Datensicherheit Bei Ruhenden Und In Netzwerken Bewegten Daten - Honeywell GASLAB Q2 Gebrauchsanleitung

2.8.3. Datensicherheit bei ruhenden und in Netzwerken bewegten Daten

Alle enCore-Geräte-Daten werden auf die SD-Karte im Gerät geschrieben und gespeichert. Diese
Daten werden als ruhende Daten ("Data-at-rest") bezeichnet. Um unberechtigten Zugriff zu
verhindern, werden die Konfigurationsdaten ab der Systembasisversion 03-39-A verschlüsselt. Der
Schreibzugriff ist nur nach Authentifizierung mit Benutzernamen und Passwort möglich. Der
Eichschalter (SSW) unterbindet ebenfalls die Manipulation des Gerätes.
Bewegte Daten ("Data-in-transit") sind die Daten, die zwischen einem enCore-Gerät und z.B. einer
Leitstelle in einem öffentlichen oder vertrauenswürdigen Netzwerk oder zwischen enCore-Gerät
und enSuite z.B. bei der Parametrierung des Geräts übertragen werden. Die Kommunikation
zwischen enCore-Gerät und enSuite erfolgt über MMS (Manufacturing Messaging Specification),
die seit Grundsystem 03-39-A verschlüsselt wird, um zu verhindern, dass Daten von anderen
Netzwerkteilnehmern mitgelesen werden können.
Die Verschlüsselung erfolgt mit dem Übertragungsprotokoll TLS (Transport Layer Security).
Hierbei verwendet das enCore-Gerät ein selbstsigniertes Zertifikat, um sich bei jedem MMS-
Verbindungsaufbau gegenüber enSuite zu authentifizieren. Die Geräte werden grundsätzlich ohne
Zertifikat ausgeliefert, dieses wird bei der Inbetriebnahme des enCore-Geräts automatisch erstellt
und enSuite bei der ersten MMS-Verbindung bekannt gegeben, es bleibt bis zu seiner manuellen
Auswechselung bzw. Löschung erhalten.
Um die Sicherheit zu erhöhen, empfehlen wir, dieses Zertifikat am enCore-Gerät oder am fernen
Bedienfeld vor dem regulären Betrieb zu löschen und mit eingerichteten Administrator- und
Benutzer-Passwörtern ein aktuelles durch das Gerät erstellen zu lassen. Am enCore-Gerät oder am
fernen Bedienfeld können die Zertifikatsinformationen auch eingesehen werden. Details zum
Umgang mit Zeritfikaten folgen später in dieser Anleitung.
Andere Protokolle, die bei den enCore-Geräten auch zum Einsatz kommen - wie z.B. Modbus -
übertragen Daten teilweise im Klartext. Verwenden Sie, wenn möglich die sichere Variante eines
Protokolls. Um die Sicherheit weiter zu erhöhen, verwenden Sie auch eine Firewall, wie im nächsten
Abschnitt beschrieben. Unterstützte Datenprotokolle gibt folgende Tabelle wieder. Nicht alle
Optionen sind in jedem enCore-Gerät enthalten.
Kommunikation
Ethernet
Serielle Kommunikation
(RS232, RS485)
Wir empfehlen immer dann eine VPN-Verbindung zu verwenden, wenn Sie eine gesicherte
Datenverbindung benötigen, aber für die Datenübertragung kein sicheres Protokoll
unterstützt wird.
Allgemeine Gebrauchsanleitung
Rev. M / 73023638
SICHERHEITS- UND WARNHINWEISE
Unterstützte Datenprotokolle
•
DSfG (class B)
•
HTTP (nur bis Grundystem Version 03-38)
•
MMS (über TLS abgesichert)
•
Modbus TCP
•
NTP
•
SMTP (unverschlüsselt, SSL/TLS, STARTTLS)
•
DSfG (class A)
•
Modbus (ASCII, RTU)
•
UNIFORM
38 GasLab Q2