Apostila de Treinamento
.20
Segurança________________________ Segurança____________ _______________________ _______________________ ____________
Capítulo .20 Segurança
Copyright © 2002, Intellution, Inc.
1
undamentos do iI!
.20.. Segurança ____________ .20 ________________________ _______________________ _______________________ ____________
Objetivos do Capítulo Antes de instalar o iI!, de"e#se esta$elecer o ní"el de segurança necess%rio para proteger o processo. & sistema de segurança ' um sistema $aseado em usu%rio. (ste capítulo e)amina o programa de con*iguraç+o de segurança e as etapas necess%rias para ha$ilitar o sistema de segurança. & capítulo est% organiado nos seguintes t-picos •
/ersonaliando as %reas de segurança
•
Contas de grupos
•
Contas de usu%rio
•
Cone)+o autom%tica de usu%rios
•
a$ilitando a segurança
•
'todos de cone)+o e descone)+o
Copyright © 2002, Intellution, Inc.
2
Apostila de Treinamento
.20.1.Estratégia de Segurança___________________________________ A. /ara implementar a estrat'gia de segurança 1. omeie as %reas de segurança 2. Crie as contas de grupos e de usu%rios 3. 4e*ina a con*iguraç+o de cone)+o autom%tica #
apenas se dese5ar 6ue um operador se5a conectado automaticamente no iI!
7. Copie os ar6ui"os de segurança para todos os n-s #
se esti"er usando um ser"idor de ar6ui"os, copie os ar6ui"os de segurança para o ser"idor de ar6ui"os
8. (speci*i6ue um caminho local e de $ac9up para segurança em cada n#
se esti"er usando um ser"idor de ar6ui"os, entre com o caminho do ser"idor de ar6ui"os como caminho de segurança e entre com um caminho local como caminho de $ac9up
:. a$ilite segurança em todos os n-s e sal"e a con*iguraç+o de segurança ;. Se ha$ilitar a proteç+o do am$iente, inicie o run-time environment preferences? para cada cliente @ista . otas Adicionais •
•
Buando terminar, teste a con*iguraç+o de cada usu%rio "eri*icando seus acessos s características da aplicaç+o e s %reas de segurança Al'm disso, tente acessar as características e %reas de segurança n+o disponí"eis para o usu%rio para "eri*icar realmente se o acesso ' negado
Copyright © 2002, Intellution, Inc.
3
undamentos do iI!
.20.2.Configuração da Segurança________________________________ A. otas •
•
Toda con*iguraç+o de segurança ' *eita pelo programa DSecurity Con*igurationE #
(ste programa ' localiado dentro do SCF
#
"er igura .20#2
& iI! de"e estar sendo e)ecutado para con*igurar a segurança do sistema
. Atra"'s do programa DSecurity Con*igurationE pode#se •
a$ilitar e desa$ilitar o sistema de segurança
•
Criar e modi*icar contas de usu%rios
•
Gestringir o acesso do usu%rio a programas, açHes com programas e telas
•
ornecer proteç+o de escrita nos tags
Fser Con*iguration >con*iguraç+o do usu%rio? roup Con*iguration >con*iguraç+o do grupo? Security Con*iguration >con*iguraç+o da segurança? Auto Jogin Con*iguration >con*iguraç+o de cone)+o autom%tica? Security Area Con*iguration >con*iguraç+o das %reas de segurança?
Figura .20-1: Barra de Ferramentas do Programa de Configura!o de "egurana
Copyright © 2002, Intellution, Inc.
7
Apostila de Treinamento
.20.2.. Configuração da Segurança ______________________________
Figura .20-2: Programa de Configura!o de "egurana
Copyright © 2002, Intellution, Inc.
8
undamentos do iI!
.20.3.Áreas de Segurança_______________________________________ A. otas •
Fma %rea de segurança ' uma di"is+o *ísica ou *uncional da planta
•
As %reas de segurança podem ser #
hardKare do processo >tal como $om$as ou *ornos?
#
utilidades >tal como -leo, %gua ou "apor?
#
*unçHes de manutenç+o
•
&s nomes podem ter at' 20 caracteres al*a#num'ricos
•
As 1: primeiras %reas s+o pr'#de*inidas de A#/, mas podem ser alteradas
•
/ode#se de*inir at' 287 %reas de segurança
. Gestriç+o de Segurança •
•
As %reas de segurança restringem acesso a #
$locos da $ase de dados
#
telas
#
receitas
@er igura .20#7
C. ensagens de Segurança •
•
•
Se algum usu%rio tentar acessar um $loco ilegalmente, a segurança gera uma mensagem (sta mensagem cont'm o login do usu%rio 6ue est% tentando modi*icar o $loco & iI! en"ia esta mensagem para o audit trail de segurança e para todos os destinos de alarme ha$ilitados, e)ceto para o Sum%rio de Alarme #
ser% "isto mais so$re esse assunto ainda neste capítulo
Copyright © 2002, Intellution, Inc.
:
Apostila de Treinamento
.20.3..
Áreas de Segurança ____________________________________
Figura .20-#: $omeando as %reas de "egurana
&uando uma 'rea de segurana ( asso)iada a*
+la restringe*
loco da $ase de dados
Acesso escrita. & acesso de leitura dos $locos continua disponí"el na tela.
Tela
Acesso leitura do ar6ui"o.
Geceita
Acesso leitura do ar6ui"o.
Figura .20-,: estries das %reas de "egurana
Copyright © 2002, Intellution, Inc.
;
undamentos do iI!
.20.4.Perfis de Grupo__________________________________________ A. otas •
•
•
Fma conta de grupo especi*ica o acesso s tare*as mais usadas para serem compartilhadas entre dois ou mais usu%rios 4e*ina uma conta de grupo para cada usu%rio na tela de con*iguraç+o do usu%rio &s usu%rios de*inidos para um grupo ter+o acesso a todas as características e %reas de segurança de*inidas para o grupo
. Implementando Contas de rupo •
•
•
Fse contas de grupos para atri$uir a maioria dos pri"il'gios para os usu%rios Ftilie as contas de grupos 5% pr'#de*inidas caso n+o 6ueira ela$orar uma estrat'gia mais ela$orada #
estas contas o*erecem uma apro)imaç+o simples de implementaç+o de segurança
#
estas contas de grupo de*inem regras *uncionais em uma %rea de produç+o
Fse o e)emplo da igura .20#8 como modelo
Para )riar uma )onta de grupo para*
+spe)ifi/ue as apli)aes*
/ro5etistas de $ase de dados
4ata$ase anager, 4ata$ase Geload, 4ata$ase Sa"e, e 4ata$ase AddL4elete.
/ro5etistas de telas
/ro5etistas de receitas
FI Gecipe uilder 4e"elopment
Super"isores
Figura .20-: +emplos de Perfis de rupo
Copyright © 2002, Intellution, Inc.
M
Apostila de Treinamento
.20.4.. Perfis de Grupo _________________________________________
Figura .20-3: Contas de rupos
Figura .20-4: Perfil do rupo
Copyright © 2002, Intellution, Inc.
N
undamentos do iI!
.20.5.Contas de su!rio________________________________________ A. otas •
•
•
Fma conta de usu%rio de*ine os pri"il'gios para uma pessoa A identi*icaç+o de cada conta de usu%rio ' *eita por um nome de login e uma senha opcional Ao pro5etar uma conta de usu%rio, inclua o nome completo do usu%rio, nome de login e senha #
se usar a segurança do
. (speci*icando os 4ireitos para as Contas de rupo •
•
•
Atri$ua pri"il'gios para contas de grupos sempre 6ue possí"el Se um operador precisar de pri"il'gios adicionais, a característica especí*ica e as %reas de segurança podem ser adicionadas na conta de usu%rio Se "%rios operadores precisarem dos mesmos pri"il'gios, crie outra conta de grupo e associe a estes operadores
C. 5ogin 6imeout >Tempo de Cone)+o? •
•
Jimita o tempo de cone)+o de um operador con*igurando o login timeout na conta do usu%rio #
6uando um operador tenta acessar uma %rea ap-s o tempo ter e)pirado, o iI! desconecta o operador
#
se o inter"alo de tempo e)pirar en6uanto um operador esti"er e)ecutando uma operaç+o, o iI! desa$ilita o comando de sal"ar a alteraç+o
Com esta característica, o iI! pode automaticamente desconectar operadores 6ue es6uecem de se desconectar no *inal do seu turno #
por e)emplo se o login timeout *or igual a 7:00:00, o operador se mant'm conectado por apenas oito horas
#
6uando o pr-)imo turno começar e um no"o operador e)ecutar um programa, o iI! desconecta o operador anterior
#
isto *orça o no"o operador a se conectar com sua pr-pria conta
#
isto e"ita acesso n+o autoriado a aplicaçHes e %reas de segurança disponí"eis para o operador do turno anterior
Copyright © 2002, Intellution, Inc.
10
Apostila de Treinamento
.20.5.. Contas de su!rio ______________________________________
Figura .20-7: Contas de 8su'rio
Figura .20-9: Perfil do 8su'rio
Copyright © 2002, Intellution, Inc.
11
undamentos do iI!
.20.".Cone#ão $uto%!ti&a______________________________________ A. otas •
•
& DAuto JoginE especi*ica um usu%rio para se conectar automaticamente 6uando o sistema iniciar Se um ser"idor de ar6ui"os O& esti"er sendo usado, apenas os n-s locais poder+o ser con*igurados
•
(sta in*ormaç+o ' armaenada no ar6ui"o de auto login chamado Pnome do n-Q.aut
•
&$ser"aç+o #
o campo System Fser n+o ' usado R 6ual6uer entrada ser% ignorada
Copyright © 2002, Intellution, Inc.
12
Apostila de Treinamento
.20.".. Cone#ão $uto%!ti&a ____________________________________
Figura .20-10: Caia de i'logo de Cone!o ;utom'ti)a <;uto 5ogin=
Figura .20-11: Configura!o de Cone!o ;utom'ti)a
Copyright © 2002, Intellution, Inc.
13
undamentos do iI!
.20.'.Configuração da Segurança________________________________ A. 4iret-rio da Segurança •
&s ar6ui"os de segurança residem em um diret-rio especi*icado pelo security path. /or padr+o, o programa DSecurity Con*igurationE con*igura este caminho para o diret-rio DJocalE, mas pode ser alterado para 6ual6uer outro diret-rio da m%6uina ou da rede
. Fsando Segurança Sem um Ser"idor de Ar6ui"os •
•
Todos os ar6ui"os de segurança e o programa DSecurity Con*igurationE s+o armaenados em cada computador local Fma c-pia $ac9up dos ar6ui"os de segurança ' armaenada no diret-rio especi*icado pelo backup path #
•
Fma "e con*igurada a segurança e ha$ilitada em um computador, a con*iguraç+o da segurança de"e ser copiada para todos os n-s #
•
este caminho ' usado 6uando o iI! n+o encontra o security path
a *orma mais simples de se *aer isso ' copiar os ar6ui"os de segurança para todos os computadores da rede
Certi*i6ue#se tam$'m de ha$ilitar a segurança em todos os n-s
C. Fsando Segurança Com um Ser"idor de Ar6ui"os •
•
•
•
Fse um ser"idor de ar6ui"o para compartilhar os ar6ui"os de segurança #
isto elimina a necessidade de copi%#los para "%rios computadores
#
a *orma mais simples de compartilhar seus ar6ui"os de segurança ' digitar um caminho de ser"idor de ar6ui"o no security path do n- local
#
6uando isto ' *eito, o programa DSecurity Con*igurationE copia os ar6ui"os de segurança para o ser"idor de ar6ui"os
A con*iguraç+o da segurança tam$'m pode ser compartilhada e)ecutando a aplicaç+o a partir do ser"idor de ar6ui"os #
compartilhando este programa, elimina#se a possi$ilidade de alguns computadores terem sua segurança ha$ilitada e outros n+o
#
uma "e ha$ilitada segurança, ela estar% ha$ilitada para todos os computadores
/ara compartilhar o programa DSecurity Con*igurationE, digite o caminho do ser"idor de ar6ui"os como caminho DaseE do n- local Fma "e *eito isso, toda aplicaç+o iI! poder% ser e)ecutada no ser"idor de ar6ui"o a partir do seu n- local
Copyright © 2002, Intellution, Inc.
17
Apostila de Treinamento
.20.'.. Configuração da Segurança _______________________________
Figura 20-12: Configura!o de "egurana
Copyright © 2002, Intellution, Inc.
18
undamentos do iI!
.20.(.Cone&tando)se na Segurança_______________________________ A. otas •
•
& operador pode se conectar no iI! de *orma manual ou autom%tica Ao se conectar, o operador se identi*ica como usu%rio do iI! e ganha acesso a telas, receitas e aplicaçHes 6ue lhe s+o autoriadas
. Cone)+o e 4escone)+o anual •
•
& operador pode se conectar no iI! manualmente usando o programa DJoginE Buando o programa DJoginE inicia, ele permite o operador a entrar com o seu nome de login e sua senha #
•
•
& programa DJoginE o*erece ao operador tr=s chances para entrar com login e senha corretamente #
ap-s a terceira tentati"a, o programa DJoginE ' *echado
#
o operador pode tentar se conectar no"amente atra"'s do programa DJoginE
Se a segurança do
•
"er igura 20 #13
as senhas do
&TA: #
6ual6uer tentati"a de cone)+o sem sucesso gera alarme para os destinos de alarmes con*igurados no computador local
#
a tentati"a de cone)+o tam$'m ' gra"ada no audit trail da segurança
C. 4escone)+o anual •
& operador pode se desconectar do iI! saindo de todas as aplicaçHes protegidas, iniciando o programa de DJoginE e selecionando o $ot+o Jogout
Copyright © 2002, Intellution, Inc.
1:
Apostila de Treinamento
.20.(.. Cone&tando)se na Segurança ______________________________
Figura 20-1#: Caia de i'logo de Cone!o
4. Tra$alhando com o @isual asic *or Applications •
•
•
/rogramas podem ser escritos em @A para *ornecerem acesso e in*ormaçHes de segurança ()emplos #
um programa para mostrar o operador atualmente conectado e seus direitos de segurança
#
um programa 6ue permite o operador se conectar e desconectar do iI!
/ara aprender so$re m'todos especí*icos do @A de acesso ao sistema de segurança, re*ira#se ao help online DiI! Automation Inter*aceE
Copyright © 2002, Intellution, Inc.
1;
undamentos do iI!
.20.*.+$udit ,rai-_____________________________________________ A. otas •
& sistema de segurança cria um ar6ui"o te)to com as ati"idades de cone)+o
•
(ste ar6ui"o *ica localiado no su$diret-rio de alarme
•
A con"enç+o de seu nome ' 44.J& #
este ar6ui"o reside no alarm path
•
& programa DJoginE registra cada tentati"a de cone)+o no Daudit trailE
•
Analisando#se o Daudit trailE, pode#se o$ter as seguintes in*ormaçHes #
6uem se conectou ou desconectou
#
se hou"e alguma *alha de cone)+o
#
se algum operador tentou acessar uma %rea de segurança ou uma aplicaç+o da 6ual n+o possui direito de acesso
#
usu%rio 6ue e)cedeu seu tempo m%)imo de cone)+o
Copyright © 2002, Intellution, Inc.
1M
Apostila de Treinamento
.20.*.. +$udit ,rai- ______________________________________________
7/19/99 19:33:37 NODE8 SECURITY VIOLATION: 7/19/99 19:33:38 NODE8
access to APPLICATION FEATURE
secu!t" co#$!%uat!o# u&'ate'
7/19/99 19:33:39 NODE8 SECURITY VIOLATION: S"ste( Use Lo%!#
access to APPLICATION FEATURE
7/19/99 19:3):19 NODE8 SECURITY VIOLATION: Data*ase +a#a%e
access to APPLICATION FEATURE
7/19/99 19:3):,7 NODE8 SECURITY VIOLATION: S"ste( Use Lo%!#
access to APPLICATION FEATURE
7/19/99 19:3):31 C-UC. S+IT-
o%%e' !# as A&&!cat!o# Use
7/19/99 19:3):30 NODE8 SECURITY VIOLATION: C-UC. S+IT- access to APPLICATION FEATURE Data*ase +a#a%e 7/19/99 19:3):) NODE8 SECURITY VIOLATION: C-UC. S+IT- access to APPLICATION FEATURE S"ste( Use Lo%!# 7/19/99 19:3):), C-UC. S+IT-
o%%e' out as A&&!cat!o# Use
7/19/99 19:3):)2 SYSTE + AD+INISTRATOR
o%%e' !# as A&&!cat!o# Use
7/19/99 19:30:,1 SYSTE + AD+INISTRATOR
o%%e' out as A&&!cat!o# Use
7/19/99 19:30:,2 UEST
o%%e' !# as A&&!cat!o# Use
7/19/99 19:30:,9 NODE8 SECURITY VIOLATION: UEST access to APPLICATION FEATURE Data*ase +a#a%e 7/19/99 19:30:33 NODE8 SECURITY VIOLATION: UEST access to APPLICATION FEATURE -!sto!ca Te#' Ass!%# 7/19/99 19:32:1 NODE8 SECURITY VIOLATION: UEST access to APPLICATION FEATURE Secu!t" Co#$!%uat!o# 7/19/99 19:32:17 UEST
o%%e' out as A&&!cat!o# Use
7/19/99 19:32:, SYSTE + AD+INISTRATOR
o%%e' !# as A&&!cat!o# Use
Figura 20-1,: +emplo de ;r/uivo de Cone!o de "egurana
Copyright © 2002, Intellution, Inc.
1N
undamentos do iI!
.20.10. /uestes de eisão___________________________________
1. /ara 6ue ser"e as contas de grupoU
2. Buais s+o as "antagensLdes"antagens de usar um ser"idor de ar6ui"os de segurançaU
3. /ara 6ue ser"e o tempo de cone)+o >login timeout ?U
7. Como as %reas de segurança s+o usadas no iI!U
8. /ara 6ue ser"e a cone)+o autom%tica >automatic login?U
Copyright © 2002, Intellution, Inc.
20