Honeywell Optimizer 高级控制器用户手册

免责声明
尽管我们已尽力确保本文件的准确性，但霍尼韦尔对任何形式的损害概不负责，包括但不限于因应用或使用本文所含信息而导致的间接损害。此处发布的信息和规格截至本出版物发布之日均为最新信息，如有更改，恕不另行通知。最新产品规格可在我们的 web网站或联系我们在佐治亚州亚特兰大的公司办公室。
对于许多工业 RS-485 通信，出厂时默认状态为禁用以确保最佳安全性，因为这些旧通信总线使用旧技术以获得最佳兼容性，并且它们的设计安全保护较弱。因此，为了最大限度地保护您的系统，霍尼韦尔已主动禁用旧工业总线通信端口（出厂时），用户必须在每个网络的 Station 中明确启用网络。如果您想启用这些端口，您需要意识到使用旧技术带来的任何安全漏洞风险。这些包括但不限于：Panel-bus、C-Bus、BACnetTM、M-Bus、CP-IO Bus、NovarNet、XCM-LCD 协议、SBC S-Bus 和 Modbus 等。
开发至 ISA-62443

霍尼韦尔多年来一直依赖 ISA 62443-4-1 标准和适用的配套标准来安全地开发我们的楼宇技术产品。例如amp例如，霍尼韦尔楼宇产品也使用 ISA/IEC 62443-4-2 作为组件内技术安全要求的基准，而我们对完整系统使用 ISA/IEC 62443-3-3。因此，对于选择楼宇技术的集成商和客户来说，霍尼韦尔对 ISA/IEC 62443 系列标准的遵守可以让他们高度放心，我们的产品不仅仅是声称具有网络弹性，它们从一开始就经过了网络弹性的设计、测试和验证。
霍尼韦尔按照 ISA/IEC 62443-4-1 开发我们的产品，并且已经通过第三方评估和审核，符合该标准。
简介和目标读者

霍尼韦尔在此明确声明，其控制器本身并不具备针对来自互联网的网络攻击的保护措施，因此仅供私人网络使用。但是，即使是私人网络也可能受到技术熟练且装备精良的 IT 人员的恶意网络攻击，因此需要保护。因此，客户应采用高级工厂控制器 IP 产品安装和安全最佳实践指南，以减轻此类攻击带来的风险。
以下指南描述了高级工厂控制器基于 IP 的产品的通用安全最佳实践。它们按缓解措施的增加顺序列出。

应根据具体情况评估每个站点的确切要求。实施此处所述所有缓解级别的绝大多数安装将远远超过令人满意的系统安全性所需的水平。结合第 1-5 项（与局域网相关），请参阅第 20 页的“局域网 (LAN) 建议”。通常将满足大多数自动化控制网络安装的要求。
本手册包含指导 Honeywell 经销商人员如何安全安装和配置高级工厂控制器、HMI 和 IO 模块的信息。有关操作、USB 备份和恢复以及 CleanDist 的安全相关信息 file 控制器的安装请参见安装说明和调试指南（31-00584）。

笔记
请花时间阅读并理解所有相关的安装、配置和操作手册，并确保定期获取最新版本

表 1 产品信息

产品	产品编号	描述
工厂控制器	N-ADV-134-H	Niagara 高级控制器，配备四个以太网端口、HMI 端口和 4 个 RS485 端口
	型号：N-ADV-133-H-BWA	Niagara 高级控制器，配备四个以太网端口、HMI 端口、3 个 RS485 端口、Wi-Fi（美洲地区）和 BluetoothTM 支持
	型号：N-ADV-133-H-BWE	Niagara 高级控制器，配备四个以太网端口、HMI 端口、3 个 RS485 端口、Wi-Fi（欧洲地区）和 BluetoothTM 支持
	N-ADV-133-H-BWW	Niagara 高级控制器，配备四个以太网端口、HMI 端口、3 个 RS485 端口、Wi-Fi（世界其他地区）和 BluetoothTM 支持
	N-ADV-133-H	Niagara 高级控制器，配备四个以太网端口、HMI 端口和 3 个 RS485 端口
	N-ADV-112-H	Niagara 高级控制器，配备两个以太网端口、HMI 端口和 2 个 RS485 端口
人机界面	人机界面	HMI（DIN 导轨安装）
人机界面	人机界面	HMI（门/壁挂式）
IO模组	IO-16UIO-SS	16UIO IO 模块（无 HOA、串行通信、螺丝端子）
	IOD-16UIO-SS	16UIO IO 模块，带 HOA 显示屏、串行通信、螺丝端子
	IO-16UI-SS	16UI IO 模块，串行通信，螺丝端子
	IO-16DI-SS	16DI IO 模块，串行通信，螺丝端子
	IO-8DOR-SS	8DO IO 模块，无 HOA、C/O 继电器、串行通信、螺丝端子
	IOD-8DOR-SS	带 HOA 显示屏、C/O 继电器、串行通信、螺丝端子的 8DO IO 模块
	IO-16UIO-SP	16UIO IO 模块，带 HOA 显示屏、串行通信、推送终端
	IO-16UI-SP	16UIO 输入输出模块、串行通信、推送终端
	IO-16DI-SP	16DI IO 模块、串行通信、推送终端
	IO-8DOR-SP	8DO IO 模块，无 HOA、C/O 继电器、串行通信、推入式端子
	IOD-8DOR-SP	带 HOA 显示屏、C/O 继电器、串行通信、按压式终端的 8DO IO 模块
	IO-8UIO-SS	8UIO IO 模块（无 HOA、串行通信、螺丝端子）

IO模组	IOD-8UIO-SS	8UIO IO 模块，带 HOA 显示屏、串行通信、螺丝端子
	IO-8AO-SS	8AO IO 模块（无 HOA、串行通信、螺丝端子）
	IOD-8AO-SS	带 HOA 显示屏、串行通信、螺丝端子的 8AO IO 模块
	IO-4UIO-SS	4UIO IO 模块（无 HOA、串行通信、螺丝端子）
	IOD-4UIO-SS	4UIO IO 模块，带 HOA 显示屏、串行通信、螺丝端子
	IO-8DI-SS	8DI IO 模块，串行通信，螺丝端子
	IO-4DOR-SS	4DO IO 模块，无 HOA、C/O 继电器、串行通信、螺丝端子
	IOD-4DOR-SS	带 HOA 显示屏、C/O 继电器、串行通信、螺丝端子的 4DO IO 模块
	IO-4DORE-SS	不带 HOA 的 4DO IO 模块、增强型 C/O 继电器、串行通信、螺丝端子
	IOD-4DORE-SS	4DO IO 模块，带 HOA 显示屏、增强型 C/O 继电器、串行通信、螺丝端子
	IO-8UIO-SP	8UIO IO 模块（无 HOA、串行通信、推送终端）
	IOD-8UIO-SP	8UIO IO 模块，带 HOA 显示屏、串行通信、推送终端
	IO-8AO-SP	8AO IO 模块（无 HOA、串行通信、推送终端）
	IOD-8AO-SP	带 HOA 显示屏、串行通信、推送终端的 8AO IO 模块
	IO-4UIO-SP	4UIO IO 模块（无 HOA、串行通信、推送终端）
	IOD-4UIO-SP	4UIO IO 模块，带 HOA 显示屏、串行通信、推送终端
	IO-8DI-SP	8DI IO 模块、串行通信、推送终端
	IO-4DOR-SP	4DO IO 模块，无 HOA、C/O 继电器、串行通信、推入式端子
	IOD-4DOR-SP	带 HOA 显示屏、C/O 继电器、串行通信、按压式终端的 4DO IO 模块
	IO-4DORE-SP	无 HOA 的 4DO IO 模块、增强型 C/O 继电器、串行通信、推送终端
	IOD-4DORE-SP	带 HOA 显示屏、增强型 C/O 继电器、串行通信、推送终端的 4DO IO 模块

为什么要保护你的高级控制器？

保护客户的工厂系统免受对操作设定点、覆盖和时间表的未经授权的更改。

防止访问用户帐户详细信息：例如用户名、密码、电子邮件地址、短信（手机）号码等。
防止访问商业敏感数据：例如ample- 能源消耗指标、专业控制策略解决方案等。

防止未经授权访问托管 BMS 软件和控制设备的控制器、计算机和网络。
维护数据完整性并提供责任。

系统结束VIEW

结束view 典型系统安装...

互联网/内联网/公司网络
这是楼宇自动化系统 (BAS) 范围之外的所有网络的简化逻辑网络表示。它可以提供对 BAS 管理接口（例如 Niagara 主工作站）的访问 web 计算机必须提供用户界面（User Interface），但必须提供互联网访问权限，以便尼亚加拉计算机可以检查并下载操作系统和病毒扫描程序更新，除非提供了其他方式来实现此目的。

BAS 网络
此网络仅用于 BAS 协议，包括 BACnetTM/IP、BACnetTM/以太网以及高级工厂控制器上的 Niagara 集成服务可能使用的任何协议。此网络不得与 Internet/内部网/公司网络为同一网络。
BAS防火墙
为了给 BAS 提供额外的隔离和保护，必须在互联网/内联网/企业网络与连接到它的任何 BAS 设备（如 Niagara 主工作站、Niagara 工作站和高级工厂控制器）之间使用防火墙。此防火墙将 BAS 的访问权限限制为仅授权的计算机，并可能有助于降低遭受攻击（如拒绝服务攻击）的风险。

Niagara工作站
Niagara 主工作站是运行 Niagara 软件的计算机。它需要两个网络连接 - 一个用于连接到管理 web 用户界面通过 web 浏览器（通常在
一个用于连接互联网/内联网/企业网络，另一个用于连接 BAS 网络。
以太网交换机
以太网交换机可创建网络并使用多个端口在 LAN 中的设备之间进行通信。以太网交换机不同于路由器，路由器连接网络并仅使用单个 LAN 和 WAN 端口。完整的有线和企业无线基础设施可提供有线连接和 Wi-Fi 无线连接。

先进的工厂控制器
高级工厂控制器是一种全局控制器，可连接到以太网、BACnetTM IP 和主机 MS/TP 网络段。MS/TP 是一种低带宽连接，用于连接控制器和传感器。
人机界面
HMI 连接并从 Advanced Niagara 工厂控制器接收电源。这些设备采用电容式触摸屏显示器，支持裸指选择，并为操作员提供以下功能： view、访问和排除控制器点、IO 模块和其他连接设备的故障。

IO模组
IO 模块可以使用触摸片连接（电源和通信）连接到控制器，或者 IO 模块可以连接到接线适配器，该适配器将提供电源并连接到控制器上的 RS485 接口之一。IO 模块可使用现有工程工具（如 ComfortPointTM Open Studio 工具和 Niagara 4 Workbench）进行编程。

网络规划和安全

乙太网路
建议BMS系统使用的以太网网络与正常的办公网络分开。
Examp乐：
使用气隙或虚拟专用网络。必须限制对以太网网络基础设施的物理访问。您还必须确保安装符合公司的 IT 政策。
高级控制器不能直接连接到互联网。

Web 服务器
高级控制器提供 HTTP 和 HTTPS web 服务器。如果 web 服务器不是必需的，建议两者 web 服务器已被禁用。
BACnetTM IP 网络
由于 BACnetTM 协议的不安全性，使用 BACnetTM 的高级控制器、HMI 和 IO 模块在任何情况下都不能连接到互联网。高级控制器安全系统无法防止 BACnetTM 写入。必须限制对 BACnetTM IP 网络基础设施的物理访问。如果不需要 BACnetTM IP 通信，则必须通过将“禁用模块”参数设置为“1”来禁用高级控制器 (BACnetTMTM IP) 网络模块。
如果需要 BACnetTMTM 通信，强烈建议不要启用 BACnetTMTM 备份/恢复、重新初始化设备和 BACnetTMTM 可写服务。但是，这意味着创建的策略不符合 BTL 标准 - 请参阅第 13 页的“本地安全”。

MS/TP（NC 许可证）
必须限制对 MS/TP 网络基础设施的物理访问。如果不需要 MS/TP 网络，则必须通过将“禁用模块”参数设置为“1”来禁用高级控制器 (BACnetTM MSTP) 网络模块。IO 总线（CAN 许可证）
必须限制对 IO 总线的物理访问。
USB
必须限制对高级控制器 USB 本地工程端口的物理访问。

RS485（包括 Modbus 许可证）
必须限制对控制器 RS485 端口的物理访问。如果不需要，则不应将连接到该端口的任何网络模块包含在策略中。
Modbus IP 网络（INT 许可证）
由于 Modbus 协议的不安全性，支持 Modbus IP 的高级控制器在任何情况下都不能连接到互联网。必须限制对 Modbus IP 网络基础设施的物理访问。如果不需要 Modbus IP 通信，则不应将高级控制器 (Modbus IP) 网络模块包含在策略中。

高级控制器、HMI 和 I/O 模块安全系统

高级控制器安全性符合 ISA 62433-3-3 SL 3 标准，并提供安全启动、经过身份验证和加密的网络、静态加密和同步帐户管理。
要访问高级控制器产品或执行上述任何任务，必须提供工程系统帐户或设备系统帐户的有效用户名和密码。

未配置时的安全性
要与高级控制器、HMI 和 IO 模块交互，必须提供有效的凭据。控制器出厂时没有任何凭据（系统帐户或用户模块），这确保首次启动时可防止未经授权的访问。首次尝试连接到 Niagara 网络上的高级产品之一中的 vCNC 时，必须创建具有管理员角色的工程系统帐户。

防范未经授权的设备
使用唯一密钥（网络密钥）来确保只有授权设备才能加入 Niagara 网络。所有要组成 Niagara 网络的控制器必须具有相同的网络密钥和 UDP 端口。这些是在初始配置过程中使用 IP 工具配置的。
Examp乐：
如果四个高级工厂控制器具有相同的网络密钥 (112233)，而第五个具有不同的网络密钥
（222）。当它们连接到同一个以太网时，具有相同网络密钥的四个控制器将连接在一起形成一个网络，但第五个控制器将无法加入该网络，因为它具有不同的网络密钥，即（222）。
类似地，如果第五个控制器是新的（从工厂发货）并且添加到以太网网络，它将无法连接到 Niagara 网络，因为它没有网络密钥。
1. 账户验证码
  当管理系统帐户添加到网络上的其中一个控制器时，添加系统帐户的控制器会自动生成帐户验证码。此代码将同步到以太网上具有相同网络密钥和 UDP 端口的所有其他控制器。
  一旦生成了帐户验证码，网络上的所有控制器都必须具有相同的帐户验证码以及相同的网络密钥和 UDP 端口。
  Example:
  如果有五个控制器，则所有高级控制器都具有相同的网络密钥。四个控制器具有相同的帐户验证码 (AVC)，因此形成一个网络。第五个控制器具有不同的帐户验证码，即使它具有相同的网络密钥，也无法与其他控制器连接。

系统账户
系统帐户使人员和设备能够与高级控制器交互。授予的访问权限取决于帐户类型和角色。
系统帐户有两种类型：
1. 工程系统帐户
2. 设备系统帐户
3. 工程系统帐户
  工程系统帐户供工程师使用。每个工程系统帐户都有一个帐户名和密码，必须在控制器请求时提供。如果提供了有效的用户名和密码，控制器将授予访问权限。

必须为每个人创建单独的工程系统帐户。工程系统帐户可以设置为以下两个角色之一：

工程角色
管理员角色

工程角色
工程角色为设计高级系统、创建/管理设备系统账户以及管理用户自己的账户详细信息（电子邮件地址、密码等）提供了必要的访问权限。
管理员角色
管理员角色提供与工程角色相同的访问权限，此外还具有管理所有工程和设备系统帐户的能力。

设备系统帐户
设备系统帐户旨在允许 Niagara 等设备连接到网络以获取所需信息并进行更改。建议为每个要访问网络的设备创建一个单独的设备系统帐户。它们的角色是“主管”。

重要的
重要提示：必须配置主管自己的安全系统来限制每个主管用户的访问权限。

系统账户创建
首次尝试连接到 Niagara 网络上的 vCNC 时，必须创建具有管理员角色的工程系统帐户。然后，此帐户将同步到 Niagara 网络上的其他控制器

请参阅第 12 页的“同步账户管理”。可以根据需要使用 Niagara 工作台创建其他账户。

笔记
首次在控制器中创建工程系统帐户时，将自动生成帐户验证码，并与以太网上具有相同网络密钥和 UDP 端口的其他控制器同步。当控制器具有帐户验证码时，它只能加入具有相同帐户验证码的控制器的网络 - 请参阅第 11 页的“帐户验证码”。

同步账户管理
同步帐户管理可以轻松安全地将系统帐户（包括帐户验证码）与同一 Niagara 网络上的所有高级控制器同步。这样可以实现：

网络单点登录
减少配置和维护整个站点访问的开销而不降低安全性同一网络上的所有高级控制器都将具有相同的系统帐户。

当没有任何系统账户的高级控制器连接到以太网并配置了 Niagara 网络的网络密钥和 UDP 端口时，它将加入网络并自动从 Niagara 网络上的其他控制器获取其系统账户。

Examp乐：
如果将没有任何系统帐户的高级控制器添加到上述系统中，并为其提供 Niagara 网络的网络密钥 (112233) 和 UDP 端口，它将加入网络并从 Niagara 网络上的其他高级控制器获取其系统帐户（用户 1、用户 2、用户 3）。
同步完成后，可以连接到任何 vCNC，显示 web 页面并使用任何系统帐户登录到 Niagara 网络上的任何高级控制器。
如果对系统帐户进行了更改，即添加、删除或编辑帐户，这些更改将自动在 Niagara 网络上的所有高级控制器之间同步。

Examp乐：
如果有五个高级控制器，则编辑控制器（1）中的系统帐户以删除用户 2，将用户 3 重命名为用户 3a，并添加用户 4，这些更改将同步到控制器（2）、控制器（3）、控制器（4）和控制器（5）。

笔记：
如果在同步期间发现冲突，则最新的更改优先。

更改高级控制器网络密钥
当高级控制器网络密钥发生更改时，其所有系统帐户都将被删除，并且将从其当前 Niagara 网络中删除。网络密钥的更改必须由有效的工程师或管理员系统帐户授权。
一旦完成更改，它将使用新的网络密钥（如果存在）加入 Niagara 网络，并从新 Niagara 网络上的高级控制器获取系统帐户（前提是它具有相同的 UDP 端口）。

本地安全
本地安全使用本地用户（用户模块）来允许访问高级控制器 web 页面或本地连接的显示器，并控制可见的信息或可调整的值。
要获得访问权限并进行更改，必须提供本地用户的有效用户名和密码。用户的 PIN 级别决定了用户可以查看和调整哪些参数。

笔记
本地用户不与尼亚加拉网络上的其他高级控制器同步。

访问 Web 页面
访问控制器的 web 页面受高级控制器安全系统的保护。当控制器的 web 服务器被访问 web 显示的页面提供一些基本信息并允许用户登录 - 请参阅第 13 页的“初始访问”。
登录的用户将被视为已登录用户 – 请参阅第 14 页的“已登录用户”。访问 web 无需登录即可访问页面，如第 13 页“初始访问”中所述。

初始访问
当控制器的 web 首次访问服务器时，将显示欢迎页面，并且授予的访问权限取决于控制器当前的安全配置：

无工程系统账户，无用户模块（出厂默认）
将显示“欢迎”页面，并可以完全访问控制器的 web 页面并提供更改的能力。

笔记
由于没有工程系统帐户或用户模块，因此无法登录。

工程系统帐户且无用户模块
显示“欢迎”页面，控制器只允许访问传感器、数字输入、旋钮、开关、驱动程序、时间表、时间表、时间、绘图模块、警报日志和图形，并且不允许更改。

笔记
可以使用工程系统帐户登录。

工程系统帐户和用户模块
初始显示和访问由用户模块控制。如果高级控制器中有一个名为“Guest”的用户模块，且没有密码，则 web 无需登录即可访问页面控制器将授予访问权限（用户级别、主页和 view 默认值：由“访客”用户模块指定的。
默认情况下，“访客”用户模块仅提供对高级“欢迎”页面的访问，用户级别为“0”。这意味着未登录即可访问控制器的用户只能 view “欢迎”页面。为了提供更多访问权限，可以像配置任何其他 0 型用户模块一样配置“访客”用户。

笔记：
Niagara 工作台会阻止“Guest”用户被赋予高于“0”的密码、PIN 或用户级别。它允许主页和 view 默认配置。

强烈建议保留 Guest 用户默认配置（用户级别为“0”，无 view 权利）。
如果没有名为“Guest”的用户模块或者已配置密码，则会显示“欢迎”页面，并且控制器将只允许访问传感器、数字输入、旋钮、开关、驱动程序、时间表、时间表、时间、绘图模块、警报日志和图形，并且不允许更改。

笔记
可以使用工程系统帐户和任何现有的用户模块登录。

登录用户
登录高级控制器 web 页面必须输入与高级控制器工程系统帐户或 0 型用户模块之一匹配的用户名和密码。

密码恢复
如果用户忘记了密码，可以使用 Niagara 工作台恢复密码。有关使用 Niagara 恢复忘记密码的详细信息，请参阅 Niagara 工作台用户指南。

确保 NIAGARA 操作系统的安全

一般良好做法
遵循保护操作系统安全的一般良好做法，例如：

受密码保护的屏幕保护程序
驱动器加密软件

防火墙设置
操作系统必须配置为使用自动更新的防火墙。配置必须阻止除需要访问的端口之外的所有端口的访问（输入/输出），请勿让任何未使用的端口保持打开状态。

操作系统版本
您必须确保运行 Niagara 应用程序或连接到同一 IP 网络的任何设备都安装了最新的操作系统更新。确保 Windows 更新保持自动状态并及时安装是一种很好的做法。

病毒防护
您必须确保运行 Niagara 应用程序或连接到同一 IP 网络的任何计算机都运行病毒防护软件，并且病毒定义保持最新。

入侵防护
建议在运行 Niagara 应用程序的任何计算机上使用信誉良好的安全产品提供商提供的入侵检测系统 (IDS)。遵循所选产品的最佳实践以及安装地的任何公司 IT 政策。
许多IDS和防火墙产品提供了用于记录进出计算机的所有流量的完整解决方案，使用户能够在最低级别记录所有活动。

通用数据保护条例 (GDPR)

《通用数据保护条例 (EU)2016/679》（GDPR）是欧盟法律中关于欧盟 (EU) 和欧洲经济区 (EEA) 所有公民数据保护和隐私的条例。它还涉及将个人数据转移到欧盟和欧洲经济区以外。GDPR 包含与处理欧洲经济区内个人（数据主体）的个人数据相关的规定和要求，适用于在欧洲经济区内设立的任何企业（无论其位置和数据主体的国籍如何）或正在欧洲经济区内处理数据主体个人信息的企业。
根据 GDPR 条款，个人数据包括可用于识别个人的任何信息。这包括（但不限于）：

用户名，
密码，
电话号码，
电子邮件地址，
工作或居住地址。

输入到高级控制器、HMI 和 IO 模块的任何此类信息均会加密并存储在客户场所的高级产品中。霍尼韦尔不参与高级霍尼韦尔产品中个人数据的存储和/或处理。
遵守 GDPR 要求的责任完全在于系统集成商或系统管理员，因此，他们必须确保建立适当的技术和组织系统来：

获得每个数据主体对个人数据的存储、使用和/或处理的明确同意，
允许个人访问其个人数据以验证其准确性，

允许个人随时撤回同意并永久删除其个人数据，
始终保持数据存储和访问的安全性和完整性，
在发生任何数据安全漏洞（可能影响用户隐私）后 72 小时内向相关部门报告。

安全通信

公钥基础设施 (PKI) 支持分发和识别用于保护通过网络（例如 Internet）进行的数据交换的公共加密密钥。PKI 验证对方的身份并对实际数据传输进行编码。身份验证为服务器的身份提供了不可否认的保证。加密在网络传输过程中提供机密性。要求对代码模块进行签名可确保系统中只运行预期的代码。

为了使用 PKI 提供安全网络，Niagara 支持 TLS（传输层安全性）协议，版本 1.0、1.1 和 1.2。TLS 取代了其前身 SSL（安全套接字层）。
每次安装 Niagara 都会自动创建一个默认证书，允许立即加密连接。但是，这些证书会在浏览器和 Workbench 中生成警告，通常不适合最终用户。创建和签署自定义数字证书允许在浏览器中无缝使用 TLS，并提供加密和服务器身份验证。
除了通信安全之外，系统中运行的每个计算机代码模块都受到数字签名的保护。添加的程序对象需要此签名，否则无法运行。

验证服务器、加密传输并确保仅运行签名的代码不会保护存储在存储设备上的数据。您仍然需要限制对管理建筑模型的计算机和控制器的物理访问，使用强密码设置用户身份验证，并通过控制权限来保护组件。
Niagara 默认支持并使用安全通信和签名代码。您无需购买额外的许可证。
安全是一个持续关注的问题。虽然您会在安全通信主题中找到很多有价值的信息，但请期待未来的更新和变化。
以下是安全通信。有关更多详细信息，请参阅尼亚加拉站安全指南。

客户端/服务器关系
证书
证书存储
CSR 文件夹结构
证书设置
证书向导
签署多个证书
配置安全平台通信
配置安全站通信
启用客户端并配置正确的端口
在另一个平台上安装站点副本
保护电子邮件
安全通信故障排除

客户端/服务器关系
客户端/服务器关系确定需要保护的连接。工作台客户端/服务器关系因您配置和使用系统的方式而异。工作台始终是客户端。平台始终是服务器。工作站可以是客户端也可以是服务器。
管理通信的系统协议包括：

从 Workbench（客户端）到控制器或 Supervisor PC 平台守护程序（服务器）的平台连接使用 Niagara。安全平台连接有时称为 platformtls。您可以使用平台管理启用 platformtls view.
本地站连接（主管和平台）使用 Foxs。您可以在站的 FoxService 中启用这些连接（配置 > 服务 > FoxService）。

浏览器连接使用 Https，如果你使用 Web 带有 Wb 的启动器Web专业版file. 您可以使用站点的 Web服务（配置 > 服务 > Web服务）。
如果适用，客户端将连接到工作站的电子邮件服务器。您可以使用工作站的电子邮件服务 (配置 > 服务 > 电子邮件服务) 启用安全电子邮件。

证书
证书是一种使用数字签名将公钥与个人或组织绑定的电子文档。证书可能用于多种用途，具体取决于您如何配置证书的“密钥用途”属性。它们在此系统中的主要用途是验证服务器的身份，以便可以信任通信。有关更多详细信息，请参阅 Niagara 站点安全指南 - 证书。
Niagara 支持以下类型的证书：

CA（证书颁发机构）证书是属于 CA 的自签名证书。CA 可以是第三方，也可以是充当其自身 CA 的公司。
根 CA 证书是一种自签名 CA 证书，其私钥用于签署其他证书，从而创建受信任的证书树。使用私钥，可以导出根 CA 证书，将其存储在保险库中的 USB 拇指驱动器上，并且仅在需要签署证书时才取出。根 CA 证书的私钥要求在导出时创建密码，并在使用它签署其他证书时提供相同的密码。
中级证书是由根 CA 证书签名的 CA 证书，用于签名服务器证书或其他中级 CA 证书。使用中级证书可以隔离一组服务器证书。

服务器证书代表安全连接的服务器端。虽然您可以为每种协议（Foxs、Https、 Webs)。虽然您可以使用单独的服务器证书配置平台和站点（作为服务器），但为简单起见，大多数系统通常使用相同的服务器证书。
代码签名证书是用于对程序对象和模块进行签名的证书。系统集成商使用此证书来防止在定制框架时引入恶意代码。

自签名证书
自签名证书是默认使用自己的私钥而不是根 CA（证书颁发机构）证书的私钥进行签名的证书。
系统支持两种类型的自签名证书：

根 CA 证书是绝对可信的，因为没有比拥有此证书的 CA（证书颁发机构）更高的机构。因此，负责为他人证书背书的 CA 会严密保护其根 CA 证书和私钥。同样，如果您的公司充当自己的 CA，则应严密保护用于签署其他证书的根 CA 证书。
默认的自签名证书：安装（调试）后第一次启动 Workbench、平台或站点实例时，系统会创建一个默认的自签名服务器证书，别名为 tridium。

笔记：
请勿导出此证书并将其导入到其他平台或站点的任何其他商店。尽管可以，但这样做会降低安全性并增加漏洞。
为了最大限度地降低使用自签名证书时遭受中间人攻击的风险，您的所有平台都应包含在安全的专用网络中，离线，并且无法通过互联网进行公共访问。

警告
要使用自签名证书，在您首次从 Workbench 访问平台或工作站之前，请确保您的计算机和平台不在任何公司网络或互联网上。断开连接后，将计算机直接连接到平台，从 Workbench 打开平台，并批准其自签名证书。只有这样，您才应该将平台重新连接到公司网络。

命名约定
用户密钥存储区、用户信任存储区和系统信任存储区构成了配置的核心。证书看起来非常相似，并且各种默认自签名证书的名称相同。

证书存储
证书管理使用四个存储区来管理证书：用户密钥存储区、系统信任存储区、用户信任存储区和允许主机列表。
用户密钥存储与客户端-服务器关系的服务器端相关联。此存储包含证书，每个证书都有其公钥和私钥。此外，此存储还包含您首次启动 Workbench 或启动平台时最初创建的自签名证书。
用户和系统信任存储与客户端-服务器关系的客户端相关联。系统信任存储预先填充了标准公共证书：来自知名证书颁发机构（例如 VeriSign、Thawte 和 Digicert）的根 CA 证书。用户信任存储为作为其自身证书颁发机构的公司保存根 CA 和中级证书。
允许的主机列表包含客户端系统或用户信任存储中不存在受信任根 CA 证书的服务器证书，但服务器证书已获准使用。这包括服务器的主机名与服务器证书中的通用名称不同的服务器。您可以单独批准使用这些证书。虽然通信是安全的，但最好使用签名的服务器证书。

加密
加密是对数据传输进行编码的过程，以便不受信任的第三方无法读取它。TLS 使用加密在客户端和服务器之间传输数据。虽然可以仅使用 fox 或 http 协议建立未加密的连接，但强烈建议您不要选择此选项。如果没有加密，您的通信可能会受到攻击。始终接受默认的 Foxs 或 Https 连接。

安全仪表板结束VIEW
在 Niagara 4.10u5 及更高版本中，安全仪表板功能（为管理员和其他授权用户）提供了鸟瞰视图 view 您的站点的安全配置。这样您就可以轻松监控许多站点服务中的安全配置，并识别站点上的任何安全配置弱点。

警告
安全仪表板 View 可能不会显示所有可能的安全设置，并且不应被视为保证所有设置都已安全配置。特别是，第三方模块可能具有未注册到仪表板的安全设置。

安全仪表板 view 是主要的 view 在车站的安全服务上。 view 提醒您注意安全漏洞，例如密码强度设置不佳；证书过期、自签名或无效；未加密的传输协议等，指示配置应该更安全的区域。其他报告的数据包括：系统运行状况、活跃账户数、不活跃账户数、具有超级用户权限的账户数等。“securityDashboard”许可证功能上的“system”属性可以设置为“true”，以启用系统 View 该站为 NiagaraNetwork 中的每个下属站提供安全详细信息。
安全仪表板是主要的 view 安全服务。有关 view，请参阅“nss-SecurityDashboardView《尼亚加拉车站安全指南》。

规划和安装

本节包含有关规划和执行高级工厂控制器安装的信息。

建议的安装和配置
以下部分说明了两种推荐的安装配置。

仅限BACnetTM
BACnetTM 和 Niagara

仅限BACnetTMBACnetTM
当高级工厂控制器仅用于 BACnetTM 通信时，仅将以太网 1 连接到将运行 BACnetTM（BACnetTM/IP 或 BACnetTM/以太网）的 BAS 网络。

BACnetTM 和 Niagara
当 Niagara 用于高级工厂控制器时，它可以配置为提供服务，例如 web 服务或 Niagara FOXS 连接到 Internet/内部网/公司网络。如果是这种情况，请通过 BAS 防火墙将以太网 2 连接到 Internet/内部网/公司网络，以便为该网络提供服务。

局域网 (LAN) 建议
确保系统采用适当的密码策略，以便用户访问所有服务。该指南包括但不限于：

使用强密码。
建议的密码循环时间。
系统每个用户都有唯一的用户名和密码。
密码披露规则。
如果需要远程访问基于 IT 的楼宇控制系统，请使用 VPN（虚拟专用网络）技术来降低数据拦截的风险，并保护控制设备不被直接放置在互联网上。

文档

文档对于获取维护安全系统所需的设计和配置信息至关重要。

记录物理设备和配置，包括关键的安全相关信息
所有设备和配置文档都必须包含安全相关信息，以建立和维护预期的安全控制。例如amp例如，如果对高级工厂控制器上的默认服务或端口进行了更改，则请清楚地记录这些更改，以便可以在将来的某个时间点恢复设置。

记录外部系统，特别是高级工厂控制器与其相关系统之间的交互
BAS 通常需要或利用外部系统来实现功能，例如现有网络基础设施、VPN 访问、虚拟机主机和防火墙。如果 BAS 要求以某种方式配置这些系统以确保安全，例如防火墙允许或拒绝某些端口或网络允许访问某些系统，那么您必须记录此信息。如果这些系统需要在将来某个时间点恢复，Example：由于设备故障，或者需要对外部系统进行更改，Example：升级防火墙，记录这些信息将帮助您恢复到以前的安全级别。

访问控制和物理安全
访问控制涉及指定和限制仅限授权用户访问设备或功能。

物理保护高级工厂控制器、HMI 和 IO 模块
防止未经授权访问与霍尼韦尔提供的系统一起使用的网络设备。对于任何系统，防止对网络和设备的物理访问都可以降低未经授权干扰的风险。IT 安装的安全最佳实践是确保服务器机房、配线架和 IT 设备都位于带锁的房间内。霍尼韦尔设备应安装在带锁的控制柜内，而控制柜本身位于安全的机房内。

控制器检修面板或外壳上的贴纸
申请amp高级工厂控制器、HMI 和 IO 模块检修面板或外壳上的 er-vident 贴纸
如果客户需要额外的保证，确保保护高级工厂控制器、HMI 和 IO 模块的物理访问权限未被输入，则安装在amp接入点上方应有明显的封条或贴纸。

隔离和保护网络

在 Internet/内部网/公司网络和 BAS 之间使用防火墙。

使用单独的专用物理网络（单独的线路）或虚拟网络（VLAN）进行 BACnetTM 通信。这必须是与 Internet/内部网/公司网络分开的网络。
不要将高级工厂控制器上的 EN2 连接到任何网络，除非您需要 Niagara 服务（平台、站点和/或 Web服务器）。如果确实需要将 EN2 连接到 Internet/内联网/企业网络，则必须在高级工厂控制器和 Internet/内联网/企业网络之间使用外部 BAS 防火墙。

无线安全

用户需要重新view 基于网络拓扑的无线网络安全，确保不会意外暴露给公共互联网，并且不会绕过 BAS 防火墙保护。

始终采用最高级别的无线安全技术（例如 WPA2 或 WPA3）至关重要。此外，用户必须安全保护其密码，包括但不限于 Wi-Fi 密码和蓝牙 PIN 码。切勿允许控制器连接到开放的无线网络或设置开放的无线接入点。
始终避免将未经授权的设备连接到无线网络或建立蓝牙连接，以防止潜在的漏洞。
用户有责任定期view 安全设置、根据安全策略更改密码或密码，以及监控无线网络和子网上连接的设备。用户还应记录这些审计活动。

保护高级控制器、HMI 和 I/O 模块

向站点用户提供的管理系统帐户凭据
必须向站点所有者提供“管理员”系统帐户的凭据，以允许他们管理系统帐户。
制定安全计划
请参阅‘一般安全最佳实践’
物理和环境考虑
高级控制器、HMI 和 IO 模块必须安装在锁定的环境中，例如位于安全的厂房或上锁的柜子中。

笔记
确保充分通风。

安全更新和服务包
确保高级控制器、HMI 和 IO 模块运行的是最新版本的固件。

用户和密码

用户
确保提供的用户数量和访问级别适合他们需要执行的活动。

在控制器设备级别配置控制器中的系统帐户或用户 Web 客户端、主管和点对点访问。
在高级控制器中配置用户模块，这意味着用户必须使用有效凭证登录设备才能进行调整。确保为系统帐户和用户分配适当的访问权限。

为每个用户使用不同的帐户
为系统中的每个用户/帐户使用唯一的名称和密码，而不是通用访问权限。不同的人不应该共享同一个帐户。例如amp例如，每个经理都应该拥有自己独立的账户，而不是许多经理可以使用的通用“经理”账户。

每个用户拥有自己的个人帐户的原因有很多：

如果每个人都有自己的账户，审计日志将更具信息量。很容易确定哪个用户做了什么。这可以帮助检测账户是否被盗用。

笔记
并非所有产品都具有审计日志功能，但如果有，则不应禁用。

如果账户被删除或修改，不会给很多人带来不便。例如amp例如，如果某人不再拥有访问权限，删除其个人访问权限很简单。如果是共享帐户，唯一的选择是更改密码并通知所有人，或者删除帐户并通知所有人。保留帐户原样不是一种选择——目标是撤销访问权限。
如果每个人都有自己的帐户，那么定制权限以精确满足他们的需求就容易得多。共享帐户可能会导致人们拥有比他们应有的更多的权限。
共享账户意味着共享密码。共享密码是一种非常糟糕的安全做法。它使密码更容易泄露，并使实施某些密码最佳实践（如密码过期）变得更加困难。

为项目使用独特的工程用户
一些公司在每个项目上使用相同的账户信息是一种常见做法。一旦一个系统被攻破，攻击者就有可能获得访问同一家公司安装的许多其他项目的凭证。
尽可能禁用已知帐户
有些产品有默认账户。应配置这些账户，使密码不再是默认密码。
为用户分配所需的最低权限
确保系统上只设置必需的帐户，并设置最低安全级别，而不是完全访问权限。创建新帐户时，请考虑用户需要在系统中执行的操作，然后分配执行该操作所需的最低权限。例如amp例如，只需要查看警报的人不需要管理员访问权限。授予不必要的权限会增加安全漏洞的可能性。用户可能会无意中（或故意）更改他们不应该更改的设置。

尽量使用最少数量的系统管理员帐户
仅在绝对必要时才分配系统管理员权限。这种类型的帐户是一种非常强大的帐户 - 它允许完全访问所有内容。只有系统管理员才有权访问该帐户。还可以考虑为系统管理员提供两个帐户，一个用于日常访问以管理日常活动，另一个高级访问帐户仅在需要更改管理类型时才需要。

密码
Niagara 系统和操作系统使用的高级霍尼韦尔产品使用密码来验证进入监控器、显示器、工具或操作系统的“用户”。正确处理密码尤为重要。不采用这一最基本的安全级别意味着任何人都可以通过显示器访问系统， web 客户或主管将有权进行调整。确保 Niagara 系统在适当的密码策略下运行，以便用户访问，该指南包括但不限于：

使用强密码 – 应使用强密码。请参阅最新的安全标准，了解强密码的详情。

建议的密码周期 – 一些 Niagara 产品允许系统管理员指定一个必须更改密码的时间段。虽然目前并非所有产品都强制执行此密码更改期限，但站点策略可以推荐此方法。
密码泄露规则——用户必须确保不向他人泄露其用户名和密码的详细信息，也不要将其写下来。

配置高级工厂控制器
有关高级工厂控制器的配置，请参阅安装说明和调试指南
（31-00584）。有关 HMI，请参阅 HMI 驱动程序指南 (31-00590)，有关 IO 模块，请参阅面板总线驱动程序指南 (31-00591)。

创建并维护基线配置
创建并维护已正确配置安全性的高级工厂控制器配置基线。确保此基线还包括 DCF files 和 Niagara 组件。不要将不安全的配置提交到基线，以防止将来无意中应用它们。配置更改时，请更新任何相关文档。

更改默认密码
更改所有默认密码：控制台配置密码、备份/恢复/重启/控制密码和 Niagara 平台密码。完成调试后，确保设备受密码保护。确保为站点用户分配适当的用户级别。

进一步考虑

服务水平协议
作为服务水平协议的一部分，对现场安装的基础设施采用适当的更新策略。此策略应包括但不限于将以下系统组件更新到最新版本：

控制器、IO 模块、HMI 等设备固件；
监控软件，例如Arena NX软件；
计算机/服务器操作系统；
网络基础设施和任何远程访问系统。

IT网络配置
为自动化控制系统和客户公司 IT 网络配置单独的 IT 网络。这可以通过在客户 IT 基础设施内配置 VLAN（虚拟 LAN）或安装专用于自动化控制系统的隔离单独网络基础设施来实现。
使用集中系统监控器与控制器交互时（Example：Niagara）并且系统不需要直接访问单个设备 web 服务器，网络基础设施应该配置为限制 web 服务器访问。
使用 MAC 地址分配的动态 VLAN 可以防止设备未经授权连接到系统，并可以降低与网络上的个人监控信息相关的风险。

配置 BAS 防火墙

下表描述了高级工厂控制器中使用的网络端口。请参阅“系统概览”view” 在第 8 页。ample 安装架构。该表包含以下列：

默认端口和协议（TCP 或 UDP）
港口用途
是否需要更改默认端口

是否应允许传入连接或流量通过 BAS 防火墙
表格下方列出了附加说明

表2 BAS防火墙配置

默认端口/协议	目的	更改默认值？	允许通过 BAS 防火墙？	笔记
80 / TCP	HTTP	不	不
443 / TCP	HTTPs的	不	有可能，如果 web 需要从 Internet/Intranet/公司网络进行访问。	1
1911 / TCP	Fox（Niagara 应用协议的非安全版本）	是的	不
4911 / TCP	Fox + SSL（Niagara 应用协议的安全版本）	是的	不
3011 / TCP	NiagaraD（Niagara 平台协议的非安全版本）	是的	不
5011 / TCP	NiagaraD + SSL（Niagara平台协议的安全版本）	是的	不
2601 / TCP	Zebra 控制台端口	不	不	2
2602 / TCP	RIP控制台端口			2
47808/UDP	BACnetTM/IP 网络连接	是的	不	3

笔记

如果直接远程 web 如果支持用户界面，则必须允许该端口通过 BAS 防火墙。
此守护程序会自动打开端口，并且无法禁用此功能。守护程序配置为不允许通过此端口进行任何登录。

遵循本手册中所述的网络配置指南，高级工厂控制器将永远不需要通过 BAS 防火墙传递 UDP 流量。

设置身份验证

Google 身份验证方案是一种双因素身份验证机制，要求用户在登录站点时输入密码和一次性令牌。即使密码被泄露，这也能保护用户的帐户。
此身份验证方案依赖于 TOTP（基于时间的一次性密码）和用户移动设备上的 Google Authenticator 应用来生成和验证一次性身份验证令牌。Google 身份验证是基于时间的，因此不依赖于用户移动设备、工作站或外部服务器之间的网络通信。由于身份验证器是基于时间的，因此工作站的时间和手机中的时间必须保持相对同步。该应用提供了正负 1.5 分钟的缓冲，以解决时钟偏差问题。
先决条件：用户的手机需要安装 Google 身份验证应用。您正在 Workbench 中工作。用户存在于站点数据库中。

程序

打开 gauth 面板并将 GoogleAuthenticationScheme 添加到导航树中的服务 > Authenticationservice 节点。

右键单击 Userservice，然后双击表中的用户。编辑 view 供用户打开。
将身份验证方案名称属性配置为 GoogleAuthenticationScheme，然后单击保存。
点击用户身份验证器下方的密钥旁边的按钮，然后按照提示进行操作。

要完成配置，请单击“保存”。根据 view 您正在使用，您可能必须再次打开用户或在保存后刷新。

系统交付
本节包含将 BAS 交付给系统所有者时必须提供的信息。

包含安全信息、配置设置、管理用户名和密码、灾难和恢复计划以及备份和恢复程序的文档。

对最终用户进行安全维护任务的培训。

USB 备份和清理 FILE 安装
用户必须保护用于压缩和解压缩控制器的密码。避免在备份或恢复过程中共享密码和控制器凭据。
USB 备份和 CleanDist file 安装信息可以在安装说明和调试指南 - 31-00584 中找到。

系统退役
应从停止使用的设备中删除敏感数据，这可以通过执行恢复出厂设置来完成。请参阅服务按钮/服务警报 LED 和 CleanDist file 按照安装说明和调试指南 – 31-00584 进行安装。

笔记
清洁区 file 程序可以通过安装 clean4 来执行工厂设置 file.

基于尼亚加拉的先进产品安全
对于基于 Niagara N4 和 Niagara AX 框架的高级霍尼韦尔产品（例如高级工厂控制器、HMI 和 IO 模块），您必须遵循 Tridium 关于保护 Niagara 框架的建议。
可以对 Niagara 进行一些配置更改，以最大限度地提高 Advanced Honeywell 产品的安全性。

使用密码强度功能
启用帐户锁定功能
密码过期
使用密码历史记录
使用密码重置功能
不要选中“记住这些凭据”框
更改默认系统密码
使用 TLS 设置系统密码
选择强系统密码
保护系统密码
确保平台所有者知道系统密码
为每个平台用户使用不同的帐户
为每个项目使用唯一的帐户名
确保平台所有者了解平台凭证
为每个站点用户使用不同的帐户
为每个项目使用唯一的服务类型帐户
尽可能禁用已知帐户
设置临时帐户自动过期
更改系统类型账户凭证
适当时禁止并发会话
配置具有最低所需权限的角色
为用户分配最低限度所需的角色
尽可能少地使用超级用户
要求程序对象具有超级用户权限
使用外部账户所需的最低权限
使用适合帐户类型的身份验证方案
删除不必要的身份验证方案
TLS 和证书管理
模块安装
需要签名的程序对象和机器人
禁用 SSH 和 SFTP
禁用不必要的服务
安全地配置必要的服务
将 Niagara 4 更新至最新版本
在安全位置安装产品
确保工作站位于 VPN 后面
有特定的技术出版物可供参考，必须遵循这些出版物才能确保系统尽可能安全地锁定。有许多选项可供选择，例如 SSL 加密和用于保护程序模块等元素的附加步骤，有关更多详细信息，请参阅 Tridium webNiagara 4 强化指南 (针对基于 Niagara N4 的产品) 和 Niagara 强化指南 (基于 Niagara AX 的产品) 的网站。

本文档中的材料仅供参考。所描述的内容和产品如有更改，恕不另行通知。霍尼韦尔对本文件不作任何陈述或保证。在任何情况下，霍尼韦尔均不对本文档中的技术或编辑遗漏或错误负责，也不对因使用本文档引起或与之相关的任何直接或附带损害负责。未经霍尼韦尔事先书面许可，不得以任何形式或任何方式复制本文档的任何部分。
霍尼韦尔 | 楼宇自动化

715 桃树街，内布拉斯加州，

亚特兰大, 佐治亚州, 30308, 美国。
https://buildings.honeywell.com/us/en
® 美国注册商标

安装安全检查表

高级工厂控制器设备实例：______________________________________________________________
高级工厂控制器描述：__________________________________________________________________
高级工厂控制器位置：___________________________________________________________________________________
安装程序：________________________________________________________
日期： __________________________________

为每个已安装的高级工厂控制器完成以下安全任务

在高级工厂控制器和外部网络之间安装防火墙。请参阅第 19 页的“BACnet 和 Niagara”。
物理上保护高级工厂控制器。请参阅第 22 页上的“物理上保护高级工厂控制器、HMI 和 IO 模块”。
将默认密码更改为以下每个操作的唯一密码：控制台配置、备份/恢复/重启/控制和 Niagara 平台。请参阅安装说明和调试指南 - 31-00584
如果 web 需要服务器，然后将其配置为仅在 HTTPS 模式下运行。请参阅安装说明和调试指南 – 31-00584

Web 服务器状态：禁用/启用。
If web 服务启用后，完成以下操作：

设置 Http Enabled = false。
设置 Https Enabled = true。
设置 Https Only = true。
配置 BAS 防火墙。请参阅第 26 页的“配置 BAS 防火墙”。
交付时向 BAS 系统所有者提供所有必需数据。请参阅第 27 页的“设置身份验证”。

常问问题

为什么保护高级控制器如此重要？
保护控制器有助于防止未经授权的访问、保护敏感数据并确保系统可靠性。
我如何恢复我的密码？
要恢复密码，请按照手册中概述的密码恢复流程操作。这通常涉及验证您的帐户信息。

文件/资源

Honeywell Optimizer 高级控制器 [pdf] 用户手册
31-00594-03，优化器高级控制器，高级控制器，控制器

参考

用户手册

Honeywell Optimizer 高级控制器