Inhaltsverzeichnis
Werbung
2 PRODUKTBESCHREIBUNG
•
Starke Verschlüsselung aller Zugriffs- und Konfigurations-Netzwerkmeldungen zwischen der EnerVista-Software und
UR-Geräten mithilfe des Secure Shell (SSH)-Protokolls, dem Advanced Encryption Standard (AES) und den 128-Bit-
Schlüsseln in Galois Counter Mode (GCM) gemäß den Bestimmungen in der Suite-B-Erweiterung für SSH der US-
amerikanischen National Security Agency und genehmigt von den FIPS-140-2-Standards für kryptografische Systeme
des National Institute of Standards and Technology (NIST).
Beispiel: Administrationsfunktionen können unabhängig von allgemeinen Operatorfunktionen oder vom Ingenieur-Zugriffs-
typ in verschiedene Segmente unterteilt werden, die alle von separaten Rollen definiert werden, wie in der folgenden Abbil-
dung dargestellt, sodass der Zugriff auf UR-Geräte durch verschiedene Mitarbeiter in einem Umspannwerk zulässig ist. Die
Berechtigungen für die einzelnen Rollen werden im nächsten Abschnitt beschrieben.
Es können zwei von CyberSentry unterstützte Authentifizierungsarten für den Zugriff auf das UR-Gerät verwendet werden:
•
Geräteauthentifizierung (lokales UR-Gerät authentifiziert)
•
Serverauthentifizierung (RADIUS-Server authentifiziert)
Die EnerVista-Software ermöglicht den Zugriff auf durch die Benutzerrolle bestimmte Funktionen, die entweder vom loka-
len UR-Gerät oder vom RADIUS-Server kommen.
Die EnerVista-Software verfügt über eine Geräteauthentifizierungsoption im Anmeldebildschirm für den Zugriff auf das UR-
Gerät. Bei Auswahl der Schaltfläche „Gerät" verwendet das UR seine lokale Authentifizierungsdatenbank und nicht den
RADIUS-Server, um den Benutzer zu authentifizieren. In diesem Fall verwendet es seine integrierten Rollen (Administrator,
Ingenieur, Supervisor, Observer, Operator) als Anmeldenamen, und die zugehörigen Passwörter werden im UR-Gerät ge-
speichert. Der Zugriff bei Verwendung der lokalen Konten kann Benutzern nicht zugeordnet werden.
In Fällen, in denen der Zugriff Benutzern zugeordnet werden muss, insbesondere zur Ermöglichung von überprüfbaren
Verfahren zu Compliance-Zwecken, sollte nur die RADIUS-Authentifizierung verwendet werden.
Bei Auswahl des Authentifizierungstyps „Server" verwendet das UR den RADIUS-Server statt seiner lokale Authentifizie-
rungsdatenbank, um den Benutzer zu authentifizieren.
Passwort- oder Sicherheitsinformationen werden weder als Klartext von der EnerVista-Software oder vom UR-Gerät
angezeigt, noch werden sie jemals ohne kryptografischen Schutz übertragen.
GE Multilin
Abbildung 2–3: CYBERSENTRY-BENUTZERROLLEN
F60 Abgangschutz
2.1 EINFÜHRUNG
2
2-5
Werbung
Inhaltsverzeichnis
