第10章 系统安全及用户管理员体系.doc

第10章 系统安全及用户管理员体系 本章要点 系统安全及用户管理员体系是组态软件必备的关键组件之一，一套优秀的组态软件应该具备强有力的系统访问安全性和多层次化的用户管理员设定体系，以满足不同功能用户的监控需求。本章首先介绍WebAccess的安全功能，然后分别详细的介绍用户权限和密码，用户类型，图表访问，区域和等级，最后介绍TCP端口和防火墙。从多个角度诠释WebAccess软件的全方位系统安全性和用户管理体系。 WebAccess 支持以下安全功能： （1）匿名访问 最低安全性，通常应用于具有大量用户场合。 （2）集成 Windows 验证 当用户要登录 Web 服务器（工程节点）时，必须拥有用户名和密码。这一步骤需要通过 Windows 的内部安全体系，因为要登录该台计算机，就必须要有用户名和密码。 （3）防火墙 WebAccess 需要两个 TCP 端口，能够使用任意指定端口。 （4）VPN Virtual Private Networks 虚拟专用网络，通过 Internet 或其它网络构造一个网络通道，具有最高的安全性。 （5）Secure Sockets Layer（SSL） 服务器端证书和客户端证书。 （6）只有安装客户端插件程序才可浏览数据 可以限制客户端插件程序的安装人数来限制用户是否可以观看到实时数据。 （7）只有工程节点是 Web 服务器 监控节点只是一个实时运行和采集数据的节点，不需为 Web 服务器。只有在下载ASP 页面和“配置文件”时 Web 服务器（工程节点）才与监控节点连接。 （8）WebAccess 权限和密码 建立在 Windows 的安全系统之上的，是WebAccess 内部自建的安全体系。区域和等级的设定可以限制对数据点的修改，用户名和密码的输入可以限制对实时数据的浏览。 （9）受限用户 这些用户仅被允许浏览到分配给他们的图片。全功能的客户端和瘦客户端都对该用户种类型有限制。 10.1 概要-用户权限和密码 使用浏览器监控，操作员必须依用户名和密码登录，不同的用户能够浏览的界面也不同。用户名不区分大小写，密码都必须区分大小写。 ViewDAQ 是本地非浏览器监控模式，ViewDAQ 的运行无须用户登录，任何可访问Windows 操作系统的用户都能够使用 ViewDAQ。在 ViewDAQ 模式下 Admin、线上管理员、线上操作员和个体管理员能够浏览所有的监控页面和点，区域和等级的设定能够限制用户修改点值。建议使用 Windows 安全体系锁定计算机以防止能够 ViewDAQ 模式进行意外操作。 管理员类型决定了该用户能够浏览何种类型的页面显示，以限制浏览实时数据和页面，必须对所有的用户都指定一管理员类型。管理员类型可分为 admin、工程管理员、线上管理员、线上操作员和个体管理员。 ( admin 和工程管理员只能够访问工程管理（工程管理工具）。admin 能够通过 Advantech实时监控访问所有的监控节点，工程管理员无法实时浏览数据，除非使用相同的用户名重新创建线上管理员、线上操作员或个体管理员类型的用户。 ( admin、线上管理员、线上操作员和个体管理员能够使用 Advantech 实时监控访问所有的监控节点，通过浏览器浏览显示页面和实时数据。 ( admin 和线上管理员能够通过 Advantech 实时监控访问排程功能、报表和系统记录。Admin 和工程管理员通过工程管理访问排程功能、报表和系统记录。 通过 Web浏览器登录，个体管理员只能够浏览指定的显示页面。如果指定的默认显示页面不存在或没有指定任何显示页面，个体管理员将无法登录到监控节点。对于个体管理员指定的每个页面，都可禁止或允许该个体管理员对于该页面的报警确认或修改点值。 区域和等级用于限制用户修改数据的能力，用户和点都必须分配有区域和等级，且用户和点有相同的区域，用户的等级大于等于点的等级时用户才能对这个点的值进行修改。 用户类型对本地监控节点上的 ViewDAQ浏览不起作用，即所有的 ViewDAQ本地用户（包括admin、线上管理员、线上操作员和个体管理员）都能够使用浏览所有的显示页面和系统页面、监控所有的点、确认报警和访问排程功能、浏览报表及系统记录。 10.2 用户类型 使用浏览器浏览，不同的用户能够浏览的界面也不同。用户类型及权限见表10-1。 表10-1 常用数据类型转换等函数 用户类型 权限 系统管理员 （admin） 工程管理员 能够进行工程管理和数据库设定 能够使用浏览器绘图 无法通过浏览器浏览实时监控界面 线上管理员 能够通过浏览器浏览系统内所有的监控界面：运行记录，报警记录，管理员程序和位置状态等 能够使用点信息对话框访问所有的点 能够监控排程报表和 ODBC 数据库记录