เราอาจสงสัยว่าในกรณีที่ไม่มีใคร Log on เข้าระบบ SCADA จะเซต Security สำหรับผู้ใช้ที่ไม่ได้ Logon อย่างไร

เราสามารถกำหนดสิทธิขั้นพื้นฐานหรือ Default Permission นั้น คือสิทธิ์ที่มอบให้กับทุกคนที่ใช้งานคอมพิวเตอร์แม้ว่าจะไม่ได้ Logon เข้าระบบ SCADA การกำหนดนี้ทำได้โดยใช้ Security Configurator (Start > Programs > ICONICS Tools> Security Configurator) คลิ้กเลือกเมนู View > Advance Mode

แล้วกำหนดสิทธิ์ขั้นพื้นฐานโดยเลือกเมนู

Edit > Application action

จากนั้นเรามอบสิทธิ์ทุกอย่างให้กับทุกคนก่อน แล้วค่อยเอาสิทธิ์ที่เราไม่ต้องการออก (เนื่องจากมีเยอะ การเอาออกทีละอย่างที่ไม่ต้องการจะเร็วกว่า)
ให้คลิ้กขวาที่ DEFAULT > เลือก Add All Actions ดังรูปที่ 1 เพื่อมอบสิทธิ์ทุกอย่าง

รูปที่ 1 มอบสิทธิ์ทุกอย่างให้

เอาสิทธิ์บางอย่างออก

จากนั้นเอา Action ที่ไม่ต้องการให้ผู้ใช้ทั่วไปทำได้ เช่นไม่ต้องการให้ออกจาก Runtime และปิดหน้าแสดงผล SCADA
ให้แตกกิ่ง Gwx32 ที่อยู่ใต้กิ่ง Default > แล้วเลือก Exit Application แล้วกดปุ่ม Delete
แล้วทำเช่นเดียวกันกับ Menu : Exit Runtime

รูปที่ 2 ต้องการเอา Action ใดออกให้กดปุ่ม Delete หลังจากเลือก Action นั้น

เป็นอันเสร็จกระบวนการมอบสิทธิ์ให้ผู้ใช้ทั่วไปรวมทั้งผู้ที่ไม่มี User สามารถทำได้

ป้องกันหน้าแสดงผลจากผู้ใช้ทั่วไป 

นอกจากนั้นหากเราต้องการให้ผู้ใช้ทั่วไปที่ไม่ได้ Logon สามารถดูหน้าแสดงผลได้เฉพาะบางหน้าเท่านั้นก็ทำได้ดังนี้

1. ใน Security Configurator ให้เลือกเมนู Edit >  Default Group

2. เลือกแท็ป Files 
เลือก *.* ในรายการ Allow Access แล้วคลิ้ก Delete เพื่อเอาสิทธิ์การเข้าถึงไฟล์ต่าง ๆ ของผู้ใช้ที่ไม่ได้ Logon ออก
คลิ้ก Browse เพื่อเลือกไฟล์แสดงผลที่ยอมให้ผู้ใช้ทั่วไปที่ไม่ได้ Logon สามารถดูได้
หลังจากเลือกไฟล์เข้ามาในช่อง Allow Access แล้ว ให้คลิ้ก Add 

3.  พิมพ์ *.gdf ในช่อง Deny Access แล้วคลิ้กปุ่ม Add เพื่อไม่ยอมให้ผู้ใช้ทั่วไปดูไฟล์แสดงผลที่นอกเหนือจากที่ยอมข้างต้น
คลิ้ก OK

ป้องกันหน้าแสดงผลจากผู้ใช้บางคน

หากต้องการกำหนดว่าผู้ใช้คนใดหรือกลุ่มผู้ใช้ใดสามารถเข้าถึงหน้าแสดงผลใดบ้าง และไม่สามารถเข้าถึงหน้าแสดงผลใด ก็สามารถทำได้ดังนี้

1. ให้ดับเบิ้ลคลิ้กเลือกผู้ใช้ หรือกลุ่มผู้ใช้ที่ต้องการมอบสิทธิ์หรือจำกัดสิทธิ์

รูปที่ 3

2. เลือกแท็ป Files แล้วดำเนินการกำหนด Allow Access และ Deny Access เช่นเดียวกับขั้นตอนก่อนหน้านี้ในการระบุว่าผู้ใช้นั้นสามารถดูได้เฉพาะหน้าแสดงผลใดบ้าง โดยโปรดอย่าลืมใช้ *.gdf ในช่อง Deny Access เพื่อไม่ให้ผู้ใช้นั้นเข้าถึงไฟล์แสดงผลหน้าอื่นนอกเหนือจากที่กำหนด

ส่วนผู้ใช้ที่เป็น Admin หรืออยู่ในกลุ่ม Admin ขอแนะนำให้ใช้ *.* ใน Allow Access และลบทุกรายการใน Deny Access  เพื่อให้เข้าถึงได้ทุกหน้า 

การนำ Security ไปใช้ในเครื่อง Client

หากมีเครื่อง SCADA Client ที่ต้องการเอา Secutiry ที่ได้คอนฟิกไว้ในเครื่อง GENESIS32 ไปใช้งานเราสามารถทำได้ดังนี้โดยไม่ต้องคอนฟิก Security ใหม่

กรณีเครื่อง Client เป็น GENESIS32 หรือ GENESIS32 Browser ให้กำหนดที่อยู่ของSecurity Serverชี้มาที่ IP ของเครื่อง Server ที่มีการคอนฟิก Security ข้างต้นไว้ เช่นหากเครื่อง Server ที่เราคอนฟิก Security Configurator ไว้แล้วต้องการให้ GENESIS32 Client เข้ามาใช้ Security ดังกล่าว ก็ให้

เปิดโปรแกรม GenBroker ในเครื่อง Client ขึ้นมา

คลิ้กปุ่ม Edit

แตกกิ่ง Configuration Properties > Administrative Server 

แล้วใส่ IP Address ของเครื่อง Server เข้าไปในแถว Security (ดับเบิ้ลคลิ้กที่แถว Security เพื่อเข้าไปกำหนด IP Address) จากการหำหนด IP Address ของ Security Server ใน GenBroker ของฝั่ง Client ดังกล่าว จะทำให้การกำหนดระบบความปลอดภัยทั้งหมดในเครื่อง Client จะมีรูปแบบการ Allow/Deny เหมือนกับฝั่ง Server ทุกประการ 

รูปที่ 4

กรณีที่เครื่อง Client เป็น Internet Explorer ติดต่อเข้ามาที่ WebHMI ให้กำหนด Client Configuration ในเครื่อง WebHMI ดังนี้

เปิดโปรแกรมในเครื่อง WebHMI ไปที่ Start > Programs > ICONICS WebHMI > Client Configuration 

รูปที่ 5

จากนั้นระบุ IP Address ของ WebServer/WebHMI/GENESIS32 Server เช่นดียวกับรูปที่ 4

การคอนฟิกดังกล่าวจะทำให้ Internet Explorer ของฝั่งไคลเอ็นท์เข้ามาดาวน์โหลดเอาคอนฟิกนี้ไปใช้งานเมื่อเปิดเว็บเข้ามา แล้วจะใช้ระบบSecurityดังที่คอนฟิกไว้ในเครื่องGENESIS32 Server ทุกประการ

บทความที่ท่านอาจสนใจ

- ป้องกัน User ไม่ให้ทำบางอย่างบนระบบ SCADA

- การคอนฟิก GenBroker ฝั่ง WebHMI Server