Inhaltsverzeichnis
Werbung
6.8 Sicherheitssystem
Im Gerät sind verschiedene Sicherheitsmechanismen implementiert, welche aktiviert werden können um
einen umfassenden Zugriffschutz auf alle Gerätedaten bereitzustellen.
Das System zur Rollenbasierenden Zugriffskontrolle (engl. RBAC) erlaubt den Zugriff auf
Messdaten, Konfigurationseinstellungen und Servicefunktionen auf die Rechte des aktuellen
Anwenders einzuschränken. Für den Zugriff via Webseite oder lokales Display werden dazu die
verfügbaren Menüs reduziert und / oder für spezielle Dienste nur Leserechte gewährt. Für den
Datenzugriff über eine externe Anwendung ist ein API (Application Programming Interface) Schlüssel
erforderlich, welcher als Spezial-Anwender implementiert werden kann.
HTTPS
stellt eine verschlüsselte Kommunikation via TLS (Transport Layer Security) bereit
Mit der
Client Whitelist
Adresse eingeschränkt werden
Kommunikation sperren: Kommunikationsdienste wie Modbus/RTU, Modbus/TCP oder SYSLOG
sind per Voreinstellung gesperrt und müssen aktiv über die Konfiguration freigegeben werden. Damit
können nicht-autorisierte Zugriffe verhindert und mögliche Angriffspunkte eliminiert werden.
Audit
Log: Das Gerät speichert sicherheitsbezogene Meldungen in einer separaten Liste, auf die via
Service-Menü zugegriffen werden kann. Für Sicherheitsüberwachungen kann der Listeninhalt auch
mit Hilfe des SYSLOG Protokolls zu einem zentralen Logserver übertragen werden.
Falls das Gerät eine Anzeige hat, sind im Sicherheitssystem definierte Einschränkungen auch bei der
Bedienung via Anzeige aktiv. Anwender können auch auf die lokale Bedienung eingeschränkt werden.
6.8.1 RBAC-Management
Jeder Zugriff auf Gerätedaten via Webseite, die lokale Anzeige oder externe Software-Anwendungen
kann durch das RBAC-System umfassend geschützt werden. So kann der Zugriff auf Messwert-
Informationen, die Änderung von Konfigurationsparametern oder das Setzen / Löschen von Messdaten
individuell an die Rolle des aktiven Anwenders angepasst werden.
Hinweis: Alle Einstellungen des Sicherheitssystems werden im Gerät nur in verschlüsselter Form
gespeichert, zudem werden Anmeldeinformationen nie in Klartext übertragen.
Es werden maximal 8 Anwender unterstützt
3 vordefinierte Standard-User
• admin: Ein User mit Administrator-Rechten (Werkseinstellung Passwort: „CBM_1234")
• localgui: Der Standard-User für das lokale Display. Seine Berechtigungen bestimmen, was über das
eingebaute Display angezeigt oder geändert werden kann, ohne dass sich ein User anmeldet.
• anonymous: Der Standard-User für den Zugriff via Webseite. Seine Berechtigungen bestimmen,
was über die Webseite angezeigt oder geändert werden kann, ohne dass sich ein User anmeldet.
Bis zu 5 definierbare User oder API-Schlüssel
User oder API-Schlüssel können durch jeden User mit Schreibrechten für die Einstellungen des
Sicherheitssystems angelegt werden. Auf jeden Fall kann jeder User mit einem Web-Login das
Passwort seines eigenen Accounts ändern.
API-Schlüssel werden benötigt, damit Anwendungen via REST-Schnittstelle (Kommunikation via
http/https Protokoll) auf Gerätedaten zugreifen können. Solche Schlüssel sind zeitlich unbeschränkt
und haben entweder Leserechte, alle Rechte oder alle Rechte ohne Security.
Der vordefinierte Administrator oder jeder andere User mit vollen Zugriffsrechten auf die
Einstellungen des Sicherheitssystems kann:
• Seine eigenen Zugangsdaten (Benutzername und / oder Passwort) ändern
• Die Zugangsdaten jedes anderen Users ändern
• Frei die Berechtigungen der Standard-User localgui und anonymous festlegen. Beide User sind
Standard-User ohne Zugangsdaten.
• Neue User bis zu einem Maximum von 5 anlegen
• User auf die lokale Bedienung einschränken (kein Weblogin)
PM 1002617 000 00
kann der Zugriff auf das Gerät auf spezifische Clients mit definierbarer IP-
Geräte-Handbuch LINAX PQ5000-Rack
30/98
Werbung
Inhaltsverzeichnis
