第16章 系统安全管理

第十六章系统安全管理北京亚控科技发展有限公司742第十六章系统安全管理安全保护是应用系统不可忽视的问题，对于可能有不同类型的用户共同使用的大型复杂应用，必须解决好授权与安全性的问题，系统必须能够依据用户的使用权限允许或禁止其对系统进行操作。组态王提供一个强有力的先进的基于用户的安全管理系统。在“组态王”系统中，在开发系统里可以对工程进行加密。打开工程时只有输入密码正确时才能进入该工程的开发系统。对画面上的图形对象设置访问权限，同时给操作者分配访问优先级和安全区，运行时当操作者的优先级小于对象的访问优先级或不在对象的访问安全区内时，该对象为不可访问，即要访问一个有权限设置的对象，要求先具有访问优先级，而且操作者的操作安全区须在对象的安全区内时，方能访问。组态王以此来保障系统的安全运行。16.1组态王开发系统安全管理16.1.1如何对工程进行加密为了防止其他人员对工程进行修改，在组态王开发系统中可以分别对多个工程进行加密。当进入一个有密码的工程时，必须正确输入密码方可进入开发系统，否则不能打开该工程进行修改，从而实现了组态王开发系统的安全管理。介绍组态王开发系统安全管理介绍组态王运行系统安全管理介绍关于访问权限及口令设置的相关知识教您使用访问权限和口令设置来增强系统安全性第十六章系统安全管理北京亚控科技发展有限公司743新建组态王工程，首次进入组态王浏览器，系统默认没有密码，可直接进入组态王开发系统。如果要对该工程的开发系统进行加密，执行工程浏览器中“工具\工程加密”命令。弹出“工程加密处理”对话框，如图16.1所示。图16.1“工程加密处理”对话框密码：输入密码，密码长度不超过12个字节，密码可以是字母（区分字母大小写）、数字、其它符号等。确认密码：再次输入相同密码进行确认。单击取消按钮将取消对工程实施加密操作；单击确定按钮后，系统将对工程进行加密。加密过程中系统会弹出提示信息框，显示对每一个画面分别进行加密处理。当加密操作完成后，系统弹出“操作完成”，如图16.2所示。图16.2加密操作成功第十六章系统安全管理北京亚控科技发展有限公司744退出组态王工程浏览器，每次在开发环境下打开该工程都会出现检查文件密码对话框，要求输入工程密码，如图16.3所示。图16.3检查文件密码密码输入正确后，将打开该工程。否则出现如图16.4所示对话框。图16.4密码错误对话框单击重试按钮将回到检查文件密码对话框，用户可重新输入密码。单击取消按钮，工程将无法打开。16.1.2如何去除工程加密如果想取消对工程的加密，在打开该工程后，单击“工具\工程加密”，弹出“工程加密处理”对话框，将密码设为空，单击确定按钮，则弹出如图16.5所示对话框。第十六章系统安全管理北京亚控科技发展有限公司745图16.5取消工程加密单击确定按钮后系统将取消对工程的加密。单击取消按钮放弃对工程加密的取消操作。16.2组态王运行系统安全管理16.2.1运行系统安全管理概述在“组态王”系统中，为了保证运行系统的安全运行，对画面上的图形对象设置访问权限，同时给操作者分配访问优先级和安全区，当操作者的优先级小于对象的访问优先级或不在对象的访问安全区内时，该对象为不可访问，即要访问一个有权限设置的对象，要求先具有访问优先级，而且操作者的操作安全区须在对象的安全区内时，方能访问。操作者的操作优先级级别从1~999，每个操作者和对象的操作优先级级别只有一个。系统安全区共有64个，用户在进行配置时，每个用户可选择除“无”以外的多个安全区，即一个用户可有多个安全区权限，每个对象也可有多个安全区权限。除“无”以外的安全区名称可由用户按照自己注意：如果用户丢失工程密码，将无法打开组态王工程进行修改，请小心妥善保存密码！第十六章系统安全管理北京亚控科技发展有限公司746的需要进行修改。在软件运行过程中，优先级大于900的用户还可以配置其他操作者，为他们设置用户名、口令、访问优先级和安全区。16.2.2安全管理配置16.2.2.1优先级和安全区组态王采用分优先级和分安全区的双重保护策略。组态王系统将优先级从小到大定为1到999，可以对用户、图形对象、热键命令语言和控件设置不同的优先级。安全区功能在工程中使用广泛，在控制系统中一般包含多个控制过程，同时也有多个用户操作该控制系统。为了方便、安全地管理控制系统中的不同控制过程，组态王引入了安全区的概念。将需要授权的控制过程的对象设置安全区，同时给操作这些对象的用户分别设置安全区，例如工程要求A工人只能操作车间A的对象和数据，B工人只能操作车间B的对象和数据，组态王中的处理是：将车间A的所有对象和数据的安全区设置为包含在A工人的操作安全区内，将车间B的所有对象和数据的安全区设置为包含在B工人的操作安全区内，其中A工人和B工人的安全区不相同。应用系统中的每一个可操作元素都可以被指定保护级别（最大999级，最小1级）和安全区（最多64个），还可以指定图形对象、变量和热键命令语言的安全区。对应地，设计者可以指定操作者的操作优先级和工作安全区。在系统运行时，若操作者优先级小于可操作元素的访问优先级，或者工作安全区不在可操作元素的安全区内时，可操作元素是不可访问或操作的。组态王中可定义操作优先级和安全区的有：三种用户输入连接：模拟值输入、离散值输入、字符串输入；两种滑动杆输入连接：水平滑动杆输入、垂直滑动杆输入；三种命令语言输入连接和热键命令语言：(鼠标或等价键)按下时、按住时、弹起时；其它：报警窗、图库精灵、控件（包括通用控件）、自定义菜单；变量的定义（每个变量有相应的安全区和优先级）。当用户登录成功后，对于动画连接命令语言和热键命令语言，只有当登录用第十六章系统安全管理北京亚控科技发展有限公司747户的操作优先级不小于该图素或热键规定的操作优先级，并且安全区在该图素或热键规定的安全区内时，方可访问该对象或执行命令语言。命令语言执行时与其中连接的变量的安全区没有关系，命令语言会正常执行。对于滑动杆输入和值输入除要求登录用户的操作优先级不小于对象设置的操作优先级、安全区在对象的安全区内外，其安全区还必须在所连接变量的安全区内，否则用户虽然可以访问对象（使对象获得焦点），但不能操作和修改它的值，在组态王的信息窗口中也会有对连接变量没有修改权限的提示信息。16.2.2.2如何配置用户组态王中可根据工程管理的需要将用户分成若干个组来管理，即用户组。在组态王工程浏览器目录显示区中，用鼠标双击大纲项系统配置下的用户配置，或从工程浏览器的顶部工具栏中单击“用户”，弹出“用户和安全区管理器”对话框，如图16.6所示。图16.5用户和安全区配置对话框第十六章系统安全管理北京亚控科技发展有限公司74816.2.2.2.1如何定义用户组单击“新建”按钮，弹出“定义用户组和用户”对话框，选中“用户组”按钮，如图16.6所示。用户组下面可以包含多个用户，在对话框中的“用户组名”中填入所要配置的当前用户组的名称，如“系统维护员”；在“用户组注释”中填入对当前用户组的注释，如“系统维护组成员”。在右侧的“安全区”列表框中选择当前用户组下所有用户的公共安全区，配置完成后，按“确定”返回。图16.6用户组配置对话框也可对已定义完的用户组进行修改。在“用户和安全区配置”中选择要修改的用户组，单击“修改”按钮，弹出“定义用户组和用户”对话框，可以对用户组名、用户组注释、安全区等进行修改。单击“删除”按钮，可以对选中的用户组进行删除操作，系统会提示用户是否确实要进行删除操作，如果是点击“确定”按钮，否则点击“取消”按钮，取消删除操作。如果该用户组中定义有用户，则“删除”按钮为灰色，该命令无效，不能进行删除操作，只有当用户组为空时才第十六章系统安全管理北京亚控科技发展有限公司749可以删除该用户组。对系统默认生成的“系统管理员组”和“无组”不能进行删除操作，只能对其进行修改操作。16.2.2.2.2如何定义用户组下的用户一个用户组中可以包含多个用户，当建立了一个用户组之后，就可以在该用户组下添加用户了。在“定义用户组和用户”界面上，单击“用户”按钮，则“用户”下面的所有选项变为有效。如图16.7所示。图16.7用户组中用户配置对话框选中“加入用户组”，从下拉列表框中选择用户组名。例如刚才定义的“系注意：用户配置中，用户组名、用户注释、用户名、用户密码、用户注释最多可输入31个字符。第十六章系统安全管理北京亚控科技发展有限公司750统维护员”。在“用户名”中输入当前独立用户的名称，如“维护员A”；在“用户密码”中输入当前用户的密码，密码输入后显示为“*”；在“用户注释”中输入对当前用户的说明；“登录超时”中输入登录超时时间，即用户登录后，使用权限的时间，当到达规定的时间时，系统权限自动变为“无”，如果登录超时的值为0，则登录后没有登录超时的限制；在“优先级”中输入当前用户的操作优先级级别；在“安全区”中选择该用户所属安全区。用户配置完成后单击“确认”按钮。也可对已定义完的组中的用户进行修改。在“用户和安全区配置”中选择要修改的用户组中的用户，单击“修改”按钮，弹出“定义用户组和用户”对话框，可以对用户名、用户密码、用户注释、登录超时、优先级、安全区等进行修改。不能将该用户修改属于其他的用户组。单击“删除”按钮，可以对选中的用户进行删除操作。系统会提示用户是否确实要进行删除操作，如果是点击“确定”按钮，否则点击“取消”按钮，取消删除操作。对系统默认生成的“系统管理员组”和“无组”中的用户“系统管理员”和“无”不能进行删除操作，只能对其进行修改操作。16.2.2.2.3如何定义独立用户对于单独的不需要加入到任何一个用户组的用户，可以定义为独立用户。在“用户和安全区配置”对话框中，单击“新建”按钮，弹出独立用户配置的“定义用户组和用户”对话框，如图16.8所示。注意：增加到组中的用户将继承其组的关于安全区和优先级方面的性质，但用户可以对每个用户的安全区和优先级进行修改。第十六章系统安全管理北京亚控科技发展有限公司751图16.8独立用户配置对话框独立用户不属于任何一个用户组，其本身就是一个用户。在“用户名”中输入当前独立用户的名称，如“工艺员”；在“用户密码”中输入当前用户的密码；在“用户注释”中输入对当前用户的说明；“登录超时”中输入登录超时时间；在“安全区”中选择该用户所属安全区。用户配置完成后单击“确认”按钮。也可对已定义完的用户进行修改。在“用户和安全区配置”中选择要修改的用户，单击“修改”按钮，弹出“定义用户组和用户”对话框，可以对用户名、用户密码、用户注释、登录超时、优先级、安全区等进行修改。16.2.2.2.4如何修改安全区安全区的默认名称为“A，B，C……”，用户可通过“用户和安全区管理器”中的“编辑安全区”按钮来修改各个安全区的名称。单击“编辑安全区”按钮，弹出“安全区配置”对话框，如图16.9所示。第十六章系统安全管理北京亚控科技发展有限公司752图16.9安全区配置对话框用鼠标单击选择一个除“无”外的要修改的安全区名称，“修改”按钮由灰色不可用变为黑色可用，单击“修改”按钮，弹出“更改安全区名”对话框，如图16.10所示。图16.10更改安全区名称对话框在文本框中输入安全区的名称，单击“确认”按钮完成修改，照此方法，可修改所有的安全区名称。在其它的安全区选择列表框中选择安全区时，安全区的名称变成了修改后的名称，方便操作。第十六章系统安全管理北京亚控科技发展有限公司75316.2.2.3如何设置对象的安全属性16.2.2.3.1设置图形对象的安全属性当用户登录成功后，对于图形的动画连接命令语言，只有当登录用户的操作优先级不小于该图形规定的操作优先级，并且安全区在该图形规定的安全区内时，方可访问该图形或执行命令语言。命令语言执行时与其中连接的变量的安全区没有关系，命令语言会正常执行。对于滑动杆输入和值输入除要求登录用户的操作优先级不小于对象设置的操作优先级、安全区在对象的安全区内外，其安全区还必须在所连接变量的安全区内，否则用户虽然可以访问对象（使对象获得焦点