Как защитить проект WinCC?
Dr. Kren; 5.12.01

Как защитить проект WinCC от редактирования?

Так, что бы лицо, не знающее пароль администратора проекта не могло внести в проект изменения.
Re: Как защитить проект WinCC?
Dr. Kren; 29.12.01

Так что?

Полная лажа ваш WinCC ?
Кто угодно может войти в проект имея права администратора рабочей станции (а с другими правами WinCC работать отказывается) и творить что угодно ?
А заказчик потом выворачивает руки разработчику. А разработчик от "товарищей" из Siemens не может добиться внятного ответа ?
Re: Как защитить проект WinCC?
siemargl; 3.1.02

0.Во-первых, сам лопух...

1.Нужно права только "power user"
2.Нужно при установке не ставить редакторы (RT-only)
3.абсолютной защиты (на уровне файлов) все равно нет.

Re: Как защитить проект WinCC?
Dr. Kren; 4.1.02

0. Во первых - на лопух мало похож. Лопухи в 2 метра ростом - редкость великая. Да и цвет лица здоровый, зеленого совсем нет.

1. Ну и что далее? Копируем файлы на носитель (достаточно *.PDL), изменяем на другой станции и забрасываем обратно. И ВСЕ !!!
2. Изолировать станцию? А как насчет архивирования проекта на случай слета станции? Передачи данных на другие станции объекта?

Это защита от "дурака". А "дураков" на взлом пректов на нанимают...

Для примера.

На обычном сахарном заводе в сутки перерабатывается в среднем более 200 тонн сахара-сырца. Изменяя прект проводим через программу лишних 2-3 тонны (2-3 % от объема).
За месяц имеем 60-90 тонн сырца. Что в денежном эквиваленте равно примерно 10 000 баксов.
Так что дело того стоит.

Так что, WinCC для разработки серьезных систем автоматизации и учета по уровню защищенности не годится ?
Re: Как защитить проект WinCC?
Максим Поджидаев; 8.1.02

Здравствуйте!

Последний вопрос мне тоже интересен. Например можно было бы использовать систему безопасности Windows как это делается например в MSSQL.
А в вашем случае необходимо,я думаю, отделить машины WinCC (закрытая сеть) от открытой сети. Связь открытой и закрытой сети должна контролироваться администратором (с помощью подручных средств :), шлюз например) За администратором смотрит отдел коммерческой безопасности :). Без администратора безопасности вы не обеспечите.
Re: Как защитить проект WinCC?
Dr. Kren; 10.1.02

To Максим Поджидаев


Весьма признателен за идею.
Но уж очень хотелось решить проблему только средствами WinCC. Но, как видно, не судьба...

Однако еще раз спасибо!

С уважением ко всем...
В том числе и "товарищам" из SIEMENS.DE

Re: Как защитить проект WinCC?
Михайлин С.; 15.2.02

Гы-гы! Про "товарищей" хорошо!!!

Пара заметок от "тамбовского волка" от siemens.ru
- программу, которая ворочает такими деньгами(считает сахер), т.е. сам счетчик никогда не загоняют на комп. Она должна крутится в контроллере. А то и штатный останов компа тоже приведет к потере/навару денег. А защитить ЦПУ проще и надежнее. ЭТО ГЛАВНОЕ! Точный расчет ТЭП должен быть жестко привязан к ходу течения процесса и не зависить от системы отображения. Если показатели передаются куда-то в другое место(на другой комп или прложение, то см. ниже по поводу сети и доступа)
- ессно, ставить блокировку системных комбинаций для RT и ставить также пароль Админа именно для RT. Это не даст потециальному ГАДУ выйти из RT и добраться до файлов с локальной машины. При этом минимизировать использование внешних программ.
-использовать автологон NT и автостарт RT
-выше высказанные предложения верны. Power User достаточно.
-ессно, если так все строго, то сеть АСУ должна быть несколько обособлена и ограничена в доступе. И здесь вопрос не к WinCC, а к СисАдмину.
-опять же, если так все строго, то помещение АСУ должно быть ограничено в доступе и это вопрос к службе безопасности предприятия. Если кто угодно может сесть за комп, тогда я не удивлюсь если сахара ваще не будет.
Так что хаить WinCC рано, она имеет необходимые (для нее) средства защиты, остальное надо продумать и реализовыватьна в общей системе АСУ ТП. На НПЗ его тоже ставят и ничего, бензин не вороют. Конечно, вскрыть можно все, но таких «дураков» интересует не сахар, а банки. ;-)))

Re: Как защитить проект WinCC?
Dr. Kren; 23.2.02

Всем привет!


To [Михайлин С.; 15.2.02]
Спасибо за разъяснения!
Несколько слов о вышесказанном.

>- программу, которая ворочает такими деньгами(считает сахер), т.е. сам счетчик никогда не загоняют на комп. Она должна крутится в контроллере.
Все бы хорошо, да система измерения веса установлена другой конторой и не имеет прямого канала для передачи данных в контроллер. Данные можно взять только через OPC.

> штатный останов компа тоже приведет к потере/навару денег
Как раз нет. При останове компа останавливается процесс управления подачей и выгрузкой. Смене не выгодно вести учет в ручную, так как в этом случае весь недостающий "сахер" вешается на дежурную смену.

>опять же, если так все строго, то помещение АСУ должно быть ограничено в доступе и это вопрос к службе безопасности предприятия
С этим порядок. Кто угодно за комп не сядет.

А решить проблему хотелось бы несколько иначе. А именно - задать пароль на право изменения проекта (пароль администратора), а пользователям дать права только на чтение. Тогда даже если проект перенесут на другую станцию (где имеется RC) не зная пароля администратора проекта внести изменения будет ОЧЕНЬ нелегкой задачей.

С уважением ко всем...
Re: Как защитить проект WinCC?
Чистяков Дмитрий ОАО СеверСталь; 26.2.02

Так а чем же Вам User Administrator не подходит.

Сделайте вход со станции под пользователем User Adm., которому разрешено, только картинки переключать. Для каких либо запрещённых оператору действий к кнопке(или другому объекту) привяжите авторизацию более высокого уровня. В общем далее по инструкции User Adm.
При этом запрещаете все комбинации системных клавишь.
С рабочего стола удаляются все иконки. Также удаляются все иконки из меню "Пуск".
Запрещаете доступ пользователю к сетевому окружению. При этом WinCC в режиме клиент-сервер работать всёравно будет.
Делеаете автологин с запуском WinCC.

У нас так все станции сделаны, т.к. соблазн побаловаться у технологов велик. И их не интересует производство, а просто поиграть-бы или ещё чего.
Re: Как защитить проект WinCC?
Alexis; 26.2.02

Дык вместо удаления иконок проще наверное с ключиком HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell"="Explorer.exe" поиграться...

Re: Как защитить проект WinCC?
Павел Берляков; 27.2.02

Вопрос состоит еще и в том, что при рестарте системы (а такое вполне может быть) автозагрузка идет достаточно медленно для того, чтобы успеть нажать CANCEL. После этого делай что хочешь.


Re: Как защитить проект WinCC?
siemargl; 6.3.02

Еще раз для сомневающихся.

По _официальной_ whitepaper от Microsoft - хоть какая-либо надежность может присутствововать только, если физического доступа с компьютеру нет.

Все остальное - "защита от дурака". А как известно, есть защита от дурака, но только не от изобретательного.
Re: Как защитить проект WinCC?
Александр Родин, ООО "Нева Электрик"; 6.3.02

2 Alexis:

Кстати, попробовал побаловаться с реестром... Результат весьма забавный... :)
Если иметь несколько профилей пользователя, то этот метод очень хорошо подходит. :)