Comment utiliser les codes de sécurité d'une centrale de mesure
par Janet Albers | Mis à jour le : 06/28/2017 | Commentaires : 4
Les codes de sécurité sont la méthode la plus ancienne pour sécuriser une centrale de mesure ou un datalogger. Ils peuvent empêcher efficacement les manipulations par maladresse et décourager les pirates informatiques - des actions qui pourraient causer des ravages sur l'intégrité de vos données. Dans cet article, je discuterai des différents codes de sécurité et de leur utilisation pour sécuriser vos données et vos paramètres.
Jusqu'à trois niveaux de sécurité d'une centrale de mesure peuvent être définis. Pour une centrale de mesure CR1000 ou plus récente, les codes de sécurité valides sont de 1 à 65535. (0 n'est pas une sécurité). Nous vous recommandons d'utiliser un code unique pour chacun des trois niveaux.
Prenons exemple d'une banque, le niveau (Level) 3 est la porte d'entrée de la banque ; si elle est verrouillée, personne ne rentre sans la clé. Le niveau 2 est la zone d'accueil où vous pouvez accéder à certaines informations, mais pas à toutes. Le niveau 1 est le coffre-fort ; avec la combinaison correcte du coffre-fort, vous avez accès à tout.
Le niveau 1 (le coffre-fort) doit être réglé avant que le niveau 2 (la zone d'accueil) puisse être réglé, et le niveau 2 doit être réglé avant que le niveau 3 (la porte d'entrée) puisse être réglé. Si un niveau est défini sur 0, n'importe quel niveau supérieur à celui-ci sera également défini sur 0. Par exemple, si le niveau 2 est égale à 0, le niveau 3 est également égale à 0.
Les niveaux de sécurité sont déverrouillés dans l'ordre inverse : niveau 3 avant le niveau 2 et avant le niveau 1. Lorsqu'un niveau est déverrouillé, n'importe quel niveau supérieur à celui-ci sera également déverrouillé. Par exemple, le niveau de déverrouillage 1 (en entrant le code de sécurité du niveau 1 ou la combinaison du coffre-fort) déverrouille également les niveaux 2 et 3, vous permettant d'accéder à tous les paramètres et fonctions de la centrale de mesure.
Pour définir les codes de sécurité pour vos centrales d'acquisition de données, nous vous recommandons d'utiliser l'utilitaire Device Configuration Utility . Les paramètres de communication, tels que l'adresse PakBus, sont accessibles via l'Éditeur de paramètres (Settings Editor). La définition d'un code de sécurité de niveau 1 empêchera les autres d'apporter des modifications aux paramètres du réseau. Définir un code de sécurité de niveau 2 signifie que seuls ceux qui ont le code de sécurité pour le niveau 2 peuvent apporter des modifications à l'horloge de la centrale de mesure. Le tableau suivant montre comment la définition des différents niveaux affecte les possibilités d'apporter des modifications ou à accéder à des informations :
| Fonction | Niveau1 configuré | Niveau 2 configuré | Niveau 3 configuré |
|
Programme CR1000 |
Impossible de modifier ou de récupérer le programme. |
Toutes les communications sont interdites |
|
|
Paramétrage de l'éditeur et table d'état |
Les variables écrites ne peuvent pas être modifiées. |
||
|
Configuration de l'horloge |
Accessible |
Impossibilité de changer ou régler l'horloge. |
|
|
Table Public |
Accessible |
Les variables écrites ne peuvent pas être modifiées. |
|
|
Collecte de données |
Accessible |
Accessible |
|
Dans cette image, les trois niveaux sont définis :
Une fois que la centrale de mesure a la sécurité activée, vous pouvez donner aux personnes de confiance différents niveaux d'accès. L'administrateur du réseau (ou la personne responsable de la mise à jour des programmes et des communications de la centrale de mesure) doit avoir le niveau d'accès le plus élevé ou le code de sécurité 1. En revanche, quelqu'un qui a seulement besoin de collecter des données peut avoir le code de sécurité 3.
Pour stocker votre code de sécurité dans votre logiciel de support pour centrale de mesure, procédez comme suit :
- Accédez à l'écran de configuration (Setup Screen).
- Dans l'assistant EZSetup, allez à Datalogger Settings et cliquez sur le bouton Next .
- Entrez votre code de sécurité et cliquez sur le bouton Finish .
Dans l'image ci-dessous, le code de sécurité pour le niveau 3 est entré; La collecte de données est accessible mais les modifications de l'horloge et d'autres paramètres sont bloqués:
Les codes de sécurité de la centrale de mesure sont une façon de garder le contrôle sur les personnes qui peuvent apporter des modifications aux paramètres importants de la centrale de mesure. C'est une bonne pratique de gestion du matériel, que de donner aux gens uniquement l'accès dont ils ont besoin, pas plus. Si vous avez des questions ou des commentaires sur la définition de vos niveaux de sécurité, postez-les ci-dessous.
A propos de l'auteur
Janet Albers est rédactrice technique senior. Elle vous fera part de ses conseils, simplifiera les concepts et vous guidera vers un projet réussi. Elle est à Campbell Scientific, Inc depuis plus longtemps que la CR1000, mais pas depuis aussi longtemps que la CR10X. Après les heures de travail, Janet aime le plein air avec ses garçons et ses chiens.
Commentaires
Rene.Astudillo | 06/14/2021 at 06:35 AM
Hello Janet,
I am looking for some guide for configuring a CR6 datalogger ussing TLS 2.1 for communicating with a DNP3 server.
In our case, the DNP3 is under a firewall and communication is on a VPN.
The CR6 has the options for working using TLS, and
specifically, the PEM file.
At this point, some question cam to my mind, for example:
In this case, the CA certificate, who generates it and who does the negotiation, the DNP3 Server?.
By the other hands, if the DNP3 Server is not in charge for negotiating the CA certificate, who is?, the VPN server ?
We try to connect whith this DNP3 server using a CR1000 and it was not possible, I think CR1000 does not support TLS on the DNP3 functions in the CRBasic.
Have you got some guide I can use?
Thanks so much for any help you can give me.
Best regards,
René
rene.astudillo@neyenmapu.cl
rene.astudillo.bgl@gmail.com
+56 9 7958 8215
Nathanael | 06/14/2021 at 12:03 PM
The CA generates and signs the certificate that the server you are communicating with uses. That certificate and its associated key(s) are attached to your server. The server (the DNP3 server) is the one that you actually make the secure connection with. The datalogger and DNP server exchange keys, run some math, and connect with each other. The CR1000 is too slow to calculate the math for a TLS certificate in a reasonable amount of time (before the timeout when the server stops listening) to make a TLS connection. For that reason it is only supported on newer loggers like the CR6, CR1000X, and I think also the CR300 series. Does that answer your questions?
M.Hasban | 03/20/2023 at 06:57 PM
Using advanced weather stations, I'm working on a project. Sensors and a datalogger are from Campbell Scientific.
Data Logger is fully password protected at all three levels. We only have the one password by using it we are only able to view data with PC200W and Loggernet softwares by Campbell Scientific.
My question is whether we can fetch the data using any data acquisitionsystem with the level three password and whether we can send data to a cloud platform.
Nathanael | 03/21/2023 at 05:46 PM
@M.Hasban
The security password will allow you to get into the datalogger via the pakbus protocol using Dev Config, LoggerNet, and other Campbell Scientific applications. If you wanted to pull data using other data aquisition platforms most won't support Pakbus. You can program the datalogger to send data out via FTP, HTTP, Modbus and other protocols. Maybe if we have some more information about what protocols and systems you are hoping to interface with I can answer your questions better. I see you've got an open case about this in the system with one of our Support Engineers. I'll send you an email and include him with it as well.
Please log in or register to comment.