还剩6页未读,继续阅读
文本内容:
第10章系统安全及用户管理员体系本章要点系统安全及用户管理员体系是组态软件必备的关键组件之一,一套优秀的组态软件应该具备强有力的系统访问安全性和多层次化的用户管理员设定体系,以满足不同功能用户的监控需求本章首先介绍WebAccess的安全功能,然后分别详细的介绍用户权限和密码,用户类型,图表访问,区域和等级,最后介绍TCP端口和防火墙从多个角度诠释WebAccess软件的全方位系统安全性和用户管理体系WebAccess支持以下安全功能
(1)匿名访问最低安全性,通常应用于具有大量用户场合
(2)集成Windows验证当用户要登录Web服务器(工程节点)时,必须拥有用户名和密码这一步骤需要通过Windows的内部安全体系,因为要登录该台计算机,就必须要有用户名和密码
(3)防火墙WebAccess需要两个TCP端口,能够使用任意指定端口
(4)VPNVirtualPrivateNetworks虚拟专用网络,通过Internet或其它网络构造一个网络通道,具有最高的安全性
(5)SecureSocketsLayer(SSL)服务器端证书和客户端证书
(6)只有安装客户端插件程序才可浏览数据可以限制客户端插件程序的安装人数来限制用户是否可以观看到实时数据
(7)只有工程节点是Web服务器监控节点只是一个实时运行和采集数据的节点,不需为Web服务器只有在下载ASP页面和“配置文件”时Web服务器(工程节点)才与监控节点连接
(8)WebAccess权限和密码建立在Windows的安全系统之上的,是WebAccess内部自建的安全体系区域和等级的设定可以限制对数据点的修改,用户名和密码的输入可以限制对实时数据的浏览
(9)受限用户这些用户仅被允许浏览到分配给他们的图片全功能的客户端和瘦客户端都对该用户种类型有限制使用浏览器监控,操作员必须依用户名和密码登录,不同的用户能够浏览的界面也不同用户名不区分大小写,密码都必须区分大小写ViewDAQ是本地非浏览器监控模式,ViewDAQ的运行无须用户登录,任何可访问Windows操作系统的用户都能够使用ViewDAQ在ViewDAQ模式下Admin、线上管理员、线上操作员和个体管理员能够浏览所有的监控页面和点,区域和等级的设定能够限制用户修改点值建议使用Windows安全体系锁定计算机以防止能够ViewDAQ模式进行意外操作管理员类型决定了该用户能够浏览何种类型的页面显示,以限制浏览实时数据和页面,必须对所有的用户都指定一管理员类型管理员类型可分为admin、工程管理员、线上管理员、线上操作员和个体管理员admin和工程管理员只能够访问工程管理(工程管理工具)admin能够通过Advantech实时监控访问所有的监控节点,工程管理员无法实时浏览数据,除非使用相同的用户名重新创建线上管理员、线上操作员或个体管理员类型的用户admin、线上管理员、线上操作员和个体管理员能够使用Advantech实时监控访问所有的监控节点,通过浏览器浏览显示页面和实时数据admin和线上管理员能够通过Advantech实时监控访问排程功能、报表和系统记录Admin和工程管理员通过工程管理访问排程功能、报表和系统记录通过Web浏览器登录,个体管理员只能够浏览指定的显示页面如果指定的默认显示页面不存在或没有指定任何显示页面,个体管理员将无法登录到监控节点对于个体管理员指定的每个页面,都可禁止或允许该个体管理员对于该页面的报警确认或修改点值区域和等级用于限制用户修改数据的能力,用户和点都必须分配有区域和等级,且用户和点有相同的区域,用户的等级大于等于点的等级时用户才能对这个点的值进行修改用户类型对本地监控节点上的ViewDAQ浏览不起作用,即所有的ViewDAQ本地用户(包括admin、线上管理员、线上操作员和个体管理员)都能够使用浏览所有的显示页面和系统页面、监控所有的点、确认报警和访问排程功能、浏览报表及系统记录
10.2用户类型使用浏览器浏览,不同的用户能够浏览的界面也不同用户类型及权限见表10-1表10-1常用数据类型转换等函数用户类型权限系统管理员(admin)能够进行工程管理和数据库设定能够使用浏览器绘图能够通过浏览器浏览系统内所有的监控界面运行记录,报警记录,管理员程序和位置状态等能够使用点信息对话框访问所有的点工程管理员能够进行工程管理和数据库设定能够使用浏览器绘图无法通过浏览器浏览实时监控界面线上管理员能够通过浏览器浏览系统内所有的监控界面运行记录,报警记录,管理员程序和位置状态等能够使用点信息对话框访问所有的点能够监控排程报表和ODBC数据库记录线上操作员能够通过浏览器浏览系统内用户创建的监控界面不能通过浏览器浏览系统监控界面运行记录,报警记录,管理员程序,位置状态能够使用点信息对话框访问所有的点个体管理员必须指定默认图表(监控界面)只能通过浏览器访问指定的监控界面(最多21张)能够访问指定监控界面内点的点详情和区块详情显示不能通过浏览器浏览报警摘要,概观显示,面板组,趋势,报警群组不能通过浏览器浏览系统监控界面运行记录,报警记录,管理员程序,位置状态等不能通过浏览器监控排程报表,排程和记录等不能浏览点信息可以设定是否允许认可可以监控页面内的点的报警可以设定是否允许修改可以监控页面内的点的数值admin帐号是特殊的帐号,不能够删除或重命名admin帐号能够访问所有的监控节点和工程管理工具admin帐号的修改位于工程管理的系统/工程管理员页面或工程属性页面的管理员页面除admin帐号外,仅有工程管理员类型的用户才能够使用工程管理工具或使用基于Web浏览器的绘图工具,工程管理员同样能够被指定为线上管理员、线上操作员或个体管理员以便浏览实时数据工程管理员的创建和修改位于工程管理的系统/工程管理员页面线上管理员的创建和修改位于工程管理工程属性管理员页面页面访问限制只能够应用于基于Web浏览器的客户;在本地ViewDAQ模式下,个体管理员能够浏览所有的页面能够确认所有的报警在不同的监控节点,个体管理员能够指定不同的访问显示页面如果用户访问工程内的多个监控节点,该用户帐号必须在每个监控节点分配至少一个显示页面,拥有一个监控节点的访问权限不意味着能够访问系统内其他的监控节点个体操作员的创建和修改位于工程管理工程属性管理员页面
10.
3.1默认图表系统管理员、线上管理员、线上操作员都可分配指定默认图表,当不同的用户登录时,就会显示不同的默认图表如果未设定默认图表,则显示MAIN.BGR同一工程的不同监控节点也可分配不同的默认图表个体管理员必须分配指定默认图表,如果没有分配,系统将禁止此个体管理员登录为个体管理员添加默认图表图10-1图表访问
10.
3.2个体管理员默认情况下个体管理员可以访问每个监控节点额外的20张图表,用户可以根据需要自行调整图表数量个体管理员所打开的监控界面必须位于所分配的图表之内,图列表对话框也只显示分配的图表个体管理员只能够浏览所分配图表内的点,这些点同样能够通过点详情和区块详情显示界面进行浏览为指定的图表设定是否允许个体管理员认可报警,设定是否允许个体管理员修改点的数值图10-2个体管理员图表设置
10.4区域和等级WebAccess为控制操作员操作而使用“区域”概念,每个点和用户都可分配一个区域和安全等级,不同的用户在不同的区域内有不同的权限,只有用户的区域和等级符合(区域与点的区域相同,等级大于或等于点的等级)点的区域和等级,此用户才能对该点作修改如一个用户被允许修改区域1内的温度设定T1,但不一定能够修改区域2内的温度设定T2如果用户的区域和等级不符合点的区域和等级,则系统会弹出一个对话框,要求以新的用户登录WebAccess数据库内的每个点属性都设定有相应的区域和安全等级,如果某个点的区域和等级都设定为0,则所有的用户都能够修改该点的值点的区域和等级属性设定方法如下新建点或修改点时,在点参数列表中可以看到有安全区域和安全等级两个参数,默认值为0,可以根据需要输入相应的数值安全区域范围0~31,安全等级范围0~127现假设tag13点的安全区域为5,安全等级为99,如下图图10-1设定点的安全区域和等级每个用户也必须设定相应的区域和等级,默认的等级为0(最低)为了能够修改点值,用户的区域和等级必须与点的区域和等级匹配WebAccess将比较用户和点的区域及等级,如果用户所设定的区域和等级大于或等于相同区域内的点,则对于点值的修改能够成功;否则将弹出用户密码对话框,提示用户以新的用户登录;在Web浏览器监控模式下,此新的登录只是临时性的,只能够应用于所选择的点一次系统管理员、线上管理员、线上操作员能够浏览所有的点,通过区域和等级的设定可限制用户对点的值的修改用户管理员的区域和等级属性设定方法如下在工程管理员页面,点击工程节点名称-管理员,如下图图10-2添加管理员在添加管理员页面,提供一个管理员名称,默认情况下,看到区域0~31的等级均为0,如需要该用户管理员可以对tag13点进行在线改值操作,则在区域5后面的空白处输入大于99小于127的任意值,如100;如不希望该用户可以对tag13进行操作,则赋予区域5的等级数值小于99即可其他区域中的等级大小与tag13无关图10-3设定用户的安全区域和等级个体管理员只能够浏览所分配图表内的点,同样区域和等级的设定可限制该用户对点的值的修改WebAccess有32个用户定义的区域和4个特殊区域Loc点、DAQ点、点区域、退出ViewDAQ监控窗口等级255为只读,一个点被指定255等级意味只读;等级127为系统管理员等级,能够修改点区域,如改变报警值这里我们只介绍一下点区域和ViewDAQ的相关内容
10.
4.1.点区域点区域是指在点或变量名之后加入点(.)之后的那部分,每个点或变量的区域包含每个点的报警值、最高量程、最低量程、描述和工程单位等全部的区域内容对点区域的修改只是暂时的,当客户端从新启动或从新浏览界面时,这些改动就取消了若要永久的改变点区域,则只有在工程管理员中进行浏览点区域要求用户的区域在126或以上,修改所有的非只读的点区域(例如修改报警极限)需要等级为127即管理员等级,而部分点区域内容是只读的设定用户的点区域等级为127后,该用户能够修改大多数的点区域;如果只允许用户只修改其中某此点区域,可以使用脚本或宏指令宏指令和脚本能够修改大部分的点区域,但是这样会忽略用户的安全区域和等级
10.
4.2ViewDAQViewDAQ应用于本地监控节点ViewDAQ监控模式的显示群组,非浏览器监控模式ViewDAQ安全体系创建了密码等级,用于关闭和保存显示群组此安全等级设定位于工程管理工具(工程管理)的工程属性管理员内的添加或更新管理员的ViewDAQ可以创建低于127的密码等级,应用于试图关闭ViewDAQ显示群组退出密码等级用来防止非授权用户退出监控界面任何用户都能够从任务栏AdvantechWebAccess图标起动核心程序,当有一个ViewDAQ窗口被打开时,WebAccess就无法从任务栏关闭核心程序任何用户也都可以打开显示群组,为了关闭显示群组,用户的ViewDAQ安全等级必须大于等于该显示群组设定的退出密码等级,否则将弹出密码对话框,提示用户登录以关闭ViewDAQ窗口即使有ViewDAQ窗口打开,通过浏览器远程下载完整配置或停止节点也将关闭WebAccess;但只有系统管理员或工程管理员能够下载或停止节点WebAccess跨网络连接需要3个TCP端口,这3个TCP端口与防火墙,路由器或端口映射相配合,用户能自行修改
10.
5.1Web服务端口所有Web服务器的默认通讯端口为80,WebAccess也将采用该端口提供Web发布服务,为了安全或其它原因,用户可以使用别的端口这一端口号在工程节点所在的微软操作系统的Internet信息服务中进行修改可以通过开始-控制面板-管理工具-Internet信息服务-默认网站,右键属性查看或更改,如下图图10-4Web服务端口属性页面
10.
5.2通讯和文件下载端口WebAccess使用其它的通讯端口进行远程文件下载和实时数据的传输
(1)端口4592是WebAccess的主要端口,进行文件的下载在工程节点进行开发后,下载新的数据和图形文件到监控节点时使用的端口
(2)端口14592是WebAccess次要端口,进行实时数据的传输在Web客户端通过Web服务器连接到监控节点进行实时监控时使用的数据传输端口WebAccess下载“配置文件”,表示工程节点和监控节点在使用两个TCP端口与客户端进行通讯如果工程节点和监控节点安装在同一台计算机,需要3个TCP端口映射到工程节点和监控节点如果工程节点和监控节点分开安装,需要4个TCP端口TCP端口在软件安装过程中必须进行设置注意“0”表示默认端口号(4592和14592)
10.
5.3改变TCP端口号TCP端口号的修改,至少在两个地方进行相应的修改1.工程管理器用户能够通过“更新”选项来修改端口号,使它与监控节点安装时的端口号匹配如果配置一个新的监控节点,TCP端口号在节点属性页输入2.工程节点和监控节点的软件安装TCP端口在工程节点和监控节点软件安装时必须进行配置如果需要修改,可以用“重新安装”进行修改
10.
5.4防火墙这是提高系统安全性的另一种选择防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行防火墙还可以关闭不使用的端口而且它还能禁止特定端口的流出通信,封锁特洛伊木马http://tech.sina.com.cn/c/
368.html\t_blank最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信防火墙具有很好的保护作用入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机你可以将防火墙配置成许多不同保护级别高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择防火墙有不同类型一个防火墙可以是硬件自身的一部分,你可以将因特网连接和计算机都插入其中防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙最后,直接连在因特网的机器可以使用个人防火墙防火墙能够限制网络传输的数据流,这是一种网络安全策略如果你需要通过防火墙进行连接,那么你需要网络管理员给你开放TCP端口WebAccess需要两个端口,一个用来下载文件,一个用来传输实时数据TCP端口在软件安装时必须进行设置你也必须告诉防火墙外的客户端这两个端口,以便他们访问监控节点21。