Inhaltsverzeichnis
Werbung
2 PRODUKTBESCHREIBUNG
Beim Eingeben eines Einstellungs- oder Steuerpassworts über EnerVista oder eine beliebige serielle Schnittstelle muss der
Benutzer das entsprechende Verbindungspasswort eingeben. Wenn die Verbindung auf der Rückseite von C30 besteht,
muss das Fernpasswort verwendet werden. Wenn die Verbindung zur RS232-Schnittstelle der Bedienfront erfolgt, gilt das
lokale Passwort.
Ereignisse werden im Ereignisschreiber protokolliert: Die FlexLogic-Operanden und -Ereignisse werden alle fünf Sekunden
aktualisiert.
c) CYBERSENTRY-SICHERHEIT
CyberSentry Embedded Security ist eine Softwareoption, die erweiterte Sicherheitsservices bereitstellt. Bei Erwerb dieser
Option wird die grundlegende Passwortsicherheit automatisch deaktiviert.
CyberSentry bietet Sicherheit über die folgenden Funktionen:
•
Ein AAA-RADIUS-Client (Authentication, Authorization, Accounting – Remote Authentication Dial-In User Service),
der zentral verwaltet wird, ermöglicht die Benutzerzuordnung, protokolliert alle Benutzeraktivitäten und verwendet
eine sichere standardbasierte starke Kryptographie für den Authentifizierungs- und Berechtigungsschutz.
•
Ein rollenbasiertes Zugriffssteuerungssystem (Role Based Access Control, RBAC), das ein Berechtigungsmodell
bereitstellt, welches den Zugriff auf UR-Gerätevorgänge und -konfigurationen basierend auf spezifischen Rollen und
individuellen, auf dem AAA-Server konfigurierten Benutzerkonten (d. h. Administrator, Supervisor, Ingenieur, Operator,
Observer) ermöglicht.
•
Sicherheitsereignis-Berichterstellung über das Syslog-Protokoll zur Unterstützung der Systeme für die Verwaltung von
Sicherheitsinformationsereignissen (Security Information Event Management, SIEM) für die zentrale Cyber-Security-
Überwachung.
•
Starke Verschlüsselung aller Zugriffs- und Konfigurations-Netzwerkmeldungen zwischen der EnerVista-Software und
UR-Geräten mithilfe des Secure Shell (SSH)-Protokolls, dem Advanced Encryption Standard (AES) und den 128-Bit-
Schlüsseln in Galois Counter Mode (GCM) gemäß den Bestimmungen in der Suite-B-Erweiterung für SSH der US-
amerikanischen National Security Agency und genehmigt von den FIPS-140-2-Standards für kryptografische Systeme
des National Institute of Standards and Technology (NIST).
Beispiel: Administrationsfunktionen können unabhängig von allgemeinen Operatorfunktionen oder vom Ingenieur-Zugriffs-
typ in verschiedene Segmente unterteilt werden, die alle von separaten Rollen definiert werden, wie in der folgenden Abbil-
dung dargestellt, sodass der Zugriff auf UR-Geräte durch verschiedene Mitarbeiter in einem Umspannwerk zulässig ist. Die
Berechtigungen für die einzelnen Rollen werden im nächsten Abschnitt beschrieben.
Es können zwei von CyberSentry unterstützte Authentifizierungsarten für den Zugriff auf das UR-Gerät verwendet werden:
•
Geräteauthentifizierung (lokales UR-Gerät authentifiziert)
•
Serverauthentifizierung (RADIUS-Server authentifiziert)
Die EnerVista-Software ermöglicht den Zugriff auf durch die Benutzerrolle bestimmte Funktionen, die entweder vom loka-
len UR-Gerät oder vom RADIUS-Server kommen.
Die EnerVista-Software verfügt über eine Geräteauthentifizierungsoption im Anmeldebildschirm für den Zugriff auf das UR-
Gerät. Bei Auswahl der Schaltfläche „Gerät" verwendet das UR seine lokale Authentifizierungsdatenbank und nicht den
RADIUS-Server, um den Benutzer zu authentifizieren. In diesem Fall verwendet es seine integrierten Rollen (Administrator,
Ingenieur, Supervisor, Observer, Operator) als Anmeldenamen, und die zugehörigen Passwörter werden im UR-Gerät ge-
speichert. Der Zugriff bei Verwendung der lokalen Konten kann Benutzern nicht zugeordnet werden.
GE Multilin
Abbildung 2–2: CYBERSENTRY-BENUTZERROLLEN
C30 Steuerungssystem
2.1 EINFÜHRUNG
2
2-3
Werbung
Inhaltsverzeichnis
