基于角色的访问控制
RBAC 定义
基于角色的访问控制 (RBAC) 是一种为用户分配不同访问权限级别的方式,可定义他们能够访问的功能。
RBAC 仅受以下各项支持:
- 带有 MicroLogic X 控制单元的 MasterPacT MTZ 断路器。
- ComPacT NSX 断路器。
- PowerPacT H 型、J 型和 L 型断路器。
当通过下列方式建立连接时,将由 RBAC 机制检查对 IFE 服务器的访问:
-
IFE 服务器网页
-
EcoStruxure Power Commission (EPC) 软件
有关在通过 EPC 软件建立连接时启用 RBAC 的信息,请参阅 IP 网络服务。
角色定义
缺省情况下,为远程访问定义了以下角色:
-
Security Administrator (SECADM)
-
Engineer
-
Installer
-
Operator
-
Viewer
安全管理员为每个用户分配一个角色。每个角色都包含授予 IFE 服务器用户的一组权限。
安全管理员可以管理 IFE 服务器的用户:
-
在 IFE 服务器网页上
-
利用 EcoStruxure Cybersecurity Admin Expert (CAE) 软件
EcoStruxure Cybersecurity Admin Expert 软件
Cybersecurity Admin Expert (CAE) 软件用于固件版本为 005.001.000 和更高的 IFE 服务器的安全配置。
安全管理员可以使用 CAE 软件:
-
管理 IFE 服务器的用户
-
定义 IFE 服务器的安全策略
-
将安全配置上载到多个 IFE 服务器
-
独立地更改每个 IFE 服务器的设备特定设置 (DSS)
有关详细信息,请参阅相关文档中的 EcoStruxure Cybersecurity Admin Expert 指南。
-
启用 HTTPS 以将配置从 CAE 软件安全传输到 IFE 服务器。
-
启用 DPWS 以在 CAE 软件上发现 IFE 服务器。
CAE 软件设置
安全管理员可以在 CAE 软件中设置以下参数:
|
参数 |
描述 |
值 |
|---|---|---|
|
|
在用户不执行任何操作的时长达到此时长后, IFE 服务器网页锁定。 |
|
|
|
最大登录尝试次数 |
|
|
|
在此持续时间之后,锁定的用户帐户将被解锁。 |
|
|
|
可启用该用户帐户 |
缺省设置:已禁用 |
|
输入 Syslog 服务器的服务器 IP 地址。 |
– |
|
|
输入 Syslog 服务器端口号。 |
|
|
|
|
创建角色时。 |
缺省设置:已禁用 |
CAE 设备特定设置
设备特定设置 (DSS) 是 IFE 服务器独有的,可针对各个设备定制配置。例如,使用此功能,可以在特定的 IFE 服务器上激活 Modbus 安全,同时使其他接口保持非活动状态。
CAE 软件提供了以下设备特定设置:
|
参数 |
描述 |
缺省设置 |
|---|---|---|
|
|
在 IFE 服务器上激活 DPWS 发现。 |
已启用 |
|
|
在 IFE 服务器上激活 FTP 服务器。 |
已禁用 |
|
|
在 IFE 服务器上激活上安全 Modbus。 |
已禁用 |
|
|
在 IFE 服务器上激活 Modbus TCP。 |
已启用 |
每个角色的权限
安全管理员可以使用 CAE 软件修改每个角色的权限。
下表介绍了每个角色的缺省权限:
|
权限 |
角色 |
||||
|---|---|---|---|---|---|
|
Viewer |
Engineer |
Operator |
Installer |
Security Administrator |
|
|
维护信息读取 |
– |
✔ |
✔ |
✔ |
– |
|
维护设置写入 |
– |
✔ |
– |
✔ |
– |
|
维护控制写入 |
– |
✔ |
✔ |
✔ |
– |
|
公共信息读取 |
✔ |
✔ |
✔ |
✔ |
✔ |
|
设备测量信息读取 |
✔ |
✔ |
✔ |
✔ |
✔ |
|
设备测量设置写入 |
– |
✔ |
– |
✔ |
– |
|
设备测量控制写入 |
– |
– |
✔ |
– |
– |
|
设备设置写入 |
– |
✔ |
– |
✔ |
– |
|
设备信息读取 |
✔ |
✔ |
✔ |
✔ |
✔ |
|
通讯信息读取 |
– |
✔ |
✔ |
✔ |
– |
|
通讯设置写入 |
– |
✔ |
– |
✔ |
– |
|
通讯控制写入 |
– |
✔ |
– |
✔ |
– |
|
日期和时间设置写入 |
– |
✔ |
– |
✔ |
– |
|
日期和时间信息读取 |
✔ |
✔ |
✔ |
✔ |
✔ |
|
安全信息读取 |
– |
– |
– |
– |
✔ |
|
安全设置写入 |
– |
– |
– |
– |
✔ |
|
安全控制写入 |
– |
– |
– |
– |
✔ |
|
断路器控制写入 |
– |
– |
✔ |
– |
– |
|
断路器设置写入 |
– |
✔ |
– |
✔ |
– |
|
断路器信息读取 |
– |
✔ |
✔ |
✔ |
– |
|
保护信息读取 |
– |
✔ |
✔ |
✔ |
– |
|
保护设置写入 |
– |
✔ |
– |
✔ |
– |
|
保护控制写入 |
– |
✔ |
– |
✔ |
– |
|
输入输出信息读取 |
– |
✔ |
✔ |
✔ |
– |
|
输入输出设置写入 |
– |
✔ |
– |
✔ |
– |
|
输入输出控制写入 |
– |
✔ |
– |
✔ |
– |
|
安全日志信息读取 |
– |
– |
– |
– |
✔ |
|
安全日志设置读取 |
– |
– |
– |
– |
✔ |
|
安全日志设置写入 |
– |
– |
– |
– |
✔ |