CPU 保护功能的概述简介本章描述了下列用于防止对 ET 200SP 进行未经授权的访问的功能:• 保护机密的组态数据• 访问保护• 专有技术保护• 防拷贝保护CPU 的其它保护措施下列措施可进一步防止从外部源和网络对 CPU 的功能和数据进行未经授权的访问。• 禁用 Web 服务器• 禁用 OPC UA 服务器(有关 OPC UA 服务器的安全机制的详细信息,请参见通信功能手册)• 禁用通过 NTP 服务器的时间同步• 禁用 PUT/GET 通信使用 Web 服务器时,可通过以下方式防止 ET 200SP 分布式 I/O 系统遭到未经授权的访问:• 在用户管理中为特定用户设置受密码保护的访问权限。• 使用默认的“仅允许通过 HTTPS 访问”(Allow access via HTTPS only) 选项。此选项仅允许使用安全超文本传输协议 HTTPS 来访问 Web 服务器。10.2 保护机密的组态数据自 STEP 7 V17 起,可通过指定一个密码保护相应 CPU 的机密组态数据。包括诸如私钥等基于证书的协议正常运行所需数据。有关机密组态数据保护的更多信息,请参见功能手册《通信》。说明更换部件方案根据部件更换方案更换其中的 CPU 会影响用于保护机密组态数据的密码。更换 CPU 时,请遵循《通信 功能手册》中所述部件更换方案规则。151分布式 I/O 系统系统手册, 11/2022, A5E03576855-AM10.3 组态 CPU 的访问保护简介CPU 提供了四个访问级别,用于限制对特定功能的访问。设置 CPU 的访问等级和密码后,则需输入密码才能访问功能和存储区。将在 CPU 的对象属性中指定各种访问级别以及相关的密码条目。密码规则确保密码的安全性足够高。密码不得采用机器可识别的模式。遵循下列规则:• 分配的密码长度至少为 8 个字符。• 使用不同格式和字符:大写/小写、数字和特殊字符。CPU 的访问级别表格 10-1 访问级别和访问限制访问级别 访问限制完全访问权限(无保护)任何用户都可以读取和更改硬件配置及块。读访问权 在这一级访问中,可以不输入密码对硬件配置和块进行只读访问。即,可将硬件配置和块下载到编程设备中。此外,还可访问 HMI 和诊断数据。但不输入密码,无法将任何块或硬件配置加载到 CPU 中。此外,如果没有密码,也无法进行以下操作:• 编写测试功能• 固件更新(在线)HMI 访问权 对于此访问级别,如果不输入密码则只能访问 HMI 和诊断数据。如果不输入密码,既不能将块和硬件配置加载到 CPU 中,也无法从 CPU 中将块和硬件配置加载到编程设备中。此外,如果没有密码,也无法进行以下操作:• 编写测试功能• 更改模式 (RUN/STOP)• 固件更新(在线)• 显示在线/离线比较状态无访问权(完全保护)对 CPU 进行全面保护时,不能对硬件配置和块进行读/写访问(不提供密码形式的访问权限)。同样无法进行 HMI 访问。PUT/GET 通信的服务器功能在该访问级别中被禁用(无法更改)。必须通过密码验证,才能得到 CPU 的完全访问权。STEP 7 在线帮助的“设置保护选项”(Setting options for the protection) 条目中枚举了不同保护级别中可用的功能。访问级别的属性每个访问级别都允许在不输入密码的情况下对某些功能进行无限制访问,例如,使用“可访问设备”功能进行识别。152分布式 I/O 系统系统手册, 11/2022, A5E03576855-AM保护10.3 组态 CPU 的访问保护CPU 的默认设置为“无访问权限(完全保护)”。在默认访问级别下,不允许用户读取或更改硬件配置或块。要获得对 CPU 的访问权限,也可以在 CPU 属性中分配参数:• “无访问权限(完全保护)”保护级别的密码• 其它保护级别,例如“完全访问权限(无保护)”除非在“无访问权限”(No access)(完全保护)访问级别禁用 PUT/GET 通信,否则 CPU 间的通信(通过块中的通信功能实现)不受 CPU 访问级别的限制。输入权限密码则可以访问对应级别中允许的所有功能。说明组态一个访问级别并不能取代专有技术保护通过限制向 CPU 下载硬件和软件组态的权限,组态访问级别可提供gaoji别的防护以防止对CPU 进行未经授权的更改。但不会对 SIMATIC 存储卡上的块设置读写保护。使用专有技术保护则可以保护 SIMATIC 存储卡上的代码块。不同访问级别下的功能特性STEP 7 在线帮助提供了一张表,其中列出了不同访问级别下可以使用的在线功能。选择访问级别要组态 CPU 的访问级别,请按以下步骤操作:1. 在巡视窗口中,打开 CPU 的属性。2. 在区域导航中打开“保护”(Protection) 条目。将在巡视窗口中显示一张列有各种访问级别的表格。图 10-1 可能的访问级别3. 激活表格第一列中所需的保护等级。列中访问级别右侧的绿色复选标记将指示如不输入密码仍可执行的操作。在上例中,没有密码仍可进行读访问和 HMI 访问。4. 在“输入密码”(Enter password) 列中,在第一行指定“完全访问权限”(Full access) 访问级别的密码。在“确认密码”(Confirm password) 列中,再次输入所选密码以免输入错误。5. 根据需要为其它访问级别分配密码。6. 下载硬件配置以使访问级别生效。153保护10.3 组态 CPU 的访问保护分布式 I/O 系统系统手册, 11/2022, A5E03576855-AMCPU 会通过条目将以下操作记录到诊断缓冲区中:• 正确或错误密码的输入(视具体情况)• 在访问级别组态中进行的更改操作过程中受密码保护 CPU 的特性CPU 保护在将设置下载到 CPU 之后才生效。在执行在线功能之前,CPU 检查所需的权限,必要时将提示用户输入密码。受密码保护的功能在任何时刻都只能由一个 PG/PC 执行。其它 PG/PC 无法登录。保护数据的访问授权于在线连接期间有效,或在通过“在线 > 删除访问权限”(online > Deleteaccess rights) 手动取消访问授权之前保持有效。F-CPU 的访问级别故障安全 CPU 除了上述四种访问级别外,还有另外一种访问级别。有关该访问级别的更多信息,请参见《SIMATIC Safety 编程和操作手册 SIMATIC Safety - 组态和编程》中的故障安全系统介绍。10.4 使用用户程序设置其它访问保护通过用户程序进行访问保护您也可以通过 ENDIS_PW 操作限制在 STEP 7 中访问受密码保护的 CPU。关于该块的描述,请参见在线帮助,关键词:“ENDIS_PW:限制和启用密码合法性”。10.5 专有技术保护应用可以使用专有技术保护来保护程序中一个或多个 OB、FB、FC 块以及全局数据块,防止受未经授权的访问。可以输入密码限制对块的访问。密码可提供gaoji别防护功能,以防止对块进行未经授权的读取或篡改。密码提供程序除了手动输入密码,也可在 STEP 7 中连接一个密码提供程序。使用密码提供程序时,可从可用的密码列表中选择一个密码。打开一个受保护的块时,STEP 7 将连接该密码提供程序并检索相应的密码。要连接密码提供程序,则需安装该程序并进行激活。此外,还需提供设置文件,用于定义密码提供程序的使用方式。154分布式 I/O 系统系统手册, 11/2022, A5E03576855-AM保护10.5 专有技术保护密码提供程序具有以下优势:• 通过密码提供程序定义和管理密码。打开专有技术保护块时,将使用密码对应的符号名称。例如,在密码提供程序中,使用符号名称“Machine_1”标记密码。“Machine1”背后的实际密码,对用户仍不可知。用户本身不知道密码,因此密码提供程序可提供zuijia块保护。• 在不直接输入密码的情况下,STEP 7 可自动打开专有技术保护块。从而节省大量时间。有关连接密码提供程序的更多信息,请参见 STEP 7 在线帮助。可读数据若一个块受专有技术保护,在不输入正确密码的情况下,只能读取下列数据:• 块标题、注释和块属性• 块参数(INPUT、OUTPUT、IN、OUT、RETURN)• 程序调用结构• 不带使用点信息的全局变量其它操作对于受到专有技术保护的块,可执行以下进一步操作:• 复制和删除• 在程序中调用• 在线/离线比较• 加载全局数据块和数组数据块可以通过专有技术保护防止全局数据块(全局 DB)受到未授权访问。无有效密码的用户可以读取但不能更改全局数据块。专有技术保护不适用于数组数据块(数组 DB)。155保护10.5 专有技术保护分布式 I/O 系统系统手册, 11/2022, A5E03576855-AM设置块的专有技术保护要对块设置专有技术保护,请按下列步骤操作:1. 打开相应块的属性。2. 在“常规”(General) 下选择“保护”(Protection) 选项。图 10-2 设置块的专有技术保护 (1)3. 单击“保护”(Protection) 按钮,显示“专有技术保护”(Know-how protection) 对话框。图 10-3 设置块的专有技术保护 (2)4. 单击“定义”(Define) 按钮,打开“定义密码”(Define password) 对话框。图 10-4 设置块的专有技术保护 (3)5. 在“新密码”(New password) 框中输入新密码。在“确认密码”(Confirm password) 框中输入相同的密码。6. 单击“确定”(OK),确认输入。7. 单击“确定”(OK),关闭“专有技术保护”(Know-how protection) 对话框。结果:现在所选块将受到专有技术保护。在项目树中,受专有技术保护的块将标记为一个锁形标识。输入的密码将应用于所选的所有块。说明密码提供程序此外,也可使用密码提供程序为块设置专有技术保护。156分布式 I/O 系统系统手册, 11/2022, A5E03576855-AM保护10.5 专有技术保护打开受专有技术保护的块要打开受到专有技术保护的块,请按下列步骤操作:1. 双击块,将打开“访问保护”(Access protection) 对话框。2. 输入受专有技术保护块的密码。3. 单击“确定”(OK),确认输入。结果:将打开受专有技术保护的块。打开该块之后,只要该块或 STEP 7 已经打开,就可以编辑该块的程序代码和块接口。下次打开该块时,必须再次输入密码。如果使用“取消”(Cancel) 按钮关闭“访问保护”(Accessprotection) 对话框,则块虽然可以打开,但不显示块代码也不能进行编辑。若将该块复制或添加到一个库中,其专有技术保护不会取消。副本块同样也受专有技术保护。取消块的专有技术保护要删除块的专有技术保护,请按下列步骤操作:1. 选择要取消专有技术保护的块。不能在程序编辑器中打开受保护的块。2. 在“编辑”(Edit) 菜单中,选择“专有技术保护”(Know-how protection) 命令以打开“专有技术保护”(Know-how protection) 对话框。3. 禁用复选框“隐藏代码(专有技术保护)”(Hide code (know-how protection))。图 10-5 取消块的专有技术保护 (1)4. 输入密码。图 10-6 取消块的专有技术保护 (2)5. 单击“确定”(OK),确认输入。结果:将取消所选块的专有技术保护。参见防拷贝保护 (页 157)防拷贝保护应用防拷贝功能可对程序提供保护,防止未经授权的复制。使用防拷贝功能,可将块与特定SIMATIC 存储卡或 CPU 关联在一起。通过链接 SIMATIC 存储卡或 CPU 的序列号,该程序或块只能与特定的 SIMATIC 存储卡或 CPU 一起使用。防拷贝和专有技术保护建议:为了防止防拷贝保护遭到未经授权的重置,还应为防拷贝保护块设置专有技术保护。为此,首先对块设置防拷贝保护,然后设置专有技术保护。有关建立专有技术保护的更多信息,请参见“专有技术保护 (页 154)”部分设置防拷贝保护要设置防拷贝保护,请按以下步骤操作:1. 打开相应块的属性。2. 在“常规”(General) 下选择“保护”(Protection) 选项。图 10-7 设置防拷贝保护 (1)3. 在“防拷贝保护”(Copy protection) 区域中,从下拉列表中选择“绑定 CPU 的序列号”(Bind toserial number of the CPU) 条目或“绑定存储卡的序列号”(Bind to serial number of thememory card) 条目。图 10-8 设置防拷贝保护 (2)4. 如果需要在上传过程中自动插入序列号(动态绑定),请激活选项“下载到设备或存储卡时插入序列号”(Serial number is inserted when downloading to a device or a memory card)。通过“定义密码”(Define password) 按钮指定密码后,需先输入密码才能使用块。如果要手动将 CPU 或 SIMATIC 存储卡的序列号绑定到某个块(静态绑定),则需激活选项“输入序列号”(Enter serial number)。5. 现在,可以在“专有技术保护”(Know-how protection) 区域中设置块的专有技术保护。说明如果将防拷贝保护块下载到与特定序列号不匹配的设备中,则系统拒绝执行整个下载操作。这意味着,即使不带防拷贝保护的块也不会下载。158分布式 I/O 系统系统手册, 11/2022, A5E03576855-AM保护10.6 防拷贝保护取消防拷贝保护要取消防拷贝保护,请按下列步骤操作:1. 取消现有的专有技术保护。2. 打开相应块的属性。3. 在“常规”(General) 下选择“保护”(Protection) 选项。4. 在“防拷贝保护”(Copy protection) 区域中,从下拉列表中选择“不绑定”(No binding) 条目。
组态控制(选件处理简介组态控制(选件处理)用于在一个项目中执行不同标准的机器组态级别,而不更改组态或用户程序。组态控制的操作原理参见“组态控制”凭借组态控制,可基于一个 ET 200SP 分布式 I/O 系统组态,操作不同标准的机器组态。• 在项目中组态为全站组态方式(最大组态)。全站组态方式中包含模块化标准机器组件所需的所有模块。• 项目的用户程序中则包含不同标准机器组态级别对应的各种站组态方式,以及站组态方式的选件。例如,站组态方式仅使用全站组态方式中的部分模块,并更改这些模块插入的插槽顺序。• 标准机器制造商在组态标准机器时,通常选择站组态方式。为此,项目无需修改也无需加载修改后的组态。可使用编程的控制数据记录通知 CPU/接口模块:与全站组态方式相比,哪些模块缺失或插入了不同的插槽中。组态控制不会影响模块的参数分配。通过组态控制,可以灵活切换集中/分布式组态。仅当该站组态方式源自全站组态方式时,才能使用。下图显示了 ET 200SP 分布式 I/O 系统相应站组态方式中,标准机器的三种组态方式。标准机器的不同组态级别,与 ET 200SP 分布式 I/O 系统的站组态方式相对应。优势• 在一个单 STEP 7 项目中对所有站组态方式,极大简化了项目的管理和调试过程。• 简化了维护、版本管理与升级的操作过程:• 节省了大量硬件设备:只需安装机器当前站组态方式中所需的 I/O 模块。• 显著降低了标准机器中创建、调试和文档记录的工作量。• 通过预接线空插槽,极大简化了站的扩展方式。进行扩展时,只需根据新模式简单更换 BU盖板即可。有关此内容的更多信息,请参见“组态控制示例 (页 176)”部分。161组态控制(选件处理)分布式 I/O 系统系统手册, 11/2022, A5E03576855-AM操作步骤要设置组态控制,请按以下步骤操作:步骤 操作步骤 参见...1 在 STEP 7 中启用组态控制 “组态 (页 162)”部分2 创建控制数据记录 “创建控制数据记录 (页 163)”部分3 传送控制数据记录 “在 CPU 启动程序中传送控制数据记录 (页172)”部分用于组态控制的库用于组态控制的库可从 Internet 上下载该库中包含ET 200SP 分布式 I/O 系统中各种数据类型的控制数据记录结构。凭借这些数据类型,自动化解决方案的实施更为快速便捷且极具灵活性。说明电机起动器的组态控制当电机起动器的组态控制激活时,可使用“手动本地”模式。电机起动器采用上一个有效参数。在“本地手动”模式处于激活状态时,请勿更改参数化。