Herunterladen
Teilen
Diese Seite drucken
ABB Relion 670 Serie Bedienungsanleitung
  1. Anleitungen
  2. Marken
  3. ABB Anleitungen
  4. Industrielle Ausrüstung
  5. Relion 670 Serie
  6. Bedienungsanleitung
ABB Relion 670 Serie Bedienungsanleitung

ABB Relion 670 Serie Bedienungsanleitung

Vorschau ausblenden Andere Handbücher für Relion 670 Serie:

Werbung

Quicklinks

Diese Anleitung herunterladen
®
Relion
670 Serie
670 Serie
Version 2.2 IEC
Richtlinien zur Cyber-Sicherheit

Werbung

loading

Verwandte Anleitungen für ABB Relion 670 Serie

Inhaltszusammenfassung für ABB Relion 670 Serie

  • Seite 1 ® Relion 670 Serie 670 Serie Version 2.2 IEC Richtlinien zur Cyber-Sicherheit...
  • Seite 3 Dokument-ID: 1MRK 511 399-UDE Herausgegeben: Februar 2019 Revision: B Produktversion: 2.2 © Copyright 2017 ABB. Alle Rechte vorbehalten...
  • Seite 4 Software, die geschrieben bzw. entwickelt wurde von: Eric Young (eay@cryptsoft.com) und Tim Hudson (tjh@cryptsoft.com). Marken ABB und Relion sind eingetragene Warenzeichen der ABB Group. Alle sonstigen Marken- oder Produktnamen, die in diesen Unterlagen Erwähnung finden, sind gegebenenfalls Warenzeichen oder eingetragene Markenzeichen der jeweiligen Inhaber.
  • Seite 5 Systeme und Schnittstellen vor Sicherheitsverletzungen, unautorisierten Zugriffen, Beeinträchtigungen, Eindringversuchen, Datenlecks und/oder einem Diebstahl von Daten oder Informationen zu schützen. ABB Ltd und die Tochterunternehmen sind nicht verantwortlich für Schäden und/oder Verluste im Zusammenhang mit Sicherheitsverletzungen, unautorisierten Zugriffen, Beeinträchtigungen, Eindringversuchen, Datenlecks und/oder einem Diebstahl von Daten oder Informationen.
  • Seite 6 Rechtsvorschriften der Mitgliedstaaten betreffend elektrischer Betriebsmittel zur Verwendung innerhalb bestimmter Spannungsgrenzen (Niederspannungsrichtlinie 2006/95/EG). Diese Konformität ist das Ergebnis einer Prüfung seitens ABB in Übereinstimmung mit Artikel 10 der Richtlinie gemäß der Produktnormen EN 60255-26 für die EMV-Richtlinie und gemäß den Produktnormen EN 60255-1 und EN 60255-27 für die Niederspannungsrichtlinie.
  • Seite 7 Inhaltsverzeichnis Inhaltsverzeichnis Abschnitt 1 Einführung......................3 Dieses Handbuch..........................3 Zielgruppe............................3 Produktunterlagen..........................4 1.3.1 Produktunterlagen........................4 1.3.2 Zugehörige Dokumente....................... 5 Dokumentsymbole und -konventionen..................7 1.4.1 Symbole............................7 1.4.2 Dokumentkonventionen.......................8 Abschnitt 2 Sicherheit in der Stationsautomatisierung.............9 Allgemeine Sicherheit in der Stationsautomatisierung............. 9 Abschnitt 3 Sichere Systemeinstellung................11 Physische Schnittstellen........................11 Kommunikationsports und Dienste....................11 FTP-Zugriff mit TLS, FTPACCS......................
  • Seite 8 Inhaltsverzeichnis Einführung............................33 Zertifikatsverwaltung........................33 5.2.1 Erstellen von Geräte-Zertifikaten.....................34 5.2.2 Importieren und Schreiben von Zertifikaten in ein Gerät............35 5.2.3 Lesen von Zertifikaten aus einem Gerät................. 38 5.2.4 Zertifikatsinformationen in der lokalen HMI................. 39 5.2.5 Ungültige Zertifikate ......................... 42 5.2.6 Löschen von Zertifikaten aus einem Gerät................42 Aktivierung des Central Account Management.................
  • Seite 9 1MRK 511 399-UDE B Abschnitt 1 Einführung Abschnitt 1 Einführung Dieses Handbuch GUID-AB423A30-13C2-46AF-B7FE-A73BB425EB5F v18 Die Richtlinie zur Netzsicherheit enthält Informationen zum Umgang mit Netzsicherheit bei der Kommunikation mit dem Gerät. Zertifizierung, Autorisierung mit rollenbasierter Zugriffsteuerung und Produkt-Engineering für mit Netzsicherheit verbundenen Ereignissen werden beschrieben und nach Funktion sortiert.
  • Seite 10 Richtlinie zur Cyber- Sicherheit IEC07000220-4-en.vsd IEC07000220 V4 DE-DE Abb. 1: Die vorgesehene Nutzung von Handbüchern im Produktlebenszyklus Das Engineering-Handbuch enthält Anleitungen zur Konfiguration der Geräte unter Verwendung der verschiedenen Tools innerhalb der PCM600-Software. Außerdem enthält es Beschreibungen zum Aufbau und Erstellen eines PCM600-Projekts und zum Einfügen von Geräten in die Projektstruktur.
  • Seite 11 1MRK 511 399-UDE B Abschnitt 1 Einführung Das Benutzerhandbuch enthält Anleitungen zum Betrieb des Geräts nach der Inbetriebnahme. Die Anleitungen im Handbuch beziehen sich unter anderem auf Überwachung, Steuerung und Einstellung des Geräts. In diesem Handbuch wird auch beschrieben, wie Störungen erkannt werden können, und wie berechnete und gemessene Netzdaten eingesehen werden können.
  • Seite 12 Abschnitt 1 1MRK 511 399-UDE B Einführung Dokumentation zu RED670 Dokumentnummer Anwendungs-Handbuch 1MRK 505 376-UEN Inbetriebnahme-Handbuch 1MRK 505 378-UEN Produktdatenblatt 1MRK 505 379-BEN Technisches Handbuch 1MRK 505 377-UEN Typprüfzertifikat 1MRK 505 379-TEN Dokumentation zu REG670 Dokumentnummer Anwendungs-Handbuch 1MRK 502 071-UEN Inbetriebnahme-Handbuch 1MRK 502 073-UEN Produktdatenblatt...
  • Seite 13 1MRK 511 399-UDE B Abschnitt 1 Einführung Handbücher Serie 670 Dokumentnummer Benutzerhandbuch 1MRK 500 127-UEN Engineering-Handbuch 1MRK 511 398-UEN Installations-Handbuch 1MRK 514 026-UEN Kommunikationsprotokoll-Handbuch DNP3 1MRK 511 391-UUS Kommunikationsprotokoll-Handbuch IEC 1MRK 511 394-UEN 60870-5-103 Kommunikationsprotokoll-Handbuch IEC 61850 Editi- 1MRK 511 393-UEN on 2 Kommunikationsprotokoll-Handbuch LON 1MRK 511 395-UEN...
  • Seite 14 Abschnitt 1 1MRK 511 399-UDE B Einführung Das Tippsymbol weist auf Ratschläge bezüglich, beispielsweise, Anweisungen zur Erstellung von Projekten oder Benutzung bestimmter Funktionen hin. Obwohl Gefahrenwarnungen auf die Möglichkeit von auftretenden Personenschäden hinweisen, sollte man sich stets vor Augen halten, dass das Bedienen beschädigter Geräte unter bestimmten Umständen zu eingeschränkter Gerätefunktionsweise führen kann und infolgedessen zu Personenschäden mit Todesfolge führen kann.
  • Seite 15 Konzeption, Entwicklung und kontinuierliche Verbesserung der Cyber-Security-Lösungen speziell für Steuerungssysteme, einschließlich Anwendungen für die Stationsautomatisierung. ABB ist sich der Bedeutung der Cyber-Security und seiner Rolle bei der Unterstützung der Sicherheit von Stationsautomatisierungssystemen voll und ganz bewusst. Durch eine Investition in neue ABB Technologie investieren Kunden in robuste Systemlösungen, bei denen Zuverlässigkeit und Sicherheit oberste Priorität haben.
  • Seite 16 VP N Firewall / R outer / VP N Stations-LAN MicroS C ADA P ro SYS6 00C IE C 61850-8-1 Stationsbus Schutz- und Steuergerät Sicherheitszone 1 Perimeterschutz IEC12000189-3-en.ai IEC12000189 V3 DE-DE Abb. 2: Systemarchitektur für Stationsautomatisierungssystem 670 Serie Richtlinien zur Cyber-Sicherheit...
  • Seite 17 Protokollen auf diesen Anschlüssen kann mithilfe des Ethernet-Konfigurations-Tools konfiguriert werden. ABB empfiehlt den Einsatz von üblichen Sicherheitsmaßnahmen wie Firewalls, aktueller Anti- Viren-Software usw., um das Gerät und die Peripheriegeräte zu schützen. Es wird empfohlen, nicht verwendete Access Points und Protokolle zur Verbesserung der Cyber-Sicherheit zu deaktivieren.
  • Seite 18 Abschnitt 3 1MRK 511 399-UDE B Sichere Systemeinstellung Port Proto- Stan- Front 301 3061 3062 Service Kommentar koll dard- status 20000 DNP3.0 Nur DNP3.0 DNP-Kommunikati- schlo ssen 20000 DNP3.0 Nur DNP3.0 DNP-Kommunikati- schlo ssen 49152 SNTP-Client Aktiviert, wenn das Gerät als schlo SNTP-Client konfiguriert ist.
  • Seite 19 Störaufzeichnungen (DR) wird der FTP-Port verwendet. IP-Routing ist über keine der physischen Schnittstellen möglich. Einige IP-Ports können nicht für alle physischen Schnittstellen verwendet werden. IEC13000267-2-en.psd IEC13000267 V2 EN-US Abb. 3: Ethernet-Port nur für PCM600, Frontansicht 670 Serie Richtlinien zur Cyber-Sicherheit...
  • Seite 20 Abschnitt 3 1MRK 511 399-UDE B Sichere Systemeinstellung IEC13000268-2-en.vsd IEC13000268 V2 EN-US Abb. 4: Optische Ethernet-Ports, Position X311, Rückansicht FTP-Zugriff mit TLS, FTPACCS GUID-9E64EA68-6FA9-4576-B5E9-92E3CC6AA7FD v3 Der FTP-Client verwendet bei der TLS-Kommunikationsaufforderung den besten verfügbaren Sicherheitsmodus. Der automatische Aufforderungsmodus arbeitet nach der konfigurierten Portnummer 21 und Serverfunktionen.
  • Seite 21 1MRK 511 399-UDE B Abschnitt 3 Sichere Systemeinstellung Dienstverweigerung GUID-94340D4F-4D32-409B-BA1A-BA49A0C3F297 v5 Der Dienstverweigerungsschutz dient dem Schutz des Gerätes vor Überlastzuständen bei starkem Ethernet-Netzwerkverkehr. Die Kommunikationseinrichtungen dürfen die primäre Funktionalität des Geräts nicht beeinträchtigen. Der gesamte eingehende Netzwerkverkehr ist kontingentgesteuert, sodass zu hohe, aus dem Netzwerkverkehr resultierende Belastungen gesteuert werden können.
  • Seite 23 1MRK 511 399-UDE B Abschnitt 4 Lokale Benutzerkontenverwaltung Abschnitt 4 Lokale Benutzerkontenverwaltung Autorisierung GUID-981A881D-9229-45E8-9EE5-D6DF2CA457E5 v4 Benutzerrollen mit verschiedenen Benutzerrechten sind im Gerät vordefiniert. Anstelle der vordefinierten installierten Benutzer sollten benutzerdefinierte Benutzer verwendet werden. Gerätebenutzer können nur über PCM600 erstellt, gelöscht und bearbeitet werden. Ein Benutzer kann eine oder mehrere Benutzerrollen haben.
  • Seite 24 Abschnitt 4 1MRK 511 399-UDE B Lokale Benutzerkontenverwaltung Änderungen an den Einstellungen der Benutzerverwaltung führen nicht zu einem Geräte-Neustart. Nach drei aufeinander folgenden fehlgeschlagenen Anmeldeversuchen wird der Benutzer für zehn Minuten gesperrt, bevor ein neuer Anmeldeversuch unternommen werden kann. Die Zeit kann zwischen 10 und 60 Minuten eingestellt werden.
  • Seite 25 1MRK 511 399-UDE B Abschnitt 4 Lokale Benutzerkontenverwaltung Vordefinierte Benutzerrollen GUID-41C5DF7D-BE92-476D-B3A9-646238A7CD6A v4 Es gibt unterschiedliche Benutzerrollen, die auf verschiedene Bereiche des Geräts und Tool- Funktionen zugreifen oder diese bedienen können. Stellen Sie sicher, dass der am Gerät angemeldete Benutzer den erforderlichen Zugriff beim Schreiben von Daten von PCM600 auf das Gerät besitzt.
  • Seite 26 Abschnitt 4 1MRK 511 399-UDE B Lokale Benutzerkontenverwaltung Tabelle 6: Erklärung der Zugriffsrechte Zugriffsrechte Erklärung Config – Basic Konfiguration – Basis ist für Ingenieure, die eine vorhandene Konfiguration nur anpassen, z. B. die E/A-Konfiguration mit SMT. Config – Advanced Konfiguration – Erweitert ist für Ingenieure, die vollständige Anwendungen projektieren und beispielsweise ACT verwenden, bestimmt.
  • Seite 27 Nach Ablauf des Passworts kann sich der Benutzer immer noch anmelden, in der lokalen HMI erscheint jedoch ein Warndialogfenster. Es wird auch ein Sicherheitsereignis ausgegeben. IEC13000233 V1 DE-DE Abb. 5: Warndialogfenster für Passwortablauf IEC13000027 V2 DE-DE Abb. 6: Dialogfenster für das Ändern der Kennwortrichtlinien im Geräte-Benutzertool...
  • Seite 28 Abschnitt 4 1MRK 511 399-UDE B Lokale Benutzerkontenverwaltung Geräte-Benutzerverwaltung GUID-B3A1A9F3-7F76-413C-A9A1-E090B90A8B3A v3 Das Geräte-Benutzertool in PCM600 wird für die Bearbeitung von Benutzerprofilen und Rollenzuordnungen verwendet. Im Geräte-Benutzertool können die Daten von einem Gerät abgerufen oder Daten, sofern zulässig, auf ein Gerät geschrieben werden. Die Daten von einem Gerät können in der Projektdatenbank gespeichert werden.
  • Seite 29 1MRK 511 399-UDE B Abschnitt 4 Lokale Benutzerkontenverwaltung IEC13000017 V2 DE-DE Abb. 7: Registerkarte "Allgemein" 4.4.3 Verwaltung von Benutzerprofilen GUID-74EEBF57-309E-4C97-A5A0-5731E21B9CBE v2 In der Registerkarte Benutzermanagement können die Benutzerprofile des ausgewählten Geräts bearbeitet werden. Neue Benutzer können erstellt, vorhandene Benutzer gelöscht und verschiedene Mitglieder von Benutzergruppen bearbeitet werden.
  • Seite 30 Klicken Sie auf in der Registerkarte Benutzer, um den Assistenten zu öffnen. IEC12000200 V2 DE-DE Abb. 9: Neuen Benutzer erstellen Folgen Sie den Anweisungen im Assistenten, um Benutzername, Passwort und Benutzerrolle zu definieren. Wählen Sie mindestens eine Benutzerrolle aus, zu der der definierte Benutzer gehört.
  • Seite 31 1MRK 511 399-UDE B Abschnitt 4 Lokale Benutzerkontenverwaltung IEC12000201 V3 DE-DE Abb. 10: Benutzerrolle auswählen Wählen Sie in der Benutzerliste den Benutzer aus, und geben Sie im Feld Beschreibung / Vollständiger Name einen neuen Namen oder eine Beschreibung ein, um den Namen oder die Beschreibung des Benutzers zu ändern.
  • Seite 32 1MRK 511 399-UDE B Lokale Benutzerkontenverwaltung Informationen zu den Rollen, denen der Benutzer zugeordnet ist, sind im Bereich Benutzerdetails zu sehen. IEC12000203 V2 DE-DE Abb. 12: Benutzer hinzufügen 4.4.3.3 Löschen vorhandener Benutzer GUID-472BF39B-DDAC-4D88-9B74-E6C49D054524 v2 Wählen Sie in der Liste Benutzer den Benutzer aus.
  • Seite 33 1MRK 511 399-UDE B Abschnitt 4 Lokale Benutzerkontenverwaltung IEC12000205 V2 DE-DE Abb. 14: Vorhandenen Benutzer löschen 4.4.3.4 Ändern des Passworts GUID-6180D722-CC49-445B-B520-BAD8904A60AF v2 Wählen Sie in der Liste Benutzer den Benutzer aus. IEC12000206 V2 DE-DE Abb. 15: Benutzer auswählen Klicken Sie auf Geben Sie das alte Kennwort einmal und das neue Kennwort zweimal in die erforderlichen Felder ein.
  • Seite 34 Lokale Benutzerkontenverwaltung Im Gerät werden keine Passwörter in Klartext gespeichert. Im Gerät wird eine Hash-Darstellung der Passwörter gespeichert, und diese sind von außen über keinen der Ports zugänglich. IEC12000207 V2 DE-DE Abb. 16: Kennwort ändern 4.4.4 Verwaltung der Benutzerrollen GUID-213FBF87-3268-42E6-88B0-8EE260127B08 v2 In der Registerkarte Rollen können die Benutzerrollen geändert werden.
  • Seite 35 GUID-9DFF2F01-52D9-406D-AE0A-DEE655D4B2F5 v3 Klicken Sie in der Liste Anwender zugeordnet mit der rechten Maustaste auf den Benutzer. Wählen Sie Entfernen Sie diese Rolle vom gewählten Mitglied aus. IEC12000210 V2 DE-DE Abb. 18: Rolle von Benutzer entfernen 4.4.4.3 Wiederverwenden von Benutzerkonten GUID-C28C87EC-7027-440C-BB38-2C8EC14ECA40 v2 Geräte-Benutzerkontodaten können aus dem Gerät exportiert und in ein anderes Gerät...
  • Seite 36 Öffnen Sie die zuvor exportierte Datei. Nur Benutzer, die in PCM600 eine Berechtigung zum Ändern von Benutzerkontodaten haben, können diese Daten exportieren und importieren. IEC12000209 V2 DE-DE Abb. 19: Importieren und Exportieren von Benutzerkontodaten 4.4.5 Schreiben von Einstellungen der Benutzerverwaltung auf das Gerät...
  • Seite 37 1MRK 511 399-UDE B Abschnitt 4 Lokale Benutzerkontenverwaltung 4.4.7 Speichern von Einstellungen der Benutzerverwaltung GUID-AE198606-6E71-4C77-A4E1-02B79E4270B4 v2 • Wählen Sie im Menü Datei/Speichern aus. • Klicken Sie in der Symbolleiste auf das Symbol Speichern. Die Speicherfunktion ist nur dann verfügbar, wenn Daten geändert wurden. 670 Serie Richtlinien zur Cyber-Sicherheit...
  • Seite 39 Verteilung von diesen in einem für die Benutzer völlig transparenten Verfahren. In diesem Handbuch basiert die Beschreibung und Handhabung der LDAP- Server-Software auf SDM600, einem Produkt von ABB. Eine andere Central Account Management Software kann verwendet werden, sofern sie über eine ausreichende Funktionalität verfügt.
  • Seite 40 Anleitung zum Erstellen von Gerätezertifikaten. Exportieren Sie in PCM600 die Substation Configuration Description (SCD). IEC15000280 V1 DE-DE Abb. 22: SCD-Datei exportieren Generieren Sie die SCD-Datei aus PCM600. Importieren Sie in SDM600 die SCD-Datei mit dem Load Structure Tool. Siehe Einrichten der SDM600-Struktur im SDM600 Benutzerhandbuch.
  • Seite 41 Maustaste auf VoltageLevel, Bay oder IED, und wählen Sie Account Management aus. Es erscheint das nachfolgend dargestellte Dialogfenster "Account Management". IEC15000281 V1 DE-DE Abb. 23: Account Management Tool in PCM Wählen Sie die Option Importiere und schreibe Zertifikate. Wählen Sie die Geräte aus, auf die Zertifikate geschrieben werden sollen.
  • Seite 42 Abschnitt 5 1MRK 511 399-UDE B Zentrale Kontoverwaltung IEC15000346 V1 DE-DE Abb. 24: Ansicht des Tools für das Importieren und Schreiben von Zertifikaten in PCM600 Wählen Sie für die Geräte aus, auf die Zertifikate geschrieben werden sollen. Klicken Sie auf die Schaltfläche Import Zertifikate.
  • Seite 43 Es können nur CAM-Zertifikate von PCM600 auf das Gerät geschrieben werden. Wählen Sie das Zertifikat aus. IEC15000350 V1 DE-DE Abb. 27: Gewähltes Zertifikat Klicken Sie auf die Schaltfläche , um das bzw. die Zertifikate für die aktivierten Geräte zu schreiben, und klicken Sie im Dialogfenster zur Bestätigung auf Yes.
  • Seite 44 Klicken Sie in der Anlagenstruktur mit der rechten Maustaste auf Voltage Level oder Bay oder IED, und wählen Sie Account Management aus. Es erscheint das nachfolgend dargestellte Dialogfenster "Account Management". IEC15000281 V1 DE-DE Abb. 30: Account Management Tool in PCM Wählen Sie die Option Lese und lösche Zertifikate. IEC15000334 V1 DE-DE Abb.
  • Seite 45 Klicken Sie auf die Schaltfläche , um die Zertifikate anzuzeigen, die aus dem Gerät ausgelesen werden. IEC15000339 V1 DE-DE Abb. 33: Zertifikate, die aus dem Gerät ausgelesen werden Doppelklicken Sie auf eine Zertifikatseinheit, um die entsprechenden Details anzuzeigen. Oder Klicken Sie mit der rechten Maustaste auf ein Zertifikatseinheit, und wählen Sie Objekteigenschaften aus.
  • Seite 46 Abschnitt 5 1MRK 511 399-UDE B Zentrale Kontoverwaltung IEC15000324 V1 DE-DE Abb. 35: Zertifikatsansicht In der Zertifikatsansicht sind die Zertifikatsinformationen gemäß der Nutzung in Gruppen zusammengefasst. Wenn Sie CAM auswählen und drücken, erscheinen Informationen zu den Zertifikaten, die für das Central Account Management verwendet werden.
  • Seite 47 1MRK 511 399-UDE B Abschnitt 5 Zentrale Kontoverwaltung IEC15000326 V1 DE-DE Abb. 37: CAM-Zertifikate Wenn Sie auf einem Menüeintrag ohne Informationen im rechten Feld drücken, werden weitere Informationen angezeigt. Wenn Sie z. B. in dem in Abbildung gezeigten Menüpunkt Ausgegeben an drücken, erscheinen weitere Informationen. Diese sind in Abbildung zu sehen.
  • Seite 48 Abschnitt 5 1MRK 511 399-UDE B Zentrale Kontoverwaltung 5.2.5 Ungültige Zertifikate GUID-66DFAC1D-F305-416F-91D9-05D035F1810B v1 Ein Zertifikat kann aus unterschiedlichen Gründen ungültig sein, wenn z. B. das Zertifikat abgelaufen ist. Wenn in einem solchen Fall das Gerät ein selbstsigniertes Zertifikat verwendet, generiert es ein neues selbstsigniertes Zertifikat. Wenn andernfalls das Gerät ein von SDM600 generiertes Zertifikat verwendet, muss der Sicherheitsadministrator neue Zertifikate generieren und diese mit PCM600 erneut bereitstellen.
  • Seite 49 Abschnitt 5 Zentrale Kontoverwaltung IEC15000402 V1 DE-DE Abb. 40: Dialogfenster zur Bestätigung für das Löschen von Zertifikaten Klicken Sie auf die Schaltfläche Yes, um den Löschvorgang zu bestätigen. Die Zertifikate werden aus dem Gerät gelöscht, eine Bestätigung hierfür ist im Tool zu sehen.
  • Seite 50 Abschnitt 5 1MRK 511 399-UDE B Zentrale Kontoverwaltung IEC15000280 V1 DE-DE Abb. 42: SCD-Datei exportieren Importieren Sie die SCD-Projektdatei in SDM600, und generieren Sie das CAM- Konfigurationspaket. Ausführlich Anweisungen zum Generieren des CAM-Konfigurationspakets aus einer SCD-Datei enthält die Dokumentation zu SDM600.
  • Seite 51 1MRK 511 399-UDE B Abschnitt 5 Zentrale Kontoverwaltung IEC15000281 V1 DE-DE Abb. 43: Account Management Tool in PCM Klicken Sie auf die Schaltfläche SDM600 Configuration, um das SDM600 Konfigurations- Tool zu öffnen. IEC15000282 V1 DE-DE Abb. 44: SDM600-Konfiguration importieren Klicken Sie in der Symbolleiste auf , um die in Schritt 4 generierte SDM600- Konfigurations-Zip-Datei zu importieren.
  • Seite 52 Abschnitt 5 1MRK 511 399-UDE B Zentrale Kontoverwaltung IEC15000284 V1 DE-DE Abb. 46: Ergebnisse beim Importieren der SDM600-Konfiguration 12. Klicken Sie auf die Schaltfläche Fertig. 13. Wählen Sie im Account Management Tool die Geräte aus, für die das Central Account Management aktiviert werden soll.
  • Seite 53 Sie gemäß nachfolgender Abbildung mit der rechten Maustaste auf das Gerät, und wählen Sie dann Bearbeiten aus. IEC15000288 V1 DE-DE Abb. 49: Konfiguration bearbeiten Im danach angezeigten Bildschirm können die Konfigurationsparameter des Central Account Management bearbeitet bzw. das Zertifikat manuell geändert werden.
  • Seite 54 Abschnitt 5 1MRK 511 399-UDE B Zentrale Kontoverwaltung IEC15000289 V1 DE-DE Abb. 50: Lokale Konfiguration Die Registerkarte Lokale Konfiguration zeigt die derzeit in PCM600 vorhandene Konfiguration Die Registerkarte Entfernte Konfiguration zeigt die derzeit im Gerät vorhandene Konfiguration an. 670 Serie...
  • Seite 55 1MRK 511 399-UDE B Abschnitt 5 Zentrale Kontoverwaltung IEC15000290 V1 DE-DE Abb. 51: Entfernte Konfiguration In der Registerkarte Entfernte Konfiguration erscheint nur dann die Konfiguration, wenn am Gerät der Befehl Read Central Account Management Configuration durchgeführt wird. Siehe Abschnitt Auslesen der Konfiguration aus dem Gerät.
  • Seite 56 Klicken Sie mit der rechten Maustaste auf das Gerät, und wählen Sie Schreibe auf das Gerät aus. Siehe Abb. IEC15000293 V1 DE-DE Abb. 54: Konfiguration in das Gerät schreiben Das PCM600-Ausgabefenster zeigt das Ergebnis des Schreibvorgangs an. Siehe Abb. 670 Serie Richtlinien zur Cyber-Sicherheit...
  • Seite 57 1MRK 511 399-UDE B Abschnitt 5 Zentrale Kontoverwaltung IEC15000294 V1 DE-DE Abb. 55: PCM600-Ausgabefenster zeigt Deaktivierung des Central Account Management im Gerät an 5.3.4 Deaktivierung des Central Account Management in der lokalen GUID-A3829B79-FB89-4575-9D5C-C28EBCDD24CD v1 Im Falle einer falschen Konfiguration von CAM und Zertifikaten besteht die Möglichkeit, das Central Account Management zu deaktivieren und die geladenen Zertifikate im Gerät zu...
  • Seite 58 PLEASE CONFIRM Delete Certificates, Disable CAM? (persistent) Cancel IEC15000364-1-en.vsd IEC15000364 V1 EN-US Abb. 59: Bestätigung Drücken Sie , um die Startsequenz fortzusetzen (jetzt werden alle geladenen Zertifikate im Gerät gelöscht, und im Gerät wird das Central Account Management deaktiviert). Um den Vorgang an irgendeiner Stelle abzubrechen, drücken Sie Zugriffsverwaltung am Gerät mit aktivierter zentraler...
  • Seite 59 1MRK 511 399-UDE B Abschnitt 5 Zentrale Kontoverwaltung Benutzerrollen Erläuterung der Benutzerrechte Rollen INSTALLER Installierer Kann Konfigurationen laden und Einstellungen für das Gerät ändern. SECADM Sicherheitsad- Kann Rollenzuordnungen und Sicherheitseinstellungen ändern. Kann ministrator Zertifikate ausgeben. SECAUD Sicherheits-Au- Kann Audit-Protokolle anzeigen. ditor RBACMNT RBAC-Verwal-...
  • Seite 60 Abschnitt 5 1MRK 511 399-UDE B Zentrale Kontoverwaltung während der Engineering-Phase der Schaltanlage Zertifikate zu erstellen und zu vertreiben. Diese Zertifikate stellen sicher, dass eine geschützte Kommunikation zwischen dem Gerät und beispielsweise SDM600, FTP, PCM600 und anderen Systemen stattfindet. Tabelle 9: Autorisierungsbasierte Gerätefunktionen Funktion Beschreibung ATHSTAT - Autorisie-...
  • Seite 61 1MRK 511 399-UDE B Abschnitt 5 Zentrale Kontoverwaltung DB Access normal Audit log read Setting – Change Setting Group Security Advanced ADMINISTRATOR ist eine herstellerspezifische Benutzerrolle und nicht in IEC 62351-8 spezifiziert. Tabelle 11: Erklärung der Zugriffsrechte Zugriffsrechte Erklärung Config – Basic Konfiguration –...
  • Seite 62 Abschnitt 5 1MRK 511 399-UDE B Zentrale Kontoverwaltung Benutzer wird automatisch im Gerät entfernt, wenn im SDM600-Server Benutzer definiert und auf das Gerät repliziert werden. Für Benutzernamen sollten ausschließlich die Buchstaben A bis Z bzw. a bis z und die Zahlen 0 bis 9 verwendet werden. Benutzernamen werden nicht nach Groß- oder Kleinschreibung unterschieden.
  • Seite 63 1MRK 511 399-UDE B Abschnitt 5 Zentrale Kontoverwaltung Wenn der Benutzer versucht, über PCM600 mit einem Gerät zu kommunizieren, prüft PCM600 das vom Gerät angegebene "Zertifikat". Wenn während der Prüfung des Zertifikats neue Warnungen oder Fehler erkannt werden, zeigt das PCM600 eine Sicherheitswarnung an.
  • Seite 64 Abschnitt 5 1MRK 511 399-UDE B Zentrale Kontoverwaltung IEC15000295 V1 DE-DE Abb. 60: Eigenes Kennwort ändern Sie können Details eingeben und dann auf die Schaltfläche "OK" klicken. Das Passwort wird geändert, und das Ergebnis des Vorgangs wird im PCM600-Ausgabefenster angezeigt.
  • Seite 65 1MRK 511 399-UDE B Abschnitt 5 Zentrale Kontoverwaltung Beschreibung EREIGNISNUMMER Rückmeldung an Benutzer Anmeldung fehlgeschlagen. 1150 Password expired Passwort ist abgelaufen. Benutzer sollte den Systemadministrator kontaktieren, um das Passwort zu- rückzusetzen. Anmeldung 3 mal fehlgeschlagen 1170 Login blocked for this ID! (nur bei PCM600-Benutzern) Während der Authentifizierung ist Error in the Central Account Ser-...
  • Seite 66 Abschnitt 5 1MRK 511 399-UDE B Zentrale Kontoverwaltung IEC15000369 V1 DE-DE Abb. 61: CAM-Standardstatus Wenn das Gerät nicht mit dem Central Account Management konfiguriert ist, lautet der Standardstatus der CAMStatus-Diagnose wie folgt: IEC15000354 V1 DE-DE Abb. 62: CAM-Diagnose-Standardstatus Wenn das Gerät mit dem Central Account Management mit einem Server konfiguriert ist,...
  • Seite 67 1MRK 511 399-UDE B Abschnitt 5 Zentrale Kontoverwaltung Tabelle 14: Bezeichnung Beschreibung Werte Anmerkungen UAMMode Benutzerkontenverwal- Builtin Wenn das Gerät mit tung-Modus PCM-Benutzern konfi- guriert ist Local Wenn das Gerät mit Standardbenutzern konfiguriert ist Central Wenn das Central Ac- count Management ak- tiv ist CAMServerXStatus Zeigt den Konnektivi-...
  • Seite 68 Abschnitt 5 1MRK 511 399-UDE B Zentrale Kontoverwaltung Tabelle 15: Fehler Symptome Mögliche Ursachen Lösung PCM-Fehler CAM-Aktivierung Falsche Konfigurationsparame- Prüfen Sie die IED.2.1 CAM-Konfi- fehlgeschlagen. ter (z. B. LDAP-Adresse). gurationsparameter. oder Sicherheitsereignis 3810 CAM- Server während der Aktivierung Bei Sicherheitsereignis 3810 Serverkommunikation fehlge- nicht erreichbar, ungültiges oder CAM-Serverkommunikation...
  • Seite 69 1MRK 511 399-UDE B Abschnitt 5 Zentrale Kontoverwaltung IEC15000356 V1 DE-DE Abb. 64: Replikationsstatus Lokale Replikation ist fehlgeschlagen. Tabelle 17: Symptome Mögliche Ursachen Lösung Diagnose: Replikation fehlge- Server nicht erreichbar Prüfen Sie, ob der LDAP-Server ReplicaLastUpdate schlagen. ausgeführt wird. zeigt den Zeitpunkt der letzten Serverkonfiguration hat sich ge- erfolgreichen Replikation an.
  • Seite 71 1MRK 511 399-UDE B Abschnitt 6 Benutzeraktivitätsprotokollierung Abschnitt 6 Benutzeraktivitätsprotokollierung Aktivitätsprotokollierung GUID-9D7788E2-F94D-40E5-BE3E-3C47C39D34FC v1 Die Aktivitätsprotokollierung kann aus dem Gerät über zwei verschiedene Protokolle ausgegeben werden: IEC 61850 oder Syslog. Syslog ist ein Standard für die Computer- Nachrichtenprotokollierung (RFC 5424). Bei IEC 61850 erfolgt die Konfiguration wie für das gepufferte Berichten.
  • Seite 72 Abschnitt 6 1MRK 511 399-UDE B Benutzeraktivitätsprotokollierung Name Werte (Bereich) Einheit Schritt Vordefiniert Beschreibung ExtLogSrv3Port 1 - 65535 Schnittstellen-Nummer externer Pro- tokollserver 3 ExtLogSrv3IP 0 - 18 IP-Ad- 127.0.0.1 IP-Adresse externer Protokollserver 3 resse ExtLogSrv4Type Typ externer Protokollserver 4 SYSLOG UDP/IP SYSLOG TCP/IP CEF TCP/IP ExtLogSrv4Port...
  • Seite 73 1MRK 511 399-UDE B Abschnitt 6 Benutzeraktivitätsprotokollierung SECALARM EVENTID SEQNUMBER IEC13000006-1-en.vsd IEC13000006 V1 EN-US Abb. 65: Funktionsblock, Sicherheitsalarm SECALARM 6.5.1 Signale PID-3430-OUTPUTSIGNALS v6 Tabelle 19: SECALARM Ausgangssignale Name Beschreibung EVENTID INTEGER Ereignis-ID des generierten Sicherheitsereignisses SEQNUMBER INTEGER Sequenznummer des generierten Sicherheitsereignisses 6.5.2...
  • Seite 74 Abschnitt 6 1MRK 511 399-UDE B Benutzeraktivitätsprotokollierung Tabelle 21: Ereignistypcodes Ereignisnum- Akronyme GSAL-Zuordnung Englisch 1110 LOGIN_OK GSAL.Ina Anmeldung erfolgreich 1115 LOGIN_OK_PW_EXPIRED GSAL.Ina Passwort abgelaufen, Anmeldung erfolgreich 1120 LOGIN_FAIL_UNKNOWN_USER GSAL.AuthFail Anmeldung fehlgeschlagen - unbe- kannter Benutzer 1130 LOGIN_FAIL_WRONG_CR GSAL.AuthFail Anmeldung fehlgeschlagen - fal- sche Zugangsdaten 1150 LOGIN_FAIL_PW_EXPIRED...
  • Seite 75 1MRK 511 399-UDE B Abschnitt 6 Benutzeraktivitätsprotokollierung Ereignisnum- Akronyme GSAL-Zuordnung Englisch 2235 USER_PW_CHANGE_FAIL_POLICY GSAL.SvcViol Änderung von Benutzerpasswort fehlgeschlagen - Richtlinienprü- fung fehlgeschlagen 3710 CAM_SRV_COMM_OK GSAL.Ina CAM-Serverkommunikation erfolg- reich 3810 CAM_SRV_COMM_FAIL GSAL.Ina CAM-Serverkommunikation fehlge- schlagen 3820 CAM_REPLICATION_NO_USERS GSAL.Ina Replikation durchgeführt. Keine Benutzer repliziert! 3830 CAM_REPLICATION_NO_CAPACITY...
  • Seite 76 Abschnitt 6 1MRK 511 399-UDE B Benutzeraktivitätsprotokollierung Ereignisnum- Akronyme GSAL-Zuordnung Englisch 10032 MAINT_FTP_ACTIV_FAIL GSAL.Ina Aktivierung des FTP-Servers im „Maintenance Menu“ fehlgeschla- 10040 MAINT_UPDATE_ABORT_OK GSAL.Ina Firmware-Aktualisierung erfolg- reich abgebrochen 10042 MAINT_UPDATE_ABORT_FAIL GSAL.Ina Firmware-Aktualisierungsvorgang konnte nicht abgebrochen werden 10050 MAINT_RECOVERY_ENTER_OK GSAL.Ina „Recovery Menu“ erfolgreich auf- gerufen 10052 MAINT_RECOVERY_ENTER_FAIL...
  • Seite 77 1MRK 511 399-UDE B Abschnitt 6 Benutzeraktivitätsprotokollierung Ereignisnum- Akronyme GSAL-Zuordnung Englisch 14500 READ_FIRMW_FAIL GSAL.Ina Auslesen der Firmware-Dateien aus dem Gerät fehlgeschlagen 14520 TRANSFER_CERTS_FAIL GSAL.Ina Übertragen der Zertifikate auf das Gerät fehlgeschlagen 14580 READ_CERTS_FAIL GSAL.Ina Lesen der Zertifikate aus dem Ge- rät fehlgeschlagen 670 Serie Richtlinien zur Cyber-Sicherheit...
  • Seite 79 Schaltfläche "Abbrechen", und drücken Sie auf ), um den Anmeldevorgang abzubrechen. Wenn CAM nicht aktiviert ist, wählen Sie den Benutzer durch Scrollen mit , und drücken Sie zur Bestätigung auf IEC12000161=3=de.vsd IEC12000161 V3 DE-DE Abb. 66: Auswählen des Benutzernamens 670 Serie Richtlinien zur Cyber-Sicherheit...
  • Seite 80 IEC15000061 V1 DE-DE Geben Sie mit der Bildschirmtastatur das Passwort ein. IEC12000157=3=de.vsd IEC12000157 V3 DE-DE Abb. 67: Passwort eingeben Bei Passwörtern wird die Groß- und Kleinschreibung beachtet. Für Benutzernamen sollten ausschließlich die Buchstaben A bis Z bzw. a bis z und die Zahlen 0 bis 9 verwendet werden. Benutzernamen werden nicht nach Groß- oder Kleinschreibung unterschieden.
  • Seite 81 1MRK 511 399-UDE B Abschnitt 7 Nutzung der lokalen HMI IEC13000283 V1 DE-DE Abb. 69: Fehlermeldung für blockierte ID Der Anmeldedialog wird angezeigt, wenn die Operation eine andere Ebene von Benutzerrechten erfordert. Nachdem ein Benutzer erstellt worden ist und in das Gerät geschrieben wurde, kann dieser Benutzer eine Anmeldung mit dem im Tool zugeordneten Passwort durchführen.
  • Seite 82 Schalten Sie die Spannungsversorgung zum Gerät aus, und warten Sie eine Minute. Schalten Sie die Spannungsversorgung zum Gerät ein, und halten Sie , bis das Wartungsmenü angezeigt wird auf der lokalen HMI angezeigt (dies dauert etwa 20-60 s). IEC12000168-4-en.vsdx IEC12000168 V4 EN-US Abb. 72: Wartungsmenü 670 Serie Richtlinien zur Cyber-Sicherheit...
  • Seite 83 Navigieren Sie im Wartungsmenü nach unten, und wählen Sie Recovery Menu aus. Drücken Sie dann oder IEC12000168-4-en.vsdx IEC12000168 V4 EN-US Abb. 73: „Recovery Menu“ auswählen Geben Sie den PIN-Code 8282 ein, und drücken Sie IEC13000036-4-en.vsdx IEC13000036 V4 EN-US Abb. 74: PIN-Code eingeben Wählen Sie Turn off authority und drücken Sie...
  • Seite 84 1MRK 511 399-UDE B Nutzung der lokalen HMI IEC12000169-4-en.vsdx IEC12000169 V4 EN-US Abb. 76: Auswahl bestätigen An einem Gerät mit aktivierter zentraler Kontoverwaltung wird das Gerät nach Ausführen von „Turn off Authority“ auf die Standardeinstellungen gesetzt. Für Geräte mit lokaler Benutzerverwaltung gilt die nachstehende Vorgehensweise.
  • Seite 85 Navigieren Sie im Wartungsmenü nach unten, und wählen Sie Recovery Menu aus. Drücken Sie dann oder IEC12000168-4-en.vsdx IEC12000168 V4 EN-US Abb. 77: „Recovery Menu“ auswählen Geben Sie den PIN-Code 8282 ein, und drücken Sie IEC13000036-4-en.vsdx IEC13000036 V4 EN-US Abb. 78: PIN-Code eingeben Wählen Sie das Menü...
  • Seite 86 Abschnitt 7 1MRK 511 399-UDE B Nutzung der lokalen HMI IEC12000170-4-en.vsdx IEC12000170 V4 EN-US Abb. 79: Wiederherstellungspunkte auswählen Eine Auflistung der Wiederherstellungspunkte im System wird dargestellt. IEC17000034-1-en.vsdx IEC17000034 V1 EN-US Abb. 80: Liste der Wiederherstellungspunkte Um einen Wiederherstellungspunkt zu erstellen, navigieren Sie zu „Wiederstellungspunkt Benutzer“...
  • Seite 87 1MRK 511 399-UDE B Abschnitt 7 Nutzung der lokalen HMI IEC17000037-1-en.vsdx IEC17000037 V1 EN-US Abb. 83: Erstellte Wiederherstellungspunkte Um Informationen zu einem bestimmten Wiederherstellungspunkt abzurufen, wählen Sie Wiederstellungspunkt Benutzer und drücken Sie IEC17000038-1-en.vsdx IEC17000038 V1 EN-US Abb. 84: Liste der Wiederherstellungspunkte Hier kann das System auf den Zustand zum Zeitpunkt des Wiederherstellungspunktes zurückgesetzt werden.
  • Seite 89 Angewandte Standards GUID-EE0D9238-4DCF-4D2D-96FE-D2879C4CC6C3 v2 Fragen der Cyber-Security sind seit einiger Zeit Gegenstand verschiedener Normungsinitiativen von ISA, IEEE oder IEC. ABB spielt in all diesen Organisationen eine aktive Rolle und unterstützt sie beim Definieren und Implementieren von Cyber-Security-Standards für Netz- und Industriesteuerungssysteme.
  • Seite 90 Abschnitt 8 1MRK 511 399-UDE B Standard-Konformitätserklärung Konformität gemäß IEEE1686 GUID-009DC366-9ABB-430B-A71C-AA4E5FD1B631 v2 Tabelle 23: Konformität gemäß IEEE1686 Abschnitt Titel Status Kommentar Geräte-Cyber-Security- Bestätigt Funktionen Elektronische Zugriffs- Bestätigt steuerung 5.1.1 Geräte-Zugriffssteuerung Entsprechen Zugang ist für den lokalen Zugriff - Überblick über das Bedienfeld geschützt. Zugang ist für den lokalen Zugriff über Kommunikations-/Diagnose- Ports geschützt.
  • Seite 91 1MRK 511 399-UDE B Abschnitt 8 Standard-Konformitätserklärung Abschnitt Titel Status Kommentar 5.1.6 f) ID/Passwort oder RBAC- Erfüllt Funktion ist über einzelne Benut- Management zerkonten zugänglich. 5.1.6 g) Audit-Protokoll Erfüllt Funktion ist über einzelne Benut- zerkonten zugänglich. 5.1.7 Passwort anzeigen Entsprechen 5.1.8 Zugriff Timeout Erfüllt...
  • Seite 92 Abschnitt 8 1MRK 511 399-UDE B Standard-Konformitätserklärung Abschnitt Titel Status Kommentar 5.3.3 d) Ungültiger Konfigurati- Entsprechen ons- oder Firmware- Download 5.3.3 e) Nicht autorisierte Konfi- Ausnahme Nicht unterstützt gurations- oder Firmware- Datei 5.3.3 f) Zeitsignal außerhalb der Ausnahme Das Gerät validiert die Zeitsyn- Toleranz chronisierungsmeldungen, gibt je- doch keinen Alarm aus, wenn die...
  • Seite 93 1MRK 511 399-UDE B Abschnitt 8 Standard-Konformitätserklärung Abschnitt Titel Status Kommentar 5.5.3 ID/Passwortsteuerung Entsprechen Im Gerät gespeichert. 5.5.4 ID/Passwort-gesteuerte Entsprechen Funktionen 5.5.4.1 Konfigurationsdaten an- Entsprechen zeigen 5.5.4.2 Konfigurationsdaten än- Entsprechen dern Zugriff auf Kommunikati- Entsprechen ons-Port Firmware-Qualitätssiche- Ausnahme Qualitätskontrolle erfolgt gemäß rung ISO9001 und CMMI.
  • Seite 95 1MRK 511 399-UDE B Abschnitt 9 Glossar Abschnitt 9 Glossar GUID-2282AE1E-7E51-4F9F-8066-70614FB38695 v4 Advanced Encryption Standard (AES) ist eine Spezifikation für die Verschlüsselung von elektronischen Daten. Die bei einer AES- Verschlüsselung verwendete Schlüsselgröße gibt die Anzahl der Wiederholungen der Transformationsrunden an, bei denen die Eingabe (wird als Klartext bezeichnet) in die endgültige Ausgabeform (wird als Geheimtext bezeichnet) umgewandelt wird.
  • Seite 96 Abschnitt 9 1MRK 511 399-UDE B Glossar File Transfer Protocol (FTP) ist ein Standard-Netzwerkprotokoll zur Übertragung von Dateien von einem Host auf einen anderen über ein TCP-basiertes Netzwerk wie das Internet. FTPS FTPS (auch bekannt als FTP-ES, FTP-SSL und FTP Secure) ist eine Erweiterung für das häufig verwendete File Transfer Protocol (FTP), das zusätzlich die Verschlüsselungsprotokolle Transport Layer Security (TLS) und Secure Sockets Layer (SSL) unterstützt.
  • Seite 97 1MRK 511 399-UDE B Abschnitt 9 Glossar IP 20 Schutzart gemäß IEC-Norm, Klasse 20 ISO 9001 Normensammlung für das Qualitätsmanagement. Informationstechnologie Key Encryption Key. Schlüssel, mit dem andere Schlüssel geschützt werden (z. B. TEK, TSK). Lokalbereichsnetzwerk Leuchtdiode LHMI Local Human Machine Interface, auch lokale HMI. MicroSCADA System für Überwachung, Steuerung und Datenerfassung Netzleitstelle...
  • Seite 98 Abschnitt 9 1MRK 511 399-UDE B Glossar Transmission Control Protocol - Übertragungskontrollprotokoll. Das gängigste Transportschichtprotokoll, das im Ethernet und Internet verwendet wird. TCP/IP Transmission Control Protocol over Internet Protocol. Die Standard- Ethernetprotokolle im Unix-Derivat 4.2 BSD. TCP/IP wurde von DARPA für die Internetarbeit entwickelt und umfasst sowohl Vermittlungsschicht- als auch Transportschichtprotokolle.
  • Seite 100 ABB AB Netzautomatisierungsprodukte SE-721 59 Västerås, Schweden Telefon +46 (0) 21 32 50 00 Scannen Sie diesen QR-Code, um unsere Webseite zu www.abb.com/protection-control besuchen. © Copyright 2017 ABB. Alle Rechte vorbehalten.