Guest' neu os yw wedi'i ffurfweddu â chyfrinair, mae'r dudalen 'Croeso' yn cael ei harddangos, a bydd y rheolydd ond yn rhoi mynediad i Synhwyrydd, Mewnbwn Digidol, Knob, Switsh, Gyrrwr, Amserlen, Amserlen Amser, modiwlau Plot, y Log Larwm, a Graffeg ac ni fydd yn caniatáu newidiadau.

NODYN
Bydd modd mewngofnodi gan ddefnyddio’r Cyfrifon System Beirianneg ac unrhyw fodiwlau Defnyddiwr sy’n bodoli.

Defnyddwyr sydd wedi mewngofnodi
I fewngofnodi i Uwch Reolwr web tudalennau mae'n rhaid nodi enw defnyddiwr a chyfrinair sy'n cyfateb i un o'r Uwch Reolwr Cyfrifon System Beirianneg neu Fodiwlau Defnyddiwr Math 0.

Adfer Cyfrinair
Os yw defnyddiwr wedi anghofio ei gyfrinair gellir ei adfer trwy ddefnyddio mainc waith Niagara. I gael manylion am adennill cyfrinair anghofiedig gan ddefnyddio Niagara gweler Canllaw Defnyddiwr mainc waith Niagara.

SICRHAU SYSTEM WEITHREDOL NIAGARA

 Arfer Da Cyffredinol
Dilynwch arfer da cyffredinol ar gyfer diogelu’r system weithredu megis:

  • Arbedwr sgrin wedi'i warchod gan gyfrinair
  • Meddalwedd amgryptio Drive

Gosod Mur Tân
Rhaid ffurfweddu'r system weithredu i ddefnyddio wal dân sy'n cael ei diweddaru'n awtomatig. Rhaid i'r ffurfweddiad atal mynediad (YN / ALLAN) ar gyfer pob porthladd ac eithrio'r rhai y mae angen mynediad ar eu cyfer, PEIDIWCH â gadael unrhyw borthladdoedd nas defnyddir ar agor.

Fersiwn y System Weithredu
RHAID i chi sicrhau bod unrhyw ddyfais sy'n rhedeg cymwysiadau Niagara neu sydd wedi'i chysylltu â'r un rhwydwaith IP wedi gosod y diweddariadau system weithredu diweddaraf. Mae'n arfer da sicrhau bod Windows Updates yn cael eu gadael ymlaen yn awtomatig a'u bod yn cael eu gosod mewn modd amserol.

Amddiffyn rhag feirws
RHAID i chi sicrhau bod unrhyw gyfrifiaduron sy'n rhedeg cymwysiadau Niagara neu sydd wedi'u cysylltu â'r un rhwydwaith IP yn rhedeg meddalwedd amddiffyn rhag firysau, a bod y diffiniadau firws yn cael eu cadw'n gyfredol.

 Amddiffyn rhag ymyrraeth
Argymhellir defnyddio System Canfod Ymyrraeth (IDS) gan ddarparwr cynhyrchion diogelwch ag enw da ar unrhyw gyfrifiadur sy'n rhedeg cymhwysiad Niagara. Dilynwch arfer gorau ar gyfer y cynhyrchion a ddewiswyd yn ogystal ag unrhyw bolisi TG corfforaethol lle gwneir y gosodiad.
Mae llawer o IDS a chynhyrchion wal dân yn cynnig ateb cyflawn ar gyfer cofnodi'r holl draffig sy'n dod i mewn ac allan o'r cyfrifiadur, gan ddarparu defnyddwyr â'r gallu i gofnodi pob gweithgaredd ar y lefel isaf.

RHEOLIAD DIOGELU DATA CYFFREDINOL (GDPR)

Mae Rheoliad Diogelu Data Cyffredinol (UE) 2016/679 (GDPR) yn reoliad yng nghyfraith yr UE ar ddiogelu data a phreifatrwydd ar gyfer holl ddinasyddion unigol yr Undeb Ewropeaidd (UE) a’r Ardal Economaidd Ewropeaidd (AEE). Mae hefyd yn mynd i’r afael â throsglwyddo data personol y tu allan i ardaloedd yr UE a’r AEE. Mae’r GDPR yn cynnwys darpariaethau a gofynion sy’n ymwneud â phrosesu data personol unigolion (gwrthrychau data) y tu mewn i’r AEE ac mae’n berthnasol i unrhyw fenter a sefydlwyd yn yr AEE (waeth beth fo’i lleoliad a dinasyddiaeth testunau’r data) neu sy’n prosesu gwybodaeth bersonol gwrthrychau’r data yn yr AEE.
O dan delerau’r GDPR mae data personol yn cynnwys unrhyw wybodaeth y gellir ei defnyddio i adnabod unigolyn. Mae hyn yn cynnwys (ond heb fod yn gyfyngedig i):

  • enwau defnyddwyr,
  • cyfrineiriau,
  • rhifau ffôn,
  • cyfeiriadau e-bost,
  • cyfeiriadau gwaith neu breswyl.

Mae unrhyw wybodaeth o'r fath sy'n cael ei rhoi yn yr Uwch Reolwr, AEM, a Modiwl IO yn cael ei hamgryptio a'i storio ar y cynhyrchion Uwch ar safle cwsmer. Nid oes gan Honeywell unrhyw gysylltiad â storio a/neu brosesu data personol o fewn cynhyrchion Advanced Honeywell.
Integreiddiwr y system neu weinyddwr y system sy’n llwyr gyfrifol am gydymffurfio â gofynion y GDPR ac, fel y cyfryw, rhaid iddo sicrhau bod systemau technegol a threfniadol digonol ar waith i:

  • cael caniatâd penodol gan bob gwrthrych data i ddata personol gael ei storio, ei ddefnyddio a/neu ei brosesu,
  • caniatáu i unigolion gael mynediad at eu data personol er mwyn gwirio cywirdeb,
  • caniatáu i unigolion dynnu eu caniatâd yn ôl ar unrhyw adeg a chael eu data personol i gael ei ddileu’n barhaol,
  • cynnal diogelwch a chywirdeb storio data a mynediad bob amser,
  • rhoi gwybod am unrhyw achosion o dorri diogelwch data (a allai effeithio ar breifatrwydd defnyddwyr) i’r awdurdod perthnasol o fewn 72 awr i’r toriad ddigwydd.

CYFATHREBU DIOGEL

Mae Isadeiledd Allwedd Gyhoeddus (PKI) yn cefnogi dosbarthu ac adnabod allweddi amgryptio cyhoeddus a ddefnyddir i ddiogelu cyfnewid data dros rwydweithiau, megis y Rhyngrwyd. Mae PKI yn gwirio hunaniaeth y parti arall ac yn amgodio'r trosglwyddiad data gwirioneddol. Mae dilysu hunaniaeth yn rhoi sicrwydd heb ei wrthod o hunaniaeth y gweinydd. Mae amgryptio yn darparu cyfrinachedd wrth drosglwyddo rhwydwaith. Mae gofyn am fodiwlau cod wedi'u llofnodi yn sicrhau mai dim ond cod disgwyliedig sy'n rhedeg yn y system.

Er mwyn darparu rhwydweithiau diogel gan ddefnyddio PKI, mae Niagara yn cefnogi'r protocol TLS (Transport Layer Security), fersiynau 1.0, 1.1 a 1.2. Mae TLS yn disodli ei ragflaenydd, SSL (Secure Sockets Layer).
Mae pob gosodiad Niagara yn creu tystysgrif ddiofyn yn awtomatig, sy'n caniatáu i'r cysylltiad gael ei amgryptio ar unwaith. Fodd bynnag, mae'r tystysgrifau hyn yn cynhyrchu rhybuddion yn y porwr a Workbench ac yn gyffredinol nid ydynt yn addas ar gyfer defnyddwyr terfynol. Mae creu a llofnodi tystysgrifau digidol personol yn caniatáu defnydd di-dor o TLS yn y porwr, ac yn darparu amgryptio yn ogystal â dilysu gweinydd.
Y tu hwnt i ddiogelwch cyfathrebu, mae pob modiwl o god cyfrifiadurol sy'n rhedeg yn y system wedi'i ddiogelu â llofnod digidol. Mae angen y llofnod hwn ar wrthrychau rhaglen ychwanegol neu nid ydynt yn rhedeg.

Nid yw dilysu'r gweinydd, amgryptio'r trosglwyddiad a sicrhau mai dim ond rhediadau cod wedi'u llofnodi sy'n diogelu data sydd wedi'i storio ar ddyfais storio. Mae angen i chi gyfyngu ar fynediad corfforol o hyd i'r cyfrifiaduron a'r rheolwyr sy'n rheoli'ch model adeiladu, sefydlu dilysiad defnyddiwr gyda chyfrineiriau cryf, a diogelu cydrannau trwy reoli caniatâd.
Mae Niagara yn cefnogi ac yn defnyddio cyfathrebu diogel a chod wedi'i lofnodi yn ddiofyn. Nid oes angen i chi brynu trwydded ychwanegol.
Mae diogelwch yn bryder parhaus. Er y byddwch yn dod o hyd i lawer o wybodaeth werthfawr yn y pynciau cyfathrebu diogel, disgwyliwch ddiweddariadau a newidiadau yn y dyfodol.
Isod mae'r cyfathrebiadau diogel. Am ragor o fanylion cyfeiriwch at ganllaw Diogelwch Gorsaf Niagara.

  • Perthnasoedd cleient/gweinydd
  • Tystysgrifau
  • Storfeydd tystysgrif
  • Strwythur ffolder CSR
  • Sefydlu tystysgrif
  • Dewin Tystysgrif
  • Arwyddo tystysgrifau lluosog
  • Ffurfweddu cyfathrebu llwyfan diogel
  • Ffurfweddu cyfathrebu gorsaf ddiogel
  • Galluogi cleientiaid a'u ffurfweddu ar gyfer y porthladd cywir
  • Gosod copi gorsaf ar lwyfan arall
  • E-bost diogelu
  • Datrys problemau cyfathrebu diogel

Perthnasoedd cleient/gweinydd
Mae perthnasoedd cleient/gweinydd yn nodi'r cysylltiadau sydd angen eu hamddiffyn. Mae perthnasoedd cleient/gweinydd Workbench yn amrywio yn dibynnu ar sut rydych chi'n ffurfweddu ac yn defnyddio system. Mae Workbench bob amser yn gleient. Mae platfform bob amser yn weinydd. Gall gorsaf fod yn gleient ac yn weinydd.
Y protocolau system sy'n rheoli cyfathrebiadau yw:

  • Mae cysylltiadau platfform o Workbench (cleient) i ellyll platfform PC rheolydd neu Oruchwyliwr (gweinydd) yn defnyddio Niagara. Weithiau cyfeirir at gysylltiad platfform diogel fel platformtls. Rydych chi'n galluogi platformtls gan ddefnyddio Gweinyddu Llwyfan view.
  • Mae cysylltiadau gorsaf leol (Goruchwyliwr a phlatfform) yn defnyddio Foxs. Rydych chi'n galluogi'r cysylltiadau hyn yn FoxService gorsaf (Config> Services> FoxService).
  • Mae cysylltiadau porwr yn defnyddio Https, yn ogystal â Foxs os ydych chi'n defnyddio Web Lansiwr gyda WbWebProfile. Rydych chi'n galluogi'r cysylltiadau hyn gan ddefnyddio'r orsaf WebGwasanaeth (Config > Gwasanaethau > WebGwasanaeth).
  • Cysylltiadau cleient i weinydd e-bost yr orsaf, os yn berthnasol. Rydych yn galluogi e-bost diogel gan ddefnyddio Gwasanaeth E-bost yr orsaf (Config> Services> EmailService).

TYSTYSGRIFAU
Mae tystysgrif yn ddogfen electronig sy'n defnyddio llofnod digidol i rwymo allwedd gyhoeddus ag unigolyn neu sefydliad. Gall tystysgrifau wasanaethu amrywiaeth o ddibenion yn dibynnu ar sut yr ydych yn ffurfweddu eiddo Defnydd Allweddol y dystysgrif. Eu prif bwrpas yn y system hon yw gwirio hunaniaeth gweinydd fel y gellir ymddiried mewn cyfathrebu. Am ragor o fanylion cyfeiriwch at Ganllaw Diogelwch Gorsaf Niagara - Tystysgrif.
Mae Niagara yn cefnogi'r mathau hyn o dystysgrifau:

  • Mae tystysgrif CA (Awdurdod Tystysgrif) yn dystysgrif hunan-lofnodedig sy'n perthyn i CA. Gallai hwn fod yn drydydd parti neu'n gwmni sy'n gwasanaethu fel ei CA ei hun.
  • Mae tystysgrif gwraidd CA yn dystysgrif CA hunan-lofnodedig y mae ei allwedd breifat yn cael ei defnyddio i lofnodi tystysgrifau eraill sy'n creu coeden dystysgrif y gellir ymddiried ynddi. Gyda'i allwedd breifat, mae'n bosibl y bydd tystysgrif gwraidd CA yn cael ei hallforio, ei storio ar yriant bawd USB mewn claddgell, a'i dwyn allan dim ond pan fydd angen llofnodi tystysgrifau. Mae allwedd breifat tystysgrif gwraidd CA yn gofyn am greu cyfrinair wrth allforio a darparu'r un cyfrinair pan fyddwch yn ei ddefnyddio i lofnodi tystysgrifau eraill.
  • Mae tystysgrif Ganolradd yn dystysgrif CA wedi'i llofnodi gan dystysgrif CA gwraidd a ddefnyddir i lofnodi tystysgrifau gweinydd neu dystysgrifau CA canolradd eraill. Mae defnyddio tystysgrifau canolradd yn ynysu grŵp o dystysgrifau gweinydd.
  • Mae tystysgrif Gweinydd yn cynrychioli ochr gweinydd cysylltiad diogel. Er y gallwch sefydlu tystysgrif ar wahân ar gyfer pob protocol (Foxs, Https, Webs). Er y gallwch chi ffurfweddu platfform a gorsaf (fel gweinydd) gyda thystysgrifau gweinydd ar wahân, er mwyn symlrwydd mae'r rhan fwyaf o systemau fel arfer yn defnyddio'r un dystysgrif gweinydd.
  • Mae tystysgrif llofnodi cod yn dystysgrif a ddefnyddir i lofnodi gwrthrychau rhaglen a modiwlau. Mae integreiddwyr systemau yn defnyddio'r dystysgrif hon i atal cyflwyno cod maleisus pan fyddant yn addasu'r fframwaith.

Tystysgrifau hunan-lofnodedig
Tystysgrif hunan-lofnodedig yw un a lofnodir yn ddiofyn gan ddefnyddio ei allwedd breifat ei hun yn hytrach na chan allwedd breifat tystysgrif gwraidd CA (Awdurdod Tystysgrif).
Mae'r system yn cefnogi dau fath o dystysgrifau hunan-lofnodedig:

  • Mae tystysgrif gwraidd CA yn cael ei ymddiried yn ymhlyg oherwydd nid oes awdurdod uwch na'r CA (Awdurdod Tystysgrif) sy'n berchen ar y dystysgrif hon. Am y rheswm hwn, mae CA, y mae'n fusnes i gymeradwyo tystysgrifau pobl eraill, yn gwarchod eu tystysgrif(au) CA gwraidd a'u allweddi preifat yn agos. Yn yr un modd, os yw'ch cwmni'n gwasanaethu fel ei CA ei hun, dylech warchod y dystysgrif CA gwraidd a ddefnyddiwch i lofnodi tystysgrifau eraill yn agos.
  • Tystysgrif ddiofyn, hunan-lofnodedig: Y tro cyntaf y byddwch chi'n dechrau enghraifft o Workbench, platfform neu orsaf ar ôl ei gosod (comisiynu), mae'r system yn creu tystysgrif gweinydd ddiofyn, hunan-lofnodedig gyda'r alias o tridium.

NODYN:
Peidiwch ag allforio'r dystysgrif hon a'i mewnforio i unrhyw storfa o blatfform neu orsaf arall. Er ei fod yn bosibl, mae gwneud hynny yn lleihau diogelwch ac yn cynyddu bregusrwydd.
Er mwyn lleihau'r risg o ymosodiad dyn-yn-y-canol wrth ddefnyddio tystysgrifau hunan-lofnodedig, dylai eich holl lwyfannau gael eu cynnwys mewn rhwydwaith preifat diogel, all-lein, a heb fynediad cyhoeddus o'r Rhyngrwyd.

RHYBUDD
I ddefnyddio tystysgrifau hunan-lofnodedig, cyn i chi gael mynediad i'r platfform neu'r orsaf o Workbench am y tro cyntaf, gwnewch yn siŵr nad yw'ch cyfrifiadur na'r platfform ar unrhyw rwydwaith corfforaethol na'r Rhyngrwyd. Ar ôl ei ddatgysylltu, cysylltwch y cyfrifiadur yn uniongyrchol â'r platfform, agorwch y platfform o Workbench, a chymeradwywch ei dystysgrif hunan-lofnodedig. Dim ond wedyn y dylech chi ailgysylltu'r platfform â rhwydwaith corfforaethol.

Confensiwn enwi
Mae'r Storfa Allwedd Defnyddiwr, Storfa Ymddiriedolaeth y Defnyddiwr, a System Trust Store yn ffurfio calon y ffurfweddiad. Mae tystysgrifau'n edrych yn debyg iawn, ac mae'r gwahanol dystysgrifau hunan-lofnod diofyn yn cael eu henwi yn union yr un fath.

Storfeydd tystysgrif
Mae rheoli tystysgrifau yn defnyddio pedair storfa i reoli tystysgrifau: Storfa Allwedd Defnyddiwr, Storfa Ymddiriedolaeth System, Storfa Ymddiriedolaeth Defnyddwyr a rhestr Gwesteiwr a Ganiateir.
Mae'r Storfa Allwedd Defnyddiwr yn gysylltiedig ag ochr gweinydd y berthynas cleient-gweinydd. Mae'r storfa hon yn dal tystysgrifau, pob un â'i allweddi cyhoeddus a phreifat. Yn ogystal, mae'r storfa hon yn cynnwys y dystysgrif hunan-lofnodedig a grëwyd i ddechrau pan wnaethoch chi lansio Workbench neu gychwyn y platfform am y tro cyntaf.
Mae'r Storfeydd Ymddiriedolaeth Defnyddiwr a System yn gysylltiedig ag ochr cleient y berthynas cleient-gweinydd. Mae'r System Trust Store yn cynnwys tystysgrifau cyhoeddus safonol ymlaen llaw: tystysgrifau gwraidd CA gan Awdurdodau Tystysgrif adnabyddus, megis VeriSign, Thawte a Digicert. Mae Siop Ymddiriedolaeth Defnyddwyr yn dal tystysgrifau CA gwraidd a chanolradd ar gyfer cwmnïau sy'n gwasanaethu fel eu hawdurdod tystysgrif eu hunain.
Mae'r rhestr Gwesteiwyr a Ganiateir yn cynnwys tystysgrif(au) gweinydd nad oes tystysgrif gwraidd CA y gellir ymddiried ynddo yn bodoli yn System neu Storfeydd Ymddiriedolaeth Defnyddwyr y cleient, ond mae tystysgrifau'r gweinydd wedi'u cymeradwyo i'w defnyddio beth bynnag. Mae hyn yn cynnwys gweinyddion nad yw enw gwesteiwr y gweinydd yr un peth â'r Enw Cyffredin yn nhystysgrif y gweinydd. Rydych yn cymeradwyo defnyddio'r tystysgrifau hyn yn unigol. Er bod cyfathrebu'n ddiogel, mae'n well defnyddio tystysgrifau gweinydd wedi'u llofnodi.

Amgryptio
Amgryptio yw'r broses o amgodio trosglwyddo data fel na all trydydd parti di-ymddiried ei ddarllen. Mae TLS yn defnyddio amgryptio i drosglwyddo data rhwng y cleient a'r gweinydd. Er ei bod yn bosibl gwneud cysylltiad heb ei amgryptio gan ddefnyddio'r protocolau llwynog neu http yn unig, fe'ch anogir yn gryf i beidio â dilyn yr opsiwn hwn. Heb amgryptio, mae'n bosibl y bydd eich cyfathrebiadau yn destun ymosodiad. Derbyniwch y cysylltiadau Foxs neu Https rhagosodedig bob amser.

DIOGELWCH DROSGLWYDD DROSODDVIEW
Yn Niagara 4.10u5 ac yn ddiweddarach, mae'r nodwedd Dangosfwrdd Diogelwch yn darparu (ar gyfer gweinyddwyr a defnyddwyr awdurdodedig eraill) llygad aderyn view o gyfluniad diogelwch eich gorsaf. Mae hyn yn caniatáu ichi fonitro'r cyfluniad diogelwch mewn llawer o wasanaethau gorsaf yn hawdd, a nodi unrhyw wendidau cyfluniad diogelwch ar yr orsaf.

RHYBUDD
Y Dangosfwrdd Diogelwch View Efallai na fydd yn arddangos pob gosodiad diogelwch posibl, ac ni ddylid ei ystyried fel gwarant bod popeth wedi'i ffurfweddu'n ddiogel. Yn benodol, efallai y bydd gan fodiwlau trydydd parti osodiadau diogelwch nad ydynt yn cofrestru i'r dangosfwrdd.

Y Dangosfwrdd Diogelwch view yw'r prif view ar Wasanaeth Diogelwch yr orsaf. Mae'r view yn eich rhybuddio am wendidau diogelwch megis gosodiadau cryfder cyfrinair gwael; tystysgrifau sydd wedi dod i ben, hunan-lofnodi neu dystysgrifau annilys; protocolau trafnidiaeth heb eu hamgryptio, ac ati, sy'n nodi meysydd lle dylai'r cyfluniad fod yn fwy diogel. Mae data arall a adroddwyd yn cynnwys: iechyd system, nifer y cyfrifon gweithredol, cyfrifon anactif, nifer y cyfrifon gyda chaniatâd uwch-ddefnyddiwr, ac ati. Yn ddewisol, gellir gosod y nodwedd “system” ar y nodwedd trwydded “securityDashboard” i “wir” i alluogi'r System View yr orsaf sy'n darparu manylion diogelwch ar gyfer pob is-orsaf yn y NiagaraNetwork.
Y Dangosfwrdd Diogelwch yw'r prif view ar gyfer y Gwasanaethau Diogelwch. Am fanylion cyflawn ar y view, Cyfeiriwch at “nss-SecurityDashboardView” yng Nghanllaw Diogelwch Gorsaf Niagara.

CYNLLUNIO A GOSOD

Mae'r adran hon yn cynnwys gwybodaeth ar gyfer cynllunio a pherfformio gosodiad Rheolydd Peiriannau Uwch.

Argymhellir gosod a ffurfweddu
Mae'r adran ganlynol yn dangos dau gyfluniad gosod a argymhellir.

  • BACnetTM yn unig
  • BACnetTM a Niagara

BACnetTMBACnetTM yn unig
Pan ddefnyddir y Rheolydd Offer Uwch ar gyfer cyfathrebu BACnetTM yn unig, cysylltwch Ethernet 1 yn unig â rhwydwaith BAS lle bydd BACnetTM (BACnetTM/IP neu BACnetTM/Ethernet) yn rhedeg.

Honeywell-Optimizer-Uwch-Rheolwr- (2)

BACnetTM a Niagara
Pan ddefnyddir Niagara ar y Rheolydd Planhigion Uwch, gellir ei ffurfweddu i ddarparu gwasanaethau, megis web gwasanaethau neu Niagara FOXS, i'r Rhyngrwyd / mewnrwyd / rhwydwaith corfforaethol. Os yw hyn yn wir, cysylltwch Ethernet 2 â'r Rhyngrwyd / mewnrwyd / rhwydwaith corfforaethol trwy wal dân BAS i ddarparu gwasanaethau i'r rhwydwaith hwnnw.

Honeywell-Optimizer-Uwch-Rheolwr- (3)

Argymhelliad Rhwydweithiau Ardal Leol (LAN).
Sicrhau bod y systemau yn gweithredu ar bolisi cyfrinair priodol ar gyfer mynediad defnyddwyr i bob gwasanaeth. Byddai’r canllaw hwn yn cynnwys, ond nid yw’n gyfyngedig i:

  1. Y defnydd o gyfrineiriau cryf.
  2. Amser cylch cyfrinair a argymhellir.
  3. Enwau defnyddiwr a chyfrineiriau unigryw ar gyfer pob defnyddiwr y system.
  4. Rheolau datgelu cyfrinair.
  5. Os oes angen mynediad o bell i systemau rheoli adeiladu sy'n seiliedig ar TG, defnyddiwch dechnoleg VPN (Rhwydwaith Preifat Rhithwir) i leihau'r risg o ryng-gipio data a diogelu'r dyfeisiau rheoli rhag cael eu gosod yn uniongyrchol ar y Rhyngrwyd.

DOGFENNAETH

Mae dogfennaeth yn hanfodol i gasglu gwybodaeth dylunio a ffurfweddu sydd ei hangen i gynnal system ddiogel.

Dogfennu dyfeisiau a ffurfweddau ffisegol, gan gynnwys gwybodaeth allweddol sy'n ymwneud â diogelwch
Rhaid i bob dogfennaeth ar ddyfeisiau a chyfluniadau gynnwys gwybodaeth sy'n ymwneud â diogelwch er mwyn sefydlu a chynnal y rheolaethau diogelwch arfaethedig. Am gynample, os gwneir newidiadau i wasanaethau diofyn neu borthladdoedd ar y Rheolydd Planhigion Uwch, yna dogfennwch y rhain yn glir fel y gellir adfer y gosodiadau ar ryw adeg yn y dyfodol.

Dogfennu systemau allanol, yn enwedig rhyngweithio rhwng yr Uwch Reolwr Planhigion a'i systemau cysylltiedig
Mae'r BAS yn aml yn gofyn neu'n defnyddio systemau allanol ar gyfer swyddogaethol, megis seilwaith rhwydwaith presennol, mynediad VPN, gwesteiwyr peiriannau rhithwir, a waliau tân. Os yw'r BAS yn ei gwneud yn ofynnol i'r systemau hynny gael eu ffurfweddu mewn ffordd benodol ar gyfer diogelwch, megis wal dân sy'n caniatáu neu'n gwadu rhai porthladdoedd neu rwydwaith sy'n caniatáu mynediad i systemau penodol, yna rhaid i chi ddogfennu'r wybodaeth hon. Os bydd angen adfer y systemau hyn rywbryd yn y dyfodol, mae Example: oherwydd methiant offer, neu mae angen gwneud newidiadau i'r systemau allanol, Example: uwchraddio wal dân, ar ôl dogfennu'r wybodaeth hon bydd yn eich helpu i adfer i'r lefel diogelwch blaenorol.

RHEOLAETH MYNEDIAD A DIOGELWCH CORFFOROL
Mae rheoli mynediad yn golygu pennu a chyfyngu mynediad i ddyfeisiau neu swyddogaethau i ddefnyddwyr awdurdodedig yn unig.

Diogelwch yn gorfforol yr Uwch Reolwr Planhigion, AEM, a Modiwl IO
Atal mynediad anawdurdodedig i'r offer rhwydwaith a ddefnyddir ar y cyd â systemau a ddarperir gan Honeywell. Gydag unrhyw system, mae atal mynediad corfforol i'r rhwydwaith ac offer yn lleihau'r risg o ymyrraeth anawdurdodedig. Byddai arferion gorau diogelwch gyda gosodiadau TG yn sicrhau bod yr ystafelloedd gweinydd, y paneli clwt a'r offer TG mewn ystafelloedd dan glo. Dylid gosod offer Honeywell mewn cypyrddau rheoli dan glo, eu hunain wedi'u lleoli mewn ystafelloedd offer diogel.

Sticer dros banel mynediad rheolydd neu amgaead
Gwnewch gais ynampsticer amlwg dros y Rheolydd Planhigion Uwch, AEM, a phanel mynediad Modiwl IO neu amgaead
Os oes angen sicrwydd ychwanegol ar gwsmer nad yw'r mynediad corfforol sy'n diogelu Rheolydd Offer Uwch, AEM, a Modiwl IO wedi'i nodi, yna gosodwch ynampsêl neu sticer amlwg dros y pwynt mynediad.

Gwahanu ac amddiffyn rhwydweithiau

  1. Defnyddiwch wal dân rhwng y Rhyngrwyd/mewnrwyd/rhwydwaith corfforaethol a'r BAS.
  2. Defnyddiwch rwydwaith ffisegol pwrpasol ar wahân (gwifrau ar wahân) neu rwydwaith rhithwir (VLANs) ar gyfer cyfathrebu BACnetTM. Rhaid i hwn fod yn rhwydwaith ar wahân i'r Rhyngrwyd / mewnrwyd / rhwydwaith corfforaethol.
  3. Peidiwch â chysylltu EN2 ar y Rheolydd Peiriannau Uwch ag unrhyw rwydwaith oni bai bod angen gwasanaethau Niagara arnoch (Platfform, Gorsaf, a / neu Webgweinydd). Os oes angen i chi gysylltu EN2 â'r Rhyngrwyd / mewnrwyd / rhwydwaith corfforaethol, yna mae'n rhaid i chi ddefnyddio wal dân BAS allanol rhwng y Rheolydd Offer Uwch a'r rhwydwaith Rhyngrwyd / mewnrwyd / corfforaethol.

Diogelwch Di-wifr

  1. Mae angen i ddefnyddiwr ailview diogelwch rhwydwaith diwifr yn seiliedig ar dopoleg rhwydwaith, gan sicrhau nad oes unrhyw amlygiad anfwriadol i'r RHYNGRWYD cyhoeddus ac nad yw amddiffyniad wal dân BAS yn cael ei osgoi.
  2. Mae'n hanfodol mabwysiadu'r technolegau diogelwch diwifr uchaf sydd ar gael bob amser, megis WPA2 neu WPA3. Yn ogystal, rhaid i ddefnyddwyr ddiogelu eu cyfrineiriau yn ddiogel, gan gynnwys ond heb fod yn gyfyngedig i gyfrineiriau Wi-Fi a chodau PIN BluetoothTM. Peidiwch byth â chaniatáu i'r rheolydd gysylltu â rhwydwaith diwifr agored na sefydlu pwynt mynediad diwifr agored.
  3. Dylech bob amser osgoi cysylltu dyfeisiau anawdurdodedig â'r rhwydwaith diwifr neu sefydlu cysylltiadau BluetoothTM i atal campau posibl.
  4. Cyfrifoldeb y defnyddiwr yw ailview gosodiadau diogelwch, newid cyfrineiriau neu godau pas yn unol â'r polisi diogelwch, a monitro dyfeisiau cysylltiedig ar y rhwydwaith diwifr ac is-rwydweithiau. Dylai defnyddwyr hefyd ddogfennu'r gweithgareddau archwilio hyn.

SICRHAU'R UWCH REOLWR, AEM, A MODIWL IO

  1. Manylion Cyfrif System Weinyddol a Ddarperir i Ddefnyddiwr y Safle
    Rhaid darparu manylion y Cyfrif System 'Gweinyddol' i berchennog y safle er mwyn caniatáu iddynt reoli'r Cyfrifon System.
  2. Datblygu Rhaglen Ddiogelwch
    Cyfeiriwch at 'Arfer Gorau Diogelwch Cyffredinol'
  3. Ystyriaeth Ffisegol ac Amgylcheddol
    Rhaid gosod yr Uwch Reolwr, AEM, a Modiwl IO o fewn amgylchedd dan glo ee wedi'u lleoli mewn ystafell offer diogel, neu gabinet wedi'i gloi.

NODYN
Sicrhewch awyru digonol.

Diweddariadau Diogelwch a Phecynnau Gwasanaeth
Sicrhewch fod y Modiwl Rheolydd Uwch, AEM, ac IO yn rhedeg y datganiad diweddaraf o firmware.

DEFNYDDWYR A CHYFRIFON

Defnyddwyr
Sicrhau bod nifer y defnyddwyr a'r lefelau mynediad a ddarperir yn briodol ar gyfer y gweithgareddau y mae angen iddynt eu cyflawni.

  • Ar lefel dyfais y rheolydd ffurfweddu cyfrifon system neu ddefnyddwyr mewn rheolwyr ar gyfer Web cleient, Goruchwyliwr a mynediad Cyfoedion i Gyfoedion.
    Wrth ffurfweddu modiwlau Defnyddiwr yn y rheolyddion Uwch, mae hyn yn golygu y bydd yn rhaid i ddefnyddiwr fewngofnodi i ddyfais gyda manylion dilys cyn y gellir gwneud addasiadau. Sicrhau bod hawliau mynediad priodol yn cael eu neilltuo ar gyfer cyfrifon y system a defnyddwyr.
  • Defnyddiwch Gyfrif Gwahanol ar gyfer Pob Defnyddiwr
    Defnyddiwch enwau a chyfrineiriau unigryw ar gyfer pob defnyddiwr/cyfrif ar y system, yn hytrach na mynediad generig. Ni ddylai gwahanol bobl byth rannu'r un cyfrif. Am gynample, yn hytrach na chyfrif 'rheolwyr' cyffredinol y gallai llawer o reolwyr ei ddefnyddio, dylai fod gan bob rheolwr ei gyfrif ei hun ar wahân.

Mae yna lawer o resymau i bob defnyddiwr gael ei gyfrif unigol ei hun:

Os oes gan bob person ei gyfrif ei hun, bydd cofnodion archwilio yn fwy addysgiadol. Bydd yn hawdd penderfynu yn union pa ddefnyddiwr wnaeth beth. Gall hyn helpu i ganfod a yw cyfrif wedi'i beryglu.

NODYN
Nid oes gan bob cynnyrch gyfleuster log archwilio, ond ni ddylai fod yn anabl os yw ar gael.

  • Os caiff cyfrif ei ddileu neu ei addasu, nid yw'n achosi anghyfleustra i lawer o bobl. Am gynample, os na ddylai person gael mynediad mwyach, mae dileu ei fynediad unigol yn syml. Os yw'n gyfrif a rennir, yr unig opsiynau yw newid y cyfrinair a hysbysu pawb, neu ddileu'r cyfrif a hysbysu pawb. Nid yw gadael y cyfrif fel y mae yn opsiwn - y nod yw dirymu'r mynediad.
  • Os oes gan bob person ei gyfrif ei hun, mae'n llawer haws teilwra caniatâd i ddiwallu eu hanghenion yn union. Gallai cyfrif a rennir olygu bod gan bobl fwy o ganiatadau nag y dylent.
    Mae cyfrif a rennir yn golygu cyfrinair a rennir. Mae rhannu cyfrineiriau yn arfer diogelwch eithriadol o wael. Mae'n ei gwneud hi'n llawer mwy tebygol i'r cyfrinair gael ei ollwng, ac yn ei gwneud hi'n anoddach gweithredu rhai arferion gorau cyfrinair, megis dod i ben cyfrinair.
  • Defnyddio Defnyddwyr Peirianneg Unigryw ar gyfer Prosiectau
    Mae'n arfer cyffredin bod rhai cwmnïau'n defnyddio'r un manylion cyfrif ar bob prosiect. Unwaith y bydd hyn yn hysbys os yw un system yn cael ei chyfaddawdu, gallai fod gan yr ymosodwr gymwysterau ar gyfer mynediad i lawer o brosiectau eraill a osodwyd gan yr un cwmni.
  • Analluogi Cyfrifon Hysbys pan fo'n bosibl
    Mae gan rai cynhyrchion gyfrifon diofyn. Dylid ffurfweddu'r rhain fel nad yw'r cyfrinair bellach yn ddiofyn.
  • Neilltuo'r Caniatâd Gofynnol Isaf ar gyfer defnyddwyr
    Sicrhewch mai dim ond cyfrifon gofynnol sy'n cael eu gosod ar y system gyda'r lefelau diogelwch gofynnol yn hytrach na mynediad llawn. Wrth greu cyfrif newydd, meddyliwch am yr hyn y mae angen i'r person ei wneud yn y system, ac yna aseinio'r caniatâd lleiaf sydd ei angen i wneud y swydd honno. Am gynample, nid oes angen mynediad gweinyddwr ar rywun sydd ond angen gweld larymau. Mae rhoi caniatâd nad oes ei angen yn cynyddu'r siawns o dorri diogelwch. Efallai y bydd y defnyddiwr yn newid gosodiadau yn anfwriadol (neu'n bwrpasol) na ddylent eu newid.
  • Defnyddiwch y Nifer Lleiaf Posibl o gyfrifon Gweinyddwr System
    Rhowch ganiatâd Gweinyddwyr System dim ond pan fo'n gwbl angenrheidiol. Mae'r math hwn o gyfrif yn gyfrif hynod bwerus - mae'n caniatáu mynediad cyflawn i bopeth. Dim ond gweinyddwr y system ddylai gael mynediad i'r cyfrif. Meddyliwch hefyd am ddarparu dau gyfrif i Weinyddwr y System, un ar gyfer mynediad dyddiol i reoli gweithgareddau o ddydd i ddydd, ac ail gyfrif mynediad lefel uchel sydd ond yn ofynnol pan fo angen newidiadau gweinyddol.

Cyfrineiriau
Roedd system a systemau gweithredu Niagara yn defnyddio cynhyrchion Advanced Honeywell yn defnyddio cyfrineiriau i ddilysu 'defnyddwyr' i systemau Goruchwylydd, Arddangos, Offeryn neu Weithredu. Mae'n arbennig o bwysig trin cyfrineiriau'n gywir. Bydd peidio â defnyddio'r lefel diogelwch cychwynnol hwn yn golygu y bydd unrhyw un yn cael mynediad i'r system trwy arddangosfa, web bydd gan y cleient neu'r goruchwyliwr fynediad i wneud addasiadau. Sicrhau bod system Niagara yn gweithredu mewn polisi cyfrinair priodol ar gyfer mynediad defnyddwyr, byddai’r canllaw hwn yn cynnwys, ond heb fod yn gyfyngedig i:

  • Defnyddio cyfrineiriau cryf - Dylid defnyddio cyfrineiriau cryf. Cyfeiriwch at y safonau diogelwch diweddaraf am fanylion yr hyn sy'n gwneud cyfrinair cryf.
  • Amser cylch cyfrinair a argymhellir - Mae rhai cynhyrchion Niagara yn caniatáu i weinyddwr y system nodi cyfnod y mae'n rhaid newid cyfrinair ar ei ôl. Er nad yw pob cynnyrch ar hyn o bryd yn gorfodi'r cyfnod newid cyfrinair hwn gall polisi safle argymell hyn.
  • Rheolau datgelu cyfrinair – RHAID i’r defnyddiwr sicrhau nad yw’n datgelu manylion ei enw defnyddiwr a’i gyfrinair, i eraill ac nad yw’n eu hysgrifennu.

LLUNIO RHEOLWR PLANEDAU UWCH
Ar gyfer cyfluniad rheolydd offer uwch, Cyfeiriwch y Cyfarwyddyd Gosod a Chanllaw Comisiynu
(31-00584). Cyfeiriwch ganllaw Gyrwyr AEM (31-00590) ar gyfer AEM, a Chanllaw Gyrrwr Bws Panel (31-00591) ar gyfer modiwl IO.

Creu a chynnal ffurfweddiadau llinell sylfaen
Creu a chynnal llinell sylfaen o ffurfweddau Rheolydd Planhigion Uwch sydd wedi'u ffurfweddu'n gywir ar gyfer diogelwch. Sicrhewch fod y llinell sylfaen hon hefyd yn cynnwys y Fframwaith files a chydrannau Niagara. Peidiwch ag ymrwymo ffurfweddau ansicr i'r llinell sylfaen i atal eu cymhwyso'n anfwriadol yn y dyfodol. Diweddaru unrhyw ddogfennaeth berthnasol pan fydd ffurfweddiadau'n newid.

 Newid cyfrineiriau rhagosodedig
Newidiwch yr holl gyfrineiriau rhagosodedig: cyfrinair Ffurfweddu Consol, y cyfrinair wrth gefn / Adfer / Ailgychwyn / Rheoli, a chyfrinair Platfform Niagara. Wrth gwblhau comisiynu, sicrhewch fod y ddyfais wedi'i diogelu gan gyfrinair. Sicrhau bod lefelau defnyddwyr priodol yn cael eu neilltuo ar gyfer defnyddwyr y wefan.

Ystyriaethau Pellach

Cytundeb Lefel Gwasanaeth
Mabwysiadu polisi diweddaru priodol ar gyfer yr isadeiledd a osodwyd ar y safle fel rhan o gytundeb lefel gwasanaeth. Dylai'r polisi hwn gynnwys diweddaru'r cydrannau system canlynol i'r datganiad diweddaraf, ond nid yw'n gyfyngedig i hynny:

  • Firmware dyfeisiau ar gyfer rheolydd, modiwlau IO, AEM, ac ati;
  • Meddalwedd goruchwyliwr, megis meddalwedd Arena NX;
  • Systemau gweithredu cyfrifiadur / gweinydd;
  • Seilwaith rhwydwaith ac unrhyw systemau mynediad o bell.

Cyfluniad rhwydwaith TG
Ffurfweddu rhwydweithiau TG ar wahân ar gyfer y systemau rheoli awtomeiddio a Rhwydwaith TG corfforaethol y cwsmer. Gellir cyflawni hyn trwy ffurfweddu VLANs (LANs rhithwir) o fewn seilwaith TG y cwsmer neu drwy osod seilwaith rhwydwaith ar wahân â bwlch aer wedi'i neilltuo ar gyfer y systemau rheoli awtomeiddio.
Wrth ryngwynebu â rheolwyr gan ddefnyddio goruchwylydd system ganolog (Example: Niagara) a lle nad oes angen mynediad uniongyrchol at y dyfeisiau unigol ar y system web gweinydd, dylai'r seilwaith rhwydwaith gael ei ffurfweddu i gyfyngu web mynediad gweinydd.
Gall VLANs deinamig sy'n defnyddio dyraniad cyfeiriad MAC amddiffyn rhag cysylltiad dyfais â'r system heb awdurdod a gallant leihau'r risg sy'n gysylltiedig â gwybodaeth fonitro unigol ar y rhwydwaith.

ADDASU'R LLAWR Dân BAS

Mae'r tabl canlynol yn disgrifio'r porthladdoedd rhwydwaith a ddefnyddir mewn Rheolydd Planhigion Uwch. Gweler y Cyfeirio at y “System Drosoddview” ar dudalen 8. am examppensaernïaeth gosod. Mae gan y tabl y colofnau canlynol:

  • Porthladd Diofyn a'r Protocol (TCP neu CDU)
  • Pwrpas y porthladd
  • A oes angen newid y porth rhagosodedig ai peidio
  • A ddylid caniatáu cysylltiadau neu draffig sy'n dod i mewn trwy Mur Tân BAS ai peidio
  • Rhestrir nodiadau ychwanegol o dan y tabl

Tabl 2 Ffurfweddu wal dân BAS

Diofyn Porthladd/Protocol  

Pwrpas

 Newid o'r Rhagosodiad?  

Caniatáu Trwy Firewall BAS?

  

Nodiadau
80 / TCP HTTP Nac ydw Nac ydw  
 

443 / TCP

  

HTTPs

  

Nac ydw

 O bosibl, os web mae angen mynediad o'r Rhyngrwyd/mewnrwyd/rhwydwaith corfforaethol.  

1
1911 / TCP Fox (fersiwn nad yw'n ddiogel o brotocol cais Niagara) Oes Nac ydw  
4911 / TCP Fox + SSL (fersiwn ddiogel o brotocol cais Niagara) Oes Nac ydw  
3011 / TCP NiagaraD (fersiwn nad yw'n ddiogel o brotocol platfform Niagara) Oes Nac ydw  
5011 / TCP NiagaraD + SSL (fersiwn ddiogel o brotocol platfform Niagara) Oes Nac ydw  
2601 / TCP Porth consol sebra Nac ydw Nac ydw 2
2602 / TCP Porth consol RIP     2
47808/CDU Cysylltiad rhwydwaith BACnetTM/IP Oes Nac ydw 3

NODYN

  1. Os yn uniongyrchol o bell web cefnogir rhyngwyneb defnyddiwr, yna mae'n rhaid caniatáu'r porth hwn trwy wal dân BAS.
  2. Mae'r porth yn cael ei agor yn awtomatig gan yr ellyll hwn ac nid oes modd analluogi'r swyddogaeth hon. Mae'r ellyll wedi'i ffurfweddu i beidio â chaniatáu unrhyw fewngofnodi trwy'r porth hwn.
  3. Dilynwch y canllawiau cyfluniad rhwydwaith a nodir yn y llawlyfr hwn felly ni fydd angen i'r Rheolydd Gweithfeydd Uwch byth basio traffig CDU trwy wal dân BAS.

SEFYDLU DILYSU

Mae Cynllun Dilysu Google yn fecanwaith dilysu dau ffactor sy'n ei gwneud yn ofynnol i'r defnyddiwr nodi ei gyfrinair yn ogystal â thocyn untro wrth fewngofnodi i orsaf. Mae hyn yn diogelu cyfrif defnyddiwr hyd yn oed os yw ei gyfrinair yn cael ei beryglu.
Mae'r cynllun dilysu hwn yn dibynnu ar TOTP (Cyfrinair OneTime Seiliedig ar Amser) ac ap Google Authenticator ar ddyfais symudol y defnyddiwr i gynhyrchu a gwirio tocynnau dilysu untro. Mae dilysu Google yn seiliedig ar amser, felly nid oes unrhyw ddibyniaeth ar gyfathrebu rhwydwaith rhwng dyfais symudol y defnyddiwr, yr Orsaf, na Gweinyddwyr allanol. Gan fod y dilysydd yn seiliedig ar amser, rhaid i'r amser yn yr orsaf a'r amser yn y ffôn aros yn gymharol gyson. Mae'r ap yn darparu byffer o plws neu finws 1.5 munud i gyfrif am sgiw cloc.
Rhagofynion: Mae angen ap Google Authentication ar ffôn symudol y defnyddiwr. Rydych chi'n gweithio yn Workbench. Mae'r defnyddiwr yn bodoli yng nghronfa ddata'r orsaf.

Gweithdrefn

  1. Agorwch y palet gauth ac ychwanegwch GoogleAuthenticationScheme at y nod Gwasanaethau > Authenticationservice yn y goeden Nav.
  2. De-gliciwch Userservice, a chliciwch ddwywaith ar y defnyddiwr yn y tabl. Y Golyg view ar gyfer y defnyddiwr yn agor.
  3. Ffurfweddwch eiddo Enw'r Cynllun Dilysu i GoogleAuthenticationScheme a chliciwch Cadw.
  4. Cliciwch y botwm nesaf at Allwedd gyfrinach o dan ddilysydd y defnyddiwr a dilynwch yr awgrymiadau.
  5. I gwblhau'r ffurfweddiad, cliciwch Cadw. Yn dibynnu ar y view rydych chi'n ei ddefnyddio, efallai y bydd yn rhaid i chi agor y defnyddiwr eto neu adnewyddu ar ôl arbed.

CYFLWYNO SYSTEM
Mae'r adran hon yn cynnwys gwybodaeth y mae'n rhaid i chi ei darparu pan fydd y BAS yn cael ei chyflwyno i berchennog y system.

  • Dogfennaeth sy'n cynnwys gwybodaeth diogelwch, gosodiadau cyfluniad, enwau defnyddwyr a chyfrineiriau gweinyddol, cynlluniau trychineb ac adfer, a gweithdrefnau wrth gefn ac adfer.
  • Hyfforddiant defnyddiwr terfynol ar dasgau cynnal a chadw diogelwch.

USB WRTH GEFN A GLANWAD FILE GOSODIAD
Rhaid i'r defnyddiwr ddiogelu'r cyfrinair a ddefnyddir ar gyfer sipio a dadsipio'r rheolydd. Ceisiwch osgoi rhannu'r cyfrineiriau a manylion y rheolydd yn ystod y broses gwneud copi wrth gefn neu adfer.
USB wrth gefn a CleanDist file mae gwybodaeth gosod i'w gweld yn y Cyfarwyddyd Gosod a Chanllaw Comisiynu - 31-00584.

DATGOMISIYNU SYSTEMAU
Dylid dileu data sensitif o unedau sy'n cael eu tynnu allan o wasanaeth a gellir gwneud hyn trwy berfformio ailosodiad ffatri. Cyfeirio Botwm Gwasanaeth / Larwm Gwasanaeth LED a CleanDist file gosod o'r Cyfarwyddyd Gosod a'r Canllaw Comisiynu - 31-00584.

NODYN
The CleanDist file Gall y weithdrefn berfformio set ffatri trwy osod y clean4 file.

DIOGELWCH CYNHYRCHION SEILIEDIG NIAGARA UWCH
Ar gyfer cynhyrchion Advanced Honeywell sy'n seiliedig ar fframweithiau Niagara N4 a Niagara AX (ee Rheolydd Planhigion Uwch, AEM, a Modiwl IO), rhaid i chi ddilyn cyngor y Tridium ar sicrhau fframwaith Niagara.
Mae yna nifer o newidiadau cyfluniad y gellir eu gwneud i Niagara y gellir eu gwneud i wneud y mwyaf o ddiogelwch cynhyrchion Advanced Honeywell.

  • Defnyddiwch y Nodwedd Cryfder Cyfrinair
  • Galluogi Nodwedd Cloi'r Cyfrif
  • Dod i ben Cyfrineiriau
  • Defnyddiwch y Hanes Cyfrinair
  • Defnyddiwch y Nodwedd Ailosod Cyfrinair
  • Gadewch y Blwch “Cofiwch y Manylion Hyn” Heb ei Wirio
  • Newid Cyfrinair y System Diofyn
  • Defnyddiwch TLS I Gosod Cyfrinair y System
  • Dewiswch Gyfrinair System Cryf
  • Diogelu Cyfrinair y System
  • Sicrhewch fod Perchennog y Llwyfan yn Gwybod Cyfrinair y System
  • Defnyddiwch Gyfrif Gwahanol ar gyfer Pob Defnyddiwr Llwyfan
  • Defnyddiwch Enwau Cyfrif Unigryw ar gyfer Pob Prosiect
  • Sicrhewch fod Perchennog y Llwyfan yn Gwybod Manylion y Llwyfan
  • Defnyddiwch Gyfrif Gwahanol ar gyfer Pob Defnyddiwr Gorsaf
  • Defnyddiwch Gyfrifon Math Gwasanaeth Unigryw ar gyfer Pob Prosiect
  • Analluogi Cyfrifon Hysbys pan fo'n bosibl
  • Sefydlu Cyfrifon Dros Dro i ddod i ben yn awtomatig
  • Newid Manylion Cyfrif Math o System
  • Gwrthod Sesiynau Cydamserol Pan fo'n Briodol
  • Ffurfweddu Rolau ag Isafswm Caniatâd Angenrheidiol
  • Neilltuo Isafswm Rolau Gofynnol i Ddefnyddwyr
  • Defnyddiwch y Nifer Lleiaf Posibl o Ddefnyddwyr Gwych
  • Angen Caniatâd Defnyddiwr Gwych ar gyfer Gwrthrychau Rhaglen
  • Defnyddiwch yr Isafswm Caniatâd Angenrheidiol ar gyfer Cyfrifon Allanol
  • Defnyddiwch Gynllun Dilysu Addas ar gyfer y Math o Gyfrif
  • Dileu Cynlluniau Dilysu Diangen
  • TLS a Rheoli Tystysgrifau
  • Gosod Modiwl
  • Angen Gwrthrychau Rhaglen a Robotiaid wedi'u Llofnodi
  • Analluogi SSH a SFTP
  • Analluogi Gwasanaethau Diangen
  • Ffurfweddu Gwasanaethau Angenrheidiol yn Ddiogel
  • Diweddaru Niagara 4 i'r Datganiad Diweddaraf
  • Gosod Cynnyrch mewn Lleoliad Diogel
  • Gwnewch yn siŵr bod gorsafoedd y tu ôl i VPN
  • Mae cyhoeddiadau technegol penodol ar gael y mae'n rhaid eu dilyn i sicrhau bod y system wedi'i chloi i lawr mor ddiogel â phosibl. Mae llawer o opsiynau yn bodoli megis amgryptio SSL a chamau ychwanegol i ddiogelu elfennau megis modiwlau rhaglen, am fwy o fanylion cyfeiriwch at y Tridium websafle ar gyfer Canllaw Caledu Niagara 4 (ar gyfer cynhyrchion Niagara N4) a Chanllaw Caledu Niagara (cynhyrchion seiliedig ar Niagara AX).

Mae'r deunydd yn y ddogfen hon at ddibenion gwybodaeth yn unig. Gall y cynnwys a'r cynnyrch a ddisgrifir newid heb rybudd. Nid yw Honeywell yn cyflwyno unrhyw sylwadau na gwarantau mewn perthynas â'r ddogfen hon. Ni fydd Honeywell yn atebol am unrhyw hepgoriadau neu gamgymeriadau technegol neu olygyddol yn y ddogfen hon, ac ni fydd yn atebol am unrhyw iawndal, uniongyrchol neu atodol, sy'n deillio o ddefnyddio'r ddogfen hon neu'n gysylltiedig â hi. Ni cheir atgynhyrchu unrhyw ran o'r ddogfen hon ar unrhyw ffurf na thrwy unrhyw fodd heb ganiatâd ysgrifenedig ymlaen llaw gan Honeywell.
Honeywell | Awtomeiddio Adeiladau

715 Peachtree Street, NE,

  • Atlanta, Georgia, 30308, Unol Daleithiau America.
  • https://buildings.honeywell.com/us/en
  • ® Nod Masnach Cofrestredig yr Unol Daleithiau
  • ©2024 Honeywell International Inc. 31-00594-03 Parch. 12-24

RHESTR WIRIO DDIOGELWCH GOSOD

  • Dyfais Rheolydd Peiriannau Uwch Er enghraifft: ______________________________________________________________
  • Rheolydd Offer Uwch Disgrifiad: ________________________________________________________________________________
  • Rheolydd Peiriannau Uwch Lleoliad: _____________________________________________________________________
  • Gosodwr: ________________________________________________________
  • Dyddiad: __________________________________

Cwblhewch y tasgau diogelwch canlynol ar gyfer pob Rheolydd Offer Uwch sydd wedi'i osod

  • Gosodwch wal dân rhwng y Rheolydd Offer Uwch a rhwydwaith(au) allanol. Gweler “BACnet a Niagara” ar dudalen 19.
  • Diogelu'r Uwch Reolwr Offer yn gorfforol. Cyfeiriwch at y “Diogelwch yn gorfforol yr Uwch Reolwr Planhigion, AEM, ac IO Modiwl” ar dudalen 22.
  • Newidiwch y cyfrinair rhagosodedig i gyfrinair unigryw ar gyfer pob un o'r canlynol: Ffurfweddu Consol, Gwneud Copi Wrth Gefn / Adfer / Ailgychwyn / Rheolaeth, a Platfform Niagara. Gweler y Cyfarwyddyd Gosod a Chanllaw Comisiynu – 31-00584
  • Os a web mae angen gweinydd, yna ei ffurfweddu i weithredu yn y modd HTTPS yn unig. Gweler y Cyfarwyddyd Gosod a Chanllaw Comisiynu – 31-00584

Web Statws Gweinydd: Anabl / Galluogi.
If web gwasanaeth wedi'i alluogi, cwblhewch y canlynol:

  • Gosod Http Enabled = ffug.
  • Gosod Https Galluogi = gwir.
  • Gosod Https yn Unig = gwir.
  • Ffurfweddu wal dân BAS. Cyfeiriwch at y “Ffurfweddu wal dân BAS” ar dudalen 26.
  • Darparwch yr holl ddata gofynnol i berchennog system BAS adeg ei ddanfon. Cyfeiriwch at y “Setting Up Authentication” ar dudalen 27.

FAQ

  • Pam mae sicrhau'r Rheolydd Uwch yn bwysig?
    Mae diogelu'r rheolydd yn helpu i atal mynediad anawdurdodedig, yn amddiffyn data sensitif, ac yn sicrhau dibynadwyedd system.
  • Sut alla i adennill fy nghyfrinair?
    I adfer eich cyfrinair, dilynwch y broses Adfer Cyfrinair a amlinellir yn y llawlyfr. Mae hyn fel arfer yn golygu gwirio gwybodaeth eich cyfrif.

Dogfennau / Adnoddau

Rheolydd Uwch Honeywell Optimizer [pdfLlawlyfr Defnyddiwr
31-00594-03, Optimizer Uwch Reolwr, Rheolydd Uwch, Rheolydd

Cyfeiriadau

Swyddi Cysylltiedig

Gadael sylw

Ni fydd eich cyfeiriad e-bost yn cael ei gyhoeddi. Mae meysydd gofynnol wedi'u marcio *