Manuale utente del controller avanzato Honeywell Optimizer

Funzionalità di sicurezza: codice di verifica dell'account, account di sistema, recupero password, comunicazione sicura, certificati
Compatibilità di rete: BACnetTM, LAN

Disclaimer
Sebbene ci siamo impegnati a garantire l'accuratezza di questo documento, Honeywell non è responsabile per danni di alcun tipo, inclusi senza limitazioni i danni consequenziali derivanti dall'applicazione o dall'uso delle informazioni qui contenute. Le informazioni e le specifiche pubblicate qui sono aggiornate alla data di questa pubblicazione e sono soggette a modifiche senza preavviso. Le ultime specifiche del prodotto possono essere trovate sul nostro websito o contattando il nostro ufficio aziendale ad Atlanta, Georgia.
Per molte comunicazioni industriali basate su RS-485, lo stato predefinito è disabilitato al momento della spedizione dalla fabbrica per garantire la migliore sicurezza, perché quei bus di comunicazione legacy utilizzano la tecnologia legacy per la migliore compatibilità e sono stati progettati con una debole protezione di sicurezza. Quindi, per massimizzare la protezione del tuo sistema, Honeywell ha disabilitato in modo proattivo le porte di comunicazione del bus industriale legacy (al momento della spedizione dalla fabbrica) e l'utente deve abilitare esplicitamente le reti nella stazione di ciascuna rete. Se vuoi abilitare queste porte, devi essere consapevole del rischio di eventuali violazioni della sicurezza causate dall'uso della tecnologia legacy. Questi includono, ma non sono limitati a: Panel-bus, C-Bus, BACnetTM, M-Bus, CP-IO Bus, NovarNet, protocollo XCM-LCD, SBC S-Bus e Modbus, ecc.
Sviluppo secondo ISA-62443

Honeywell si è affidata per molti anni allo standard ISA 62443-4-1 e agli standard complementari applicabili per sviluppare in modo sicuro i nostri prodotti per la tecnologia edilizia. Ad esempioample, i prodotti edili Honeywell utilizzano anche ISA/IEC 62443-4-2 come base per i requisiti di sicurezza tecnica all'interno dei componenti e utilizziamo ISA/IEC 62443-3-3 per i sistemi completi. Quindi, per gli integratori e i clienti che selezionano tecnologie edili, l'aderenza di Honeywell alla famiglia di standard ISA/IEC 62443 può fornire un elevato livello di sicurezza che i nostri prodotti non si limitano a dichiarare di essere cyber resilienti, ma sono stati progettati, testati e convalidati per la cyber resilienza fin dall'inizio.
Honeywell sviluppa i propri prodotti in conformità allo standard ISA/IEC 62443-4-1 e siamo stati valutati da una terza parte e sottoposti a verifica in base a questo standard.
Introduzione e pubblico di riferimento

Honeywell dichiara espressamente che i suoi controller non sono intrinsecamente protetti dagli attacchi informatici da Internet e che sono pertanto destinati esclusivamente all'uso in reti private. Tuttavia, anche le reti private possono comunque essere soggette ad attacchi informatici dannosi da parte di personale IT qualificato e attrezzato e pertanto necessitano di protezione. I clienti devono pertanto adottare le linee guida sulle best practice di installazione e sicurezza per i prodotti basati su IP Advanced Plant Controller per mitigare il rischio rappresentato da tali attacchi.
Le seguenti linee guida descrivono le Best Practice Generali di Sicurezza per i prodotti basati su Advanced Plant ControllerIP. Sono elencate in ordine di mitigazione crescente.

I requisiti esatti di ogni sito devono essere valutati caso per caso. La stragrande maggioranza delle installazioni che implementano tutti i livelli di mitigazione descritti qui saranno di gran lunga superiori a quelli richiesti per una sicurezza di sistema soddisfacente. Incorporando gli elementi 1-5 (relativi alle reti locali), fare riferimento alla "Raccomandazione sulle reti locali (LAN)" a pagina 20, in genere soddisferà i requisiti per la maggior parte delle installazioni di reti di controllo dell'automazione.
Questo manuale contiene informazioni per guidare il personale di un rivenditore Honeywell su come installare e configurare in modo sicuro un Advanced Plant Controller, HMI e moduli IO. Informazioni relative alla sicurezza su funzionamento, backup e ripristino USB e CleanDist file l'installazione del controller è descritta nelle istruzioni di installazione e nella guida alla messa in servizio (31-00584).

NOTA
Si prega di prendersi il tempo necessario per leggere e comprendere tutti i manuali di installazione, configurazione e funzionamento pertinenti e di assicurarsi di ottenere regolarmente le versioni più recenti.

Tabella 1 Informazioni sul prodotto

Prodotto	Numero di prodotto	Descrizione
Controllore di stabilimento	N-ADV-134-H	Controllore avanzato Niagara con quattro porte Ethernet, porta per HMI e 4 porte RS485
	N-ADV-133-H-BWA	Controllore avanzato Niagara con quattro porte Ethernet, porta per HMI, 3 porte RS485, Wi-Fi (regione Americhe) e supporto BluetoothTM
	N-ADV-133-H-BWE	Controllore avanzato Niagara con quattro porte Ethernet, porta per HMI, 3 porte RS485, Wi-Fi (regione Europa) e supporto BluetoothTM
	N-ADV-133-H-BWW	Controllore avanzato Niagara con quattro porte Ethernet, porta per HMI, 3 porte RS485, Wi-Fi (resto del mondo) e supporto BluetoothTM
	N-ADV-133-H	Controllore avanzato Niagara con quattro porte Ethernet, porta per HMI e 3 porte RS485
	N-ADV-112-H	Controllore avanzato Niagara con due porte Ethernet, porta per HMI e 2 porte RS485
Interfaccia uomo-macchina	HMI-DN	HMI (montaggio su guida DIN)
Interfaccia uomo-macchina	HMI-WL	HMI (montaggio su porta/parete)
Modulo IO	IO-16UIO-SS	Modulo IO 16UIO senza HOA, comunicazioni seriali, terminali a vite
	IOD-16UIO-SS	Modulo IO 16UIO con display HOA, comunicazioni seriali, terminali a vite
	IO-16UI-SS	Modulo IO 16UI, comunicazioni seriali, terminali a vite
	IO-16DI-SS	Modulo IO 16DI, comunicazioni seriali, terminali a vite
	IO-8DOR-SS	Modulo IO 8DO senza HOA, relè C/O, comunicazioni seriali, terminali a vite
	IOD-8DOR-SS	Modulo IO 8DO con display HOA, relè C/O, comunicazioni seriali, terminali a vite
	IO-16UIO-SP	Modulo IO 16UIO con display HOA, comunicazioni seriali, terminali push
	IO-16UI-SP	Modulo IO 16UIO, comunicazioni seriali, terminali push
	IO-16DI-SP	Modulo IO 16DI, comunicazioni seriali, terminali push
	IO-8DOR-SP	Modulo IO 8DO senza HOA, relè C/O, comunicazioni seriali, terminali push
	IOD-8DOR-SP	Modulo IO 8DO con display HOA, relè C/O, comunicazioni seriali, terminali push
	IO-8UIO-SS	Modulo IO 8UIO senza HOA, comunicazioni seriali, terminali a vite

Modulo IO	IOD-8UIO-SS	Modulo IO 8UIO con display HOA, comunicazioni seriali, terminali a vite
	IO-8AO-SS	Modulo IO 8AO senza HOA, comunicazioni seriali, terminali a vite
	IOD-8AO-SS	Modulo IO 8AO con display HOA, comunicazioni seriali, terminali a vite
	IO-4UIO-SS	Modulo IO 4UIO senza HOA, comunicazioni seriali, terminali a vite
	IOD-4UIO-SS	Modulo IO 4UIO con display HOA, comunicazioni seriali, terminali a vite
	IO-8DI-SS	Modulo IO 8DI, comunicazioni seriali, terminali a vite
	IO-4DOR-SS	Modulo IO 4DO senza HOA, relè C/O, comunicazioni seriali, terminali a vite
	IOD-4DOR-SS	Modulo IO 4DO con display HOA, relè C/O, comunicazioni seriali, terminali a vite
	IO-4DORE-SS	Modulo IO 4DO senza HOA, relè C/O avanzati, comunicazioni seriali, terminali a vite
	IOD-4DORE-SS	Modulo IO 4DO con display HOA, relè C/O migliorati, comunicazioni seriali, terminali a vite
	IO-8UIO-SP	Modulo IO 8UIO senza HOA, comunicazioni seriali, terminali push
	IOD-8UIO-SP	Modulo IO 8UIO con display HOA, comunicazioni seriali, terminali push
	IO-8AO-SP	Modulo IO 8AO senza HOA, comunicazioni seriali, terminali push
	IOD-8AO-SP	Modulo IO 8AO con display HOA, comunicazioni seriali, terminali push
	IO-4UIO-SP	Modulo IO 4UIO senza HOA, comunicazioni seriali, terminali push
	IOD-4UIO-SP	Modulo IO 4UIO con display HOA, comunicazioni seriali, terminali push
	IO-8DI-SP	Modulo IO 8DI, comunicazioni seriali, terminali push
	IO-4DOR-SP	Modulo IO 4DO senza HOA, relè C/O, comunicazioni seriali, terminali push
	IOD-4DOR-SP	Modulo IO 4DO con display HOA, relè C/O, comunicazioni seriali, terminali push
	IO-4DORE-SP	Modulo IO 4DO senza HOA, relè C/O avanzati, comunicazioni seriali, terminali push
	IOD-4DORE-SP	Modulo IO 4DO con display HOA, relè C/O migliorati, comunicazioni seriali, terminali push

PERCHÉ PROTEGGERE I TUOI CONTROLLER AVANZATI?

Proteggi gli impianti dei tuoi clienti da modifiche non autorizzate ai set point operativi, agli override e alle programmazioni orarie.

Impedisci l'accesso ai dettagli dell'account utente: ad esempio nomi utente, password, indirizzi e-mail, numeri SMS (cellulari), ecc.
Impedire l'accesso ai dati commercialmente sensibili: Example- Misure di consumo energetico, soluzioni strategiche di controllo specialistiche, ecc.

Impedire l'accesso non autorizzato al controller, ai computer e alle reti che ospitano il software BMS e i dispositivi di controllo.
Mantenere l'integrità dei dati e garantire la responsabilità.

SISTEMA SOPRAVIEW

Il sopraview dell'installazione tipica del sistema.

Rete Internet/intranet/aziendale
Questa è una rappresentazione semplificata e logica di rete di tutte le reti esterne all'ambito del sistema di automazione dell'edificio (BAS). Può fornire accesso alle interfacce di gestione BAS (ad esempio la workstation primaria Niagara web interfaccia utente) ma deve fornire l'accesso a Internet in modo che i computer Niagara possano controllare e scaricare gli aggiornamenti del sistema operativo e degli scanner antivirus, a meno che non venga fornito un altro mezzo per farlo.
Rete BAS
Questa rete è utilizzata esclusivamente per i protocolli BAS, che consistono in BACnetTM/IP, BACnetTM/Ethernet e qualsiasi protocollo che Niagara Integration Services su un Advanced Plant Controller potrebbe utilizzare. Questa rete non deve essere la stessa rete di Internet/intranet/rete aziendale.

firewall BAS
Per fornire ulteriore separazione e protezione al BAS, è necessario utilizzare un firewall tra Internet/intranet/rete aziendale e qualsiasi dispositivo BAS che vi si collega, come la postazione di lavoro primaria Niagara, le postazioni di lavoro Niagara e Advanced Plant Controller. Questo firewall limita l'accesso al BAS solo ai computer autorizzati e può aiutare a ridurre il rischio di attacchi, come un attacco di negazione del servizio.
Postazione di lavoro Niagara
La postazione di lavoro primaria Niagara è un computer che esegue il software Niagara. Richiede due connessioni di rete: una per la connessione alla gestione web interfaccia utente attraverso a web browser (solitamente sul
Internet/intranet/rete aziendale) e un altro per la connessione alla rete BAS.

Ethernet Switch
Uno switch Ethernet crea reti e utilizza più porte per comunicare tra dispositivi nella LAN. Gli switch Ethernet sono diversi dai router, che collegano reti e utilizzano solo una singola porta LAN e WAN. Un'infrastruttura wireless aziendale e cablata completa fornisce connettività cablata e Wi-Fi per la connettività wireless.
Controllore avanzato di impianto
Advanced Plant Controller è un controller globale che si collega a una rete Ethernet, BACnetTM IP e ospita segmenti di rete MS/TP. MS/TP è una connessione a bassa larghezza di banda utilizzata per collegare controller e sensori.

Interfaccia uomo-macchina
L'HMI è collegato e riceve alimentazione dai controllori di impianto Advanced Niagara. Questi dispositivi sono costruiti con un display touch-screen capacitivo che supporta una selezione con il dito nudo e fornisce all'operatore funzioni per view, accedere e risolvere i problemi dei punti del controller, dei moduli IO e delle altre apparecchiature collegate.
Modulo IO
I moduli IO possono connettersi al controller tramite le connessioni touch flake (alimentazione e comunicazioni) oppure i moduli IO possono connettersi a un adattatore di cablaggio che verrà alimentato e collegato a una delle interfacce RS485 sul controller. I moduli IO sono programmabili tramite lo strumento di progettazione esistente, come ComfortPointTM Open Studio e Niagara 4 Workbench.

PIANIFICAZIONE E SICUREZZA DELLA RETE

Rete Ethernet
Si consiglia di separare la rete Ethernet utilizzata dal sistema BMS dalla normale rete dell'ufficio.
Exampon:
Utilizzando un air gap o una rete privata virtuale. L'accesso fisico all'infrastruttura di rete Ethernet deve essere limitato. Devi anche assicurarti che l'installazione sia conforme alla politica IT della tua azienda.
I controller avanzati non devono essere connessi direttamente a Internet.
Web Server
Il controller avanzato fornisce sia HTTP che HTTPS web server. Se un web il server non è richiesto, si consiglia di utilizzare entrambi web i server sono disattivati.

Rete IP BACnetTM
A causa della natura non sicura del protocollo BACnetTM, i moduli Advanced Controller, HMI e IO che utilizzano BACnetTM non devono essere connessi a Internet in nessuna circostanza. Il sistema di sicurezza Advanced Controller non protegge dalle scritture BACnetTM. L'accesso fisico all'infrastruttura di rete BACnetTM IP deve essere limitato. Se le comunicazioni BACnetTM IP non sono richieste, il modulo di rete Advanced Controllers (BACnetTMTM IP) deve essere disabilitato impostando il parametro 'Disable Module' su '1'.
Se sono richieste comunicazioni BACnetTMTM, si consiglia vivamente di non abilitare i servizi BACnetTMTM Backup/Restore, Reinitialize Device e BACnetTMTM Writable. Tuttavia, ciò significherà che la strategia creata non è conforme a BTL. Fare riferimento a "Sicurezza locale" a pagina 13.
MS/TP (licenze NC)
L'accesso fisico all'infrastruttura di rete MS/TP deve essere limitato. Se la rete MS/TP non è richiesta, il modulo di rete Advanced Controller (BACnetTM MSTP) deve essere disabilitato impostando il parametro 'Disable Module' su '1'. IO Bus (licenze CAN)
L'accesso fisico al bus IO deve essere limitato.
USB
L'accesso fisico alla porta di ingegneria locale USB dell'Advanced Controller deve essere limitato.
RS485 (incluse licenze Modbus)
L'accesso fisico alla porta RS485 del Controller deve essere limitato. Se non richiesto, nessun modulo di rete collegato alla porta deve essere incluso nella strategia.
Rete Modbus IP (licenze INT)
A causa della natura non sicura del protocollo Modbus, gli Advanced Controller che supportano Modbus IP non devono essere connessi a Internet in nessuna circostanza. L'accesso fisico all'infrastruttura di rete Modbus IP deve essere limitato. Se le comunicazioni Modbus IP non sono richieste, il modulo di rete (Modbus IP) dell'Advanced Controller non deve essere incluso nella strategia.

SISTEMA DI SICUREZZA AVANZATO PER CONTROLLER, HMI E MODULI IO

La sicurezza dei controller avanzati è conforme allo standard ISA 62433-3-3 SL 3 e fornisce avvio protetto, una rete autenticata e crittografata, crittografia a riposo e gestione sincronizzata degli account.
Per accedere ai prodotti Advanced Controller o eseguire una qualsiasi delle attività sopra indicate, è necessario fornire un nome utente e una password validi per un account di sistema di ingegneria o un account di sistema del dispositivo.

Sicurezza quando non configurato
Per interagire con un controller avanzato, HMI e moduli IO, è necessario fornire credenziali valide. Il controller viene fornito dalla fabbrica senza credenziali (account di sistema o moduli utente), il che garantisce che alla prima accensione sia protetto da accessi non autorizzati. La prima volta che si tenta di connettersi a un vCNC in uno dei prodotti avanzati sulla rete Niagara, è necessario creare un account di sistema di ingegneria con ruolo di amministratore.
Protezione da dispositivi non autorizzati
Una chiave univoca (Network Key) viene utilizzata per garantire che solo i dispositivi autorizzati possano unirsi alla rete Niagara. Tutti i controller che devono formare una rete Niagara devono avere la stessa Network Key e la stessa porta UDP. Queste vengono configurate tramite IP Tool durante il processo di configurazione iniziale.
Exampon:
Se quattro Advanced Plant Controller hanno la stessa chiave di rete (112233) e un quinto ha una chiave di rete diversa
(222). Quando sono connessi alla stessa rete Ethernet, i quattro controller con la stessa chiave di rete si uniscono per formare un'unica rete, ma il quinto controller non sarà in grado di unirsi alla rete perché ha una chiave di rete diversa, ovvero (222).
Allo stesso modo, se il quinto controller è nuovo (come spedito dalla fabbrica) e viene aggiunto alla rete Ethernet, non sarà in grado di connettersi alla rete Niagara perché non dispone di una chiave di rete.
1. Codice di verifica dell'account
  Quando un Admin System Account viene aggiunto a uno dei controller sulla rete, un Account Verification Code viene generato automaticamente dal controller a cui è stato aggiunto l'Account di sistema. Questo codice viene sincronizzato con tutti gli altri controller con la stessa Network Key e porta UDP sulla rete Ethernet.
  Una volta generato un codice di verifica dell'account, TUTTI i controller sulla rete DEVONO avere lo stesso codice di verifica dell'account, nonché la stessa chiave di rete e la stessa porta UDP.
  Example:
  Se ci sono cinque controller, tutti i controller Advanced hanno la stessa Network Key. Quattro hanno lo stesso Account Verification Code (AVC) e quindi formano una rete. Il quinto ha un Account Verification Code diverso e anche se ha la stessa Network Key non è in grado di unirsi agli altri controller.
Conti di sistema
Gli account di sistema consentono a persone e dispositivi di interagire con Advanced Controller. L'accesso concesso dipende dal tipo di account e dal ruolo.
Esistono due tipi di account di sistema:
1. Account del sistema di ingegneria
2. Account di sistema del dispositivo
3. Account del sistema di ingegneria
  Gli account di sistema di ingegneria sono destinati all'uso da parte degli ingegneri. Ogni account di sistema di ingegneria ha un nome account e una password che devono essere forniti quando richiesto dal controller. Se vengono forniti un nome utente e una password validi, il controller concederà l'accesso.

Per ogni persona deve essere creato un Account di sistema di ingegneria separato. Gli Account di sistema di ingegneria possono essere impostati su uno dei due ruoli:

Ruolo di ingegneria
Ruolo di amministratore

Ruolo di ingegneria
Il ruolo di Ingegneria fornisce l'accesso necessario per progettare il sistema avanzato, creare/gestire gli account di sistema dei dispositivi e gestire i dettagli dell'account dell'utente (indirizzo e-mail, password, ecc.).
Ruolo di amministratore
Il ruolo di Amministratore fornisce lo stesso accesso del ruolo di Ingegneria, più la possibilità di gestire tutti gli Account di Ingegneria e di Sistema dei Dispositivi.

Account di sistema del dispositivo
Gli account di sistema dispositivo sono pensati per consentire a dispositivi come Niagara di connettersi alla rete per ottenere le informazioni richieste e apportare modifiche. Si consiglia di creare un account di sistema dispositivo separato per ogni dispositivo che deve accedere alla rete. Hanno il ruolo di "Supervisore".

IMPORTANTE
Importante: il sistema di sicurezza del supervisore deve essere configurato per limitare i diritti di accesso di ciascun utente supervisore.

Creazione dell'account di sistema
Un Account di sistema di ingegneria con ruolo di amministratore deve essere creato la prima volta che si tenta di connettersi a un vCNC sulla rete Niagara. Questo account viene quindi sincronizzato con gli altri controller sulla rete Niagara

Fare riferimento a “Gestione account sincronizzata” a pagina 12. È possibile creare account aggiuntivi se necessario utilizzando Niagara Workbench.

NOTA
La prima volta che un Account di sistema di ingegneria viene creato in un controller, un Codice di verifica dell'account viene generato automaticamente e sincronizzato con gli altri controller sulla rete Ethernet con la stessa chiave di rete e porta UDP. Quando un controller ha un Codice di verifica dell'account, può unirsi a una rete solo con controller che hanno lo stesso Codice di verifica dell'account. Fare riferimento a "Codice di verifica dell'account" a pagina 11.

Gestione account sincronizzata
La gestione sincronizzata degli account sincronizza in modo semplice e sicuro gli Account di sistema, incluso il Codice di verifica dell'account, con tutti gli Advanced Controller sulla stessa rete Niagara. Ciò consente:

Accesso singolo alla rete
Riduzione delle spese generali di configurazione e manutenzione dell'accesso in tutto il sito senza ridurre la sicurezza. Tutti gli Advanced Controller sulla stessa rete avranno gli stessi account di sistema.

Quando un Advanced Controller senza alcun account di sistema è connesso alla rete Ethernet e configurato con la chiave di rete e la porta UDP per la rete Niagara, si unirà alla rete e otterrà automaticamente i suoi account di sistema dagli altri controller sulla rete Niagara.

Exampon:
Se un Advanced Controller senza alcun account di sistema viene aggiunto al sistema sopra indicato e gli viene fornita la chiave di rete per la rete Niagara (112233) e la porta UDP, si unirà alla rete e otterrà i suoi account di sistema (Utente 1, Utente 2, Utente 3) dagli altri Advanced Controller sulla rete Niagara.
Una volta completata la sincronizzazione sarà possibile connettersi a qualsiasi vCNC, visualizzare web pagine e accedere a qualsiasi controller avanzato sulla rete Niagara utilizzando uno qualsiasi degli account di sistema.
Se vengono apportate modifiche agli account di sistema, ad esempio se si aggiunge, si elimina o si modifica un account, tali modifiche verranno automaticamente sincronizzate su tutti gli Advanced Controller sulla rete Niagara.

Exampon:
se ci sono cinque Controller avanzati, gli account di sistema nel Controller (1) vengono modificati per rimuovere l'Utente 2, rinominare l'Utente 3 in Utente 3a e aggiungere l'Utente 4; le modifiche verranno sincronizzate con Controller (2), Controller (3), Controller (4) e Controller (5).

NOTA:
Se durante la sincronizzazione viene rilevato un conflitto, la modifica più recente ha la priorità.

Modifica di una chiave di rete del controller avanzato
Quando si modifica una chiave di rete Advanced Controller, tutti i suoi account di sistema verranno eliminati e verrà rimosso dalla sua rete Niagara corrente. La modifica della chiave di rete deve essere autorizzata da un account di sistema Engineer o Administrator valido.
Una volta apportata la modifica, il dispositivo si unirà a una rete Niagara utilizzando la nuova chiave di rete, se esistente, e otterrà gli account di sistema dall'Advanced Controller sulla nuova rete Niagara, a condizione che disponga della stessa porta UDP.

Sicurezza locale
La sicurezza locale utilizza utenti locali (moduli utente) per consentire l'accesso ai controller avanzati web pagine o un display connesso localmente e per controllare le informazioni visibili o i valori che possono essere modificati.
Per ottenere l'accesso e apportare modifiche, è necessario fornire un nome utente e una password validi per un utente locale. Il livello PIN dell'utente determina quali parametri un utente può vedere e modificare.

NOTA
Gli utenti locali NON sono sincronizzati con altri Advanced Controller sulla rete Niagara.

Accesso a Web Pagine
Accesso al controllore web pagine è protetto dal sistema di sicurezza Advanced Controller. Quando il controller web il server è accessibile a web viene visualizzata una pagina che fornisce alcune informazioni di base e consente all'utente di effettuare l'accesso. Fare riferimento a "Accesso iniziale" a pagina 13.
Gli utenti che effettuano l'accesso saranno trattati come utenti registrati – Fare riferimento a “Utenti registrati” a pagina 14. e utenti che accedono al web alle pagine senza accesso verrà concesso l'accesso come descritto in "Accesso iniziale" a pagina 13.

Accesso iniziale
Quando il controllore web al server si accede per la prima volta alla pagina di benvenuto visualizzata e l'accesso concesso dipende dalla configurazione di sicurezza corrente del controller:

Nessun account di sistema di ingegneria e nessun modulo utente (impostazione predefinita di fabbrica)

Viene visualizzata la pagina di "Benvenuto" e si ha accesso completo al controller web pagine e verrà data la possibilità di apportare modifiche.

NOTA
Poiché non sono presenti account di sistema di ingegneria o moduli utente, non sarà possibile effettuare l'accesso.

Account di sistema di ingegneria e nessun modulo utente
Viene visualizzata la pagina "Benvenuto" e il controller consentirà l'accesso solo ai moduli Sensore, Ingresso digitale, Manopola, Interruttore, Driver, Programmazione, Programmazione oraria, Ora, Tracciato, Registro allarmi e Grafica e non consentirà modifiche.

NOTA
Sarà possibile effettuare l'accesso utilizzando gli Account del Sistema di Ingegneria.

Account di sistema di ingegneria e moduli utente
La visualizzazione iniziale e l'accesso sono controllati dai moduli Utente. Se c'è un modulo Utente chiamato 'Ospite' senza password quando l'Advanced Controller web le pagine sono accessibili senza effettuare il login il controller fornirà i diritti di accesso (livello utente, home page e view predefiniti) specificati dal modulo Utente 'Ospite'.
Per impostazione predefinita, il modulo utente 'Ospite' fornisce solo l'accesso alla pagina 'Benvenuto' avanzata e ha un livello utente pari a '0'. Ciò significa che un utente che accede al controller senza effettuare l'accesso sarà in grado solo di view la pagina 'Benvenuto'. Per dare più accesso, l'utente 'Ospite' può essere configurato nello stesso modo di qualsiasi altro Modulo Utente di Tipo 0.

NOTA:
Il workbench Niagara impedisce che all'utente "Ospite" venga assegnata una password, un PIN o un livello utente superiore a "0". Consente una home page e view impostazioni predefinite da configurare.

Si consiglia vivamente di lasciare all'utente Ospite la configurazione predefinita (livello utente '0' e nessun view diritti).
Se non è presente un modulo utente denominato "Ospite" o è stato configurato con una password, viene visualizzata la pagina "Benvenuto" e il controller consentirà l'accesso solo ai moduli Sensore, Ingresso digitale, Manopola, Interruttore, Driver, Programmazione, Orario, Ora, Tracciato, Registro allarmi e Grafica e non consentirà modifiche.

NOTA
Sarà possibile effettuare l'accesso utilizzando gli account del sistema di ingegneria e tutti i moduli utente esistenti.

Utenti registrati
Per accedere a un Advanced Controller web pagine è necessario immettere un nome utente e una password corrispondenti a uno degli account del sistema di ingegneria del controller avanzato o ai moduli utente di tipo 0.

Recupero password
Se un utente ha dimenticato la propria password, questa può essere recuperata utilizzando Niagara Workbench. Per i dettagli sul recupero di una password dimenticata tramite Niagara, consultare la guida utente di Niagara Workbench.

PROTEZIONE DEL SISTEMA OPERATIVO NIAGARA

Buone pratiche generali
Seguire le buone pratiche generali per proteggere il sistema operativo, ad esempio:

Salvaschermo protetto da password

Software di crittografia dell'unità

Impostazione del firewall
Il sistema operativo deve essere configurato per utilizzare un firewall che viene aggiornato automaticamente. La configurazione deve impedire l'accesso (IN/OUT) per tutte le porte eccetto quelle per cui è richiesto l'accesso, NON lasciare aperte porte inutilizzate.

Versione del sistema operativo
DEVI assicurarti che qualsiasi dispositivo che esegue applicazioni Niagara o che è connesso alla stessa rete IP abbia gli ultimi aggiornamenti del sistema operativo installati. È buona norma assicurarsi che gli aggiornamenti di Windows siano lasciati in automatico e che vengano installati tempestivamente.

Protezione dal virus
È NECESSARIO assicurarsi che tutti i computer che eseguono le applicazioni Niagara o che sono connessi alla stessa rete IP dispongano di un software antivirus e che le definizioni dei virus siano aggiornate.

Protezione dalle intrusioni
Si raccomanda l'uso di un Intrusion Detection System (IDS) di un fornitore affidabile di prodotti di sicurezza su qualsiasi computer che esegue l'applicazione Niagara. Seguire le best practice per i prodotti scelti e qualsiasi politica IT aziendale in cui viene eseguita l'installazione.
Molti prodotti IDS e firewall offrono una soluzione completa per la registrazione di tutto il traffico in entrata e in uscita dal computer, consentendo agli utenti di registrare tutte le attività al livello più basso.

REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (GDPR)

Il Regolamento generale sulla protezione dei dati (UE) 2016/679 (GDPR) è un regolamento di diritto dell'UE sulla protezione dei dati e sulla privacy per tutti i cittadini individuali dell'Unione europea (UE) e dello Spazio economico europeo (SEE). Riguarda anche il trasferimento di dati personali al di fuori delle aree UE e SEE. Il GDPR contiene disposizioni e requisiti relativi al trattamento dei dati personali di individui (interessati) all'interno del SEE e si applica a qualsiasi impresa stabilita nel SEE (indipendentemente dalla sua ubicazione e dalla cittadinanza degli interessati) o che sta elaborando le informazioni personali degli interessati all'interno del SEE.
Ai sensi del GDPR, i dati personali includono qualsiasi informazione che possa essere utilizzata per identificare un individuo. Ciò include (ma non è limitato a):

nomi utente,
password,
numeri di telefono,

indirizzi email,
indirizzi di lavoro o residenziali.

Tutte queste informazioni immesse nell'Advanced Controller, HMI e IO Module vengono crittografate e archiviate nei prodotti Advanced presso i locali del cliente. Honeywell non ha alcun coinvolgimento nell'archiviazione e/o nell'elaborazione dei dati personali all'interno dei prodotti Advanced Honeywell.
La responsabilità della conformità ai requisiti del GDPR ricade interamente sull'integratore di sistema o sull'amministratore di sistema e, in quanto tale, deve garantire che siano in atto sistemi tecnici e organizzativi adeguati per:

ottenere il consenso esplicito di ciascun interessato affinché i dati personali vengano archiviati, utilizzati e/o elaborati,
consentire agli individui di avere accesso ai propri dati personali al fine di verificarne l'accuratezza,
consentire agli individui di revocare il proprio consenso in qualsiasi momento e di far cancellare definitivamente i propri dati personali,

mantenere la sicurezza e l'integrità dell'archiviazione e dell'accesso ai dati in ogni momento,
segnalare all'autorità competente eventuali violazioni della sicurezza dei dati (che potrebbero compromettere la privacy dell'utente) entro 72 ore dal verificarsi della violazione.

COMUNICAZIONE SICURA

Una Public Key Infrastructure (PKI) supporta la distribuzione e l'identificazione di chiavi di crittografia pubbliche utilizzate per proteggere lo scambio di dati su reti, come Internet. La PKI verifica l'identità dell'altra parte e codifica l'effettiva trasmissione dei dati. La verifica dell'identità fornisce una garanzia non ripudiata dell'identità del server. La crittografia fornisce riservatezza durante la trasmissione in rete. Richiedere moduli di codice firmati assicura che nel sistema venga eseguito solo il codice previsto.

Per fornire reti sicure tramite PKI, Niagara supporta il protocollo TLS (Transport Layer Security), versioni 1.0, 1.1 e 1.2. TLS sostituisce il suo predecessore, SSL (Secure Sockets Layer).
Ogni installazione di Niagara crea automaticamente un certificato predefinito, che consente di crittografare immediatamente la connessione. Tuttavia, questi certificati generano avvisi nel browser e in Workbench e in genere non sono adatti agli utenti finali. La creazione e la firma di certificati digitali personalizzati consente un utilizzo senza interruzioni di TLS nel browser e fornisce sia la crittografia che l'autenticazione del server.
Oltre alla sicurezza della comunicazione, ogni modulo di codice informatico che viene eseguito nel sistema è protetto da una firma digitale. Gli oggetti di programma aggiunti richiedono questa firma o non vengono eseguiti.

La verifica del server, la crittografia della trasmissione e la garanzia che solo l'esecuzione del codice firmato non protegga i dati archiviati su un dispositivo di archiviazione. Devi comunque limitare l'accesso fisico ai computer e ai controller che gestiscono il tuo modello di edificio, impostare l'autenticazione utente con password complesse e proteggere i componenti controllando le autorizzazioni.
Niagara supporta e utilizza comunicazioni sicure e codice firmato per impostazione predefinita. Non è necessario acquistare una licenza aggiuntiva.
La sicurezza è una preoccupazione costante. Mentre troverete molte informazioni preziose negli argomenti sulla comunicazione sicura, aspettatevi futuri aggiornamenti e cambiamenti.
Di seguito sono riportate le comunicazioni sicure. Per maggiori dettagli, fare riferimento alla guida Niagara Station Security.

Relazioni client/server

Certificati
Negozi di certificati
Struttura delle cartelle CSR

Impostazione del certificato
Procedura guidata certificato
Firma di più certificati

Configurazione della comunicazione sicura della piattaforma
Configurazione della comunicazione sicura della stazione
Abilitare i client e configurarli per la porta corretta

Installazione di una copia della stazione su un'altra piattaforma
Protezione della posta elettronica
Risoluzione dei problemi di comunicazione sicura

Relazioni client/server
Le relazioni client/server identificano le connessioni che richiedono protezione. Le relazioni client/server di Workbench variano a seconda di come si configura e si utilizza un sistema. Workbench è sempre un client. Una piattaforma è sempre un server. Una stazione può essere un client e un server.
I protocolli di sistema che gestiscono le comunicazioni sono:

Le connessioni di piattaforma da Workbench (client) al controller o al demone di piattaforma del PC Supervisor (server) utilizzano Niagara. Una connessione di piattaforma sicura è talvolta definita platformtls. Si abilita platformtls utilizzando Platform Administration view.
Le connessioni delle stazioni locali (Supervisor e piattaforma) utilizzano Fox. Puoi abilitare queste connessioni nel FoxService di una stazione (Config > Services > FoxService).

Le connessioni del browser utilizzano Https, così come Foxs se si utilizza Web Lanciatore con WbWebProfessionistafile. Si abilitano queste connessioni utilizzando la stazione WebServizio (Configurazione > Servizi > WebServizio).
Connessioni client al server di posta elettronica della stazione, se applicabile. Abilitare la posta elettronica sicura tramite EmailService della stazione (Config > Services > EmailService).

CERTIFICATI
Un certificato è un documento elettronico che utilizza una firma digitale per associare una chiave pubblica a una persona o a un'organizzazione. I certificati possono avere vari scopi, a seconda di come si configura la proprietà Key Usage del certificato. Il loro scopo principale in questo sistema è verificare l'identità di un server in modo che la comunicazione possa essere considerata attendibile. Per maggiori dettagli, fare riferimento alla Niagara Station Security Guide – Certificate.
Niagara supporta questi tipi di certificati:

Un certificato CA (Certificate Authority) è un certificato autofirmato che appartiene a una CA. Questa potrebbe essere una terza parte o una società che funge da propria CA.
Un certificato CA radice è un certificato CA autofirmato la cui chiave privata viene utilizzata per firmare altri certificati creando un albero di certificati attendibile. Con la sua chiave privata, un certificato CA radice può essere esportato, archiviato su una chiavetta USB in un caveau e portato fuori solo quando i certificati devono essere firmati. La chiave privata di un certificato CA radice richiede la creazione di una password all'esportazione e la fornitura della stessa password quando la si utilizza per firmare altri certificati.
Un certificato intermedio è un certificato CA firmato da un certificato CA radice che viene utilizzato per firmare certificati server o altri certificati CA intermedi. L'utilizzo di certificati intermedi isola un gruppo di certificati server.

Un certificato Server rappresenta il lato server di una connessione sicura. Mentre puoi impostare un certificato separato per ogni protocollo (Foxs, Https, Webs). Sebbene sia possibile configurare una piattaforma e una stazione (come server) con certificati server separati, per semplicità la maggior parte dei sistemi utilizza solitamente lo stesso certificato server.
Un certificato di firma del codice è un certificato utilizzato per firmare oggetti e moduli di programma. Gli integratori di sistemi utilizzano questo certificato per impedire l'introduzione di codice dannoso quando personalizzano il framework.

Certificati autofirmati
Un certificato autofirmato è un certificato firmato per impostazione predefinita utilizzando la propria chiave privata anziché la chiave privata di un certificato CA (Autorità di certificazione) radice.
Il sistema supporta due tipi di certificati autofirmati:

Un certificato CA radice è implicitamente attendibile perché non esiste un'autorità superiore alla CA (Certificate Authority) che possiede questo certificato. Per questo motivo, le CA, la cui attività consiste nell'approvare i certificati di altre persone, custodiscono attentamente i loro certificati CA radice e le chiavi private. Allo stesso modo, se la tua azienda funge da CA di se stessa, dovresti custodire attentamente il certificato CA radice che utilizzi per firmare altri certificati.
Un certificato predefinito autofirmato: la prima volta che si avvia un'istanza di Workbench, una piattaforma o una stazione dopo l'installazione (messa in servizio), il sistema crea un certificato server predefinito autofirmato con l'alias tridium.

NOTA:
Non esportare questo certificato e importarlo in nessun archivio di un'altra piattaforma o stazione. Sebbene possibile, farlo riduce la sicurezza e aumenta la vulnerabilità.
Per ridurre al minimo il rischio di un attacco man-in-the-middle quando si utilizzano certificati autofirmati, tutte le piattaforme devono essere contenute in una rete privata sicura, offline e senza accesso pubblico da Internet.

ATTENZIONE
Per utilizzare certificati autofirmati, prima di accedere alla piattaforma o alla stazione da Workbench per la prima volta, assicurati che il tuo computer e la piattaforma non siano su alcuna rete aziendale o su Internet. Una volta disconnesso, collega il computer direttamente alla piattaforma, apri la piattaforma da Workbench e approva il suo certificato autofirmato. Solo allora dovresti ricollegare la piattaforma a una rete aziendale.

Convenzione di denominazione
User Key Store, User Trust Store e System Trust Store costituiscono il cuore della configurazione. I certificati sono molto simili e i vari certificati autofirmati predefiniti hanno nomi identici.

Negozi di certificati
La gestione dei certificati utilizza quattro archivi per gestire i certificati: un archivio chiavi utente, un archivio attendibilità di sistema, un archivio attendibilità utente e un elenco host consentiti.
L'archivio chiavi utente è associato al lato server della relazione client-server. Questo archivio contiene certificati, ciascuno con le sue chiavi pubbliche e private. Inoltre, questo archivio contiene il certificato autofirmato creato inizialmente quando hai avviato Workbench o hai avviato la piattaforma per la prima volta.
Gli User e System Trust Store sono associati al lato client della relazione client-server. Il System Trust Store è precompilato con certificati pubblici standard: certificati CA radice da note autorità di certificazione, come VeriSign, Thawte e Digicert. L'User Trust Store contiene certificati CA radice e intermedi per le aziende che fungono da proprie autorità di certificazione.
L'elenco Allowed Hosts contiene certificati server per i quali non esiste alcun certificato CA radice attendibile nei System Trust Store o User Trust Store del client, ma i certificati server sono stati comunque approvati per l'uso. Ciò include server per i quali il nome host del server non è lo stesso del Common Name nel certificato server. Si approva l'uso di questi certificati su base individuale. Sebbene la comunicazione sia sicura, è meglio usare certificati server firmati.

Crittografia
La crittografia è il processo di codifica della trasmissione dei dati in modo che non possano essere letti da terze parti non attendibili. TLS utilizza la crittografia per trasmettere i dati tra il client e il server. Sebbene sia possibile effettuare una connessione non crittografata utilizzando solo i protocolli fox o http, si consiglia vivamente di non perseguire questa opzione. Senza crittografia, le comunicazioni sono potenzialmente soggette a un attacco. Accettare sempre le connessioni Foxs o Https predefinite.

DASHBOARD DI SICUREZZA OLTREVIEW
In Niagara 4.10u5 e versioni successive, la funzionalità Security Dashboard fornisce (per gli amministratori e altri utenti autorizzati) una panoramica view della configurazione di sicurezza della tua stazione. Ciò ti consente di monitorare facilmente la configurazione di sicurezza in molti servizi della stazione e di identificare eventuali debolezze della configurazione di sicurezza sulla stazione.

ATTENZIONE
Il pannello di controllo della sicurezza View potrebbe non visualizzare tutte le possibili impostazioni di sicurezza e non dovrebbe essere considerato una garanzia che tutto sia configurato in modo sicuro. In particolare, i moduli di terze parti potrebbero avere impostazioni di sicurezza che non vengono registrate nella dashboard.

Il pannello di controllo della sicurezza view è il principale view sul SecurityService della stazione. Il view ti avvisa di debolezze di sicurezza come impostazioni di scarsa sicurezza della password; certificati scaduti, autofirmati o non validi; protocolli di trasporto non crittografati, ecc., indicando aree in cui la configurazione dovrebbe essere più sicura. Altri dati segnalati includono: stato di salute del sistema, numero di account attivi, account inattivi, numero di account con autorizzazioni di superutente, ecc. Facoltativamente, l'attributo "system" sulla funzionalità di licenza "securityDashboard" può essere impostato su "true" per abilitare il sistema View della stazione che fornisce i dettagli di sicurezza per ogni stazione subordinata nella NiagaraNetwork.
Il Security Dashboard è il principale view per i Servizi di Sicurezza. Per i dettagli completi sul view, Fare riferimento a “nss-SecurityDashboardView" nella Guida alla sicurezza della stazione di Niagara.

PROGETTAZIONE E INSTALLAZIONE

Questa sezione contiene informazioni per pianificare ed eseguire un'installazione di Advanced Plant Controller.

Installazione e configurazione consigliate
Nella sezione seguente vengono illustrate due configurazioni di installazione consigliate.

Solo BACnetTM
BACnetTM e Niagara

Solo BACnetTMBACnetTM
Se l'Advanced Plant Controller viene utilizzato solo per le comunicazioni BACnetTM, collegare solo Ethernet 1 alla rete BAS su cui verrà eseguito BACnetTM (BACnetTM/IP o BACnetTM/Ethernet).

BACnetTM e Niagara
Quando Niagara viene utilizzato sull'Advanced Plant Controller, può essere configurato per fornire servizi, come web servizi o Niagara FOXS, alla rete Internet/intranet/aziendale. In questo caso, collegare Ethernet 2 alla rete Internet/intranet/aziendale tramite il firewall BAS per fornire servizi a tale rete.

Raccomandazione per reti locali (LAN)
Assicurare che i sistemi operino su una politica di password appropriata per l'accesso degli utenti a tutti i servizi. Questa linea guida includerebbe, ma non si limiterebbe a:

L'uso di password complesse.
Durata consigliata del ciclo di password.

Nomi utente e password univoci per ogni utente del sistema.
Regole di divulgazione delle password.
Se è richiesto l'accesso remoto ai sistemi di controllo degli edifici basati su IT, utilizzare la tecnologia VPN (Virtual Private Network) per ridurre il rischio di intercettazione dei dati e proteggere i dispositivi di controllo dall'essere immessi direttamente su Internet.

DOCUMENTAZIONE

La documentazione è essenziale per acquisire le informazioni di progettazione e configurazione necessarie per mantenere un sistema sicuro.

Documentare i dispositivi fisici e le configurazioni, comprese le informazioni chiave relative alla sicurezza
Tutta la documentazione sui dispositivi e sulle configurazioni deve includere informazioni relative alla sicurezza per stabilire e mantenere i controlli di sicurezza previsti. Ad esempioampAd esempio, se vengono apportate modifiche ai servizi o alle porte predefiniti sull'Advanced Plant Controller, è necessario documentarle chiaramente in modo che le impostazioni possano essere ripristinate in un secondo momento.

Documentare i sistemi esterni, in particolare l'interazione tra l'Advanced Plant Controller e i suoi sistemi correlati
Il BAS richiede o utilizza comunemente sistemi esterni per la funzionalità, come infrastrutture di rete esistenti, accesso VPN, host di macchine virtuali e firewall. Se il BAS richiede che tali sistemi siano configurati in un certo modo per la sicurezza, come un firewall che consente o nega determinate porte o una rete che consente l'accesso a determinati sistemi, è necessario documentare queste informazioni. Se questi sistemi devono essere ripristinati in un momento futuro, Example: a causa di guasti alle apparecchiature o di modifiche necessarie ai sistemi esterni, Example: aggiornare un firewall; avere documentato queste informazioni ti aiuterà a ripristinare il livello di sicurezza precedente.

CONTROLLO ACCESSI E SICUREZZA FISICA
Il controllo degli accessi consiste nel specificare e limitare l'accesso ai dispositivi o alle funzioni solo agli utenti autorizzati.

Proteggere fisicamente il controller avanzato dell'impianto, l'HMI e il modulo IO
Impedire l'accesso non autorizzato alle apparecchiature di rete utilizzate insieme ai sistemi forniti da Honeywell. Con qualsiasi sistema, impedire l'accesso fisico alla rete e alle apparecchiature riduce il rischio di interferenze non autorizzate. Le migliori pratiche di sicurezza con le installazioni IT garantirebbero che le sale server, i pannelli di permutazione e le apparecchiature IT siano in stanze chiuse a chiave. Le apparecchiature Honeywell dovrebbero essere installate all'interno di armadi di controllo chiusi a chiave, a loro volta situati in sale impianti protette.

Adesivo sopra il pannello di accesso al controller o l'involucro
Applicare aampadesivo evidente sul pannello di accesso o sulla custodia del modulo Advanced Plant Controller, HMI e IO
Se un cliente ha bisogno di ulteriore garanzia che l'accesso fisico che protegge un Advanced Plant Controller, HMI e un modulo IO non sia stato immesso, installare aampSigillo o adesivo ben visibile sul punto di accesso.

Separare e proteggere le reti

Utilizzare un firewall tra Internet/intranet/rete aziendale e il BAS.
Utilizzare una rete fisica dedicata separata (fili separati) o una rete virtuale (VLAN) per la comunicazione BACnetTM. Questa deve essere una rete separata da Internet/intranet/rete aziendale.

Non collegare EN2 sull'Advanced Plant Controller a nessuna rete a meno che non siano necessari i servizi Niagara (Piattaforma, Stazione e/o Webserver). Se è necessario connettere EN2 a Internet/intranet/rete aziendale, è necessario utilizzare un firewall BAS esterno tra Advanced Plant Controller e Inter-net/intranet/rete aziendale.

Sicurezza senza fili

L'utente deve riview sicurezza della rete wireless basata sulla topologia di rete, garantendo che non vi sia alcuna esposizione involontaria alla rete INTERNET pubblica e che la protezione del firewall BAS non venga aggirata.
È essenziale adottare sempre le tecnologie di sicurezza wireless più elevate disponibili, come WPA2 o WPA3. Inoltre, gli utenti devono proteggere in modo sicuro le proprie password, incluse, ma non limitate a, password Wi-Fi e codici PIN BluetoothTM. Non consentire mai al controller di connettersi a una rete wireless aperta o di configurare un punto di accesso wireless aperto.
Evitare sempre di connettere dispositivi non autorizzati alla rete wireless o di stabilire connessioni BluetoothTM per prevenire potenziali exploit.
È responsabilità dell'utente effettuare regolarmente la verificaview impostazioni di sicurezza, modificare password o codici di accesso in base alla policy di sicurezza e monitorare i dispositivi connessi sulla rete wireless e sulle subnet. Gli utenti dovrebbero anche documentare queste attività di audit.

PROTEZIONE DEL CONTROLLER AVANZATO, DELL'HMI E DEL MODULO IO

Credenziali dell'account di sistema di amministrazione fornite all'utente del sito
Le credenziali dell'account di sistema "Admin" devono essere fornite al proprietario del sito per consentirgli di gestire gli account di sistema.
Sviluppo di un programma di sicurezza
Fare riferimento alle "Best Practice di sicurezza generale"
Considerazioni fisiche e ambientali
Il controller avanzato, l'HMI e il modulo IO devono essere installati in un ambiente chiuso a chiave, ad esempio in una sala macchine protetta o in un armadio chiuso a chiave.

NOTA
Garantire una ventilazione adeguata.

Aggiornamenti di sicurezza e service pack
Assicurarsi che il controller avanzato, l'HMI e il modulo IO eseguano la versione più recente del firmware.

UTENTI E PASSWORD

Utenti
Assicurarsi che il numero di utenti e i livelli di accesso forniti siano adeguati alle attività che devono svolgere.

A livello del dispositivo controller configurare gli account di sistema o gli utenti nei controller per Web accesso client, supervisore e peer-to-peer.
Configurando i moduli utente nei controller avanzati, questo significa che un utente dovrà effettuare l'accesso a un dispositivo con credenziali valide prima che possano essere apportate modifiche. Assicurarsi che siano assegnati i diritti di accesso appropriati per gli account di sistema e gli utenti.
Utilizzare un account diverso per ogni utente
Utilizzare nomi e password univoci per ogni utente/account sul sistema, anziché un accesso generico. Persone diverse non dovrebbero mai condividere lo stesso account. Ad esempioampInvece di un account 'manager' generico che molti manager potrebbero utilizzare, ogni manager dovrebbe avere il proprio account separato.

Ci sono molte ragioni per cui ogni utente dovrebbe avere un proprio account individuale:

Se ogni persona ha il proprio account, i log di controllo saranno più informativi. Sarà facile determinare esattamente quale utente ha fatto cosa. Questo può aiutare a rilevare se un account è stato compromesso.

NOTA
Non tutti i prodotti dispongono di una funzionalità di registro di controllo, ma se disponibile, non dovrebbe essere disattivata.

Se un account viene rimosso o modificato, non crea inconvenienti a molte persone. Ad esempioample, se una persona non dovesse più avere accesso, eliminare il suo accesso individuale è semplice. Se si tratta di un account condiviso, le uniche opzioni sono cambiare la password e avvisare tutti, oppure eliminare l'account e avvisare tutti. Lasciare l'account così com'è non è un'opzione: l'obiettivo è revocare l'accesso.
Se ogni persona ha il proprio account, è molto più facile personalizzare i permessi per soddisfare esattamente le proprie esigenze. Un account condiviso potrebbe comportare che le persone abbiano più permessi di quanti dovrebbero.
Un account condiviso significa una password condivisa. Condividere le password è una pessima pratica di sicurezza. Rende molto più probabile che la password venga divulgata e rende più difficile implementare alcune best practice per le password, come la scadenza della password.
Utilizzo di utenti di ingegneria unici per progetti
È una pratica comune che alcune aziende utilizzino gli stessi dettagli dell'account su ogni progetto. Una volta che questo è noto, se un sistema è compromesso, l'attaccante potrebbe potenzialmente avere credenziali per l'accesso a molti altri progetti installati dalla stessa azienda.
Disattivare gli account noti quando possibile
Alcuni prodotti hanno account predefiniti. Questi devono essere configurati in modo che la password non sia più quella predefinita.
Assegnare le autorizzazioni minime richieste per gli utenti
Assicuratevi che solo gli account richiesti siano impostati sul sistema con i livelli di sicurezza minimi richiesti piuttosto che con accesso completo. Quando create un nuovo account, pensate a cosa la persona deve fare nel sistema, quindi assegnate le autorizzazioni minime richieste per svolgere quel lavoro. Ad esempioample, qualcuno che ha solo bisogno di vedere gli allarmi non ha bisogno di accesso amministratore. Concedere permessi non richiesti aumenta la possibilità di una violazione della sicurezza. L'utente potrebbe inavvertitamente (o intenzionalmente) modificare impostazioni che non dovrebbe modificare.
Utilizzare il numero minimo possibile di account di amministratore di sistema
Assegnare i permessi di System Administrator solo quando assolutamente necessario. Questo tipo di account è un account estremamente potente: consente l'accesso completo a tutto. Solo l'amministratore di sistema dovrebbe avere accesso all'account. Si pensi anche a fornire all'amministratore di sistema due account, uno per l'accesso giornaliero per gestire le attività quotidiane e un secondo account di accesso di alto livello che è necessario solo quando sono necessarie modifiche al tipo di amministrazione.

Le password
Il sistema Niagara e i sistemi operativi utilizzati nei prodotti Advanced Honeywell utilizzano password per autenticare gli "utenti" in un Supervisor, Display, Tool o sistemi operativi. È particolarmente importante gestire correttamente le password. Non impiegare questo livello di sicurezza iniziale significherà che chiunque accede al sistema tramite un display, web il cliente o il supervisore avrà accesso per apportare modifiche. Assicurare che il sistema Niagara operi in una politica di password appropriata per l'accesso degli utenti, questa linea guida includerebbe, ma non si limiterebbe a:

L'uso di password complesse – Si dovrebbero usare password complesse. Fare riferimento agli ultimi standard di sicurezza per i dettagli su cosa rende una password complessa.
Un ciclo di password consigliato – Alcuni prodotti Niagara consentono all'amministratore di sistema di specificare un periodo dopo il quale una password deve essere modificata. Sebbene non tutti i prodotti applichino attualmente questo periodo di modifica della password, una policy del sito può consigliarlo.
Regole di divulgazione della password: l'utente DEVE assicurarsi di non divulgare ad altri i dettagli del proprio nome utente e della propria password e di non scriverli.

CONFIGURAZIONE DI UN CONTROLLER DI IMPIANTO AVANZATO
Per la configurazione di un controller di impianto avanzato, fare riferimento alle istruzioni di installazione e alla guida alla messa in servizio
(31-00584). Fare riferimento alla guida del driver HMI (31-00590) per HMI e alla guida del driver del bus del pannello (31-00591) per il modulo IO.

Creare e mantenere configurazioni di base
Crea e mantieni una baseline di configurazioni Advanced Plant Controller che siano state configurate correttamente per la sicurezza. Assicurati che questa baseline includa anche DCF files e componenti Niagara. Non impegnare configurazioni non sicure nella baseline per evitare di applicarle inavvertitamente in futuro. Aggiornare qualsiasi documentazione rilevante quando le configurazioni cambiano.

Cambiare le password predefinite
Cambia tutte le password predefinite: password di configurazione della console, password di backup/ripristino/riavvio/controllo e password di Niagara Platform. Quando completi la messa in servizio, assicurati che il dispositivo sia protetto da password. Assicurati che siano assegnati livelli utente appropriati per gli utenti del sito.

Ulteriori considerazioni

Contratto di livello di servizio
Adottare una politica di aggiornamento appropriata per l'infrastruttura installata nel sito come parte di un accordo sul livello di servizio. Questa politica dovrebbe includere, ma non è limitata a, l'aggiornamento dei seguenti componenti di sistema all'ultima versione:

Firmware dei dispositivi per controller, moduli IO, HMI, ecc.;
Software di supervisione, come il software Arena NX;
Sistemi operativi per computer/server;
Infrastruttura di rete e tutti i sistemi di accesso remoto.

Configurazione della rete IT
Configurare reti IT separate per i sistemi di controllo dell'automazione e la rete IT aziendale del cliente. Ciò può essere ottenuto configurando VLAN (Virtual LAN) all'interno dell'infrastruttura IT del cliente o installando un'infrastruttura di rete separata air-gapped dedicata ai sistemi di controllo dell'automazione.
Quando si interfaccia con i controllori utilizzando un supervisore di sistema centralizzato (ad esempioample: Niagara) e dove il sistema non richiede l'accesso diretto ai singoli dispositivi web server, l'infrastruttura di rete dovrebbe essere configurata per limitare web accesso al server.
Le VLAN dinamiche che utilizzano l'allocazione degli indirizzi MAC possono proteggere dalla connessione non autorizzata di un dispositivo al sistema e possono ridurre il rischio associato al monitoraggio individuale delle informazioni sulla rete.

CONFIGURAZIONE DEL FIREWALL BAS

La seguente tabella descrive le porte di rete utilizzate in un Advanced Plant Controller. Vedere Fare riferimento a "System Overview" a pagina 8. per un exampl'architettura di installazione. La tabella ha le seguenti colonne:

Porta predefinita e protocollo (TCP o UDP)
Scopo del porto
Se è necessario o meno modificare la porta predefinita
Se le connessioni o il traffico in entrata debbano essere consentiti tramite il firewall BAS
Ulteriori note sono elencate sotto la tabella

Tabella 2 Configurazione del firewall BAS

Predefinito Porta/Protocollo	Scopo	Cambiare rispetto all'impostazione predefinita?	Consentire tramite firewall BAS?	Appunti
80 / TCP	HTTP	NO	NO
443 / TCP	HTTP	NO	Forse, se web è richiesto l'accesso da Internet/intranet/rete aziendale.	1
1911 / TCP	Fox (versione non sicura del protocollo applicativo Niagara)	SÌ	NO
4911 / TCP	Fox + SSL (versione sicura del protocollo applicativo Niagara)	SÌ	NO
3011 / TCP	NiagaraD (versione non sicura del protocollo della piattaforma Niagara)	SÌ	NO
5011 / TCP	NiagaraD + SSL (versione sicura del protocollo della piattaforma Niagara)	SÌ	NO
2601 / TCP	Porta console Zebra	NO	NO	2
2602 / TCP	Porta console RIP			2
47808/UDP	Connessione di rete BACnetTM/IP	SÌ	NO	3

NOTA

Se diretto remoto web Se l'interfaccia utente è supportata, questa porta deve essere autorizzata tramite il firewall BAS.
La porta viene aperta automaticamente da questo demone e questa funzionalità non può essere disabilitata. Il demone è configurato per non consentire alcun login tramite questa porta.
Seguire le linee guida di configurazione di rete indicate nel presente manuale in modo che Advanced Plant Controller non debba mai far passare il traffico UDP attraverso il firewall BAS.

IMPOSTAZIONE DELL'AUTENTICAZIONE

Google Authentication Scheme è un meccanismo di autenticazione a due fattori che richiede all'utente di immettere la propria password e un token monouso quando effettua l'accesso a una stazione. Ciò protegge l'account di un utente anche se la sua password è compromessa.
Questo schema di autenticazione si basa su TOTP (Time-based OneTime Password) e sull'app Google Authenticator sul dispositivo mobile dell'utente per generare e verificare token di autenticazione monouso. L'autenticazione Google è basata sul tempo, quindi non c'è dipendenza dalla comunicazione di rete tra il dispositivo mobile dell'utente, la stazione o i server esterni. Poiché l'autenticatore è basato sul tempo, l'ora nella stazione e l'ora nel telefono devono rimanere relativamente sincronizzate. L'app fornisce un buffer di più o meno 1.5 minuti per tenere conto dello skew dell'orologio.
Prerequisiti: Il telefono cellulare dell'utente richiede l'app Google Authentication. Stai lavorando in Workbench. L'utente esiste nel database della stazione.

Procedura

Aprire la tavolozza Gauth e aggiungere GoogleAuthenticationScheme al nodo Servizi > Authenticationservice nell'albero di navigazione.
Fai clic con il pulsante destro del mouse su Userservice e fai doppio clic sull'utente nella tabella. Modifica view per l'utente si apre.
Configurare la proprietà Nome schema di autenticazione su GoogleAuthenticationScheme e fare clic su Salva.
Fare clic sul pulsante accanto alla chiave segreta sotto l'autenticatore dell'utente e seguire le istruzioni.
Per completare la configurazione, fare clic su Salva. A seconda del view che stai utilizzando, potrebbe essere necessario aprire nuovamente l'utente o aggiornarlo dopo il salvataggio.

CONSEGNA DEL SISTEMA
Questa sezione contiene le informazioni che è necessario fornire al momento della consegna del BAS al proprietario del sistema.

Documentazione che include informazioni sulla sicurezza, impostazioni di configurazione, nomi utente e password di amministrazione, piani di ripristino e di emergenza e procedure di backup e ripristino.
Formazione degli utenti finali sulle attività di manutenzione della sicurezza.

BACKUP USB E CLEANDIST FILE INSTALLAZIONE
L'utente deve proteggere la passphrase utilizzata per comprimere e decomprimere il controller. Evitare di condividere le passphrase e le credenziali del controller durante il processo di backup o ripristino.
Backup USB e CleanDist file le informazioni sull'installazione sono disponibili nelle istruzioni per l'installazione e nella guida alla messa in servizio – 31-00584.

DISMISSIONE DEL SISTEMA
I dati sensibili devono essere cancellati dalle unità che vengono messe fuori servizio e questo può essere fatto eseguendo un ripristino delle impostazioni di fabbrica. Fare riferimento a Service Button/Service Alarm LED e CleanDist file installazione da Istruzioni di installazione e Guida alla messa in servizio – 31-00584.

NOTA
Il CleanDist file la procedura può essere eseguita con le impostazioni di fabbrica installando clean4 file.

SICUREZZA DEI PRODOTTI AVANZATI BASATI SU NIAGARA
Per i prodotti Honeywell avanzati basati sui framework Niagara N4 e Niagara AX (ad esempio Advanced Plant Controller, HMI e IO Module), è necessario seguire i consigli di Tridium sulla protezione del framework Niagara.
È possibile apportare diverse modifiche alla configurazione di Niagara per massimizzare la sicurezza dei prodotti Advanced Honeywell.

Utilizzare la funzione di sicurezza della password
Abilita la funzione di blocco dell'account
Scadenza password
Utilizzare la cronologia delle password
Utilizzare la funzione di reimpostazione della password
Lasciare la casella "Ricorda queste credenziali" deselezionata
Cambia la passphrase di sistema predefinita
Utilizzare TLS per impostare la passphrase di sistema
Scegli una passphrase di sistema forte
Proteggi la passphrase del sistema
Assicurarsi che il proprietario della piattaforma conosca la passphrase del sistema
Utilizzare un account diverso per ogni utente della piattaforma
Utilizzare nomi di account univoci per ogni progetto
Assicurarsi che il proprietario della piattaforma conosca le credenziali della piattaforma
Utilizzare un account diverso per ogni utente della stazione
Utilizzare account di tipo di servizio univoci per ogni progetto
Disattivare gli account noti quando possibile
Imposta la scadenza automatica degli account temporanei
Cambia le credenziali dell'account del tipo di sistema
Non consentire sessioni simultanee quando appropriato
Configurare i ruoli con le autorizzazioni minime richieste
Assegnare i ruoli minimi richiesti agli utenti
Utilizzare il numero minimo possibile di Super Utenti
Richiedi autorizzazioni Super User per gli oggetti del programma
Utilizzare le autorizzazioni minime richieste per gli account esterni
Utilizzare uno schema di autenticazione appropriato per il tipo di account
Rimuovere gli schemi di autenticazione non necessari
TLS e gestione dei certificati
Installazione del modulo
Richiedi oggetti di programma firmati e robot
Disabilitare SSH e SFTP
Disattivare i servizi non necessari
Configurare i servizi necessari in modo sicuro
Aggiorna Niagara 4 all'ultima versione
Installare il prodotto in una posizione sicura
Assicurati che le stazioni siano dietro una VPN
Sono disponibili pubblicazioni tecniche specifiche che devono essere seguite per garantire che il sistema sia bloccato nel modo più sicuro possibile. Esistono molte opzioni come la crittografia SSL e passaggi aggiuntivi per proteggere elementi come i moduli del programma, per maggiori dettagli fare riferimento a Tridium websito per la Niagara 4 Hardening Guide (per prodotti a base di Niagara N4) e la Niagara Hardening Guide (prodotti a base di Niagara AX).

Il materiale in questo documento è solo a scopo informativo. Il contenuto e il prodotto descritto sono soggetti a modifiche senza preavviso. Honeywell non rilascia dichiarazioni o garanzie in merito a questo documento. In nessun caso Honeywell sarà responsabile per omissioni o errori tecnici o editoriali in questo documento, né sarà responsabile per eventuali danni, diretti o accidentali, derivanti o correlati all'uso di questo documento. Nessuna parte di questo documento può essere riprodotta in qualsiasi forma o con qualsiasi mezzo senza previa autorizzazione scritta di Honeywell.
Honeywell | Automazione degli edifici

715 Peachtree Street, NE,

Atlanta, Georgia, 30308, Stati Uniti.
https://buildings.honeywell.com/us/en
® Marchio registrato negli Stati Uniti

ELENCO DI CONTROLLO DELLA SICUREZZA DELL'INSTALLAZIONE

Istanza del dispositivo Advanced Plant Controller: ______________________________________________________________
Descrizione del controller avanzato dell'impianto: __________________________________________________________________
Posizione del controller avanzato dell'impianto: _____________________________________________________________________
Installatore:________________________________________________________
Data: __________________________________

Completare le seguenti attività di sicurezza per ogni Advanced Plant Controller installato

Installare un firewall tra Advanced Plant Controller e le reti esterne. Vedere “BACnet e Niagara” a pagina 19.
Fissare fisicamente l'Advanced Plant Controller. Fare riferimento a "Fissare fisicamente l'Advanced Plant Controller, HMI e IO Module" a pagina 22.
Cambia la password predefinita con una password univoca per ciascuna delle seguenti: Configurazione della console, Backup/Ripristino/Riavvio/Controllo e Niagara Platform. Consulta le istruzioni di installazione e la guida alla messa in servizio – 31-00584
Se un web server è necessario, quindi configurarlo per funzionare solo in modalità HTTPS. Vedere Istruzioni di installazione e Guida alla messa in servizio – 31-00584

Web Stato del server: Disabilitato/Abilitato.
If web il servizio è abilitato, completare quanto segue:

Imposta Http Enabled = false.
Imposta Https Enabled = true.
Imposta Solo Https = vero.
Configurare il firewall BAS. Fare riferimento a “Configurazione del firewall BAS” a pagina 26.
Fornire tutti i dati richiesti al proprietario del sistema BAS alla consegna. Fare riferimento a “Impostazione dell'autenticazione” a pagina 27.

Domande frequenti

Perché è importante proteggere l'Advanced Controller?
La protezione del controller aiuta a prevenire accessi non autorizzati, protegge i dati sensibili e garantisce l'affidabilità del sistema.
Come posso recuperare la mia password?
Per recuperare la tua password, segui la procedura di Recupero Password descritta nel manuale. In genere, ciò comporta la verifica delle informazioni del tuo account.

Documenti / Risorse

Controllore avanzato Honeywell Optimizer [pdf] Manuale d'uso
31-00594-03, Ottimizzatore Controller avanzato, Controller avanzato, Controller

Riferimenti

Manuale d'uso

Controllore avanzato Honeywell Optimizer