s Vorwort Inhaltsverzeichnis
Planung der Sicherheitszellen und Zugangspunkte 1 Verwaltung des
Netzwerkes 2Verwaltung der Computer und Benutzer 3Benutzer- und
Zugriffsrechteverwaltung in PCS 7 und Integration in die
Windows-Verwaltung
4
Planung der Uhrzeitsynchronisation 5Implementieren der
Patch-Verwaltung 6Gesicherter Netzwerkzugang zu den
Sicherheitszellen 7 Schlussbetrachtung 8 Literaturverzeichnis
9Bedeutung der verwendeten Symbole 10 Glossar
SIMATIC
Prozessleitsystem PCS 7 Sicherheitskonzept PCS 7
Empfehlungen und Hinweise
Ausgabe 09/2005 A5E00477558-01
Siemens AG Automation and Drives Postfach 4848 90437 NRNBERG
DEUTSCHLAND
A5E00477558-01 09/2005
Copyright Siemens AG 2005 nderungen vorbehalten
Sicherheitshinweise Dieses Handbuch enthlt Hinweise, die Sie zu
Ihrer persnlichen Sicherheit sowie zur Vermeidung von Sachschden
beachten mssen. Die Hinweise zu Ihrer persnlichen Sicherheit sind
durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen
Sachschden stehen ohne Warndreieck. Je nach Gefhrdungsstufe werden
die Warnhinweise in abnehmender Reihenfolge wie folgt
dargestellt.
! Gefahr bedeutet, dass Tod oder schwere Krperverletzung
eintreten wird, wenn die entsprechenden Vorsichtsmanahmen nicht
getroffen werden.
! Warnung bedeutet, dass Tod oder schwere Krperverletzung
eintreten kann, wenn die entsprechenden Vorsichtsmanahmen nicht
getroffen werden.
! Vorsicht mit Warndreieck bedeutet, dass eine leichte
Krperverletzung eintreten kann, wenn die entsprechenden
Vorsichtsmanahmen nicht getroffen werden.
Vorsicht
ohne Warndreieck bedeutet, dass Sachschaden eintreten kann, wenn
die entsprechenden Vorsichtsmanahmen nicht getroffen werden.
Achtung bedeutet, dass ein unerwnschtes Ergebnis oder Zustand
eintreten kann, wenn der entsprechende Hinweis nicht beachtet
wird.
Beim Auftreten mehrerer Gefhrdungsstufen wird immer der
Warnhinweis zur jeweils hchsten Stufe verwendet. Wenn in einem
Warnhinweis mit dem Warndreieck vor Personenschden gewarnt wird,
dann kann im selben Warnhinweis zustzlich eine Warnung vor
Sachschden angefgt sein.
Qualifiziertes Personal Das zugehrige Gert/System darf nur in
Verbindung mit dieser Dokumentation eingerichtet und betrieben
werden. Inbetriebsetzung und Betrieb eines Gertes/Systems drfen nur
von qualifiziertem Personal vorgenommen werden. Qualifiziertes
Personal im Sinne der sicherheitstechnischen Hinweise dieser
Dokumentation sind Personen, die die Berechtigung haben, Gerte,
Systeme und Stromkreise gem den Standards der Sicherheitstechnik in
Betrieb zu nehmen, zu erden und zu kennzeichnen.
Bestimmungsgemer Gebrauch
Beachten Sie Folgendes:
! Warnung Das Gert darf nur fr die im Katalog und in der
technischen Beschreibung vorgesehenen Einsatzflle und nur in
Verbindung mit von Siemens empfohlenen bzw. zugelassenen
Fremdgerten und -komponenten verwendet werden. Der einwandfreie und
sichere Betrieb des Produktes setzt sachgemen Transport, sachgeme
Lagerung, Aufstellung und Montage sowie sorgfltige Bedienung und
Instandhaltung voraus.
Marken Alle mit dem Schutzrechtsvermerk gekennzeichneten
Bezeichnungen sind eingetragene Marken der Siemens AG. Die brigen
Bezeichnungen in dieser Schrift knnen Marken sein, deren Benutzung
durch Dritte fr deren Zwecke die Rechte der Inhaber verletzen
kann.
Haftungsausschluss
Wir haben den Inhalt der Druckschrift auf bereinstimmung mit der
beschriebenen Hard- und Software geprft. Dennoch knnen Abweichungen
nicht ausgeschlossen werden, so dass wir fr die vollstndige
bereinstimmung keine Gewhr bernehmen. Die Angaben in dieser
Druckschrift werden regelmig berprft, notwendige Korrekturen sind
in den nachfolgenden Auflagen enthalten
Vorwort
Zweck der Dokumentation Die Dokumentation Sicherheitskonzept PCS
7 enthlt Empfehlungen und Hinweise fr die Planung und den Aufbau
von sicheren vernetzten PCS 7-Automatisierungslsungen mit
angebundenen Web Clients, SIMATIC IT-Applikationen und
kundenspezifischen Bronetzwerken.
Die vorliegende Dokumentation ist ein Nachschlagewerk und
gleichzeitig ein Leitfaden fr Netzwerkadministratoren aus den
Bereichen
Projektierung von PCS 7,
Inbetriebnahme und Service von PCS 7 und
Betreuung von Unternehmensnetzen.
Hierdurch soll die Zusammenarbeit der Netzwerkadministratoren
von Unternehmensnetzen und Automatisierungsnetzen erleichtert
werden.
Erforderliche Kenntnisse Diese Dokumentation wendet sich an die
Personen, die in den Bereichen Projektierung, Inbetriebnahme und
Service von Automatisierungssystemen mit SIMATIC PCS 7 ttig sind.
Grundkenntnisse der aus der Browelt bekannten IT-Techniken werden
vorausgesetzt.
Achtung
Diese Dokumentation kann die Ausbildung des Personals auf den
Gebieten Netzwerktechnik, Microsoft Windows-Verwaltung von Desktop-
und Server-Stationen und deren Betrieb in Windows-Domnen nicht
ersetzen, sondern setzt diese Kenntnisse teilweise voraus.
Gltigkeitsbereich der Dokumentation Die Dokumentation
Sicherheitskonzept PCS 7 ist gltig fr prozessleittechnische
Anlagen, die mit PCS 7 V6.1 SP1 realisiert sind.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 iii
Vorwort
IT-Sicherheit in Ihrer Anlage Ziel dieses Sicherheitskonzeptes
ist die Validierbarkeit einer vernetzten prozessleittechnischen
Anlage als "geschlossenes System" gem FDA 21 CFR 11 Abschnitt A
11.3 Punkt (4):
Zitat: "Geschlossenes System ist eine Umgebung, in welcher der
Zugang zum System von Personen kontrolliert wird, die fr den Inhalt
der elektronischen Aufzeichnungen in diesem System verantwortlich
sind." Zitat ende.
Dazu wird die Anlage in einzelne Sicherheitszellen aufgeteilt.
Von denen jede fr sich ein solches "geschlossenes System"
darstellen kann und auch der Verbund der Sicherheitszellen als ein
"geschlossenes System" validiert werden kann.
Zur Realisierung sind mehrere Sicherheitsmanahmen notwendig. Nur
die Gesamtheit aller Sicherheitsmanahmen bewirkt einen optimalen
Schutz der Anlage.
Sicherheitszellen
Sicherheitszellen sind in diesem Dokument Zonen, Abschnitte,
Teilbereiche oder Teilanlagen, fr die ausschlielich befugtes
Personal Zugriff besitzt.
Dazu gehren
Bedienberechtigungen der einzelnen Produktionsabschnitte
Physischer Zutritt zu den Produktionsbereichen und
Prozessleitrumlichkeiten
Zugriffsberechtigungen zum Dateisystem einer
Prozessleitsystemstation oder zu ganzen Computer- und
Steuerungsnetzwerken und ihren Stromversorgungen.
In diesem Zusammenhang sind folgende Dokumente im vorliegenden
Sicherheitskonzept bercksichtigt worden:
BSI IT-Grundschutzhandbuch, Kapitel 4 "IT-Grundschutz im Bereich
Infrastruktur"
FDA 21 CFR 11, "Elektronische Aufzeichnungen und
Unterschriften"
NAMUR Arbeitsblatt NA 67 "Informationsschutz bei
Prozessleitsystemen (PLS)"
NAMUR Arbeitsblatt NA 103 "Einsatz von Internettechnologien in
der Prozessautomatisierung"
ISA TR99.00.012004 "Security Technologies for Manufacturing and
Control Systems" vom 11. Mrz 2004
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise iv
A5E00477558-01
Vorwort
Anlagentypen Das Sicherheitskonzept PCS 7 wird in diesem
Dokument anhand folgender Anlagentypen dargestellt.
Einplatzsystem als Prozessleitsystem ohne Web Clients
Bild 1 Prinzipdarstellung Einplatzsystem
Mehrplatzsystem als Prozessleitsystem auch mit Web Clients
Bild 2 Prinzipdarstellung Mehrplatzsystem
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 v
Vorwort
Groe Anlage als Prozessleitsystem mit MES- und ERP-Ebene
Bild 3 Prinzipdarstellung Groe Anlage
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise vi
A5E00477558-01
Vorwort
Hinweis Das vorliegende Sicherheitskonzept SIMATIC PCS 7 ist
systemgetestet und sollte bei Ihrer Anlage zum Einsatz kommen.
Es ist dringend zu beachten, dass sich nicht alle
Sicherheitskonzepte aus der IT-Umgebung 1:1 in der
Prozessautomatisierung umsetzen lassen. Das Hauptaugenmerk der IT
liegt bei globaler Erreichbarkeit und hchstmglicher Sicherheit. Das
Wichtigste bei der Prozessautomatisierung ist die Funktionalitt der
Anlage.
Achtung
Abweichungen vom empfohlenen Sicherheitskonzept PCS 7 knnen
Sicherheitslcken mit unerwnschten Folgen verursachen.
Aktualisieren Sie Ihre Anlage stets so, dass keine
Sicherheitslcken auftreten knnen.
Diese Dokumentation enthlt das Sicherheitskonzept PCS 7 mit
Stand V6.1 SP1. Auerdem informiert Sie Ihr Ansprechpartner fr
Automation & Drives ber die aktuelle Version dieses
Handbuches.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 vii
Vorwort
Wegweiser Die Themenbereiche sind in der Reihenfolge aufgefhrt,
in der ein Administrator die Konfiguration der notwendigen
Komponenten durchfhren sollte. Bei allen Schritten werden
Hintergrundinformationen gegeben und Zusammenhnge erlutert, damit
dem Administrator das Sicherheitskonzept und der Zweck der
jeweiligen Schritte verstndlich werden.
Die vorliegende Dokumentation besteht aus folgenden
Themenbereichen:
Abschnitt Inhalt
Sicherheitszellen und Raumschutz
Prinzip: Einteilung in Sicherheitszellen Sicherheitszellen und
Raumschutz Festlegung der Netzwerkzugangspunkte
Planung der Sicherheitszellen und Zugangspunkte
Vergabe von IP-Adressen und Aufteilung in Subnetze
Namensauflsung
Verwaltung der Computer und Benutzer
Prinzip: Aufteilung der Verantwortung Betrieb von Anlagen in
Windows-Arbeitsgruppen Verwaltung von Anlagen durch eine Windows
Domne
(Active Directory) Gemeinsame Domne eigene Organisationseinheit
Gemeinsame Gesamtstruktur untergeordnete Domnen
Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration
in die Windows-Verwaltung
Prinzip: Zugeordnete Anmeldung Zusammenhang zwischen den
Windows-Benutzerrechten
und der projektspezifischen Verwaltung der Benutzerrechte und
Bedienberechtigungen
Integration in die Windows-Verwaltung Planung der
Uhrzeitsynchronisation
Prinzip: Genaue Zeit Uhrzeitsynchronisation in einer
Windows-Arbeitsgruppe
ohne Anlagen-Zentraluhr Uhrzeitsynchronisation in einer
Windows-Arbeitsgruppe mit
Anlagen-Zentraluhr Uhrzeitsynchronisation in einer Windows
Active Directory
Domne ohne Anlagen-Zentraluhr (mit NTP-Zeitserver)
Uhrzeitsynchronisation in einer Windows Active Directory
Domne mit Anlagen-Zentraluhr Implementieren der
Patch-Verwaltung
Prinzip: Verwaltung von Software-Updates und Sicherheits-Patches
Implementieren der Patch-Verwaltung Software Update Service (SUS)
installieren und
konfigurieren AU-Clients konfigurieren
(AU = Automatisches Update)
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise viii
A5E00477558-01
Vorwort
Abschnitt Inhalt
Allgemeines zu Firewalls Prinzip: Geschlossenes System gem FDA
Einsatz von Firewalls fr die Zugangspunkte Einsatz von
Virenscannern fr die Zugangspunkte Prinzip: Integration von
abgesetzten PCS 7-PCs in das geschlossene System gem FDA Einsatz
und Konfiguration von Authentifizierung und
Verschlsselung mit IP-Security Einsatz und Konfiguration von
Authentifizierung und
Verschlsselung mit Secure Sockets Layer Einsatz und
Konfiguration von VPN (Virtual Private
Network) und Network Access Quarantine Control fr den sicheren
Supportzugang
Weitere Manahmen Protokollierung/Audit
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 ix
Vorwort
Weitere Untersttzung Bei Fragen zur Nutzung der im Handbuch
beschriebenen Produkte, die Sie hier nicht beantwortet finden,
wenden Sie sich bitte an Ihren Siemens-Ansprechpartner in den fr
Sie zustndigen Vertretungen und Geschftsstellen.
Ihren Ansprechpartner finden Sie unter:
http://www.siemens.com/automation/partner
Den Wegweiser zum Angebot an technischen Dokumentationen fr die
einzelnen SIMATIC Produkte und Systeme finden Sie unter:
http://www.siemens.de/simatic-tech-doku-portal
Den Online-Katalog und das Online-Bestellsystem finden Sie
unter:
http://mall.automation.siemens.com/
Trainingscenter Um Ihnen den Einstieg in das Prozessleitsystem
PCS 7 zu erleichtern, bieten wir entsprechende Kurse an. Wenden Sie
sich bitte an Ihr regionales Trainingscenter oder an das zentrale
Trainingscenter in D 90327 Nrnberg. Telefon: +49 (911) 895-3200.
Internet: http://www.sitrain.com
Technical Support Sie erreichen den Technical Support fr alle
A&D-Produkte
ber das Web-Formular fr den Support Request
http://www.siemens.de/automation/support-request
Telefon: + 49 180 5050 222
Fax: + 49 180 5050 223
Weitere Informationen zu unserem Technical Support finden Sie im
Internet unter http://www.siemens.de/automation/service
Service & Support im Internet Zustzlich zu unserem
Dokumentations-Angebot bieten wir Ihnen im Internet unser
komplettes Wissen online an.
http://www.siemens.com/automation/service&support
Dort finden Sie:
den Newsletter, der Sie stndig mit den aktuellsten Informationen
zu Ihren Produkten versorgt.
die fr Sie richtigen Dokumente ber unsere Suche in Service &
Support.
ein Forum, in welchem Anwender und Spezialisten weltweit
Erfahrungen austauschen.
Ihren Ansprechpartner fr Automation & Drives vor Ort.
Informationen ber Vor-Ort Service, Reparaturen, Ersatzteile.
Vieles mehr steht fr Sie unter dem Begriff "Leistungen" bereit.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise x
A5E00477558-01
http://www.siemens.com/automation/partnerhttp://www.siemens.de/simatic-tech-doku-portalhttp://mall.automation.siemens.com/http://www.sitrain.com/http://www.siemens.de/automation/support-requesthttp://www.siemens.de/automation/servicehttp://www.siemens.com/automation/service&support
Inhaltsverzeichnis
1 Planung der Sicherheitszellen und Zugangspunkte 1-1 1.1
Sicherheitszellen und Raumschutz
..................................................................
1-1 1.2 Festlegung der Netzwerkzugangspunkte
......................................................... 1-6
2 Verwaltung des Netzwerkes 2-1 2.1
Namensauflsung.............................................................................................
2-1 2.2 Vergabe von IP-Adressen und Aufteilung in Subnetze
.................................... 2-6
3 Verwaltung der Computer und Benutzer 3-1 3.1 Betrieb von
Anlagen in Windows-Arbeitsgruppen
............................................ 3-1 3.2 Verwaltung von
Anlagen durch eine Windows Domne (Active Directory)...... 3-5 3.2.1
Allgemeines zu
Domnen.................................................................................
3-5 3.2.2 Einbettung von Anlagen in vorhandene Domnen (Active
Directory) ............ 3-10
4 Benutzer- und Zugriffsrechteverwaltung in PCS 7 und
Integration in die Windows-Verwaltung 4-1 4.1 Rechteverwaltung in
Windows
.........................................................................
4-1 4.2 Benutzerverwaltung in PCS
7...........................................................................
4-9
5 Planung der Uhrzeitsynchronisation 5-1 5.1
Uhrzeitsynchronisation in einer Windows-Arbeitsgruppe
ohne Anlagen-Zentraluhr
..................................................................................
5-3 5.2 Uhrzeitsynchronisation in einer Windows-Arbeitsgruppe
mit Anlagen-Zentraluhr
...................................................................................
5-10 5.3 Uhrzeitsynchronisation in einer Windows Active Directory
Domne
ohne Anlagen-Zentraluhr (mit NTP-Zeitserver)
.............................................. 5-16 5.4
Uhrzeitsynchronisation in einer Windows Active Directory Domne
mit Anlagen-Zentraluhr
...................................................................................
5-24 6 Implementieren der Patch-Verwaltung 6-1
6.1 Implementieren der Patch-Verwaltung
............................................................. 6-3
6.1.1 Erkennen von Sicherheitslcken mittels MBSA
............................................... 6-4 6.1.2
Beurteilen der Sicherheitslcken
......................................................................
6-9 6.1.3 Beschaffen von Software-Updates und Sicherheits-Patches
mit SUS .......... 6-10 6.1.4 Testen von
Sicherheits-Patches.....................................................................
6-10 6.1.5 Bereitstellen von Sicherheits-Patches
............................................................ 6-10
6.1.6 Wartung der
Patch-Umgebung.......................................................................
6-10 6.2 Software Update Service (SUS) installieren und
konfigurieren...................... 6-11 6.2.1 Grundlagen des
SUS......................................................................................
6-11 6.2.2 SUS installieren
..............................................................................................
6-15 6.2.3 SUS-Server
konfigurieren...............................................................................
6-16 6.3 AU-Clients
konfigurieren.................................................................................
6-22
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 xi
Inhaltsverzeichnis
7 Gesicherter Netzwerkzugang zu den Sicherheitszellen 7-1 7.1
Darstellung des Datenverkehrs
........................................................................
7-1 7.2 Einsatz von Firewalls fr die
Zugangspunkte...................................................
7-7 7.2.1 Allgemeines zu Firewalls
..................................................................................
7-7 7.2.2 Einsatz des Microsoft ISA Server als Firewall
.................................................. 7-7 7.2.3
Einsatz lokaler Firewalls auf PCS
7-PCs........................................................ 7-11
7.3 Einsatz von Virenscannern fr die
Zugangspunkte........................................ 7-12 7.3.1
Einsatz lokaler Virenscanner auf PCS 7-PCs (dezentrale
Zugangspunkte) .. 7-12 7.3.2 Einsatz eines Microsoft ISA Server
Virenscanmodules
auf dem zentralen Zugangspunkt einer
Anlage.............................................. 7-14 7.4
Integration von abgesetzten PCS 7-PCs
in das geschlossene System gem
FDA...................................................... 7-15
7.4.1 Einsatz und Konfiguration von Authentifizierung und
Verschlsselung
mit IP-Security
................................................................................................
7-17 7.4.2 Einsatz und Konfiguration von Authentifizierung und
Verschlsselung
mit Secure Sockets
Layer...............................................................................
7-25 7.4.3 Einsatz und Konfiguration von VPN (Virtual Private
Network) und
Network Access Quarantine Control fr den sicheren
Supportzugang.......... 7-28 7.5 Anforderung und Installation von
Zertifikaten................................................. 7-58
7.5.1 Installation einer eigenstndigen
Stammzertifizierungsstelle......................... 7-58 7.5.2
Download eines Zertifikates der Zertifizierungsstelle
..................................... 7-61 7.5.3 Anfordern eines
lokalen Computerzertifikates fr
IPSec................................ 7-62 7.5.4 Einrichten von SSL
auf einem Web Server
.................................................... 7-64 7.5.4.1
Erzeugen einer
Zertifikatsanforderung...........................................................
7-64 7.5.4.2 bermitteln einer
Zertifikatsanforderung........................................................
7-67 7.5.4.3 Ausstellen des Zertifikats
...............................................................................
7-67 7.5.4.4 Installieren des Zertifikats auf dem Web Server
............................................ 7-68 7.5.4.5
Konfigurieren von Ressourcen zum Anfordern des SSL-Zugriffs
.................. 7-68
8 Schlussbetrachtung 8-1 8.1 Restrisiken
........................................................................................................
8-1 8.2 Weitere Manahmen
........................................................................................
8-1
9 Literaturverzeichnis 9-1 9.1
Literaturverzeichnis...........................................................................................
9-1
10 Bedeutung der verwendeten Symbole 10-1 10.1 Bedeutung der
verwendeten Symbole
...........................................................
10-1
Glossar Glossar-1
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise xii
A5E00477558-01
1 Planung der Sicherheitszellen und Zugangspunkte
1.1 Sicherheitszellen und Raumschutz
Prinzip: Einteilung in Sicherheitszellen Der erste und
wichtigste Schritt zum Aufbau einer modernen und sicheren
Prozessautomatisierungsanlage besteht in der sorgfltigen Planung
der Sicherheitszellen dieser Anlage. Dazu wird die Anlage in
Segmente unterteilt.
Segmente und Sicherheitszellen
Segmente stellen bestimmte Zonen, Abschnitte, Teilbereiche oder
Teilanlagen dar. Sie werden dann zu einer Sicherheitszelle, wenn
die im Abschnitt "IT-Sicherheit in Ihrer Anlage" genannten
Bedingungen erfllt sind. Mehrere Segmente knnen eine
Sicherheitszelle bilden.
Hierbei zeigen sich die ersten grundlegenden Unterschiede zur
herkmmlichen IT-Umgebung:
Whrend in der herkmmlichen IT-Umgebung vor allem Wert auf
globale Vernetzung und Zugriffsmglichkeiten gelegt wird, muss in
der Industrie vor allem sichergestellt werden, dass nur wirklich
berechtigte Personen ber das Netzwerk Zugriff zu den Anlagen
erhalten.
Noch viel wichtiger ist der Raumschutz dieser Anlagen. Selbst
die beste Firewall oder Verschlsselung ist nutzlos, wenn
beispielsweise ein Saboteur die Festplatten der Server einfach
ausbauen und mitnehmen kann.
Deshalb mssen die einzelnen Anlagen und Anlagenteile segmentiert
und mit einem Raumschutz versehen werden.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 1-1
Planung der Sicherheitszellen und Zugangspunkte
Regeln fr Einteilung in Segmente und Sicherheitszellen Das
jeweilige Segment muss einer autark "funktionsfhigen Anlage"
entsprechen, die einen bestimmten Zeitraum ohne Verbindung zu
den restlichen Anlagen oder Anlagenteilen betrieben werden kann,
d.h. ein Segment muss fr eine bestimmte Zeit autonom funktionsfhig
sein und bleiben.
Alle einem solchen Segment und seiner Aufgabe direkt zugehrigen
Elemente mssen direkt (z.B. nicht ber gemietete Leitungen)
miteinander verbunden sein.
Anlagenteile, die eine hohe Netzwerk- und Rechenbelastung
verursachen, wenn sie ber aufwndige Sicherheitsmechanismen von auen
angebunden werden, sollten unbedingt direkt in das Segment
integriert werden.
Jeglicher Zugriff auf eine Sicherheitszelle darf nur nach
berprfung, Protokollierung und unter berwachung durch die
berechtigten Personen erfolgen, z.B. Personenzugang, Dateizugriff
usw.
Nur vertrauenswrdige Personen mit entsprechender Einweisung
drfen Zugang zu einer Sicherheitszelle erhalten.
Was wird sichergestellt? So wird sichergestellt, dass nur
Personen direkter physikalischer Zugriff auf eine Sicherheitszelle
innerhalb einer Anlage gewhrt wird, von denen keine vorstzliche
Gefahr fr die Anlage ausgeht.
Konsequenzen fr Schutzmanahmen Eine Sicherheitszelle der Anlage
muss im Innern gegenber dem Anlagenpersonal nur noch vor
Fehlbedienungen mittels normaler Zugriffsberechtigungen geschtzt
werden.
Das bedeutet auerdem, dass innerhalb einer Sicherheitszelle
keine Manahmen zur Verschlsselung des Datenverkehrs oder der
Einsatz von Firewalls vor jedem einzelnen Gert notwendig sind,
sondern - auch zum einfacheren Support - das Netzwerk ohne
Verschlsselungsmanahmen betrieben werden kann.
Sollte von dieser Empfehlung der Einteilung in Segmente und
Sicherheitszellen der Anlage abgewichen werden, sind alle weiteren
beschriebenen Schutzmanahmen wirkungslos.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 1-2
A5E00477558-01
Planung der Sicherheitszellen und Zugangspunkte
Anwendung auf die Anlagentypen
Einplatzsystem
Bei einem Einplatzsystem entspricht der Einplatz einer
Sicherheitszelle und kann auch das geschlossene System bilden. Dies
setzt voraus, dass es sich in einem Raum mit entsprechendem
Raumschutz befindet.
Bei mehreren Einplatzsystemen entspricht jeder Einplatz einer
Sicherheitszelle und mehrere knnen ein geschlossenes System
bilden.
Mehrplatzsystem
Das Mehrplatzsystem entspricht einer Sicherheitszelle und kann
gleichzeitig ein geschlossenes System bilden.
Eine zustzlich zu beachtende Besonderheit in der
Prozessleitebene (DCS) ist die empfohlene Trennung des
Terminalbusses und des Anlagenbusses.
- Der Terminalbus verbindet die PCS 7-PCs in der DCS-Ebene.
- Der Anlagenbus verbindet die OS-Server mit den
Automatisierungssystemen (AS). Die Kommunikation zwischen den
Automatisierungssystemen luft ber den Anlagenbus.
Die Trennung wird durchgefhrt, um den Anlagenbus nicht mit der
Kommunikation fr die Visualisierung auf den OS-Clients zu belasten.
Die Verfgbarkeit des Anlagenbusses wird dadurch erhht.
Bild 1-1 zeigt am Beispiel der Sicherheitszelle
"Produktionshalle" die Aufteilung des DCS in die Segmente
"Terminalbus" und "Anlagenbus". Dem Terminalbus sind die
PC-Stationen des DCS zugeordnet. Dem Anlagenbus sind die
AS-Stationen des DCS zugeordnet.
Bild 1-1 Sicherheitszelle Produktionshalle
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 1-3
Planung der Sicherheitszellen und Zugangspunkte
Groe Anlage
In der in Bild 1-2 und Bild 1-3 dargestellten
Beispielkonfiguration, im weiteren Verlauf als Firma "plant.com"
bezeichnet, gibt es 3 Hauptgebude mit unterschiedlichen Funktionen
und unterschiedlichen Gerten.
Jedes Gebude entspricht in diesem Beispiel einer
Sicherheitszelle,
da sich jeweils Personen mit hnlichen Aufgaben und
Berechtigungen in einem dieser Segmente befinden und
da jede Sicherheitszelle eine bestimmte Zeit getrennt von den
anderen ihre Aufgaben erfllen kann.
Bild 1-2 Sicherheitszellen Gebude - Ebenen
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 1-4
A5E00477558-01
Planung der Sicherheitszellen und Zugangspunkte
Einzige Ausnahme in diesem Beispiel ist das Gebude der
Zugangskontrolle des gesamten Firmengelndes. Hier befindet sich nur
ein einzelnes Gert zur Anzeige von besonderen Alarmierungen ohne
Bedienmglichkeit durch das Wachpersonal.
Bild 1-3 Sicherheitszellen Gebude - Gerte
FDA-Anforderungen zum Raumschutz Wichtig ist beim Raumschutz der
Zusammenhang zur FDA-Zertifizierung, insbesondere Teil 21 CFR 11,
als Definition eines "geschlossenen Systems" und seiner
Sicherheitsanforderungen. Die wichtigsten Anforderungen sind: die
Begrenzung des Zugriffs auf befugte Personen die Begrenzung des
Zugriffs auf erlaubte Gerte den Schutz der Dokumente und Daten vor
Vernderung bzw. Lschen
Techniken zur Steigerung der Netzwerkperformance Techniken zur
Steigerung der Netzwerkperformance kommen in erster Linie nur
innerhalb eines Segmentes zum Einsatz. Zum Beispiel sollen deshalb
geswitchte, eventuell redundante Netzwerke innerhalb eines
Segmentes aufgebaut werden.
Hinweis In der Praxis haben sich durch die unterschiedlichen
Eigenschaften unterschied-liche Anforderungen an beide Netzwerke
ergeben, z.B. die Hochverfgbarkeit (Redundanz), sowie die
wesentlich schnelleren Antwortzeiten des Anlagenbusses - vor allem
zwischen den einzelnen AS. Um gegenseitige Beeinflussungen und
Strungen zu vermeiden, wird dringend empfohlen, Terminalbus und
Anlagenbus physikalisch getrennt aufzubauen und zu betreiben.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 1-5
Planung der Sicherheitszellen und Zugangspunkte
1.2 Festlegung der Netzwerkzugangspunkte
Zentrale Zugangspunkte Viele Netzwerkapplikationen sind anfllig
gegen Angriffe wie z. B. Denial-Of-Service (Dienstverweigerung)
oder Buffer-Over-Run (Speicherberschreibung). Einen Schutz gegen
diese Angriffe erreichen Sie durch regelmiges Aufspielen der
aktuellsten Sicherheitsupdates dieser Applikationen und des
Betriebssystems begegnen. Dazu kontrr ist die Forderung nach einer
mglichst langen Betriebszeit ohne Stillstandszeiten, denn oft
erfordern die Sicherheitsupdates einen Neustart des jeweiligen
Systems. Dies lsst sich vereinbaren, wenn die Sicherheitszellen
einer Anlage mit zuverlssigen zentralen Zugangspunkten versehen
werden, welche ber einen bestimmten Zeitraum alle Netzkomponenten
(auch die noch nicht aktualisierten) schtzen knnen. Die
Sicherheitsupdates sind nach der Erprobung unbedingt einzuspielen
(trotz dieses zentralen Schutzes). So gewhrleisten Sie die
Sicherheit der einzelnen Komponenten auch bei einem eventuellen
Versagen des Zugangspunktes.
Netzwerk-Zugangspunkt - Was wird sichergestellt?
Netzwerk-Zugangspunkte sollen: den unerlaubten Datenverkehr zu den
sensiblen Prozessleitsystemen
verhindern. den erlaubten Datenverkehr und damit den normalen
Betrieb des
Prozessleitsystems reibungslos ermglichen
Definierte Zugangspunkte durch Einsatz von Routern Die einzelnen
Segmente und Subnetze mssen ber definierte Zugangspunkte
miteinander verbunden werden. Hierfr sind Router am besten
geeignet, da sich an diesen Gerten bereits mittels Routing- und
Filter-Regeln der Datenaustausch genauer festlegen lsst und diese
so bereits eine einfache Schutzmanahme darstellen, ohne den
Netzwerkverkehr bereits zu beeintrchtigen.
Die Auswahl eines geeigneten Routers erfolgt nach: Geforderte
Netzwerkbandbreite Bentigte Verfgbarkeit
Die Dimensionierung des Routers muss dem tatschlichen Bedarf des
Netzwerkverkehrs und eventuell geplanter Erweiterungen der Anlagen
entsprechen. Die Router stellen durch ihren Status als "Einzelgert"
einen Netzwerkverkehrsengpass dar. Gegebenenfalls muss also moderne
"GigaBit"-Technik fr die Router
eingesetzt werden. Gegebenfalls mssen die Router redundant
ausgelegt werden.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 1-6
A5E00477558-01
Planung der Sicherheitszellen und Zugangspunkte
Hinweis Der temporre Einsatz von Routern als Trennungs- und
Verbindungsglied der einzelnen Sicherheitszellen ist, vor allem fr
den Zeitraum der Inbetriebsetzung einer Anlage zu empfehlen. So
knnen alle Gerte und ihre Kommunikation untereinander wesentlich
einfacher funktionell geprft werden.
Spter mssen diese Router jedoch entweder durch Firewalls ersetzt
oder beim Einsatz von Computern als Router, auf ihnen jeweils eine
Firewall-Software installiert und konfiguriert werden (siehe
Kapitel 7.2 "Einsatz von Firewalls fr die Zugangspunkte).
Anwendung auf die Anlagentypen
Einplatzsystem
Unter der Vorraussetzung, dass das Einplatzsystem einer
Sicherheitszelle entspricht, sich also in einem Raum mit Raumschutz
befindet, bilden die Netzwerkkarten die Zugangspunkte. Ist dies
nicht der Fall bilden alle Schnittstellen des Einplatzsystems wie
Laufwerke, Tastatur, Maus, USB-Anschluss usw. die
Zugangspunkte.
Mehrplatzsystem
Den Zugangspunkt zum Mehrplatzsystem bildet der Router DCS
(siehe Netzwerkzugangspunkte Router)
Groe Anlage
In Netzwerkzugangspunkte Router sind die Zugangspunkte
dargestellt:
Zugangspunkt zu DCS ber Router DCS
Zugangspunkte zu MES ber Router DCS und Router MES
In der obersten Ebene befinden sich alle Gerte der Ebene ERP in
einem physikalischen Subnetz. Dieses ist mit der nchsten Ebene MES
ber den Router MES verbunden. Die Ebene MES wiederum ist ber den
Router DCS mit der Prozessleitebene verbunden. In diesem Beispiel
werden die Produktionsdaten in regelmigen Abstnden von den
OS-Servern aus der Prozessleitebene (DCS) zum SIMATIC IT-Historian
Server bzw. Central Archiv Server (CAS) ausgelagert. Die
Prozessleitebene kann zwar zeitweise ohne Verbindung zur Ebene MES
arbeiten, aber da das Fassungsvermgen ihrer Archive begrenzt ist,
mssen sie regelmig mit den Archivservern in der Ebene MES verbunden
sein.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 1-7
Planung der Sicherheitszellen und Zugangspunkte
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 1-8
A5E00477558-01
In der Ebene MES werden die Produktionsdaten gesammelt,
archiviert, ausgewertet und ber eine Weblsung (OSWebServer01) der
Ebene ERP zur Verfgung gestellt. Wichtig ist hierbei, dass diese
Produktionsdaten nicht zerstrt und auch nicht mehr gendert werden
knnen.
Bild 1-4 Netzwerkzugangspunkte Router
Planung der Sicherheitszellen und Zugangspunkte
Hinweis
Der Betrieb eines SIMATIC-IT Historian bzw. Central Archiv
Server ist nicht zwingend in der MES-Ebene vorgeschrieben. Wenn
sich eine solche Ebene durch die vorhandenen Gegebenheiten nicht
bilden lsst, muss auf diese zustzliche Sicherheitszone verzichtet
werden. Dies wird jedoch nicht empfohlen.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 1-9
Planung der Sicherheitszellen und Zugangspunkte
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 1-10
A5E00477558-01
2 Verwaltung des Netzwerkes
2.1 Namensauflsung
Symbolische Namen Damit die Netzwerkstruktur und die Verwaltung
flexibel bleibt und auf Vernderungen reagiert werden kann, mssen
alle Netzwerkteilnehmer mit symbolischen Namen versehen werden.
Diese Namen entsprechen dann den IP-Adressen der
Netzwerkteilnehmer.
Als symbolische Namen haben sich aufgabenorientierte Namen, z.B.
OSServer01, PresseSrv01 usw. bewhrt. Die meisten Applikationen
verwenden diese Namen, um den gewnschten Ansprechpartner im
Netzwerk zu finden.
Regeln fr die Namensauflsung Bei der Verwendung von DNS- und
WINS-Servern mssen in jedem Segment
mindestens ein DNS- und ein WINS-Server vorhanden sein. Diese
knnen natrlich auf einem physikalischen PC gemeinsam vorhanden
sein.
Die symbolischen Namen drfen fr Anlagen-PCs maximal 15 Zeichen
lang sein und nur aus Zeichen und Ziffern bestehen.
Die Namensauflsung muss schnell und zuverlssig sein, sowie
stndig jedem einzelnen Netzwerkteilnehmer zur Verfgung stehen.
Hinweis
Sobald zur Verwaltung der Windows Computer eine Windows 2000
oder Windows 2003 Domne verwendet wird (siehe Kapitel Allgemeines
zu Domnen muss zwingend ein beschreibbarer DNS-Server fr die
Namensauflsung dieser Domne verfgbar sein.
Die Namensauflsung jedes einzelnen Segmentes muss auch ohne
Verbindung zu den anderen Segmenten funktionieren.
Eine schnelle und zuverlssige Namensauflsung ist Vorraussetzung
fr eine hohe Performance in jedem einzelnen Segment.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 2-1
Verwaltung des Netzwerkes
Namensauflsung mit DNS-Server Die Einstellung der Namen erfolgt
ber den Menbefehl Start > Einstellungen > Systemsteuerung
> System > Register "Computername" > Schaltflche
"ndern".
Bild 2-1 Namensauflsung DNS-Suffix
DNS-Suffix:
Die Angabe des DNS-Suffix ist wichtig, damit sich der PC auf dem
DNS-Server korrekt eintragen kann. Dies gilt auch fr den DNS-Server
selbst.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 2-2
A5E00477558-01
Verwaltung des Netzwerkes
DNS-Serveradresse:
Die Einstellung des DNS-Server am Anlagen-PC erfolgt ber den
Menbefehl Start > Einstellungen > Systemsteuerung >
Netzwerkverbindungen > LAN-Verbindung > Register "Allgemein"
> Schaltflche "Eigenschaften".
Auswahl im Dialogfeld "Eigenschaften von
Internetprotokoll(TCP/IP)":
"DNS-Serveradresse automatisch beziehen" oder
"Folgende DNS-Serveradresse verwenden:"
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 2-3
Verwaltung des Netzwerkes
Namensauflsung mit WINS-Server Die Einstellung der Namen erfolgt
ber den Menbefehl Start > Einstellungen > Systemsteuerung
> System > Register "Computername" > Schaltflche
"ndern".
Der "NETBIOS-Computername" wird aus dem hier eingegeben
"Computernamen" gebildet und kann ber die Schaltflche "Weiter"
angezeigt werden. Beide Namen sollten zur Vermeidung von
Namensauflsungsfehlern gleich lauten.
WINS-Serveradresse:
Die Einstellung des WINS-Server am Anlagen-PC erfolgt ber den
Menbefehl Start > Einstellungen > Systemsteuerung >
Netzwerkverbindungen > LAN-Verbindung > Register "Allgemein"
> Schaltflche "Eigenschaften".
Auswahl im Dialogfeld "Eigenschaften von
Internetprotokoll(TCP/IP)" unter Schaltflche "Erweitert" >
Register "WINS".
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 2-4
A5E00477558-01
Verwaltung des Netzwerkes
Anwendung auf die Anlagentypen
Einplatzsystem
Eine Namensauflsung ist fr die PCS 7-Vernetzung nicht notwendig,
jedoch muss sich das Einplatzsystem selbst identifizieren knnen,
d.h. aber nicht, dass sich das Einplatzsystem nicht in einem
Netzwerk mit DNS- und WINS-Server befinden kann.
Mehrplatzsystem, Groe Anlage
Wir empfehlen auch in einer Arbeitsgruppe die Verwendung
mindestens eines Extra-PC als DNS- und WINS-Server. Auf diesem PC
kann sich auch der DHCP-Server befinden. In einer Domne knnen
DHCP-, DNS- und WINS-Server auch auf einem Domnencontroller
installiert sein.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 2-5
Verwaltung des Netzwerkes
2.2 Vergabe von IP-Adressen und Aufteilung in Subnetze
Wahl der IP-Adressen und Aufteilung in Subnetze Gem
Sicherheitszellen und Raumschutz, sollte sich die gewhlte
Einteilung in Segmente auch im IP-Adressbereich der Netzwerke durch
die Bildung von einzelnen Subnetzen widerspiegeln.
Regeln fr IP-Adressen Ein erster Schritt zur Erhhung der
Netzwerksicherheit wird bereits durch die Wahl des
IP-Adressbereiches erzielt: Whlen Sie vorrangig IP-Adressen aus den
international reservierten privaten
Adress-Bndern. Empfohlen werden die Adressen aus dem Bereich
192.168.x.x, welche eine
einfache und bersichtliche Struktur fr kleine und mittlere
Anlagen gewhrleisten.
Was wird sichergestellt? Da IP-Adressen aus privaten Bndern
nicht im Internet weitergeleitet werden knnen, wird damit bereits
ein direkter Angriff aus dem Internet auf einen Anlagen-PC
verhindert.
Empfohlene IP-Adressen Im Bereich 192.168.x.x gibt es
beispielsweise 256 Klasse C Netzwerke (Subnetz 192.168.0.x bis
Subnetz 192.168.255.x)
mit jeweils 254 Teilnehmern (IP-Adresse 192.168.x.1 bis
IP-Adresse 192.168.x.254).
Bild 2-2 Ebenen mit IP-Subnetzen
Die Adressen der Broumgebung sind oft bereits durch deren
IT-Abteilung vorgegeben. Die IT-Abteilung muss frhzeitig in die
Planung des Anlagennetzwerkes einbezogen werden, wenn eine
Anbindung an das "Bronetzwerk" bereits geplant ist oder in spterer
Zukunft vorgesehen wird.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 2-6
A5E00477558-01
Verwaltung des Netzwerkes
Verwendung von DHCP (Dynamic Host Configuration Protocol) DHCP
bietet die Mglichkeit einer sicheren, zuverlssigen und einfachen
TCP/IP-Netzwerkkonfiguration. DHCP verhindert Adresskonflikte und
hilft durch die zentral verwaltete Adresszuweisung, die Verwendung
von IP-Adressen zu vereinheitlichen.
Hinweis
Installieren Sie niemals auf einem PCS 7-PC Dienste zur
Verwaltung des Netzwerkes wie DNS, WINS, DHCP, Domnencontroller
usw.
Fr den Einsatz in PCS 7-Anlagen ist Folgendes zu beachten:
In jedem Segment muss sich ein DHCP-Server befinden. Dieser kann
sich zusammen mit dem DNS-und WINS-Server auf einem Rechner
befinden.
Fr den DHCP-Server im Terminalbus in unserem Beispiel empfehlen
wir folgende Einstellungen:
Einstellungen Erklrungen
Reservierungen Nehmen Sie fr alle Anlagen-PCs am Terminalbus
Reservierungen vor. Damit ist gewhrleistet, dass die Anlagen-PCs
auch nach lngerem Ausschalten immer die gleiche IP-Adresse
erhalten. Tipp: Whlen Sie als Reservierungsnamen einen willkrlichen
Dummynamen, z.B. dummy01. So knnen Sie spter einfach anhand des
eingetragenen FQDN-Namens unter Reservierungen sehr schnell
erkennen, ob sich der Rechner mit der betreffenden MAC-Adresse
ordnungsgem angemeldet hat.
Adresspool Wenn Sie fr alle Anlagen-PCs Reservierungen
vorgenommen haben, gengt es, einen sehr kleinen Adresspool zu
whlen, z.B. 192.168.25.10 bis 192.168.25.60
Bereichs- bzw. Serveroptionen
003 Router 006 DNS Servers 015 DNS Domain Name 044 WINS/NBNS
Servers 046 WINS/NBT Node Type
192.168.25.1 192.168.25.101* production.plant.com
192.168.25.101* 0x8
* gilt nur, wenn auf dem z.B. Domnencontroller auch DNS- bzw.
WINS-Server installiert ist. Sonst mssen die IP-Adressen angepasst
werden.
Entsprechend den lokalen Anforderungen knnen auch noch weitere
Optionen sinnvoll sein, z.B.:
042 NTP Servers 033 Static Route Options
192.168.25.101 192.168.125.0 192.168.25.1
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 2-7
Verwaltung des Netzwerkes
Beachten Sie, dass DHCP-Server nicht redundant aufgebaut werden
knnen. Dies bedeutet aber nicht, dass bei Ausfall eines
DHCP-Servers die PCS 7-PC nicht mehr funktionieren. Zu Problemen
fhrt dies erst, wenn die Lease-Time abluft bzw. die PCs neu
gebootet werden.
- Whlen Sie eine Ihren Anforderungen entsprechende lange
Lease-Time.
- Wird eine Redundance des DHCP-Servers gefordert, besteht die
Mglichkeit diesen, wie auch alle anderen Windows-Server, zu
clustern.
- Eine weitere Mglichkeit die Konfiguration einer alternativen
IP-Adresse bei Windows XP oder Windows Server 2003. Damit es im
Falle eines Ausfalls des DHCP-Servers nicht zu Doppeladressierungen
kommt, mssen diese alternativen IP-Adressen parallel zum
DHCP-Eintrag gepflegt.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 2-8
A5E00477558-01
Verwaltung des Netzwerkes
Aufteilung und Reservierung der IP-Adressen
Hinweis Beachten Sie, dass Sie
die IP-Adresse x.x.x.0 als Netzwerkadresse,
die IP-Adresse x.x.x.1 als Router und
die IP-Adresse x.x.x.255 als Broadcastadresse reservieren.
Die Aufteilung knnte z.B. wie folgt aussehen:
Bild 2-3 Ebenen mit IP-Adressaufteilung
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 2-9
Verwaltung des Netzwerkes
Die Anlagenkonfiguration und die IP-Adressvergabe unserer
Beispielanlage knnten dann so aussehen:
Bild 2-4 Gesamtbersicht mit IP-Adresse
In Bild 2-4 sind Gerte und Konfigurationen enthalten, die erst
in den folgenden Abschnitten nher erlutert werden. Zur
Verdeutlichung der Subnetzaufteilung und IP-Adressvergabe wurde
jedoch auf eine vereinfachte Darstellung verzichtet.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 2-10
A5E00477558-01
Verwaltung des Netzwerkes
Anwendung auf die Anlagentypen
Einplatzsystem
Die IP-Adresskonfiguration kann statisch auf jedem PC einzeln
eingestellt werden, d.h. aber nicht, dass sich das Einplatzsystem
nicht in einem Netzwerk mit DHCP-Server befinden kann. Beachten
Sie, dass Sie keine Doppeladressierung vornehmen.
Mehrplatzsystem, Groe Anlage
Wir empfehlen die Verwendung eines Extra-PC als DHCP-Server. Auf
diesem PC kann sich auch der DNS- und WINS-Server befinden. In
einer Domne knnen DHCP-, DNS- und WINS-Server auch auf einem
Domnencontroller installiert sein.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 2-11
Verwaltung des Netzwerkes
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 2-12
A5E00477558-01
3 Verwaltung der Computer und Benutzer
Prinzip: Aufteilung der Verantwortung Fr verschiedene Aufgaben
zur Verwaltung der Computer und Benutzer werden unterschiedliche
Windowsbenutzer mit speziell fr diese Aufgabe notwendigen Rechten
verwendet.
Ziel: Die sorgfltige Trennung der Verantwortungsbereiche der
IT-Abteilung und des Anlagenbedienpersonals gewhrleistet, dass
einerseits ein Administrator der IT-Abteilung nicht versehentlich
einen PCS 7-PC neu booten und andererseits ein Administrator des
Anlagenbedienpersonals nicht versehentlich nderungen der
Domneneinstellungen vornehmen kann.
3.1 Betrieb von Anlagen in Windows-Arbeitsgruppen
Dezentrale Verwaltung der Computer und Benutzer Das Betreiben
einer Anlage ohne eine zentrale Windowsverwaltung ist im
Allgemeinen sinnvoll und wirtschaftlich,
bis zu einer Anlagengre von ca. 10 Computern
wenn keine regelmigen nderungen der Anlage durchgefhrt werden
(z.B. neue Benutzer, wechselnde Computer, neue
Sicherheitsrichtlinien, wechselnde Passwrter usw.)
wenn der Betrieb einer Windows Domnen Infrastruktur nicht durch
entsprechend ausgebildetes Personal gewhrleistet werden kann
wenn durch eine sorgfltige, zentrale Anlagendokumentation die
Einheitlichkeit von Netzwerkeinstellungen, Rechnerkonfigurationen,
Sicherheitsrichtlinien, Benutzern und Kennwrtern gewhrleistet
werden kann.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 3-1
Verwaltung der Computer und Benutzer
Hinweise fr die dezentrale Verwaltung Besonders zu beachten:
Es mssen stets auf allen betroffenen Computern die Passwrter
eines Benutzers gendert werden.
Nicht mehr bentigte Benutzerkonten mssen berall entfernt
werden.
Alle Computer einer Anlage mssen mit den gleichen
Sicherheitsrichtlinien konfiguriert werden (z.B. Verwendung von
LanManager V2 Protokoll, Signierung von SMB-Kommunikation,
Passwortkomplexitt und Passwortalter)
Es muss eine zentrale bersicht ber vergebene Rechnernamen und
IP-Adressen angelegt und aktualisiert werden.
Bei der Verwendung von lokalen LMHost- und Host-Dateien zur
Untersttzung der Namensauflsung mssen stets alle Dateien
gleichzeitig aktualisiert werden.
Erfahrungen aus der Praxis haben gezeigt, dass schon durch
falsche Konfiguration eines einzigen Rechners der Betrieb einer
ganzen Anlage massiv gefhrdet werden kann. Auerdem ist die
Fehlersuche in solchen Fllen oft langwierig und kompliziert.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 3-2
A5E00477558-01
Verwaltung der Computer und Benutzer
Beispielkonfiguration dezentrale Verwaltung Bild 3-1
verdeutlicht die Konfiguration jedes einzelnen Rechners einer
Anlage beim Betrieb in der Arbeitsgruppe Produktion (A):
Bild 3-1 Benutzerverwaltung in einer Arbeitsgruppe
Alle Rechner der Arbeitsgruppe Production (A) mssen einzeln mit
den gleichen Sicherheitsrichtlinien (B), richtiger
Netzwerkkartenkonfiguration (C) und durchgngigen Gruppen- und
Benutzerkonfiguration (D) eingerichtet und stets gleichzeitig
aktualisiert werden. Es ist leicht zu erkennen, dass der
Verwaltungsaufwand mit steigender Anzahl von Benutzern und Rechnern
steigt.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 3-3
Verwaltung der Computer und Benutzer
Anwendung auf die Anlagentypen
Einplatzsystem
Fr ein oder mehrere Einplatzsysteme bietet sich der Einsatz in
einer Arbeitsgruppe an, da der Verwaltungsaufwand fr eine Domne
nicht gerechtfertigt ist. Unabhngig davon kann aber der Einsatz
eines Extra-PC mit DNS-, WINS- und DHCP-Funktionalitt sinnvoll
sein.
Mehrplatzsystem
Bei einem Mehrplatzsystem ist die Verwendung einer Arbeitsgruppe
nur sinnvoll, wenn o.g. Kriterien eingehalten werden. Sonst kann
auch die Verwendung einer Domne nach Kapitel 3.2 "Verwaltung von
Anlagen durch eine Windows Domne (ActiveDirectory)" empfohlen
werden. Unabhngig davon ist hier die zentrale Verwaltung durch
einen Extra-PC mit DNS-, WINS- und DHCP-Funktionalitt zu
empfehlen.
Groe Anlage
Der Einsatz in einer Arbeitsgruppe ist zwar mglich, aber nicht
empfehlenswert, da hier bereits die Kriterien des folgenden
Kapitels 3.2 "Verwaltung von Anlagen durch eine Windows Domne
(ActiveDirectory)" zutreffen. Unabhngig davon ist hier die zentrale
Verwaltung durch einen Extra-PC mit DNS-, WINS- und
DHCP-Funktionalitt zu empfehlen.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 3-4
A5E00477558-01
Verwaltung der Computer und Benutzer
3.2 Verwaltung von Anlagen durch eine Windows Domne (Active
Directory)
3.2.1 Allgemeines zu Domnen
Zentrale Verwaltung fr Computer und Benutzer Das Einrichten
einer zentralen Windowsverwaltung ist im Allgemeinen sinnvoll und
wirtschaftlich,
ab einer Anlagengre von 10 Computern
wenn regelmig nderungen der Anlage durchgefhrt werden (z.B. neue
Benutzer, wechselnde Computer, neue Sicherheitsrichtlinien,
wechselnde Passwrter, usw.)
wenn eine zentrale Datenhaltung von System-Ereignissen und
System-Eigenschaften erforderlich ist
wenn eine zentralisierte Konfiguration der einzelnen Computer
erforderlich ist.
Weitere Kriterien fr zentrale Verwaltung In einer Anlage sollte
eine zentrale Verwaltung (Active Directory) fr die Computer und
Benutzer eingerichtet werden, wenn:
es eine firmeneigene Sicherheitsrichtlinie gibt, die eine Active
Directory Domne erfordert.
gesetzliche Normen und Richtlinien oder Verordnungen erfllt
werden mssen (z.B. Forderung nach einer Benutzung von Kerberos als
Authentifizierungsverfahren, oder Forderung nach zentraler
Protokollierung von Anmeldeereignissen usw.).
die Notwendigkeit einer zentralen hochverfgbaren
Benutzerverwaltung und Anmeldung besteht.
die Notwendigkeit einer zentralen hochverfgbaren
IP-Adressvergabe- (DHCP), einer zentralen Verwaltung der
Namensauflsung und -registrierung fr Computer (DNS/WINS)
besteht.
ein Active Directory basierter Zertifikatsserver fr z.B. sichere
Webservices mit verschlsselter Kommunikation ber SecureSocketLayer
(SSL), Signierung von Applikationen und Dokumenten,
Authentifizierung, zertifikatsbasierte IP-Security Kommunikation
und Tunnelprotokolle wie LayerTwoTunnelingProtokoll (L2TP) bentigt
werden.
die Anzahl an zu verwaltenden Computer, Accounts und Personen
insgesamt sehr hoch ist.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 3-5
Verwaltung der Computer und Benutzer
Verwaltung durch Betriebspersonal
Hinweis Wenn eine eigene Windows Domne fr die Anlage
eingerichtet wird, muss die Verwaltung dieser Domne durch das
Betriebspersonal der Anlage durchgefhrt werden knnen! Die
Verantwortung darf nicht an Personen auerhalb der Produktionsanlage
abgegeben werden, da diese nicht beurteilen knnen ob eine aktuelle
Konfigurationsnderung sich negativ auf den Produktionsprozess
auswirken kann!
Das kann eine zustzliche Schulung des Betriebspersonals
erforderlich machen.
Hinweis
Es ist wichtig, dass kein Unbefugter eine Konfigurationsnderung
eines Anlagen- PCs herbeifhren kann. Die administrativen
Benutzerkonten drfen nie fr Aufgaben innerhalb von PCS 7 genutzt
werden.
Active Directory in PCS 7-Anlagen Die Produktionsanlage ist
damit weitgehend unabhngig von den Vorgaben
der IT-Abteilung konfigurierbar.
Die Produktionsanlage ist vor unbeabsichtigten Eingriffen der
IT-Abteilung geschtzt.
Der domnenbergreifende Datenaustausch kann ber einseitige oder
transitive Vertrauensstellungen zwischen den Domnen konfiguriert
werden.
Der domnenbergreifende Datenaustausch kann auch zu einem spteren
Zeitpunkt durch Zusammenfhren der einzelnen Domnen in einer
Gesamtstruktur erfolgen, wenn die Domnen zwar einen gemeinsamen
Namensraum besitzen, aber unabhngig voneinander angelegt wurden
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 3-6
A5E00477558-01
Verwaltung der Computer und Benutzer
Aufbau einer zentralen Windowsverwaltung am Beispiel Firma
"plant.com" Der Aufbau einer solchen Domne fr das Beispiel
"plant.com" knnte wie folgt aussehen:
Regel Realisierung in Beispielanlage
Die Domne muss ausfallsicher angelegt werden.
Das bedeutet, dass mindestens zwei Domnen-controller mit einer
intelligenten Lastverteilung ihrer Aufgaben (hinsichtlich
Anmeldeaufgaben und den so genannten Betriebsmasterrollen)
eingerichtet werden mssen.
Die Domne muss immer und performant verfgbar sein.
Dazu muss sich zumindest einer der beiden Domnencontroller
direkt im Netzwerk der Anlage befinden. Damit kann auch im Fall
einer Trennung der Verbindung zu den anderen Netzwerken immer eine
Domnenanmeldung und Gruppenrichtlinienaktualisierung durchgefhrt
werden.
Die einzelnen Objekte mssen in Organisationseinheiten gruppiert
verwaltet werden.
Damit wird die Gefahr der "Fehlkonfiguration" eines einzelnen
Objekts verringert.
Der Einsatz von zustzlichen Unterdomnen sollte vermieden
werden.
So knnen die jeweils mindestens zwei zustzlichen
Domnen-Controller jeder Unterdomne eingespart werden und der
Verwaltungsaufwand wird verringert.
Die Verantwortung ber die Domne und die PCS 7-PCs muss getrennt
werden.
Dazu wird im Beispiel "Plant.com" eine Organisationseinheit
"Production" angelegt, in der sich alle produktionsrelevanten
Benutzer- und Computerobjekte befinden. Die Verantwortung dafr wird
einem administrativen Account bertragen, der nicht die gesamten
Domneneigenschaften, sondern nur noch diejenigen dieser
Organisationseinheit administriert (z.B. dem "ChiefOperator" (B),
einem Meister der "Plant.com").
Die Verwaltung und der erste Aufbau der Domne durch den
Domnenadministrator mssen durch qualifiziertes Betriebspersonal
oder einen Verantwortlichen der IT-Abteilung der "Plant.com"
erfolgen.
Damit werden Anfangsfehler vermieden, die sich eventuell erst
viel spter auswirken und eine komplette Neukonfiguration der Domne
ntig machen knnten.
Die Accounts der Domnenadministratoren drfen nur fr wirklich
administrative Aufgaben genutzt werden.
So wird verhindert, dass versehentlich eine Fehlkonfiguration
oder ein lokaler Virus die gesamte Domne beeintrchtigt. Im spteren
"Tagesgeschft" ist die Benutzung dieser Accounts normalerweise
nicht notwendig.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 3-7
Verwaltung der Computer und Benutzer
Bild 3-2 zeigt die mgliche Vereinfachung der Verwaltung durch
eine zentrale Konfiguration von Sicherheitsrichtlinien,
Netzwerkkonfiguration und Benutzerverwaltung.
1. Die Verwaltung der Anlagen-PCs (z.B. Netzwerkkonfiguration,
Namensauflsung und IP-Adressvergabe) wird durch die Domne
"Production.Plant.com" (A) zentralisiert. Die Verantwortung fr
diese Infrastrukturserver (C) wird durch den "Domain-Admin"
wahrgenommen.
2. Zur Verwaltung der Anlage wird im Beispiel eine
Organisationseinheit "OU-Production" angelegt. Hier werden alle
allgemeinen Eigenschaften definiert und die Verwaltung der globalen
Gruppen "OS-Servers", "OS-Clients" und "Web-Servers" sowie der
Domnenbenutzerkonten "Server-Desktop-User-Dom",
"Client-Desktop-User-Dom" und "WebServer-Desktop-User-Dom" (E), die
spter als Accounts fr den Laufzeitbetrieb der Anlage genutzt
werden, durchgefhrt.
3. Die Verwaltung der untergeordneten Organisationseinheit
"Production-PC" wird durch einen realen administrativen Account
"Chief-Operator" der Gruppe "Operator-Group" durchgefhrt. Dieser
Operator ist verantwortlich fr die Eigenschaften, die nur auf die
PCS 7-PCs zugewiesen werden sollen (z.B. zu installierende
Software, Uhrzeitsynchronisationseinstellungen, Mitgliedschaften in
den lokalen Gruppen (D), Rechte, Einstellungen fr die Verwaltung
von Software - Updates usw.).
Hinweis
Welche Berechtigungen die globalen Gruppen und
Domnenbenutzerkonten auf den PCS 7-PCs erhalten, wird im Kapitel 4
Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration in
die Windows-Verwaltung" ausfhrlich beschrieben und ist in Bild 3-2
durch die orangefarbigen Linien nur angedeutet.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 3-8
A5E00477558-01
Verwaltung der Computer und Benutzer
Bild 3-2 Benutzerverwaltung mit Active Directory
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 3-9
Verwaltung der Computer und Benutzer
3.2.2 Einbettung von Anlagen in vorhandene Domnen (Active
Directory)
Gemeinsame Domne - eigene Organisationseinheit Gibt es in einer
Firma bereits eine Active Directory Domne, bietet sich eine eigene
Organisationseinheit fr die Verwaltung der Anlage an.
Der Vorteil besteht im Wesentlichen an der einzusparenden
Verwaltung einer Domne durch das Betriebspersonal der Anlage.
Mit Untersttzung der IT-Abteilung der Firma wird in der Anlage
ein weiterer Domnencontroller der Firma installiert. Das
Anlagenpersonal bekommt jedoch keine administrativen Berechtigungen
zur nderung der Domne.
Dieses Szenario erfordert die meiste Kommunikation des
Anlagenpersonals mit der firmeneigenen IT-Abteilung. Diese muss
einen Teil ihrer Verantwortung an das Anlagenpersonal delegieren
und diesem die Verwaltung der Produktions-Organisationseinheit
bertragen.
Das Anlagenpersonal muss sicherstellen, dass mit dieser
Verantwortung uerst sorgsam umgegangen wird.
Wenn dieses Szenario von Fachleuten geplant und in
Zusammenarbeit zwischen IT-Abteilung und Anlagenpersonal betrieben
wird, stellt es das Optimum an Wirtschaftlichkeit, Flexibilitt und
Zuverlssigkeit dar.
Hinweis
Es ist wichtig, dass kein Unbefugter der IT-Abteilung eine
Konfigurationsnderung eines Anlagen-PCs herbeifhren kann.
Ebenso ist es wichtig, dass das Anlagenpersonal nicht den
Betrieb des Bronetzwerkes gefhrdet.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 3-10
A5E00477558-01
Verwaltung der Computer und Benutzer
Beispielkonfiguration Eigene Organisationseinheit Bild 3-3 zeigt
die Verwaltung der "OU-Production" als einer untergeordneten,
eigenstndigen Organisationseinheit der Active Directory Domne
"Plant.com".
Die Organisationseinheit (A) wird von dem
Produktionsadministrator (B) verwaltet. Dieser kann von der
IT-Abteilung gestellt werden und ist mit allen Belangen der
Produktionsabteilung vertraut.
Der Anlagenbetreiber und "Chief-Operator" (C) verwaltet die
globalen Gruppen Domnenbenutzerkonten (D) und PCS 7-PCs.
Bild 3-3 Benutzerverwaltung Active Directory mit eigener OU
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 3-11
Verwaltung der Computer und Benutzer
Gemeinsame Gesamtstruktur - untergeordnete Domnen Gibt es in
einer Firma bereits Active Directory Gesamtstruktur, bietet sich
auch eine untergeordnete Domne fr die Verwaltung der Anlage an.
Damit ist es im spteren Verlauf wesentlich einfacher,
domnenbergreifende Dienste und Zugriffe firmenweit zu
administrieren.
Dazu muss jedoch ebenfalls wie im Szenario "Verwaltung von
Anlagen durch eine Windows Domne (Active Directory)" eine eigene
(Unter)Domne fr die Anlage aufgebaut und verwaltet werden. Der
Unterschied besteht nur in der Verwendung eines gemeinsamen
Domnenstammes.
Bild 3-4 Untergeordnete Domne
Achtung
Nur eine sorgfltige Trennung der Zustndigkeitsbereiche durch
Delegation der Verantwortung und Rechte an das Betriebspersonal
kann sicher gewhrleisten, dass keine unerwnschten
Konfigurationsnderungen durch die IT-Abteilung auf den Anlagen-PCs
durchgefhrt werden.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 3-12
A5E00477558-01
Verwaltung der Computer und Benutzer
Beispielkonfiguration Unterdomnen Bild 3-5 zeigt eine
eigenstndige Domne / Unterdomne (A) fr die Verwaltung der
Produktionsanlage.
Die Verwaltung der Domne und die Verantwortung fr die
Domnencontroller werden komplett durch das Betriebspersonal
getragen.
Bild 3-5 Benutzerverwaltung mit eigenstndiger Domne
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 3-13
Verwaltung der Computer und Benutzer
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 3-14
A5E00477558-01
4 Benutzer- und Zugriffsrechteverwaltung in PCS 7 und
Integration in die Windows-Verwaltung
Prinzip: Zugeordnete Anmeldung Mit der der jeweiligen Aufgabe
zugeordneten Anmeldung an PCS 7-PCs wird Folgendes erreicht:
1. Bei der Anmeldung in Windows erhlt der Benutzer genau die
Rechte, die er fr die Bearbeitung der jeweiligen Aufgabe bentigt,
z.B. muss er fr die Bearbeitung des PCS 7-Projektes Mitglied der
lokalen Gruppen "Hauptbenutzer" und "SIMATIC HMI" sein.
2. Mit dem Login in den Prozessbetrieb (Runtime) erhlt der
Bediener genau die Rechte zur Bedienung der Anlage, die im
UserAdministrator projektiert wurden.
Damit wird die konsequente Trennung von
Computerzugriffsberechtigung, z. B. Windowsbenutzer, und
Anlagenbedienberechtigung (Anlagenbediener) deutlich. Dies wird
durch das SIMATIC-Berechtigungsmodels untersttzt, setzt jedoch
deren Administration in den verschiedenen Konfigurationsdialogen
durch den Anwender voraus.
4.1 Rechteverwaltung in Windows
Microsoft Windows-Berechtigungsmodell Innerhalb einer
Arbeitsgruppe wird die von Microsoft empfohlene
ALP-Strategie (Add User Account to Local Group and assign
Permission) verwendet, d.h. Sie fgen lokale Benutzer mit gleichen
Aufgaben einer lokalen Gruppen hinzu und geben dieser dann die
notwendigen Berechtigungen.
Innerhalb einer Domne wird die von Microsoft empfohlene
AGLP-Strategie (Add Domain User Account to Global Group, add global
Group to Local Group and assign Permission) verwendet, d.h. Sie
fgen Domnenbenutzer mit gleichen Aufgaben einer globalen Gruppen
hinzu, Sie fgen diese einer lokalen Gruppe hinzu und geben dieser
dann die notwendigen Berechtigungen.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 4-1
Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration
in die Windows-Verwaltung
Anwendung durch SIMATIC-Berechtigungsmodell Dabei werden Sie in
PCS 7 durch das SIMATIC-Berechtigungsmodell untersttzt. Bereits mit
der Installation werden als lokale Gruppen generell die folgenden
SIMATIC-Benutzergruppen eingerichtet:
SIMATIC HMI
SIMATIC HMI CS
SIMATIC HMI VIEWER
Die entsprechenden Freigabeberechtigungen und
Sicherheitseinstellungen werden von der PCS 7-Software automatisch
verwaltet. Der Anwender muss lediglich die lokalen Benutzer und
globalen Gruppen zu Mitgliedern dieser SIMATIC-Benutzergruppen
machen.
Hinweis
Zustzlich mssen alle Windowsbenutzer, die auf PCS 7-PCs mit
SIMATIC-Komponenten arbeiten sollen, Mitglied in der lokalen Gruppe
der Hauptbenutzer sein.
SIMATIC WinCC WinCC verwendet fr Projektfreigaben und
Projektdateizugriffe die Benutzergruppen SIMATIC HMI, SIMATIC HMI
CS und SIMATIC HMI VIEWER. Beim erstmaligen ffnen eines Projektes
wird automatisch eine Projektfreigabe angelegt und mit den
notwendigen Freigabeberechtigungen und Sicherheitseinstellungen
versehen. Die Verwaltung der Projektfreigaben und
Projektdateizugriffe erfolgt automatisch durch die PCS 7-Software.
Eine detaillierte Darstellung der notwendigen Gruppenzugehrigkeit
finden Sie in Bild 4-1 bis Bild 4-2
SIMATIC BATCH Fr SIMATIC BATCH wird bei der Installation
folgende zustzliche Benutzergruppe angelegt:
SIMATIC BATCH
Fgen Sie dieser Benutzergruppe die lokalen Benutzer und globalen
Gruppen hinzu, die mit BATCH arbeiten sollen.
Als Freigaben werden angelegt:
BATCH
BATCH_Backup
Die Verwaltung der Freigabeberechtigungen erfolgt automatisch
durch die PCS 7-Software. Fgen Sie in den Sicherheitseinstellungen
der Freigaben zustzlich die Benutzergruppe "SIMATIC BATCH" mit der
Berechtigung Vollzugriff hinzu.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 4-2
A5E00477558-01
Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration
in die Windows-Verwaltung
SIMATIC Route Control Fr SIMATIC Route Control werden bei der
Installation zustzlich folgende Benutzergruppen angelegt:
RC_ENGINEER
RC_MAINTENANCE
RC_OPERATOR_L1
RC_OPERATOR_L2
RC_OPERATOR_L3
Sie mssen lediglich die lokalen Benutzer und globalen Gruppen
den Aufgaben entsprechend diesen Gruppen zuordnen.
Auerdem wird folgende Freigabe eingerichtet:
RC_LOAD
Die Verwaltung der Freigabeberechtigungen und
Sicherheitseinstellungen erfolgt automatisch durch die PCS
7-Software.
Was wird sichergestellt? Nur ein Mitglied der Gruppe der lokalen
"Administratoren" (Windows) kann
Software installieren oder die Konfiguration einer Station oder
eines Projektes beliebig verndern oder anderen Benutzern diese
Rechte zuweisen.
Der normale Betrieb einer Anlage erfolgt unter einem Account als
Windowsbenutzer, der hchstens die Rechte eines Mitglieds der Gruppe
der lokalen "Hauptbenutzer" (Windows) hat. Diese Benutzer werden im
Weiteren als "ClientDesktopUser" und "ServerDesktopUser"
bezeichnet. Damit sind Eingriffe in die Verwaltung der Station oder
des Netzwerkes durch einen Anlagenbediener nicht mglich.
Der Zugriff auf die Windows-Oberflche muss fr den
Laufzeitbetrieb komplett gesperrt werden. Damit die PCS 7 OS
weiterlaufen und dauerhaft den Zugriff auf die Anlage gewhrleisten
knnen, darf kein "Ausloggen" des Windows-Desktops ermglicht
werden.
Selbst wenn ein Web Server-Dienst (IIS) eines
Webnavigator-Servers durch den Angriff eines Virus oder Hackers
gestrt werden wrde, kann er nicht schreibend auf die
Projektierungsdaten zugreifen, da das Web Server-Dienstkonto nur
Mitglied der Gruppe "SIMATIC HMI VIEWER" ist und damit nur lesenden
Zugriff auf das Projekt besitzt.
Ein anderer Benutzer kann nicht auf dieses Projekt zugreifen,
auch nicht remote, wenn sein Benutzerkonto nicht auf der Station
bekannt und er nicht Mitglied der Gruppe "SIMATIC HMI" ist. Eine
zustzliche Differenzierung in Laufzeit und Projektierung ist
vorgesehen.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 4-3
Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration
in die Windows-Verwaltung
Regeln Verwenden Sie die von Microsoft empfohlene ALP-Strategie
(Add User
Account to Local Group and assign Permission) und AGLP-Strategie
(Add Domain User Account to Global group, add global group to Local
Group and assign Permission).
Der Anlagenbediener loggt sich an der PCS 7 OS ein und aus und
erhlt hier auch seine Bedienberechtigungen fr die Bedienung der
Anlage, welche im UserAdministrator und an den einzelnen grafischen
Funktionselementen projektiert wurden.
Der Projekteur und Betreiber eines Projektes muss nicht nur ein
lokaler Hauptbenutzer, sondern auch ein Mitglied der Gruppe
"SIMATIC HMI" sein.
Das "ClientDesktopUser" Konto jedes OS-Clients muss am Server
Mitglied der Gruppe "SIMATIC HMI" sein, sonst ist kein
Remotezugriff auf das Projekt mglich.
Erluterung zu den folgenden Darstellungen
Benutzer / Benutzergruppe
Beschreibung
Server-Desktop-User
ist ein lokaler Windowsbenutzer auf einem OS-Server unter dem
der Prozessbetrieb (Runtime) in einer Arbeitsgruppe stattfindet
ist auf jedem OS-Server Mitglied der Gruppen: Hauptbenutzer,
SIMATIC HMI und SIMATIC HMI VIEWER
ist auf einem OS-Client oder Web Server in keiner lokalen Gruppe
Mitglied Client-Desktop-User ist ein lokaler Windowsbenutzer auf
einem OS-Client unter dem der
Prozessbetrieb (Runtime) in einer Arbeitsgruppe stattfindet ist
auf einem OS-Client Mitglied der Gruppen: Hauptbenutzer, SIMATIC
HMI
und SIMATIC HMI VIEWER muss auch auf dem OS-Server angelegt sein
und dort Mitglied der Gruppen
SIMATIC HMI und SIMATIC HMI VIEWER sein Web
Server-Desktop-User
ist ein lokaler Windowsbenutzer auf einem Web Server unter dem
der Prozessbetrieb (Runtime) in einer Arbeitsgruppe stattfindet
ist auf jedem Web Server Mitglied der Gruppen: Hauptbenutzer,
SIMATIC HMI und SIMATIC HMI VIEWER
muss auch auf dem OS-Server angelegt sein und dort Mitglied der
Gruppen SIMATIC HMI und SIMATIC HMI VIEWER sein
in PCS 7-Anlagen ist auf einem Web Server immer ein OS-Client
installiert ES-Projekteur lokaler Windowsbenutzer auf einer PCS
7-ES unter dem die Projektierung in
einer Arbeitsgruppe stattfindet ist auf einer ES Mitglied der
Gruppen Hauptbenutzer, SIMATIC HMI und
SIMATIC HMI CS Wenn auf einem OS-Server oder OS-Client
Projektierungsnderungen
vorgenommen werden, sollte dies ausschlielich von diesem
Benutzer erfolgen. Deshalb muss der OS-Projekteur auch auf einem
OS-Server und OS-Client angelegt sein und dort Mitglied der
Gruppen: Hauptbenutzer, SIMATIC HMI und SIMATIC HMI CS sein.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 4-4
A5E00477558-01
Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration
in die Windows-Verwaltung
Benutzer / Benutzergruppe
Beschreibung
OS-Server ist eine domnenglobale Gruppe in der sich alle
Domnenbenutzer befinden, mit denen der Prozessbetrieb (Runtime) auf
einem OS-Server in einer Domne stattfindet
ist auf jedem OS-Server Mitglied der lokalen Gruppen:
Hauptbenutzer, SIMATIC HMI und SIMATIC HMI VIEWER
ist auf einem OS-Client oder Web Server in keiner lokalen Gruppe
Mitglied OS-Client ist eine domnenglobale Gruppe in der sich alle
Domnenbenutzer befinden,
mit denen der Prozessbetrieb (Runtime) auf einem OS-Client in
einer Domne stattfindet
ist auf jedem OS-Server Mitglied der lokalen Gruppen: SIMATIC
HMI und SIMATIC HMI VIEWER
ist auf jedem OS-Client Mitglied der lokalen Gruppen:
Hauptbenutzer und SIMATIC HMI
Web Server ist eine domnenglobale Gruppe in der sich alle
Domnenbenutzer befinden, mit denen der Prozessbetrieb (Runtime) auf
einem Web Server in einer Domne stattfindet
ist auf jedem OS-Server Mitglied der lokalen Gruppe: SIMATIC HMI
VIEWER ist auf jedem Web Server Mitglied der lokalen Gruppen:
Hauptbenutzer,
SIMATIC HMI und SIMATIC HMI VIEWER
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 4-5
Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration
in die Windows-Verwaltung
Beispielkonfiguration Lokale Benutzerverwaltung eines
OS-Servers
Bild 4-1 Lokale Benutzerverwaltung OS-Server
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 4-6
A5E00477558-01
Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration
in die Windows-Verwaltung
Beispielkonfiguration Lokale Benutzerverwaltung OS-Client
Bild 4-2 Lokale Benutzerverwaltung OS-Client
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 4-7
Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration
in die Windows-Verwaltung
Beispielkonfiguration Lokale Benutzerverwaltung
Webnavigator-Server
Bild 4-3 Lokale Benutzerverwaltung Webnavigator-Server
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 4-8
A5E00477558-01
Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration
in die Windows-Verwaltung
4.2 Benutzerverwaltung in PCS 7
User Administrator Die eigentliche Benutzerverwaltung zur
Bedienung der Anlagen geschieht im UserAdministrator. Zur Vergabe
der Berechtigungen und deren Verwaltung ist der UserAdministrator
in zwei Komponenten aufgeteilt:
Im UserAdministrator Konfigurationssystem erfolgt die Verwaltung
der Benutzer und Berechtigungen. Hier werden neue Benutzer
eingetragen, Passwrter vergeben, die Berechtigungen in einer
Tabelle verwaltet und die Anbindung an SIMATIC Logon
durchgefhrt.
Hauptaufgabe des "UserAdministrator Runtime Systems" ist die
berwachung der Systemanmeldungen und Zugriffsrechte.
SIMATIC Logon Service Wenn zur Untersttzung der Rechteverwaltung
der SIMATIC Logon Service eingesetzt werden soll, erfolgt die
Ablage der Benutzer und deren Gruppenzugehrigkeiten in der
Windows-Benutzerverwaltung (lokal, Anmeldeserver fr SIMATIC Logon
oder Domne).
Hinweis
Wichtig ist hierbei, dass diese Benutzer keinerlei Rechte in der
Windows-Umgebung erhalten, d.h. sie sind in keiner Windowsgruppe
Mitglied. Ihre Berechtigungen werden im UserAdministrator ber die
Rechtevergabe der dortigen Gruppen eingerichtet.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 4-9
Benutzer- und Zugriffsrechteverwaltung in PCS 7 und Integration
in die Windows-Verwaltung
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 4-10
A5E00477558-01
5 Planung der Uhrzeitsynchronisation
Prinzip: Genaue Zeit Unabhngig davon, welche Quelle fr die
Uhrzeitsynchronisation einer Anlage gewhlt wird, lassen sich
Zeitfehler nur minimieren, indem immer alle Teilnehmer letztendlich
die gleiche Quelle verwenden.
Uhrzeitsynchronisationsquellen Die Uhrzeitsynchronisation
innerhalb einer PCS 7-Anlage ist von hchster Bedeutung fr die
Synchronisation, Nachvollziehbarkeit, Dokumentation und
Archivierung aller zeitkritischen Ablufe.
Zur Uhrzeitsynchronisation werden im Wesentlichen zwei
verschiedene Techniken verwendet, entweder ein eigenstndiger
Uhrzeitserver ((S)NTP-Server) mit angeschlossenem Uhr- und
Zeitsignalempfangsmodul oder ein solches Uhr- und
Zeitsignalempfangsmodul wird direkt an der zu synchronisierenden
Stelle (OS-Server/Domnencontroller) integriert oder eine
Kombination von beiden.
Fr PCS 7 Anlagen wird eine Anlagen-Zentraluhr empfohlen, da sich
damit beide Techniken realisieren lassen.
SICLOCK TM GPS-Paket 24V mit Bestellnummer 2XV9450-1AR24
oder
SICLOCK TM GPS-Paket 230V mit Bestellnummer 2XV9450-1AR25
Beide Pakete beinhalten die Anlagen-Zentraluhr SICLOCK TM sowie
die Funkuhr SICLOCK GPSDEC. Es knnen, je nach Einsatzzweck auch
andere Zeitsynchronisationsprodukte verwendet werden.
Weitere Informationen:
Zeitsynchronisations-Konzept fr Industrieanlagen im Internet
unter:
deutsch:
http://www.industry.siemens.de/itps/siclock/deutsch/index.htm
english:
http://www.industry.siemens.de/itps/siclock/englisch/index.htm
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 5-1
http://www.industry.siemens.de/itps/siclock/deutsch/index.htmhttp://www.industry.siemens.de/itps/siclock/englisch/index.htm
Planung der Uhrzeitsynchronisation
Kriterien fr die Planung der Uhrzeitsynchronisation Der Aufbau
einer Uhrzeitsynchronisation bedarf einer sehr sorgfltigen Planung.
Fehler sind schwer zu analysieren und knnen gefhrliche Effekte
hervorrufen.
Der Aufbau wird bestimmt durch folgende Faktoren:
Uhrzeitmasterarten z.B. Siemens Anlagen-Zentraluhr SICLOCK TM/TS
am Anlagenbus, Server mit direkt verbundenen Empfangsmodul,
Internetzeitserver oder Firmenzeitserver
Synchronisationsverfahren z.B. SICLOCK mit Broadcast-Zeitsignal
ber Protokoll "Schicht 2 GMT" (SIMATIC Verfahren), SICLOCK mit
serieller Verbindung zu einem Server (DCF 77 Emulation),
WinCC-Uhrzeitsynchroni-sation mit Windows-Direktzugriff, Windows
Zeitdienst mit SNTP- und NTP-Protokoll, DCF77 Empfangsdienst mit
DCF 77 Signalverarbeitung
Physikalische Netzwerkkonfiguration z.B. nicht alle Medien
untersttzen alle Synchronisationsverfahren
Logische Netzwerkkonfiguration z.B. Broadcasttelegramme knnen
nicht ber Subnetzgrenzen hinaus weitergeleitet werden
Windows Active Directory
Empfohlene Konfigurationen Im Wesentlichen werden deshalb 4
verschiedene Konfigurationen empfohlen:
Windows Arbeitsgruppe ohne Anlagen-Zentraluhr
Windows Arbeitsgruppe mit Anlagen-Zentraluhr
Windows ActiveDirectory ohne Anlagen-Zentraluhr (mit
NTP-Zeitserver)
Windows ActiveDirectory mit Anlagen-Zentraluhr
Der Betrieb in einer Windows Arbeitsgruppe ist fr kleinere
Anlagen vorgesehen, die nicht mit dem Unternehmensnetzwerk oder
anderen Netzwerken synchronisiert betrieben werden mssen.
Wird eine Anlage jedoch in einer Windows Domne betrieben
(Windows Active Directory), drfen keine konkurrierenden
Uhrzeitsynchronisationsmechanismen auf einen Anlagen-PC einwirken.
Whrend bei den meisten Anwendungen eine falsche Uhrzeit nur
Probleme in der Interpretation kausaler Zusammenhnge bereitet, kann
eine ungenaue Uhrzeit hier bis zur Abweisung der Anmeldung von
Domnenclients an ihrem Domnencontroller fhren. Grund dafr ist ein
Sicherheitsfeature der Domnencontroller seit Windows 2000, das die
feindliche bernahme einer aufgebauten Sitzung verhindern soll. Das
Standardauthentifizierungsprotokoll Kerberos V5 verwendet die
Uhrzeit einer Arbeitsstation als Teil des Erstellungsvorgangs von
Authentifizierungstickets.
Wird die eingestellte Zeittoleranz (default 5min) zwischen
Client und Server berschritten, wird davon ausgegangen, dass ein
Angreifer die Anmeldung entschlsselt hat und die Sitzung bernehmen
wird. Das wird verhindert, indem die Sitzung ungltig wird und die
Anmeldung dieses Clients an seiner Domne verweigert wird.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 5-2
A5E00477558-01
Planung der Uhrzeitsynchronisation
5.1 Uhrzeitsynchronisation in einer Windows-Arbeitsgruppe ohne
Anlagen-Zentraluhr
Beispielkonfiguration Windows Arbeitsgruppe ohne
Anlagen-Zentraluhr
Bild 5-1 Windows Arbeitsgruppe ohne Anlagen-Zentraluhr
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 5-3
Planung der Uhrzeitsynchronisation
Uhrzeitsynchronisation des Anlagenbusses einstellen Ein AS z.B.
SIMATIC S7-400 wird als Masteruhr am Anlagenbus definiert und
synchronisiert den Anlagenbus zyklisch per
Broadcast-Zeitsignal.
Alle anderen AS werden als Uhrzeit-Slave parametriert.
Die Kopplungsbaugruppen der OS-Server, z.B. CP, werden, wie in
der nchsten Abbildung dargestellt, so parametriert, dass sie diese
Uhrzeittelegramme senden und empfangen knnen.
Die Einstellung der Kopplungsbaugruppen fr den Anlagenbus
erfolgt ber den Menbefehl Start > SIMATIC > SIMATIC NET >
PC-Station einstellen.
Bild 5-2 Einschalten der Uhrzeitnachfhrung des CP 1613
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 5-4
A5E00477558-01
Planung der Uhrzeitsynchronisation
Sollte der obige Dialog im Bild "Einschalten der
Uhrzeitnachfhrung des CP 1613" gegraut und die "Uhrzeitnachfhrung"
ausgeschaltet sein, muss der CP 1613 erst in den "PG Betrieb"
genommen werden.
Bild 5-3 nderung der Betriebsart des CP 1613 zu PG-Betrieb
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 5-5
Planung der Uhrzeitsynchronisation
Anschlieend kann die "Uhrzeitnachfhrung" eingeschaltet werden.
Danach muss jedoch die Betriebsart "Projektierter Betrieb" erneut
angewhlt werden.
Bild 5-4 nderung der Betriebsart des CP 1613 zu Projektierter
Betrieb
Die OS-Server fungieren als sogenannte kooperative Master, d.h.
nur wenn ein CP 1613 am Anlagenbus kein Broadcast-Zeitsignal (des
AS als Masteruhr) empfngt, schaltet sich die
WinCC-Uhrzeitsynchronisation in den Uhrzeit-"Master-Betrieb" und
sendet nun selbst Broadcast-Zeitsignale auf den Anlagenbus, als
Ersatz fr die wahrscheinlich ausgefallene Masteruhr. Dies wird im
folgenden Abschnitt genauer erlutert.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 5-6
A5E00477558-01
Planung der Uhrzeitsynchronisation
Uhrzeitsynchronisation des Terminalbusses einstellen Die
WinCC-Uhrzeitsynchronisation "Time Synchronization" bernimmt zur
Laufzeit eines PCS 7 Projektes das vom CP 1613 ber den Anlagenbus
empfangene Broadcast-Zeitsignal und stellt damit die
Windows-Systemzeit der OS-Server OSServer01 und OSServer02.
Die OS-Server werden dazu zwar im folgenden Dialog als
Uhrzeit-"Master" parametriert, fungieren aber als sogenannter
"kooperative Master", d.h. nur wenn ein CP 1613 am Anlagenbus kein
Broadcast-Zeitsignal (des AS als Masteruhr) empfngt, schaltet sich
die WinCC-Uhrzeitsynchronisation in den Uhrzeit-"Master"-Betrieb
und sendet nun selbst Broadcast-Zeitsignale auf den Anlagenbus, als
Ersatz fr die wahrscheinlich ausgefallene Masteruhr.
Sobald der CP 1613 jedoch ein Broadcast-Zeitsignal auf dem
Anlagenbus empfngt, wird automatisch der eigene
Uhrzeit-"Master"-Betrieb zum Uhrzeit-"Slave"-Betrieb
umgeschaltet.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 5-7
Planung der Uhrzeitsynchronisation
Die Einstellung der Uhrzeitsynchronisation erfolgt ber "Time
Synchronization" im WinCC Explorer.
Bild 5-5 WinCC-Uhrzeitsynchronisation im Serverprojekt
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 5-8
A5E00477558-01
Planung der Uhrzeitsynchronisation
Die OS-Clients OSClient01 und OSClient02 werden ber die
WinCC-Uhrzeitsynchronisation ihrer eigenen Projekte als
Uhrzeit-"Slave" am angebundenen OS-Server konfiguriert und zur
Laufzeit ihrer Projekte mit der Uhrzeit der jeweiligen OS-Server
ber den "Terminalbus" synchronisiert.
Bild 5-6 WinCC-Uhrzeitsynchronisation im Clientprojekt
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 5-9
Planung der Uhrzeitsynchronisation
5.2 Uhrzeitsynchronisation in einer Windows-Arbeitsgruppe mit
Anlagen-Zentraluhr
Beispielkonfiguration - Windows-Arbeitsgruppe mit
Anlagen-Zentraluhr
Bild 5-7 Windows-Arbeitsgruppe mit Anlagen-Zentraluhr
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 5-10
A5E00477558-01
Planung der Uhrzeitsynchronisation
Uhrzeitsynchronisation des Anlagenbusses einstellen Die als
Anlagen-Zentraluhr an den Anlagenbus angeschlossene SICLOCK TM/TS
sendet ein hochgenaues Broadcast-Zeitsignal auf den Anlagenbus.
Ihre eigene Uhrzeit synchronisiert sie ber ein angeschlossenes
DCF77-Funk- oder GPS-Empfngermodul. Alle AS werden als
Uhrzeit-Slave parametriert. Die Kopplungsbaugruppen der OS-Server,
z.B. CP 1613, werden, wie in der nchsten Abbildung dargestellt, so
parametriert, dass sie diese Uhrzeittelegramme senden und empfangen
knnen.
Bild 5-8 Einschalten der Uhrzeitnachfhrung des CP 1613
Sollte der obige Dialog im Bild "Einschalten der
Uhrzeitnachfhrung des CP 1613" gegraut und die "Uhrzeitnachfhrung"
ausgeschaltet sein, muss der CP 1613 erst in den "PG-Betrieb"
genommen werden.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 5-11
Planung der Uhrzeitsynchronisation
Die Einstellung der Kopplungsbaugruppen fr den Anlagenbus
erfolgt ber den Menbefehl Start > SIMATIC > SIMATIC NET >
PC-Station einstellen.
Bild 5-9 nderung der Betriebsart des CP 1613 zu PG-Betrieb
Anschlieend kann die "Uhrzeitnachfhrung" eingeschaltet werden.
Danach muss jedoch die Betriebsart "Projektierter Betrieb" erneut
angewhlt werden.
Bild 5-10 nderung der Betriebsart des CP 1613 zu Projektierter
Betrieb
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 5-12
A5E00477558-01
Planung der Uhrzeitsynchronisation
Die OS-Server fungieren als sogenannte kooperative Master, d.h.
nur wenn ein CP 1613 am Anlagenbus kein Broadcast-Zeitsignal (der
Anlagen-Zentraluhr) empfngt, schaltet sich die
WinCC-Uhrzeitsynchronisation in den Uhrzeit-"Master"-Betrieb und
sendet nun selbst Broadcast-Zeitsignale auf den Anlagenbus, als
Ersatz fr die wahrscheinlich ausgefallene Anlagen-Zentraluhr. Dies
wird im folgenden Abschnitt genauer erlutert.
Uhrzeitsynchronisation des Terminalbusses einstellen Die
WinCC-Uhrzeitsynchronisation "Time Synchronization" bernimmt zur
Laufzeit eines PCS 7 Projektes das vom CP 1613 ber den Anlagenbus
empfangene Broadcast-Zeitsignal und stellt damit die
Windows-Systemzeit der OS-Server OSServer01 und OSServer02. Die
OS-Server werden dazu zwar im folgenden Dialog als Uhrzeit-"Master"
parametriert, fungieren aber als sogenannter kooperative Master,
d.h. nur wenn ein CP 1613 am Anlagenbus kein Broadcast-Zeitsignal
(der Anlagen-Zentraluhr) empfngt, schaltet sich die
WinCC-Uhrzeitsynchronisation in den Uhrzeit-"Master"-Betrieb und
sendet nun selbst Broadcast-Zeitsignale auf den Anlagenbus, als
Ersatz fr die wahrscheinlich ausgefallene Anlagen-Zentraluhr.
Sobald der CP 1613 jedoch ein Broadcast-Zeitsignal auf dem
Anlagenbus empfngt, wird automatisch der eigene
Uhrzeit-"Master"-Betrieb zum Uhrzeit-"Slave"-Betrieb
umgeschaltet.
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 5-13
Planung der Uhrzeitsynchronisation
Die Einstellung der Uhrzeitsynchronisation erfolgt ber "Time
Synchronization" im WinCC Explorer.
Bild 5-11 WinCC-Uhrzeitsynchronisation im Serverprojekt
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 5-14
A5E00477558-01
Planung der Uhrzeitsynchronisation
Die OS-Clients OSClient01 und OSClient02 werden ber die
WinCC-Uhrzeitsynchronisation ihrer eigenen Projekte als
Uhrzeit-"Slave" am angebundenen OS-Server konfiguriert und zur
Laufzeit ihrer Projekte mit der Uhrzeit der jeweiligen OS-Server
ber den "Terminalbus" synchronisiert.
Bild 5-12 WinCC-Uhrzeitsynchronisation im Clientprojekt
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 5-15
Planung der Uhrzeitsynchronisation
5.3 Uhrzeitsynchronisation in einer Windows Active Directory
Domne ohne Anlagen-Zentraluhr (mit NTP-Zeitserver)
Beispielkonfiguration - Windows-Domne ohne Anlagen-Zentraluhr,
aber mit NTP-Zeitserver
Bild 5-13 Windows-Domne ohne Anlagen-Zentraluhr, aber mit
NTP-Zeitserver
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 5-16
A5E00477558-01
Planung der Uhrzeitsynchronisation
Uhrzeitsynchronisation des Anlagenbusses einstellen Alle AS
werden als Uhrzeit-Slave parametriert. Die Kopplungsbaugruppen der
OS-Server, z.B. CP 1613, werden, wie in der nchsten Abbildung
dargestellt, so parametriert, dass sie Uhrzeittelegramme senden und
empfangen knnen. Die Einstellung der Kopplungsbaugruppen fr den
Anlagenbus erfolgt ber den Menbefehl Start > SIMATIC >
SIMATIC NET > PC-Station einstellen.
Bild 5-14 Einschalten der Uhrzeitnachfhrung des CP 1613
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise
A5E00477558-01 5-17
Planung der Uhrzeitsynchronisation
Sollte der obige Dialog "Einschalten der Uhrzeitnachfhrung des
CP 1613" gegraut und die "Uhrzeitnachfhrung" ausgeschaltet sein,
muss der CP 1613 erst in den "PG-Betrieb" genommen werden.
Bild 5-15 nderung der Betriebsart des CP 1613 zu PG-Betrieb
Anschlieend kann die "Uhrzeitnachfhrung" eingeschaltet werden.
Danach muss jedoch die Betriebsart "Projektierter Betrieb" erneut
angewhlt werden.
Bild 5-16 nderung der Betriebsart des CP 1613 zu Projektierter
Betrieb
Sicherheitskonzept PCS 7 - Empfehlungen und Hinweise 5-18
A5E00477558-01
Planung der Uhrzeitsynchronisation
Die OS-Server fungieren als sogenannte kooperative Master, d.h.
der erste, am Anlagenbus aktivierte OS-Server (der kein
Broadcast-Zeitsignal empfngt!) schaltet sich automatisch in den
Uhrzeit-"Master"-Betrieb.
Alle weiterhin aktivierten OS-Server erkennen nun am Anlagenbus
ein vorhandenes Broadcast-Zeitsignal und schalten automatisch in
den Uhrzeit-"Slave"-Betrieb. Dies wird im folgenden Abschnitt
genauer erlutert.
Hinweis
Zu beachten ist, eine Uhrzeitsynchronisation der AS wird nur
durchgefhrt, wenn mindestens ein OS-Server aktiviert ist.
Uhrzeitsynchronisation des Terminalbusses einstellen Der
NTP-Zeitserver "TimeServer", mit einem DCF77 Funk- oder
GPS-Empfangsmodul stellt eine uerst verlssliche Uhrzeitquelle
dar.
Der Domnencontroller, der als Gesamtstrukturmaster parametriert
wurde, und/oder der PDC-Emulator (PrimaryDomainControler-Emulator,
meist der als erstes installierte Domnencontroller) wird als
direkter Uhrzeitclient der verlsslichen Zeitquelle "TimeServer"
parametriert. Die Vorgehensweise dazu ist bei Microsoft im
Abschnitt:
Configuring the Windows Time service to use an external time
source
Konfigurieren des Windows-Zeitdienstes fr die Verwendung einer
externen Zeitquelle
unter folgendem Thema beschrieben:
How to configure an authoritative time server in Windows Server
2003: http://support.microsoft.com/kb/816042/EN-US/
Konfigurieren eines autorisierenden Zeitservers in Windows
Server 2003: http://s