n
1 项目保护概述
在工程实施中,针对某些特定的装置、回路等,项目执行方会根据经验和研究成果开发相应的功能块或者程序模板。另一方面,在项目运行过程中,ES(工程师站)上存放的项目文件也需要考虑人为的意外修改、下载等危险动作的发生。基于此,如何对PCS 7项目进行保护就显得尤为重要。
从广义上来讲,PCS 7项目保护应该包含如下几个层次:
- PCS 7 OS的访问许可
在OS中,可以通过WinCC用户管理器来设置访问保护,例如通过智能读卡器、用户权限来防止没有授权的用户非法使用OS运行系统;
为了防止系统组态画面的随意篡改,可以使用OS项目编辑器(OS Project Editor)来恢复系统/用户自定义画面。
- PCS 7 AS的访问许可
可以在硬件组态中给CPU配置访问密码,以此来达到防御对AS的非法访问。
- CFC的访问许可
在每个CFC Chart文件的属性中使能“Write-protected”来限制程序的修改。
- 项目的保护和跟踪
在SIMATIC Manager环境中,防止对项目文件的非法访问,以及项目操作过程中的日志记录。
从PCS 7 V7.0开始,可以对项目或者库配置密码保护,只有如下人员才可以打开项目进行操作:
- 项目管理员(Project Administrator)
- 项目编辑员(Project Editor)
- 任何通过密码获得授权的用户
其中,项目管理员和编辑员都是SIMATIC LOGON中的用户组。所以要对项目进行保护设置,安装SIMATIC LOGON是前提。n
2 如何配置项目保护
2.1 单项目的保护配置
按照项目执行的一般流程,在SIMATIC Manager中完成多项目框架的搭建,之后就可以按照如下流程配置项目保护:n
图1 使能项目的访问保护n
如上图所示,在多项目中选择某个单项目,在菜单项“Options->Access Protection”中选择“Enable”。n
图2 使能访问保护提醒n
由于STEP 7 V5.4之前的软件不支持项目保护,所以如果项目激活了保护之后,那么该项目在V5.4之前的软件版本中就无法打开了。点击“Yes”确定。n
图3 SIMATIC LOGON登录n
之后,在如上图所示的窗口中使用计算机中的用户帐号登录SIMATIC LOGON,关于SIMATIC Logon的更多信息可以参考下载中心文档“SIMATIC Logon使用入门”:n
/cs/document/73044014?caller=view&lc=zh-CN
图4 设置项目保护密码n
在弹出的对话框中设置项目保护密码。点击“OK”确认。需要注意的是,必须要妥善保存该密码!n
图5 加密的单项目n
完成加密配置之后的单项目图标上多了一个深红色的钥匙,同时其多项目图标中也多了一把钥匙。至此,针对该单项目的访问保护配置完成。n
2.2 打开受保护的项目n
图6 已保护的项目n
在上图中,配置了加密的单项目显示为“Project access protected”,其中的内容不可访问。而同时,多项目中其他组件,例如单项目或者主数据库等均可以正常访问和操作。n
要打开受保护的项目,可以参考如下步骤:
1、 在SIMATIC Manager中关闭所有项目,在Options菜单中选择“SIMATIC Logon Service…”,如下图所示:n
图7 打开Logon Servicen
2、 在弹出的对话框中输入用户名和密码登陆:n
图8 用户登录n
在SIMATIC Logon的用户登录窗口中输入“项目管理员”或者“项目编辑员”组中的成员名和相应的密码。点击“OK”按钮完成登录。如果登录成功,SIMATIC Manager窗口的状态栏上会显示当前登录的用户名:n
图9 当前登录用户n
3、 完成用户登录之后,按照正常方式打开PCS 7多项目,即可浏览到项目中的所有内容。n
如果在未安装SIMATIC LOGON的环境中打开受保护的项目,软件会提示输入密码。此时,键入图4中设置的密码即可。n
2.3 多项目的保护设置
在SIMATIC Manager中,无法直接对一个多项目进行保护设置,需要先对其中一个单项目完成保护设置之后,在如下所示的菜单中进行多项目的保护配置。n
图10 多项目配置保护n
选择以配置保护的单项目,然后在如上图所示的路径中点击“Adjust in Multiproject”:n
图11 受保护的多项目n
可以看到,多项目的图标变成了红色的钥匙。这说明多项目下的所有单项目和主数据库都处于被保护状态。反之,如果多项目中只有部分处于保护,则多项目图标上的钥匙是白色的。
注意:该选项的作用是将当前单项目的当前项目保护相关的参数同时应用到其他多项目组件中!
和受保护单项目的打开方式相同,先用户登录,之后再打开多项目即可。n
2.4 访问保护的用户设置
在上述的操作流程中,只有图3中登录的用户才可以使用该项目,如果要配置更多,可以参照如下路径选择菜单:n
图12 管理项目访问保护n
点击“Manage…”之后,SIMATIC Logon的角色管理窗口打开:n
图13 角色管理n
在角色管理窗口中存在两个用户组“Project administrator”和“Project editor”,这两个组的区别在于:“Project editor”可以对项目进行编辑,但不可以对访问保护配置做修改,也不可以进入上图所示的角色管理窗口。n
图14 添加用户/用户组n
在这两个角色组中插入计算机的用户或者用户组,这些用户或者用户组中的成员即可对项目进行编辑。n
2.5 项目保护的取消
在如图12所示的菜单项中,有两个和项目保护取消相关:“Disable”和“Remove Access Protection and Change Log”。只有“Project Administrator”用户组的成员登录之后,这两个操作才可以使能。
“Disable”指的是在保留当前保护设置的情况下取消对项目的保护。通过“Disable”取消保护的项目在未安装SIMATIC LOGON的环境中,可以不需要保护密码就正常打开。但是,通过这种方式取消保护的项目不可以在PCS 7 V7.0之前的环境中打开!
由于“Disable”只是关闭的项目保护功能,但参数尚在,所以,只要再一次“Enable”项目保护,项目会恢复到之前的保护状态,而且之前配置的用户组等信息继续起作用。
“Disable”项目之后的项目图标是一个白色的小钥匙:n
图15 “Disable”保护的项目n
“Remove Access Protection and Change Log”和“Disable”一样,只能对处于保护状态的单项目进行操作。但不同的是,这种模式下,项目的保护功能会被关闭,而且所有的保护相关的参数都会被清除,后续会提到的修改日志也会被删除。项目恢复到原始状态:n
图16 “Remove Access Protection and Change Log”后的项目n
通过该方法取消保护的项目可以在PCS 7 V7.0之前的版本中打开。n
3 如何使用操作日志
上述介绍的项目保护是防止非授权用户对项目内容进行非法纂改,但同时,即使是授权用户登录之后,也需要对其操作过程进行跟踪。为此,SIMATIC Manager中提供了“Change Log”的功能。n
图17 使能Change Logn
在“Options”菜单中选择“Change Log”,在其中点击“Enable”使能“Change Log”功能。
使能操作日志之后,对项目离线内容进行操作,例如增加删除/功能块,修改程序等,都和未使能时一样。
但在下载硬件组态和程序到AS时,软件会弹出如下窗口:n
图18 下载注释输入窗口n
在这个窗口中,显示了当前登录用户的名称和要执行的动作,并且需要用户输入“Reason”作为注释才可以继续。
之后,任何和AS在线内容相关的操作都会提示这个注释输入窗口,例如CFC测试模式开启、功能块管脚数值修改等:n
图19 CFC测试模式开启n
在如图17所示的菜单项中选择“Display…”即可查看相关的操作日志:n
图20 操作日志n
上图中以表格的形式列出了所有用户登录、项目操作(在线AS相关)的信息,方便查询。同时,也可以将操作日志导出为XML、CSV或者PDF文档,方便归档和分析。n
4 总结
项目保护是基于安全和知识产权的角度来实施的技术层面的措施。如下图所示的AS层面的保护框架:n
图21 AS层面保护框架n
其中:
- CPU通过设置访问密码来保护;
- ES到CPU的下载、修改等通过本文所描述的Change Log来记录;
- 多项目、主数据库和单项目通过本文描述的“Access Protection”来保护;
- 项目修改的比较可以通过Version Cross Manager实现,具体功能可以参考如下应用文档:n
http://support.automation.siemens.com/CN/view/zh/78454135
- 对于“Blocks”中的FB、FC也可以进行加锁保护,在PCS 7 V8版本之后,提供Block Privacy功能,安全性得到了提高:
/cs/document/73044014?caller=view&lc=zh-CN
不同层次的保护构成全方位的保护体系,可以最大限度地保护项目。
关键词
项目保护,访问控制,SIMATIC Logon,PCS 7
原创文章,作者:ximenziask,如若转载,请注明出处:https://www.zhaoplc.com/plc328943.html