模块更换时的密码传输 (S7-1500) 如果指定的保护等级需要输入密码,则 CPU将通过一个特定算法对输入进行转换。即,为 该密码保存一个特殊的校验和。 STEP 7 自己从不保存密码,也不会对密码进行重构并保存在CPU 中。如果密码丢失,则需 加载新的 CPU 组态。具体信息,参见下文。根据密码生成或加密校验和的算法与时俱进,时刻提供Zui强有力的安全保护,防范未经授权的访问。而这对组态过程(模块更换除外)并无影响。由于更换 CPU 后不能使用当前的密 码组态,需根据受影响 CPU的固件版本(待更换 CPU 和更换的 CPU),将原算法升级 为Zui新算法,或根据提示指定一个新的密码。 如果待更换的 CPU 与更换CPU 使用的算法相同,则无需执行任何操作:直接传送密码组态 和其它参数设置。 这一规则同样适用于 CPU Web服务器中组态的用户:创建的用户具有特定权限,则必须为 每个用户组态一个密码。与之前相同,更换模块时如果算法不兼容,则系统将提醒用户,可能需要创建一个新的用户和密码。 忘记密码 - 加载新的 CPU 组态 如果忘记 CPU 保护密码,则该 CPU无法在线加载新的组态(含新密码)。 此时,要加载新的组态(含新密码),请按以下步骤操作: 1. 将 SIMATIC存储卡插入编程设备的读卡器中。 2. 在项目树中,将包含新组态的 CPU 文件夹拖放到读卡器中 SIMATIC 存储卡符号上。 3.在加载对话框中,确定将覆盖当前受密码保护的 CPU 组态和程序。 模块更换时,受密码保护 CPU 的行为 • 将 S7-1500CPU(固件版本 < 2.0)更换为 S7-1500(固件版本 ≥ 2.0):系统将提醒用户,将使用更新的算法进行密码加密。此时,可单击该按钮应用新算法,也 可出于兼容性考虑保留原算法。 • 将 S7-1500CPU(固件版本 ≥ 2.0)更换为 S7-1500(固件版本 < 2.0):系统将提醒用户,之前的密码将丢失,必须组态新的密码。操作步骤 要组态 CPU 的访问等级,请按以下步骤操作: 1.在巡视窗口中打开模块的属性。 2. 在导航区域中打开“保护和安全 > 访问控制”(Protection & Security> Access control) 条目。 将在巡视窗口中显示一张列有各种访问等级的表格。 3.在表的第一列中选择所需的访问等级。此列中相应保护等级右侧的绿色复选标记将指示如不 输入密码仍可执行的操作。 4.如果选择了“完全访问权限”之外的访问等级: 在“密码”(Password) 列的第一行中指定完全访问权限的密码。在“确认”(Confirmation) 列中,输入密码以免输入错误。 确保密码足够安全,即,不要按照机器可识别的模式来设置密码。必须在第一行“完全访问权限(无保护)”中输入密码。知道此密码的用户便可以不受限制 地访问 CPU,而无论所选保护等级是什么。 5.如果所选访问等级允许的话,可以根据需要将额外的密码分配到其它访问等级。 6. 下载硬件配置,使访问等级可以生效。 结果根据设定的访问等级,保护硬件配置和块免受未经授权的在线访问。如果由于设定的访问等级原因,在没有密码的情况下无法执行操作,则会显示一个用于输入密码的对话框。
模块更换时,带已组态 Web 服务器用户的 CPU 行为要创建用户并指定特定权限,必须为每个用户组态一个密码。类似规定同样适用受密码保护 CPU 的模块更换: • 将 S7-1500CPU(固件版本 < V2.0)更换为 S7-1500(固件版本 ≥ V2.0):系统将提醒用户,将使用更新的算法进行密码加密。此时,可单击该按钮应用新算法,也 可出于兼容性考虑保留原算法。 • 将 S7-1500CPU(固件版本 ≥ V1.7 但 ≤ V1.8)更换为 S7-1500(固件版本 ≤ 1.6),或 者 • 将 S7-1500CPU(固件版本 ≥ 2.0)更换为 S7-1500(固件版本 < 2.0):系统将提醒用户删除所有已组态的用户,并将“Everyone”复位为默认用户权限。 此时,必须重新创建用户并设置用户权限和密码。通信服务限制 (S7-1500) 简介 CPU 可以作为多种通信服务的服务器。 这也就是说,还没有为 CPU 组态和编程建立连接,其它通信参与者也可以访问 CPU 数据。 作为服务器的本地 CPU 无法控制与客户端的通信。 CPU参数的“保护”(Protection) 区域中的参数“连接机制”(Connection mechanisms) 用于指 定运行期间本地CPU 是否允许执行此类通信。 允许借助 PUT/GET 通信从远程伙伴访问 默认情况下,禁用“允许借助 PUT/GET通信从远程伙伴访问 (...) ”(Permit access with PUT/GET communication fromremote partners (...)) 选项。如果激活该选项,则只能在本地 CPU和通信伙伴间需要通过组态或编程建立的通信连接中对 CPU 数据进行读写访问。 例如, 可以通过 BSEND/BRCV 指令进行访问。本地 CPU 仅作为服务器的连接(即表示本地 CPU 上不存在使用通信伙伴进行的通信组态/编 程),无法在操作 CPU时进行。例如, • 在通过通信模块进行 PUT/GET、FETCH/WRITE 或 FTP 访问时 • 在从其它 S7 CPU 进行PUT/GET 访问时 • 在通过 PUT/GET 通信实现 HMI 访问时如果要允许从客户端访问 CPU 数据,也就是不希望限制CPU 的通信服务,则激活“允许借助 PUT/GET 通信从远程伙伴访问”(Permit access with PUT/GETcommunication from remote partners) 选项。 连接机制 (S7-1500) 连接机制的设置确定CPU 可以连接的伙伴。在默认设置下,CPU 只能通过 PG/HMI 间安全通 信进行连接,这要求伙伴同样支持 PG/HMI间安全通信。 也可以选择用于 PG/HMI 间安全通信的证书,或者通过 TIA Portal 创建新证书。 参见 PG/HMI间安全通信的其它设置 (页 423) 使用安全设置向导 (页 1354) 安全事件的组报警 (S7-1500)了解安全事件的组报警的哪些方面 (S7-1500) 诊断缓冲区中的安全事件 CPU 将在诊断缓冲区中存储有关重要操作和事件的信息。发生以下安全事件(事件类型)时,S7-1500 的诊断缓冲区中将输入一条记录: • 使用正确或错误的密码转至在线状态。 •检测被操控的通信数据。 • 检测存储卡上被操控的数据。 • 检测被操控的固件更新文件。 • 更改后的保护等级(访问保护)下载到CPU。 • 启用或禁用密码合法化(通过指令,或在适用情况下通过 CPU 显示屏)。 •由于超出允许的并行访问尝试次数,在线访问被拒绝。 • 现有在线连接处于禁用状态的超时。 • 使用正确或错误的密码登录到 Web服务器。 • 创建 CPU 的备份。• 恢复 CPU 组态。 • 在启动过程中: – SIMATIC存储卡上的项目发生变更(SIMATIC 存储卡不变) – 更换了 SIMATIC 存储卡 安全事件的组报警为防止诊断缓冲区被大量相同的安全事件“淹没”,STEP 7 V13 SP 1 及以上版本中可设置相应参数,将这些事件作为组警报保存到诊断缓冲区中。在每个间隔(监视时间)内, CPU 仅为每种事件类型生成一个组警报。 示例:Brute-Force 攻击 利用 Brute-Force 攻击,攻击者通过系统地尝试大量的可能密码组合,获取 CPU 的访问权。CPU 会在数秒内收到大量的登录请求,而诊断缓冲区内涌入大量相同的单独条目会导 致丢失重要的诊断信息。组报警帮助在此处提供。操作组报警的原则 CPU 在诊断缓冲区内输入一种事件类型的前三个事件。它会忽略此类型的所有后续安全 事件。在监视时间(间隔)结束时,CPU 生成组报警,在该组中输入过去的时间间隔内的事件类型 和事件频率。如果这些安全事件在随后的时间间隔内也有出现,CPU 将仅为每个间隔生成一个组报警。攻击会在诊断缓冲区中离开以下模式:前三个单独的报警后跟一系列组报警。此系列可以包含两个、三个或更多的组报警,具体取决于选定的监视时间和攻击持续时间。 由于诊断缓冲区中的报警具有时间戳,可以确定攻击持续时间。①例如,一种类型的安全事件尝试使用无效密码登录。 ② 间隔(监视时间):在特定类型的安全事件首次发生(或重复发生)时,监视时间开始(或重新开始)计时。 ③ 单个报警:一种类型的前三个安全事件立即输入到诊断缓冲区。从该类型的第四个 安全事件开始,CPU仅创建组报警。 如果该类型的安全事件在至少暂停一个间隔后发生,CPU 将在诊断缓冲区中输入单 个报警并对监视时间重新计时。 ④组报警:在三个安全事件后,CPU 仅生成一个组报警作为此间隔内所有其他安全事件的摘要。如果这些安全事件在随后的时间间隔内也有出现,CPU 将仅为每个间隔 生成一个组报警。
为安全事件组态组报警(S7-1500) 要求 • STEP 7 V13 SP 1 或更高版本 • S7-1500 CPU 固件版本 V1.7 或更高版本操作步骤 要为安全事件组态组报警,请按以下步骤操作: 1. 单击网络视图中的 CPU 符号。 CPU 的属性随即显示在巡视窗口中。2. 转至“保护 > 安全事件”(Protection > Security event) 区域。 3.单击“安全事件”(Security event)。