Veiligheid

Een MES systeem wat geen security heeft is geen MES systeem. Het gaat om gevoelige informatie uit het hart van de productie. MESBuilder is volledig gebaseerd op OPCUA. Gelukkig heeft OPCUA een aantal eigenschappen die zowel de data , de applicatie als de netwerkverbinding beveiligen. Wij hebben er zelf beveiliging van objecten op gebruikersniveau aan toe gevoegd.

Beveiliging van de verbinding

 

Een communicatiepartner moet authentiek zijn en geautoriseerd, data versleuteld

Een communicatiepartner moet authentiek zijn en geautoriseerd en data versleuteld


OPCUA veiligheid bestaat uit authenticatie en autorisatie, en encryptie en data-integriteit via digitale handtekeningen. Dit betekent dat communcatiepartners hun authenticiteit moeten aantonen aan elkaar, daarna toestemming moeten hebben van elkaar. Daarna wordt de data versleuteld uitgewisseld zodat niemand de data kan aftappen.

Toegang vanaf andere OPCUA clients - zoals sommige SCADA-pakketten - kan ook signed en encrypted plaatsvinden. De server moet dan altijd aan geven of een verbinding met een client kan worden vertrouwd.

Technische details

Voor Web Services wordt de WS-SecureConversation gebruikt en is daarom compatibel met .NET en andere SOAP-implementaties. Voor de binaire variant, zijn de algoritmes van WS-SecureConversation omgezet naar een binaire equivalent. Dit wordt  UA Secure Conversation genoemd.

Er is ook een gemengde uitvoering waarbij de code binair is, maar de transportlaag SOAP. Dit is een compromis tussen efficiënte binaire codering en firewall-vriendelijke transmissie. Binaire codering vereist altijd UA Secure Conversation. De authenticatie maakt uitsluitend gebruik van X.509-certificaten. De applicatie-ontwikkelaar kiest welke certificaatopslag wordt toegepast. Zo is Public Key Infrastructure (PKI) mogelijk of een Active Directory.

 


Gegevens moeten veilig zijn, bewerkingen moeten traceerbaar zijn

Gegevens moeten veilig zijn, bewerkingen moeten traceerbaar zijn

Beveiliging van objecten op gebruikersniveau

Een gebruiker van een MESBuilder client of van een andere externe OPCUA client moet in loggen. Vanaf dat moment zijn de referenties van de ingelogde gebruiker bekend op de MESBuilder servers. Ook Windows accounts kunnen worden gebruikt om in te loggen, maar dit is optioneel. MESBuilder kan meerdere gebuikersgroepen definieren. Een gebruiker kan lid worden van een of meer gebruikersgroepen. Deze wordt toegekend door de beheerder op de management console applicatie.

Aan elke gebruikersgroep kunnen één of meer specifieke privileges worden toegewezen. Dit bepaalt of een gebruiker een bepaald object mag schrijven. Ook kan aan een gebruiker één of meer functionele en /of geografische gebieden (areas) worden toegekend.
Een gebuiker kan dus privilege '1' hebben in de productie area en privilege '3' in de verpakkings area.


Elk object krijgt een privilege en een area toegekend, dit kan in realtime veranderd worden door de beheerder. Een voorbeeld is : het instellingen object van een verpakkingsmachine hebben privilege '3'. De bovengenoemde gebruiker kan dus de instellingen schrijven.

Schrijfakties kunnen gelogd worden, inclusief tijdstip en gebruiker.