保护与安全 (S7-1500) 使用安全设置向导 (S7-1500) 将硬件目录中的 CPU 添加到 TIA Portal 中支持 PG/HMI 安全通信的项目时，该 CPU 的安全设 置向导随即启动。 在该向导中，将逐步完成以下 CPU 设置： • 保护机密 PLC 组态数据的密码 • PG/PC 和 HMI 通信模式 • 访问等级 在向导中，将这些设置逐一进行详细说明。Zui后，在总览中再次统一显示所有设置。 在 TIA Portal 的网络视图中更换模块，该向导也将启动。与替换下来的 CPU 不同，新 CPU 支 持 PG/HMI 安全通信。 向导中的所有设置都将应用到巡视窗口（CPU 属性）中。 通过 CPU 属性中“保护与安全”(Protection & Security) 区域内的“开始”(Start) 按钮，可随随 时启动该向导。保护机密的组态数据 (S7-1500) 在 STEP 7 V17 及以上版本中，可指定一个密码对相应 CPU 机密的组态数据进行保护，具体 包括诸如私钥等基于证书的协议正常运行所需数据。 如果已采取相应措施保护 TIA Portal 项目和 CPU 组态防止未经授权的访问，则可以不使用密 码。 有关安全保护机制说明以及机密 PLC 组态数据密码保护措施（复位、更改、备件相关信息） 的详细说明，请参见安全通信的要求（以及功能手册《S7-1500 通信》）。 操作步骤 1. 在网络视图或设备视图中打开 CPU 属性。 2. 导航至区域“保护与安全 > 保护 PLC 组态数据”(Protection & Security > Protection of the PLC configuration data)。 结果：首先启用“保护机密 PLC 组态数据”(Protect confidential PLC configuration data) 选项， 然后用于输入密码的空白字段以红色突出显示。 3. 通过“设置”(Set) 按钮组态密码（推荐）或禁用“保护机密 PLC 组态数据”(Protect confidential PLC configuration data) 选项。 4. 完成组态并创建用户程序。 5. 下载到 CPU。 下载硬件配置时，系统将要求用户重新输入一次密码。 背景：在 TIA Portal 中使用已组态的密码来生成密钥信息，以保护机密组态数据。出于安全 原因，密码和密钥信息均未保存在项目中。为了将密钥信息传送到 CPU，在下载硬件配置时 会重新生成密钥信息，因此，此时必须重新输入一次密码。

             提示与规则 • 在密码管理器中管理密码。 • 使用 TIA Portal 的密码策略验证设置来检查新输入的密码是否符合要求，并防止使用简单 密码，例如： – 在项目树中，导航至区域“<项目名称> > 安全设置 > 设置”(> Security settings > Settings)，然后选择“密码策略”(Password policies) 区域。 – 例如，指定密码必须包含的Zui少字符数或Zui少特殊字符数。 • 无需为系统或计算机中的每个 CPU 分配不同的密码。如果满足要求，可以为一组 CPU 定 义相同的密码。在更换部件方案中，该策略也具有优势：如果将组密码分配给更换的 CPU，则可减少更换 CPU 的工作量。 请注意，如果其中一个 CPU 的密码发生泄露，则采用相同密码的所有 CPU 都面临风险。 • 密码的定义也对更换部件方案有影响（参见“更换部件方案的规则 (页 397)”）。 • 使用S7-1500R/H CPU时，加载过程中仅将机密 PLC 组态数据的密码加载到其中一个 CPU 中。为确保同步过程正常运行且伙伴 CPU 正常运行，该密码也需通过“在线与诊 断”(Online and Diagnostics) 编辑器传送到伙伴 CPU 中： – 在“在线和诊断”(Online and diagnostics) 视图中，可指定区域“保护机密 PLC 组态数 据的密码”(Password to protect confidential PLC configuration data)。 – 输入所需密码，并单击“设置”(Set) 按钮。 如果输入的密码正确，则伙伴 CPU 可使用受保护的 PLC 组态数据并启动同步过程。 参见 安全通信要求 (页 387) 用户和角色的设置 (S7-1500) 有关本地用户管理和访问控制的实用信息 (S7-1500) 自 TIA Portal 版本 V19 和 CPU 固件版本 V3.1 起（对于 S7-1200，自 V4.7 起），S7-1500 和 S7-1200 CPU 中的用户、角色和 CPU 功能权限的管理方式（用户管理和访问控制，UMAC） 已改进。自版本 V30.1 起，软件控制器也具有此功能。 自上述版本起，可在 TIA Portal 的项目用户和角色编辑器中，管理所有项目用户及其对项目 中所有 CPU 的权限（例如访问权限）： • 例如，导航至项目导航中的“安全设置 > 用户和角色”(Security Settings > Users and roles) 区域，以管理用户及其权限，从而控制访问权限。TIA Portal 保存用户自定义角色中的 CPU 功能权限分配，以及每个 CPU 中分配了这些角色的 用户。不存在包含预定义 CPU 功能权限的系统定义角色。 在下载组态后，用户管理功能在相应的 CPU 中生效。下载后，每个 CPU 都“了解”用户可 以访问的服务以及可以执行的具体功能。 这一新功能在下文中也称为“本地用户管理和访问控制”。 说明 CPU 功能权限不提供全局用户支持 TIA Portal 中的另一种用户管理方式是集中用户管理 UMC（用户管理组件）。使用此组件， 可管理服务器上的全局用户，也可以通过连接 MS Active Directory 来实现。然后通过 UMC 进行身份验证。UMC 目前不支持对 CPU 特定功能权限进行全局用户管理。 用户、角色和功能权限 - 新功能的详细信息 在上一个版本中，用户和角色已经在 TIA Portal 的“安全设置 > 用户和角色”(Security settings > Users and roles) 下进行管理。除了现有 HMI 设备的用户管理之外，自 TIA Portal V19 起还 可以通过此编辑器管理所有 CPU 功能权限。 CPU 功能权限在运行期间有效。因此，这些权限位于用户和角色编辑器的“运行系统权 限”(Runtime rights) 选项卡中。对于项目中的每个 CPU，都有一个专门区域用于选择所有 CPU 功能权限 - 根据 CPU 服务，例如 PG/HMI 通信（工程组态访问、访问级别），Web 服务器和 OPC UA 划分为不同的部分。 除了项目的用户管理 的属性中还提供 Web 服务器和 OPC UA 服务器的用户管理（固件版本 不超过 V3.0 的 CPU 支持静态用户管理）： • OPC UA 服务器的用户（身份验证） • Web 服务器的用户（身份验证和访问控制） 自 TIA Portal V19 和 CPU 固件版本 V3.1 起，这些额外的用户管理功能集成到项目导航的本 地用户管理中。 本地用户管理和访问控制简介 对于固件版本不超过 V3.0 (S7-1500) 或 V4.6 (S7-1200) 的 CPU，在 CPU 属性下根据“Web 服 务器”(Web server) 和“OPC UA”等服务划分的相应区域来管理用户。Web 服务器用户在“Web 服务器”(Web server) 区域中进行参数设置，OPC UA 用户在“OPC UA”区域中进行参数设置。 要通过不同的访问级别限制 PG/HMI 对 CPU 的访问，需要组态相应访问级别的密码。例如， 通过此步骤，HMI 访问可以不受限制，但写访问需要。各访问级别的密码在 CPU 属性的“保护和安全”(Protection & Security) 区域进行设置。因此，访问保护针对具有相应密码的组，而 不是具体的用户。 自 TIA Portal V19 版本起引入本地用户管理和访问控制后，TIA Portal 的项目导航中的“安 全设置 > 用户和角色”(Security settings > Users and roles) 区域适用于所有用户及其角色和 CPU 的功能权限。这也适用于工程组态/HMI 访问的访问保护，自 TIA Portal 版本 V19 起，默 认不再启用密码保护实现的访问级别，也通过用户管理进行访问保护。 有关新访问保护的更多信息，请参见此处 (页 1362)。 例如，正如引入的工程组态权限一样，使用角色分配来组合单个功能权限。在后续步骤中， 可将角色分配给各个用户。在“已分配的权限”(Assigned rights) 选项卡中列出了通过角色分 配给用户的所有功能权限，以及该用户可对相应 CPU 行使的功能权限。 CPU 的可用和激活功能权限示例如下图所示。必须至少有一个用户对 CPU 具有完全访问权限， 否则将无法编译组态。为此，必须先创建对 CPU 具有完全访问权限的角色。要求 CPU 参数设置：要使用用户、角色和 CPU 功能权限，必须选中“保护和安全 > 访问控 制”(Protection & Security > Access control) 选项卡中的“启用访问控制”(Enable access control) 选项。 本地用户管理不需要项目保护。 默认特性 访问控制预设了“激活访问控制”(Activate access control) 选项。用户及其分配的密码、角 色和功能权限均可进行参数设置。 下载到设备 可在 CPU 处于 STOP 和 RUN 模式时下载有关本地用户管理和访问控制的组态更改。 运行系统超时时间 可在“安全设置 > 用户和角色”(Security Settings > Users and Roles) 中为角色和用户设置运 行系统超时。 对于 S7-1500 CPU，各种服务可采用这些设置，具体如下： • 例如，通过 Web API，可创建采用运行系统超时设置的 Web 页面或应用。标准 Web 页面 不采用运行系统超时设置，并会使用默认值。 • 其它服务（PG/HMI 通信和 OPC UA 服务器）不使用运行系统超时；已登录用户在设定时 间后不会退出。 本地用户管理和访问控制的优势 (S7-1500) 下一节介绍了 S7-1200/S7-1500 CPU 的新本地用户管理具备的优势，以及具体的变化。