保护等级的设置选项(FW V1到 V3) (S7-1200) 保护等级 以下内容将介绍如何使用 S7-1200 CPU V1 到 V3的各种保护等级。如果已采取相应措施保护 TIA Portal 项目和 CPU 组态防止未经授权的访问,则可以不使用密 码。有关安全保护机制说明以及机密 PLC 组态数据密码保护措施(复位、更改、备件相关信息) 的详细说明,请参见安全通信的要求。 操作步骤1. 在网络视图或设备视图中打开 CPU 属性。 2. 导航至区域“保护与安全 > 保护 PLC组态数据”(Protection & Security > Protection of the PLCconfiguration data)。 结果:启用“保护机密 PLC 组态数据”(Protect confidentialPLC configuration data) 选项, 用于输入密码的空白字段以红色突出显示。 3. 通过“设置”(Set)按钮组态密码(推荐)或禁用“保护机密 PLC 组态数据”(Protect confidential PLC configurationdata) 选项。 4. 完成组态并创建用户程序。 5. 下载 CPU。 下载硬件配置时,系统将要求用户重新输入一次密码。 背景:在TIA Portal 中使用已组态的密码来生成密钥信息,以保护机密组态数据。出于安全原因,密码和密钥信息均未保存在项目中。为了将密钥信息传送到 CPU,在下载硬件配置时会重新生成密钥信息,此时必须重新输入一次密码。 提示与规则 • 在密码管理器中管理密码。 • 使用 TIA Portal的密码策略验证设置来检查新输入的密码是否符合要求,并防止使用简单 密码,例如: – 在项目树中,导航至区域“<项目名称>> 安全设置 > 设置”(> Security settings >Settings),选择“密码策略”(Password policies) 区域。 –例如,指定密码必须包含的Zui少字符数或Zui少特殊字符数。 • 无需为系统或计算机中的每个 CPU 分配不同的密码。如果满足要求,可以为一组CPU 定 义相同的密码。在更换部件方案中,该策略也具有优势:如果将组密码分配给更换的 CPU,则可减少更换 CPU 的工作量。 •密码的定义也对更换部件方案有影响。
保护等级设置的作用 可以选择以下保护等级: •无保护:即默认设置。用户无法输入密码。总是允许进行读写访问。 • 写保护:只能进行只读访问。无法更改 CPU上的任何数据,也无法装载任何块或组态。 HMI 访问和 CPU 间的通信不能写保护。选择这个保护等级需要指定密码。 •读/写保护:对于“可访问设备”区域或项目中已切换到在线状态的设备,无法进行写访 问或读访问。只有 CPU类型和标识数据可以显示在项目树中“可访问设备”(Accessible devices) 下。可在“可访问设备”(Accessibledevices)下或在线互连设备的项目中来显示 在线信息或各个块。 HMI 访问和 CPU间的通信不能写保护。选择这个保护等级需要指定密码。 操作期间受密码保护的 CPU 的行为 CPU 保护在将设置下载到 CPU之后才生效。 在执行在线功能前检查有效性。如果有密码保护,会提示用户输入密码。示例:该模块已分配了写保护,并希望执行“修改变量”(Modify tags) 功能。这需要写访问权限;必须输入分配的密码才能执行该功能。 受密码保护的功能在任何时刻都只能由一个 PG/PC 执行。其它 PG/PC无法使用该密码登录。 保护数据的访问授权在在线连接时间内有效,或在通过“在线 > 删除访问权限”(Online >Delete access rights) 手动取消访问授权之前保持有效。在关闭项目时,访问授权也将过期。 说明用户无法限制过程控制、监视以及通信功能。 而有些功能将用作在线数据,需要进行保护。“在线工具”(Online Tools)任务卡中的 RUN/STOP 或在线与诊断视图中的“设置日时钟”(Set time of day) 为写保护。 设置保护选项(FWV4 及以上版本) (S7-1200) 保护等级 以下部分将介绍如何使用 S7-1200 CPU 固件版本 V4 到 V4.6的各种访问级别。 自固件版本 V4.7 起,可通过本地用户管理来保护 CPU。请参见“用户和角色的设置(页 1217)”。
S7-1200 CPU提供各种访问级别,以限制对特定功能的访问。 可在表中指定访问级别的参数。各个访问级别右侧列中的绿色复选标记指定在不知道此访问级别的密码的情况下,可以执行的操作。如果要使用未选中复选框的功能,那么需要输入密 码。 注意 组态访问级别不会代替专有技术保护通过限制下载权限,组态访问级别可防止对 CPU 进行未经授权的更改。但不会对存储卡上的块设置受读写保护。而使用专有技术保护则可以保护存储卡上的代码块。 默认特性 系统默认的访问等级为“无访问权限(完全保护)”。访问级别的详细信息 使用 S7-1200 CPU,可以组态以下访问级别: •完全访问权限(无保护):所有用户都可以对硬件配置和块进行读取和更改。 •读访问权:使用此访问级别,仅允许在不输入密码的情况下对硬件配置和块进行读访问 -这意味着可以将硬件配置和块下载到编程设备中。还可访问 HMI 和诊断数据。 无法在不输入密码的情况下将块或硬件配置加载到 CPU中。不输入密码将无法编 写测试功能和固件更新。 • HMI 访问:使用此访问级别,仅允许在不输入密码的情况下访问 HMI和诊断数据。 如果不输入密码,则无法将块和硬件配置加载到 CPU 中,也无法将 CPU 中的块和硬件配置加载到编程设备中。如果没有密码,也无法进行以下操作:写入测试功能、更 改操作状态 (RUN/STOP) 和固件更新。 •无访问权限(完全保护):对 CPU 进行完全保护时,无法对硬件配置和块进行读写访问。 同样无法进行 HMI 访问。PUT/GET通信的服务器功能在此访问级别下都处于禁用状态(无 法更改)。 密码授权将提供 CPU 的完全访问权限。操作期间受密码保护的模块的行为 CPU 保护在将设置下载到 CPU 之后才生效。在执行在线功能前检查有效性。如果有密码保护,会提示用户输入密码。示例:为模块组态了读访问权,并且希望执行“修改变量”功能。这需要写访问权限;必须输入分配的密码才能执行该功能。 受密码保护的功能在任何时刻都只能由一个 PG/PC 执行。其它 PG/PC 无法登陆。保护数据的访问授权在在线连接时间内有效,或在通过“在线 > 删除访问权限”(Online > Delete accessrights) 手动取消访问授权之前保持有效。 每个访问级别都允许在不输入密码的情况下对某些功能进行无限制访问,例如,使用“可访问设备”功能进行识别。 通信服务限制 (S7-1200) 简介 CPU 可以作为多种通信服务的服务器。 这也就是说,还没有为CPU 组态和编程建立连 接,其它通信参与者也可以访问 CPU 数据。 作为服务器的本地 CPU 无法控制与客户端的通信。 CPU参数的“保护”(Protection) 区域中的参数“连接机制”(Connection mechanisms) 用于指 定运行期间本地CPU 是否允许执行此类通信。 允许借助 PUT/GET 通信从远程伙伴访问 默认情况下,禁用“允许借助 PUT/GET通信从远程伙伴访问 (...) ”(Permit access with PUT/GET communication fromremote partners (...)) 选项。如果激活该选项,则只能在本地 CPU和通信伙伴间需要通过组态或编程建立的通信连接中对 CPU 数据进行读写访问。 例如, 可以通过 BSEND/BRCV 指令进行访问。本地 CPU 仅作为服务器的连接(即表示本地 CPU 上不存在使用通信伙伴进行的通信组态/编 程),无法在操作 CPU时进行。例如, • 在通过通信模块进行 PUT/GET、FETCH/WRITE 或 FTP 访问时 • 在从其它 S7 CPU 进行PUT/GET 访问时 • 在通过 PUT/GET 通信实现 HMI 访问时 如果要允许从客户端访问 CPU 数据,也就是不希望限制CPU 的通信服务,则激活“允许借助 PUT/GET 通信从远程伙伴访问”(Permit access with PUT/GETcommunication from remote partners) 选项。用户和角色的设置 (S7-1200)有关本地用户管理和访问控制的实用信息 自 TIA Portal 版本 V19 和 CPU 固件版本 V3.1 起(对于S7-1200,自 V4.7 起),S7-1500 和 S7-1200 CPU 中的用户、角色和 CPU功能权限的管理方式(用户管理和访问控制,UMAC) 已改进。自版本 V30.1 起,软件控制器也具有此功能。 自上述版本起,可在TIA Portal 的项目用户和角色编辑器中,管理所有项目用户及其对项目 中所有 CPU 的权限(例如访问权限): •例如,导航至项目导航中的“安全设置 > 用户和角色”(Security Settings > Users androles) 区域,以管理用户及其权限,从而控制访问权限。 TIA Portal 保存用户自定义角色中的 CPU功能权限分配,以及每个 CPU 中分配了这些角色的 用户。不存在包含预定义 CPU 功能权限的系统定义角色。在下载组态后,用户管理功能在相应的 CPU 中生效。下载后,每个 CPU 都“了解”用户可 以访问的服务以及可以执行的具体功能。这一新功能在下文中也称为“本地用户管理和访问控制”。 说明 CPU 功能权限不提供全局用户支持 TIA Portal中的另一种用户管理方式是集中用户管理 UMC(用户管理组件)。使用此组件, 可管理服务器上的全局用户,也可以通过连接 MSActive Directory 来实现。通过 UMC 进行身份验证。UMC 目前不支持对 CPU 特定功能权限进行全局用户管理。用户、角色和功能权限 - 新功能的详细信息 在上一个版本中,用户和角色已经在 TIA Portal 的“安全设置 >用户和角色”(Security settings > Users and roles) 下进行管理。除了现有 HMI设备的用户管理之外,自 TIA Portal V19 起还 可以通过此编辑器管理所有 CPU 功能权限。 CPU功能权限在运行期间有效。这些权限位于用户和角色编辑器的“运行系统权 限”(Runtime rights)选项卡中。对于项目中的每个 CPU,都有一个专门区域用于选择所有 CPU 功能权限 - 根据 CPU 服务,例如 PG/HMI通信(工程组态访问、访问级别),Web 服务器和 OPC UA 划分为不同的部分。