1、PCS 7 中如何设置项目的访问保护1 项目保护概述在工程实施中,针对某些特定的装置、回路等,项目执行方会根据经验和研究成果开发相应的功能块或者程序模板。另一方面,在项目运行过程中,ES(工程师站)上存放的项目文件也需要考虑人为的意外修改、下载等危险动作的发生。基于此,如何对 PCS 7 项目进行保护就显得尤为重要。从广义上来讲,PCS 7 项目保护应该包含如下几个层次:- PCS 7 OS 的访问许可在 OS 中,可以通过 WinCC 用户管理器来设置访问保护,例如通过智能读卡器、用户权限来防止没有授权的用户非法使用 OS 运行系统;为了防止系统组态画面的随意篡改,可以使用 OS 项目编辑器
2、(OS Project Editor)来恢复系统/用户自定义画面。- PCS 7 AS 的访问许可可以在硬件组态中给 CPU 配置访问密码,以此来达到防御对 AS 的非法访问。- CFC 的访问许可在每个 CFC Chart 文件的属性中使能 “Write-protected”来限制程序的修改。- 项目的保护和跟踪在 SIMATIC Manager 环境中,防止对项目文件的非法访问,以及项目操作过程中的日志记录。从 PCS 7 V7.0 开始,可以对项目或者库配置密码保护,只有如下人员才可以打开项目进行操作:- 项目管理员(Project Administrator)- 项目编辑员(Proje
3、ct Editor)- 任何通过密码获得授权的用户其中,项目管理员和编辑员都是 SIMATIC LOGON 中的用户组。所以要对项目进行保护设置,安装 SIMATIC LOGON 是前提。2 如何配置项目保护2.1 单项目的保护配置按照项目执行的一般流程,在 SIMATIC Manager 中完成多项目框架的搭建,之后就可以按照如下流程配置项目保护:图 1 使能项目的访问保护如上图所示,在多项目中选择某个单项目,在菜单项“Options-Access Protection”中选择“Enable”。图 2 使能访问保护提醒由于 STEP 7 V5.4 之前的软件不支持项目保护,所以如果项目激活了
4、保护之后,那么该项目在 V5.4 之前的软件版本中就无法打开了。点击 “Yes”确定。图 3 SIMATIC LOGON 登录之后,在如上图所示的窗口中使用计算机中的用户帐号登录 SIMATIC LOGON,关于 SIMATIC Logon 的更多信息可以参考下载中心文档“SIMATIC Logon 使用入门” :/cs/document/73044014?caller=view&lc=zh-CN图 4 设置项目保护密码在弹出的对话框中设置项目保护密码。点击“OK”确认。需要注意的是,必须要妥善保存该密码!图 5 加密的单项目完成加密配置之后的单项目图标上多了一个深红色的钥匙,同时其多项目图标
5、中也多了一把钥匙。至此,针对该单项目的访问保护配置完成。2.2 打开受保护的项目图 6 已保护的项目在上图中,配置了加密的单项目显示为“Project access protected”,其中的内容不可访问。而同时,多项目中其他组件,例如单项目或者主数据库等均可以正常访问和操作。要打开受保护的项目,可以参考如下步骤:1、 在 SIMATIC Manager 中关闭所有项目,在 Options 菜单中选择“SIMATIC Logon Service”,如下图所示:图 7 打开 Logon Service2、 在弹出的对话框中输入用户名和密码登陆:图 8 用户登录在 SIMATIC Logon 的
6、用户登录窗口中输入“项目管理员”或者“ 项目编辑员”组中的成员名和相应的密码。点击“OK”按钮完成登录。如果登录成功,SIMATIC Manager 窗口的状态栏上会显示当前登录的用户名:图 9 当前登录用户3、 完成用户登录之后,按照正常方式打开 PCS 7 多项目,即可浏览到项目中的所有内容。如果在未安装 SIMATIC LOGON 的环境中打开受保护的项目,软件会提示输入密码。此时,键入图 4 中设置的密码即可。2.3 多项目的保护设置在 SIMATIC Manager 中,无法直接对一个多项目进行保护设置,需要先对其中一个单项目完成保护设置之后,在如下所示的菜单中进行多项目的保护配置。
7、图 10 多项目配置保护选择以配置保护的单项目,然后在如上图所示的路径中点击“Adjust in Multiproject”:图 11 受保护的多项目可以看到,多项目的图标变成了红色的钥匙。这说明多项目下的所有单项目和主数据库都处于被保护状态。反之,如果多项目中只有部分处于保护,则多项目图标上的钥匙是白色的。注意:该选项的作用是将当前单项目的当前项目保护相关的参数同时应用到其他多项目组件中!和受保护单项目的打开方式相同,先用户登录,之后再打开多项目即可。2.4 访问保护的用户设置在上述的操作流程中,只有图 3 中登录的用户才可以使用该项目,如果要配置更多,可以参照如下路径选择菜单:图 12 管
8、理项目访问保护点击“Manage” 之后,SIMATIC Logon 的角色管理窗口打开:图 13 角色管理在角色管理窗口中存在两个用户组“Project administrator”和“Project editor”,这两个组的区别在于:“Project editor”可以对项目进行编辑,但不可以对访问保护配置做修改,也不可以进入上图所示的角色管理窗口。图 14 添加用户/用户组在这两个角色组中插入计算机的用户或者用户组,这些用户或者用户组中的成员即可对项目进行编辑。2.5 项目保护的取消在如图 12 所示的菜单项中,有两个和项目保护取消相关:“Disable”和“Remove Access
9、 Protection and Change Log”。只有“Project Administrator”用户组的成员登录之后,这两个操作才可以使能。“Disable”指的是在保留当前保护设置的情况下取消对项目的保护。通过“Disable”取消保护的项目在未安装 SIMATIC LOGON 的环境中,可以不需要保护密码就正常打开。但是,通过这种方式取消保护的项目不可以在 PCS 7 V7.0之前的环境中打开!由于“Disable”只是关闭的项目保护功能,但参数尚在,所以,只要再一次“Enable”项目保护,项目会恢复到之前的保护状态,而且之前配置的用户组等信息继续起作用。“Disable”项目
10、之后的项目图标是一个白色的小钥匙:图 15 “Disable”保护的项目“Remove Access Protection and Change Log”和“Disable” 一样,只能对处于保护状态的单项目进行操作。但不同的是,这种模式下,项目的保护功能会被关闭,而且所有的保护相关的参数都会被清除,后续会提到的修改日志也会被删除。项目恢复到原始状态:图 16 “Remove Access Protection and Change Log”后的项目通过该方法取消保护的项目可以在 PCS 7 V7.0 之前的版本中打开。3 如何使用操作日志上述介绍的项目保护是防止非授权用户对项目内容进行非法纂
11、改,但同时,即使是授权用户登录之后,也需要对其操作过程进行跟踪。为此,SIMATIC Manager 中提供了 “Change Log”的功能。图 17 使能 Change Log在“Options”菜单中选择“Change Log”,在其中点击“Enable”使能“Change Log”功能。使能操作日志之后,对项目离线内容进行操作,例如增加删除/功能块,修改程序等,都和未使能时一样。但在下载硬件组态和程序到 AS 时,软件会弹出如下窗口:图 18 下载注释输入窗口在这个窗口中,显示了当前登录用户的名称和要执行的动作,并且需要用户输入“Reason”作为注释才可以继续。之后,任何和 AS 在
12、线内容相关的操作都会提示这个注释输入窗口,例如 CFC测试模式开启、功能块管脚数值修改等:图 19 CFC 测试模式开启在如图 17 所示的菜单项中选择“Display”即可查看相关的操作日志:图 20 操作日志上图中以表格的形式列出了所有用户登录、项目操作(在线 AS 相关)的信息,方便查询。同时,也可以将操作日志导出为 XML、CSV 或者 PDF 文档,方便归档和分析。4 总结项目保护是基于安全和知识产权的角度来实施的技术层面的措施。如下图所示的 AS 层面的保护框架:图 21 AS 层面保护框架其中:- CPU 通过设置访问密码来保护;- ES 到 CPU 的下载、修改等通过本文所描述
13、的 Change Log 来记录;- 多项目、主数据库和单项目通过本文描述的“Access Protection”来保护;- 项目修改的比较可以通过 Version Cross Manager 实现,具体功能可以参考如下应用文档:http:/ 对于 “Blocks”中的 FB、FC 也可以进行加锁保护,在 PCS 7 V8 版本之后,提供 Block Privacy 功能,安全性得到了提高:/cs/document/73044014?caller=view&lc=zh-CN不同层次的保护构成全方位的保护体系,可以最大限度地保护项目。关键词项目保护,访问控制,SIMATIC Logon,PCS 7
