Apostila de Treinamento

.20

Segurana_______________________________________________

Captulo .20
Segurana

Copyright 2002, Intellution, Inc.

Fundamentos do iFIX

.20. Segurana_______________________________________________

Objetivos do Captulo
Antes de instalar o iFIX, deve-se estabelecer o nvel de segurana necessrio para proteger o
processo. O sistema de segurana um sistema baseado em usurio. Este captulo examina o
programa de configurao de segurana e as etapas necessrias para habilitar o sistema de
segurana.
O captulo est organizado nos seguintes tpicos:

Personalizando as reas de segurana

Contas de grupos

Contas de usurio

Conexo automtica de usurios

Habilitando a segurana

Mtodos de conexo e desconexo

Copyright 2002, Intellution, Inc.

Apostila de Treinamento

.20.1.Estratgia de Segurana___________________________________
A. Para implementar a estratgia de segurana:
1. Nomeie as reas de segurana
2. Crie as contas de grupos e de usurios
3. Defina a configurao de conexo automtica
-

apenas se desejar que um operador seja conectado automaticamente no iFIX

4. Copie os arquivos de segurana para todos os ns

-

se estiver usando um servidor de arquivos, copie os arquivos de segurana

para o servidor de arquivos

5. Especifique um caminho local e de backup para segurana em cada n

-

se estiver usando um servidor de arquivos, entre com o caminho do servidor

de arquivos como caminho de segurana e entre com um caminho local como
caminho de backup

6. Habilite segurana em todos os ns e salve a configurao de segurana

7. Se habilitar a proteo do ambiente, inicie o WorkSpace e configure as preferncias
do ambiente de execuo (run-time environment preferences) para cada cliente Vista
B. Notas Adicionais

Quando terminar, teste a configurao de cada usurio verificando seus acessos s

caractersticas da aplicao e s reas de segurana

Alm disso, tente acessar as caractersticas e reas de segurana no disponveis para

o usurio para verificar realmente se o acesso negado

Copyright 2002, Intellution, Inc.

Fundamentos do iFIX

.20.2.Configurao da Segurana________________________________
A. Notas

Toda configurao de segurana feita pelo programa Security Configuration

-

Este programa localizado dentro do SCU

ver Figura .20-2

O iFIX deve estar sendo executado para configurar a segurana do sistema

B. Atravs do programa Security Configuration pode-se:

Habilitar e desabilitar o sistema de segurana

Criar e modificar contas de usurios

Restringir o acesso do usurio a programas, aes com programas e telas

Fornecer proteo de escrita nos tags

User Configuration (configurao do usurio)

Group Configuration (configurao do grupo)
Security Configuration (configurao da segurana)
Auto Login Configuration (configurao de conexo automtica)
Security Area Configuration (configurao das reas de segurana)

Figura .20-1: Barra de Ferramentas do Programa de Configurao de Segurana

Copyright 2002, Intellution, Inc.

Apostila de Treinamento

.20.2.. Configurao da Segurana______________________________

Figura .20-2: Programa de Configurao de Segurana

Copyright 2002, Intellution, Inc.

Fundamentos do iFIX

.20.3.reas de Segurana_______________________________________
A. Notas

Uma rea de segurana uma diviso fsica ou funcional da planta

As reas de segurana podem ser:

-

hardware do processo (tal como bombas ou fornos)

utilidades (tal como leo, gua ou vapor)

funes de manuteno

Os nomes podem ter at 20 caracteres alfa-numricos

As 16 primeiras reas so pr-definidas de A-P, mas podem ser alteradas

Pode-se definir at 254 reas de segurana

B. Restrio de Segurana

As reas de segurana restringem acesso a:

-

blocos da base de dados

telas

receitas

Ver Figura .20-4

C. Mensagens de Segurana

Se algum usurio tentar acessar um bloco ilegalmente, a segurana gera uma

mensagem

Esta mensagem contm o login do usurio que est tentando modificar o bloco

O iFIX envia esta mensagem para o audit trail de segurana e para todos os destinos
de alarme habilitados, exceto para o Sumrio de Alarme
-

ser visto mais sobre esse assunto ainda neste captulo

Copyright 2002, Intellution, Inc.

Apostila de Treinamento

.20.3..

reas de Segurana____________________________________

Figura .20-3: Nomeando as reas de Segurana

Quando uma rea de

segurana
associada a

Ela restringe

Bloco da base de
dados

Acesso escrita. O acesso de leitura dos blocos

continua disponvel na tela.

Tela

Acesso leitura do arquivo.

Receita

Acesso leitura do arquivo.

Figura .20-4: Restries das reas de Segurana

Copyright 2002, Intellution, Inc.

Fundamentos do iFIX

.20.4.Perfis de Grupo__________________________________________
A. Notas

Uma conta de grupo especifica o acesso s tarefas mais usadas para serem
compartilhadas entre dois ou mais usurios

Defina uma conta de grupo para cada usurio na tela de configurao do usurio

Os usurios definidos para um grupo tero acesso a todas as caractersticas e reas de

segurana definidas para o grupo

B. Implementando Contas de Grupo

Use contas de grupos para atribuir a maioria dos privilgios para os usurios

Utilize as contas de grupos j pr-definidas caso no queira elaborar uma estratgia

mais elaborada

estas contas oferecem uma aproximao simples de implementao de

segurana

estas contas de grupo definem regras funcionais em uma rea de produo

Use o exemplo da Figura .20-5 como modelo

Para criar uma conta

de grupo para

Especifique as aplicaes

Projetistas de base de
dados

Database Manager, Database Reload, Database Save, e

Database Add/Delete.

Projetistas de telas

WorkSpace Configure, WorkSpace, Exit from Run mode,

Operator Task Switching, Database Manager, Database
Save, Database Reload e Database Add/Delete.

Projetistas de receitas

GUI Recipe Builder Development Window, GUI Recipe

Download, GUI Recipe Save, GUI Recipe Upload e GUI
Recipe Text Output.

Supervisores

WorkSpace, Exit from Run mode e Operator Task

Switching.
Figura .20-5: Exemplos de Perfis de Grupo

Copyright 2002, Intellution, Inc.

Apostila de Treinamento

.20.4.. Perfis de Grupo_________________________________________

Figura .20-6: Contas de Grupos

Figura .20-7: Perfil do Grupo

Copyright 2002, Intellution, Inc.

Fundamentos do iFIX

.20.5.Contas de Usurio________________________________________
A. Notas

Uma conta de usurio define os privilgios para uma pessoa

A identificao de cada conta de usurio feita por um nome de login e uma senha
opcional

Ao projetar uma conta de usurio, inclua o nome completo do usurio, nome de login
e senha
-

se usar a segurana do Windows NT, inclua os domnios da rede

B. Especificando os Direitos para as Contas de Grupo

Atribua privilgios para contas de grupos sempre que possvel

Se um operador precisar de privilgios adicionais, a caracterstica especfica e as

reas de segurana podem ser adicionadas na conta de usurio

Se vrios operadores precisarem dos mesmos privilgios, crie outra conta de grupo e
associe a estes operadores

C. Login Timeout (Tempo de Conexo)

Limita o tempo de conexo de um operador configurando o login timeout na conta do

usurio
-

quando um operador tenta acessar uma rea aps o tempo ter expirado, o iFIX
desconecta o operador

se o intervalo de tempo expirar enquanto um operador estiver executando uma

operao, o iFIX desabilita o comando de salvar a alterao

Com esta caracterstica, o iFIX pode automaticamente desconectar operadores que

esquecem de se desconectar no final do seu turno
-

por exemplo se o login timeout for igual a 8:00:00, o operador se mantm

conectado por apenas oito horas

quando o prximo turno comear e um novo operador executar um programa,

o iFIX desconecta o operador anterior

isto fora o novo operador a se conectar com sua prpria conta

isto evita acesso no autorizado a aplicaes e reas de segurana disponveis

para o operador do turno anterior

Copyright 2002, Intellution, Inc.

10

Apostila de Treinamento

.20.5.. Contas de Usurio______________________________________

Figura .20-8: Contas de Usurio

Figura .20-9: Perfil do Usurio

Copyright 2002, Intellution, Inc.

11

Fundamentos do iFIX

.20.6.Conexo Automtica______________________________________
A. Notas

O Auto Login especifica um usurio para se conectar automaticamente quando o

sistema iniciar

Se um servidor de arquivos NO estiver sendo usado, apenas os ns locais podero

ser configurados

Esta informao armazenada no arquivo de auto login chamado <nome do n>.aut

Observao:
-

o campo System User no usado qualquer entrada ser ignorada

Copyright 2002, Intellution, Inc.

12

Apostila de Treinamento

.20.6.. Conexo Automtica____________________________________

Figura .20-10: Caixa de Dilogo de Conexo Automtica (Auto Login)

Figura .20-11: Configurao de Conexo Automtica

Copyright 2002, Intellution, Inc.

13

Fundamentos do iFIX

.20.7.Configurao da Segurana________________________________
A. Diretrio da Segurana

Os arquivos de segurana residem em um diretrio especificado pelo security path.

Por padro, o programa Security Configuration configura este caminho para o
diretrio Local, mas pode ser alterado para qualquer outro diretrio da mquina ou
da rede

B. Usando Segurana Sem um Servidor de Arquivos

Todos os arquivos de segurana e o programa Security Configuration so

armazenados em cada computador local

Uma cpia backup dos arquivos de segurana armazenada no diretrio especificado

pelo backup path
-

Uma vez configurada a segurana e habilitada em um computador, a configurao da

segurana deve ser copiada para todos os ns
-

este caminho usado quando o iFIX no encontra o security path

a forma mais simples de se fazer isso copiar os arquivos de segurana para

todos os computadores da rede

Certifique-se tambm de habilitar a segurana em todos os ns

C. Usando Segurana Com um Servidor de Arquivos

Use um servidor de arquivo para compartilhar os arquivos de segurana

-

isto elimina a necessidade de copi-los para vrios computadores

a forma mais simples de compartilhar seus arquivos de segurana digitar um

caminho de servidor de arquivo no security path do n local

quando isto feito, o programa Security Configuration copia os arquivos de

segurana para o servidor de arquivos

A configurao da segurana tambm pode ser compartilhada executando a aplicao

a partir do servidor de arquivos
-

compartilhando este programa, elimina-se a possibilidade de alguns

computadores terem sua segurana habilitada e outros no

uma vez habilitada segurana, ela estar habilitada para todos os

computadores

Para compartilhar o programa Security Configuration, digite o caminho do servidor

de arquivos como caminho Base do n local

Uma vez feito isso, toda aplicao iFIX poder ser executada no servidor de arquivo
a partir do seu n local

Copyright 2002, Intellution, Inc.

14

Apostila de Treinamento

.20.7.. Configurao da Segurana_______________________________

Figura 20-12: Configurao de Segurana

Copyright 2002, Intellution, Inc.

15

Fundamentos do iFIX

.20.8.Conectando-se na Segurana_______________________________
A. Notas

O operador pode se conectar no iFIX de forma manual ou automtica

Ao se conectar, o operador se identifica como usurio do iFIX e ganha acesso a telas,

receitas e aplicaes que lhe so autorizadas

B. Conexo e Desconexo Manual

O operador pode se conectar no iFIX manualmente usando o programa Login

Quando o programa Login inicia, ele permite o operador a entrar com o seu nome
de login e sua senha
-

O programa Login oferece ao operador trs chances para entrar com login e senha
corretamente
-

aps a terceira tentativa, o programa Login fechado

o operador pode tentar se conectar novamente atravs do programa Login

Se a segurana do Windows NT estiver habilitada, o operador pode alterar sua senha

enquanto estiver conectado
-

ver Figura 20 -13

as senhas do Windows NT so sensveis a letras maisculas e minsculas

NOTA:
-

qualquer tentativa de conexo sem sucesso gera alarme para os destinos de

alarmes configurados no computador local

a tentativa de conexo tambm gravada no audit trail da segurana

C. Desconexo Manual

O operador pode se desconectar do iFIX saindo de todas as aplicaes protegidas,

iniciando o programa de Login e selecionando o boto Logout

Copyright 2002, Intellution, Inc.

16

Apostila de Treinamento

.20.8.. Conectando-se na Segurana______________________________

Figura 20-13: Caixa de Dilogo de Conexo

D. Trabalhando com o Visual Basic for Applications

Programas podem ser escritos em VBA para fornecerem acesso e informaes de

segurana

Exemplos:

um programa para mostrar o operador atualmente conectado e seus direitos de

segurana

um programa que permite o operador se conectar e desconectar do iFIX

Para aprender sobre mtodos especficos do VBA de acesso ao sistema de segurana,

refira-se ao help online iFIX Automation Interface

Copyright 2002, Intellution, Inc.

17

Fundamentos do iFIX

.20.9.Audit Trail_____________________________________________
A. Notas

O sistema de segurana cria um arquivo texto com as atividades de conexo

Este arquivo fica localizado no subdiretrio de alarme

A conveno de seu nome YYMMDD.LOG

-

este arquivo reside no alarm path

O programa Login registra cada tentativa de conexo no audit trail

Analisando-se o audit trail, pode-se obter as seguintes informaes:

-

quem se conectou ou desconectou

se houve alguma falha de conexo

se algum operador tentou acessar uma rea de segurana ou uma aplicao da

qual no possui direito de acesso

usurio que excedeu seu tempo mximo de conexo

Copyright 2002, Intellution, Inc.

18

Apostila de Treinamento

.20.9.. Audit Trail______________________________________________

7/19/99 19:33:37 NODE8 SECURITY VIOLATION:

7/19/99 19:33:38 NODE8

access to APPLICATION FEATURE

security configuration updated

7/19/99 19:33:39 NODE8 SECURITY VIOLATION:

System User Login

access to APPLICATION FEATURE

7/19/99 19:34:19 NODE8 SECURITY VIOLATION:

Database Manager

access to APPLICATION FEATURE

7/19/99 19:34:27 NODE8 SECURITY VIOLATION:

System User Login

access to APPLICATION FEATURE

7/19/99 19:34:31 CHUCK SMITH

logged in as Application User

7/19/99 19:34:35 NODE8 SECURITY VIOLATION: CHUCK SMITH access to

APPLICATION FEATURE Database Manager
7/19/99 19:34:40 NODE8 SECURITY VIOLATION: CHUCK SMITH access to
APPLICATION FEATURE System User Login
7/19/99 19:34:42 CHUCK SMITH

logged out as Application User

7/19/99 19:34:46 SYSTEM ADMINISTRATOR

logged in as Application User

7/19/99 19:35:21 SYSTEM ADMINISTRATOR

logged out as Application User

7/19/99 19:35:26 GUEST

logged in as Application User

7/19/99 19:35:29 NODE8 SECURITY VIOLATION: GUEST access to APPLICATION

FEATURE Database Manager
7/19/99 19:35:33 NODE8 SECURITY VIOLATION: GUEST access to APPLICATION
FEATURE Historical Trend Assign
7/19/99 19:36:10 NODE8 SECURITY VIOLATION: GUEST access to APPLICATION
FEATURE Security Configuration
7/19/99 19:36:17 GUEST

logged out as Application User

7/19/99 19:36:20 SYSTEM ADMINISTRATOR

logged in as Application User

Figura 20-14: Exemplo de Arquivo de Conexo de Segurana

Copyright 2002, Intellution, Inc.

19

Fundamentos do iFIX

.20.10. Questes de Reviso___________________________________

1. Para que serve as contas de grupo?

2. Quais so as vantagens/desvantagens de usar um servidor de arquivos de segurana?

3. Para que serve o tempo de conexo (login timeout)?

4. Como as reas de segurana so usadas no iFIX?

5. Para que serve a conexo automtica (automatic login)?

Copyright 2002, Intellution, Inc.

20