CPU 保护功能的概述 简介本章描述了下列用于防止对 ET 200SP 进行未经授权的访问的功能: • 保护机密的组态数据 • 访问保护 • 专有技术保护 •防拷贝保护 CPU 的其它保护措施 下列措施可进一步防止从外部源和网络对 CPU 的功能和数据进行未经授权的访问。 • 禁用 Web服务器 • 禁用 OPC UA 服务器(有关 OPC UA 服务器的安全机制的详细信息,请参见通信 • 禁用通过 NTP服务器的时间同步 • 禁用 PUT/GET 通信 使用 Web 服务器时,可通过以下方式防止 ET 200SP 分布式 I/O系统遭到未经授权的访问: • 在用户管理中为特定用户设置受密码保护的访问权限。 • 使用默认的“仅允许通过 HTTPS访问”(Allow access via HTTPS only) 选项。 此选项仅允许使用安全超文本传输协议 HTTPS 来访问Web 服务器。保护机密的组态数据 自 STEP 7 V17 起,可通过指定一个密码保护相应 CPU的机密组态数据。包括诸如私钥等基于 证书的协议正常运行所需数据。 有关机密组态数据保护的更多信息,请参见功能手册《通信 》。 说明更换部件方案 根据部件更换方案更换其中的 CPU 会影响用于保护机密组态数据的密码。更换 CPU 时,请遵 循《通信 功能手册》中所述部件更换方案规则。
有关本地用户管理和访问控制的有用信息 自 TIAPortal V19 和 CPU 固件版本 V3.1 起,ET 200SP CPU 已改进用户、角色和 CPU 功能权限的管理方式(用户管理和访问控制,UMAC)。 自上述版本起,可在 TIA Portal的项目用户和角色编辑器中,管理所有项目用户及其对项目中 CPU 的权限(例如访问权限)。 • 例如,转到项目树中的“安全设置 >用户和角色”(Security Settings > Users and roles) 区域,以管理用户及其权限,从而控制访问权限。 TIA Portal 保存用户自定义角色中的 CPU 功能权限分配,以及每个 CPU中分配了这些角色的用 户。不存在包含预定义 CPU 功能权限的系统定义角色。 在下载组态后,用户管理功能在相应的 CPU中生效。之后,每个 CPU 都“了解”用户可以访问 的服务以及可以执行的具体功能。这种新方法在下文中也称为“本地用户管理和访问控制”。 说明 CPU 功能权限不支持全局用户 UMC(用户管理组件)还可用于在 TIAPortal 中集中管理用户。使用此组件,可管理已连接服 务器上的全局用户,例如通过连接 MS Active Directory来实现。然后使用 UMC 进行身份验 证。UMC 目前不支持对 CPU 特定功能权限进行全局用户管理。用户、角色和功能权限 -新方法的详细信息 在 TIA Portal 的先前版本中,用户和角色也在“安全设置 > 用户和角色”(Securitysettings > Users and roles) 下进行管理。除了现有的用户管理选项(例如 HMI 设备的用户管理选项)之外,自 TIA Portal V19 起还可以在此编辑器中管理所有 CPU 功能权限。 CPU功能权限在运行系统中有效,因此,这些权限位于用户和角色编辑器的“运行系统权 限”(Runtime rights)选项卡中。对于项目中的每个 CPU,都有一个专门区域用于选择所有 CPU 功能权限 - 根据 CPU 服务,例如 PG/HMI通信(工程组态访问、访问级别),Web 服务器和 OPC UA 划分为不同的部分。 除了项目的用户管理,CPU 的属性中还提供 Web服务器和 OPC UA 服务器的用户管理选项 (固件版本不超过 V3.0 的 CPU 支持静态用户管理): • OPC UA服务器的用户(身份验证) • Web 服务器的用户(身份验证和访问控制) 自 TIA Portal V19 和 CPU固件版本 V3.1 起,这些额外的用户管理选项已集成到项目树的本地 用户管理中本地用户管理和访问控制简介 对于固件版本 V3.0及以下的 CPU,用户在各个服务“Web 服务器”、“OPC UA”等的相应 CPU 属 性下进行管理。Web 服务器用户在“Web服务器”(Web server) 区域中进行管理,OPC UA 用户 在“OPC UA”区域中进行管理。 要使用访问级别限制PG/HMI 对 CPU 的访问,请为相应级别分配密码。例如,通过此方法, HMI访问可以不受限制,但写访问需要视密码的已知情况而定。各访问级别的密码在 CPU 属 性的“保护和安全”(Protection &Security) 区域进行分配。因此,访问保护始终适用于具有相应 密码的组,而不适用于个人用户。 在 TIA Portal V19版本中引入本地用户管理和访问控制后,可以使用 TIA Portal 的项目树中 的“安全设置 > 用户和角色”(Securitysettings > Users and roles) 区域管理所有用户及其角色和 CPU的功能权限。这同样适用于工程组态/HMI 访问的访问保护,自 TIA Portal 版本 V19 起,该功能不再默认通过密码保护的访问级别实现,而是通过用户管理实现。 有关新访问保护的更多信息,请访问此处 (页 192)。例如,正如引入的工程组态权限一样,使用角色分配来组合单个功能权限。在后续步骤中,可将角色分配给各个用户。在“已分配的权限”(Assigned rights) 选项卡中列出了通过角色分配给用户的所有功能权限,以及该用户可对相应 CPU 执行的功能权限。 CPU 的可用和激活功能权限示例如下图所示。必须至少有一个用户对CPU 具有完全访问权。 否则,将无法编译组态。为此,必须创建对 CPU 具有完全访问权限的角色。要求 CPU参数分配:要使用用户、角色和 CPU 功能权限,必须在“保护和安全 > 访问控 制”(Protection & Security> Access control) 区域中选择“启用访问控制”(Enable access control) 选项。本地用户管理不需要项目保护。 默认特性 默认为访问控制选择“启用访问控制”(Enable access control)选项。可以使用分配的密码以及角 色和功能权限对用户进行组态。 下载到设备 可在 CPU 处于 STOP 和 RUN模式时下载对本地用户管理和访问控制组态的更改。 运行系统超时 可在“安全设置 > 用户和角色”(SecuritySettings > Users and Roles) 中设置角色和用户的运行系 统超时属性。 对于 ET 200SPCPU,多种服务可采用这些设置,如下所示: • 通过 Web API,可创建采用运行系统超时设置的 Web 页面或应用。标准 Web页面不采用 运行系统超时设置,并使用默认值。 • 其它服务(PG/HMI 通信和 OPC UA服务器)不使用运行系统超时;已登录用户在设定时间 后并不会退出。
本地用户管理和访问控制的优势
下文将介绍新的 CPU 本地用户管理的优势以及与之相关的更改。
快速激活/禁用本地用户管理
用户管理选项位于“保护和安全 > 访问控制”(Protection & Security > Accesscontrol) 区域中:
• 访问控制禁用:除了用于在线传送证书的 GDS 推送功能外,每个用户都可以完全访问所有
功能。
危险
禁用访问控制功能可能会发生未经授权的访问,从而造成人身伤害和财产损失。
例如,在调试期间,仅在受保护的环境中使用此设置。
• 访问控制启用:已组态的用户及其分配的角色和相关功能在下载组态后生效。
PG/HMI 访问的访问保护,现在采用用户身份验证
对于固件版本 <V3.1 的 CPU,可分配访问级别的密码,而对于Zui新版本的 CPU,可为用户组
态相应的功能权限。这意味着可以采用与 OPC UA 和 Web 服务器访问相同的方式对 PG/HMI 访
问进行身份验证集中管理一切 无论在 CPU 中组态用户、角色和权限时使用何种服务:在同一个位置管理数据。无论是管理项目的工程组态权限还是项目中各个 CPU 的本地运行系统权限,所有用户均可在 用户和角色编辑器的项目树中找到。强大的密码功能 • 创建密码时对复杂性规则的遵守情况: 在创建密码阶段,就已可以在 TIA Portal中检查复杂性规则的遵守情况,例如有关密码长 度、大写/小写字母的规则(项目树的“安全设置 > 设置”(Securitysettings > Settings) 区 域)。 在下载用户管理时,复杂性规则也保存在 CPU 中。在线修改密码时,由CPU 识别并应用这 些规则。这可防止用户覆盖组态工程师设置的复杂性规则并分配不安全的密码。 • 可以设置密码的有效期:为了防止用户继续长期使用已泄露的密码访问 CPU,可分配密码的有效期。然后在登录时提示有效期到期之前剩余的有效时间,以便用户可以及时更改密码。 运行期间加载用户管理 自固件版本 V3.1 起,可在处于 STOP 和RUN 系统状态时下载某些与安全相关的组态数据。这 意味着下载硬件配置并不一定会导致 CPU 进入 STOP 状态。 可在处于STOP 和 RUN 系统状态时下载以下更改(下载到设备 > 硬件配置): • 扩展/更改本地用户管理 • 添加/修改 TIAPortal 组态的证书 • 更改 Syslog 组态 如果对硬件配置进行其它更改(例如,添加模块、重新分配参数等),则 CPU将在下载组态 之前自动提示用户,CPU 将进入 STOP 状态。因此,如果只是将修改过角色/功能权限的用户下载到 CPU,并不会导致CPU 进入 STOP 状 态。 下载预览对话框包含一个安全区域,可以在其中定义 CPU 如何处理自上次下载操作以来(而不是首次下载时)更改的用户数据。允许保留对用户数据的更改(例如,运行期间的密码更 改)。 将设备作为新站下载 - 包含用户数据如果将先前组态的 CPU 下载到新项目中,由于没有原始项目,用户数据也将下载到此新项目 中,并可用于进一步编辑 CPU设置。在操作期间更改密码 通过 Web 服务器 API 编写的应用程序,所有用户均可在运行系统中更改密码,前提条件是正确输入了原始密码,并且新密码符合组态的密码策略。 要求:已启用 CPU 访问控制。用户可随时修改密码,不受密码已过期的影响。如果密码已过期,用户必须更改密码。密码过 期后无法登录。 使用的 API 方法: •Api.ChangePassword • Api.GetPasswordPolicy 有关 API方法的更多信息,请参见《S7-1500 CPU 的 Web 服务器》功能手册。 说明 运行期间更改的密码优先于下载的密码如果在运行期间更改了密码并在随后下载了项目,则在运行期间分配的密码优先于项目中设置 的密码(默认设置)。如果要通过下载项目来覆盖在运行期间更改的密码,则必须选择“下载所有用户管理数据(复 位为项目数据)”(Load all useradministration data (reset to project data)) 选项。在这种情况下,运行期间更改的所有密码都将丢失。