CPU 保护功能的概述简介 本章描述了下列用于防止对 S7-1500 自动化系统进行未经授权的访问的功能: ● 访问保护 ● 专有技术保护 ● 防拷贝保护 ● 通过锁定 CPU 进行保护 保护 CPU 的其它措施 下列措施进一步防止了从外部源和网络对 S7-1500 CPU 的功能和数据进行未经授权的访问。 ● 禁用 Web 服务器 ● 禁用通过 NTP 服务器的时间同步 ● 禁用 PUT/GET 通信 使用 Web 服务器时,通过在用户管理中设置特定用户的密码保护访问权,可防止对 S7- 1500 自动化系统进行未经授权的访问。 使用显示屏组态其它访问保护简介 在 S7-1500 的显示屏上,可防止对受密码保护的 CPU 进行访问(本地锁定)。 仅当操作模式开关处于 RUN 位置时,此访问锁定才生效。 是否应用访问锁定与密码保护无关。即,如果某人通过连接的编程设备访问了 CPU 并且已输入正确的密码,同样会阻止该用户访问 CPU。 可以分别为显示屏上的每个访问级别设置访问阻止,这样就可以在本地允许读取访问,但 是不允许写入访问。 操作步骤如果在 STEP 7 中组态了使用密码的访问级别,则可使用显示屏来阻止访问。 按照以下操作在显示屏上设置 S7-1500 CPU 的本地访问保护:
允许 (Allow): 如果输入 STEP 7 中指定的密码,则可以访问 CPU。 在 RUN 模式下禁用:当操作模式开关位于 RUN位置时,即便其他用户知道该访问级别的权限密码,也无法登录该 CPU。 在 STOP模式下,可通过输入密码进行访问。 显示屏访问保护可以在 STEP 7 中的 CPU属性中为显示屏组态密码,这样本地访问保护就可由本地密码进行保护。 专有技术保护可以使用专有技术保护来保护程序中一个或多个 OB、FB、FC 类型的块以及全局数据块,防止受未经授权的访问。 可以输入密码限制对块的访问。 密码保护可防止在未经授权的情况下读取或更改块。 如果没有密码,则只能读取有关块的以下数据:
设置块的专有技术保护
结果: 所选块将受到专有技术保护。 在项目树中,受专有技术保护的块将标记为一个锁形标识。 输入的密码将应用于所选的所有块。 打开受到专有技术保护的块
打开该块之后,只要该块或 TIA Portal 打开,就可以编辑该块的程序代码和块接口。 下次打开块时,必须重新输入密码。 如果使用“取消”(Cancel) 按钮关闭“访问保护”(Access protection) 对话框,则块虽然可以打开,但不显示块代码也不能进行编辑。 如果复制块或将其添加到库中,不会删除块的专业技术保护。 这些副本块同样也受专有技术保护。 删除块的专有技术保护
结果: 将删除所选块的专有技术保护。 防拷贝保护防拷贝保护则需将程序或块与一个特定的 SIMATIC 存储卡或 CPU 进行绑定。 通过链接 SIMATIC 存储卡或 CPU 的序列号,该程序或块只能与 SIMATIC 存储卡或 CPU 一起使用。 使用这一功能,可通过电子方式(例如,通过电子邮件)或通过发送存储器模块的方式来 发送程序或块。 为块设置此类防拷贝保护时,还为其分配了专有技术保护。 未设置专有技术保护时,任何人都可以复位该防拷贝保护。 然而当该块已设置为受专有技术保护时,则首先应该将防拷贝保护设置为只读。 设置防拷贝保护
说明如果将受防拷贝保护的块下载到与特定序列号不匹配的设备中,则将拒绝执行整个下 载操作。 这意味着,也不会下载不带防拷贝保护的块。 取消防拷贝保护
通过锁定 CPU 进行保护可以使用坚固的前盖板,防止 CPU 免到受未经授权的访问。 通过 CU 外盖上的锁具,可进行如下选择:
组态 CPU 的访问保护简介 CPU 中共有四种访问级别,用于限制对特定功能的访问。 设置 CPU 的访问等级和密码后,则需输入密码才能访问功能和存储区。 将在 CPU 的对象属性中指定各种访问级别以及相关的密码条目。 CPU 的访问级别
无论是哪一种访问级别,都可以无限制地访问某些功能而无需输入密码。例如,使用“可 访问的设备”(Accessible devices) 功能进行识别。 CPU 的默认设置为“无限制”(No restriction) 和“无密码保护”(No password protection)。 要保护对 CPU 的访问,必须编辑 CPU 的属性并设置密码。 除非禁用了 PUT/GET 通信,否则 CPU 之间的通信(通过块中的通信功能)不受 CPU的保护等级限制。 权限密码条目允许访问对应级别中允许的所有功能。 说明 组态一个访问级别并不能取代专有技术保护通过限制下载权限,组态访问级别可防止对 CPU 进行未经授权的更改。 但不会对SIMATIC 存储卡上的块设置受读写保护。 而使用专有技术保护则可以保护 SIMATIC存储卡上的代码块。 对过程进行访问级别参数设置请按以下步骤组态 S7-1500 CPU 的访问级别: 1. 在巡视窗口中,打开 S7-1500 CPU 的属性。 2. 在区域导航中打开“保护”(Protection) 条目。将在巡视窗口中显示一张列有各种访问级别的表格。
操作期间受密码保护的 CPU 的行为 CPU 保护在将设置下载到 CPU 之后生效。 在执行在线功能之前,需检查所需的权限,必要时提示用户输入密码。 在任何时刻,只能在一个 PG/PC 执行受密码保护的功能。 其它 PG/PC 无法登录。保护数据的访问授权在在线连接时间内有效,或在通过“在线 > 删除访问权限”(Online >Delete access rights) 手动取消访问授权之前保持有效。在 RUN 模式下,对受密码保护的 CPU进行的访问仅限于在本地显示屏中进行,同时也不能进行使用密码的访问。 组态 HMI 连接保护简介 如果 CPU 设置了保护等级“完全保护”,HMI 设备只能访问已存储密码的 CPU。 仅可在 SIEMENS 的 HMI 设备上使用此功能。 步骤
结果HMI 设备现在可以与 CPU 通信并交换数据。 |
|