Siemens Novigo Basisdokumentation
Vorschau ausblenden
Andere Handbücher für Novigo:
- Handbuch (54 Seiten) ,
- Konfiguration (225 Seiten) ,
- Bedienungsanleitung (36 Seiten)
Verwandte Anleitungen für Siemens Novigo
Inhaltszusammenfassung für Siemens Novigo
- Seite 1 Novigo IT-Sicherheitsrichtlinien Basisdokumentation A6V11773711_de--_b Smart Infrastructure 2020-12-30...
- Seite 2 Schadenersatz. Alle Rechte für den Fall der Patenterteilung, Gebrauchsmuster- oder Geschmacksmustereintragung vorbehalten. Herausgegeben von: Siemens Schweiz AG Smart Infrastructure Global Headquarters Theilerstrasse 1a CH-6300 Zug Tel. +41 58 724-2424 www.siemens.com/buildingtechnologies Ausgabe: 2020-12-30 Dokument-ID: A6V11773711_de--_b © Siemens Schweiz AG, 2019 2 | 52 A6V11773711_de--_b...
-
Seite 3: Inhaltsverzeichnis
Inhaltsverzeichnis Zu diesem Dokument ................7 Mitgeltende Dokumente .................. 10 Download-Center ..................... 10 Fachbegriffe und Abkürzungen ..............11 Änderungshistorie .................... 12 Sicherheit ....................13 Sicherheitshinweise ..................13 Sicherheitsvorschriften zur Arbeitsweise ............14 Eingehaltene Normen und Richtlinien ............16 Sicherheitshinweise zur IT ................16 2.4.1 Ende des Lebenszyklus (EOL) ............ - Seite 4 Fernzugriff via cRSP ..................47 Wartung IT-Komponenten ..............49 Index ........................ 50 4 | 52 A6V11773711_de--_b...
- Seite 5 Abbildungsverzeichnis Abb. 1: Bedrohungs- und Risikoterminologie ............19 Abb. 2: PACE-Zone_exemplarisch ................23 Abb. 3: Zugang über nicht vertrauenswürdige Netzwerke, schematisch .....24 Abb. 4: Ganzheitliche Betrachtung, exemplarisch ..........34 Abb. 5: Lokaler Zugang 'single homed' auf 'Anlage' mit redundanter Baumstruktur, exemplarisch ..................36 Abb. 6: System mit Ringstruktur, lokaler Zugang 'single homed', exemplarisch 37 Abb.
-
Seite 7: Zu Diesem Dokument
Informationen für den Anlagenbetreiber, zur Erhaltung der Sicherheit im Lebenszyklus der Anlage. Geltungsbereich Die Informationen in diesem Dokument sind gültig für Novigo System. Ein Novigo System kann Novigo Modular und Novigo Core Komponenten enthalten. Sie können ein dediziertes 'PACE-Net' Netzwerk aufbauen, indem Sie Komponenten von Novigo Modular und/oder Novigo Core verwenden. - Seite 8 Zu diesem Dokument Mitgeltende Dokumente Zielgruppe Tätigkeit Qualifikation ● Ist verantwortlich für den ● Hat eine zur Funktion und zu den Produktmanager Informationsaustausch zwischen Produkten passende dem Hersteller und der Fachausbildung. Regionalgesellschaft. ● Hat die Ausbildungskurse für den ● Koordiniert den Informationsfluss Produktmanager besucht.
-
Seite 9: Quellsprache Und Referenzdokument
Zu diesem Dokument Mitgeltende Dokumente Quellsprache und Referenzdokument ● Die Quellsprache/Originalsprache des Dokuments ist Deutsch (de). ● Die Referenzversion dieses Dokuments ist die internationale Version in englischer Sprache. Die internationale Version ist nicht lokalisiert. Dokumentidentifikation Die Dokument-ID ist wie folgt zusammengesetzt: ID-Kodierung Beispiele ID_SpracheLAND_ Änderungsindex... -
Seite 10: Mitgeltende Dokumente
ISO/IEC 27033 Part 1…6 'Information technology – Security techniques – Network security' ISO/IEC 27034 Part 1…6 'Information technology – Security techniques – Application security' A6V11467196 Systemdatenblatt Novigo A6V11940333 Systemdatenblatt Novigo Core A6V11467812 Projektierung Novigo A6V11940318 Projektierung Novigo Core A6V11474760 Konfiguration Novigo... -
Seite 11: Fachbegriffe Und Abkürzungen
Erklärung Acess Control List definiert Einschränkungen der Zugriffe auf bestimmte IT- Komponenten Application Programm Interface Kunden-Netzwerk, en: Costumer NetWork Die 'common Remote Service Platform' ist eine Siemens-Infrastruktur für die cRSP Fernwartung. DHCP Dynamic Host Configuration Protocol – Automatische Adresszuweisung an... -
Seite 12: Änderungshistorie
Zu diesem Dokument Änderungshistorie 1.4 Änderungshistorie Die Version des Referenzdokuments gilt für alle Sprachen, in die das Referenzdokument übersetzt ist. Die Erstausgabe einer Sprach- und/oder einer Ländervariante kann z. B. die Version 'd' sein anstatt 'a', wenn das Referenzdokument bereits in dieser Version ist. -
Seite 13: Sicherheit
Sicherheit Sicherheitshinweise 2 Sicherheit 2.1 Sicherheitshinweise Zum Schutz von Personen und Sachgütern müssen Sie die Sicherheitshinweise beachten. Die Sicherheitshinweise in diesem Dokument enthalten folgende Elemente: ● Symbol für Gefahr ● Signalwort ● Art und Quelle der Gefahr ● Folgen beim Eintreten der Gefahr ●... -
Seite 14: Sicherheitsvorschriften Zur Arbeitsweise
● Maßnahmen/Verbote zur Vermeidung der Gefahr 2.2 Sicherheitsvorschriften zur Arbeitsweise Landesspezifische Normen, Vorschriften und Gesetze Siemens Produkte werden nach relevanten europäischen und internationalen Sicherheitsnormen entwickelt und produziert. Gelten am Betriebsort zusätzliche landesspezifische oder örtliche Sicherheitsnormen oder Gesetze für die Projektierung, die Montage, die Installation, den Betrieb oder die Entsorgung des Produkts, so müssen Sie diese zusätzlich zu den Sicherheitsvorschriften in... -
Seite 15: Montage, Installation, Inbetriebnahme Und Wartung
Änderungen an der Systemauslegung und an den Produkten Änderungen an der Anlage und an einzelnen Produkten können zu Störungen, einer fehlerhaften Funktion und zu Sicherheitsrisiken führen. Für Änderungen oder Ergänzungen müssen Sie von Siemens und den entsprechenden Sicherheitsbehörden eine schriftliche Zustimmung einholen. Komponenten und Ersatzteile ●... -
Seite 16: Missachten Der Sicherheitsvorschriften
● Batterien müssen umweltgerecht entsorgt werden. Halten Sie die landesspezifischen Richtlinien und Vorschriften ein. Missachten der Sicherheitsvorschriften Siemens Produkte sind für den sachgemäßen Einsatz konzipiert und vor der Auslieferung auf eine einwandfreie Funktion geprüft worden. Für Personenschäden oder Sachschäden, die durch Missbrauch oder Missachtung der in der Dokumentation aufgeführten Instruktionen oder Warnhinweise... -
Seite 17: Ende Des Lebenszyklus (Eol)
Stand der Technik entsprechendes Sicherheitskonzept zu implementieren und stets auf dem aktuellen Stand zu halten. Das Portfolio von Siemens bildet nur einen Bestandteil eines solchen Konzeptes. Sie sind dafür verantwortlich, unbefugten Zugang zu Ihren Anlagen, Systemen, Maschinen und Netzwerken zu verhindern. -
Seite 18: Grundlagen Cyber-Sicherheit
Grundlagen Cyber-Sicherheit Einleitung 3 Grundlagen Cyber-Sicherheit 3.1 Einleitung Die Cyber-Sicherheit umfasst alle Mechanismen zum Schutz von IT-Systemen wie beispielsweise Computer, Geräte wie die primären Controller oder Webserver eines Gebäudeautomationssystems, vor dem Verlust der System- und Informationsvertraulichkeit, Integrität und Verfügbarkeit durch unbefugten Zugriff, Störung, Modifikation, Zerstörung oder Abruf vertraulicher Informationen sowie die Nutzung von Informationen, die unbefugt durch Betrug und andere Straftaten erworben wurden. -
Seite 19: Abb. 1: Bedrohungs- Und Risikoterminologie
Grundlagen Cyber-Sicherheit Bedrohungs- und Risikoterminologie Ein 'Thread' ist ein Potenzial für die Verletzung der Sicherheit, das besteht, wenn eine Einheit, ein Umstand, eine Fähigkeit, eine Aktion oder ein Ereignis vorliegt, das Schaden verursachen könnte. Die 'Common Criteria' charakterisieren eine Bedrohung in Bezug auf die folgenden Punkte: ●... -
Seite 20: Systemsicherheit
Die Richtlinien in diesem Dokument unterstützen einen fortlaufenden Prozess zum Erreichen von IT-Sicherheit auf Systemebene. 3.4 Dediziertes Netzwerk 1. Erstellen Sie ein dediziertes Netzwerk für ein Novigo-System. 2. Stellen Sie sicher, dass nur die erforderlichen IT-Komponenten für das Novigo-System erstellte Netzwerk eingesetzt werden. -
Seite 21: Netzwerksicherheit
● Zugelassene Anwendungsfälle WARNUNG Systemmanipulation durch unberechtigten Zugriff Keine Evakuierung im Alarmfall. ● Beachten Sie folgende Punkte und Fakten zum System Novigo in Bezug auf Sicherheitslücken oder Schwachstellen sowie notwendige Sicherheitsmaßnahmen. ● Nicht alle einsetzbaren Komponenten für das System Novigo genügen den Anforderung für eine aktuelle IT-Sicherheit, ohne weitere... -
Seite 22: Konzept Einer Geschützten Systemkonfiguration
Zonengrenzen-Schutz 4 Konzept einer geschützten Systemkonfiguration ● Das Sprach-Evakuierungssystem Novigo ist ein System zum Schutz von Personen und ist eine kritische Geschäftsanwendung. Daher muss das System vor Angriffen und unbefugtem Zugriff geschützt werden. ● Das Sprach-Evakuierungssystem Novigo muss in einer separaten Netzwerkzone betrieben werden, die hier als PACE-Zone bezeichnet ist. -
Seite 23: Abb. 2: Pace-Zone_Exemplarisch
Konzept einer geschützten Systemkonfiguration Zonengrenzen-Schutz Abb. 2: PACE-Zone_exemplarisch Zonengrenzen-Schutz PACE-PC Computer mit PACE-Design A6V11773711_de--_b 23 | 52... -
Seite 24: Zugang Über Nicht Vertrauenswürdige Netzwerke
Konzept einer geschützten Systemkonfiguration Zugang über nicht vertrauenswürdige Netzwerke 4.2 Zugang über nicht vertrauenswürdige Netzwerke Die Kommunikation über nicht vertrauenswürdige Netzwerke zwischen Remote-Clients und der PACE-Zone muss über einen hochsicheren Kommunikationskanal geschützt werden. ● Die PACE-Zone muss immer über eine Firewall geschützt werden. ●... -
Seite 25: Folgende Maßnahmen Müssen Eingehalten Werden
Konzept einer geschützten Systemkonfiguration Zugang über nicht vertrauenswürdige Netzwerke Folgende Maßnahmen müssen eingehalten werden: ● Die Kommunikation zwischen Remote-Client und PACE-Zone muss verschlüsselt sein. ● Die PACE-spezifischen Anforderungen an die Kommunikation müssen eingehalten werden. ● Der Kommunikationskanal darf keine Verbindung zu außenstehenden Geräten haben. -
Seite 26: Richtlinien Für Das System
Generell müssen für die Kommunikation mit der PACE-Zone sichere Protokolle eingesetzt werden. Abhängig vom Anwendungsfall und der Charakteristik, wie Clients über den Zonengrenzen-Schutz aus anderen Netzwerkzonen auf das Novigo-System zugreifen, gelten die folgenden Varianten: Lokale Kommunikation Der Client ist ein Computer mit 'PACE-Design', ist Teil der PACE-Zone und hat keine Verbindung zu einer anderen Netzwerkzone. -
Seite 27: Geräte Mit Zugriff Auf Pace-Zone
Siehe auch Ende des Lebenszyklus (EOL) [➙ 17] 5.2.1 Richtlinien für Smartphones und Tablet-PCs ● Falls ein Tablet-PC und ein Smartphone für die Wartung von Novigo verwendet wird, dürfen mit diesen Geräten nur die dafür vorgesehenen Anwendungen verwendet werden. -
Seite 28: Richtlinien Für Pcs
Speicher des Geräts oder auf verschlüsselten Speicherkarten abgelegt werden. ● Prüfen Sie, ob die Speicherkarten in Ihrem Gerät verschlüsselt werden können. Den Maßnahmenplan für Smartphones und Tablets des Siemens CERT finden Sie über folgende Adresse: https://webapps.siemens.com/sfera/current/policies. -
Seite 29: Firewall-Regeln
VORSICHT! Veraltete Verschlüsselungsalgorithmen und Krypto- Standards dürfen nicht verwendet werden. Hier finden sie das aktuelle Dokument zu den Verschlüsselungsalgorithmen, die ausdrücklich NICHT mehr verwendet werden dürfen: https://intranet.for.siemens.com/wll/0049/Policies/Guideline_for_Encryption.p Allg. Infos und Siemens Richtlinien zu Krypto-Standards finden sie in diesem Dokument: https://intranet.for.siemens.com/wll/0049/Policies/G_Cryptographic_Standard s_for_IT_infrastructure.pdf A6V11773711_de--_b... -
Seite 30: Port Einstellungen
Richtlinien für das System Firewall-Regeln 5.3.3 Port Einstellungen Für die Kommunikation mit einer PACE-Anlage muss an der PACE-Anlage ein PACE-PC mit der gestarteten 'PACE-Design'-Software vorhanden sein. Mit dem an der PACE-Anlage angeschlossenen PC muss ein Standard- Fernwartungstool verwendet werden. Folgende Fernwartungstools mit 'Remote Control' können beispielweise verwendet werden: ●... -
Seite 31: Kommunikation Zwischen Mms/Tablet-Designer Und Pace'anlage
Konfiguration in PACE- PACE-API Design 5.4 Pin-/Passwort-Richtlinie Für das Novigo-Netzwerk und für Geräte mit Zugriff auf das Novigo-Netzwerk müssen die nachfolgenden Pin- und Passwort-Richtlinien eingehalten werden. Das Novigo-System wird mit voreingestellten PINs und Passwörtern für die jeweiligen IT-Komponenten ausgegeben. Diese voreingestellten PINs und Passwörter müssen bei der Ersteinrichtung geändert werden, gemäß... -
Seite 32: Passwort-Richtlinie
Richtlinien für das System Pin-/Passwort-Richtlinie 5.4.2 Passwort-Richtlinie WARNUNG Systemmanipulation durch unberechtigten Zugriff Keine Evakuierung im Alarmfall. ● Ändern Sie das voreingestellte Passwort. ● Erstellen Sie ein Passwort, gemäß den folgenden Angaben. ● Generell müssen voreingestellte Passwörter während oder unmittelbar nach der Installation geändert werden. -
Seite 33: Zugelassene Anwendungsfälle
6.1 Ganzheitliche Betrachtung Folgende Abbildung zeigt einen Überblick möglicher Verbindungen von Remote Clients mit der PACE-Zone und dem Novigo-System. Darüber hinausgehend ist dargestellt, wie man diese Clients parallel betreibt. Die Darstellung beinhaltet die Empfehlung, die VPN-Technologie oder cRSP zum Schutz der Kommunikation einzusetzen, siehe auch Kapitel 'Konzept einer geschützten Systemkonfiguration'. -
Seite 34: Abb. 4: Ganzheitliche Betrachtung, Exemplarisch
Zugelassene Anwendungsfälle Ganzheitliche Betrachtung Abb. 4: Ganzheitliche Betrachtung, exemplarisch 34 | 52 A6V11773711_de--_b... - Seite 35 Zugelassene Anwendungsfälle Ganzheitliche Betrachtung Computer mit Fernwartungstool Management Station Smartphone Smartphone mit Tablet Designer Tablet Tablet-PC mit Tablet Designer Internet Internet Intranet / Customer-Net Intranet / Kunden-Netzwerk cRSP-Router + FW cRSP-Router mit Firewall ZBP + VPN-EP Zonengrenzen-Schutz und VPN-Endpunkt Clients Anforderungen 'Fernwartungstool' via cRSP Verbindung zur PACE-Zone über eine spezielle Komponente gemäß...
-
Seite 36: Lokaler Zugang 'Single Homed
Die Varianten für die bestimmungsgemäße Einsatzumgebung finden Sie in den folgenden Kapiteln. 6.2.1 System mit redundanter Baumstruktur Lokaler Zugang über PACE-PC mit 'PACE-Design' zu einer Novigo-Anlage mit redundanter Baumstruktur. Abb. 5: Lokaler Zugang 'single homed' auf 'Anlage' mit redundanter Baumstruktur, exemplarisch... -
Seite 37: System Mit Ringstruktur
Zugelassene Anwendungsfälle Lokaler Zugang 'single homed' 6.2.2 System mit Ringstruktur Lokaler Zugang über PACE-PC mit 'PACE-Design' zu einer Novigo-'Anlage' mit Ringstruktur. Abb. 6: System mit Ringstruktur, lokaler Zugang 'single homed', exemplarisch PACE-PC Computer mit 'PACE-Design' Komponenten Anforderungen Computer mit 'PACE-Design' ●... -
Seite 38: Lokaler Zugang 'Multi Homed
Zugelassene Anwendungsfälle Lokaler Zugang 'multi homed' 6.3 Lokaler Zugang 'multi homed' Bestimmungsgemäße Einsatzumgebung Lokaler Zugang 'multi homed' zu einer Novigo-'Anlage' mit folgender Anwendung: ● Fernwartungstool Abb. 7: Lokaler Zugang 'multi homed', exemplarisch UTNW Nicht-vertrauenswürdiges Netzwerk VPN-EP VPN-Endpunkt Zonengrenzen-Schutz PACE-PC Computer mit 'PACE-Design'... - Seite 39 Unberechtigter Zugriff und Manipulation der sicherheitsrelevanten PACE- Zone Eingeschränkte oder keine Evakuierung und Personenschaden durch korrumpiertes System im Alarmfall. ● Erstellen Sie die Kommunikation vom PC zur 'Novigo'-'Anlage' über eine sichere Netzwerkverbindung, beispielsweise mit VPN. ● Erfüllen Sie folgende Anforderungen für die Komponenten. Komponenten...
-
Seite 40: Lokaler Zugang Mms 'Single Homed
Zugelassene Anwendungsfälle Lokaler Zugang MMS 'single homed' 6.4 Lokaler Zugang MMS 'single homed' Bestimmungsgemäße Einsatzumgebung Lokaler Zugang zu einer Novigo-'Anlage' mit einer Management-Station (MMS) 'single homed': Abb. 8: Lokaler Zugang MMS 'single homed', exemplarisch PACE-PC Computer mit 'PACE-Design' Management-Station Komponenten Anforderungen ●... -
Seite 41: Lokaler Zugang Mms 'Multi Homed
Zugelassene Anwendungsfälle Lokaler Zugang MMS 'multi homed' 6.5 Lokaler Zugang MMS 'multi homed' Bestimmungsgemäße Einsatzumgebung Lokaler Zugang zu einer Novigo-'Anlage' mit einer Management-Station (MMS) 'multi homed': Abb. 9: Lokaler Zugang MMS 'multi homed', exemplarisch UTNW Nicht-vertrauenswürdiges Netzwerk Zonengrenzen-Schutz, ist VPN Endpunkt... - Seite 42 Unberechtigter Zugriff und Manipulation der sicherheitsrelevanten PACE- Zone Eingeschränkte oder keine Evakuierung und Personenschaden durch korrumpiertes System im Alarmfall. ● Erstellen Sie die Kommunikation von MMS zur 'Novigo'-'Anlage' über eine sichere Netzwerkverbindung, beispielsweise mit VPN. ● Erfüllen Sie folgende Anforderungen für die Komponenten. Komponenten Anforderungen ●...
-
Seite 43: Lokaler Zugang Mit Smartphone-Client 'Multi Homed
Zugelassene Anwendungsfälle Lokaler Zugang mit Smartphone-Client 'multi homed' 6.6 Lokaler Zugang mit Smartphone-Client 'multi homed' Bestimmungsgemäße Einsatzumgebung Lokaler Zugang zu einer Novigo-'Anlage' über WiFi–Zugangspunkt mit folgender Anwendung: ● 'Tablet–Designer': Abb. 10: Lokaler Zugang mit mobilen Endgeräten und 'Tablet–Designer', 'multi homed', exemplarisch... - Seite 44 Unberechtigter Zugriff und Manipulation der sicherheitsrelevanten PACE- Zone Eingeschränkte oder keine Evakuierung und Personenschaden durch korrumpiertes System im Alarmfall. ● Erstellen Sie die Kommunikation von 'Tablet–Designer' zur 'Novigo'-'Anlage' über eine sichere Netzwerkverbindung, beispielsweise mit VPN. ● Erfüllen Sie folgende Anforderungen für die Komponenten. Komponenten Anforderungen Smartphone mit 'Tablet-Designer' ●...
-
Seite 45: Zugang Mms Über Kundennetzwerk
Zugelassene Anwendungsfälle Zugang MMS über Kundennetzwerk 6.7 Zugang MMS über Kundennetzwerk Bestimmungsgemäße Einsatzumgebung Fernzugriff auf eine Novigo-'Anlage' mit MMS über ein Kundennetzwerk. Abb. 11: Lokaler Zugang MMS 'multi homed', exemplarisch Management-Station VPN-EP VPN-Endpunkt Router + Router mit Firewall Kunden-Netzwerk PACE-PC... - Seite 46 Unberechtigter Zugriff und Manipulation der sicherheitsrelevanten PACE- Zone Eingeschränkte oder keine Evakuierung und Personenschaden durch korrumpiertes System im Alarmfall. ● Erstellen Sie die Kommunikation von MMS zur 'Novigo'-'Anlage' über eine sichere Netzwerkverbindung, beispielsweise mit VPN. ● Erfüllen Sie folgende Anforderungen für die Komponenten. Komponenten Anforderungen ●...
-
Seite 47: Fernzugriff Via Crsp
Zugelassene Anwendungsfälle Fernzugriff via cRSP 6.8 Fernzugriff via cRSP Bestimmungsgemäße Einsatzumgebung Lokaler Zugang 'multi homed' zu einer Novigo-'Anlage' mit folgender Anwendung: ● Fernwartungstool Abb. 12: Fernzugriff via cRSP, exemplarisch A6V11773711_de--_b 47 | 52... - Seite 48 ● Zugang zur PACE–Zone nur über externe Firewall ● Konfiguration einer Einzelroute zum cRSP-Zugangsserver über den Computer mit mit 'PACE-Design' in allen Ethernet-Teilnehmern der 'Novigo'-'Anlage' für ein erweitertes Netzwerk ● Konfiguration einer Einzelroute zum cRSP–Zugangsserver über den cRSP–Router und über die externe Firewall im Computer mit 'PACE-Design' ●...
-
Seite 49: Wartung It-Komponenten
Wartung IT-Komponenten 7 Wartung IT-Komponenten Die Erhaltung der IT-Sicherheit ist ein anhaltender Prozess, für den die entsprechenden Aufgaben kontinuierlich wiederholt werden müssen. Für jede bezeichnete Sicherungsmaßnahme muss daher untersucht werden, ob ihre einmalige Umsetzung genügt, oder ob ein regelmäßiges Intervall erforderlich ist, wie beispielsweise die regelmäßigen Updates für eine Anti-Viren-Software. - Seite 50 Index Index FastViewer ............30 RDP ..............30 Customer Support Center VNC ..............30 Service ..............7 Quellsprache ............9 Download-Center URL..............10 Port-Einstellungen ..........30 FastViewer Richtlinie Port-Einstellungen ..........30 Passwort ............32 PIN ..............31 Originalsprache ..........9 Service Customer Support Center ........
- Seite 52 Herausgegeben von Siemens Schweiz AG Smart Infrastructure Global Headquarters Theilerstrasse 1a CH-6300 Zug +41 58 724 2424 www.siemens.com/buildingtechnologies © Siemens Schweiz AG, 2019 Liefermöglichkeiten und technische Änderungen vorbehalten. A6V11773711_de--_b...