हनीवेल ऑप्टिमायझर अॅडव्हान्स्ड कंट्रोलर

तपशील

• उत्पादन: प्रगत नियंत्रक
• मॉडेल क्रमांक: 31-00594-03
• ऑपरेटिंग सिस्टम: नायगारा ऑपरेटिंग सिस्टम
• सुरक्षा वैशिष्ट्ये: खाते पडताळणी कोड, सिस्टम खाती, पासवर्ड पुनर्प्राप्ती, सुरक्षित संप्रेषण, प्रमाणपत्रे
• नेटवर्क सुसंगतता: BACnetTM, LAN

अस्वीकरण
या दस्तऐवजाची अचूकता सुनिश्चित करण्यासाठी आम्ही प्रयत्न करत असताना, हनीवेल कोणत्याही प्रकारच्या नुकसानीसाठी जबाबदार नाही, ज्यामध्ये येथे समाविष्ट असलेल्या माहितीच्या वापरामुळे किंवा वापरामुळे होणारे कोणतेही निर्बंध नसलेले परिणामात्मक नुकसान समाविष्ट आहे. येथे प्रकाशित केलेली माहिती आणि तपशील या प्रकाशनाच्या तारखेपासून अद्ययावत आहेत आणि सूचना न देता बदलू शकतात. नवीनतम उत्पादन तपशील आमच्या वेबसाइटवर आढळू शकतात. webसाइट किंवा अटलांटा, जॉर्जिया येथील आमच्या कॉर्पोरेट कार्यालयाशी संपर्क साधून.
अनेक उद्योग RS-485-आधारित संप्रेषणांसाठी, सर्वोत्तम सुरक्षितता सुनिश्चित करण्यासाठी फॅक्टरीमधून शिपिंगच्या वेळी डीफॉल्ट स्थिती अक्षम केली जात आहे, कारण त्या लीगेसी कम्युनिकेशन बसेस सर्वोत्तम सुसंगततेसाठी लीगेसी तंत्रज्ञानाचा वापर करतात आणि त्या कमकुवत सुरक्षा संरक्षणासह डिझाइन केल्या होत्या. म्हणून, तुमच्या सिस्टमचे संरक्षण जास्तीत जास्त करण्यासाठी, हनीवेलने लीगेसी औद्योगिक बस कम्युनिकेशन पोर्ट सक्रियपणे अक्षम केले आहेत (फॅक्टरी शिपमेंटच्या वेळेपर्यंत), आणि वापरकर्त्याला प्रत्येक नेटवर्कच्या स्टेशनमधील नेटवर्क स्पष्टपणे सक्षम करावे लागतील. जर तुम्हाला हे पोर्ट सक्षम करायचे असतील, तर तुम्हाला लीगेसी तंत्रज्ञानाच्या वापरामुळे होणाऱ्या कोणत्याही सुरक्षा उल्लंघनाच्या जोखमीची जाणीव असणे आवश्यक आहे. यामध्ये समाविष्ट आहे परंतु इतकेच मर्यादित नाही: पॅनेल-बस, सी-बस, बीएसीनेट™, एम-बस, सीपी-आयओ बस, नोव्हारनेट, एक्ससीएम-एलसीडी प्रोटोकॉल, एसबीसी एस-बस आणि मॉडबस, इ.
ISA-62443 मध्ये विकसित होत आहे

हनीवेलने आमची इमारत तंत्रज्ञान उत्पादने सुरक्षितपणे विकसित करण्यासाठी अनेक वर्षांपासून ISA 62443-4-1 मानकांवर आणि लागू असलेल्या सहचर मानकांवर अवलंबून राहून काम केले आहे. उदा.ampतसेच, हनीवेल बिल्डिंग उत्पादने घटकांमधील तांत्रिक सुरक्षा आवश्यकतांसाठी आधारभूत म्हणून ISA/IEC 62443-4-2 वापरतात आणि आम्ही संपूर्ण सिस्टमसाठी ISA/IEC 62443-3-3 वापरतो. म्हणून, इंटिग्रेटर्स आणि बिल्डिंग तंत्रज्ञान निवडणाऱ्या ग्राहकांसाठी, हनीवेलने ISA/IEC 62443 मानकांच्या कुटुंबाचे पालन केल्याने उच्च पातळीचा आत्मविश्वास मिळू शकतो की आमची उत्पादने केवळ सायबर लवचिक असल्याचा दावा करत नाहीत - ती सुरुवातीपासूनच सायबर लवचिकतेसाठी डिझाइन, चाचणी आणि प्रमाणित केली गेली आहेत.
हनीवेल आमची उत्पादने ISA/IEC 62443-4-1 नुसार विकसित करते आणि आमचे मूल्यांकन तृतीय पक्षाने केले आहे आणि या मानकांनुसार ऑडिट केले आहे.
परिचय आणि इच्छित प्रेक्षक

हनीवेल येथे स्पष्टपणे सांगते की त्यांचे नियंत्रक इंटरनेटवरून होणाऱ्या सायबर हल्ल्यांपासून मूळतः संरक्षित नाहीत आणि म्हणूनच ते केवळ खाजगी नेटवर्कमध्ये वापरण्यासाठी आहेत. तथापि, खाजगी नेटवर्क देखील कुशल आणि सुसज्ज आयटी व्यक्तींकडून दुर्भावनापूर्ण सायबर हल्ल्यांना बळी पडू शकतात आणि त्यामुळे त्यांना संरक्षणाची आवश्यकता असते. म्हणून, अशा हल्ल्यांमुळे निर्माण होणारा धोका कमी करण्यासाठी ग्राहकांनी प्रगत प्लांट कंट्रोलर आयपी-आधारित उत्पादनांसाठी स्थापना आणि सुरक्षा सर्वोत्तम पद्धती मार्गदर्शक तत्त्वे स्वीकारली पाहिजेत.
खालील मार्गदर्शक तत्त्वे प्रगत वनस्पती नियंत्रक आयपी-आधारित उत्पादनांसाठी सामान्य सुरक्षा सर्वोत्तम पद्धतींचे वर्णन करतात. ते वाढत्या शमनच्या क्रमाने सूचीबद्ध केले आहेत.

प्रत्येक साइटच्या अचूक आवश्यकतांचे मूल्यांकन केस-दर-प्रकरण आधारावर केले पाहिजे. येथे वर्णन केलेल्या सर्व शमन पातळी लागू करणाऱ्या बहुसंख्य प्रतिष्ठापनांची संख्या समाधानकारक सिस्टम सुरक्षेसाठी आवश्यक असलेल्यापेक्षा खूपच जास्त असेल. आयटम १-५ (स्थानिक क्षेत्र नेटवर्कशी संबंधित) समाविष्ट करून, पृष्ठ २० वरील "स्थानिक क्षेत्र नेटवर्क (LAN) शिफारस" पहा. बहुतेक ऑटोमेशन नियंत्रण नेटवर्क प्रतिष्ठापनांच्या आवश्यकता सामान्यतः पूर्ण करतील.
या मॅन्युअलमध्ये हनीवेल डीलरमधील कर्मचाऱ्यांना अॅडव्हान्स्ड प्लांट कंट्रोलर, एचएमआय आणि आयओ मॉड्यूल्स सुरक्षितपणे कसे स्थापित आणि कॉन्फिगर करायचे याबद्दल मार्गदर्शन करण्यासाठी माहिती आहे. ऑपरेशन, यूएसबी बॅकअप आणि रिस्टोअर आणि क्लीनडिस्ट बद्दल सुरक्षिततेशी संबंधित माहिती. file कंट्रोलरची स्थापना इन्स्टॉलेशन इंस्ट्रक्शन अँड कमिशनिंग गाइड (३१-००५८४) मध्ये आढळू शकते.

टीप
कृपया सर्व संबंधित स्थापना, कॉन्फिगरेशन आणि ऑपरेशन मॅन्युअल वाचण्यासाठी आणि समजून घेण्यासाठी वेळ काढा आणि तुम्हाला नियमितपणे नवीनतम आवृत्त्या मिळत असल्याची खात्री करा.

तक्ता 1 उत्पादन माहिती

उत्पादन	उत्पादन क्रमांक	वर्णन
वनस्पती नियंत्रक	N-ADV-134-H	चार इथरनेट पोर्ट, HMI साठी पोर्ट आणि ४ RS4 पोर्टसह नायगारा प्रगत कंट्रोलर
	एन-एडीव्ही-१३३-एच-बीडब्ल्यूए	चार इथरनेट पोर्टसह नायगारा प्रगत कंट्रोलर, HMI साठी पोर्ट, 3 RS485 पोर्ट, वाय-फाय (अमेरिका प्रदेश), आणि ब्लूटूथ™ सपोर्ट
	एन-एडीव्ही-१३३-एच-बीडब्ल्यूई	चार इथरनेट पोर्टसह नायगारा प्रगत कंट्रोलर, HMI साठी पोर्ट, 3 RS485 पोर्ट, वाय-फाय (युरोप प्रदेश), आणि ब्लूटूथTM सपोर्ट
	एन-एडीव्ही-१३३-एच-बीडब्ल्यूडब्ल्यू	चार इथरनेट पोर्टसह नायगारा प्रगत कंट्रोलर, HMI साठी पोर्ट, 3 RS485 पोर्ट, वाय-फाय (उर्वरित जगाचा प्रदेश), आणि ब्लूटूथ™ सपोर्ट
	N-ADV-133-H	चार इथरनेट पोर्ट, HMI साठी पोर्ट आणि ४ RS3 पोर्टसह नायगारा प्रगत कंट्रोलर
	N-ADV-112-H	दोन इथरनेट पोर्ट, HMI साठी पोर्ट आणि 2 RS485 पोर्टसह नायगारा प्रगत नियंत्रक
HMI	एचएमआय-डीएन	एचएमआय (डीआयएन रेल माउंट)
	एचएमआय-डब्ल्यूएल	एचएमआय (दार/भिंतीचा माउंट)
IO मॉड्यूल	IO-16UIO-SS	HOA, सिरीयल कम्युनिकेशन्स, स्क्रू टर्मिनल्सशिवाय 16UIO IO मॉड्यूल
	आयओडी-१६यूआयओ-एसएस	HOA डिस्प्ले, सिरीयल कम्युनिकेशन्स, स्क्रू टर्मिनल्ससह 16UIO IO मॉड्यूल
	आयओ-१६यूआय-एसएस	१६UI IO मॉड्यूल, सिरीयल कम्युनिकेशन्स, स्क्रू टर्मिनल्स
	आयओ-१६डीआय-एसएस	१६DI IO मॉड्यूल, सिरीयल कम्युनिकेशन्स, स्क्रू टर्मिनल्स
	आयओ-८डीओआर-एसएस	HOA, C/O रिले, सिरीयल कम्युनिकेशन्स, स्क्रू टर्मिनल्सशिवाय 8DO IO मॉड्यूल
	आयओडी-८डीओआर-एसएस	HOA डिस्प्ले, C/O रिले, सिरीयल कम्युनिकेशन्स, स्क्रू टर्मिनल्ससह 8DO IO मॉड्यूल
	आयओ-१६यूआयओ-एसपी	HOA डिस्प्ले, सिरीयल कम्युनिकेशन्स, पुश टर्मिनल्ससह 16UIO IO मॉड्यूल
	आयओ-१६यूआय-एसपी	१६UIO IO मॉड्यूल, सिरीयल कम्युनिकेशन्स, पुश टर्मिनल्स
	आयओ-१६डीआय-एसपी	१६DI IO मॉड्यूल, सिरीयल कम्युनिकेशन्स, पुश टर्मिनल्स
	आयओ-८डीओआर-एसपी	HOA, C/O रिले, सिरीयल कम्युनिकेशन्स, पुश टर्मिनल्सशिवाय 8DO IO मॉड्यूल
	आयओडी-८डीओआर-एसपी	HOA डिस्प्ले, C/O रिले, सिरीयल कम्युनिकेशन्स, पुश टर्मिनल्ससह 8DO IO मॉड्यूल
	IO-8UIO-SS	HOA, सिरीयल कम्युनिकेशन्स, स्क्रू टर्मिनल्सशिवाय 8UIO IO मॉड्यूल

IO मॉड्यूल	आयओडी-१६यूआयओ-एसएस	HOA डिस्प्ले, सिरीयल कम्युनिकेशन्स, स्क्रू टर्मिनल्ससह 8UIO IO मॉड्यूल
	आयओ-८एओ-एसएस	HOA, सिरीयल कम्युनिकेशन्स, स्क्रू टर्मिनल्सशिवाय 8AO IO मॉड्यूल
	आयओडी-८एओ-एसएस	HOA डिस्प्ले, सिरीयल कम्युनिकेशन्स, स्क्रू टर्मिनल्ससह 8AO IO मॉड्यूल
	IO-4UIO-SS	HOA, सिरीयल कम्युनिकेशन्स, स्क्रू टर्मिनल्सशिवाय 4UIO IO मॉड्यूल
	आयओडी-१६यूआयओ-एसएस	HOA डिस्प्ले, सिरीयल कम्युनिकेशन्स, स्क्रू टर्मिनल्ससह 4UIO IO मॉड्यूल
	आयओ-१६डीआय-एसएस	१६DI IO मॉड्यूल, सिरीयल कम्युनिकेशन्स, स्क्रू टर्मिनल्स
	आयओ-८डीओआर-एसएस	HOA, C/O रिले, सिरीयल कम्युनिकेशन्स, स्क्रू टर्मिनल्सशिवाय 4DO IO मॉड्यूल
	आयओडी-८डीओआर-एसएस	HOA डिस्प्ले, C/O रिले, सिरीयल कम्युनिकेशन्स, स्क्रू टर्मिनल्ससह 4DO IO मॉड्यूल
	आयओ-४डोर-एसएस	HOA शिवाय 4DO IO मॉड्यूल, वर्धित C/O रिले, सिरीयल कम्युनिकेशन्स, स्क्रू टर्मिनल्स
	आयओडी-४डोर-एसएस	HOA डिस्प्लेसह 4DO IO मॉड्यूल, सुधारित C/O रिले, सिरीयल कम्युनिकेशन्स, स्क्रू टर्मिनल्स
	आयओ-१६यूआयओ-एसपी	HOA, सिरीयल कम्युनिकेशन्स, पुश टर्मिनल्सशिवाय 8UIO IO मॉड्यूल
	आयओडी-८यूआयओ-एसपी	HOA डिस्प्ले, सिरीयल कम्युनिकेशन्स, पुश टर्मिनल्ससह 8UIO IO मॉड्यूल
	आयओ-८एओ-एसपी	HOA, सिरीयल कम्युनिकेशन्स, पुश टर्मिनल्सशिवाय 8AO IO मॉड्यूल
	आयओडी-८एओ-एसपी	HOA डिस्प्ले, सिरीयल कम्युनिकेशन्स, पुश टर्मिनल्ससह 8AO IO मॉड्यूल
	आयओ-१६यूआयओ-एसपी	HOA, सिरीयल कम्युनिकेशन्स, पुश टर्मिनल्सशिवाय 4UIO IO मॉड्यूल
	आयओडी-८यूआयओ-एसपी	HOA डिस्प्ले, सिरीयल कम्युनिकेशन्स, पुश टर्मिनल्ससह 4UIO IO मॉड्यूल
	आयओ-१६डीआय-एसपी	१६DI IO मॉड्यूल, सिरीयल कम्युनिकेशन्स, पुश टर्मिनल्स
	आयओ-८डीओआर-एसपी	HOA, C/O रिले, सिरीयल कम्युनिकेशन्स, पुश टर्मिनल्सशिवाय 4DO IO मॉड्यूल
	आयओडी-८डीओआर-एसपी	HOA डिस्प्ले, C/O रिले, सिरीयल कम्युनिकेशन्स, पुश टर्मिनल्ससह 4DO IO मॉड्यूल
	आयओ-४डोर-एसपी	HOA शिवाय 4DO IO मॉड्यूल, वर्धित C/O रिले, सिरीयल कम्युनिकेशन्स, पुश टर्मिनल्स
	आयओडी-४डोर-एसपी	HOA डिस्प्लेसह 4DO IO मॉड्यूल, सुधारित C/O रिले, सिरीयल कम्युनिकेशन्स, पुश टर्मिनल्स

तुमचे प्रगत नियंत्रक का सुरक्षित करावेत?

• तुमच्या ग्राहकांच्या प्लांट सिस्टीमचे ऑपरेटिंग सेट-पॉइंट्स, ओव्हरराइड्स आणि टाइम शेड्यूलमधील अनधिकृत बदलांपासून संरक्षण करा.
• वापरकर्ता खात्याच्या तपशीलांमध्ये प्रवेश प्रतिबंधित करा: उदा. वापरकर्तानाव, पासवर्ड, ईमेल पत्ते, एसएमएस (मोबाइल) क्रमांक इ.
• व्यावसायिकदृष्ट्या संवेदनशील डेटामध्ये प्रवेश प्रतिबंधित करा: उदा.ample- ऊर्जा वापराचे मेट्रिक्स, विशेषज्ञ नियंत्रण धोरण उपाय इ.
• बीएमएस सॉफ्टवेअर आणि नियंत्रण उपकरणांचे होस्टिंग करणाऱ्या कंट्रोलर, संगणक आणि नेटवर्क्समध्ये अनधिकृत प्रवेश प्रतिबंधित करा.
• डेटाची अखंडता राखा आणि जबाबदारी द्या.

सिस्टीम ओव्हरVIEW

ओव्हरview सामान्य प्रणाली स्थापनेचे..

1. इंटरनेट/इंट्रानेट/कॉर्पोरेट नेटवर्क
   हे बिल्डिंग ऑटोमेशन सिस्टम (BAS) च्या व्याप्तीबाहेरील सर्व नेटवर्क्सचे एक सरलीकृत, तार्किक नेटवर्क प्रतिनिधित्व आहे. हे BAS व्यवस्थापन इंटरफेसमध्ये प्रवेश प्रदान करू शकते (उदा. नायगारा प्राथमिक वर्कस्टेशन) web वापरकर्ता इंटरफेस) परंतु इंटरनेटची सुविधा प्रदान करणे आवश्यक आहे जेणेकरून नायगारा संगणक ऑपरेटिंग सिस्टम आणि व्हायरस स्कॅनर अद्यतने तपासू शकतील आणि डाउनलोड करू शकतील, जोपर्यंत हे करण्यासाठी दुसरा मार्ग प्रदान केला जात नाही.
2. बीएएस नेटवर्क
   हे नेटवर्क फक्त BAS प्रोटोकॉलसाठी वापरले जाते, ज्यामध्ये BACnetTM/IP, BACnetTM/ इथरनेट आणि अॅडव्हान्स्ड प्लांट कंट्रोलरवरील नायगारा इंटिग्रेशन सर्व्हिसेस वापरत असलेले कोणतेही प्रोटोकॉल असतात. हे नेटवर्क इंटरनेट/इंट्रानेट/कॉर्पोरेट नेटवर्कसारखे नेटवर्क नसावे.
3. बीएएस फायरवॉल
   BAS ला अतिरिक्त पृथक्करण आणि संरक्षण प्रदान करण्यासाठी, इंटरनेट/इंट्रानेट/कॉर्पोरेट नेटवर्क आणि त्याच्याशी जोडणाऱ्या कोणत्याही BAS उपकरणामध्ये, जसे की नायगारा प्राथमिक वर्कस्टेशन, नायगारा वर्कस्टेशन आणि अॅडव्हान्स्ड प्लांट कंट्रोलर यांच्यामध्ये फायरवॉल वापरणे आवश्यक आहे. हे फायरवॉल फक्त अधिकृत संगणकांपुरतेच BAS मधील प्रवेश मर्यादित करते आणि सेवा नाकारण्याच्या हल्ल्यासारख्या हल्ल्यांचा धोका कमी करण्यास मदत करू शकते.
4. नायगारा वर्कस्टेशन
   नायगारा प्राथमिक वर्कस्टेशन हे नायगारा सॉफ्टवेअर चालवणारे संगणक आहे. त्यासाठी दोन नेटवर्क कनेक्शनची आवश्यकता असते - एक व्यवस्थापनाशी जोडण्यासाठी. web ए द्वारे वापरकर्ता इंटरफेस web ब्राउझर (सहसा वर
   इंटरनेट/इंट्रानेट/कॉर्पोरेट नेटवर्क) आणि दुसरे BAS नेटवर्कशी जोडण्यासाठी.
5. इथरनेट स्विच
   इथरनेट स्विच नेटवर्क तयार करतो आणि LAN मधील उपकरणांमध्ये संवाद साधण्यासाठी अनेक पोर्ट वापरतो. इथरनेट स्विच राउटरपेक्षा वेगळे असतात, जे नेटवर्क कनेक्ट करतात आणि फक्त एकच LAN आणि WAN पोर्ट वापरतात. पूर्ण वायर्ड आणि कॉर्पोरेट वायरलेस इन्फ्रास्ट्रक्चर वायरलेस कनेक्टिव्हिटीसाठी वायर्ड कनेक्टिव्हिटी आणि वाय-फाय प्रदान करते.
6. प्रगत वनस्पती नियंत्रक
   अॅडव्हान्स्ड प्लांट कंट्रोलर हा एक जागतिक कंट्रोलर आहे जो इथरनेट नेटवर्क, BACnet™ IP आणि होस्ट MS/TP नेटवर्क सेगमेंटशी जोडला जातो. MS/TP हे कमी बँडविड्थ कनेक्शन आहे जे कंट्रोलर आणि सेन्सर्सना जोडण्यासाठी वापरले जाते.
7. HMI
   एचएमआय कनेक्ट केलेले आहे आणि अॅडव्हान्स्ड नायगारा प्लांट कंट्रोलर्सकडून पॉवर प्राप्त करते. ही उपकरणे कॅपेसिटिव्ह टच-स्क्रीन डिस्प्लेसह तयार केली आहेत जी उघड्या बोटाने निवड करण्यास समर्थन देते आणि ऑपरेटरला फंक्शन्स प्रदान करते view, कंट्रोलर पॉइंट्स, IO मॉड्यूल्स आणि इतर कनेक्टेड उपकरणे अॅक्सेस करा आणि समस्यानिवारण करा.
8. IO मॉड्यूल
   IO मॉड्यूल्स टच फ्लेक कनेक्शन (पॉवर आणि कम्युनिकेशन्स) वापरून कंट्रोलरशी कनेक्ट होऊ शकतात किंवा IO मॉड्यूल्स वायरिंग अॅडॉप्टरशी कनेक्ट होऊ शकतात ज्याला पॉवर पुरवला जाईल आणि कंट्रोलरवरील RS485 इंटरफेसपैकी एकाशी जोडले जाईल. IO मॉड्यूल्स ComfortPointTM ओपन स्टुडिओ टूल आणि नायगारा 4 वर्कबेंच सारख्या विद्यमान अभियांत्रिकी साधनाचा वापर करून प्रोग्राम करण्यायोग्य आहेत.

नेटवर्क नियोजन आणि सुरक्षा

1. इथरनेट नेटवर्क
   बीएमएस सिस्टीमद्वारे वापरले जाणारे इथरनेट नेटवर्क सामान्य ऑफिस नेटवर्कपासून वेगळे करण्याची शिफारस केली जाते.
   Exampले:
   एअर गॅप किंवा व्हर्च्युअल प्रायव्हेट नेटवर्क वापरणे. इथरनेट नेटवर्क इन्फ्रास्ट्रक्चरमध्ये भौतिक प्रवेश मर्यादित असणे आवश्यक आहे. तुम्ही हे देखील सुनिश्चित केले पाहिजे की स्थापना तुमच्या कंपनीच्या आयटी धोरणाचे पालन करते.
   प्रगत नियंत्रक थेट इंटरनेटशी जोडलेले नसावेत.
2. Web सर्व्हर
   प्रगत नियंत्रक HTTP आणि HTTPS दोन्ही प्रदान करतो. web सर्व्हर. जर ए web सर्व्हर आवश्यक नाही, दोन्हीची शिफारस केली जाते web सर्व्हर अक्षम आहेत.
3. BACnet™ आयपी नेटवर्क
   BACnetTM प्रोटोकॉलच्या असुरक्षित स्वरूपामुळे, BACnetTM वापरणारे प्रगत नियंत्रक, HMI आणि IO मॉड्यूल कोणत्याही परिस्थितीत इंटरनेटशी कनेक्ट केलेले नसावेत. प्रगत नियंत्रक सुरक्षा प्रणाली BACnetTM राइट्सपासून संरक्षण करत नाही. BACnetTM IP नेटवर्क इन्फ्रास्ट्रक्चरमध्ये भौतिक प्रवेश प्रतिबंधित करणे आवश्यक आहे. जर BACnetTM IP संप्रेषण आवश्यक नसेल, तर 'डिसेबल मॉड्यूल' पॅरामीटर '1' वर सेट करून प्रगत नियंत्रक (BACnetTMTM IP) नेटवर्क मॉड्यूल अक्षम करणे आवश्यक आहे.
   जर BACnetTMTM संप्रेषण आवश्यक असेल तर BACnetTMTM बॅकअप/रिस्टोअर, डिव्हाइस रीइन्शियलाइज आणि BACnetTMTM रायटेबल सेवा सक्षम करू नयेत अशी जोरदार शिफारस केली जाते. तथापि, याचा अर्थ असा होईल की तयार केलेली रणनीती BTL अनुरूप नाही - पृष्ठ १३ वरील "स्थानिक सुरक्षा" पहा.
4. एमएस/टीपी (एनसी परवाने)
   MS/TP नेटवर्क इन्फ्रास्ट्रक्चरमध्ये भौतिक प्रवेश प्रतिबंधित करणे आवश्यक आहे. जर MS/TP नेटवर्क आवश्यक नसेल, तर 'डिसेबल मॉड्यूल' पॅरामीटर '1' वर सेट करून अॅडव्हान्स्ड कंट्रोलर (BACnet™ MSTP) नेटवर्क मॉड्यूल अक्षम करणे आवश्यक आहे. IO बस (CAN परवाने)
   आयओ बसमध्ये प्रत्यक्ष प्रवेश मर्यादित असावा.
5. यूएसबी
   प्रगत नियंत्रक यूएसबी स्थानिक अभियांत्रिकी पोर्टचा भौतिक प्रवेश प्रतिबंधित केला पाहिजे.
6. RS485 (मॉडबस परवान्यांसह)
   कंट्रोलरच्या RS485 पोर्टवर प्रत्यक्ष प्रवेश प्रतिबंधित केला पाहिजे. आवश्यक नसल्यास पोर्टशी जोडलेले कोणतेही नेटवर्क मॉड्यूल धोरणात समाविष्ट करू नयेत.
7. मॉडबस आयपी नेटवर्क (आयएनटी परवाने)
   मॉडबस प्रोटोकॉलच्या असुरक्षित स्वरूपामुळे, मॉडबस आयपीला समर्थन देणारे अॅडव्हान्स्ड कंट्रोलर कोणत्याही परिस्थितीत इंटरनेटशी कनेक्ट केले जाऊ नयेत. मॉडबस आयपी नेटवर्क इन्फ्रास्ट्रक्चरमध्ये भौतिक प्रवेश प्रतिबंधित केला पाहिजे. जर मॉडबस आयपी कम्युनिकेशन्स आवश्यक नसतील, तर अॅडव्हान्स्ड कंट्रोलर (मॉडबस आयपी) नेटवर्क मॉड्यूलचा समावेश धोरणात करू नये.

प्रगत नियंत्रक, एचएमआय आणि आयओ मॉड्यूल सुरक्षा प्रणाली

अॅडव्हान्स्ड कंट्रोलर्स सिक्युरिटी ISA 62433-3-3 SL 3 चे पालन करते आणि सुरक्षित बूट, एक प्रमाणीकृत आणि एन्क्रिप्टेड नेटवर्क, विश्रांती एन्क्रिप्शन आणि सिंक्रोनाइझ केलेले खाते व्यवस्थापन प्रदान करते.
प्रगत नियंत्रक उत्पादनांमध्ये प्रवेश मिळविण्यासाठी किंवा वरीलपैकी कोणतेही कार्य करण्यासाठी अभियांत्रिकी प्रणाली खात्यासाठी किंवा डिव्हाइस प्रणाली खात्यासाठी एक वैध वापरकर्तानाव आणि पासवर्ड प्रदान करणे आवश्यक आहे.

1. कॉन्फिगर न केलेले असताना सुरक्षा
   प्रगत नियंत्रक, HMI आणि IO मॉड्यूल्सशी संवाद साधण्यासाठी, वैध क्रेडेन्शियल्स प्रदान करणे आवश्यक आहे. नियंत्रक कोणत्याही क्रेडेन्शियल्सशिवाय (सिस्टम अकाउंट्स किंवा वापरकर्ता मॉड्यूल्स) कारखान्यातून पुरवला जातो जो खात्री करतो की जेव्हा प्रथम पॉवर अप केला जातो तेव्हा तो अनधिकृत प्रवेशापासून संरक्षित असतो. नायगारा नेटवर्कवरील प्रगत उत्पादनांपैकी एकामध्ये vCNC शी कनेक्ट करण्याचा प्रयत्न करताना प्रथमच प्रशासक भूमिकेसह एक अभियांत्रिकी सिस्टम खाते तयार करणे आवश्यक आहे.
2. अनधिकृत उपकरणांपासून संरक्षण
   नायगारा नेटवर्कमध्ये फक्त अधिकृत उपकरणेच सामील होऊ शकतात याची खात्री करण्यासाठी एक अद्वितीय की (नेटवर्क की) वापरली जाते. नायगारा नेटवर्क तयार करण्यासाठी सर्व नियंत्रकांमध्ये समान नेटवर्क की आणि UDP पोर्ट असणे आवश्यक आहे. सुरुवातीच्या कॉन्फिगरेशन प्रक्रियेदरम्यान हे आयपी टूल वापरून कॉन्फिगर केले जातात.
   Exampले:
   जर चार अॅडव्हान्स्ड प्लांट कंट्रोलर्सकडे समान नेटवर्क की (११२२३३) असेल आणि पाचव्याकडे वेगळी नेटवर्क की असेल तर
   (२२२). जेव्हा ते एकाच इथरनेट नेटवर्कशी जोडलेले असतात तेव्हा एकाच नेटवर्क की असलेले चार कंट्रोलर एकत्र येऊन एकच नेटवर्क तयार करतात, परंतु पाचवा कंट्रोलर नेटवर्कमध्ये सामील होऊ शकणार नाही कारण त्याची नेटवर्क की वेगळी आहे म्हणजेच (२२२).
   त्याचप्रमाणे, जर पाचवा कंट्रोलर नवीन असेल (फॅक्टरीमधून पाठवलेला) आणि इथरनेट नेटवर्कमध्ये जोडला गेला तर तो नायगारा नेटवर्कशी कनेक्ट होऊ शकणार नाही कारण त्यात नेटवर्क की नाही.
   1. खाते पडताळणी कोड
      जेव्हा नेटवर्कवरील एका नियंत्रकामध्ये अॅडमिन सिस्टम खाते जोडले जाते तेव्हा ज्या नियंत्रकामध्ये सिस्टम खाते जोडले गेले होते त्या नियंत्रकाद्वारे खाते पडताळणी कोड स्वयंचलितपणे तयार केला जातो. हा कोड इथरनेट नेटवर्कवरील समान नेटवर्क की आणि UDP पोर्टसह इतर सर्व नियंत्रकांशी समक्रमित केला जातो.
      एकदा खाते पडताळणी कोड जनरेट झाला की नेटवर्कवरील सर्व नियंत्रकांकडे समान खाते पडताळणी कोड तसेच समान नेटवर्क की आणि UDP पोर्ट असणे आवश्यक आहे.
      Example:
      जर पाच नियंत्रक असतील, तर सर्व प्रगत नियंत्रकांकडे समान नेटवर्क की असते. चार नियंत्रकांकडे समान खाते पडताळणी कोड (AVC) असतो आणि त्यामुळे ते एक नेटवर्क बनवतात. पाचव्या नियंत्रकाकडे भिन्न खाते पडताळणी कोड असतो आणि जरी त्याची नेटवर्क की समान असली तरी ती इतर नियंत्रकांशी एकत्र जोडता येत नाही.
3. सिस्टम खाती
   सिस्टम अकाउंट्स लोकांना आणि डिव्हाइसना अॅडव्हान्स्ड कंट्रोलरशी संवाद साधण्यास सक्षम करतात. दिलेला अॅक्सेस खात्याच्या प्रकारावर आणि भूमिकेवर अवलंबून असतो.
   सिस्टम अकाउंट्सचे दोन प्रकार आहेत:
   1. अभियांत्रिकी प्रणाली खाते
   2. डिव्हाइस सिस्टम खाते
   3. अभियांत्रिकी प्रणाली खाते
      अभियांत्रिकी प्रणाली खाती अभियंत्यांच्या वापरासाठी आहेत. प्रत्येक अभियांत्रिकी प्रणाली खात्याचे एक खाते नाव आणि पासवर्ड असतो जो नियंत्रकाने विनंती केल्यावर पुरवला जाणे आवश्यक आहे. जर वैध वापरकर्तानाव आणि पासवर्ड प्रदान केला असेल तर नियंत्रक प्रवेश मंजूर करेल.

प्रत्येक व्यक्तीसाठी एक वेगळे अभियांत्रिकी प्रणाली खाते तयार करणे आवश्यक आहे. अभियांत्रिकी प्रणाली खाते दोनपैकी एका भूमिकेवर सेट केले जाऊ शकते:

• अभियांत्रिकी भूमिका
• प्रशासकाची भूमिका

अभियांत्रिकी भूमिका
अभियांत्रिकी भूमिका प्रगत प्रणालीचे अभियांत्रिकी करण्यासाठी, डिव्हाइस सिस्टम खाती तयार करण्यासाठी/व्यवस्थापित करण्यासाठी आणि वापरकर्त्याच्या स्वतःच्या खात्याचे तपशील (ईमेल पत्ता, पासवर्ड इ.) व्यवस्थापित करण्यासाठी आवश्यक प्रवेश प्रदान करते.
प्रशासकाची भूमिका
प्रशासकाची भूमिका अभियांत्रिकी भूमिकेप्रमाणेच प्रवेश प्रदान करते आणि सर्व अभियांत्रिकी आणि डिव्हाइस सिस्टम खाती व्यवस्थापित करण्याची क्षमता देखील प्रदान करते.

डिव्हाइस सिस्टम खाते
डिव्हाइस सिस्टम अकाउंट्सचा उद्देश नायगारा सारख्या डिव्हाइसना आवश्यक माहिती मिळविण्यासाठी आणि बदल करण्यासाठी नेटवर्कशी कनेक्ट करण्याची परवानगी देणे आहे. नेटवर्कमध्ये प्रवेश करण्यासाठी असलेल्या प्रत्येक डिव्हाइससाठी स्वतंत्र डिव्हाइस सिस्टम अकाउंट तयार करण्याची शिफारस केली जाते. त्यांची भूमिका 'पर्यवेक्षक' ची असते.

महत्वाचे
महत्वाचे: प्रत्येक पर्यवेक्षक वापरकर्त्याच्या प्रवेश अधिकारांना प्रतिबंधित करण्यासाठी पर्यवेक्षकाची स्वतःची सुरक्षा प्रणाली कॉन्फिगर केलेली असणे आवश्यक आहे.

सिस्टम खाते निर्मिती
नायगारा नेटवर्कवरील व्हीसीएनसीशी कनेक्ट करण्याचा प्रयत्न करताना पहिल्यांदाच प्रशासकाच्या भूमिकेसह एक अभियांत्रिकी प्रणाली खाते तयार करणे आवश्यक आहे. हे खाते नंतर नायगारा नेटवर्कवरील इतर नियंत्रकांशी समक्रमित केले जाते.

• पृष्ठ १२ वरील “सिंक्रोनाइझ्ड अकाउंट मॅनेजमेंट” पहा. नायगारा वर्कबेंच वापरून आवश्यकतेनुसार अतिरिक्त खाती तयार करता येतात.

टीप
जेव्हा कंट्रोलरमध्ये पहिल्यांदाच इंजिनिअरिंग सिस्टम अकाउंट तयार केले जाते तेव्हा अकाउंट व्हेरिफिकेशन कोड ऑटो-मॅटिकली जनरेट केला जातो आणि त्याच नेटवर्क-वर्क की आणि UDP पोर्टसह इथरनेट नेटवर्कवरील इतर कंट्रोलर्ससह सिंक्रोनाइझ केला जातो. जेव्हा कंट्रोलरकडे अकाउंट व्हेरिफिकेशन कोड असतो तेव्हा तो फक्त अशाच नेटवर्कमध्ये सामील होऊ शकतो ज्यांचे अकाउंट व्हेरिफिकेशन कोड असतात - पृष्ठ ११ वरील "अकाउंट व्हेरिफिकेशन कोड" पहा.

सिंक्रोनाइझ केलेले खाते व्यवस्थापन
सिंक्रोनाइझ केलेले खाते व्यवस्थापन एकाच नायगारा नेटवर्कवरील सर्व प्रगत नियंत्रकांसह खाते पडताळणी कोडसह सिस्टम खाती सहज आणि सुरक्षितपणे सिंक्रोनाइझ करते. हे सक्षम करते:

• नेटवर्कसाठी एकच लॉग ऑन
• सुरक्षा कमी न करता संपूर्ण साइटवर प्रवेश कॉन्फिगर करण्याचा आणि राखण्याचा कमी खर्च. एकाच नेटवर्कवरील सर्व प्रगत नियंत्रकांकडे समान सिस्टम खाती असतील.

जेव्हा कोणत्याही सिस्टम अकाउंट्सशिवाय अॅडव्हान्स्ड कंट्रोलर इथरनेट नेटवर्कशी कनेक्ट केला जातो आणि नायगारा नेटवर्कसाठी नेटवर्क की आणि यूडीपी पोर्टसह कॉन्फिगर केला जातो तेव्हा तो नेटवर्कमध्ये सामील होतो आणि नायगारा नेटवर्कवरील इतर कंट्रोलर्सकडून त्याचे सिस्टम अकाउंट्स आपोआप मिळवतो.

Exampले:
जर वरील सिस्टीममध्ये कोणत्याही सिस्टम अकाउंट्सशिवाय अॅडव्हान्स्ड कंट्रोलर जोडला गेला आणि त्याला नायगारा नेटवर्क (११२२३३) आणि UDP पोर्टसाठी नेटवर्क की दिली गेली तर ते नेटवर्कमध्ये सामील होईल आणि नायगारा नेटवर्कवरील इतर अॅडव्हान्स्ड कंट्रोलर्सकडून त्याचे सिस्टम अकाउंट्स (युजर १, युजर २, युजर ३) मिळवेल.
एकदा सिंक्रोनाइझेशन पूर्ण झाले की कोणत्याही vCNC शी कनेक्ट करणे शक्य होईल, प्रदर्शित करा web पृष्ठे उघडा आणि कोणत्याही सिस्टम खात्यांचा वापर करून नायगारा नेटवर्कवरील कोणत्याही प्रगत नियंत्रकात लॉग इन करा.
जर सिस्टम अकाउंट्समध्ये बदल केले गेले म्हणजेच एखादे खाते जोडले गेले, हटवले गेले किंवा संपादित केले गेले तर हे बदल नायगारा नेटवर्कवरील सर्व प्रगत नियंत्रकांमध्ये स्वयंचलितपणे समक्रमित केले जातील.

Exampले:
जर पाच प्रगत नियंत्रक असतील, तर कंट्रोलर (1) मधील सिस्टम अकाउंट्स संपादित करून वापरकर्ता 2 काढून टाकला जातो, वापरकर्ता 3 चे नाव बदलून वापरकर्ता 3a केले जाते आणि वापरकर्ता 4 जोडला जातो तेव्हा बदल कंट्रोलर (2), कंट्रोलर (3), कंट्रोलर (4) आणि कंट्रोलर (5) मध्ये समक्रमित केले जातील.

टीप:
जर सिंक्रोनाइझेशन दरम्यान संघर्ष आढळला तर नवीनतम बदलाला प्राधान्य दिले जाते.

प्रगत नियंत्रक नेटवर्क की बदलणे
जेव्हा एखादी अॅडव्हान्स्ड कंट्रोलर नेटवर्क की बदलली जाते, तेव्हा तिचे सर्व सिस्टम अकाउंट्स हटवले जातील आणि ते त्याच्या सध्याच्या नायगारा नेटवर्कमधून काढून टाकले जाईल. नेटवर्क कीमध्ये बदल वैध अभियंता किंवा प्रशासक सिस्टम अकाउंटद्वारे अधिकृत केला जाणे आवश्यक आहे.
एकदा बदल झाल्यानंतर ते नवीन नेटवर्क की, जर अस्तित्वात असेल तर, वापरून नायगारा नेटवर्कमध्ये सामील होईल आणि नवीन नायगारा नेटवर्कवरील अॅडव्हान्स्ड कंट्रोलरकडून सिस्टम अकाउंट्स मिळवेल, जर त्यात समान UDP पोर्ट असेल.

स्थानिक सुरक्षा
स्थानिक सुरक्षा प्रगत नियंत्रकांना प्रवेश देण्यासाठी स्थानिक वापरकर्त्यांचा (वापरकर्ता मॉड्यूल) वापर करते. web पृष्ठे किंवा स्थानिकरित्या कनेक्ट केलेले डिस्प्ले आणि दृश्यमान माहिती किंवा समायोजित करता येणारी मूल्ये नियंत्रित करण्यासाठी.
प्रवेश मिळविण्यासाठी आणि बदल करण्यासाठी स्थानिक वापरकर्त्यासाठी एक वैध वापरकर्तानाव आणि पासवर्ड प्रदान करणे आवश्यक आहे. वापरकर्त्याचा पिन स्तर वापरकर्ता कोणते पॅरामीटर्स पाहू आणि समायोजित करू शकतो हे ठरवतो.

टीप
स्थानिक वापरकर्ते नायगारा नेटवर्कवरील इतर प्रगत नियंत्रकांसह समक्रमित केलेले नाहीत.

मध्ये प्रवेश Web पृष्ठे
नियंत्रकाचा प्रवेश web पृष्ठे प्रगत नियंत्रक सुरक्षा प्रणालीद्वारे संरक्षित आहेत. जेव्हा नियंत्रकाचे web सर्व्हरवर प्रवेश केला जातो a web काही मूलभूत माहिती प्रदान करणारे आणि वापरकर्त्याला लॉगिन करण्यास सक्षम करणारे पृष्ठ प्रदर्शित केले जाईल - पृष्ठ १३ वरील "प्रारंभिक प्रवेश" पहा.
लॉगिन करणारे वापरकर्ते लॉग इन केलेले वापरकर्ते मानले जातील - पृष्ठ १४ वरील "लॉग इन केलेले वापरकर्ते" पहा. आणि जे वापरकर्ते web लॉग इन न करता पृष्ठांना पृष्ठ १३ वरील "प्रारंभिक प्रवेश" मध्ये वर्णन केल्याप्रमाणे प्रवेश दिला जाईल.

प्रारंभिक प्रवेश
जेव्हा नियंत्रकाचे web सर्व्हरवर प्रथम प्रवेश केला जातो तेव्हा स्वागत पृष्ठ प्रदर्शित केले जाते आणि दिलेला प्रवेश नियंत्रकाच्या सध्याच्या सुरक्षा कॉन्फिगरेशनवर अवलंबून असतो:

• अभियांत्रिकी प्रणाली खाती नाहीत आणि वापरकर्ता मॉड्यूल नाहीत (फॅक्टरी डीफॉल्ट)
• 'स्वागत आहे' पृष्ठ प्रदर्शित केले आहे आणि नियंत्रकाच्या पूर्ण प्रवेशासह web पृष्ठे आणि बदल करण्याची क्षमता दिली जाईल.

टीप
अभियांत्रिकी प्रणाली खाती किंवा वापरकर्ता मॉड्यूल नसल्यामुळे लॉगिन करणे शक्य होणार नाही.

अभियांत्रिकी प्रणाली खाती आणि वापरकर्ता मॉड्यूल नाहीत
'स्वागत आहे' पृष्ठ प्रदर्शित केले जाईल आणि नियंत्रक फक्त सेन्सर, डिजिटल इनपुट, नॉब, स्विच, ड्रायव्हर, वेळापत्रक, वेळ वेळापत्रक, वेळ, प्लॉट मॉड्यूल, अलार्म लॉग आणि ग्राफिक्समध्ये प्रवेश देईल आणि बदलांना परवानगी देणार नाही.

टीप
अभियांत्रिकी प्रणाली खात्यांचा वापर करून लॉगिन करणे शक्य होईल.

• अभियांत्रिकी प्रणाली खाती आणि वापरकर्ता मॉड्यूल
  सुरुवातीचे प्रदर्शन आणि प्रवेश वापरकर्ता मॉड्यूलद्वारे नियंत्रित केला जातो. जर 'अतिथी' नावाचा वापरकर्ता मॉड्यूल पासवर्डशिवाय असेल तर प्रगत नियंत्रक web लॉग इन न करता पृष्ठांवर प्रवेश केला जातो तो नियंत्रक प्रवेश अधिकार देईल (वापरकर्ता स्तर, मुख्यपृष्ठ आणि view ('अतिथी' वापरकर्ता मॉड्यूलद्वारे निर्दिष्ट केलेले).
  डीफॉल्टनुसार 'अतिथी' वापरकर्ता मॉड्यूल फक्त प्रगत 'स्वागत' पृष्ठावर प्रवेश प्रदान करतो आणि त्याचा वापरकर्ता स्तर '0' असतो. याचा अर्थ असा की लॉग इन न करता नियंत्रकावर प्रवेश करणारा वापरकर्ता केवळ view 'स्वागत आहे' पृष्ठ. अधिक प्रवेश देण्यासाठी 'अतिथी' वापरकर्त्याला इतर कोणत्याही टाइप 0 वापरकर्ता मॉड्यूलप्रमाणेच कॉन्फिगर केले जाऊ शकते.

टीप:
नायगारा वर्कबेंच 'अतिथी' वापरकर्त्याला पासवर्ड, पिन किंवा '0' पेक्षा जास्त वापरकर्ता पातळी देण्यास प्रतिबंध करते. ते होम पेजला अनुमती देते आणि view कॉन्फिगर करायचे डीफॉल्ट.

अतिथी वापरकर्त्याला डीफॉल्ट कॉन्फिगरेशन ('0' वापरकर्ता पातळी आणि नाही) सह सोडण्याची जोरदार शिफारस केली जाते. view अधिकार).
जर 'गेस्ट' नावाचा वापरकर्ता मॉड्यूल नसेल किंवा तो पासवर्डने कॉन्फिगर केला असेल तर 'स्वागत आहे' पृष्ठ प्रदर्शित होईल आणि कंट्रोलर फक्त सेन्सर, डिजिटल इनपुट, नॉब, स्विच, ड्रायव्हर, वेळापत्रक, वेळ वेळापत्रक, वेळ, प्लॉट मॉड्यूल, अलार्म लॉग आणि ग्राफिक्समध्ये प्रवेश देईल आणि बदलांना परवानगी देणार नाही.

टीप
अभियांत्रिकी प्रणाली खाती आणि अस्तित्वात असलेल्या कोणत्याही वापरकर्ता मॉड्यूलचा वापर करून लॉगिन करणे शक्य होईल.

लॉग इन केलेले वापरकर्ते
प्रगत नियंत्रकात लॉग इन करण्यासाठी web पृष्ठांवर प्रगत नियंत्रक अभियांत्रिकी प्रणाली खात्यांपैकी एक किंवा टाइप 0 वापरकर्ता मॉड्यूलशी जुळणारे वापरकर्ता नाव आणि पासवर्ड प्रविष्ट करणे आवश्यक आहे.

पासवर्ड पुनर्प्राप्ती
जर एखाद्या वापरकर्त्याने त्यांचा पासवर्ड विसरला असेल तर तो नायगारा वर्कबेंच वापरून पुनर्प्राप्त केला जाऊ शकतो. नायगारा वापरून विसरलेला पासवर्ड पुनर्प्राप्त करण्याच्या तपशीलांसाठी नायगारा वर्कबेंच वापरकर्ता मार्गदर्शक पहा.

नायगारा ऑपरेटिंग सिस्टम सुरक्षित करणे

 सामान्य चांगल्या पद्धती
ऑपरेटिंग सिस्टम सुरक्षित करण्यासाठी सामान्य चांगल्या पद्धतींचे अनुसरण करा जसे की:

• पासवर्ड संरक्षित स्क्रीन सेव्हर
• ड्राइव्ह एन्क्रिप्शन सॉफ्टवेअर

फायरवॉल सेटिंग
ऑपरेटिंग सिस्टमला फायरवॉल वापरण्यासाठी कॉन्फिगर केले पाहिजे जे आपोआप अपडेट होते. कॉन्फिगरेशनने सर्व पोर्टसाठी प्रवेश (इन/आउट) प्रतिबंधित केला पाहिजे ज्यासाठी प्रवेश आवश्यक आहे ते वगळता, कोणतेही न वापरलेले पोर्ट उघडे ठेवू नका.

ऑपरेटिंग सिस्टम आवृत्ती
नायगारा अॅप्लिकेशन्स चालवणाऱ्या किंवा त्याच आयपी नेटवर्कशी कनेक्ट केलेल्या कोणत्याही डिव्हाइसवर नवीनतम ऑपरेटिंग सिस्टम अपडेट्स इन्स्टॉल केलेले आहेत याची खात्री करणे आवश्यक आहे. विंडोज अपडेट्स ऑटोमॅटिक चालू आहेत आणि ते वेळेवर इन्स्टॉल झाले आहेत याची खात्री करणे ही चांगली पद्धत आहे.

विषाणू संरक्षण
तुम्ही हे सुनिश्चित केले पाहिजे की नायगारा अॅप्लिकेशन्स चालवणारे किंवा त्याच आयपी नेटवर्कशी कनेक्ट केलेले कोणतेही संगणक व्हायरस प्रोटेक्शन सॉफ्टवेअर चालवत आहेत आणि व्हायरस व्याख्या अद्ययावत ठेवल्या आहेत.

 घुसखोरी संरक्षण
नायगारा अॅप्लिकेशन चालवणाऱ्या कोणत्याही संगणकावर सुरक्षा उत्पादनांच्या प्रतिष्ठित प्रदात्याकडून घुसखोरी शोध प्रणाली (IDS) वापरण्याची शिफारस केली जाते. निवडलेल्या उत्पादनांसाठी तसेच जिथे इन्स्टॉलेशन केले जाते तिथे कोणत्याही कॉर्पोरेट आयटी धोरणाचे सर्वोत्तम पद्धतींचे पालन करा.
अनेक आयडीएस आणि फायरवॉल उत्पादने संगणकातून येणाऱ्या आणि जाणाऱ्या सर्व रहदारीचे रेकॉर्डिंग करण्यासाठी एक संपूर्ण उपाय देतात, ज्यामुळे वापरकर्त्यांना सर्वात कमी पातळीवर सर्व क्रियाकलाप रेकॉर्ड करण्याची क्षमता मिळते.

सामान्य डेटा संरक्षण नियमन (GDPR)

जनरल डेटा प्रोटेक्शन रेग्युलेशन (EU)2016/679 (GDPR) हे युरोपियन युनियन (EU) आणि युरोपियन इकॉनॉमिक एरिया (EEA) मधील सर्व वैयक्तिक नागरिकांसाठी डेटा संरक्षण आणि गोपनीयतेवरील EU कायद्यातील एक नियमन आहे. ते EU आणि EEA क्षेत्राबाहेर वैयक्तिक डेटाच्या हस्तांतरणाला देखील संबोधित करते. GDPR मध्ये EEA मधील व्यक्तींच्या (डेटा विषयांच्या) वैयक्तिक डेटाच्या प्रक्रियेशी संबंधित तरतुदी आणि आवश्यकता आहेत आणि EEA मध्ये स्थापित केलेल्या कोणत्याही उद्योगाला (त्याचे स्थान आणि डेटा विषयांच्या नागरिकत्वाकडे दुर्लक्ष करून) लागू होते किंवा EEA मधील डेटा विषयांच्या वैयक्तिक माहितीवर प्रक्रिया करत आहे.
GDPR च्या अटींनुसार, वैयक्तिक डेटामध्ये एखाद्या व्यक्तीची ओळख पटविण्यासाठी वापरली जाऊ शकणारी कोणतीही माहिती समाविष्ट असते. यामध्ये समाविष्ट आहे (परंतु इतकेच मर्यादित नाही):

• वापरकर्ता नावे,
• पासवर्ड,
• फोन नंबर,
• ईमेल पत्ते,
• कामाचे किंवा निवासी पत्ते.

अॅडव्हान्स्ड कंट्रोलर, एचएमआय आणि आयओ मॉड्यूलमध्ये प्रविष्ट केलेली अशी कोणतीही माहिती एन्क्रिप्ट केली जाते आणि ग्राहकाच्या परिसरात अॅडव्हान्स्ड उत्पादनांवर संग्रहित केली जाते. अॅडव्हान्स्ड हनीवेल उत्पादनांमध्ये वैयक्तिक डेटाच्या स्टोरेज आणि/किंवा प्रक्रियेत हनीवेलचा कोणताही सहभाग नाही.
GDPR च्या आवश्यकतांचे पालन करण्याची जबाबदारी पूर्णपणे सिस्टम इंटिग्रेटर किंवा सिस्टम प्रशासकाची आहे आणि म्हणून, त्यांनी हे सुनिश्चित केले पाहिजे की पुरेशा तांत्रिक आणि संघटनात्मक प्रणाली येथे आहेत:

• वैयक्तिक डेटा संग्रहित करण्यासाठी, वापरण्यासाठी आणि/किंवा प्रक्रिया करण्यासाठी प्रत्येक डेटा विषयाकडून स्पष्ट संमती मिळवा,
• अचूकता पडताळण्यासाठी व्यक्तींना त्यांच्या वैयक्तिक डेटामध्ये प्रवेश करण्याची परवानगी देणे,
• व्यक्तींना कधीही त्यांची संमती मागे घेण्याची आणि त्यांचा वैयक्तिक डेटा कायमचा मिटवण्याची परवानगी देणे,
• डेटा स्टोरेज आणि अॅक्सेसची सुरक्षितता आणि अखंडता नेहमीच राखणे,
• डेटा सुरक्षेचे कोणतेही उल्लंघन (ज्यामुळे वापरकर्त्याच्या गोपनीयतेवर परिणाम होऊ शकतो) झाल्यापासून ७२ तासांच्या आत संबंधित अधिकाऱ्यांना कळवा.

सुरक्षित संवाद

पब्लिक की इन्फ्रास्ट्रक्चर (PKI) इंटरनेटसारख्या नेटवर्क्सवर डेटाच्या देवाणघेवाणीचे संरक्षण करण्यासाठी वापरल्या जाणाऱ्या पब्लिक एन्क्रिप्शन कीजच्या वितरण आणि ओळखीस समर्थन देते. PKI दुसऱ्या पक्षाची ओळख पडताळते आणि प्रत्यक्ष डेटा ट्रान्समिशन एन्कोड करते. ओळख पडताळणी सर्व्हरच्या ओळखीची अ-अस्वीकृत हमी प्रदान करते. नेटवर्क ट्रान्समिशन दरम्यान एन्क्रिप्शन गोपनीयता प्रदान करते. स्वाक्षरीकृत कोड मॉड्यूलची आवश्यकता सिस्टममध्ये फक्त अपेक्षित कोड चालतो याची खात्री करते.

PKI वापरून सुरक्षित नेटवर्क प्रदान करण्यासाठी, नायगारा TLS (ट्रान्सपोर्ट लेयर सिक्युरिटी) प्रोटोकॉल, आवृत्ती 1.0, 1.1 आणि 1.2 ला समर्थन देते. TLS त्याच्या पूर्ववर्ती, SSL (सिक्योर सॉकेट्स लेयर) ची जागा घेते.
प्रत्येक नायगारा इन्स्टॉलेशन आपोआप एक डीफॉल्ट प्रमाणपत्र तयार करते, जे कनेक्शनला त्वरित एन्क्रिप्ट करण्याची परवानगी देते. तथापि, ही प्रमाणपत्रे ब्राउझर आणि वर्कबेंचमध्ये चेतावणी निर्माण करतात आणि सामान्यतः अंतिम वापरकर्त्यांसाठी योग्य नाहीत. कस्टम डिजिटल प्रमाणपत्रे तयार करणे आणि स्वाक्षरी करणे ब्राउझरमध्ये TLS चा अखंड वापर करण्यास अनुमती देते आणि एन्क्रिप्शन तसेच सर्व्हर प्रमाणीकरण दोन्ही प्रदान करते.
संप्रेषण सुरक्षेव्यतिरिक्त, सिस्टममध्ये चालणारे प्रत्येक संगणक कोड मॉड्यूल डिजिटल स्वाक्षरीने संरक्षित केले जाते. जोडलेल्या प्रोग्राम ऑब्जेक्ट्सना ही स्वाक्षरी आवश्यक असते अन्यथा ते चालत नाहीत.

सर्व्हरची पडताळणी करणे, ट्रान्समिशन एन्क्रिप्ट करणे आणि फक्त साइन केलेले कोड रन स्टोरेज डिव्हाइसवर साठवलेला डेटा सुरक्षित करत नाहीत याची खात्री करणे. तुम्हाला अजूनही तुमचे बिल्डिंग मॉडेल व्यवस्थापित करणाऱ्या संगणक आणि नियंत्रकांवर भौतिक प्रवेश प्रतिबंधित करणे, मजबूत पासवर्डसह वापरकर्ता प्रमाणीकरण सेट करणे आणि परवानग्या नियंत्रित करून घटक सुरक्षित करणे आवश्यक आहे.
नायगारा सुरक्षित संप्रेषण आणि स्वाक्षरीकृत कोडला डीफॉल्टनुसार समर्थन देते आणि वापरते. तुम्हाला अतिरिक्त परवाना खरेदी करण्याची आवश्यकता नाही.
सुरक्षितता ही सततची चिंता आहे. सुरक्षित संप्रेषण विषयांमध्ये तुम्हाला बरीच मौल्यवान माहिती मिळेल, परंतु भविष्यातील अद्यतने आणि बदलांची अपेक्षा करा.
खाली सुरक्षित संप्रेषण दिले आहेत. अधिक माहितीसाठी नायगारा स्टेशन सुरक्षा मार्गदर्शक पहा.

• क्लायंट/सर्व्हर संबंध
• प्रमाणपत्रे
• प्रमाणपत्र दुकाने
• सीएसआर फोल्डर रचना
• प्रमाणपत्र सेट अप
• प्रमाणपत्र विझार्ड
• अनेक प्रमाणपत्रांवर स्वाक्षरी करणे
• सुरक्षित प्लॅटफॉर्म कम्युनिकेशन कॉन्फिगर करणे
• सुरक्षित स्टेशन संप्रेषण कॉन्फिगर करणे
• क्लायंट सक्षम करणे आणि त्यांना योग्य पोर्टसाठी कॉन्फिगर करणे
• दुसऱ्या प्लॅटफॉर्मवर स्टेशन कॉपी स्थापित करणे
• ईमेल सुरक्षित करत आहे
• सुरक्षित संप्रेषण समस्यानिवारण

क्लायंट/सर्व्हर संबंध
क्लायंट/सर्व्हर संबंध हे अशा कनेक्शनची ओळख पटवतात ज्यांना संरक्षणाची आवश्यकता असते. वर्कबेंच क्लायंट/सर्व्हर संबंध तुम्ही सिस्टम कशी कॉन्फिगर करता आणि वापरता यावर अवलंबून बदलतात. वर्कबेंच नेहमीच क्लायंट असतो. प्लॅटफॉर्म नेहमीच सर्व्हर असतो. स्टेशन एक क्लायंट आणि सर्व्हर असू शकते.
संप्रेषण व्यवस्थापित करणारे सिस्टम प्रोटोकॉल हे आहेत:

• वर्कबेंच (क्लायंट) पासून कंट्रोलर किंवा सुपरवायझर पीसी प्लॅटफॉर्म डिमन (सर्व्हर) पर्यंतचे प्लॅटफॉर्म कनेक्शन नायगारा वापरतात. सुरक्षित प्लॅटफॉर्म कनेक्शनला कधीकधी प्लॅटफॉर्मटीएल म्हणून संबोधले जाते. तुम्ही प्लॅटफॉर्म प्रशासन वापरून प्लॅटफॉर्मटीएल सक्षम करता. view.
• स्थानिक स्टेशन कनेक्शन (पर्यवेक्षक आणि प्लॅटफॉर्म) फॉक्स वापरतात. तुम्ही स्टेशनच्या फॉक्स सर्व्हिस (कॉन्फिग > सेवा > फॉक्स सर्व्हिस) मध्ये हे कनेक्शन सक्षम करता.
• ब्राउझर कनेक्शन Https वापरतात, तसेच जर तुम्ही वापरत असाल तर Foxs देखील वापरतात Web Wb सह लाँचरWebप्रोfile. तुम्ही स्टेशनचा वापर करून हे कनेक्शन सक्षम करता Webसेवा (कॉन्फिगरेशन > सेवा > Webसेवा).
• लागू असल्यास, स्टेशनच्या ईमेल सर्व्हरशी क्लायंट कनेक्शन. तुम्ही स्टेशनच्या ईमेल सेवा (कॉन्फिगरेशन > सेवा > ईमेल सेवा) वापरून सुरक्षित ईमेल सक्षम करता.

प्रमाणपत्रे
प्रमाणपत्र हे एक इलेक्ट्रॉनिक दस्तऐवज आहे जे एखाद्या व्यक्ती किंवा संस्थेशी सार्वजनिक की बांधण्यासाठी डिजिटल स्वाक्षरीचा वापर करते. प्रमाणपत्राच्या की वापर गुणधर्माचे तुम्ही कॉन्फिगरेशन कसे करता यावर अवलंबून प्रमाणपत्रे विविध उद्देशांसाठी काम करू शकतात. या प्रणालीमध्ये त्यांचा प्राथमिक उद्देश सर्व्हरची ओळख सत्यापित करणे आहे जेणेकरून संप्रेषणावर विश्वास ठेवता येईल. अधिक तपशीलांसाठी कृपया नायगारा स्टेशन सुरक्षा मार्गदर्शक - प्रमाणपत्र पहा.
नायगारा या प्रकारच्या प्रमाणपत्रांना समर्थन देते:

• सीए (प्रमाणपत्र प्राधिकरण) प्रमाणपत्र हे एक स्व-स्वाक्षरी केलेले प्रमाणपत्र आहे जे सीएचे आहे. हे तृतीय पक्ष किंवा स्वतःचे सीए म्हणून काम करणारी कंपनी असू शकते.
• रूट सीए प्रमाणपत्र हे एक स्व-स्वाक्षरी केलेले सीए प्रमाणपत्र आहे ज्याची खाजगी की इतर प्रमाणपत्रांवर स्वाक्षरी करण्यासाठी वापरली जाते आणि एक विश्वासार्ह प्रमाणपत्र वृक्ष तयार करते. त्याच्या खाजगी कीसह, रूट सीए प्रमाणपत्र निर्यात केले जाऊ शकते, व्हॉल्टमध्ये यूएसबी थंब ड्राइव्हवर संग्रहित केले जाऊ शकते आणि प्रमाणपत्रांवर स्वाक्षरी करण्याची आवश्यकता असतानाच बाहेर आणले जाऊ शकते. रूट सीए प्रमाणपत्राच्या खाजगी कीसाठी निर्यात करताना पासवर्ड तयार करणे आणि इतर प्रमाणपत्रांवर स्वाक्षरी करण्यासाठी वापरताना समान पासवर्डची तरतूद आवश्यक असते.
• इंटरमीडिएट सर्टिफिकेट म्हणजे रूट सीए सर्टिफिकेटने स्वाक्षरी केलेले सीए सर्टिफिकेट असते जे सर्व्हर सर्टिफिकेट किंवा इतर इंटरमीडिएट सीए सर्टिफिकेटवर स्वाक्षरी करण्यासाठी वापरले जाते. इंटरमीडिएट सर्टिफिकेट वापरल्याने सर्व्हर सर्टिफिकेटचा एक गट वेगळा होतो.
• सर्व्हर प्रमाणपत्र सुरक्षित कनेक्शनच्या सर्व्हर-साइडचे प्रतिनिधित्व करते. तुम्ही प्रत्येक प्रोटोकॉलसाठी वेगळे प्रमाणपत्र सेट करू शकता (फॉक्स, एचटीपीएस, Webs). तुम्ही प्लॅटफॉर्म आणि स्टेशन (सर्व्हर म्हणून) वेगळ्या सर्व्हर प्रमाणपत्रांसह कॉन्फिगर करू शकता, परंतु साधेपणासाठी बहुतेक सिस्टम सामान्यतः समान सर्व्हर प्रमाणपत्र वापरतात.
• कोड-साइनिंग सर्टिफिकेट हे प्रोग्राम ऑब्जेक्ट्स आणि मॉड्यूल्सवर स्वाक्षरी करण्यासाठी वापरले जाणारे प्रमाणपत्र आहे. सिस्टम इंटिग्रेटर फ्रेमवर्क कस्टमाइझ करताना दुर्भावनापूर्ण कोडचा परिचय रोखण्यासाठी हे प्रमाणपत्र वापरतात.

स्व-स्वाक्षरी केलेले प्रमाणपत्रे
स्व-स्वाक्षरी केलेले प्रमाणपत्र म्हणजे रूट CA (प्रमाणपत्र प्राधिकरण) प्रमाणपत्राच्या खाजगी की ऐवजी स्वतःच्या खाजगी की वापरून डीफॉल्टनुसार स्वाक्षरी केलेले प्रमाणपत्र.
ही प्रणाली दोन प्रकारच्या स्व-स्वाक्षरी केलेल्या प्रमाणपत्रांना समर्थन देते:

• रूट सीए प्रमाणपत्र हे अप्रत्यक्षपणे विश्वसनीय असते कारण या प्रमाणपत्राची मालकी असलेल्या सीए (प्रमाणपत्र प्राधिकरण) पेक्षा उच्च अधिकारी कोणीही नाही. या कारणास्तव, सीए, ज्यांचे काम इतर लोकांच्या प्रमाणपत्रांना मान्यता देणे आहे, ते त्यांचे रूट सीए प्रमाणपत्र(ने) आणि खाजगी कीज काळजीपूर्वक जपतात. त्याचप्रमाणे, जर तुमची कंपनी स्वतःचे सीए म्हणून काम करत असेल, तर तुम्ही इतर प्रमाणपत्रांवर स्वाक्षरी करण्यासाठी वापरत असलेल्या रूट सीए प्रमाणपत्राचे काळजीपूर्वक जपले पाहिजे.
• डीफॉल्ट, स्व-स्वाक्षरीकृत प्रमाणपत्र: जेव्हा तुम्ही वर्कबेंच, प्लॅटफॉर्म किंवा स्टेशनची स्थापना (कमिशनिंग) केल्यानंतर पहिल्यांदाच सुरू करता, तेव्हा सिस्टम ट्रिडियम या उपनामासह एक डीफॉल्ट, स्व-स्वाक्षरीकृत सर्व्हर प्रमाणपत्र तयार करते.

टीप:
हे प्रमाणपत्र दुसऱ्या प्लॅटफॉर्म किंवा स्टेशनच्या कोणत्याही स्टोअरमध्ये निर्यात करू नका आणि आयात करू नका. शक्य असले तरी, असे केल्याने सुरक्षा कमी होते आणि भेद्यता वाढते.
स्व-स्वाक्षरीकृत प्रमाणपत्रे वापरताना मॅन-इन-द-मिडल हल्ल्याचा धोका कमी करण्यासाठी, तुमचे सर्व प्लॅटफॉर्म सुरक्षित खाजगी नेटवर्कमध्ये, ऑफलाइन आणि इंटरनेटवरून सार्वजनिक प्रवेशाशिवाय असले पाहिजेत.

खबरदारी
स्व-स्वाक्षरीकृत प्रमाणपत्रे वापरण्यासाठी, वर्कबेंचवरून पहिल्यांदा प्लॅटफॉर्म किंवा स्टेशनवर जाण्यापूर्वी, तुमचा संगणक आणि प्लॅटफॉर्म कोणत्याही कॉर्पोरेट नेटवर्क किंवा इंटरनेटवर नाहीत याची खात्री करा. एकदा डिस्कनेक्ट झाल्यानंतर, संगणक थेट प्लॅटफॉर्मशी कनेक्ट करा, वर्कबेंचवरून प्लॅटफॉर्म उघडा आणि त्याचे स्व-स्वाक्षरीकृत प्रमाणपत्र मंजूर करा. त्यानंतरच तुम्ही प्लॅटफॉर्म कॉर्पोरेट नेटवर्कशी पुन्हा कनेक्ट करावा.

नामकरण परंपरा
युजर की स्टोअर, युजर ट्रस्ट स्टोअर आणि सिस्टम ट्रस्ट स्टोअर हे कॉन्फिगरेशनचे केंद्रबिंदू आहेत. प्रमाणपत्रे बरीच सारखी दिसतात आणि विविध डीफॉल्ट स्व-स्वाक्षरी केलेल्या प्रमाणपत्रांची नावे सारखीच असतात.

प्रमाणपत्र दुकाने
प्रमाणपत्र व्यवस्थापन प्रमाणपत्रे व्यवस्थापित करण्यासाठी चार स्टोअर्स वापरते: एक वापरकर्ता की स्टोअर, सिस्टम ट्रस्ट स्टोअर, वापरकर्ता ट्रस्ट स्टोअर आणि परवानगी असलेल्या होस्ट्सची यादी.
युजर की स्टोअर क्लायंट-सर्व्हर संबंधांच्या सर्व्हर बाजूशी संबंधित आहे. या स्टोअरमध्ये प्रमाणपत्रे आहेत, प्रत्येकाची सार्वजनिक आणि खाजगी की आहेत. याव्यतिरिक्त, या स्टोअरमध्ये तुम्ही वर्कबेंच लाँच केल्यावर किंवा पहिल्यांदा प्लॅटफॉर्म बूट केल्यावर सुरुवातीला तयार केलेले स्व-स्वाक्षरी केलेले प्रमाणपत्र आहे.
वापरकर्ता आणि सिस्टम ट्रस्ट स्टोअर्स क्लायंट-सर्व्हर संबंधांच्या क्लायंट बाजूशी संबंधित आहेत. सिस्टम ट्रस्ट स्टोअरमध्ये मानक सार्वजनिक प्रमाणपत्रे असतात: व्हेरीसाइन, थावटे आणि डिजिसर्ट सारख्या सुप्रसिद्ध प्रमाणपत्र प्राधिकरणांकडून रूट सीए प्रमाणपत्रे. वापरकर्ता ट्रस्ट स्टोअरमध्ये स्वतःचे प्रमाणपत्र प्राधिकरण म्हणून काम करणाऱ्या कंपन्यांसाठी रूट सीए आणि इंटरमीडिएट प्रमाणपत्रे असतात.
अनुमती असलेल्या होस्टच्या यादीमध्ये असे सर्व्हर प्रमाणपत्रे आहेत ज्यांचे क्लायंटच्या सिस्टम किंवा वापरकर्ता ट्रस्ट स्टोअरमध्ये कोणतेही विश्वसनीय रूट CA प्रमाणपत्र अस्तित्वात नाही, परंतु सर्व्हर प्रमाणपत्रे तरीही वापरण्यासाठी मंजूर केली गेली आहेत. यामध्ये असे सर्व्हर समाविष्ट आहेत ज्यांचे सर्व्हरचे होस्ट नाव सर्व्हर प्रमाणपत्रातील सामान्य नावासारखे नाही. तुम्ही वैयक्तिकरित्या या प्रमाणपत्रांचा वापर करण्यास मान्यता देता. संप्रेषण सुरक्षित असताना, स्वाक्षरी केलेले सर्व्हर प्रमाणपत्रे वापरणे चांगले.

एनक्रिप्शन
एन्क्रिप्शन ही डेटा ट्रान्समिशन एन्कोड करण्याची प्रक्रिया आहे जेणेकरून ते अविश्वसनीय तृतीय पक्षांद्वारे वाचता येणार नाही. क्लायंट आणि सर्व्हर दरम्यान डेटा ट्रान्समिट करण्यासाठी TLS एन्क्रिप्शन वापरते. फक्त फॉक्स किंवा HTTP प्रोटोकॉल वापरून एन्क्रिप्ट न केलेले कनेक्शन बनवणे शक्य असले तरी, तुम्हाला हा पर्याय न वापरण्याचा जोरदार सल्ला दिला जातो. एन्क्रिप्शनशिवाय, तुमचे संप्रेषण संभाव्यतः हल्ल्याच्या अधीन असतात. नेहमी डीफॉल्ट फॉक्स किंवा Https कनेक्शन स्वीकारा.

सुरक्षा डॅशबोर्ड ओव्हरVIEW
नायगारा ४.१०u५ आणि त्यानंतरच्या आवृत्त्यांमध्ये, सुरक्षा डॅशबोर्ड वैशिष्ट्य (प्रशासक आणि इतर अधिकृत वापरकर्त्यांसाठी) एक दृश्य प्रदान करते view तुमच्या स्टेशनच्या सुरक्षा कॉन्फिगरेशनचे. हे तुम्हाला अनेक स्टेशन सेवांमधील सुरक्षा कॉन्फिगरेशनचे सहजपणे निरीक्षण करण्यास आणि स्टेशनवरील कोणत्याही सुरक्षा कॉन्फिगरेशनच्या कमकुवतपणा ओळखण्यास अनुमती देते.

खबरदारी
सुरक्षा डॅशबोर्ड View सर्व संभाव्य सुरक्षा सेटिंग्ज प्रदर्शित करू शकत नाहीत आणि सर्वकाही सुरक्षितपणे कॉन्फिगर केले आहे याची हमी म्हणून विचारात घेतले जाऊ नये. विशेषतः, तृतीय पक्ष मॉड्यूलमध्ये सुरक्षा सेटिंग्ज असू शकतात ज्या डॅशबोर्डवर नोंदणीकृत नसतात.

सुरक्षा डॅशबोर्ड view मुख्य आहे view स्टेशनच्या सुरक्षा सेवेवर. view तुम्हाला कमकुवत पासवर्ड स्ट्रेंथ सेटिंग्ज; कालबाह्य झालेले, स्व-स्वाक्षरी केलेले किंवा अवैध प्रमाणपत्रे; एन्क्रिप्ट न केलेले ट्रान्सपोर्ट प्रोटोकॉल इत्यादी सुरक्षा कमकुवतपणाबद्दल सतर्क करते, जे कॉन्फिगरेशन अधिक सुरक्षित असावे असे क्षेत्र दर्शवते. इतर अहवाल दिलेल्या डेटामध्ये हे समाविष्ट आहे: सिस्टम हेल्थ, सक्रिय खात्यांची संख्या, निष्क्रिय खाती, सुपर-युजर परवानग्या असलेल्या खात्यांची संख्या इ. पर्यायीपणे, सिस्टम सक्षम करण्यासाठी "securityDashboard" परवाना वैशिष्ट्यावरील "सिस्टम" गुणधर्म "true" वर सेट केला जाऊ शकतो. View नायगारा नेटवर्कमधील प्रत्येक अधीनस्थ स्टेशनसाठी सुरक्षा तपशील प्रदान करणारे स्टेशनचे.
सुरक्षा डॅशबोर्ड हा मुख्य आहे view सुरक्षा सेवांसाठी. संपूर्ण तपशीलांसाठी view, “nss-SecurityDashboard” पहा.View"नायगारा स्टेशन सुरक्षा मार्गदर्शकामध्ये."

प्लॅनिंग आणि इन्स्टॉलेशन

या विभागात प्रगत वनस्पती नियंत्रक स्थापनेचे नियोजन आणि अंमलबजावणी करण्यासाठी माहिती समाविष्ट आहे.

शिफारस केलेले इंस्टॉलेशन आणि कॉन्फिगरेशन
पुढील विभागात दोन शिफारसित स्थापना कॉन्फिगरेशन दर्शविल्या आहेत.

• फक्त BACnet™
• BACnet™ आणि नायगारा

फक्त BACnetTMBACnetTM
जेव्हा अॅडव्हान्स्ड प्लांट कंट्रोलर फक्त BACnet™ कम्युनिकेशनसाठी वापरला जातो, तेव्हा फक्त इथरनेट 1 ला BAS नेटवर्कशी कनेक्ट करा जिथे BACnet™ (BACnet™/IP किंवा BACnet™/इथरनेट) चालू असेल.

BACnet™ आणि नायगारा
जेव्हा नायगारा अॅडव्हान्स्ड प्लांट कंट्रोलरवर वापरला जातो, तेव्हा तो सेवा प्रदान करण्यासाठी कॉन्फिगर केला जाऊ शकतो, जसे की web सेवा किंवा नायगारा फॉक्स, इंटरनेट/इंट्रानेट/कॉर्पोरेट नेटवर्कशी. जर असे असेल तर, त्या नेटवर्कला सेवा प्रदान करण्यासाठी इथरनेट 2 ला BAS फायरवॉलद्वारे इंटरनेट/इंट्रानेट/कॉर्पोरेट नेटवर्कशी कनेक्ट करा.

लोकल एरिया नेटवर्क्स (LAN) शिफारस
सर्व सेवांमध्ये वापरकर्त्यांच्या प्रवेशासाठी सिस्टम योग्य पासवर्ड धोरणावर चालत आहेत याची खात्री करा. या मार्गदर्शक तत्त्वात हे समाविष्ट असेल, परंतु ते इतकेच मर्यादित नाही:

1. मजबूत पासवर्डचा वापर.
2. शिफारस केलेला पासवर्ड सायकल वेळ.
3. सिस्टमच्या प्रत्येक वापरकर्त्यासाठी अद्वितीय वापरकर्ता नावे आणि पासवर्ड.
4. पासवर्ड उघड करण्याचे नियम.
5. जर आयटी-आधारित बिल्डिंग कंट्रोल सिस्टीममध्ये रिमोट अॅक्सेस आवश्यक असेल, तर डेटा इंटरसेप्शनचा धोका कमी करण्यासाठी आणि कंट्रोल्स डिव्हाइसेसना थेट इंटरनेटवर येण्यापासून वाचवण्यासाठी VPN (व्हर्च्युअल प्रायव्हेट नेटवर्क) तंत्रज्ञानाचा वापर करा.

दस्तऐवजीकरण

सुरक्षित प्रणाली राखण्यासाठी आवश्यक असलेली डिझाइन आणि कॉन्फिगरेशन माहिती कॅप्चर करण्यासाठी दस्तऐवजीकरण आवश्यक आहे.

सुरक्षेशी संबंधित महत्त्वाच्या माहितीसह, भौतिक उपकरणे आणि कॉन्फिगरेशनचे दस्तऐवजीकरण करा.
उपकरणे आणि कॉन्फिगरेशनवरील सर्व दस्तऐवजांमध्ये इच्छित सुरक्षा नियंत्रणे स्थापित आणि राखण्यासाठी सुरक्षा-संबंधित माहिती समाविष्ट करणे आवश्यक आहे. उदाampतसेच, जर अॅडव्हान्स्ड प्लांट कंट्रोलरवर डीफॉल्ट सेवा किंवा पोर्ट्समध्ये बदल केले गेले असतील, तर ते स्पष्टपणे दस्तऐवजीकरण करा जेणेकरून भविष्यात कधीतरी सेटिंग्ज पुनर्संचयित करता येतील.

बाह्य प्रणालींचे दस्तऐवजीकरण करा, विशेषतः प्रगत वनस्पती नियंत्रक आणि त्याच्या संबंधित प्रणालींमधील परस्परसंवाद.
BAS ला सामान्यतः विद्यमान नेटवर्क इन्फ्रास्ट्रक्चर, VPN अॅक्सेस, व्हर्च्युअल मशीन होस्ट आणि फायरवॉल यासारख्या कार्यात्मकदृष्ट्या बाह्य सिस्टीमची आवश्यकता असते किंवा त्यांचा वापर केला जातो. जर BAS ला सुरक्षिततेसाठी त्या सिस्टीम विशिष्ट प्रकारे कॉन्फिगर केल्या पाहिजेत, जसे की फायरवॉल विशिष्ट पोर्टना परवानगी देतो किंवा नाकारतो किंवा विशिष्ट सिस्टीमना प्रवेश देणारे नेटवर्क, तर तुम्ही ही माहिती दस्तऐवजीकरण करणे आवश्यक आहे. भविष्यात कधीतरी या सिस्टीम पुनर्संचयित करण्याची आवश्यकता असल्यास, उदा.ample: उपकरणांच्या बिघाडामुळे, किंवा बाह्य प्रणालींमध्ये बदल करणे आवश्यक आहे, उदा.ample: फायरवॉल अपग्रेड केल्याने, ही माहिती दस्तऐवजीकरण केल्याने तुम्हाला मागील सुरक्षा पातळीवर पुनर्संचयित करण्यात मदत होईल.

प्रवेश नियंत्रण आणि शारीरिक सुरक्षा
प्रवेश नियंत्रणामध्ये केवळ अधिकृत वापरकर्त्यांसाठी डिव्हाइसेस किंवा फंक्शन्समध्ये प्रवेश निर्दिष्ट करणे आणि मर्यादित करणे समाविष्ट आहे.

प्रगत प्लांट कंट्रोलर, एचएमआय आणि आयओ मॉड्यूल भौतिकरित्या सुरक्षित करा.
हनीवेलने प्रदान केलेल्या सिस्टीमसह वापरल्या जाणाऱ्या नेटवर्क उपकरणांमध्ये अनधिकृत प्रवेश रोखा. कोणत्याही सिस्टीममध्ये, नेटवर्क आणि उपकरणांमध्ये भौतिक प्रवेश रोखल्याने अनधिकृत हस्तक्षेपाचा धोका कमी होतो. आयटी इंस्टॉलेशनसह सुरक्षा सर्वोत्तम पद्धती सर्व्हर रूम, पॅच पॅनेल आणि आयटी उपकरणे लॉक केलेल्या खोल्यांमध्ये असल्याची खात्री करतील. हनीवेल उपकरणे लॉक केलेल्या नियंत्रण कॅबिनेटमध्ये स्थापित केली पाहिजेत, जी स्वतः सुरक्षित प्लांट रूममध्ये असतात.

कंट्रोलर अॅक्सेस पॅनल किंवा एन्क्लोजरवर स्टिकर
येथे अर्ज कराampप्रगत प्लांट कंट्रोलर, एचएमआय आणि आयओ मॉड्यूल अॅक्सेस पॅनल किंवा एन्क्लोजरवर स्पष्ट स्टिकर
जर एखाद्या ग्राहकाला अतिरिक्त खात्री हवी असेल की अॅडव्हान्स्ड प्लांट कंट्रोलर, एचएमआय आणि आयओ मॉड्यूलचे संरक्षण करणारा भौतिक प्रवेश प्रविष्ट केलेला नाही, तर येथे स्थापित कराampप्रवेश बिंदूवर स्पष्ट सील किंवा स्टिकर.

नेटवर्क वेगळे करा आणि संरक्षित करा

1. इंटरनेट/इंट्रानेट/कॉर्पोरेट नेटवर्क आणि BAS दरम्यान फायरवॉल वापरा.
2. BACnet™ कम्युनिकेशनसाठी वेगळे समर्पित भौतिक नेटवर्क (वेगळे वायर) किंवा व्हर्च्युअल नेटवर्क (VLAN) वापरा. ​​हे इंटरनेट/इंट्रानेट/कॉर्पोरेट नेटवर्कपासून वेगळे नेटवर्क असले पाहिजे.
3. तुम्हाला नायगारा सेवांची आवश्यकता नसल्यास (प्लॅटफॉर्म, स्टेशन आणि/किंवा) अॅडव्हान्स्ड प्लांट कंट्रोलरवरील EN2 कोणत्याही नेटवर्कशी कनेक्ट करू नका. Webसर्व्हर). जर तुम्हाला EN2 ला इंटरनेट/इंट्रानेट/कॉर्पोरेट नेटवर्कशी जोडायचे असेल, तर तुम्हाला अॅडव्हान्स्ड प्लांट कंट्रोलर आणि इंटर-नेट/इंट्रानेट/कॉर्पोरेट नेटवर्क दरम्यान बाह्य BAS फायरवॉल वापरणे आवश्यक आहे.

वायरलेस सुरक्षा

1. वापरकर्त्याला पुन्हाview नेटवर्क टोपोलॉजीवर आधारित वायरलेस नेटवर्क सुरक्षा, सार्वजनिक इंटरनेटवर कोणताही अनपेक्षित संपर्क होणार नाही आणि BAS फायरवॉल संरक्षण बायपास होणार नाही याची खात्री करणे.
2. WPA2 किंवा WPA3 सारख्या सर्वोच्च उपलब्ध वायरलेस सुरक्षा तंत्रज्ञानाचा अवलंब करणे नेहमीच आवश्यक आहे. याव्यतिरिक्त, वापरकर्त्यांनी त्यांचे पासवर्ड सुरक्षितपणे संरक्षित केले पाहिजेत, ज्यामध्ये वाय-फाय पासवर्ड आणि ब्लूटूथ™ पिन कोड समाविष्ट आहेत परंतु त्यापुरते मर्यादित नाहीत. कंट्रोलरला कधीही ओपन वायरलेस नेटवर्कशी कनेक्ट होऊ देऊ नका किंवा ओपन वायरलेस अॅक्सेस पॉइंट सेट करू देऊ नका.
3. संभाव्य गैरप्रकार टाळण्यासाठी नेहमी अनधिकृत उपकरणे वायरलेस नेटवर्कशी जोडणे किंवा ब्लूटूथ™ कनेक्शन स्थापित करणे टाळा.
4. नियमितपणे पुन्हा करणे ही वापरकर्त्याची जबाबदारी आहेview सुरक्षा सेटिंग्ज, सुरक्षा धोरणानुसार पासवर्ड किंवा पासकोड बदलणे आणि वायरलेस नेटवर्क आणि सबनेटवरील कनेक्टेड डिव्हाइसेसचे निरीक्षण करणे. वापरकर्त्यांनी या ऑडिट क्रियाकलापांचे दस्तऐवजीकरण देखील करावे.

प्रगत नियंत्रक, HMI आणि IO मॉड्यूल सुरक्षित करणे

1. साइट वापरकर्त्याला प्रदान केलेले अ‍ॅडमिन सिस्टम अकाउंट क्रेडेन्शियल्स
   'अ‍ॅडमिन' सिस्टम अकाउंटची क्रेडेन्शियल्स साइट मालकाला प्रदान करणे आवश्यक आहे जेणेकरून ते सिस्टम अकाउंट्स व्यवस्थापित करू शकतील.
2. सुरक्षा कार्यक्रम विकसित करणे
   'सामान्य सुरक्षा सर्वोत्तम पद्धती' पहा.
3. भौतिक आणि पर्यावरणीय विचार
   प्रगत नियंत्रक, HMI आणि IO मॉड्यूल लॉक केलेल्या वातावरणात स्थापित केले पाहिजेत, उदाहरणार्थ, सुरक्षित प्लांट रूममध्ये किंवा लॉक केलेल्या कॅबिनेटमध्ये.

टीप
पुरेसे वायुवीजन सुनिश्चित करा.

सुरक्षा अद्यतने आणि सेवा पॅक
अॅडव्हान्स्ड कंट्रोलर, एचएमआय आणि आयओ मॉड्यूलमध्ये नवीनतम फर्मवेअर रिलीझ चालत असल्याची खात्री करा.

वापरकर्ते आणि पासवर्ड

वापरकर्ते
वापरकर्त्यांची संख्या आणि प्रदान केलेले प्रवेश स्तर त्यांना आवश्यक असलेल्या क्रियाकलापांसाठी योग्य आहेत याची खात्री करा.

• कंट्रोलर डिव्हाइस स्तरावर सिस्टम अकाउंट्स किंवा कंट्रोलर्समधील वापरकर्ते यासाठी कॉन्फिगर करा Web क्लायंट, पर्यवेक्षक आणि पीअर-टू-पीअर अॅक्सेस.
  प्रगत नियंत्रकांमध्ये वापरकर्ता मॉड्यूल्स कॉन्फिगर करणे, याचा अर्थ असा की वापरकर्त्याला समायोजन करण्यापूर्वी वैध क्रेडेन्शियल्ससह डिव्हाइसमध्ये लॉग इन करावे लागेल. सिस्टम खात्यांसाठी आणि वापरकर्त्यांसाठी योग्य प्रवेश अधिकार नियुक्त केले आहेत याची खात्री करा.
• प्रत्येक वापरकर्त्यासाठी वेगळे खाते वापरा
  सामान्य प्रवेशाऐवजी, सिस्टमवरील प्रत्येक वापरकर्ता/खात्यासाठी अद्वितीय नावे आणि पासवर्ड वापरा. ​​वेगवेगळ्या लोकांनी कधीही एकच खाते शेअर करू नये. उदा.ampतर, अनेक व्यवस्थापक वापरू शकतील अशा सामान्य 'व्यवस्थापकांच्या' खात्याऐवजी, प्रत्येक व्यवस्थापकाचे स्वतःचे, वेगळे खाते असले पाहिजे.

प्रत्येक वापरकर्त्याचे स्वतःचे वैयक्तिक खाते असण्याची अनेक कारणे आहेत:

जर प्रत्येक व्यक्तीचे स्वतःचे खाते असेल, तर ऑडिट लॉग अधिक माहितीपूर्ण असतील. कोणत्या वापरकर्त्याने काय केले हे निश्चित करणे सोपे होईल. यामुळे एखाद्या खात्याशी तडजोड झाली आहे का हे शोधण्यास मदत होऊ शकते.

टीप
सर्व उत्पादनांमध्ये ऑडिट लॉग सुविधा नसते, परंतु जिथे उपलब्ध असेल तिथे ती अक्षम करू नये.

• जर एखादे खाते काढून टाकले किंवा सुधारित केले तर ते अनेक लोकांना त्रास देत नाही. उदा.ampजर एखाद्या व्यक्तीला आता प्रवेश नसेल, तर त्यांचा वैयक्तिक प्रवेश हटवणे सोपे आहे. जर ते शेअर केलेले खाते असेल, तर पासवर्ड बदलणे आणि सर्वांना सूचित करणे किंवा खाते हटवणे आणि सर्वांना सूचित करणे हे एकमेव पर्याय आहेत. खाते जसे आहे तसे सोडणे हा पर्याय नाही - ध्येय प्रवेश रद्द करणे आहे.
• जर प्रत्येक व्यक्तीचे स्वतःचे खाते असेल, तर त्यांच्या गरजा अचूकपणे पूर्ण करण्यासाठी परवानग्या तयार करणे खूप सोपे आहे. शेअर केलेल्या खात्यामुळे लोकांना आवश्यकतेपेक्षा जास्त परवानग्या मिळू शकतात.
  शेअर केलेले खाते म्हणजे शेअर केलेला पासवर्ड. पासवर्ड शेअर करणे ही एक अत्यंत वाईट सुरक्षा पद्धत आहे. त्यामुळे पासवर्ड लीक होण्याची शक्यता जास्त असते आणि पासवर्ड एक्सपायरेशन सारख्या काही पासवर्ड सर्वोत्तम पद्धती अंमलात आणणे अधिक कठीण होते.
• प्रकल्पांसाठी अद्वितीय अभियांत्रिकी वापरकर्त्यांचा वापर
  काही कंपन्या प्रत्येक प्रकल्पात समान खाते तपशील वापरतात ही एक सामान्य पद्धत आहे. एकदा हे कळले की एका सिस्टममध्ये तडजोड झाली आहे की नाही, तर हल्लेखोराकडे त्याच कंपनीने स्थापित केलेल्या इतर अनेक प्रकल्पांमध्ये प्रवेश करण्यासाठी संभाव्यतः क्रेडेन्शियल्स असू शकतात.
• शक्य असेल तेव्हा ज्ञात खाती अक्षम करा
  काही उत्पादनांमध्ये डीफॉल्ट खाती असतात. ती अशा प्रकारे कॉन्फिगर केली पाहिजेत की पासवर्ड आता डीफॉल्ट राहणार नाही.
• वापरकर्त्यांसाठी किमान आवश्यक परवानग्या नियुक्त करा
  सिस्टममध्ये पूर्ण प्रवेशाऐवजी आवश्यक असलेल्या किमान सुरक्षा स्तरांसह आवश्यक असलेली खातीच सेट केली आहेत याची खात्री करा. नवीन खाते तयार करताना, त्या व्यक्तीला सिस्टममध्ये काय करावे लागेल याचा विचार करा आणि नंतर ते काम करण्यासाठी आवश्यक असलेल्या किमान परवानग्या द्या. उदा.ampम्हणजे, ज्याला फक्त अलार्म पाहण्याची आवश्यकता आहे त्याला प्रशासकीय प्रवेशाची आवश्यकता नाही. आवश्यक नसलेल्या परवानग्या दिल्याने सुरक्षा उल्लंघनाची शक्यता वाढते. वापरकर्ता अनवधानाने (किंवा हेतुपुरस्सर) अशा सेटिंग्ज बदलू शकतो ज्या त्यांनी बदलू नयेत.
• सिस्टम अॅडमिनिस्ट्रेटर खात्यांची किमान संभाव्य संख्या वापरा.
  जेव्हा अत्यंत आवश्यक असेल तेव्हाच सिस्टम अ‍ॅडमिनिस्ट्रेटरना परवानग्या द्या. या प्रकारचे खाते अत्यंत शक्तिशाली असते - ते प्रत्येक गोष्टीत पूर्ण प्रवेश देते. फक्त सिस्टम अ‍ॅडमिनिस्ट्रेटरलाच खात्यात प्रवेश असावा. सिस्टम अ‍ॅडमिनिस्ट्रेटरला दोन खाती देण्याचा विचार करा, एक दैनंदिन क्रियाकलाप व्यवस्थापित करण्यासाठी दैनंदिन प्रवेशासाठी आणि दुसरे उच्च स्तरीय अ‍ॅक्सेस खाते जे केवळ प्रशासनाच्या प्रकारात बदल आवश्यक असताना आवश्यक असते.

पासवर्ड
नायगारा सिस्टीम आणि अॅडव्हान्स्ड हनीवेल उत्पादने वापरणाऱ्या ऑपरेटिंग सिस्टीममध्ये 'वापरकर्त्यांना' सुपरवायझर, डिस्प्ले, टूल किंवा ऑपरेटिंग सिस्टीममध्ये प्रमाणीकृत करण्यासाठी पासवर्ड वापरतात. पासवर्ड योग्यरित्या हाताळणे विशेषतः महत्वाचे आहे. सुरक्षेच्या या सर्वात सुरुवातीच्या पातळीचा वापर न केल्याने कोणीही डिस्प्लेद्वारे सिस्टममध्ये प्रवेश करू शकेल, web क्लायंट किंवा पर्यवेक्षकाला समायोजन करण्याची परवानगी असेल. नायगारा सिस्टम वापरकर्त्याच्या प्रवेशासाठी योग्य पासवर्ड धोरणात कार्यरत आहे याची खात्री करा, या मार्गदर्शक तत्त्वात हे समाविष्ट असेल, परंतु इतकेच मर्यादित नाही:

• मजबूत पासवर्डचा वापर - मजबूत पासवर्ड वापरावेत. मजबूत पासवर्ड कशामुळे बनतो याबद्दल तपशीलांसाठी नवीनतम सुरक्षा मानके पहा.
• शिफारस केलेला पासवर्ड सायकल वेळ - काही नायगारा उत्पादने सिस्टम प्रशासकाला पासवर्ड बदलण्याचा कालावधी निर्दिष्ट करण्याची परवानगी देतात. जरी सध्या सर्व उत्पादने हा पासवर्ड बदलण्याचा कालावधी लागू करत नसली तरी साइट धोरण याची शिफारस करू शकते.
• पासवर्ड उघड करण्याचे नियम - वापरकर्त्याने हे सुनिश्चित केले पाहिजे की ते त्यांचे वापरकर्तानाव आणि पासवर्ड इतरांना उघड करणार नाहीत आणि ते लिहून ठेवू नयेत.

प्रगत वनस्पती नियंत्रक कॉन्फिगर करणे
प्रगत प्लांट कंट्रोलरच्या कॉन्फिगरेशनसाठी, इन्स्टॉलेशन सूचना आणि कमिशनिंग मार्गदर्शक पहा.
(३१-००५८४). HMI साठी HMI ड्रायव्हर गाइड (३१-००५९०) आणि IO मॉड्यूलसाठी पॅनेल बस ड्रायव्हर गाइड (३१-००५९१) पहा.

बेसलाइन कॉन्फिगरेशन तयार करा आणि देखभाल करा
सुरक्षेसाठी योग्यरित्या कॉन्फिगर केलेल्या प्रगत प्लांट कंट्रोलर कॉन्फिगरेशनची बेसलाइन तयार करा आणि देखभाल करा. या बेसलाइनमध्ये DCF देखील समाविष्ट आहे याची खात्री करा. files आणि नायगारा घटक. भविष्यात अनवधानाने लागू होऊ नये म्हणून बेसलाइनवर असुरक्षित कॉन्फिगरेशन करू नका. कॉन्फिगरेशन बदलल्यास कोणतेही संबंधित दस्तऐवजीकरण अपडेट करा.

 डीफॉल्ट पासवर्ड बदला
सर्व डीफॉल्ट पासवर्ड बदला: कन्सोल कॉन्फिगरेशन पासवर्ड, बॅकअप/रिस्टोअर/रीस्टार्ट/कंट्रोल पासवर्ड आणि नायगारा प्लॅटफॉर्म पासवर्ड. कमिशनिंग पूर्ण करताना, डिव्हाइस पासवर्ड संरक्षित असल्याची खात्री करा. साइट वापरकर्त्यांसाठी योग्य वापरकर्ता स्तर नियुक्त केले आहेत याची खात्री करा.

पुढील विचार

सेवा पातळी करार
सेवा पातळी कराराचा भाग म्हणून साइटवर स्थापित केलेल्या पायाभूत सुविधांसाठी योग्य अद्यतन धोरण स्वीकारा. या धोरणात खालील सिस्टम घटकांना नवीनतम आवृत्तीमध्ये अद्यतनित करणे समाविष्ट असले पाहिजे, परंतु ते इतकेच मर्यादित नाही:

• कंट्रोलर, आयओ मॉड्यूल्स, एचएमआय इत्यादींसाठी डिव्हाइस फर्मवेअर;
• पर्यवेक्षक सॉफ्टवेअर, जसे की अरेना एनएक्स सॉफ्टवेअर;
• संगणक / सर्व्हर ऑपरेटिंग सिस्टम;
• नेटवर्क इन्फ्रास्ट्रक्चर आणि कोणत्याही रिमोट अॅक्सेस सिस्टम.

आयटी नेटवर्क कॉन्फिगरेशन
ऑटोमेशन कंट्रोल सिस्टीम आणि ग्राहकांच्या कॉर्पोरेट आयटी नेटवर्कसाठी वेगळे आयटी नेटवर्क कॉन्फिगर करा. हे ग्राहकांच्या आयटी इन्फ्रास्ट्रक्चरमध्ये व्हीएलएएन (व्हर्च्युअल लॅन) कॉन्फिगर करून किंवा ऑटोमेशन कंट्रोल सिस्टीमसाठी समर्पित एअर-गॅप्ड वेगळे नेटवर्क इन्फ्रास्ट्रक्चर स्थापित करून साध्य केले जाऊ शकते.
केंद्रीकृत प्रणाली पर्यवेक्षक वापरून नियंत्रकांशी संवाद साधताना (उदा.ample: नायगारा) आणि जिथे सिस्टमला वैयक्तिक उपकरणांमध्ये थेट प्रवेशाची आवश्यकता नसते web सर्व्हर, नेटवर्क इन्फ्रास्ट्रक्चर प्रतिबंधित करण्यासाठी कॉन्फिगर केले पाहिजे web सर्व्हर प्रवेश.
MAC अॅड्रेस अॅलोकेशन वापरणारे डायनॅमिक VLAN सिस्टममध्ये डिव्हाइसच्या अनधिकृत कनेक्शनपासून संरक्षण करू शकतात आणि नेटवर्कवरील वैयक्तिक देखरेखीच्या माहितीशी संबंधित धोका कमी करू शकतात.

बीएएस फायरवॉल कॉन्फिगर करणे

खालील तक्त्यामध्ये अॅडव्हान्स्ड प्लांट कंट्रोलरमध्ये वापरल्या जाणाऱ्या नेटवर्क पोर्टचे वर्णन केले आहे. “सिस्टम ओव्हर” पहा.view”पृष्ठ ८ वर. माजी प्रेयसीसाठीampले इंस्टॉलेशन आर्किटेक्चर. टेबलमध्ये खालील स्तंभ आहेत:

• डीफॉल्ट पोर्ट आणि प्रोटोकॉल (TCP किंवा UDP)
• बंदराचा उद्देश
• डीफॉल्ट पोर्ट बदलण्याची आवश्यकता आहे की नाही
• बीएएस फायरवॉलद्वारे येणारे कनेक्शन किंवा ट्रॅफिकला परवानगी द्यावी की नाही
• अतिरिक्त नोट्स टेबलच्या खाली सूचीबद्ध आहेत.

तक्ता २ BAS फायरवॉल कॉन्फिगर करणे

डीफॉल्ट पोर्ट/प्रोटोकॉल	उद्देश	डीफॉल्टवरून बदलायचे?	BAS फायरवॉल द्वारे परवानगी द्यायची?	नोट्स
80 / टीसीपी	HTTP	नाही	नाही
443 / टीसीपी	HTTPs	नाही	कदाचित, जर web इंटरनेट/इंट्रानेट/कॉर्पोरेट नेटवर्कवरून प्रवेश आवश्यक आहे.	1
1911 / टीसीपी	फॉक्स (नायगारा अॅप्लिकेशन प्रोटोकॉलची सुरक्षित नसलेली आवृत्ती)	होय	नाही
4911 / टीसीपी	फॉक्स + एसएसएल (नायगारा अ‍ॅप्लिकेशन प्रोटोकॉलची सुरक्षित आवृत्ती)	होय	नाही
3011 / टीसीपी	नायगाराडी (नायगारा प्लॅटफॉर्म प्रोटोकॉलची सुरक्षित नसलेली आवृत्ती)	होय	नाही
5011 / टीसीपी	नायगाराडी + एसएसएल (नायगारा प्लॅटफॉर्म प्रोटोकॉलची सुरक्षित आवृत्ती)	होय	नाही
2601 / टीसीपी	झेब्रा कन्सोल पोर्ट	नाही	नाही	2
2602 / टीसीपी	RIP कन्सोल पोर्ट			2
47808/UDP	BACnet™/IP नेटवर्क कनेक्शन	होय	नाही	3

टीप

1. जर थेट रिमोट असेल तर web वापरकर्ता इंटरफेस समर्थित असल्यास, या पोर्टला BAS फायरवॉलद्वारे परवानगी देणे आवश्यक आहे.
2. या डिमनद्वारे पोर्ट स्वयंचलितपणे उघडला जातो आणि ही कार्यक्षमता अक्षम केली जाऊ शकत नाही. या पोर्टद्वारे कोणत्याही लॉगिनला परवानगी न देण्यासाठी डिमन कॉन्फिगर केले आहे.
3. या मॅन्युअलमध्ये नमूद केलेल्या नेटवर्क कॉन्फिगरेशन मार्गदर्शक तत्त्वांचे पालन करा जेणेकरून अॅडव्हान्स्ड प्लांट कंट्रोलरला कधीही BAS फायरवॉलमधून UDP ट्रॅफिक पास करण्याची आवश्यकता भासणार नाही.

प्रमाणीकरण सेट करणे

गुगल ऑथेंटिकेशन स्कीम ही एक द्वि-घटक ऑथेंटिकेशन यंत्रणा आहे ज्यामध्ये वापरकर्त्याला स्टेशनवर लॉग इन करताना त्याचा पासवर्ड तसेच एकल-वापर टोकन प्रविष्ट करणे आवश्यक आहे. हे वापरकर्त्याच्या खात्याचे संरक्षण करते जरी त्याचा पासवर्ड धोक्यात आला असला तरीही.
ही प्रमाणीकरण योजना वापरकर्त्याच्या मोबाइल डिव्हाइसवरील TOTP (वेळ-आधारित वनटाइम पासवर्ड) आणि एकल-वापर प्रमाणीकरण टोकन जनरेट करण्यासाठी आणि सत्यापित करण्यासाठी Google प्रमाणीकरणकर्ता अॅपवर अवलंबून असते. Google प्रमाणीकरण वेळ-आधारित आहे, म्हणून वापरकर्त्याच्या मोबाइल डिव्हाइस, स्टेशन किंवा बाह्य सर्व्हरमधील नेटवर्क संप्रेषणावर कोणतेही अवलंबित्व नाही. प्रमाणीकरणकर्ता वेळ-आधारित असल्याने, स्टेशनमधील वेळ आणि फोनमधील वेळ तुलनेने समक्रमित असणे आवश्यक आहे. घड्याळातील विकृती लक्षात घेण्यासाठी अॅप अधिक किंवा उणे 1.5 मिनिटांचा बफर प्रदान करते.
पूर्व-आवश्यकता: वापरकर्त्याच्या मोबाइल फोनला Google प्रमाणीकरण अॅप आवश्यक आहे. तुम्ही वर्कबेंचमध्ये काम करत आहात. वापरकर्ता स्टेशन डेटाबेसमध्ये अस्तित्वात आहे.

कार्यपद्धती

1. गॉथ पॅलेट उघडा आणि नेव्ह ट्रीमधील सेवा > प्रमाणीकरण सेवा नोडमध्ये Google प्रमाणीकरण योजना जोडा.
2. Userservice वर राईट-क्लिक करा आणि टेबलमधील user वर डबल-क्लिक करा. Edit view वापरकर्ता उघडेल.
3. ऑथेंटिकेशन स्कीम नेम प्रॉपर्टी GoogleAuthenticationScheme मध्ये कॉन्फिगर करा आणि सेव्ह वर क्लिक करा.
4. वापरकर्त्याच्या ऑथेंटिकेटरखालील गुप्त की च्या पुढील बटणावर क्लिक करा आणि सूचनांचे अनुसरण करा.
5. कॉन्फिगरेशन पूर्ण करण्यासाठी, सेव्ह वर क्लिक करा. यावर अवलंबून view तुम्ही वापरत असाल, तर तुम्हाला पुन्हा वापरकर्ता उघडावा लागेल किंवा सेव्ह केल्यानंतर रिफ्रेश करावा लागेल.

प्रणाली वितरण
या विभागात अशी माहिती आहे जी तुम्ही सिस्टम मालकाला BAS वितरित करताना प्रदान करावी.

• सुरक्षा माहिती, कॉन्फिगरेशन सेटिंग्ज, प्रशासन वापरकर्तानावे आणि पासवर्ड, आपत्ती आणि पुनर्प्राप्ती योजना आणि बॅकअप आणि पुनर्संचयित प्रक्रियांचा समावेश असलेले दस्तऐवजीकरण.
• सुरक्षा देखभाल कार्यांवर अंतिम वापरकर्त्यांना प्रशिक्षण.

यूएसबी बॅकअप आणि क्लायंडिस्ट FILE इन्स्टॉलेशन
वापरकर्त्याने कंट्रोलर झिप आणि अनझिप करण्यासाठी वापरला जाणारा पासफ्रेज संरक्षित केला पाहिजे. बॅकअप किंवा रिस्टोअर प्रक्रियेदरम्यान पासफ्रेज आणि कंट्रोलर क्रेडेन्शियल्स शेअर करणे टाळा.
यूएसबी बॅकअप आणि क्लीनडिस्ट file इन्स्टॉलेशनची माहिती इन्स्टॉलेशन इंस्ट्रक्शन अँड कमिशनिंग गाइड - ३१-००५८४ मध्ये मिळू शकते.

सिस्टीम डिकमिशनिंग
सेवेबाहेर काढल्या जाणाऱ्या युनिट्समधून संवेदनशील डेटा मिटवला पाहिजे आणि हे फॅक्टरी रीसेट करून करता येते. सर्व्हिस बटण/सर्व्हिस अलार्म एलईडी आणि क्लीनडिस्ट पहा. file इन्स्टॉलेशन सूचना आणि कमिशनिंग मार्गदर्शक - 31-00584 वरून इन्स्टॉलेशन.

टीप
द क्लीनडिस्ट file क्लीन४ स्थापित करून फॅक्टरी सेट प्रक्रिया करता येते file.

नायगारा आधारित उत्पादनांची प्रगत सुरक्षा
नायगारा N4 आणि नायगारा AX फ्रेमवर्कवर आधारित अॅडव्हान्स्ड हनीवेल उत्पादनांसाठी (उदा. अॅडव्हान्स्ड प्लांट कंट्रोलर, HMI आणि IO मॉड्यूल), तुम्ही नायगारा फ्रेमवर्क सुरक्षित करण्यासाठी ट्रिडियमच्या सल्ल्याचे पालन केले पाहिजे.
अॅडव्हान्स्ड हनीवेल उत्पादनांची सुरक्षितता जास्तीत जास्त वाढवण्यासाठी नायगारामध्ये अनेक कॉन्फिगरेशन बदल केले जाऊ शकतात.

• पासवर्ड स्ट्रेंथ फीचर वापरा
• खाते लॉकआउट वैशिष्ट्य सक्षम करा
• कालबाह्य पासवर्ड
• पासवर्ड इतिहास वापरा
• पासवर्ड रिसेट वैशिष्ट्य वापरा
• "या क्रेडेन्शियल्स लक्षात ठेवा" बॉक्स अनचेक ठेवा.
• डीफॉल्ट सिस्टम पासफ्रेज बदला
• सिस्टम पासफ्रेज सेट करण्यासाठी TLS वापरा
• एक मजबूत सिस्टम पासफ्रेज निवडा
• सिस्टम पासफ्रेज संरक्षित करा
• प्लॅटफॉर्म मालकाला सिस्टम पासफ्रेज माहित आहे याची खात्री करा.
• प्रत्येक प्लॅटफॉर्म वापरकर्त्यासाठी वेगळे खाते वापरा
• प्रत्येक प्रकल्पासाठी अद्वितीय खाते नावे वापरा
• प्लॅटफॉर्म मालकाला प्लॅटफॉर्म क्रेडेन्शियल्स माहित आहेत याची खात्री करा.
• प्रत्येक स्टेशन वापरकर्त्यासाठी वेगळे खाते वापरा
• प्रत्येक प्रकल्पासाठी अद्वितीय सेवा प्रकार खाती वापरा
• शक्य असेल तेव्हा ज्ञात खाती अक्षम करा
• स्वयंचलितपणे कालबाह्य होण्यासाठी तात्पुरती खाती सेट करा
• सिस्टम प्रकार खाते क्रेडेन्शियल्स बदला
• योग्य असेल तेव्हा समवर्ती सत्रांना परवानगी देऊ नका
• किमान आवश्यक परवानग्यांसह भूमिका कॉन्फिगर करा
• वापरकर्त्यांना किमान आवश्यक भूमिका नियुक्त करा
• सुपर युजर्सची किमान संभाव्य संख्या वापरा
• प्रोग्राम ऑब्जेक्ट्ससाठी सुपर युजर परवानग्या आवश्यक आहेत
• बाह्य खात्यांसाठी किमान आवश्यक परवानग्या वापरा
• खात्याच्या प्रकारासाठी योग्य असलेली प्रमाणीकरण योजना वापरा.
• अनावश्यक प्रमाणीकरण योजना काढून टाका
• TLS आणि प्रमाणपत्र व्यवस्थापन
• मॉड्यूल स्थापना
• स्वाक्षरीकृत प्रोग्राम ऑब्जेक्ट्स आणि रोबोट्स आवश्यक आहेत
• SSH आणि SFTP अक्षम करा
• अनावश्यक सेवा अक्षम करा
• आवश्यक सेवा सुरक्षितपणे कॉन्फिगर करा
• नायगारा ४ ला नवीनतम रिलीझमध्ये अपडेट करा
• सुरक्षित ठिकाणी उत्पादन स्थापित करा
• स्टेशन VPN च्या मागे आहेत याची खात्री करा.
• सिस्टम शक्य तितक्या सुरक्षितपणे लॉक केली आहे याची खात्री करण्यासाठी विशिष्ट तांत्रिक प्रकाशने उपलब्ध आहेत जी पाळली पाहिजेत. SSL एन्क्रिप्शन आणि प्रोग्राम मॉड्यूल्स सारख्या घटकांचे संरक्षण करण्यासाठी अतिरिक्त पायऱ्या असे अनेक पर्याय अस्तित्वात आहेत, अधिक माहितीसाठी ट्रायडियम पहा. webनायगारा ४ हार्डनिंग गाइड (नायगारा एन४ आधारित उत्पादनांसाठी) आणि नायगारा हार्डनिंग गाइड (नायगारा एएक्स आधारित उत्पादने) साठी साइट.

या दस्तऐवजामधील सामग्री केवळ माहितीच्या उद्देशाने आहे. वर्णन केलेली सामग्री आणि उत्पादन सूचना न देता बदलू शकतात. हनीवेल या दस्तऐवजाच्या संदर्भात कोणतेही प्रतिनिधित्व किंवा हमी देत ​​नाही. कोणत्याही परिस्थितीत हनीवेल तांत्रिक किंवा संपादकीय वगळण्यासाठी किंवा या दस्तऐवजामधील चुकांसाठी जबाबदार राहणार नाही, किंवा या दस्तऐवजाच्या वापरामुळे उद्भवलेल्या किंवा संबंधित कोणत्याही नुकसानीसाठी, थेट किंवा प्रासंगिकपणे जबाबदार राहणार नाही. या दस्तऐवजाचा कोणताही भाग हनीवेलच्या पूर्व लेखी परवानगीशिवाय कोणत्याही स्वरूपात किंवा कोणत्याही प्रकारे पुनरुत्पादित केला जाऊ शकत नाही.
हनीवेल | बिल्डिंग ऑटोमेशन

715 पीचट्री स्ट्रीट, NE,

• अटलांटा, जॉर्जिया, 30308, युनायटेड स्टेट्स.
• https://buildings.honeywell.com/us/en
• ® यूएस नोंदणीकृत ट्रेडमार्क
• ©२०२४ हनीवेल इंटरनॅशनल इंक. ३१-००५९४-०३ रेव्ह. १२-२४

इन्स्टॉलेशन सिक्युरिटी चेकलिस्ट

• प्रगत प्लांट कंट्रोलर डिव्हाइस इन्स्टन्स: _____________________________________________________________
• प्रगत वनस्पती नियंत्रक वर्णन: ________________________________________________________________
• प्रगत वनस्पती नियंत्रक स्थान: ______________________________________________________________________
• इंस्टॉलर:______________________________________________________
• तारीख: ____________________________________

प्रत्येक स्थापित केलेल्या प्रगत वनस्पती नियंत्रकासाठी खालील सुरक्षा कार्ये पूर्ण करा.

• अॅडव्हान्स्ड प्लांट कंट्रोलर आणि बाह्य नेटवर्कमध्ये फायरवॉल स्थापित करा. पृष्ठ १९ वर “BACnet आणि नायगारा” पहा.
• प्रगत वनस्पती नियंत्रक भौतिकदृष्ट्या सुरक्षित करा. पृष्ठ २२ वरील “प्रगत वनस्पती नियंत्रक, HMI आणि IO मॉड्यूल भौतिकदृष्ट्या सुरक्षित करा” पहा.
• खालील प्रत्येकासाठी डीफॉल्ट पासवर्ड एका अद्वितीय पासवर्डमध्ये बदला: कन्सोल कॉन्फिगरेशन, बॅकअप/रिस्टोअर/रीस्टार्ट/कंट्रोल आणि नायगारा प्लॅटफॉर्म. इन्स्टॉलेशन सूचना आणि कमिशनिंग मार्गदर्शक पहा – 31-00584
• जर ए web सर्व्हरची आवश्यकता आहे, नंतर तो फक्त HTTPS मोडमध्ये ऑपरेट करण्यासाठी कॉन्फिगर करा. इन्स्टॉलेशन सूचना आणि कमिशनिंग मार्गदर्शक पहा – 31-00584

Web सर्व्हर स्थिती: अक्षम / सक्षम.
If web सेवा सक्षम केली आहे, खालील गोष्टी पूर्ण करा:

• Http सक्षम = खोटे सेट करा.
• सेट करा Https सक्षम = खरे.
• फक्त Https सेट करा = खरे.
• BAS फायरवॉल कॉन्फिगर करा. पृष्ठ २६ वरील “BAS फायरवॉल कॉन्फिगर करणे” पहा.
• डिलिव्हरीच्या वेळी BAS सिस्टम मालकाला सर्व आवश्यक डेटा द्या. पृष्ठ २७ वरील “सेट अप ऑथेंटिकेशन” पहा.

वारंवार विचारले जाणारे प्रश्न

• प्रगत नियंत्रक सुरक्षित करणे का महत्त्वाचे आहे?
  कंट्रोलर सुरक्षित केल्याने अनधिकृत प्रवेश रोखण्यास मदत होते, संवेदनशील डेटाचे संरक्षण होते आणि सिस्टमची विश्वासार्हता सुनिश्चित होते.
• मी माझा पासवर्ड कसा पुनर्प्राप्त करू शकतो?
  तुमचा पासवर्ड रिकव्हर करण्यासाठी, मॅन्युअलमध्ये वर्णन केलेल्या पासवर्ड रिकव्हरी प्रक्रियेचे अनुसरण करा. यामध्ये सामान्यतः तुमच्या खात्याची माहिती पडताळणे समाविष्ट असते.

कागदपत्रे / संसाधने

हनीवेल ऑप्टिमायझर अॅडव्हान्स्ड कंट्रोलर [pdf] वापरकर्ता मॅन्युअल ३१-००५९४-०३, ऑप्टिमायझर अॅडव्हान्स्ड कंट्रोलर, अॅडव्हान्स्ड कंट्रोलर, कंट्रोलर

संदर्भ

• वापरकर्ता मॅन्युअल