系统安全及用户管理员体系.doc

第10章 系统安全及用户管理员体系本章要点系统安全及用户管理员体系是组态软件必备的关键组件之一，一套优秀的组态软件应该具备强有力的系统访问安全性和多层次化的用户管理员设定体系，以满足不同功能用户的监控需求。本章首先介绍WebAccess的安全功能，然后分别详细的介绍用户权限和密码，用户类型，图表访问，区域和等级，最后介绍TCP端口和防火墙。从多个角度诠释WebAccess软件的全方位系统安全性和用户管理体系。WebAccess 支持以下安全功能：（1）匿名访问最低安全性，通常应用于具有大量用户场合。（2）集成 Windows 验证当用户要登录 Web 服务器（工程节点）时，必须拥有用户名和密码。这一步骤需要通过 Windows 的内部安全体系，因为要登录该台计算机，就必须要有用户名和密码。（3）防火墙WebAccess 需要两个 TCP 端口，能够使用任意指定端口。（4）VPNVirtual Private Networks 虚拟专用网络，通过 Internet 或其它网络构造一个网络通道，具有最高的安全性。（5）Secure Sockets Layer（SSL） 服务器端证书和客户端证书。（6）只有安装客户端插件程序才可浏览数据可以限制客户端插件程序的安装人数来限制用户是否可以观看到实时数据。（7）只有工程节点是 Web 服务器监控节点只是一个实时运行和采集数据的节点，不需为 Web 服务器。只有在下载ASP 页面和“配置文件”时 Web 服务器（工程节点）才与监控节点连接。（8）WebAccess 权限和密码建立在 Windows 的安全系统之上的，是WebAccess 内部自建的安全体系。区域和等级的设定可以限制对数据点的修改，用户名和密码的输入可以限制对实时数据的浏览。（9）受限用户这些用户仅被允许浏览到分配给他们的图片。全功能的客户端和瘦客户端都对该用户种类型有限制。10.1 概要-用户权限和密码使用浏览器监控，操作员必须依用户名和密码登录，不同的用户能够浏览的界面也不同。用户名不区分大小写，密码都必须区分大小写。ViewDAQ 是本地非浏览器监控模式，ViewDAQ 的运行无须用户登录，任何可访问Windows 操作系统的用户都能够使用 ViewDAQ。在 ViewDAQ 模式下 Admin、线上管理员、线上操作员和个体管理员能够浏览所有的监控页面和点，区域和等级的设定能够限制用户修改点值。建议使用 Windows 安全体系锁定计算机以防止能够 ViewDAQ 模式进行意外操作。管理员类型决定了该用户能够浏览何种类型的页面显示，以限制浏览实时数据和页面，必须对所有的用户都指定一管理员类型。管理员类型可分为 admin、工程管理员、线上管理员、线上操作员和个体管理员。l admin 和工程管理员只能够访问工程管理（工程管理工具）。admin 能够通过 Advantech实时监控访问所有的监控节点，工程管理员无法实时浏览数据，除非使用相同的用户名重新创建线上管理员、线上操作员或个体管理员类型的用户。l admin、线上管理员、线上操作员和个体管理员能够使用 Advantech 实时监控访问所有的监控节点，通过浏览器浏览显示页面和实时数据。l admin 和线上管理员能够通过 Advantech 实时监控访问排程功能、报表和系统记录。Admin 和工程管理员通过工程管理访问排程功能、报表和系统记录。通过 Web浏览器登录，个体管理员只能够浏览指定的显示页面。如果指定的默认显示页面不存在或没有指定任何显示页面，个体管理员将无法登录到监控节点。对于个体管理员指定的每个页面，都可禁止或允许该个体管理员对于该页面的报警确认或修改点值。区域和等级用于限制用户修改数据的能力，用户和点都必须分配有区域和等级，且用户和点有相同的区域，用户的等级大于等于点的等级时用户才能对这个点的值进行修改。用户类型对本地监控节点上的 ViewDAQ浏览不起作用，即所有的 ViewDAQ本地用户（包括admin、线上管理员、线上操作员和个体管理员）都能够使用浏览所有的显示页面和系统页面、监控所有的点、确认报警和访问排程功能、浏览报表及系统记录。10.2 用户类型使用浏览器浏览，不同的用户能够浏览的界面也不同。用户类型及权限见表10-1。表10-1 常用数据类型转换等函数用户类型权限系统管理员（admin）能够进行工程管理和数据库设定能够使用浏览器绘图能够通过浏览器浏览系统内所有的监控界面：运行记录，报警记录，管理员程序和位置状态等能够使用点信息对话框访问所有的点工程管理员能够进行工程管理和数据库设定能够使用浏览器绘图无法通过浏览器浏览实时监控界面线上管理员能够通过浏览器浏览系统内所有的监控界面：运行记录，报警记录，管理员程序和位置状态等能够使用点信息对话框访问所有的点能够监控排程报表和 ODBC 数据库记录线上操作员能够通过浏览器浏览系统内用户创建的监控界面不能通过浏览器浏览系统监控界面：运行记录，报警记录，管理员程序，位置状态能够使用点信息对话框访问所有的点个体管理员必须指定默认图表（监控界面）只能通过浏览器访问指定的监控界面（最多 21 张）能够访问指定监控界面内点的点详情和区块详情显示不能通过浏览器浏览报警摘要，概观显示，面板组，趋势，报警群组不能通过浏览器浏览系统监控界面：运行记录，报警记录，管理员程序，位置状态等不能通过浏览器监控排程报表，排程和记录等不能浏览点信息可以设定是否允许认可可以监控页面内的点的报警可以设定是否允许修改可以监控页面内的点的数值admin帐号是特殊的帐号，不能够删除或重命名。admin帐号能够访问所有的监控节点和工程管理工具。admin帐号的修改位于工程管理的系统/工程管理员页面或工程属性页面的管理员页面。除admin帐号外，仅有工程管理员类型的用户才能够使用工程管理工具或使用基于Web 浏览器的绘图工具，工程管理员同样能够被指定为线上管理员、线上操作员或个体管理员以便浏览实时数据。工程管理员的创建和修改位于工程管理的系统/工程管理员页面。线上管理员的创建和修改位于工程管理工程属性管理员页面。页面访问限制只能够应用于基于 Web 浏览器的客户；在本地 ViewDAQ模式下，个体管理员能够浏览所有的页面能够确认所有的报警。在不同的监控节点，个体管理员能够指定不同的访问显示页面。如果用户访问工程内的多个监控节点，该用户帐号必须在每个监控节点分配至少一个显示页面，拥有一个监控节点的访问权限不意味着能够访问系统内其他的监控节点。个体操作员的创建和修改位于工程管理工程属性管理员页面。10.3 图表访问10.3.1 默认图表系统管理员、线上管理员、线上操作员都可分配指定默认图表，当不同的用户登录时，就会显示不同的默认图表。如果未设定默认图表，则显示MAIN.BGR。同一工程的不同监控节点也可分配不同的默认图表。个体管理员必须分配指定默认图表，如果没有分配，系统将禁止此个体管理员登录。为个体管理员添加默认图表。图10-1 图表访问10.3.2 个体管理员默认情况下个体管理员可以访问每个监控节点额外的20张图表，用户可以根据需要自行调整图表数量。个体管理员所打开的监控界面必须位于所分配的图表之内，图列表对话框也只显示分配的图表。个体管理员只能够浏览所分配图表内的点，这些点同样能够通过点详情和区块详情显示界面进行浏览。为指定的图表设定是否允许个体管理员认可报警，设定是否允许个体管理员修改点的数值。图10-2 个体管理员图表设置10.4 区域和等级WebAccess为控制操作员操作而使用“区域”概念，每个点和用户都可分配一个区域和安全等级，不同的用户在不同的区域内有不同的权限，只有用户的区域和等级符合（区域与点的区域相同，等级大于或等于点的等级）点的区域和等级，此用户才能对该点作修改。如一个用户被允许修改区域1 内的温度设定T1，但不一定能够修改区域2 内的温度设定T2。如果用户的区域和等级不符合点的区域和等级，则系统会弹出一个对话框，要求以新的用户登录。WebAccess数据库内的每个点属性都设定有相应的区域和安全等级，如果某个点的区域和等级都设定为0，则所有的用户都能够修改该点的值。点的区域和等级属性设定方法如下：新建点或修改点时，在点参数列表中可以看到有安全区域和安全等级两个参数，默认值为0，可以根据需要输入相应的数值。安全区域范围：031，安全等级范围：0127。现假设tag13点的安全区域为5，安全等级为99，如下图。图 10-1 设定点的安全区域和等级每个用户也必须设定相应的区域和等级，默认的等级为0（最低）。为了能够修改点值，用户的区域和等级必须与点的区域和等级匹配。WebAccess将比较用户和点的区域及等级，如果用户所设定的区域和等级大于或等于相同区域内的点，则对于点值的修改能够成功；否则将弹出用户密码对话框，提示用户以新的用户登录；在Web浏览器监控模式下，此新的登录只是临时性的，只能够应用于所选择的点一次。系统管理员、线上管理员、线上操作员能够浏览所有的点，通过区域和等级的设定可限制用户对点的值的修改。用户管理员的区域和等级属性设定方法如下：在工程管理员页面，点击工程节点名称-管理员，如下图：图 10-2 添加管理员在添加管理员页面，提供一个管理员名称，默认情况下，看到区域031的等级均为0，如需要该用户管理员可以对tag13点进行在线改值操作，则在区域5后面的空白处输入大于99小于127的任意值，如100；如不希望该用户可以对tag13进行操作，则赋予区域5的等级数值小于99即可。其他区域中的等级大小与tag13无关。图 10-3 设定用户的安全区域和等级个体管理员只能够浏览所分配图表内的点，同样区域和等级的设定可限制该用户对点的值的修改。WebAccess有32个用户定义的区域和4个特殊区域(Loc点、DAQ点、点区域、退出ViewDAQ监控窗口)。等级255为只读，一个点被指定255等级意味只读；等级127为系统管理员等级，能够修改点区域，如改变报警值。这里我们只介绍一下点区域和ViewDAQ的相关内容。10.4.1点区域点区域是指在点或变量名之后加入点（.）之后的那部分，每个点或变量的区域包含每个点的报警值、最高量程、最低量程、描述和工程单位等全部的区域内容。对点区域的修改只是暂时的，当客户端从新启动或从新浏览界面时，这些改动就取消了。若要永久的改变点区域，则只有在工程管理员中进行。浏览点区域要求用户的区域在126或以上，修改所有的非只读的点区域（例如修改报警极限）需要等级为127即管理员等级，而部分点区域内容是只读的。设定用户的点区域等级为127后，该用户能够修改大多数的点区域；如果只允许用户只修改其中某此点区域，可以使用脚本或宏指令。宏指令和脚本能够修改大部分的点区域，但是这样会忽略用户的安全区域和等级。10.4.2 ViewDAQViewDAQ应用于本地监控节点ViewDAQ监控模式的显示群组，非浏览器监控模式。ViewDAQ安全体系创建了密码等级，用于关闭和保存显示群组。此安全等级设定位于工程管理工具（工程管理）的工程属性管理员内的添加或更新管理员的ViewDAQ。可以创建低于127的密码等级，应用于试图关闭ViewDAQ显示群组。退出密码等级用来防止非授权用户退出监控界面。任何用户都能够从任务栏Advantech WebAccess图标起动核心程序，当有一个ViewDAQ窗口被打开时，WebAccess就无法从任务栏关闭核心程序。任何用户也都可以打开显示群组，为了关闭显示群组，用户的ViewDAQ安全等级必须大于等于该显示群组设定的退出密码等级，否则将弹出密码对话框，提示用户登录以关闭ViewDAQ窗口。即使有ViewDAQ窗口打开，通过浏览器远程下载完整配置或停止节点也将关闭 WebAccess；但只有系统管理员或工程管理员能够下载或停止节点。10.5 TCP端口和防火墙WebAccess 跨网络连接需要3个TCP端口，这3个TCP端口与防火墙，路由器或端口映射相配合，用户能自行修改。10.5.1 Web服务端口所有Web服务器的默认通讯端口为80，WebAccess也将采用该端口提供Web发布服务，为了安全或其它原因，用户可以使用别的端口。这一端口号在工程节点所在的微软操作系统的Internet信息服务中进行修改。可以通过开始-控制面板-管理工具-Internet信息服务-默认网站，右键属性查看或更改，如下图。图 10-4 Web服务端口属性页面10.5.2 通讯和文件下载端口WebAccess使用其它的通讯端口进行远程文件下载和实时数据的传输。（1）端口4592是WebAccess的主要端口，进行文件的下载。在工程节点进行开发后，下载新的数据和图形文件到监控节点时使用的端口。（2）端口14592是WebAccess 次要端口，进行实时数据的传输。在Web客户端通过Web服务器连接到监控节点进行实时监控时使用的数据传输端口。WebAccess下载“配置文件”，表示工程节点和监控节点在使用两个TCP端口与客户端进行通讯。 如果工程节点和监控节点安装在同一台计算机，需要3个TCP端口映射到工程节点和监控节点。如果工程节点和监控节点分开安装，需要4个TCP端口。TCP 端口在软件安装过程中必须进行设置。注意：“0”表示默认端口号（4592和14592）。10.5.3 改变TCP端口号TCP 端口号的修改，至少在两个地方进行相应的修改：1工程管理器 用户能够通