×
Siemens Industry Online Support
Siemens AG
评估

文档类型 手册, 条目ID: 109741593, 文档发布日期 2016年9月16日

SIMATIC S7 S7-1200 可编程控制器

文档: S7-1200 可编程控制器 (V4.2, 09/2016, 中文)
主题类型: 事实情况

CPU 的访问保护

CPU 提供了四个安全等级,用于限制对特定功能的访问。为 CPU 组态安全等级和密码时,可以对那些不输入密码就能访问的功能和存储区进行限制。

每个等级都允许在访问某些功能时不使用密码。CPU 的默认状态是没有任何限制,也没有密码保护。要限制 CPU 的访问,可以对 CPU 的属性进行组态并输入密码。

通过网络输入密码并不会使 CPU 的密码保护受到威胁。密码保护不适用于用户程序指令的执行,包括通信功能。输入正确的密码便可访问该级别的所有功能。

PLC 到 PLC 通信(使用代码块中的通信指令)不受 CPU 中安全等级的限制。

列表: CPU 的安全级别

安全等级

访问限制

完全访问(无保护)

允许完全访问,没有密码保护。

读访问

允许 HMI 访问、比较离线/在线代码块和各种形式的 PLC 到 PLC 通信(无密码保护)。

修改(写入)CPU 需要密码。更改 CPU 模式 (RUN/STOP) 不需要密码。

HMI 访问

允许 HMI 访问和各种形式的 PLC 到 PLC 通信,没有密码保护。

读取 CPU 中的数据、比较离线/在线代码块、修改(写入)CPU 以及切换 CPU 模式 (RUN/STOP) 时需要密码。

无访问(完全保护)

不允许没有密码保护的访问。

进行 HMI 访问、读取 CPU 中的数据、比较离线/在线代码块和修改(写入)CPU 时需要密码。

密码区分大小写。要组态保护级别和密码,请按以下步骤操作:

  1. 在“设备组态”(Device configuration) 中,选择 CPU。
  2. 在巡视窗口中,选择“属性”(Properties) 选项卡。
  3. 选择“保护”(Protection) 属性以选择保护等级和输入密码。

当您将此组态下载至 CPU 时,用户将具有 HMI 访问权限,可以在无密码的情况下访问 HMI 功能。要读取数据或比较离线/在线代码块,用户必须输入“读访问”(Read access) 的已组态密码或“完全访问(无保护)”(Full access (no protection)) 的密码。要写入数据,用户必须输入“完全访问(无保护)”的已组态密码。



警告

对受保护的 CPU 进行未授权访问

拥有 CPU 完全访问权限的用户有权限读写 PLC 变量。无论 CPU 访问级别是多少,Web 服务器用户都有权限读写 PLC 变量。未经授权访问 CPU 或将 PLC 变量更改为无效值可能会中断过程操作并可能导致死亡、严重人身伤害和/或财产损失。

授权用户可以执行共模模式更改、写入 PLC 数据以及进行固件更新。Siemens 建议您遵守以下安全实践:

  • 使用强密码对 CPU 访问级别和 Web 服务器用户 ID 进行密码保护。强密码在长度上至少为十个字符,可以是字母、数字和特殊字符的组合,不能是可在字典上找到的词,并且不能是可从个人信息推断出的名字或标识符。保管好密码并经常更改密码。

  • 仅使用 HTTPS 协议启用对 Web 服务器的访问。

  • 不要扩展 Web 服务器“所有人”(Everybody) 用户的默认最低权限。

  • 对程序逻辑中的变量执行错误检查和范围检查,因为 Web 页面用户可将 PLC 变量更改为无效值。



连接机制

要使用 PUT/GET 指令访问远程连接伙伴,用户还必须得到许可。

默认情况下,“允许使用 PUT/GET 通信进行访问”(Permit access with PUT/GET communication) 选项处于未启用状态。这时,只有需要对本地 CPU 和通信伙伴同时进行组态和编程的通信连接才能实现对 CPU 数据的读写访问。例如,可以通过 BSEND/BRCV 指令进行访问。

因此,本地 CPU 仅作为服务器的连接(也就是说,本地 CPU 中不存在带有通信伙伴的通信组态/编程)在 CPU 运行期间不可用,例如:

  • 通过通信模块进行 PUT/GET、FETCH/WRITE 或 FTP 访问
  • 从其它 S7 CPU 进行 PUT/GET 访问
  • 通过 PUT/GET 通信进行 HMI 访问

如果您希望允许从客户端访问 CPU 数据,即您不希望限制 CPU 的通信服务,请按以下步骤操作:

  1. 将保护访问级别组态为除“无访问(完全保护)”(No access (complete protection)) 外的任意级别。
  2. 选择“允许使用 PUT/GET 通信进行访问”(Permit access with PUT/GET communication) 复选框。

当您将此组态下载至 CPU 时,CPU 将允许与远程伙伴进行 PUT/GET 通信



 

对统计的支持
用该功能可根据所需数量输出搜索结果的IDs (格式 .txt)

生成列表
复制URL
mySupport Cockpit