Gesamtübersicht ISONA Energie- und Fernwirkportal in Verbindung mit dem Secure Automation System ISONA bietet seinen Kunden mit dem Energie- und Fernwirkportal in Verbindung mit dem innovativen Secure Automation System ein einmaliges System, das es in dieser Form auf dem Markt bisher nicht gibt. Die hohen Sicherheitsstandards und die vielfältigen Einsatzszenarien lassen keine Wünsche offen. Es adressiert sowohl MSR-Firmen, Energiecontracting-Unternehmen als auch Hersteller von Steuerungen, Maschinen und GLT-Anlagen und lässt sich durch sein flexibles Konzept an nahezu alle Anforderungen kundenspezifisch anpassen. Die folgende Grafik veranschaulicht das Zusammenspiel des Energie- und Fernwirkportals mit dem Secure Automation System: Abb. 1: Übersicht - Energie- und Fernwirkportal in Verbindung mit dem Secure Automation System Das ISONA Energie- und Fernwirkportal bietet folgende Features: Standortübergreifende Erfassung von Zählerständen und Messwerten in einer zentralen Datenbank (SQL) Schnittstellen zu übergeordneten Energieabrechnungs- und Energiemanagementsystemen (EMS) Alarmfunktion, wenn in der Anlage eine Störung ansteht (via Mail, SMS, Fax) Grenzwertüberwachung und Trendlogs von Zähler- und Messwerten Benutzerverwaltung mit granular einstellbaren Zugriffsrechten auf das Webportal Inventarsystem, in dem alle Informationen über Geräte und Anlagen in den Standorten erfasst sind Adressverwaltung mit den Kontaktdaten von Herstellern, MSR-Firmen, Kunden, Projektpartnern usw. Monitoring, ob die Firewalls und Steuerungen in den einzelnen Lokationen online/erreichbar sind Download von Konfigurationsdateien für die autom. Einrichtung von VPN-Firewallrouter diverser Hersteller Einfache VPN-Konfiguration von Tablets durch den Endbenutzer über das Webportal (für Tabletbundle) Diagnose-Tools für eine schnelle Fehlersuche in der Inbetriebnahmephase www.isona-services.de Gesamtübersicht Das ISONA Secure Automation System stellt eine ideale Ergänzung zum ISONA Energie- und Fernwirkportal dar. Nachfolgend werden kurz die einzelnen Komponenten des Secure Automation Systems beschrieben (siehe hierzu auch Abb. 1): Komponente 1: Secure Automation Gateway (SAG) Das Secure Automation Gateway (SAG) stellt die zentrale Komponente des Secure Automation Systems dar. Es dient als VPN-Gateway, Fernwartungsserver, Authentisierungsserver, Berechtigungssystem, Routingserver sowie als zentraler Managementserver für alle Komponenten des Secure Automation ® ® Systems. Das Secure Automation Gateway ist als virtuelle Appliance (lauffähig auf VMware , Hyper-V , ® ® XenServer , Oracle VirtualBox ) oder als Hardware-Appliance im 1HE Rack-Gehäuse erhältlich. Die virtuelle Appliance wird entweder beim Kunden oder in unserem Rechenzentrum gehostet, je nach Anforderung. Über einen ständigen VPN-Tunnel zwischen dem Secure Automation Gateway und einem Firmennetzwerk lässt sich ein sicheres und herstellerunabhängiges Fernwartungssystem realisieren. Das Secure Automation Gateway unterstützt als VPN-Protokoll OpenVPN und IPsec (weitere sind auf Anfrage möglich). Komponente 2: Secure Automation Stick (SAS) Der Secure Automation Stick (SAS) erlaubt es, von extern sicher auf beliebige Anlagenvisualisierungen oder Steuerungen zuzugreifen. Dieser spezielle USB-Stick benötigt keinerlei Installation oder Adminrechte und ®hinterlässt auf dem Windows Gastsystem keine Spuren, da er in einer separaten Sandbox läuft. Sämtliche Software, die der Anwender benötigt um eine sichere VPN-Verbindung aufzubauen und auf die vorhandene Automationsinfrastruktur zuzugreifen, ist bereits auf dem Stick integriert. Dieser ermöglicht zusammen mit dem Passwort eine hochsichere 2-Faktor-Authentisierung des Benutzers und ist somit immun gegenüber Angriffen mit Keyloggern oder Viren, die bei den üblicherweise verwendeten VPN-Clients die Passwörter abfangen könnten um damit unbefugten Zugriff auf Automationsanlagen zu erlangen. Der Stick kann auch zur Fernwartung für mobile Servicetechniker genutzt werden, da er die Möglichkeit bietet einen transparenten VPN-Tunnel aufzubauen. Hierzu muss, im Gegensatz zu konventionellen VPNClients, keine komplette Client-Software auf dem PC installiert werden. Lediglich ein OpenVPN-Dienst wird vorgehalten, den der Endbenutzer ohne Hilfe des IT-Supports sehr einfach installieren kann. Die Konfiguration des Secure Automation Sticks erfolgt zentral über das Secure Automation Gateway (SAG), dies erhöht die Sicherheit da keine sensiblen Daten auf dem Gastrechner gespeichert werden. Komponente 3: Secure Automation Webclient (SAW) Der Secure Automation Webclient (SAW) ist die USB-sticklose Variante des Secure Automation Sticks ® (SAS) mit identischen Features. Dadurch wird auch ein Zugang von Windows -PCs aus ermöglicht, bei denen eine Nutzung von USB-Sticks gesperrt ist. Sämtliche Software, die der Anwender benötigt um eine sichere VPN-Verbindung aufzubauen und auf die vorhandene Automationsinfrastruktur zuzugreifen, wird ad-hoc via Browser von dem Secure Automation Gateway (SAG) geladen und in einer Sandbox ausgeführt. Für die sichere 2-Faktor-Authentisierung des Benutzers wird entweder ein OTP-Token (OneTimePassword = Einmalkennwort) verwendet oder das Einmalkennwort wird via SMS versendet, je nach Anforderung. Die Verwaltung der OTP-Token oder der SMS-OTP erfolgt, wie bei allen anderen Komponenten auch, zentral im Secure Automation Gateway (SAG). Komponente 4: Secure Automation Tablet-OTP (SAT) Mit dem Secure Automation Tablet-OTP (SAT) ist ein hochsicherer Zugriff auf Automationsanlagen von ® ® einem Tablet aus möglich. Beim iPad wird dazu der in IOS integrierte VPN-Client verwendet, erweitert um eine zweistufige Authentisierung mit einem OTP-Token oder SMS-OTP. ® Bei Android -Tablets kann entweder der integrierte VPN-Client oder die OpenVPN-App verwendet werden, jeweils ergänzt um eine Zwei-Faktor-Authentisierung mit OTP-Token oder SMS-OTP. Über das ISONA Energie- und Fernwirkportal bieten wir die Möglichkeit, dass der Tablet-Benutzer die VPN® ® Konfiguration seines Tablets (für iPad und Android verfügbar) sehr einfach und sicher über einen 1-ClickLink selbst durchführen kann, ohne Unterstützung durch den IT-Administrator. Komponente 5: Secure Automation Firewalls (SAF) Die VPN-Vernetzung der Anlagenstandorte erfolgt über sog. Secure Automation Firewalls (SAF). Dafür können von uns evaluierte VPN-Router diverser Hersteller verwendet werden. Für einige VPN-Router bietet das ISONA Energie- und Fernwirkportal die Möglichkeit, die Konfigurationsdatei direkt herunterzuladen. Die Firewallrouter werden so konfiguriert, dass nach dem Einschalten ein ausgehender VPN-Tunnel zum zentralen Secure Automation Gateway (SAG) aufgebaut wird und somit ein verschlüsseltes VPN-Netzwerk (Virtual Private Network) entsteht. www.isona-services.de Gesamtübersicht Kontaktdaten Ansprechpartner: Dipl. Ing. (BA) Wolfgang Heck, [email protected] ISONA Services GmbH Tulpenstraße 5 D-55276 Dienheim b. Mainz Telefon +49 6133 / 509098-0 Telefax +49 6133 / 509098-98 Internet www.isona-services.de www.isona-services.de