+ All Categories
Home > Documents > Prozessleitsystem PCS 7 Sicherheitskonzept PCS 7 ... · Vorwort Zweck der Dokumentation Die...

Prozessleitsystem PCS 7 Sicherheitskonzept PCS 7 ... · Vorwort Zweck der Dokumentation Die...

Date post: 20-Jun-2019
Category:
Upload: lamdieu
View: 229 times
Download: 1 times
Share this document with a friend
224
s Vorwort Inhaltsverzeichnis Planung der Sicherheitszellen und Zugangspunkte 1 Verwaltung des Netzwerkes 2 Verwaltung der Computer und Benutzer 3 Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration in die Windows- Verwaltung 4 Planung der Uhrzeitsynchronisation 5 Implementieren der Patch- Verwaltung 6 Gesicherter Netzwerkzugang zu den Sicherheitszellen 7 Schlussbetrachtung 8 Literaturverzeichnis 9 Bedeutung der verwendeten Symbole 10 Glossar SIMATIC Prozessleitsystem PCS 7 Sicherheitskonzept PCS 7 Empfehlungen und Hinweise Ausgabe 09/2005 A5E00477558-01
Transcript

s Vorwort Inhaltsverzeichnis

Planung der Sicherheitszellen und Zugangspunkte 1 Verwaltung des Netzwerkes 2Verwaltung der Computer und Benutzer 3Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration in die Windows-Verwaltung

4

Planung der Uhrzeitsynchronisation 5Implementieren der Patch-Verwaltung 6Gesicherter Netzwerkzugang zu den Sicherheitszellen 7 Schlussbetrachtung 8 Literaturverzeichnis 9Bedeutung der verwendeten Symbole 10 Glossar

SIMATIC

Prozessleitsystem PCS 7 Sicherheitskonzept PCS 7

Empfehlungen und Hinweise

Ausgabe 09/2005 A5E00477558-01

Siemens AG Automation and Drives Postfach 4848 90437 NRNBERG DEUTSCHLAND

A5E00477558-01 09/2005

Copyright Siemens AG 2005 nderungen vorbehalten

Sicherheitshinweise Dieses Handbuch enthlt Hinweise, die Sie zu Ihrer persnlichen Sicherheit sowie zur Vermeidung von Sachschden beachten mssen. Die Hinweise zu Ihrer persnlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschden stehen ohne Warndreieck. Je nach Gefhrdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt.

! Gefahr bedeutet, dass Tod oder schwere Krperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmanahmen nicht getroffen werden.

! Warnung bedeutet, dass Tod oder schwere Krperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmanahmen nicht getroffen werden.

! Vorsicht mit Warndreieck bedeutet, dass eine leichte Krperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmanahmen nicht getroffen werden.

Vorsicht

ohne Warndreieck bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmanahmen nicht getroffen werden.

Achtung bedeutet, dass ein unerwnschtes Ergebnis oder Zustand eintreten kann, wenn der entsprechende Hinweis nicht beachtet wird.

Beim Auftreten mehrerer Gefhrdungsstufen wird immer der Warnhinweis zur jeweils hchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschden gewarnt wird, dann kann im selben Warnhinweis zustzlich eine Warnung vor Sachschden angefgt sein.

Qualifiziertes Personal Das zugehrige Gert/System darf nur in Verbindung mit dieser Dokumentation eingerichtet und betrieben werden. Inbetriebsetzung und Betrieb eines Gertes/Systems drfen nur von qualifiziertem Personal vorgenommen werden. Qualifiziertes Personal im Sinne der sicherheitstechnischen Hinweise dieser Dokumentation sind Personen, die die Berechtigung haben, Gerte, Systeme und Stromkreise gem den Standards der Sicherheitstechnik in Betrieb zu nehmen, zu erden und zu kennzeichnen.

Bestimmungsgemer Gebrauch

Beachten Sie Folgendes:

! Warnung Das Gert darf nur fr die im Katalog und in der technischen Beschreibung vorgesehenen Einsatzflle und nur in Verbindung mit von Siemens empfohlenen bzw. zugelassenen Fremdgerten und -komponenten verwendet werden. Der einwandfreie und sichere Betrieb des Produktes setzt sachgemen Transport, sachgeme Lagerung, Aufstellung und Montage sowie sorgfltige Bedienung und Instandhaltung voraus.

Marken Alle mit dem Schutzrechtsvermerk gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die brigen Bezeichnungen in dieser Schrift knnen Marken sein, deren Benutzung durch Dritte fr deren Zwecke die Rechte der Inhaber verletzen kann.

Haftungsausschluss

Wir haben den Inhalt der Druckschrift auf bereinstimmung mit der beschriebenen Hard- und Software geprft. Dennoch knnen Abweichungen nicht ausgeschlossen werden, so dass wir fr die vollstndige bereinstimmung keine Gewhr bernehmen. Die Angaben in dieser Druckschrift werden regelmig berprft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten

Vorwort

Zweck der Dokumentation Die Dokumentation Sicherheitskonzept PCS 7 enthlt Empfehlungen und Hinweise fr die Planung und den Aufbau von sicheren vernetzten PCS 7-Automatisierungslsungen mit angebundenen Web Clients, SIMATIC IT-Applikationen und kundenspezifischen Bronetzwerken.

Die vorliegende Dokumentation ist ein Nachschlagewerk und gleichzeitig ein Leitfaden fr Netzwerkadministratoren aus den Bereichen

Projektierung von PCS 7,

Inbetriebnahme und Service von PCS 7 und

Betreuung von Unternehmensnetzen.

Hierdurch soll die Zusammenarbeit der Netzwerkadministratoren von Unternehmensnetzen und Automatisierungsnetzen erleichtert werden.

Erforderliche Kenntnisse Diese Dokumentation wendet sich an die Personen, die in den Bereichen Projektierung, Inbetriebnahme und Service von Automatisierungssystemen mit SIMATIC PCS 7 ttig sind. Grundkenntnisse der aus der Browelt bekannten IT-Techniken werden vorausgesetzt.

Achtung

Diese Dokumentation kann die Ausbildung des Personals auf den Gebieten Netzwerktechnik, Microsoft Windows-Verwaltung von Desktop- und Server-Stationen und deren Betrieb in Windows-Domnen nicht ersetzen, sondern setzt diese Kenntnisse teilweise voraus.

Gltigkeitsbereich der Dokumentation Die Dokumentation Sicherheitskonzept PCS 7 ist gltig fr prozessleittechnische Anlagen, die mit PCS 7 V6.1 SP1 realisiert sind.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 iii

Vorwort

IT-Sicherheit in Ihrer Anlage Ziel dieses Sicherheitskonzeptes ist die Validierbarkeit einer vernetzten prozessleittechnischen Anlage als "geschlossenes System" gem FDA 21 CFR 11 Abschnitt A 11.3 Punkt (4):

Zitat: "Geschlossenes System ist eine Umgebung, in welcher der Zugang zum System von Personen kontrolliert wird, die fr den Inhalt der elektronischen Aufzeichnungen in diesem System verantwortlich sind." Zitat ende.

Dazu wird die Anlage in einzelne Sicherheitszellen aufgeteilt. Von denen jede fr sich ein solches "geschlossenes System" darstellen kann und auch der Verbund der Sicherheitszellen als ein "geschlossenes System" validiert werden kann.

Zur Realisierung sind mehrere Sicherheitsmanahmen notwendig. Nur die Gesamtheit aller Sicherheitsmanahmen bewirkt einen optimalen Schutz der Anlage.

Sicherheitszellen

Sicherheitszellen sind in diesem Dokument Zonen, Abschnitte, Teilbereiche oder Teilanlagen, fr die ausschlielich befugtes Personal Zugriff besitzt.

Dazu gehren

Bedienberechtigungen der einzelnen Produktionsabschnitte

Physischer Zutritt zu den Produktionsbereichen und Prozessleitrumlichkeiten

Zugriffsberechtigungen zum Dateisystem einer Prozessleitsystemstation oder zu ganzen Computer- und Steuerungsnetzwerken und ihren Stromversorgungen.

In diesem Zusammenhang sind folgende Dokumente im vorliegenden Sicherheitskonzept bercksichtigt worden:

BSI IT-Grundschutzhandbuch, Kapitel 4 "IT-Grundschutz im Bereich Infrastruktur"

FDA 21 CFR 11, "Elektronische Aufzeichnungen und Unterschriften"

NAMUR Arbeitsblatt NA 67 "Informationsschutz bei Prozessleitsystemen (PLS)"

NAMUR Arbeitsblatt NA 103 "Einsatz von Internettechnologien in der Prozessautomatisierung"

ISA TR99.00.012004 "Security Technologies for Manufacturing and Control Systems" vom 11. Mrz 2004

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise iv A5E00477558-01

Vorwort

Anlagentypen Das Sicherheitskonzept PCS 7 wird in diesem Dokument anhand folgender Anlagentypen dargestellt.

Einplatzsystem als Prozessleitsystem ohne Web Clients

Bild 1 Prinzipdarstellung Einplatzsystem

Mehrplatzsystem als Prozessleitsystem auch mit Web Clients

Bild 2 Prinzipdarstellung Mehrplatzsystem

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 v

Vorwort

Groe Anlage als Prozessleitsystem mit MES- und ERP-Ebene

Bild 3 Prinzipdarstellung Groe Anlage

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise vi A5E00477558-01

Vorwort

Hinweis Das vorliegende Sicherheitskonzept SIMATIC PCS 7 ist systemgetestet und sollte bei Ihrer Anlage zum Einsatz kommen.

Es ist dringend zu beachten, dass sich nicht alle Sicherheitskonzepte aus der IT-Umgebung 1:1 in der Prozessautomatisierung umsetzen lassen. Das Hauptaugenmerk der IT liegt bei globaler Erreichbarkeit und hchstmglicher Sicherheit. Das Wichtigste bei der Prozessautomatisierung ist die Funktionalitt der Anlage.

Achtung

Abweichungen vom empfohlenen Sicherheitskonzept PCS 7 knnen Sicherheitslcken mit unerwnschten Folgen verursachen.

Aktualisieren Sie Ihre Anlage stets so, dass keine Sicherheitslcken auftreten knnen.

Diese Dokumentation enthlt das Sicherheitskonzept PCS 7 mit Stand V6.1 SP1. Auerdem informiert Sie Ihr Ansprechpartner fr Automation & Drives ber die aktuelle Version dieses Handbuches.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 vii

Vorwort

Wegweiser Die Themenbereiche sind in der Reihenfolge aufgefhrt, in der ein Administrator die Konfiguration der notwendigen Komponenten durchfhren sollte. Bei allen Schritten werden Hintergrundinformationen gegeben und Zusammenhnge erlutert, damit dem Administrator das Sicherheitskonzept und der Zweck der jeweiligen Schritte verstndlich werden.

Die vorliegende Dokumentation besteht aus folgenden Themenbereichen:

Abschnitt Inhalt

Sicherheitszellen und Raumschutz

Prinzip: Einteilung in Sicherheitszellen Sicherheitszellen und Raumschutz Festlegung der Netzwerkzugangspunkte

Planung der Sicherheitszellen und Zugangspunkte

Vergabe von IP-Adressen und Aufteilung in Subnetze Namensauflsung

Verwaltung der Computer und Benutzer

Prinzip: Aufteilung der Verantwortung Betrieb von Anlagen in Windows-Arbeitsgruppen Verwaltung von Anlagen durch eine Windows Domne

(Active Directory) Gemeinsame Domne eigene Organisationseinheit Gemeinsame Gesamtstruktur untergeordnete Domnen

Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration in die Windows-Verwaltung

Prinzip: Zugeordnete Anmeldung Zusammenhang zwischen den Windows-Benutzerrechten

und der projektspezifischen Verwaltung der Benutzerrechte und Bedienberechtigungen

Integration in die Windows-Verwaltung Planung der Uhrzeitsynchronisation

Prinzip: Genaue Zeit Uhrzeitsynchronisation in einer Windows-Arbeitsgruppe

ohne Anlagen-Zentraluhr Uhrzeitsynchronisation in einer Windows-Arbeitsgruppe mit

Anlagen-Zentraluhr Uhrzeitsynchronisation in einer Windows Active Directory

Domne ohne Anlagen-Zentraluhr (mit NTP-Zeitserver) Uhrzeitsynchronisation in einer Windows Active Directory

Domne mit Anlagen-Zentraluhr Implementieren der Patch-Verwaltung

Prinzip: Verwaltung von Software-Updates und Sicherheits-Patches Implementieren der Patch-Verwaltung Software Update Service (SUS) installieren und

konfigurieren AU-Clients konfigurieren

(AU = Automatisches Update)

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise viii A5E00477558-01

Vorwort

Abschnitt Inhalt

Allgemeines zu Firewalls Prinzip: Geschlossenes System gem FDA Einsatz von Firewalls fr die Zugangspunkte Einsatz von Virenscannern fr die Zugangspunkte Prinzip: Integration von abgesetzten PCS 7-PCs in das geschlossene System gem FDA Einsatz und Konfiguration von Authentifizierung und

Verschlsselung mit IP-Security Einsatz und Konfiguration von Authentifizierung und

Verschlsselung mit Secure Sockets Layer Einsatz und Konfiguration von VPN (Virtual Private

Network) und Network Access Quarantine Control fr den sicheren Supportzugang

Weitere Manahmen Protokollierung/Audit

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 ix

Vorwort

Weitere Untersttzung Bei Fragen zur Nutzung der im Handbuch beschriebenen Produkte, die Sie hier nicht beantwortet finden, wenden Sie sich bitte an Ihren Siemens-Ansprechpartner in den fr Sie zustndigen Vertretungen und Geschftsstellen.

Ihren Ansprechpartner finden Sie unter:

http://www.siemens.com/automation/partner

Den Wegweiser zum Angebot an technischen Dokumentationen fr die einzelnen SIMATIC Produkte und Systeme finden Sie unter:

http://www.siemens.de/simatic-tech-doku-portal

Den Online-Katalog und das Online-Bestellsystem finden Sie unter:

http://mall.automation.siemens.com/

Trainingscenter Um Ihnen den Einstieg in das Prozessleitsystem PCS 7 zu erleichtern, bieten wir entsprechende Kurse an. Wenden Sie sich bitte an Ihr regionales Trainingscenter oder an das zentrale Trainingscenter in D 90327 Nrnberg. Telefon: +49 (911) 895-3200. Internet: http://www.sitrain.com

Technical Support Sie erreichen den Technical Support fr alle A&D-Produkte

ber das Web-Formular fr den Support Request http://www.siemens.de/automation/support-request

Telefon: + 49 180 5050 222

Fax: + 49 180 5050 223

Weitere Informationen zu unserem Technical Support finden Sie im Internet unter http://www.siemens.de/automation/service

Service & Support im Internet Zustzlich zu unserem Dokumentations-Angebot bieten wir Ihnen im Internet unser komplettes Wissen online an. http://www.siemens.com/automation/service&support

Dort finden Sie:

den Newsletter, der Sie stndig mit den aktuellsten Informationen zu Ihren Produkten versorgt.

die fr Sie richtigen Dokumente ber unsere Suche in Service & Support.

ein Forum, in welchem Anwender und Spezialisten weltweit Erfahrungen austauschen.

Ihren Ansprechpartner fr Automation & Drives vor Ort.

Informationen ber Vor-Ort Service, Reparaturen, Ersatzteile. Vieles mehr steht fr Sie unter dem Begriff "Leistungen" bereit.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise x A5E00477558-01

http://www.siemens.com/automation/partnerhttp://www.siemens.de/simatic-tech-doku-portalhttp://mall.automation.siemens.com/http://www.sitrain.com/http://www.siemens.de/automation/support-requesthttp://www.siemens.de/automation/servicehttp://www.siemens.com/automation/service&support

Inhaltsverzeichnis

1 Planung der Sicherheitszellen und Zugangspunkte 1-1 1.1 Sicherheitszellen und Raumschutz .................................................................. 1-1 1.2 Festlegung der Netzwerkzugangspunkte ......................................................... 1-6

2 Verwaltung des Netzwerkes 2-1 2.1 Namensauflsung............................................................................................. 2-1 2.2 Vergabe von IP-Adressen und Aufteilung in Subnetze .................................... 2-6

3 Verwaltung der Computer und Benutzer 3-1 3.1 Betrieb von Anlagen in Windows-Arbeitsgruppen ............................................ 3-1 3.2 Verwaltung von Anlagen durch eine Windows Domne (Active Directory)...... 3-5 3.2.1 Allgemeines zu Domnen................................................................................. 3-5 3.2.2 Einbettung von Anlagen in vorhandene Domnen (Active Directory) ............ 3-10

4 Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration in die Windows-Verwaltung 4-1 4.1 Rechteverwaltung in Windows ......................................................................... 4-1 4.2 Benutzerverwaltung in PCS 7........................................................................... 4-9

5 Planung der Uhrzeitsynchronisation 5-1 5.1 Uhrzeitsynchronisation in einer Windows-Arbeitsgruppe

ohne Anlagen-Zentraluhr .................................................................................. 5-3 5.2 Uhrzeitsynchronisation in einer Windows-Arbeitsgruppe

mit Anlagen-Zentraluhr ................................................................................... 5-10 5.3 Uhrzeitsynchronisation in einer Windows Active Directory Domne

ohne Anlagen-Zentraluhr (mit NTP-Zeitserver) .............................................. 5-16 5.4 Uhrzeitsynchronisation in einer Windows Active Directory Domne

mit Anlagen-Zentraluhr ................................................................................... 5-24 6 Implementieren der Patch-Verwaltung 6-1

6.1 Implementieren der Patch-Verwaltung ............................................................. 6-3 6.1.1 Erkennen von Sicherheitslcken mittels MBSA ............................................... 6-4 6.1.2 Beurteilen der Sicherheitslcken ...................................................................... 6-9 6.1.3 Beschaffen von Software-Updates und Sicherheits-Patches mit SUS .......... 6-10 6.1.4 Testen von Sicherheits-Patches..................................................................... 6-10 6.1.5 Bereitstellen von Sicherheits-Patches ............................................................ 6-10 6.1.6 Wartung der Patch-Umgebung....................................................................... 6-10 6.2 Software Update Service (SUS) installieren und konfigurieren...................... 6-11 6.2.1 Grundlagen des SUS...................................................................................... 6-11 6.2.2 SUS installieren .............................................................................................. 6-15 6.2.3 SUS-Server konfigurieren............................................................................... 6-16 6.3 AU-Clients konfigurieren................................................................................. 6-22

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 xi

Inhaltsverzeichnis

7 Gesicherter Netzwerkzugang zu den Sicherheitszellen 7-1 7.1 Darstellung des Datenverkehrs ........................................................................ 7-1 7.2 Einsatz von Firewalls fr die Zugangspunkte................................................... 7-7 7.2.1 Allgemeines zu Firewalls .................................................................................. 7-7 7.2.2 Einsatz des Microsoft ISA Server als Firewall .................................................. 7-7 7.2.3 Einsatz lokaler Firewalls auf PCS 7-PCs........................................................ 7-11 7.3 Einsatz von Virenscannern fr die Zugangspunkte........................................ 7-12 7.3.1 Einsatz lokaler Virenscanner auf PCS 7-PCs (dezentrale Zugangspunkte) .. 7-12 7.3.2 Einsatz eines Microsoft ISA Server Virenscanmodules

auf dem zentralen Zugangspunkt einer Anlage.............................................. 7-14 7.4 Integration von abgesetzten PCS 7-PCs

in das geschlossene System gem FDA...................................................... 7-15 7.4.1 Einsatz und Konfiguration von Authentifizierung und Verschlsselung

mit IP-Security ................................................................................................ 7-17 7.4.2 Einsatz und Konfiguration von Authentifizierung und Verschlsselung

mit Secure Sockets Layer............................................................................... 7-25 7.4.3 Einsatz und Konfiguration von VPN (Virtual Private Network) und

Network Access Quarantine Control fr den sicheren Supportzugang.......... 7-28 7.5 Anforderung und Installation von Zertifikaten................................................. 7-58 7.5.1 Installation einer eigenstndigen Stammzertifizierungsstelle......................... 7-58 7.5.2 Download eines Zertifikates der Zertifizierungsstelle ..................................... 7-61 7.5.3 Anfordern eines lokalen Computerzertifikates fr IPSec................................ 7-62 7.5.4 Einrichten von SSL auf einem Web Server .................................................... 7-64 7.5.4.1 Erzeugen einer Zertifikatsanforderung........................................................... 7-64 7.5.4.2 bermitteln einer Zertifikatsanforderung........................................................ 7-67 7.5.4.3 Ausstellen des Zertifikats ............................................................................... 7-67 7.5.4.4 Installieren des Zertifikats auf dem Web Server ............................................ 7-68 7.5.4.5 Konfigurieren von Ressourcen zum Anfordern des SSL-Zugriffs .................. 7-68

8 Schlussbetrachtung 8-1 8.1 Restrisiken ........................................................................................................ 8-1 8.2 Weitere Manahmen ........................................................................................ 8-1

9 Literaturverzeichnis 9-1 9.1 Literaturverzeichnis........................................................................................... 9-1

10 Bedeutung der verwendeten Symbole 10-1 10.1 Bedeutung der verwendeten Symbole ........................................................... 10-1

Glossar Glossar-1

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise xii A5E00477558-01

1 Planung der Sicherheitszellen und Zugangspunkte

1.1 Sicherheitszellen und Raumschutz

Prinzip: Einteilung in Sicherheitszellen Der erste und wichtigste Schritt zum Aufbau einer modernen und sicheren Prozessautomatisierungsanlage besteht in der sorgfltigen Planung der Sicherheitszellen dieser Anlage. Dazu wird die Anlage in Segmente unterteilt.

Segmente und Sicherheitszellen

Segmente stellen bestimmte Zonen, Abschnitte, Teilbereiche oder Teilanlagen dar. Sie werden dann zu einer Sicherheitszelle, wenn die im Abschnitt "IT-Sicherheit in Ihrer Anlage" genannten Bedingungen erfllt sind. Mehrere Segmente knnen eine Sicherheitszelle bilden.

Hierbei zeigen sich die ersten grundlegenden Unterschiede zur herkmmlichen IT-Umgebung:

Whrend in der herkmmlichen IT-Umgebung vor allem Wert auf globale Vernetzung und Zugriffsmglichkeiten gelegt wird, muss in der Industrie vor allem sichergestellt werden, dass nur wirklich berechtigte Personen ber das Netzwerk Zugriff zu den Anlagen erhalten.

Noch viel wichtiger ist der Raumschutz dieser Anlagen. Selbst die beste Firewall oder Verschlsselung ist nutzlos, wenn beispielsweise ein Saboteur die Festplatten der Server einfach ausbauen und mitnehmen kann.

Deshalb mssen die einzelnen Anlagen und Anlagenteile segmentiert und mit einem Raumschutz versehen werden.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 1-1

Planung der Sicherheitszellen und Zugangspunkte

Regeln fr Einteilung in Segmente und Sicherheitszellen Das jeweilige Segment muss einer autark "funktionsfhigen Anlage"

entsprechen, die einen bestimmten Zeitraum ohne Verbindung zu den restlichen Anlagen oder Anlagenteilen betrieben werden kann, d.h. ein Segment muss fr eine bestimmte Zeit autonom funktionsfhig sein und bleiben.

Alle einem solchen Segment und seiner Aufgabe direkt zugehrigen Elemente mssen direkt (z.B. nicht ber gemietete Leitungen) miteinander verbunden sein.

Anlagenteile, die eine hohe Netzwerk- und Rechenbelastung verursachen, wenn sie ber aufwndige Sicherheitsmechanismen von auen angebunden werden, sollten unbedingt direkt in das Segment integriert werden.

Jeglicher Zugriff auf eine Sicherheitszelle darf nur nach berprfung, Protokollierung und unter berwachung durch die berechtigten Personen erfolgen, z.B. Personenzugang, Dateizugriff usw.

Nur vertrauenswrdige Personen mit entsprechender Einweisung drfen Zugang zu einer Sicherheitszelle erhalten.

Was wird sichergestellt? So wird sichergestellt, dass nur Personen direkter physikalischer Zugriff auf eine Sicherheitszelle innerhalb einer Anlage gewhrt wird, von denen keine vorstzliche Gefahr fr die Anlage ausgeht.

Konsequenzen fr Schutzmanahmen Eine Sicherheitszelle der Anlage muss im Innern gegenber dem Anlagenpersonal nur noch vor Fehlbedienungen mittels normaler Zugriffsberechtigungen geschtzt werden.

Das bedeutet auerdem, dass innerhalb einer Sicherheitszelle keine Manahmen zur Verschlsselung des Datenverkehrs oder der Einsatz von Firewalls vor jedem einzelnen Gert notwendig sind, sondern - auch zum einfacheren Support - das Netzwerk ohne Verschlsselungsmanahmen betrieben werden kann.

Sollte von dieser Empfehlung der Einteilung in Segmente und Sicherheitszellen der Anlage abgewichen werden, sind alle weiteren beschriebenen Schutzmanahmen wirkungslos.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 1-2 A5E00477558-01

Planung der Sicherheitszellen und Zugangspunkte

Anwendung auf die Anlagentypen

Einplatzsystem

Bei einem Einplatzsystem entspricht der Einplatz einer Sicherheitszelle und kann auch das geschlossene System bilden. Dies setzt voraus, dass es sich in einem Raum mit entsprechendem Raumschutz befindet.

Bei mehreren Einplatzsystemen entspricht jeder Einplatz einer Sicherheitszelle und mehrere knnen ein geschlossenes System bilden.

Mehrplatzsystem

Das Mehrplatzsystem entspricht einer Sicherheitszelle und kann gleichzeitig ein geschlossenes System bilden.

Eine zustzlich zu beachtende Besonderheit in der Prozessleitebene (DCS) ist die empfohlene Trennung des Terminalbusses und des Anlagenbusses.

- Der Terminalbus verbindet die PCS 7-PCs in der DCS-Ebene.

- Der Anlagenbus verbindet die OS-Server mit den Automatisierungssystemen (AS). Die Kommunikation zwischen den Automatisierungssystemen luft ber den Anlagenbus.

Die Trennung wird durchgefhrt, um den Anlagenbus nicht mit der Kommunikation fr die Visualisierung auf den OS-Clients zu belasten. Die Verfgbarkeit des Anlagenbusses wird dadurch erhht.

Bild 1-1 zeigt am Beispiel der Sicherheitszelle "Produktionshalle" die Aufteilung des DCS in die Segmente "Terminalbus" und "Anlagenbus". Dem Terminalbus sind die PC-Stationen des DCS zugeordnet. Dem Anlagenbus sind die AS-Stationen des DCS zugeordnet.

Bild 1-1 Sicherheitszelle Produktionshalle

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 1-3

Planung der Sicherheitszellen und Zugangspunkte

Groe Anlage

In der in Bild 1-2 und Bild 1-3 dargestellten Beispielkonfiguration, im weiteren Verlauf als Firma "plant.com" bezeichnet, gibt es 3 Hauptgebude mit unterschiedlichen Funktionen und unterschiedlichen Gerten.

Jedes Gebude entspricht in diesem Beispiel einer Sicherheitszelle,

da sich jeweils Personen mit hnlichen Aufgaben und Berechtigungen in einem dieser Segmente befinden und

da jede Sicherheitszelle eine bestimmte Zeit getrennt von den anderen ihre Aufgaben erfllen kann.

Bild 1-2 Sicherheitszellen Gebude - Ebenen

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 1-4 A5E00477558-01

Planung der Sicherheitszellen und Zugangspunkte

Einzige Ausnahme in diesem Beispiel ist das Gebude der Zugangskontrolle des gesamten Firmengelndes. Hier befindet sich nur ein einzelnes Gert zur Anzeige von besonderen Alarmierungen ohne Bedienmglichkeit durch das Wachpersonal.

Bild 1-3 Sicherheitszellen Gebude - Gerte

FDA-Anforderungen zum Raumschutz Wichtig ist beim Raumschutz der Zusammenhang zur FDA-Zertifizierung, insbesondere Teil 21 CFR 11, als Definition eines "geschlossenen Systems" und seiner Sicherheitsanforderungen. Die wichtigsten Anforderungen sind: die Begrenzung des Zugriffs auf befugte Personen die Begrenzung des Zugriffs auf erlaubte Gerte den Schutz der Dokumente und Daten vor Vernderung bzw. Lschen

Techniken zur Steigerung der Netzwerkperformance Techniken zur Steigerung der Netzwerkperformance kommen in erster Linie nur innerhalb eines Segmentes zum Einsatz. Zum Beispiel sollen deshalb geswitchte, eventuell redundante Netzwerke innerhalb eines Segmentes aufgebaut werden.

Hinweis In der Praxis haben sich durch die unterschiedlichen Eigenschaften unterschied-liche Anforderungen an beide Netzwerke ergeben, z.B. die Hochverfgbarkeit (Redundanz), sowie die wesentlich schnelleren Antwortzeiten des Anlagenbusses - vor allem zwischen den einzelnen AS. Um gegenseitige Beeinflussungen und Strungen zu vermeiden, wird dringend empfohlen, Terminalbus und Anlagenbus physikalisch getrennt aufzubauen und zu betreiben.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 1-5

Planung der Sicherheitszellen und Zugangspunkte

1.2 Festlegung der Netzwerkzugangspunkte

Zentrale Zugangspunkte Viele Netzwerkapplikationen sind anfllig gegen Angriffe wie z. B. Denial-Of-Service (Dienstverweigerung) oder Buffer-Over-Run (Speicherberschreibung). Einen Schutz gegen diese Angriffe erreichen Sie durch regelmiges Aufspielen der aktuellsten Sicherheitsupdates dieser Applikationen und des Betriebssystems begegnen. Dazu kontrr ist die Forderung nach einer mglichst langen Betriebszeit ohne Stillstandszeiten, denn oft erfordern die Sicherheitsupdates einen Neustart des jeweiligen Systems. Dies lsst sich vereinbaren, wenn die Sicherheitszellen einer Anlage mit zuverlssigen zentralen Zugangspunkten versehen werden, welche ber einen bestimmten Zeitraum alle Netzkomponenten (auch die noch nicht aktualisierten) schtzen knnen. Die Sicherheitsupdates sind nach der Erprobung unbedingt einzuspielen (trotz dieses zentralen Schutzes). So gewhrleisten Sie die Sicherheit der einzelnen Komponenten auch bei einem eventuellen Versagen des Zugangspunktes.

Netzwerk-Zugangspunkt - Was wird sichergestellt? Netzwerk-Zugangspunkte sollen: den unerlaubten Datenverkehr zu den sensiblen Prozessleitsystemen

verhindern. den erlaubten Datenverkehr und damit den normalen Betrieb des

Prozessleitsystems reibungslos ermglichen

Definierte Zugangspunkte durch Einsatz von Routern Die einzelnen Segmente und Subnetze mssen ber definierte Zugangspunkte miteinander verbunden werden. Hierfr sind Router am besten geeignet, da sich an diesen Gerten bereits mittels Routing- und Filter-Regeln der Datenaustausch genauer festlegen lsst und diese so bereits eine einfache Schutzmanahme darstellen, ohne den Netzwerkverkehr bereits zu beeintrchtigen.

Die Auswahl eines geeigneten Routers erfolgt nach: Geforderte Netzwerkbandbreite Bentigte Verfgbarkeit

Die Dimensionierung des Routers muss dem tatschlichen Bedarf des Netzwerkverkehrs und eventuell geplanter Erweiterungen der Anlagen entsprechen. Die Router stellen durch ihren Status als "Einzelgert" einen Netzwerkverkehrsengpass dar. Gegebenenfalls muss also moderne "GigaBit"-Technik fr die Router

eingesetzt werden. Gegebenfalls mssen die Router redundant ausgelegt werden.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 1-6 A5E00477558-01

Planung der Sicherheitszellen und Zugangspunkte

Hinweis Der temporre Einsatz von Routern als Trennungs- und Verbindungsglied der einzelnen Sicherheitszellen ist, vor allem fr den Zeitraum der Inbetriebsetzung einer Anlage zu empfehlen. So knnen alle Gerte und ihre Kommunikation untereinander wesentlich einfacher funktionell geprft werden.

Spter mssen diese Router jedoch entweder durch Firewalls ersetzt oder beim Einsatz von Computern als Router, auf ihnen jeweils eine Firewall-Software installiert und konfiguriert werden (siehe Kapitel 7.2 "Einsatz von Firewalls fr die Zugangspunkte).

Anwendung auf die Anlagentypen

Einplatzsystem

Unter der Vorraussetzung, dass das Einplatzsystem einer Sicherheitszelle entspricht, sich also in einem Raum mit Raumschutz befindet, bilden die Netzwerkkarten die Zugangspunkte. Ist dies nicht der Fall bilden alle Schnittstellen des Einplatzsystems wie Laufwerke, Tastatur, Maus, USB-Anschluss usw. die Zugangspunkte.

Mehrplatzsystem

Den Zugangspunkt zum Mehrplatzsystem bildet der Router DCS (siehe Netzwerkzugangspunkte Router)

Groe Anlage

In Netzwerkzugangspunkte Router sind die Zugangspunkte dargestellt:

Zugangspunkt zu DCS ber Router DCS

Zugangspunkte zu MES ber Router DCS und Router MES

In der obersten Ebene befinden sich alle Gerte der Ebene ERP in einem physikalischen Subnetz. Dieses ist mit der nchsten Ebene MES ber den Router MES verbunden. Die Ebene MES wiederum ist ber den Router DCS mit der Prozessleitebene verbunden. In diesem Beispiel werden die Produktionsdaten in regelmigen Abstnden von den OS-Servern aus der Prozessleitebene (DCS) zum SIMATIC IT-Historian Server bzw. Central Archiv Server (CAS) ausgelagert. Die Prozessleitebene kann zwar zeitweise ohne Verbindung zur Ebene MES arbeiten, aber da das Fassungsvermgen ihrer Archive begrenzt ist, mssen sie regelmig mit den Archivservern in der Ebene MES verbunden sein.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 1-7

Planung der Sicherheitszellen und Zugangspunkte

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 1-8 A5E00477558-01

In der Ebene MES werden die Produktionsdaten gesammelt, archiviert, ausgewertet und ber eine Weblsung (OSWebServer01) der Ebene ERP zur Verfgung gestellt. Wichtig ist hierbei, dass diese Produktionsdaten nicht zerstrt und auch nicht mehr gendert werden knnen.

Bild 1-4 Netzwerkzugangspunkte Router

Planung der Sicherheitszellen und Zugangspunkte

Hinweis

Der Betrieb eines SIMATIC-IT Historian bzw. Central Archiv Server ist nicht zwingend in der MES-Ebene vorgeschrieben. Wenn sich eine solche Ebene durch die vorhandenen Gegebenheiten nicht bilden lsst, muss auf diese zustzliche Sicherheitszone verzichtet werden. Dies wird jedoch nicht empfohlen.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 1-9

Planung der Sicherheitszellen und Zugangspunkte

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 1-10 A5E00477558-01

2 Verwaltung des Netzwerkes

2.1 Namensauflsung

Symbolische Namen Damit die Netzwerkstruktur und die Verwaltung flexibel bleibt und auf Vernderungen reagiert werden kann, mssen alle Netzwerkteilnehmer mit symbolischen Namen versehen werden. Diese Namen entsprechen dann den IP-Adressen der Netzwerkteilnehmer.

Als symbolische Namen haben sich aufgabenorientierte Namen, z.B. OSServer01, PresseSrv01 usw. bewhrt. Die meisten Applikationen verwenden diese Namen, um den gewnschten Ansprechpartner im Netzwerk zu finden.

Regeln fr die Namensauflsung Bei der Verwendung von DNS- und WINS-Servern mssen in jedem Segment

mindestens ein DNS- und ein WINS-Server vorhanden sein. Diese knnen natrlich auf einem physikalischen PC gemeinsam vorhanden sein.

Die symbolischen Namen drfen fr Anlagen-PCs maximal 15 Zeichen lang sein und nur aus Zeichen und Ziffern bestehen.

Die Namensauflsung muss schnell und zuverlssig sein, sowie stndig jedem einzelnen Netzwerkteilnehmer zur Verfgung stehen.

Hinweis

Sobald zur Verwaltung der Windows Computer eine Windows 2000 oder Windows 2003 Domne verwendet wird (siehe Kapitel Allgemeines zu Domnen muss zwingend ein beschreibbarer DNS-Server fr die Namensauflsung dieser Domne verfgbar sein.

Die Namensauflsung jedes einzelnen Segmentes muss auch ohne Verbindung zu den anderen Segmenten funktionieren.

Eine schnelle und zuverlssige Namensauflsung ist Vorraussetzung fr eine hohe Performance in jedem einzelnen Segment.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 2-1

Verwaltung des Netzwerkes

Namensauflsung mit DNS-Server Die Einstellung der Namen erfolgt ber den Menbefehl Start > Einstellungen > Systemsteuerung > System > Register "Computername" > Schaltflche "ndern".

Bild 2-1 Namensauflsung DNS-Suffix

DNS-Suffix:

Die Angabe des DNS-Suffix ist wichtig, damit sich der PC auf dem DNS-Server korrekt eintragen kann. Dies gilt auch fr den DNS-Server selbst.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 2-2 A5E00477558-01

Verwaltung des Netzwerkes

DNS-Serveradresse:

Die Einstellung des DNS-Server am Anlagen-PC erfolgt ber den Menbefehl Start > Einstellungen > Systemsteuerung > Netzwerkverbindungen > LAN-Verbindung > Register "Allgemein" > Schaltflche "Eigenschaften".

Auswahl im Dialogfeld "Eigenschaften von Internetprotokoll(TCP/IP)":

"DNS-Serveradresse automatisch beziehen" oder

"Folgende DNS-Serveradresse verwenden:"

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 2-3

Verwaltung des Netzwerkes

Namensauflsung mit WINS-Server Die Einstellung der Namen erfolgt ber den Menbefehl Start > Einstellungen > Systemsteuerung > System > Register "Computername" > Schaltflche "ndern".

Der "NETBIOS-Computername" wird aus dem hier eingegeben "Computernamen" gebildet und kann ber die Schaltflche "Weiter" angezeigt werden. Beide Namen sollten zur Vermeidung von Namensauflsungsfehlern gleich lauten.

WINS-Serveradresse:

Die Einstellung des WINS-Server am Anlagen-PC erfolgt ber den Menbefehl Start > Einstellungen > Systemsteuerung > Netzwerkverbindungen > LAN-Verbindung > Register "Allgemein" > Schaltflche "Eigenschaften".

Auswahl im Dialogfeld "Eigenschaften von Internetprotokoll(TCP/IP)" unter Schaltflche "Erweitert" > Register "WINS".

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 2-4 A5E00477558-01

Verwaltung des Netzwerkes

Anwendung auf die Anlagentypen

Einplatzsystem

Eine Namensauflsung ist fr die PCS 7-Vernetzung nicht notwendig, jedoch muss sich das Einplatzsystem selbst identifizieren knnen, d.h. aber nicht, dass sich das Einplatzsystem nicht in einem Netzwerk mit DNS- und WINS-Server befinden kann.

Mehrplatzsystem, Groe Anlage

Wir empfehlen auch in einer Arbeitsgruppe die Verwendung mindestens eines Extra-PC als DNS- und WINS-Server. Auf diesem PC kann sich auch der DHCP-Server befinden. In einer Domne knnen DHCP-, DNS- und WINS-Server auch auf einem Domnencontroller installiert sein.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 2-5

Verwaltung des Netzwerkes

2.2 Vergabe von IP-Adressen und Aufteilung in Subnetze

Wahl der IP-Adressen und Aufteilung in Subnetze Gem Sicherheitszellen und Raumschutz, sollte sich die gewhlte Einteilung in Segmente auch im IP-Adressbereich der Netzwerke durch die Bildung von einzelnen Subnetzen widerspiegeln.

Regeln fr IP-Adressen Ein erster Schritt zur Erhhung der Netzwerksicherheit wird bereits durch die Wahl des IP-Adressbereiches erzielt: Whlen Sie vorrangig IP-Adressen aus den international reservierten privaten

Adress-Bndern. Empfohlen werden die Adressen aus dem Bereich 192.168.x.x, welche eine

einfache und bersichtliche Struktur fr kleine und mittlere Anlagen gewhrleisten.

Was wird sichergestellt? Da IP-Adressen aus privaten Bndern nicht im Internet weitergeleitet werden knnen, wird damit bereits ein direkter Angriff aus dem Internet auf einen Anlagen-PC verhindert.

Empfohlene IP-Adressen Im Bereich 192.168.x.x gibt es beispielsweise 256 Klasse C Netzwerke (Subnetz 192.168.0.x bis Subnetz 192.168.255.x)

mit jeweils 254 Teilnehmern (IP-Adresse 192.168.x.1 bis IP-Adresse 192.168.x.254).

Bild 2-2 Ebenen mit IP-Subnetzen

Die Adressen der Broumgebung sind oft bereits durch deren IT-Abteilung vorgegeben. Die IT-Abteilung muss frhzeitig in die Planung des Anlagennetzwerkes einbezogen werden, wenn eine Anbindung an das "Bronetzwerk" bereits geplant ist oder in spterer Zukunft vorgesehen wird.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 2-6 A5E00477558-01

Verwaltung des Netzwerkes

Verwendung von DHCP (Dynamic Host Configuration Protocol) DHCP bietet die Mglichkeit einer sicheren, zuverlssigen und einfachen TCP/IP-Netzwerkkonfiguration. DHCP verhindert Adresskonflikte und hilft durch die zentral verwaltete Adresszuweisung, die Verwendung von IP-Adressen zu vereinheitlichen.

Hinweis

Installieren Sie niemals auf einem PCS 7-PC Dienste zur Verwaltung des Netzwerkes wie DNS, WINS, DHCP, Domnencontroller usw.

Fr den Einsatz in PCS 7-Anlagen ist Folgendes zu beachten:

In jedem Segment muss sich ein DHCP-Server befinden. Dieser kann sich zusammen mit dem DNS-und WINS-Server auf einem Rechner befinden.

Fr den DHCP-Server im Terminalbus in unserem Beispiel empfehlen wir folgende Einstellungen:

Einstellungen Erklrungen

Reservierungen Nehmen Sie fr alle Anlagen-PCs am Terminalbus Reservierungen vor. Damit ist gewhrleistet, dass die Anlagen-PCs auch nach lngerem Ausschalten immer die gleiche IP-Adresse erhalten. Tipp: Whlen Sie als Reservierungsnamen einen willkrlichen Dummynamen, z.B. dummy01. So knnen Sie spter einfach anhand des eingetragenen FQDN-Namens unter Reservierungen sehr schnell erkennen, ob sich der Rechner mit der betreffenden MAC-Adresse ordnungsgem angemeldet hat.

Adresspool Wenn Sie fr alle Anlagen-PCs Reservierungen vorgenommen haben, gengt es, einen sehr kleinen Adresspool zu whlen, z.B. 192.168.25.10 bis 192.168.25.60

Bereichs- bzw. Serveroptionen

003 Router 006 DNS Servers 015 DNS Domain Name 044 WINS/NBNS Servers 046 WINS/NBT Node Type

192.168.25.1 192.168.25.101* production.plant.com 192.168.25.101* 0x8

* gilt nur, wenn auf dem z.B. Domnencontroller auch DNS- bzw. WINS-Server installiert ist. Sonst mssen die IP-Adressen angepasst werden.

Entsprechend den lokalen Anforderungen knnen auch noch weitere Optionen sinnvoll sein, z.B.:

042 NTP Servers 033 Static Route Options

192.168.25.101 192.168.125.0 192.168.25.1

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 2-7

Verwaltung des Netzwerkes

Beachten Sie, dass DHCP-Server nicht redundant aufgebaut werden knnen. Dies bedeutet aber nicht, dass bei Ausfall eines DHCP-Servers die PCS 7-PC nicht mehr funktionieren. Zu Problemen fhrt dies erst, wenn die Lease-Time abluft bzw. die PCs neu gebootet werden.

- Whlen Sie eine Ihren Anforderungen entsprechende lange Lease-Time.

- Wird eine Redundance des DHCP-Servers gefordert, besteht die Mglichkeit diesen, wie auch alle anderen Windows-Server, zu clustern.

- Eine weitere Mglichkeit die Konfiguration einer alternativen IP-Adresse bei Windows XP oder Windows Server 2003. Damit es im Falle eines Ausfalls des DHCP-Servers nicht zu Doppeladressierungen kommt, mssen diese alternativen IP-Adressen parallel zum DHCP-Eintrag gepflegt.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 2-8 A5E00477558-01

Verwaltung des Netzwerkes

Aufteilung und Reservierung der IP-Adressen

Hinweis Beachten Sie, dass Sie

die IP-Adresse x.x.x.0 als Netzwerkadresse,

die IP-Adresse x.x.x.1 als Router und

die IP-Adresse x.x.x.255 als Broadcastadresse reservieren.

Die Aufteilung knnte z.B. wie folgt aussehen:

Bild 2-3 Ebenen mit IP-Adressaufteilung

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 2-9

Verwaltung des Netzwerkes

Die Anlagenkonfiguration und die IP-Adressvergabe unserer Beispielanlage knnten dann so aussehen:

Bild 2-4 Gesamtbersicht mit IP-Adresse

In Bild 2-4 sind Gerte und Konfigurationen enthalten, die erst in den folgenden Abschnitten nher erlutert werden. Zur Verdeutlichung der Subnetzaufteilung und IP-Adressvergabe wurde jedoch auf eine vereinfachte Darstellung verzichtet.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 2-10 A5E00477558-01

Verwaltung des Netzwerkes

Anwendung auf die Anlagentypen

Einplatzsystem

Die IP-Adresskonfiguration kann statisch auf jedem PC einzeln eingestellt werden, d.h. aber nicht, dass sich das Einplatzsystem nicht in einem Netzwerk mit DHCP-Server befinden kann. Beachten Sie, dass Sie keine Doppeladressierung vornehmen.

Mehrplatzsystem, Groe Anlage

Wir empfehlen die Verwendung eines Extra-PC als DHCP-Server. Auf diesem PC kann sich auch der DNS- und WINS-Server befinden. In einer Domne knnen DHCP-, DNS- und WINS-Server auch auf einem Domnencontroller installiert sein.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 2-11

Verwaltung des Netzwerkes

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 2-12 A5E00477558-01

3 Verwaltung der Computer und Benutzer

Prinzip: Aufteilung der Verantwortung Fr verschiedene Aufgaben zur Verwaltung der Computer und Benutzer werden unterschiedliche Windowsbenutzer mit speziell fr diese Aufgabe notwendigen Rechten verwendet.

Ziel: Die sorgfltige Trennung der Verantwortungsbereiche der IT-Abteilung und des Anlagenbedienpersonals gewhrleistet, dass einerseits ein Administrator der IT-Abteilung nicht versehentlich einen PCS 7-PC neu booten und andererseits ein Administrator des Anlagenbedienpersonals nicht versehentlich nderungen der Domneneinstellungen vornehmen kann.

3.1 Betrieb von Anlagen in Windows-Arbeitsgruppen

Dezentrale Verwaltung der Computer und Benutzer Das Betreiben einer Anlage ohne eine zentrale Windowsverwaltung ist im Allgemeinen sinnvoll und wirtschaftlich,

bis zu einer Anlagengre von ca. 10 Computern

wenn keine regelmigen nderungen der Anlage durchgefhrt werden (z.B. neue Benutzer, wechselnde Computer, neue Sicherheitsrichtlinien, wechselnde Passwrter usw.)

wenn der Betrieb einer Windows Domnen Infrastruktur nicht durch entsprechend ausgebildetes Personal gewhrleistet werden kann

wenn durch eine sorgfltige, zentrale Anlagendokumentation die Einheitlichkeit von Netzwerkeinstellungen, Rechnerkonfigurationen, Sicherheitsrichtlinien, Benutzern und Kennwrtern gewhrleistet werden kann.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 3-1

Verwaltung der Computer und Benutzer

Hinweise fr die dezentrale Verwaltung Besonders zu beachten:

Es mssen stets auf allen betroffenen Computern die Passwrter eines Benutzers gendert werden.

Nicht mehr bentigte Benutzerkonten mssen berall entfernt werden.

Alle Computer einer Anlage mssen mit den gleichen Sicherheitsrichtlinien konfiguriert werden (z.B. Verwendung von LanManager V2 Protokoll, Signierung von SMB-Kommunikation, Passwortkomplexitt und Passwortalter)

Es muss eine zentrale bersicht ber vergebene Rechnernamen und IP-Adressen angelegt und aktualisiert werden.

Bei der Verwendung von lokalen LMHost- und Host-Dateien zur Untersttzung der Namensauflsung mssen stets alle Dateien gleichzeitig aktualisiert werden.

Erfahrungen aus der Praxis haben gezeigt, dass schon durch falsche Konfiguration eines einzigen Rechners der Betrieb einer ganzen Anlage massiv gefhrdet werden kann. Auerdem ist die Fehlersuche in solchen Fllen oft langwierig und kompliziert.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 3-2 A5E00477558-01

Verwaltung der Computer und Benutzer

Beispielkonfiguration dezentrale Verwaltung Bild 3-1 verdeutlicht die Konfiguration jedes einzelnen Rechners einer Anlage beim Betrieb in der Arbeitsgruppe Produktion (A):

Bild 3-1 Benutzerverwaltung in einer Arbeitsgruppe

Alle Rechner der Arbeitsgruppe Production (A) mssen einzeln mit den gleichen Sicherheitsrichtlinien (B), richtiger Netzwerkkartenkonfiguration (C) und durchgngigen Gruppen- und Benutzerkonfiguration (D) eingerichtet und stets gleichzeitig aktualisiert werden. Es ist leicht zu erkennen, dass der Verwaltungsaufwand mit steigender Anzahl von Benutzern und Rechnern steigt.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 3-3

Verwaltung der Computer und Benutzer

Anwendung auf die Anlagentypen

Einplatzsystem

Fr ein oder mehrere Einplatzsysteme bietet sich der Einsatz in einer Arbeitsgruppe an, da der Verwaltungsaufwand fr eine Domne nicht gerechtfertigt ist. Unabhngig davon kann aber der Einsatz eines Extra-PC mit DNS-, WINS- und DHCP-Funktionalitt sinnvoll sein.

Mehrplatzsystem

Bei einem Mehrplatzsystem ist die Verwendung einer Arbeitsgruppe nur sinnvoll, wenn o.g. Kriterien eingehalten werden. Sonst kann auch die Verwendung einer Domne nach Kapitel 3.2 "Verwaltung von Anlagen durch eine Windows Domne (ActiveDirectory)" empfohlen werden. Unabhngig davon ist hier die zentrale Verwaltung durch einen Extra-PC mit DNS-, WINS- und DHCP-Funktionalitt zu empfehlen.

Groe Anlage

Der Einsatz in einer Arbeitsgruppe ist zwar mglich, aber nicht empfehlenswert, da hier bereits die Kriterien des folgenden Kapitels 3.2 "Verwaltung von Anlagen durch eine Windows Domne (ActiveDirectory)" zutreffen. Unabhngig davon ist hier die zentrale Verwaltung durch einen Extra-PC mit DNS-, WINS- und DHCP-Funktionalitt zu empfehlen.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 3-4 A5E00477558-01

Verwaltung der Computer und Benutzer

3.2 Verwaltung von Anlagen durch eine Windows Domne (Active Directory)

3.2.1 Allgemeines zu Domnen

Zentrale Verwaltung fr Computer und Benutzer Das Einrichten einer zentralen Windowsverwaltung ist im Allgemeinen sinnvoll und wirtschaftlich,

ab einer Anlagengre von 10 Computern

wenn regelmig nderungen der Anlage durchgefhrt werden (z.B. neue Benutzer, wechselnde Computer, neue Sicherheitsrichtlinien, wechselnde Passwrter, usw.)

wenn eine zentrale Datenhaltung von System-Ereignissen und System-Eigenschaften erforderlich ist

wenn eine zentralisierte Konfiguration der einzelnen Computer erforderlich ist.

Weitere Kriterien fr zentrale Verwaltung In einer Anlage sollte eine zentrale Verwaltung (Active Directory) fr die Computer und Benutzer eingerichtet werden, wenn:

es eine firmeneigene Sicherheitsrichtlinie gibt, die eine Active Directory Domne erfordert.

gesetzliche Normen und Richtlinien oder Verordnungen erfllt werden mssen (z.B. Forderung nach einer Benutzung von Kerberos als Authentifizierungsverfahren, oder Forderung nach zentraler Protokollierung von Anmeldeereignissen usw.).

die Notwendigkeit einer zentralen hochverfgbaren Benutzerverwaltung und Anmeldung besteht.

die Notwendigkeit einer zentralen hochverfgbaren IP-Adressvergabe- (DHCP), einer zentralen Verwaltung der Namensauflsung und -registrierung fr Computer (DNS/WINS) besteht.

ein Active Directory basierter Zertifikatsserver fr z.B. sichere Webservices mit verschlsselter Kommunikation ber SecureSocketLayer (SSL), Signierung von Applikationen und Dokumenten, Authentifizierung, zertifikatsbasierte IP-Security Kommunikation und Tunnelprotokolle wie LayerTwoTunnelingProtokoll (L2TP) bentigt werden.

die Anzahl an zu verwaltenden Computer, Accounts und Personen insgesamt sehr hoch ist.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 3-5

Verwaltung der Computer und Benutzer

Verwaltung durch Betriebspersonal

Hinweis Wenn eine eigene Windows Domne fr die Anlage eingerichtet wird, muss die Verwaltung dieser Domne durch das Betriebspersonal der Anlage durchgefhrt werden knnen! Die Verantwortung darf nicht an Personen auerhalb der Produktionsanlage abgegeben werden, da diese nicht beurteilen knnen ob eine aktuelle Konfigurationsnderung sich negativ auf den Produktionsprozess auswirken kann!

Das kann eine zustzliche Schulung des Betriebspersonals erforderlich machen.

Hinweis

Es ist wichtig, dass kein Unbefugter eine Konfigurationsnderung eines Anlagen- PCs herbeifhren kann. Die administrativen Benutzerkonten drfen nie fr Aufgaben innerhalb von PCS 7 genutzt werden.

Active Directory in PCS 7-Anlagen Die Produktionsanlage ist damit weitgehend unabhngig von den Vorgaben

der IT-Abteilung konfigurierbar.

Die Produktionsanlage ist vor unbeabsichtigten Eingriffen der IT-Abteilung geschtzt.

Der domnenbergreifende Datenaustausch kann ber einseitige oder transitive Vertrauensstellungen zwischen den Domnen konfiguriert werden.

Der domnenbergreifende Datenaustausch kann auch zu einem spteren Zeitpunkt durch Zusammenfhren der einzelnen Domnen in einer Gesamtstruktur erfolgen, wenn die Domnen zwar einen gemeinsamen Namensraum besitzen, aber unabhngig voneinander angelegt wurden

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 3-6 A5E00477558-01

Verwaltung der Computer und Benutzer

Aufbau einer zentralen Windowsverwaltung am Beispiel Firma "plant.com" Der Aufbau einer solchen Domne fr das Beispiel "plant.com" knnte wie folgt aussehen:

Regel Realisierung in Beispielanlage

Die Domne muss ausfallsicher angelegt werden.

Das bedeutet, dass mindestens zwei Domnen-controller mit einer intelligenten Lastverteilung ihrer Aufgaben (hinsichtlich Anmeldeaufgaben und den so genannten Betriebsmasterrollen) eingerichtet werden mssen.

Die Domne muss immer und performant verfgbar sein.

Dazu muss sich zumindest einer der beiden Domnencontroller direkt im Netzwerk der Anlage befinden. Damit kann auch im Fall einer Trennung der Verbindung zu den anderen Netzwerken immer eine Domnenanmeldung und Gruppenrichtlinienaktualisierung durchgefhrt werden.

Die einzelnen Objekte mssen in Organisationseinheiten gruppiert verwaltet werden.

Damit wird die Gefahr der "Fehlkonfiguration" eines einzelnen Objekts verringert.

Der Einsatz von zustzlichen Unterdomnen sollte vermieden werden.

So knnen die jeweils mindestens zwei zustzlichen Domnen-Controller jeder Unterdomne eingespart werden und der Verwaltungsaufwand wird verringert.

Die Verantwortung ber die Domne und die PCS 7-PCs muss getrennt werden.

Dazu wird im Beispiel "Plant.com" eine Organisationseinheit "Production" angelegt, in der sich alle produktionsrelevanten Benutzer- und Computerobjekte befinden. Die Verantwortung dafr wird einem administrativen Account bertragen, der nicht die gesamten Domneneigenschaften, sondern nur noch diejenigen dieser Organisationseinheit administriert (z.B. dem "ChiefOperator" (B), einem Meister der "Plant.com").

Die Verwaltung und der erste Aufbau der Domne durch den Domnenadministrator mssen durch qualifiziertes Betriebspersonal oder einen Verantwortlichen der IT-Abteilung der "Plant.com" erfolgen.

Damit werden Anfangsfehler vermieden, die sich eventuell erst viel spter auswirken und eine komplette Neukonfiguration der Domne ntig machen knnten.

Die Accounts der Domnenadministratoren drfen nur fr wirklich administrative Aufgaben genutzt werden.

So wird verhindert, dass versehentlich eine Fehlkonfiguration oder ein lokaler Virus die gesamte Domne beeintrchtigt. Im spteren "Tagesgeschft" ist die Benutzung dieser Accounts normalerweise nicht notwendig.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 3-7

Verwaltung der Computer und Benutzer

Bild 3-2 zeigt die mgliche Vereinfachung der Verwaltung durch eine zentrale Konfiguration von Sicherheitsrichtlinien, Netzwerkkonfiguration und Benutzerverwaltung.

1. Die Verwaltung der Anlagen-PCs (z.B. Netzwerkkonfiguration, Namensauflsung und IP-Adressvergabe) wird durch die Domne "Production.Plant.com" (A) zentralisiert. Die Verantwortung fr diese Infrastrukturserver (C) wird durch den "Domain-Admin" wahrgenommen.

2. Zur Verwaltung der Anlage wird im Beispiel eine Organisationseinheit "OU-Production" angelegt. Hier werden alle allgemeinen Eigenschaften definiert und die Verwaltung der globalen Gruppen "OS-Servers", "OS-Clients" und "Web-Servers" sowie der Domnenbenutzerkonten "Server-Desktop-User-Dom", "Client-Desktop-User-Dom" und "WebServer-Desktop-User-Dom" (E), die spter als Accounts fr den Laufzeitbetrieb der Anlage genutzt werden, durchgefhrt.

3. Die Verwaltung der untergeordneten Organisationseinheit "Production-PC" wird durch einen realen administrativen Account "Chief-Operator" der Gruppe "Operator-Group" durchgefhrt. Dieser Operator ist verantwortlich fr die Eigenschaften, die nur auf die PCS 7-PCs zugewiesen werden sollen (z.B. zu installierende Software, Uhrzeitsynchronisationseinstellungen, Mitgliedschaften in den lokalen Gruppen (D), Rechte, Einstellungen fr die Verwaltung von Software - Updates usw.).

Hinweis

Welche Berechtigungen die globalen Gruppen und Domnenbenutzerkonten auf den PCS 7-PCs erhalten, wird im Kapitel 4 Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration in die Windows-Verwaltung" ausfhrlich beschrieben und ist in Bild 3-2 durch die orangefarbigen Linien nur angedeutet.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 3-8 A5E00477558-01

Verwaltung der Computer und Benutzer

Bild 3-2 Benutzerverwaltung mit Active Directory

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 3-9

Verwaltung der Computer und Benutzer

3.2.2 Einbettung von Anlagen in vorhandene Domnen (Active Directory)

Gemeinsame Domne - eigene Organisationseinheit Gibt es in einer Firma bereits eine Active Directory Domne, bietet sich eine eigene Organisationseinheit fr die Verwaltung der Anlage an.

Der Vorteil besteht im Wesentlichen an der einzusparenden Verwaltung einer Domne durch das Betriebspersonal der Anlage.

Mit Untersttzung der IT-Abteilung der Firma wird in der Anlage ein weiterer Domnencontroller der Firma installiert. Das Anlagenpersonal bekommt jedoch keine administrativen Berechtigungen zur nderung der Domne.

Dieses Szenario erfordert die meiste Kommunikation des Anlagenpersonals mit der firmeneigenen IT-Abteilung. Diese muss einen Teil ihrer Verantwortung an das Anlagenpersonal delegieren und diesem die Verwaltung der Produktions-Organisationseinheit bertragen.

Das Anlagenpersonal muss sicherstellen, dass mit dieser Verantwortung uerst sorgsam umgegangen wird.

Wenn dieses Szenario von Fachleuten geplant und in Zusammenarbeit zwischen IT-Abteilung und Anlagenpersonal betrieben wird, stellt es das Optimum an Wirtschaftlichkeit, Flexibilitt und Zuverlssigkeit dar.

Hinweis

Es ist wichtig, dass kein Unbefugter der IT-Abteilung eine Konfigurationsnderung eines Anlagen-PCs herbeifhren kann.

Ebenso ist es wichtig, dass das Anlagenpersonal nicht den Betrieb des Bronetzwerkes gefhrdet.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 3-10 A5E00477558-01

Verwaltung der Computer und Benutzer

Beispielkonfiguration Eigene Organisationseinheit Bild 3-3 zeigt die Verwaltung der "OU-Production" als einer untergeordneten, eigenstndigen Organisationseinheit der Active Directory Domne "Plant.com".

Die Organisationseinheit (A) wird von dem Produktionsadministrator (B) verwaltet. Dieser kann von der IT-Abteilung gestellt werden und ist mit allen Belangen der Produktionsabteilung vertraut.

Der Anlagenbetreiber und "Chief-Operator" (C) verwaltet die globalen Gruppen Domnenbenutzerkonten (D) und PCS 7-PCs.

Bild 3-3 Benutzerverwaltung Active Directory mit eigener OU

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 3-11

Verwaltung der Computer und Benutzer

Gemeinsame Gesamtstruktur - untergeordnete Domnen Gibt es in einer Firma bereits Active Directory Gesamtstruktur, bietet sich auch eine untergeordnete Domne fr die Verwaltung der Anlage an.

Damit ist es im spteren Verlauf wesentlich einfacher, domnenbergreifende Dienste und Zugriffe firmenweit zu administrieren.

Dazu muss jedoch ebenfalls wie im Szenario "Verwaltung von Anlagen durch eine Windows Domne (Active Directory)" eine eigene (Unter)Domne fr die Anlage aufgebaut und verwaltet werden. Der Unterschied besteht nur in der Verwendung eines gemeinsamen Domnenstammes.

Bild 3-4 Untergeordnete Domne

Achtung

Nur eine sorgfltige Trennung der Zustndigkeitsbereiche durch Delegation der Verantwortung und Rechte an das Betriebspersonal kann sicher gewhrleisten, dass keine unerwnschten Konfigurationsnderungen durch die IT-Abteilung auf den Anlagen-PCs durchgefhrt werden.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 3-12 A5E00477558-01

Verwaltung der Computer und Benutzer

Beispielkonfiguration Unterdomnen Bild 3-5 zeigt eine eigenstndige Domne / Unterdomne (A) fr die Verwaltung der Produktionsanlage.

Die Verwaltung der Domne und die Verantwortung fr die Domnencontroller werden komplett durch das Betriebspersonal getragen.

Bild 3-5 Benutzerverwaltung mit eigenstndiger Domne

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 3-13

Verwaltung der Computer und Benutzer

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 3-14 A5E00477558-01

4 Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration in die Windows-Verwaltung

Prinzip: Zugeordnete Anmeldung Mit der der jeweiligen Aufgabe zugeordneten Anmeldung an PCS 7-PCs wird Folgendes erreicht:

1. Bei der Anmeldung in Windows erhlt der Benutzer genau die Rechte, die er fr die Bearbeitung der jeweiligen Aufgabe bentigt, z.B. muss er fr die Bearbeitung des PCS 7-Projektes Mitglied der lokalen Gruppen "Hauptbenutzer" und "SIMATIC HMI" sein.

2. Mit dem Login in den Prozessbetrieb (Runtime) erhlt der Bediener genau die Rechte zur Bedienung der Anlage, die im UserAdministrator projektiert wurden.

Damit wird die konsequente Trennung von Computerzugriffsberechtigung, z. B. Windowsbenutzer, und Anlagenbedienberechtigung (Anlagenbediener) deutlich. Dies wird durch das SIMATIC-Berechtigungsmodels untersttzt, setzt jedoch deren Administration in den verschiedenen Konfigurationsdialogen durch den Anwender voraus.

4.1 Rechteverwaltung in Windows

Microsoft Windows-Berechtigungsmodell Innerhalb einer Arbeitsgruppe wird die von Microsoft empfohlene

ALP-Strategie (Add User Account to Local Group and assign Permission) verwendet, d.h. Sie fgen lokale Benutzer mit gleichen Aufgaben einer lokalen Gruppen hinzu und geben dieser dann die notwendigen Berechtigungen.

Innerhalb einer Domne wird die von Microsoft empfohlene AGLP-Strategie (Add Domain User Account to Global Group, add global Group to Local Group and assign Permission) verwendet, d.h. Sie fgen Domnenbenutzer mit gleichen Aufgaben einer globalen Gruppen hinzu, Sie fgen diese einer lokalen Gruppe hinzu und geben dieser dann die notwendigen Berechtigungen.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 4-1

Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration in die Windows-Verwaltung

Anwendung durch SIMATIC-Berechtigungsmodell Dabei werden Sie in PCS 7 durch das SIMATIC-Berechtigungsmodell untersttzt. Bereits mit der Installation werden als lokale Gruppen generell die folgenden SIMATIC-Benutzergruppen eingerichtet:

SIMATIC HMI

SIMATIC HMI CS

SIMATIC HMI VIEWER

Die entsprechenden Freigabeberechtigungen und Sicherheitseinstellungen werden von der PCS 7-Software automatisch verwaltet. Der Anwender muss lediglich die lokalen Benutzer und globalen Gruppen zu Mitgliedern dieser SIMATIC-Benutzergruppen machen.

Hinweis

Zustzlich mssen alle Windowsbenutzer, die auf PCS 7-PCs mit SIMATIC-Komponenten arbeiten sollen, Mitglied in der lokalen Gruppe der Hauptbenutzer sein.

SIMATIC WinCC WinCC verwendet fr Projektfreigaben und Projektdateizugriffe die Benutzergruppen SIMATIC HMI, SIMATIC HMI CS und SIMATIC HMI VIEWER. Beim erstmaligen ffnen eines Projektes wird automatisch eine Projektfreigabe angelegt und mit den notwendigen Freigabeberechtigungen und Sicherheitseinstellungen versehen. Die Verwaltung der Projektfreigaben und Projektdateizugriffe erfolgt automatisch durch die PCS 7-Software. Eine detaillierte Darstellung der notwendigen Gruppenzugehrigkeit finden Sie in Bild 4-1 bis Bild 4-2

SIMATIC BATCH Fr SIMATIC BATCH wird bei der Installation folgende zustzliche Benutzergruppe angelegt:

SIMATIC BATCH

Fgen Sie dieser Benutzergruppe die lokalen Benutzer und globalen Gruppen hinzu, die mit BATCH arbeiten sollen.

Als Freigaben werden angelegt:

BATCH

BATCH_Backup

Die Verwaltung der Freigabeberechtigungen erfolgt automatisch durch die PCS 7-Software. Fgen Sie in den Sicherheitseinstellungen der Freigaben zustzlich die Benutzergruppe "SIMATIC BATCH" mit der Berechtigung Vollzugriff hinzu.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 4-2 A5E00477558-01

Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration in die Windows-Verwaltung

SIMATIC Route Control Fr SIMATIC Route Control werden bei der Installation zustzlich folgende Benutzergruppen angelegt:

RC_ENGINEER

RC_MAINTENANCE

RC_OPERATOR_L1

RC_OPERATOR_L2

RC_OPERATOR_L3

Sie mssen lediglich die lokalen Benutzer und globalen Gruppen den Aufgaben entsprechend diesen Gruppen zuordnen.

Auerdem wird folgende Freigabe eingerichtet:

RC_LOAD

Die Verwaltung der Freigabeberechtigungen und Sicherheitseinstellungen erfolgt automatisch durch die PCS 7-Software.

Was wird sichergestellt? Nur ein Mitglied der Gruppe der lokalen "Administratoren" (Windows) kann

Software installieren oder die Konfiguration einer Station oder eines Projektes beliebig verndern oder anderen Benutzern diese Rechte zuweisen.

Der normale Betrieb einer Anlage erfolgt unter einem Account als Windowsbenutzer, der hchstens die Rechte eines Mitglieds der Gruppe der lokalen "Hauptbenutzer" (Windows) hat. Diese Benutzer werden im Weiteren als "ClientDesktopUser" und "ServerDesktopUser" bezeichnet. Damit sind Eingriffe in die Verwaltung der Station oder des Netzwerkes durch einen Anlagenbediener nicht mglich.

Der Zugriff auf die Windows-Oberflche muss fr den Laufzeitbetrieb komplett gesperrt werden. Damit die PCS 7 OS weiterlaufen und dauerhaft den Zugriff auf die Anlage gewhrleisten knnen, darf kein "Ausloggen" des Windows-Desktops ermglicht werden.

Selbst wenn ein Web Server-Dienst (IIS) eines Webnavigator-Servers durch den Angriff eines Virus oder Hackers gestrt werden wrde, kann er nicht schreibend auf die Projektierungsdaten zugreifen, da das Web Server-Dienstkonto nur Mitglied der Gruppe "SIMATIC HMI VIEWER" ist und damit nur lesenden Zugriff auf das Projekt besitzt.

Ein anderer Benutzer kann nicht auf dieses Projekt zugreifen, auch nicht remote, wenn sein Benutzerkonto nicht auf der Station bekannt und er nicht Mitglied der Gruppe "SIMATIC HMI" ist. Eine zustzliche Differenzierung in Laufzeit und Projektierung ist vorgesehen.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 4-3

Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration in die Windows-Verwaltung

Regeln Verwenden Sie die von Microsoft empfohlene ALP-Strategie (Add User

Account to Local Group and assign Permission) und AGLP-Strategie (Add Domain User Account to Global group, add global group to Local Group and assign Permission).

Der Anlagenbediener loggt sich an der PCS 7 OS ein und aus und erhlt hier auch seine Bedienberechtigungen fr die Bedienung der Anlage, welche im UserAdministrator und an den einzelnen grafischen Funktionselementen projektiert wurden.

Der Projekteur und Betreiber eines Projektes muss nicht nur ein lokaler Hauptbenutzer, sondern auch ein Mitglied der Gruppe "SIMATIC HMI" sein.

Das "ClientDesktopUser" Konto jedes OS-Clients muss am Server Mitglied der Gruppe "SIMATIC HMI" sein, sonst ist kein Remotezugriff auf das Projekt mglich.

Erluterung zu den folgenden Darstellungen

Benutzer / Benutzergruppe

Beschreibung

Server-Desktop-User

ist ein lokaler Windowsbenutzer auf einem OS-Server unter dem der Prozessbetrieb (Runtime) in einer Arbeitsgruppe stattfindet

ist auf jedem OS-Server Mitglied der Gruppen: Hauptbenutzer, SIMATIC HMI und SIMATIC HMI VIEWER

ist auf einem OS-Client oder Web Server in keiner lokalen Gruppe Mitglied Client-Desktop-User ist ein lokaler Windowsbenutzer auf einem OS-Client unter dem der

Prozessbetrieb (Runtime) in einer Arbeitsgruppe stattfindet ist auf einem OS-Client Mitglied der Gruppen: Hauptbenutzer, SIMATIC HMI

und SIMATIC HMI VIEWER muss auch auf dem OS-Server angelegt sein und dort Mitglied der Gruppen

SIMATIC HMI und SIMATIC HMI VIEWER sein Web Server-Desktop-User

ist ein lokaler Windowsbenutzer auf einem Web Server unter dem der Prozessbetrieb (Runtime) in einer Arbeitsgruppe stattfindet

ist auf jedem Web Server Mitglied der Gruppen: Hauptbenutzer, SIMATIC HMI und SIMATIC HMI VIEWER

muss auch auf dem OS-Server angelegt sein und dort Mitglied der Gruppen SIMATIC HMI und SIMATIC HMI VIEWER sein

in PCS 7-Anlagen ist auf einem Web Server immer ein OS-Client installiert ES-Projekteur lokaler Windowsbenutzer auf einer PCS 7-ES unter dem die Projektierung in

einer Arbeitsgruppe stattfindet ist auf einer ES Mitglied der Gruppen Hauptbenutzer, SIMATIC HMI und

SIMATIC HMI CS Wenn auf einem OS-Server oder OS-Client Projektierungsnderungen

vorgenommen werden, sollte dies ausschlielich von diesem Benutzer erfolgen. Deshalb muss der OS-Projekteur auch auf einem OS-Server und OS-Client angelegt sein und dort Mitglied der Gruppen: Hauptbenutzer, SIMATIC HMI und SIMATIC HMI CS sein.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 4-4 A5E00477558-01

Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration in die Windows-Verwaltung

Benutzer / Benutzergruppe

Beschreibung

OS-Server ist eine domnenglobale Gruppe in der sich alle Domnenbenutzer befinden, mit denen der Prozessbetrieb (Runtime) auf einem OS-Server in einer Domne stattfindet

ist auf jedem OS-Server Mitglied der lokalen Gruppen: Hauptbenutzer, SIMATIC HMI und SIMATIC HMI VIEWER

ist auf einem OS-Client oder Web Server in keiner lokalen Gruppe Mitglied OS-Client ist eine domnenglobale Gruppe in der sich alle Domnenbenutzer befinden,

mit denen der Prozessbetrieb (Runtime) auf einem OS-Client in einer Domne stattfindet

ist auf jedem OS-Server Mitglied der lokalen Gruppen: SIMATIC HMI und SIMATIC HMI VIEWER

ist auf jedem OS-Client Mitglied der lokalen Gruppen: Hauptbenutzer und SIMATIC HMI

Web Server ist eine domnenglobale Gruppe in der sich alle Domnenbenutzer befinden, mit denen der Prozessbetrieb (Runtime) auf einem Web Server in einer Domne stattfindet

ist auf jedem OS-Server Mitglied der lokalen Gruppe: SIMATIC HMI VIEWER ist auf jedem Web Server Mitglied der lokalen Gruppen: Hauptbenutzer,

SIMATIC HMI und SIMATIC HMI VIEWER

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 4-5

Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration in die Windows-Verwaltung

Beispielkonfiguration Lokale Benutzerverwaltung eines OS-Servers

Bild 4-1 Lokale Benutzerverwaltung OS-Server

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 4-6 A5E00477558-01

Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration in die Windows-Verwaltung

Beispielkonfiguration Lokale Benutzerverwaltung OS-Client

Bild 4-2 Lokale Benutzerverwaltung OS-Client

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 4-7

Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration in die Windows-Verwaltung

Beispielkonfiguration Lokale Benutzerverwaltung Webnavigator-Server

Bild 4-3 Lokale Benutzerverwaltung Webnavigator-Server

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 4-8 A5E00477558-01

Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration in die Windows-Verwaltung

4.2 Benutzerverwaltung in PCS 7

User Administrator Die eigentliche Benutzerverwaltung zur Bedienung der Anlagen geschieht im UserAdministrator. Zur Vergabe der Berechtigungen und deren Verwaltung ist der UserAdministrator in zwei Komponenten aufgeteilt:

Im UserAdministrator Konfigurationssystem erfolgt die Verwaltung der Benutzer und Berechtigungen. Hier werden neue Benutzer eingetragen, Passwrter vergeben, die Berechtigungen in einer Tabelle verwaltet und die Anbindung an SIMATIC Logon durchgefhrt.

Hauptaufgabe des "UserAdministrator Runtime Systems" ist die berwachung der Systemanmeldungen und Zugriffsrechte.

SIMATIC Logon Service Wenn zur Untersttzung der Rechteverwaltung der SIMATIC Logon Service eingesetzt werden soll, erfolgt die Ablage der Benutzer und deren Gruppenzugehrigkeiten in der Windows-Benutzerverwaltung (lokal, Anmeldeserver fr SIMATIC Logon oder Domne).

Hinweis

Wichtig ist hierbei, dass diese Benutzer keinerlei Rechte in der Windows-Umgebung erhalten, d.h. sie sind in keiner Windowsgruppe Mitglied. Ihre Berechtigungen werden im UserAdministrator ber die Rechtevergabe der dortigen Gruppen eingerichtet.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 4-9

Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration in die Windows-Verwaltung

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 4-10 A5E00477558-01

5 Planung der Uhrzeitsynchronisation

Prinzip: Genaue Zeit Unabhngig davon, welche Quelle fr die Uhrzeitsynchronisation einer Anlage gewhlt wird, lassen sich Zeitfehler nur minimieren, indem immer alle Teilnehmer letztendlich die gleiche Quelle verwenden.

Uhrzeitsynchronisationsquellen Die Uhrzeitsynchronisation innerhalb einer PCS 7-Anlage ist von hchster Bedeutung fr die Synchronisation, Nachvollziehbarkeit, Dokumentation und Archivierung aller zeitkritischen Ablufe.

Zur Uhrzeitsynchronisation werden im Wesentlichen zwei verschiedene Techniken verwendet, entweder ein eigenstndiger Uhrzeitserver ((S)NTP-Server) mit angeschlossenem Uhr- und Zeitsignalempfangsmodul oder ein solches Uhr- und Zeitsignalempfangsmodul wird direkt an der zu synchronisierenden Stelle (OS-Server/Domnencontroller) integriert oder eine Kombination von beiden.

Fr PCS 7 Anlagen wird eine Anlagen-Zentraluhr empfohlen, da sich damit beide Techniken realisieren lassen.

SICLOCK TM GPS-Paket 24V mit Bestellnummer 2XV9450-1AR24 oder

SICLOCK TM GPS-Paket 230V mit Bestellnummer 2XV9450-1AR25

Beide Pakete beinhalten die Anlagen-Zentraluhr SICLOCK TM sowie die Funkuhr SICLOCK GPSDEC. Es knnen, je nach Einsatzzweck auch andere Zeitsynchronisationsprodukte verwendet werden.

Weitere Informationen:

Zeitsynchronisations-Konzept fr Industrieanlagen im Internet unter:

deutsch: http://www.industry.siemens.de/itps/siclock/deutsch/index.htm

english: http://www.industry.siemens.de/itps/siclock/englisch/index.htm

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 5-1

http://www.industry.siemens.de/itps/siclock/deutsch/index.htmhttp://www.industry.siemens.de/itps/siclock/englisch/index.htm

Planung der Uhrzeitsynchronisation

Kriterien fr die Planung der Uhrzeitsynchronisation Der Aufbau einer Uhrzeitsynchronisation bedarf einer sehr sorgfltigen Planung. Fehler sind schwer zu analysieren und knnen gefhrliche Effekte hervorrufen.

Der Aufbau wird bestimmt durch folgende Faktoren:

Uhrzeitmasterarten z.B. Siemens Anlagen-Zentraluhr SICLOCK TM/TS am Anlagenbus, Server mit direkt verbundenen Empfangsmodul, Internetzeitserver oder Firmenzeitserver

Synchronisationsverfahren z.B. SICLOCK mit Broadcast-Zeitsignal ber Protokoll "Schicht 2 GMT" (SIMATIC Verfahren), SICLOCK mit serieller Verbindung zu einem Server (DCF 77 Emulation), WinCC-Uhrzeitsynchroni-sation mit Windows-Direktzugriff, Windows Zeitdienst mit SNTP- und NTP-Protokoll, DCF77 Empfangsdienst mit DCF 77 Signalverarbeitung

Physikalische Netzwerkkonfiguration z.B. nicht alle Medien untersttzen alle Synchronisationsverfahren

Logische Netzwerkkonfiguration z.B. Broadcasttelegramme knnen nicht ber Subnetzgrenzen hinaus weitergeleitet werden

Windows Active Directory

Empfohlene Konfigurationen Im Wesentlichen werden deshalb 4 verschiedene Konfigurationen empfohlen:

Windows Arbeitsgruppe ohne Anlagen-Zentraluhr

Windows Arbeitsgruppe mit Anlagen-Zentraluhr

Windows ActiveDirectory ohne Anlagen-Zentraluhr (mit NTP-Zeitserver)

Windows ActiveDirectory mit Anlagen-Zentraluhr

Der Betrieb in einer Windows Arbeitsgruppe ist fr kleinere Anlagen vorgesehen, die nicht mit dem Unternehmensnetzwerk oder anderen Netzwerken synchronisiert betrieben werden mssen.

Wird eine Anlage jedoch in einer Windows Domne betrieben (Windows Active Directory), drfen keine konkurrierenden Uhrzeitsynchronisationsmechanismen auf einen Anlagen-PC einwirken. Whrend bei den meisten Anwendungen eine falsche Uhrzeit nur Probleme in der Interpretation kausaler Zusammenhnge bereitet, kann eine ungenaue Uhrzeit hier bis zur Abweisung der Anmeldung von Domnenclients an ihrem Domnencontroller fhren. Grund dafr ist ein Sicherheitsfeature der Domnencontroller seit Windows 2000, das die feindliche bernahme einer aufgebauten Sitzung verhindern soll. Das Standardauthentifizierungsprotokoll Kerberos V5 verwendet die Uhrzeit einer Arbeitsstation als Teil des Erstellungsvorgangs von Authentifizierungstickets.

Wird die eingestellte Zeittoleranz (default 5min) zwischen Client und Server berschritten, wird davon ausgegangen, dass ein Angreifer die Anmeldung entschlsselt hat und die Sitzung bernehmen wird. Das wird verhindert, indem die Sitzung ungltig wird und die Anmeldung dieses Clients an seiner Domne verweigert wird.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 5-2 A5E00477558-01

Planung der Uhrzeitsynchronisation

5.1 Uhrzeitsynchronisation in einer Windows-Arbeitsgruppe ohne Anlagen-Zentraluhr

Beispielkonfiguration Windows Arbeitsgruppe ohne Anlagen-Zentraluhr

Bild 5-1 Windows Arbeitsgruppe ohne Anlagen-Zentraluhr

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 5-3

Planung der Uhrzeitsynchronisation

Uhrzeitsynchronisation des Anlagenbusses einstellen Ein AS z.B. SIMATIC S7-400 wird als Masteruhr am Anlagenbus definiert und synchronisiert den Anlagenbus zyklisch per Broadcast-Zeitsignal.

Alle anderen AS werden als Uhrzeit-Slave parametriert.

Die Kopplungsbaugruppen der OS-Server, z.B. CP, werden, wie in der nchsten Abbildung dargestellt, so parametriert, dass sie diese Uhrzeittelegramme senden und empfangen knnen.

Die Einstellung der Kopplungsbaugruppen fr den Anlagenbus erfolgt ber den Menbefehl Start > SIMATIC > SIMATIC NET > PC-Station einstellen.

Bild 5-2 Einschalten der Uhrzeitnachfhrung des CP 1613

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 5-4 A5E00477558-01

Planung der Uhrzeitsynchronisation

Sollte der obige Dialog im Bild "Einschalten der Uhrzeitnachfhrung des CP 1613" gegraut und die "Uhrzeitnachfhrung" ausgeschaltet sein, muss der CP 1613 erst in den "PG Betrieb" genommen werden.

Bild 5-3 nderung der Betriebsart des CP 1613 zu PG-Betrieb

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 5-5

Planung der Uhrzeitsynchronisation

Anschlieend kann die "Uhrzeitnachfhrung" eingeschaltet werden. Danach muss jedoch die Betriebsart "Projektierter Betrieb" erneut angewhlt werden.

Bild 5-4 nderung der Betriebsart des CP 1613 zu Projektierter Betrieb

Die OS-Server fungieren als sogenannte kooperative Master, d.h. nur wenn ein CP 1613 am Anlagenbus kein Broadcast-Zeitsignal (des AS als Masteruhr) empfngt, schaltet sich die WinCC-Uhrzeitsynchronisation in den Uhrzeit-"Master-Betrieb" und sendet nun selbst Broadcast-Zeitsignale auf den Anlagenbus, als Ersatz fr die wahrscheinlich ausgefallene Masteruhr. Dies wird im folgenden Abschnitt genauer erlutert.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 5-6 A5E00477558-01

Planung der Uhrzeitsynchronisation

Uhrzeitsynchronisation des Terminalbusses einstellen Die WinCC-Uhrzeitsynchronisation "Time Synchronization" bernimmt zur Laufzeit eines PCS 7 Projektes das vom CP 1613 ber den Anlagenbus empfangene Broadcast-Zeitsignal und stellt damit die Windows-Systemzeit der OS-Server OSServer01 und OSServer02.

Die OS-Server werden dazu zwar im folgenden Dialog als Uhrzeit-"Master" parametriert, fungieren aber als sogenannter "kooperative Master", d.h. nur wenn ein CP 1613 am Anlagenbus kein Broadcast-Zeitsignal (des AS als Masteruhr) empfngt, schaltet sich die WinCC-Uhrzeitsynchronisation in den Uhrzeit-"Master"-Betrieb und sendet nun selbst Broadcast-Zeitsignale auf den Anlagenbus, als Ersatz fr die wahrscheinlich ausgefallene Masteruhr.

Sobald der CP 1613 jedoch ein Broadcast-Zeitsignal auf dem Anlagenbus empfngt, wird automatisch der eigene Uhrzeit-"Master"-Betrieb zum Uhrzeit-"Slave"-Betrieb umgeschaltet.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 5-7

Planung der Uhrzeitsynchronisation

Die Einstellung der Uhrzeitsynchronisation erfolgt ber "Time Synchronization" im WinCC Explorer.

Bild 5-5 WinCC-Uhrzeitsynchronisation im Serverprojekt

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 5-8 A5E00477558-01

Planung der Uhrzeitsynchronisation

Die OS-Clients OSClient01 und OSClient02 werden ber die WinCC-Uhrzeitsynchronisation ihrer eigenen Projekte als Uhrzeit-"Slave" am angebundenen OS-Server konfiguriert und zur Laufzeit ihrer Projekte mit der Uhrzeit der jeweiligen OS-Server ber den "Terminalbus" synchronisiert.

Bild 5-6 WinCC-Uhrzeitsynchronisation im Clientprojekt

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 5-9

Planung der Uhrzeitsynchronisation

5.2 Uhrzeitsynchronisation in einer Windows-Arbeitsgruppe mit Anlagen-Zentraluhr

Beispielkonfiguration - Windows-Arbeitsgruppe mit Anlagen-Zentraluhr

Bild 5-7 Windows-Arbeitsgruppe mit Anlagen-Zentraluhr

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 5-10 A5E00477558-01

Planung der Uhrzeitsynchronisation

Uhrzeitsynchronisation des Anlagenbusses einstellen Die als Anlagen-Zentraluhr an den Anlagenbus angeschlossene SICLOCK TM/TS sendet ein hochgenaues Broadcast-Zeitsignal auf den Anlagenbus. Ihre eigene Uhrzeit synchronisiert sie ber ein angeschlossenes DCF77-Funk- oder GPS-Empfngermodul. Alle AS werden als Uhrzeit-Slave parametriert. Die Kopplungsbaugruppen der OS-Server, z.B. CP 1613, werden, wie in der nchsten Abbildung dargestellt, so parametriert, dass sie diese Uhrzeittelegramme senden und empfangen knnen.

Bild 5-8 Einschalten der Uhrzeitnachfhrung des CP 1613

Sollte der obige Dialog im Bild "Einschalten der Uhrzeitnachfhrung des CP 1613" gegraut und die "Uhrzeitnachfhrung" ausgeschaltet sein, muss der CP 1613 erst in den "PG-Betrieb" genommen werden.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 5-11

Planung der Uhrzeitsynchronisation

Die Einstellung der Kopplungsbaugruppen fr den Anlagenbus erfolgt ber den Menbefehl Start > SIMATIC > SIMATIC NET > PC-Station einstellen.

Bild 5-9 nderung der Betriebsart des CP 1613 zu PG-Betrieb

Anschlieend kann die "Uhrzeitnachfhrung" eingeschaltet werden. Danach muss jedoch die Betriebsart "Projektierter Betrieb" erneut angewhlt werden.

Bild 5-10 nderung der Betriebsart des CP 1613 zu Projektierter Betrieb

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 5-12 A5E00477558-01

Planung der Uhrzeitsynchronisation

Die OS-Server fungieren als sogenannte kooperative Master, d.h. nur wenn ein CP 1613 am Anlagenbus kein Broadcast-Zeitsignal (der Anlagen-Zentraluhr) empfngt, schaltet sich die WinCC-Uhrzeitsynchronisation in den Uhrzeit-"Master"-Betrieb und sendet nun selbst Broadcast-Zeitsignale auf den Anlagenbus, als Ersatz fr die wahrscheinlich ausgefallene Anlagen-Zentraluhr. Dies wird im folgenden Abschnitt genauer erlutert.

Uhrzeitsynchronisation des Terminalbusses einstellen Die WinCC-Uhrzeitsynchronisation "Time Synchronization" bernimmt zur Laufzeit eines PCS 7 Projektes das vom CP 1613 ber den Anlagenbus empfangene Broadcast-Zeitsignal und stellt damit die Windows-Systemzeit der OS-Server OSServer01 und OSServer02. Die OS-Server werden dazu zwar im folgenden Dialog als Uhrzeit-"Master" parametriert, fungieren aber als sogenannter kooperative Master, d.h. nur wenn ein CP 1613 am Anlagenbus kein Broadcast-Zeitsignal (der Anlagen-Zentraluhr) empfngt, schaltet sich die WinCC-Uhrzeitsynchronisation in den Uhrzeit-"Master"-Betrieb und sendet nun selbst Broadcast-Zeitsignale auf den Anlagenbus, als Ersatz fr die wahrscheinlich ausgefallene Anlagen-Zentraluhr. Sobald der CP 1613 jedoch ein Broadcast-Zeitsignal auf dem Anlagenbus empfngt, wird automatisch der eigene Uhrzeit-"Master"-Betrieb zum Uhrzeit-"Slave"-Betrieb umgeschaltet.

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 5-13

Planung der Uhrzeitsynchronisation

Die Einstellung der Uhrzeitsynchronisation erfolgt ber "Time Synchronization" im WinCC Explorer.

Bild 5-11 WinCC-Uhrzeitsynchronisation im Serverprojekt

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 5-14 A5E00477558-01

Planung der Uhrzeitsynchronisation

Die OS-Clients OSClient01 und OSClient02 werden ber die WinCC-Uhrzeitsynchronisation ihrer eigenen Projekte als Uhrzeit-"Slave" am angebundenen OS-Server konfiguriert und zur Laufzeit ihrer Projekte mit der Uhrzeit der jeweiligen OS-Server ber den "Terminalbus" synchronisiert.

Bild 5-12 WinCC-Uhrzeitsynchronisation im Clientprojekt

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 5-15

Planung der Uhrzeitsynchronisation

5.3 Uhrzeitsynchronisation in einer Windows Active Directory Domne ohne Anlagen-Zentraluhr (mit NTP-Zeitserver)

Beispielkonfiguration - Windows-Domne ohne Anlagen-Zentraluhr, aber mit NTP-Zeitserver

Bild 5-13 Windows-Domne ohne Anlagen-Zentraluhr, aber mit NTP-Zeitserver

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 5-16 A5E00477558-01

Planung der Uhrzeitsynchronisation

Uhrzeitsynchronisation des Anlagenbusses einstellen Alle AS werden als Uhrzeit-Slave parametriert. Die Kopplungsbaugruppen der OS-Server, z.B. CP 1613, werden, wie in der nchsten Abbildung dargestellt, so parametriert, dass sie Uhrzeittelegramme senden und empfangen knnen. Die Einstellung der Kopplungsbaugruppen fr den Anlagenbus erfolgt ber den Menbefehl Start > SIMATIC > SIMATIC NET > PC-Station einstellen.

Bild 5-14 Einschalten der Uhrzeitnachfhrung des CP 1613

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise A5E00477558-01 5-17

Planung der Uhrzeitsynchronisation

Sollte der obige Dialog "Einschalten der Uhrzeitnachfhrung des CP 1613" gegraut und die "Uhrzeitnachfhrung" ausgeschaltet sein, muss der CP 1613 erst in den "PG-Betrieb" genommen werden.

Bild 5-15 nderung der Betriebsart des CP 1613 zu PG-Betrieb

Anschlieend kann die "Uhrzeitnachfhrung" eingeschaltet werden. Danach muss jedoch die Betriebsart "Projektierter Betrieb" erneut angewhlt werden.

Bild 5-16 nderung der Betriebsart des CP 1613 zu Projektierter Betrieb

Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 5-18 A5E00477558-01

Planung der Uhrzeitsynchronisation

Die OS-Server fungieren als sogenannte kooperative Master, d.h. der erste, am Anlagenbus aktivierte OS-Server (der kein Broadcast-Zeitsignal empfngt!) schaltet sich automatisch in den Uhrzeit-"Master"-Betrieb.

Alle weiterhin aktivierten OS-Server erkennen nun am Anlagenbus ein vorhandenes Broadcast-Zeitsignal und schalten automatisch in den Uhrzeit-"Slave"-Betrieb. Dies wird im folgenden Abschnitt genauer erlutert.

Hinweis

Zu beachten ist, eine Uhrzeitsynchronisation der AS wird nur durchgefhrt, wenn mindestens ein OS-Server aktiviert ist.

Uhrzeitsynchronisation des Terminalbusses einstellen Der NTP-Zeitserver "TimeServer", mit einem DCF77 Funk- oder GPS-Empfangsmodul stellt eine uerst verlssliche Uhrzeitquelle dar.

Der Domnencontroller, der als Gesamtstrukturmaster parametriert wurde, und/oder der PDC-Emulator (PrimaryDomainControler-Emulator, meist der als erstes installierte Domnencontroller) wird als direkter Uhrzeitclient der verlsslichen Zeitquelle "TimeServer" parametriert. Die Vorgehensweise dazu ist bei Microsoft im Abschnitt:

Configuring the Windows Time service to use an external time source

Konfigurieren des Windows-Zeitdienstes fr die Verwendung einer externen Zeitquelle

unter folgendem Thema beschrieben:

How to configure an authoritative time server in Windows Server 2003: http://support.microsoft.com/kb/816042/EN-US/

Konfigurieren eines autorisierenden Zeitservers in Windows Server 2003: http://s


Recommended