BANNER SC26-2 Öryggisstýringar Örugg uppsetning notendahandbók
BANNER SC26-2 Öryggisstýringar Örugg uppsetning

Innihald fela sig
1 Um þessa handbók
2 Inngangur
3 Hvað er öryggi?
4 Ég er með Firewall. Er það ekki nóg?
5 Hvað er vörn í dýpt?
6 Almennar ráðleggingar
7 Gátlisti
8 Samskiptakröfur
9 Stuðlar samskiptareglur
10 USB samskiptareglur
11 XS/SC26-2 Umsóknarbókun
12 XS/SC26-2 Discovery Protocol
13 Ethernet netþjónar
14 Ethernet eldvegg stillingar
15 Samskiptareglur á lægra stigi
16 Samskiptareglur um forritslag
17 Öryggisgeta
18 Möguleiki eftir vöru
19 Aðgangsstýring og heimild
20 Heimildarrammi
21 Að tilgreina aðgangsrétt
22 Fullnustu
23 Lykilorð/PIN-stjórnun
24 Samskiptareglur
25 Skráning og endurskoðun
26 Stillingar herða
27 Öryggisstjórnandi
28 USB tengi, viðmót um borð og líkamlegur aðgangur
29 Ethernet tengi
30 Netarkitektúr og örugg uppsetning
31 Tilvísunararkitektúr
32 Fjaraðgangur og afvopnuð svæði (DMZ)
33 Aðgangur að ferlistýringarnetum
34 Önnur atriði
35 Stillingarstjórnun
36 Samskipti í rauntíma
37 Viðbótarleiðbeiningar
38 Hafðu samband
39 Skjöl / auðlindir
39.1 Heimildir

Um þessa handbók

Þetta skjal veitir upplýsingar til að bæta netöryggi kerfa sem innihalda XS/SC26-2 öryggisstýringar. Það er ætlað til notkunar fyrir stjórnunarverkfræðinga, samþættingaraðila, upplýsingatæknifræðinga og þróunaraðila sem bera ábyrgð á uppsetningu og uppsetningu XS/SC26-2 öryggisstýringa.

Inngangur

Þessi hluti kynnir grundvallaratriði öryggis og öruggrar dreifingar.

Hvað er öryggi?

Öryggi er ferlið við að viðhalda trúnaði, heilindum og aðgengi kerfis

  • Trúnaður: Gakktu úr skugga um að aðeins fólkið sem þú vilt sjá upplýsingar geti séð þær
  • Heiðarleiki: Gakktu úr skugga um að gögnin séu eins og þau eiga að vera
  • Framboð: Gakktu úr skugga um að kerfið eða gögnin séu tiltæk til notkunar

Banner viðurkennir mikilvægi þess að smíða og nota vörur með þessi hugtök í huga og hvetur
viðskiptavinum að gæta viðeigandi varúðar við að tryggja Banner Safety vörur sínar og lausnir.

ATH: Þegar veikleikar í Banner Safety vöru eru uppgötvaðir og lagaðir eru gefin út öryggisráðgjöf til að lýsa hverjum veikleika í tiltekinni vöruútgáfu, sem og útgáfunni þar sem varnarleysið var lagað. Öryggisráðgjöf um borði öryggisvara er fáanleg á: bannerengineering.com/support/tech-help/PSIRT.

Ég er með Firewall. Er það ekki nóg?

Eldveggir og aðrar netöryggisvörur, þar á meðal gagnadíóða og innbrotsvarnarkerfi (IPS), geta verið mikilvægur þáttur í hvaða öryggisstefnu sem er. Hins vegar er stefna sem byggir eingöngu á einhverju einstöku öryggiskerfi ekki eins seigur og sú sem inniheldur mörg, sjálfstæð öryggislög.

Þess vegna mælir Banner Safety með því að nota „Defense in Depth“ nálgun í öryggismálum.

Hvað er vörn í dýpt?

Djúpvörn er hugmyndin um að nota mörg, sjálfstæð öryggislög til að hækka kostnað og flókið árangursríka árás. Til að framkvæma árangursríka árás á kerfi þyrfti árásarmaður að finna ekki bara einn veikleika sem hægt er að nýta heldur einnig að nýta sér veikleika í hverju varnarlagi sem verndar eign.

Til dæmisample, ef kerfi er varið vegna þess að það er á neti sem varið er af eldvegg, þarf árásarmaðurinn aðeins að sniðganga eldvegginn til að fá óviðkomandi aðgang. Hins vegar, ef það er til viðbótar varnarlag, eins og krafa um auðkenningu notandanafns/lykilorðs, þarf árásarmaðurinn að finna leið til að sniðganga bæði eldvegginn og auðkenningu notandanafns/lykilorðs.

Almennar ráðleggingar

Notaðu eftirfarandi öryggisvenjur þegar þú notar Banner Safety vörur og lausnir.

  • Öryggisstýringarnar sem fjallað er um í þessu skjali voru ekki hannaðar fyrir eða ætlaðar til að tengjast beint við hvaða netkerfi sem er, þar með talið, en ekki takmarkað við, fyrirtækjanet eða internetið í heild. Viðbótar beinar og eldveggir (eins og þeir sem sýndir eru í "Tilvísunararkitektúr“ á síðu 18) sem hafa verið stillt með aðgangsreglum sem eru sérsniðnar að sérstökum þörfum síðunnar verður að nota til að fá aðgang að tækjum sem lýst er í þessu skjali utan staðbundinna stjórnunarneta. Ef eftirlitskerfi krefst ytri tengingar skaltu gæta þess að stjórna, takmarka og fylgjast með öllum aðgangi, með því að nota tdample, sýndar einkanet (VPN) eða Demilitarized Zone (DMZ) arkitektúr.
  • Hertu kerfisstillingar með því að virkja/nota tiltæka öryggiseiginleika og með því að slökkva á óþarfa höfnum, þjónustu, virkni og netkerfi file hlutabréf.
  • Notaðu allar nýjustu öryggisuppfærslur Banner Safety vara, öryggisupplýsingastjórnun (SIM) og aðrar ráðleggingar.
  • Notaðu alla nýjustu öryggisplástra stýrikerfisins til að stjórna kerfistölvum.
  • Notaðu vírusvarnarhugbúnað á tölvum stjórnkerfa og haltu tilheyrandi vírusvarnarundirskriftum uppfærðum.
  • Notaðu hugbúnað fyrir hvítlista á tölvum stjórnkerfa og haltu m
  • hitelist uppfærður.

Gátlisti

Þessi hluti veitir semampgátlisti til að hjálpa til við að leiðbeina ferlinu við að koma XS/SC26-2 öryggisstýringum á öruggan hátt.

  1. Búðu til eða finndu netskýringarmynd.
  2. Þekkja og skrá nauðsynlegar samskiptaleiðir milli hnúta.
  3. Þekkja og skrá samskiptareglur sem krafist er meðfram hverri leið, þar á meðal hlutverk hvers hnúts. (Sjá „Samskiptakröfur“ á síðu 7.)
  4. Endurskoðaðu netið eftir þörfum til að tryggja viðeigandi skiptingu, bæta við eldveggjum eða öðrum netöryggistækjum eftir því sem við á. Uppfærðu netskýringuna. (Sjá „Netkerfisarkitektúr og örugg uppsetning“ á blaðsíðu 18.)
  5. Stilltu eldveggi og önnur netöryggistæki. (Sjá „Stilling Ethernet eldveggs“ á blaðsíðu 9 og „Netkerfisarkitektúr og örugg uppsetning“ á síðu 18.)
  6. Virkjaðu og/eða stilltu viðeigandi öryggiseiginleika á hverjum XS/SC26-2 öryggisstýringu. (Sjá „Öryggi
    Hæfni“ á síðu 11.)
  7. Á hverjum XS/SC26-2 öryggisstýringu skaltu stilla öll studd lykilorð á sterkt gildi. (Sjá „Lykilorð/PIN
    Stjórnun“ á síðu 13.)
  8. Hertu uppsetningu hvers XS/SC26-2 öryggisstýringar, slökktu á óþarfa eiginleikum, samskiptareglum og tengi.
    (Sjá „Herðing á stillingum“ á blaðsíðu 15.)
  9. Prófaðu / hæfðu kerfið.
  10. Búðu til uppfærslu/viðhaldsáætlun.

ATH: Örugg uppsetning er aðeins einn hluti af öflugu öryggisforriti. Þetta skjal, þar á meðal þessi gátlisti, takmarkast við að veita aðeins örugga uppsetningu leiðbeiningar. Fyrir frekari upplýsingar um öryggisforrit almennt, sjá “Viðbótarleiðbeiningar“ á síðu 21.

Samskiptakröfur

Samskipti milli mismunandi hluta stjórnkerfis eru og verða að vera studd. Hins vegar er hægt að auka öryggi eftirlitskerfis með því að takmarka leyfðar samskiptareglur og slóðirnar sem þær eru leyfðar yfir við aðeins það sem þarf.

Þetta er hægt að ná með því að slökkva á öllum samskiptareglum sem ekki er þörf á á tilteknu tæki og með því að nota viðeigandi uppsett og uppsett netöryggistæki (td.ample, eldveggi og beinar) til að loka fyrir allar samskiptareglur (hvort sem þær eru óvirkar eða ekki) sem þurfa ekki að fara frá einu neti/hluta til annars.

Banner Safety mælir með því að takmarka samskiptareglur sem netuppbyggingin leyfir við lágmarkssettið sem krafist er fyrir fyrirhugaða notkun. Að gera þetta með góðum árangri krefst þess að vita hvaða samskiptareglur eru nauðsynlegar fyrir hverja samskipti á kerfisstigi.

Þessi hluti lýsir því hvernig studdar rað- og Ethernet-samskiptareglur eru notaðar af öryggisstýringum fyrir borði og gefur til kynna hlutverk hvers þátttakanda í samskiptum. Hér er ekki fjallað um Ethernet-samskiptareglur á lægra stigi en þess í stað er gert ráð fyrir að þær séu studdar þegar þörf krefur af samskiptareglum forritsins.

Notkun þessara upplýsinga er ætlað að leiðbeina forskrift netarkitektúrsins og til að hjálpa til við að stilla eldveggi innan þess nets, til að styðja aðeins nauðsynlegar samskiptaleiðir fyrir hverja tiltekna uppsetningu.

Stuðlar samskiptareglur

Ethernet samskiptareglur

Eftirfarandi tafla sýnir hvaða Ethernet samskiptareglur eru studdar Banner XS/SC26-2 öryggisstýringar. Athugaðu að sumar studdu samskiptareglurnar eru hugsanlega ekki nauðsynlegar í tilteknu kerfi, vegna þess að uppsetningin gæti aðeins notast við undirmengi tiltækra samskiptareglna.
Tafla 1. Stuðlar Ethernet-samskiptareglur

Bókun XS/SC26-2
Tengill ARP x
Internet IPv4 x
IGMP x
ICMP x
Flutningur TCP x
UDP x
Umsókn Modbus TCP®(1) x
Ethernet/IP™(2) x
  1. Modbus® er skráð vörumerki Schneider Electric USA, Inc.
  2. EtherNet/IP™ er vörumerki ODVA, Inc.

Framhald af bls. 7

Bókun XS/SC26-2
PROFINET®(1) x
TLS 1.2 x

USB samskiptareglur

Auk Ethernet samskipta styðja XS/SC26-2 öryggisstýringar samskipti um beina USB tengingu.
Tafla 2. USB-samskiptareglur studdar

Bókun XS/SC26-2
Umsókn USB-samskiptatækjaflokkur (CDC) með forritssértækum reklum x

XS/SC26-2 Umsóknarbókun

XS/SC26-2 umsóknarsamskiptareglur eru sérsamskiptareglur sem veita aðgang að þjónustu sem studd er af XS/
SC26-2 öryggisstýringar. Þetta er eina samskiptareglan sem notuð er af Banner Safety Controller hugbúnaðinum þegar samskipti eru við XS/SC26-2 öryggisstýringu.

XS/SC26-2 Umsóknarsamskiptareglur styður margar mismunandi aðgerðir, þar á meðal eftirfarandi:

  • Hladdu upp / hlaða niður staðfestri stillingu
  • Staðfestu nýja stillingu
  • Endurstilltu öryggisstýringuna í verksmiðjustillingar
  • Virkjaðu og stilltu netviðmót
  • Fylgstu með lifandi forritinu
  • Stilltu notendaaðgang og lykilorð öryggisstýringarinnar
  • View og hreinsa (valfrjálst) skrá yfir allar bilanir sem hafa átt sér stað í stjórnandanum
  • Endurstilltu öryggisstýringuna í verksmiðjustillingar
  • View stillingaskránni

XS/SC26-2 forritabókunin er flutt um beina USB 2.0 CDC tengingu með því að nota venjulega USB 2.0-samhæfða snúru eða yfir Ethernet TLS 1.2 tengingu.

XS/SC26-2 Discovery Protocol

XS/SC26-2 Discovery samskiptareglur eru sérsamskiptareglur sem gerir Banner Safety Controller hugbúnaðinum kleift að finna XS/SC26-2 öryggisstýringar á staðarnetinu innan öryggissvæðis. XS/SC26-2 Discovery Protocol er byggt á UDP útsendingum. Þar sem Discovery Protocol er byggt á UDP útsendingum verður hún ekki tiltæk utan öryggissvæðis eða staðarnets sem stjórnandinn er tengdur við. Uppgötvunarsamskiptareglur eru heldur ekki tiltækar á VLAN.

Ethernet netþjónar

Þessi hluti dregur saman tiltæka Ethernet-samskiptamiðaða virkni, þar sem samskipti eru hafin af einhverju öðru tæki eða tölvu.
Tafla 3. XS/SC26-2 miðlarahæfileikar

Virkni Nauðsynlegar umsóknarreglur Example Viðskiptavinir
Ethernet PROFINET PROFINET Aðrir stýringar

Framhald af bls. 8

Virkni Nauðsynlegar umsóknarreglur Example Viðskiptavinir
Modbus TCP Server ModBus TCP Aðrir stýringar
Ethernet/IP Ethernet/IP Aðrir stýringar
Live Mode og Remote Configuration Server XS/SC26-2 Umsóknarbókun Banner Safety Controller Software (PCI)
Uppgötvunarþjónn XS/SC26-2 Discovery Protocol Banner Safety Controller Software (PCI)

Ethernet eldvegg stillingar

Stilltu nettengda og hýsiltengda eldveggi til að leyfa aðeins væntanlega og nauðsynlega netumferð.

Þessi hluti auðkennir EtherTypes og TCP/UDP tengin sem notuð eru af samskiptareglum sem studdar eru á XS/SC26-2 öryggisstýringum.

Notaðu þessar upplýsingar til að hjálpa til við að stilla neteldveggi til að styðja aðeins nauðsynlegar samskiptaleiðir fyrir tiltekna uppsetningu.

Samskiptareglur á lægra stigi

Ethernet samskiptum er venjulega lýst með því að nota fjögur lög, hvert með sitt eigið sett af samskiptareglum. Efst í því stigveldi er forritalagið. Fyrir neðan forritalagið eru flutnings-, internet- og hlekkjalögin.

Upplýsingar um studdar samskiptareglur frá þessum þremur neðri lögum eru teknar saman í eftirfarandi töflum
Tafla 4. Link Layer Protocols

Bókun Eter Tegund
Address Resolution Protocol (ARP) 0 × 0806
PROFINET 0 × 8892

Tafla 5. Internet Layer Protocols

Bókun EtherType IP bókun #
Internet Protocol útgáfa 4 (IPv4) 0 × 0800 (n/a)
Internet Control Message Protocol (ICMP) 0 × 0800 1
Internet Group Management Protocol (IGMP) 0 × 0800 2

Tafla 6. Samskiptareglur um flutningslag

Bókun EtherType IP bókun #
Transmission Control Protocol (TCP) 0 × 0800 6
Notandi Datagram siðareglur (UDP) 0 × 0800 17

Hver af þessum samskiptareglum á lægra stigi er krafist af einni eða fleiri af forritasamskiptareglum sem studdar eru á XS/SC26-2 öryggisstýringum.

Samskiptareglur um forritslag

Eftirfarandi tafla sýnir TCP og UDP gáttanúmer fyrir samskiptareglur forritslaga sem studdar eru af XS/SC26-2 öryggisstýringum.
Tafla 7. Umsóknarlagsreglur

Bókun TCP höfn UDP höfn XS/SC26-2
ModBus TCP 502 x
PROFINET 3496449152 x
ETHERNET/IP 44818 222244818 x
XS/SC26-2 Umsóknarbókun 63753 x
XS/SC26-2 Discovery Protocol 63754 x

Öryggisgeta

Þessi hluti lýsir getu og öryggiseiginleikum XS/SC26-2 öryggisstýringarinnar. Notaðu getu og öryggiseiginleika sem hluta af ítarlegri varnarstefnu til að tryggja eftirlitskerfið þitt.

Möguleiki eftir vöru

Þessi hluti veitir samantekt view af studdum öryggismöguleikum.
Tafla 8. Öryggisgeta

Öryggisgeta XS/SC26-2
Forskilgreint sett af viðfangsefnum og aðgangsréttindum x
Aðgangsstýringarlisti x

Aðgangsstýring og heimild

Þessi hluti lýsir aðgangsstýringarmöguleikum sem XS/SC26-2 öryggisstýringar styðja, sem felur í sér heimildarmöguleika þess.

Aðgangsstýringarferlinu má skipta í tvo áfanga:

  1. Skilgreining – Tilgreina aðgangsrétt fyrir hvert viðfangsefni (vísað til sem heimild)
  2. Fullnustu – Samþykkja eða hafna aðgangsbeiðni

Heimildarrammi

Að skilgreina aðgangsrétt hvers efnis felur í sér að kerfið verður að hafa einhverja úrræði til að auðkenna hvert viðfangsefni. Þekktasta leiðin til að ná þessu er með því að úthluta einstökum notandaauðkenni fyrir hvern einstakling sem mun fá aðgang að kerfinu.

XS/SC26-2 öryggisstýringar bjóða hins vegar ekki upp á slíka aðstöðu – það er enginn stuðningur við að búa til fleiri notendaauðkenni. Notandaauðkenni þarf ekki einu sinni að vera tilgreint til að auðkenna. Í þessu tilviki er heimild byggð á virkninni sem er notuð og lykilorðinu sem er gefið upp fyrir auðkenningu. Hins vegar skilgreina auðkenningareiginleikarnir sem studdir eru á XS/SC26-2 öryggisstýringum óbeint fast sett af viðfangsefnum, sem eru auðkennd hér.

Viðfangsefnin sem eru skilgreind og studd af XS/SC2 6-2 Safety Controllers miðlarasamskiptareglum eru sýnd í eftirfarandi töflu.
Tafla 9. Viðfangsefni í boði á XS/SC26-2 öryggisstýringum

Virkni Umsóknarbókun Viðfangsefni í boði
USB Beiðnir um stillingar og eftirlit í beinni USB forrit Nafnlaus
Notandi 1
Notandi 2
Notandi 3

Framhald af bls. 11

Virkni Umsóknarbókun Viðfangsefni í boði
Ethernet Lifandi eftirlitsbeiðnir XS/SC26-2 Umsóknarbókun Nafnlaus
Notandi 1
Notandi 2
Notandi 3
Stillingarbeiðnir XS/SC26-2 Umsóknarbókun Notandi 1
Notandi 2
Notandi 3

Að tilgreina aðgangsrétt

Fyrir hvert viðfangsefni veita XS/SC26-2 öryggisstýringar fyrirfram skilgreindan aðgangsrétt. Í sumum tilfellum er hægt að takmarka aðgangsréttinn að hluta, en í öðrum tilfellum er annað hvort ekki hægt að breyta þeim eða aðeins afturkalla með því að slökkva á tilheyrandi miðlara/samskiptareglum.
Tafla 11. Aðgangsréttur á XS/SC26-2 öryggisstýringum

Virkni Umsóknarbókun Viðfangsefni í boði
Ethernet PROFINET Server PROFINET Nafnlaus
Modbus TCP Server ModBus TCP Nafnlaus
ETHERNET/IP netþjónn Ethernet/IP Nafnlaus

Lykill:
A = Aðgangsstýring
R = Lestu
W = Skrifaðu
D = Eyða/hreinsa

Notandi 1 hefur getu til að banna hvaða efni sem er að lesa eða skrifa forritastillingar og/eða netstillingar. Aðeins notandi 1 getur endurstillt stjórnandi í verksmiðjustillingar

Fullnustu

XS/SC26-2 öryggisstýringin framfylgir aðgangsrétti gagna og þjónustu sem hann veitir. XS/
SC26-2 öryggisstýringur tryggir að aðeins notandi með aðgangsrétt til að skrifa forritastillingu geti uppfært forrita- og netstillingar.

Líkamlegur aðgangur: XS/SC26-2 öryggisstýringin krefst líkamlegs aðgangs eða netaðgangs að stjórnandanum til að breyta uppsetningu forritsins, rökfræði forritsins og/eða hnekkja/krafta forritsgagna. Til að tryggja öryggisstýringuna skaltu takmarka líkamlegan aðgang að honum með því að setja stjórnandann í öruggu líkamlegu umhverfi, svo sem læstan skáp.

Lykilorð/PIN-stjórnun

XS/SC26-2 öryggisstýringin hefur sett af fyrirfram skilgreindum viðfangsefnum. Lykilorðin fyrir hvert viðfangsefni verða að vera sérstaklega stjórnað. Banner Safety Controller hugbúnaðurinn framfylgir einstökum lykilorðum fyrir hvert viðfangsefni.
XS/SC26-2 öryggisstýringin krefst PIN-númers sem er 4 tölustafir fyrir USB aðgang.

Fyrir Ethernet-aðgang þarf XS/SC26-2 öryggisstýring lykilorð sem er á milli 8 og 31 stafur að lengd. Lykilorðið verður að innihalda blöndu af eftirfarandi:

  • Stórir stafir
  • Lágstafir
  • Að minnsta kosti eitt númer
  • Að minnsta kosti einn sérstakur

Að auki verða öll lykilorð innan eins öryggisstýringar að vera einstök fyrir notanda 1, notanda 2 og notanda 3.

Öllum þessum takmörkunum er framfylgt af stjórnandi og Banner Safety Controller hugbúnaðinum þegar þeir eru notaðir yfir Ethernet.

Banner Safety mælir eindregið með því að nota flókin lykilorð hvar sem lykilorð eru notuð til auðkenningar.
Tafla 12. Auðkenning studd af XS/SC26-2 öryggisstýringu

Virkni Staðfest viðfangsefni Hvernig lykilorðum er úthlutað
Stillingarbeiðnir Notandi 1
Notandi 2
Notandi 3		 Notandi 1
stjórnar þessum lykilorðum.

Nánari upplýsingar um úthlutun þessara lykilorða er að finna í XS/SC26-2 notendahandbók (p/n 174868).

Samskiptareglur

Sumar samskiptareglur bjóða upp á eiginleika sem hjálpa til við að vernda gögn á meðan þau eru „á flugi“ - á virkan hátt í gegnum netkerfi.

Algengustu þessara eiginleika eru:

  • Dulkóðun - Verndar trúnað gagna sem eru sendar.
  • Auðkenningarkóðar skilaboða – Tryggir áreiðanleika og heilleika skilaboða með því að greina skilaboð með dulmáli.ampfölsun eða fölsun. Þetta tryggir að gögnin séu upprunnin frá væntanlegum uppruna og hafi ekki verið breytt síðan þau voru send, óháð því hvort þau voru illgjarn eða ekki.

Sem stendur veitir aðeins XS/SC26-2 umsóknarbókunin báða þessa eiginleika þegar þeir eru notaðir yfir Ethernet. Aðrar samskiptareglur sem studdar eru af XS/SC26-2 öryggisstýringum bjóða ekki upp á annan hvorn þessara eiginleika, eins og lýst er í eftirfarandi töflum. Þess vegna gæti verið krafist bótaeftirlits til að uppfylla öryggiskröfur uppsetningar til að vernda gögn á flugi.
Tafla 13. Öryggisgeta með bókun á XS/SC26-2 öryggisstýringum

Bókun Gagna dulkóðun Auðkenningarkóðar skilaboða
USB XS/SC26-2 Umsóknarbókun N N
Ethernet XS/SC26-2 Umsóknarbókun Y Y
XS/SC26-2 Discovery Protocol N N

Tafla 14. Öryggisgeta með bókun á XS/SC26-2 Ethernet-undirstaða iðnaðarsamskiptareglur

Bókun Gagna dulkóðun Auðkenningarkóðar skilaboða
Ethernet PROFINET N N
ModBus TCP N N
Eter Net/IP N N

Skráning og endurskoðun

XS/SC26-2 öryggisstýringarnar bjóða ekki upp á sérstaka öryggisskrá sem er innbyggður í stjórnandann.

Hins vegar skráir XS/SC26-2 öryggisstýringin uppfærsluuppfærslur á stillingum í lítilli (10 færslum) stillingarskrártöflu. Hver færsla inniheldur tímann og dagsetninguna sem uppsetningin var staðfest, með því að nota dagsetningu og tíma stillingarbreytingarinnar eins og henni er viðhaldið á tölvunni. Einnig er innifalið nafn stillingar og staðfestingar Cyclic Redundancy Check (CRC).

View þessa stillingarskrá með því að nota Banner Safety Controller hugbúnaðinn. Notkunarskráin er skrifvarinn og ekki er hægt að endurstilla eða flytja út úr stjórnandanum. Að endurstilla stjórnandann á sjálfgefnar verksmiðjur myndar einnig færslu í annálatöflunni.

XS/SC26-2 öryggisstýringin er einnig með bilanadagbók. Flest atvikin sem eru skráð í XS/SC26-2 öryggisstýringum bilanaskrá tákna virknivandamál, svo sem vélbúnaðarbilanir og óvæntar vélbúnaðaraðgerðir. Þó að þær séu ekki sértækar varðandi öryggi, gætu þær veitt upplýsingar sem eru gagnlegar við öryggisúttekt. Bilanaskrár eru ekki varðveittar eftir að rafmagnið er fjarlægt frá öryggisstýringunni. View bilanaskrána annað hvort í gegnum Banner Safety Controller hugbúnaðinn eða á skjánum um borð

Stillingar herða

Til að aðstoða við að draga úr hugsanlegu árásaryfirborði veitir þessi hluti upplýsingar sem hægt er að nota til að herða uppsetningu XS/SC26-2 vara sem eru til staðar í tiltekinni uppsetningu.

Íhugaðu stillingarherðingu auk þess að virkja og nota öryggiseiginleika eins og auðkenningu, aðgangsstýringu og heimild.

Banner Safety mælir með því að slökkva á öllum höfnum, þjónustu og samskiptareglum sem eru ekki nauðsynlegar fyrir ætlað forrit. Gerðu þetta á hverri XS/SC26-2 vöru.

Öryggisstjórnandi

Notaðu upplýsingarnar í þessum hluta þegar þú herðir uppsetningu XS/SC26-2 öryggisstýringar. Íhugaðu þessa valkosti þegar þú stillir hvaða XS/SC26-2 öryggisstýringu sem styður þá.

Þessar stillingar eru tilgreindar í vélbúnaðarstillingunni sem er hlaðið niður í XS/SC26-2Safety Controller.

USB tengi, viðmót um borð og líkamlegur aðgangur

Til að draga úr hugsanlegu árásaryfirborði, takmarkaðu líkamlegan aðgang að USB-tenginu og viðmótinu um borð með því að takmarka líkamlegan aðgang að öryggisstýringunni.

Þetta er hægt að gera með því að setja öryggisstýringuna í líkamlega öruggt umhverfi, svo sem læstan skáp

Ethernet tengi

Notaðu upplýsingarnar í þessum hluta þegar þú herðir uppsetninguna á Ethernet tengi XS/SC26-2 öryggisstýringarinnar. Íhugaðu þessar stillingar þegar þú stillir hvaða XS/SC26-2 Ethernet tengi sem er.

Ef uppsetning þín þarf ekki að fá aðgang að tækjum sem eru ekki á Process Control Network, ætti að slökkva á leið með því að stilla IP-tölu gáttar á öll núll:
Tafla 15. Slökkt á IP leiðargerð

Þjónusta Nafn færibreytu Gildi
IP venja IP-tölu gáttar 0.0.0.0

Þessar stillingar eru tilgreindar í vélbúnaðarstillingunum sem er hlaðið niður í XS/SC26-2 öryggisstýringuna.

Einnig er hægt að slökkva á Ethernet tengi alveg með því að nota Banner Safety Controller hugbúnaðinn.

Nánari upplýsingar um þessar færibreytur er að finna í notendahandbók XS/SC26-2 öryggisstýringar (p/n 174868)

Netarkitektúr og örugg uppsetning

Þessi hluti veitir öryggisráðleggingar fyrir uppsetningu XS/SC26-2 öryggisstýringar í samhengi við stærra netkerfi

Tilvísunararkitektúr

Eftirfarandi mynd sýnir tilvísunaruppsetningu XS/SC26-2 öryggisstýringa.

Mynd 1. Reference Network Architecture
Tilvísunararkitektúr

Framleiðslusvæðisnetin (sem fela í sér framleiðsluaðgerðir, eftirlitsstjórnun og vinnslukerfi) eru aðskilin frá öðrum ótraustum netum eins og fyrirtækjanetinu (einnig nefnt viðskiptanetið, fyrirtækjanetið eða innra netið) og internetinu með því að nota Demilitarized Zone (DMZ) arkitektúr. Ferlisstýringarkerfin hafa takmarkaða útsetningu fyrir umferð frá netkerfum á hærra stigi, þar með talið öðrum netkerfum á framleiðslusvæðinu, sem og frá öðrum ferlistýringarkerfum.

Fjaraðgangur og afvopnuð svæði (DMZ)

DMZ arkitektúr notar tvo eldveggi til að einangra netþjóna sem eru aðgengilegir frá ótraustum netum. DMZ ætti að vera dreift þannig að aðeins sérstök (takmörkuð) samskipti séu leyfð milli viðskiptanetsins og DMZ, og milli stjórnkerfisins og DMZ. Helst ættu viðskiptanetið og stjórnnetið ekki að hafa bein samskipti sín á milli.

Ef þörf er á beinum samskiptum við stjórnkerfi frá viðskiptanetinu eða af internetinu skaltu stjórna, takmarka og fylgjast vel með öllum aðgangi. Til dæmisampLe, krefjast tveggja þátta auðkenningar fyrir notanda til að fá aðgang að stjórnnetinu með því að nota Virtual Private Networking (VPN) og jafnvel þá takmarka leyfilegar samskiptareglur/gáttir við lágmarkssettið sem krafist er. Ennfremur ætti að skrá allar aðgangstilraunir (heppnaðar eða ekki) og öll lokuð umferð í öryggisskrá sem er endurskoðuð reglulega.

Aðgangur að ferlistýringarnetum

Ethernet umferð frá eftirlitsstýringarneti til vinnslustýringarneta ætti að vera takmörkuð til að styðja aðeins þá virkni sem krafist er.

Hins vegar, ef ekki þarf að nota tiltekna samskiptareglu (eins og Modbus TCP) á milli þessara svæða, stilltu eldvegginn til að loka fyrir þá samskiptareglu. Auk þess að loka á eldvegginn, ef stjórnandi hefur ekki aðra ástæðu sem hann þarf að nota þá samskiptareglur, stilltu stjórnandann sjálfan til að slökkva á stuðningi við samskiptareglur.

ATH: Eldveggir netfangaþýðinga (NAT) afhjúpa venjulega ekki öll tæki á „traustu“ hlið eldveggsins fyrir tækjum á „ótraustu“ hlið eldveggsins. Ennfremur treysta NAT eldveggir á að kortleggja IP tölu/gátt á „traustu“ hlið eldveggsins yfir á annað IP tölu/gátt á „ótraustu“ hlið eldveggsins. Þar sem samskipti við XS/SC26-2 öryggisstýringuna verða venjulega hafin frá tölvu á „ótraustu“ hlið ferlistýringarnets eldveggsins, getur verndun ferlistýringarnets með NAT eldvegg valdið frekari samskiptaörðugleikum. Áður en þú setur inn NAT skaltu íhuga vandlega áhrif þess á nauðsynlegar samskiptaleiðir.

Önnur atriði

Stillingarstjórnun

Stefna til að beita öryggisleiðréttingum, þ.mt stillingarbreytingum, ætti að vera með í öryggisáætlun aðstöðu. Að beita þessum uppfærslum krefst þess oft að viðkomandi XS/SC26-2 öryggisstýribúnaður sé tekinn úr notkun tímabundið. Sumar uppsetningar krefjast víðtækrar hæfni og/eða gangsetningar áður en breytingar eru gerðar á framleiðsluumhverfinu. Þó að þessi krafa sé óháð öryggi, getur það að tryggja getu til að beita öryggisleiðréttingum án tafar, en lágmarka niður í miðbæ, valdið þörfinni fyrir frekari innviði til að hjálpa við þessa hæfi.

Samskipti í rauntíma

Þegar netarkitektúrinn er hannaður er mikilvægt að skilja hvaða áhrif netvarnartækin (eins og eldveggir) munu hafa á rauntímaeiginleika samskiptaumferðarinnar sem verður að fara í gegnum þau.

Þar af leiðandi geta netkerfisarkitektúrar sem krefjast rauntímasamskipta til að fara í gegnum slík tæki takmarkað þau forrit sem hægt er að dreifa með góðum árangri.

Viðbótarleiðbeiningar

Bókunarsértæk leiðbeining
Bókunarstaðlastofnanir geta birt leiðbeiningar um hvernig eigi að dreifa og nota samskiptareglur sínar á öruggan hátt. Slík skjöl, þegar þau liggja fyrir, ætti að skoða til viðbótar þessu skjali

Ríkisstofnanir og staðlastofnanir
Ríkisstofnanir og alþjóðleg staðlastofnanir geta veitt leiðbeiningar um að búa til og viðhalda öflugu öryggiskerfi, þar á meðal hvernig á að dreifa og nota stjórnkerfi á öruggan hátt.

Til dæmisample, bandaríska heimavarnarráðuneytið hefur gefið út leiðbeiningar um örugga arkitektúrhönnun og um ráðlagða starfshætti fyrir netöryggi með stýrikerfum. Slík skjöl, þegar við á, ætti að skoða til viðbótar þessu skjali. Að sama skapi gefur International Society of Automation út ISA-99 forskriftirnar til að veita leiðbeiningar um að koma á fót og reka netöryggisáætlun, þar á meðal ráðlagða tækni fyrir iðnaðar sjálfvirkni og stýrikerfi

Hafðu samband

Höfuðstöðvar Banner Engineering Corp. eru staðsettar á: 9714 Tenth Avenue North | Minneapolis, MN 55441, Bandaríkin | Sími: + 1 888 373 6767

Fyrir staðsetningar um allan heim og staðbundna fulltrúa, heimsækja www.bannerenengineering.com. Merki fyrirtækisins

Skjöl / auðlindir

BANNER SC26-2 Öryggisstýringar Örugg uppsetning [pdfNotendahandbók
SC26-2 öryggisstýringar Örugg uppsetning, SC26-2, Örugg uppsetning öryggisstýringa, Örugg uppsetning stjórna, Örugg uppsetning, uppsetning

Heimildir

Skildu eftir athugasemd

Netfangið þitt verður ekki birt. Nauðsynlegir reitir eru merktir *