เราอาจสงสัยว่าในกรณีที่ไม่มีใคร Log on เข้าระบบ SCADA จะเซต Security สำหรับผู้ใช้ที่ไม่ได้ Logon อย่างไร
เราสามารถกำหนดสิทธิขั้นพื้นฐานหรือ Default Permission นั้น คือสิทธิ์ที่มอบให้กับทุกคนที่ใช้งานคอมพิวเตอร์แม้ว่าจะไม่ได้ Logon เข้าระบบ SCADA การกำหนดนี้ทำได้โดยใช้ Security Configurator (Start > Programs > ICONICS Tools> Security Configurator) คลิ้กเลือกเมนู View > Advance Mode แล้วกำหนดสิทธิ์ขั้นพื้นฐานโดยเลือกเมนู Edit > Application action จากนั้นเรามอบสิทธิ์ทุกอย่างให้กับทุกคนก่อน แล้วค่อยเอาสิทธิ์ที่เราไม่ต้องการออก (เนื่องจากมีเยอะ การเอาออกทีละอย่างที่ไม่ต้องการจะเร็วกว่า) ให้คลิ้กขวาที่ DEFAULT > เลือก Add All Actions ดังรูปที่ 1 เพื่อมอบสิทธิ์ทุกอย่าง  รูปที่ 1 มอบสิทธิ์ทุกอย่างให้ เอาสิทธิ์บางอย่างออก จากนั้นเอา Action ที่ไม่ต้องการให้ผู้ใช้ทั่วไปทำได้ เช่นไม่ต้องการให้ออกจาก Runtime และปิดหน้าแสดงผล SCADA ให้แตกกิ่ง Gwx32 ที่อยู่ใต้กิ่ง Default > แล้วเลือก Exit Application แล้วกดปุ่ม Delete แล้วทำเช่นเดียวกันกับ Menu : Exit Runtime  รูปที่ 2 ต้องการเอา Action ใดออกให้กดปุ่ม Delete หลังจากเลือก Action นั้น เป็นอันเสร็จกระบวนการมอบสิทธิ์ให้ผู้ใช้ทั่วไปรวมทั้งผู้ที่ไม่มี User สามารถทำได้ ป้องกันหน้าแสดงผลจากผู้ใช้ทั่วไป นอกจากนั้นหากเราต้องการให้ผู้ใช้ทั่วไปที่ไม่ได้ Logon สามารถดูหน้าแสดงผลได้เฉพาะบางหน้าเท่านั้นก็ทำได้ดังนี้ 1. ใน Security Configurator ให้เลือกเมนู Edit > Default Group 2. เลือกแท็ป Files เลือก *.* ในรายการ Allow Access แล้วคลิ้ก Delete เพื่อเอาสิทธิ์การเข้าถึงไฟล์ต่าง ๆ ของผู้ใช้ที่ไม่ได้ Logon ออก คลิ้ก Browse เพื่อเลือกไฟล์แสดงผลที่ยอมให้ผู้ใช้ทั่วไปที่ไม่ได้ Logon สามารถดูได้ หลังจากเลือกไฟล์เข้ามาในช่อง Allow Access แล้ว ให้คลิ้ก Add 3. พิมพ์ *.gdf ในช่อง Deny Access แล้วคลิ้กปุ่ม Add เพื่อไม่ยอมให้ผู้ใช้ทั่วไปดูไฟล์แสดงผลที่นอกเหนือจากที่ยอมข้างต้น คลิ้ก OK ป้องกันหน้าแสดงผลจากผู้ใช้บางคนหากต้องการกำหนดว่าผู้ใช้คนใดหรือกลุ่มผู้ใช้ใดสามารถเข้าถึงหน้าแสดงผลใดบ้าง และไม่สามารถเข้าถึงหน้าแสดงผลใด ก็สามารถทำได้ดังนี้ 1. ให้ดับเบิ้ลคลิ้กเลือกผู้ใช้ หรือกลุ่มผู้ใช้ที่ต้องการมอบสิทธิ์หรือจำกัดสิทธิ์
รูปที่ 3 2. เลือกแท็ป Files แล้วดำเนินการกำหนด Allow Access และ Deny Access เช่นเดียวกับขั้นตอนก่อนหน้านี้ในการระบุว่าผู้ใช้นั้นสามารถดูได้เฉพาะหน้าแสดงผลใดบ้าง โดยโปรดอย่าลืมใช้ *.gdf ในช่อง Deny Access เพื่อไม่ให้ผู้ใช้นั้นเข้าถึงไฟล์แสดงผลหน้าอื่นนอกเหนือจากที่กำหนด ส่วนผู้ใช้ที่เป็น Admin หรืออยู่ในกลุ่ม Admin ขอแนะนำให้ใช้ *.* ใน Allow Access และลบทุกรายการใน Deny Access เพื่อให้เข้าถึงได้ทุกหน้า การนำ Security ไปใช้ในเครื่อง Clientหากมีเครื่อง SCADA Client ที่ต้องการเอา Secutiry ที่ได้คอนฟิกไว้ในเครื่อง GENESIS32 ไปใช้งานเราสามารถทำได้ดังนี้โดยไม่ต้องคอนฟิก Security ใหม่ กรณีเครื่อง Client เป็น GENESIS32 หรือ GENESIS32 Browser ให้กำหนดที่อยู่ของSecurity Serverชี้มาที่ IP ของเครื่อง Server ที่มีการคอนฟิก Security ข้างต้นไว้ เช่นหากเครื่อง Server ที่เราคอนฟิก Security Configurator ไว้แล้วต้องการให้ GENESIS32 Client เข้ามาใช้ Security ดังกล่าว ก็ให้ เปิดโปรแกรม GenBroker ในเครื่อง Client ขึ้นมา คลิ้กปุ่ม Edit แตกกิ่ง Configuration Properties > Administrative Server แล้วใส่ IP Address ของเครื่อง Server เข้าไปในแถว Security (ดับเบิ้ลคลิ้กที่แถว Security เพื่อเข้าไปกำหนด IP Address) จากการหำหนด IP Address ของ Security Server ใน GenBroker ของฝั่ง Client ดังกล่าว จะทำให้การกำหนดระบบความปลอดภัยทั้งหมดในเครื่อง Client จะมีรูปแบบการ Allow/Deny เหมือนกับฝั่ง Server ทุกประการ
รูปที่ 4 กรณีที่เครื่อง Client เป็น Internet Explorer ติดต่อเข้ามาที่ WebHMI ให้กำหนด Client Configuration ในเครื่อง WebHMI ดังนี้ เปิดโปรแกรมในเครื่อง WebHMI ไปที่ Start > Programs > ICONICS WebHMI > Client Configuration
รูปที่ 5 จากนั้นระบุ IP Address ของ WebServer/WebHMI/GENESIS32 Server เช่นดียวกับรูปที่ 4 การคอนฟิกดังกล่าวจะทำให้ Internet Explorer ของฝั่งไคลเอ็นท์เข้ามาดาวน์โหลดเอาคอนฟิกนี้ไปใช้งานเมื่อเปิดเว็บเข้ามา แล้วจะใช้ระบบSecurityดังที่คอนฟิกไว้ในเครื่องGENESIS32 Server ทุกประการ บทความที่ท่านอาจสนใจ - ป้องกัน User ไม่ให้ทำบางอย่างบนระบบ SCADA - การคอนฟิก GenBroker ฝั่ง WebHMI Server |