Как защитить проект WinCC?
Dr. Kren;
5.12.01
Как защитить проект WinCC от редактирования?
Так, что бы лицо, не знающее пароль администратора проекта не могло
внести в проект изменения.
Re: Как защитить проект WinCC?
Dr. Kren; 29.12.01
Так что?
Полная лажа ваш WinCC ?
Кто угодно может войти в проект имея права администратора рабочей
станции (а с другими правами WinCC работать отказывается) и творить
что угодно ?
А заказчик потом выворачивает руки разработчику. А разработчик от
"товарищей" из Siemens не может добиться внятного ответа ?
Re: Как защитить проект WinCC?
siemargl; 3.1.02
0.Во-первых, сам лопух...
1.Нужно права только "power user"
2.Нужно при установке не ставить редакторы (RT-only)
3.абсолютной защиты (на уровне файлов) все равно нет.
Re: Как защитить проект WinCC?
Dr. Kren; 4.1.02
0. Во первых - на лопух мало похож. Лопухи в 2 метра ростом -
редкость великая. Да и цвет лица здоровый, зеленого совсем нет.
1. Ну и что далее? Копируем файлы на носитель (достаточно *.PDL),
изменяем на другой станции и забрасываем обратно. И ВСЕ !!!
2. Изолировать станцию? А как насчет архивирования проекта на
случай слета станции? Передачи данных на другие станции
объекта?
Это защита от "дурака". А "дураков" на взлом пректов на
нанимают...
Для примера.
На обычном сахарном заводе в сутки перерабатывается в среднем более
200 тонн сахара-сырца. Изменяя прект проводим через программу
лишних 2-3 тонны (2-3 % от объема).
За месяц имеем 60-90 тонн сырца. Что в денежном эквиваленте равно
примерно 10 000 баксов.
Так что дело того стоит.
Так что, WinCC для разработки серьезных систем автоматизации и
учета по уровню защищенности не годится ?
Re: Как защитить проект WinCC?
Максим Поджидаев; 8.1.02
Здравствуйте!
Последний вопрос мне тоже интересен. Например можно было бы
использовать систему безопасности Windows как это делается например
в MSSQL.
А в вашем случае необходимо,я думаю, отделить машины WinCC
(закрытая сеть) от открытой сети. Связь открытой и закрытой сети
должна контролироваться администратором (с помощью подручных
средств :), шлюз например) За администратором смотрит отдел
коммерческой безопасности :). Без администратора безопасности вы не
обеспечите.
Re: Как защитить проект WinCC?
Dr. Kren; 10.1.02
To Максим Поджидаев
Весьма признателен за идею.
Но уж очень хотелось решить проблему только средствами WinCC. Но,
как видно, не судьба...
Однако еще раз спасибо!
С уважением ко всем...
В том числе и "товарищам" из SIEMENS.DE
Re: Как защитить проект WinCC?
Михайлин С.; 15.2.02
Гы-гы! Про "товарищей" хорошо!!!
Пара заметок от "тамбовского волка" от siemens.ru
- программу, которая ворочает такими деньгами(считает сахер), т.е.
сам счетчик никогда не загоняют на комп. Она должна крутится в
контроллере. А то и штатный останов компа тоже приведет к
потере/навару денег. А защитить ЦПУ проще и надежнее. ЭТО ГЛАВНОЕ!
Точный расчет ТЭП должен быть жестко привязан к ходу течения
процесса и не зависить от системы отображения. Если показатели
передаются куда-то в другое место(на другой комп или прложение, то
см. ниже по поводу сети и доступа)
- ессно, ставить блокировку системных комбинаций для RT и ставить
также пароль Админа именно для RT. Это не даст потециальному ГАДУ
выйти из RT и добраться до файлов с локальной машины. При этом
минимизировать использование внешних программ.
-использовать автологон NT и автостарт RT
-выше высказанные предложения верны. Power User достаточно.
-ессно, если так все строго, то сеть АСУ должна быть несколько
обособлена и ограничена в доступе. И здесь вопрос не к WinCC, а к
СисАдмину.
-опять же, если так все строго, то помещение АСУ должно быть
ограничено в доступе и это вопрос к службе безопасности
предприятия. Если кто угодно может сесть за комп, тогда я не
удивлюсь если сахара ваще не будет.
Так что хаить WinCC рано, она имеет необходимые (для нее) средства
защиты, остальное надо продумать и реализовыватьна в общей системе
АСУ ТП. На НПЗ его тоже ставят и ничего, бензин не вороют. Конечно,
вскрыть можно все, но таких «дураков» интересует не сахар, а банки.
;-)))
Re: Как защитить проект WinCC?
Dr. Kren; 23.2.02
Всем привет!
To [Михайлин С.; 15.2.02]
Спасибо за разъяснения!
Несколько слов о вышесказанном.
>- программу, которая ворочает такими деньгами(считает сахер),
т.е. сам счетчик никогда не загоняют на комп. Она должна крутится в
контроллере.
Все бы хорошо, да система измерения веса установлена другой
конторой и не имеет прямого канала для передачи данных в
контроллер. Данные можно взять только через OPC.
> штатный останов компа тоже приведет к потере/навару денег
Как раз нет. При останове компа останавливается процесс управления
подачей и выгрузкой. Смене не выгодно вести учет в ручную, так как
в этом случае весь недостающий "сахер" вешается на дежурную
смену.
>опять же, если так все строго, то помещение АСУ должно быть
ограничено в доступе и это вопрос к службе безопасности
предприятия
С этим порядок. Кто угодно за комп не сядет.
А решить проблему хотелось бы несколько иначе. А именно - задать
пароль на право изменения проекта (пароль администратора), а
пользователям дать права только на чтение. Тогда даже если проект
перенесут на другую станцию (где имеется RC) не зная пароля
администратора проекта внести изменения будет ОЧЕНЬ нелегкой
задачей.
С уважением ко всем...
Re: Как защитить проект WinCC?
Чистяков Дмитрий ОАО
СеверСталь; 26.2.02
Так а чем же Вам User Administrator не подходит.
Сделайте вход со станции под пользователем User Adm., которому
разрешено, только картинки переключать. Для каких либо запрещённых
оператору действий к кнопке(или другому объекту) привяжите
авторизацию более высокого уровня. В общем далее по инструкции User
Adm.
При этом запрещаете все комбинации системных клавишь.
С рабочего стола удаляются все иконки. Также удаляются все иконки
из меню "Пуск".
Запрещаете доступ пользователю к сетевому окружению. При этом WinCC
в режиме клиент-сервер работать всёравно будет.
Делеаете автологин с запуском WinCC.
У нас так все станции сделаны, т.к. соблазн побаловаться у
технологов велик. И их не интересует производство, а просто
поиграть-бы или ещё чего.
Re: Как защитить проект WinCC?
Alexis; 26.2.02
Дык вместо удаления иконок проще наверное с ключиком
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\"Shell"="Explorer.exe" поиграться...
Re: Как защитить проект WinCC?
Павел
Берляков; 27.2.02
Вопрос состоит еще и в том, что при рестарте системы (а такое
вполне может быть) автозагрузка идет достаточно медленно для того,
чтобы успеть нажать CANCEL. После этого делай что хочешь.
Re: Как защитить проект WinCC?
siemargl; 6.3.02
Еще раз для сомневающихся.
По _официальной_ whitepaper от Microsoft - хоть какая-либо
надежность может присутствововать только, если физического доступа
с компьютеру нет.
Все остальное - "защита от дурака". А как известно, есть защита от
дурака, но только не от изобретательного.
Re: Как защитить проект WinCC?
Александр
Родин, ООО "Нева Электрик"; 6.3.02
2 Alexis:
Кстати, попробовал побаловаться с реестром... Результат весьма
забавный... :)
Если иметь несколько профилей пользователя, то этот метод очень
хорошо подходит. :)