CN106709354B - 一种可组态管控一体化平台的安全空间构造方法及系统 - Google Patents
一种可组态管控一体化平台的安全空间构造方法及系统 Download PDFInfo
- Publication number
- CN106709354B CN106709354B CN201611042119.0A CN201611042119A CN106709354B CN 106709354 B CN106709354 B CN 106709354B CN 201611042119 A CN201611042119 A CN 201611042119A CN 106709354 B CN106709354 B CN 106709354B
- Authority
- CN
- China
- Prior art keywords
- safety
- user
- place
- rank
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Abstract
本发明公开一种可组态管控一体化平台的安全空间构造方法,该方法包括:(1)在平台的指定区域设置安全区,其表示对于被保护对象的一种区域划分,安全区分为根安全区和子安全区;(2)工程创建时具有一个根安全区,以后创建的安全区都是根安全区的子安全区;(3)工程中的所有模型、对象定义、运行对象都分配安全区;(4)配置锁,锁是级别和权限的组合,权限包括创建、删除、浏览、修改安全区内的业务对象;级别是描述数据的级别;(5)配置单位,给单位分配钥匙;配置用户,用户属于单位,用户拥有该单位的钥匙,指定用户具有哪些钥匙;(6)拥有指定钥匙的用户允许访问被指定锁所保护的指定安全区内的业务对象。
Description
技术领域
本发明涉及可组态管控一体化平台的技术领域,尤其涉及一种可组态管控一体化平台的安全空间构造方法,以及可组态管控一体化平台的安全空间构造系统。
背景技术
组态软件,上位机软件的一种。组态软件<=上位机软件。又称组态监控软件系统软件。译自英文SCADA,即Supervisory Control and Data Acquisition(数据采集与监视控制)。它是指一些数据采集与过程控制的专用软件。它们处在自动控制系统监控层一级的软件平台和开发环境,使用灵活的组态方式,为用户提供快速构建工业自动控制系统监控功能的、通用层次的软件工具。组态软件的应用领域很广,可以应用于电力系统、给水系统、石油、化工等领域的数据采集与监视控制以及过程控制等诸多领域。在电力系统以及电气化铁道上又称远动系统(RTU System,Remote Terminal Unit)。
组态软件在国内是一个约定俗成的概念,并没有明确的定义,它可以理解为“组态式监控软件”。“组态(Configure)”的含义是“配置”、“设定”、“设置”等意思,是指用户通过类似“搭积木”的简单方式来完成自己所需要的软件功能,而不需要编写计算机程序,也就是所谓的“组态”。它有时候也称为“二次开发”,组态软件可称为“可组态管控一体化平台”。“监控(Supervisory Control)”,即“监视和控制”,是指通过计算机信号对自动化设备或过程进行监视、控制和管理。
在使用中,一般组件的使用权限是事先设定的,工程创建后用户在使用时是不能设置、更改、删除的,这导致可组态管控一体化平台在使用时安全设置非常不方便,灵活性差。
发明内容
为克服现有技术的缺陷,本发明要解决的技术问题是提供了一种可组态管控一体化平台的安全空间构造方法,其能够由用户自行设置、更改、删除工程中的所有模型、对象定义、运行对象,安全设置灵活方便。
本发明的技术方案是:这种可组态管控一体化平台的安全空间构造方法,该方法包括以下步骤:
(1)在平台的指定区域设置安全区,其表示对于被保护对象的一种区域划分,安全区分为根安全区和子安全区;
(2)工程创建时具有一个根安全区,以后创建的安全区都是根安全区的子安全区;
(3)工程中的所有模型、对象定义、运行对象都分配安全区;
(4)配置锁,锁是级别和权限的组合,权限包括创建、删除、浏览、修改安全区内的业务对象;级别是描述数据的级别;
(5)配置单位,给单位分配钥匙;配置用户,用户属于单位,用户拥有该单位的钥匙,指定用户具有哪些钥匙;
(6)拥有指定钥匙的用户允许访问被指定锁所保护的指定安全区内的业务对象。
本发明通过在平台的指定区域设置安全区,工程中的所有模型、对象定义、运行对象都分配安全区,通过配置锁,配置单位和用户,分配钥匙,从而能够由用户自行设置、更改、删除工程中的所有模型、对象定义、运行对象,安全设置灵活方便。
还提供了一种可组态管控一体化平台的安全空间构造系统,该系统包括:
设置模块,其配置来在平台的指定区域设置安全区,其表示对于被保护对象的一种区域划分,安全区分为根安全区和子安全区;
创建模块,其配置来在工程创建时具有一个根安全区,以后创建的安全区都是根安全区的子安全区;
分配模块,将工程中的所有模型、对象定义、运行对象都分配安全区;
锁配置模块,其配置锁,锁是级别和权限的组合,权限包括创建、删除、浏览、修改安全区内的业务对象;级别是描述数据的级别;
钥匙配置模块,其配置单位,给单位分配钥匙;配置用户,用户属于单位,用户拥有该单位的钥匙,指定用户具有哪些钥匙;拥有指定钥匙的用户允许访问被指定锁所保护的指定安全区内的业务对象。
附图说明
图1所示为根据本发明的可组态管控一体化平台的安全空间构造方法的流程图。
图2所示为根据本发明的操作权限的一个具体实施例。
图3所示为根据本发明的钥匙和锁的原理图。
图4所示为根据本发明的一般用户为安全区内不同业务对象设置的不同的锁。
具体实施方式
如图1所示,这种可组态管控一体化平台的安全空间构造方法,该方法包括以下步骤:
(1)在平台的指定区域设置安全区,其表示对于被保护对象的一种区域划分,安全区分为根安全区和子安全区;
(2)工程创建时具有一个根安全区,以后创建的安全区都是根安全区的子安全区;
(3)工程中的所有模型、对象定义、运行对象都分配安全区;
(4)配置锁,锁是级别和权限的组合,权限包括创建、删除、浏览、修改安全区内的业务对象;级别是描述数据的级别;
(5)配置单位,给单位分配钥匙;配置用户,用户属于单位,用户拥有该单位的钥匙,指定用户具有哪些钥匙;
(6)拥有指定(即,用户自定义)钥匙的用户允许访问被指定锁所保护的指定安全区内的业务对象。
本发明通过在平台的指定区域设置安全区,工程中的所有模型、对象定义、运行对象都分配安全区,通过配置锁,配置单位和用户,分配钥匙,从而能够由用户自行设置、更改、删除工程中的所有模型、对象定义、运行对象,安全设置灵活方便。
而且,安全区内一旦已经分配了要保护的内容,一般不会删除,如果安全区被删除了,删除后,该安全区要保护的内容自动变为根安全区保护的内容。
如图2所示,为根据本发明的操作权限的一个具体实施例。系统提高了对模型、对象和工程数据的这些操作权限,这都是一个操作模型本身固有的一种权限,比如创建了一个操作模型名称叫浏览实时数据模型,操作权限选择了浏览模型,这就表示这个操作模型是用来浏览模型的,管理员要针对操作模型实例化对象,比如实例化三个对象分别叫浏览实时模型1,浏览实时模型2,浏览实时模型3。
同样,假设有一个级别模型1,是升序。
实例化级别对象:级别1,其级别是1,来自级别模型1。
实例化级别对象:级别2,其级别是2,来自级别模型1。
创建一个锁模型:
锁模型对应的操作模型是浏览模型,级别模型是级别模型1
实例化锁对象:(实例化锁对象的时候名称可以随便取)
对象名:浏览实时模型1的1级锁,对应的操作对象是浏览实时模型1,级别是级别1。
浏览实时模型2的1级锁
浏览实时模型3的1级锁
浏览实时模型1的2级锁
浏览实时模型2的2级锁
浏览实时模型2的2级锁
以上都是系统管理员创建的安全。这时这个锁就可以被使用,怎么用?就是在用户在创建模型的时候,或者创建对象的时候,可以给自己的模型或者对象加锁。有了相应钥匙的人就可以打开。
这种锁的好处就是管理员可以用大家熟知的文字描述来命名锁和钥匙,方便实现整个系统的权限配置和安全防护管理。
另外,所述步骤(1)中,用户在使用系统时,首先必须登录,进行身份识别;身份识别是通过用户的单位和密码识别的,用户登录时,指定单位和密码。
另外,所述步骤(1)中用户包括系统管理员、系统用户、一般用户;系统管理员是安全管理员;系统用户是分配给后台进程的用户;一般用户是场景使用者。系统管理员是安全管理员,登录后只能对定义库中安全数据进行维护,系统管理员是在工程安装时指定的,在工程定义时,可以修改初始密码,不能够对时空、计算、业务对象进行定义操作。系统用户是一种特殊的用户,是分配给后台进程的用户;系统用户可由用户定义,系统用户一旦创建自动拥有运行系统的最高权限,可以对所有的数据库进行访问操作。一般用户是指真正的场景使用者,客户端必须具有登录的用户才能有权限对库中内容进行访问。
另外,所述步骤(4)中级别是一组数字,在检查授权时,对于升序的级别,钥匙的级别数据大于或等于锁的级别数字,才能解锁;或者,对于降序的级别,钥匙的级别数据小于或等于锁的级别数字,才能解锁。
另外,预先设置级别模型,升序为1-999,其中999的权限最大,降序为999-1,其中1的权限最大;通过级别模型对级别进行划分。这样便于应用上的区分,比如报警级别,事件级别等。
另外,锁是用来保护数据的,锁是操作、级别的组合。锁是操作、级别的组合,也可以是其中几个的组合,锁中如果不包含相应项,表示不再该项方面进行保护。比如,锁中没有操作,则表示不再操作方面对数据进行保护。
另外,锁的名称由用户自定义。而且,任何安全对象的名称都是随便取的,一个锁到底是锁读操作还是写操作(当然还有其它操作),要看这个锁对应的操作对象的操作模型到底是读模型操作权限还是写模型操作权限。图3所示为根据本发明的钥匙和锁的原理图。图4所示为根据本发明的一般用户为安全区内不同业务对象设置的不同的锁。
张经理,可以浏览图上的3个业务对象,因为张经理的钥匙可以打开所有的锁。李员工不能浏览这3个业务对象里锁对应的级别是3的业务对象,因为李员工的钥匙级别是2,不能访问被级别是3的锁所保护的业务对象,持有的钥匙不能打开编号是3、6、9的锁
所有的对象的名称都是可以任意取名,只要有人可以在安全区内创建业务对象就可以加任何锁,其他人根据自己钥匙的权限决定能不能解开锁。每种操作模型只能对应一种权限,要么是浏览要么是创建。
创建业务对象的人(这个人的钥匙对应的操作对象一定是要有来自操作模型(是创建权限)的才能创建)可以选择给自己创建的对象加任何读写锁。一旦加了锁,别人要有相应的钥匙才能解锁做相应操作。
另外,数据选择加锁,或选择不加锁,如果不加锁,表示不需要做锁保护。
另外,钥匙是分配单位和用户的,用户是通过钥匙来访问想访问的内容的。钥匙是分配单位和用户的,可以为单位分配几把钥匙,用户从单位的钥匙中再次分配。
本领域普通技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,包括上述实施例方法的各步骤,而所述的存储介质可以是:ROM/RAM、磁碟、光盘、存储卡等。因此,与本发明的方法相对应的,本发明还同时包括一种可组态管控一体化平台的安全空间构造系统,该系统通常以与方法各步骤相对应的功能模块的形式表示。使用该方法的系统,该系统包括:
设置模块,其配置来在平台的指定区域设置安全区,其表示对于被保护对象的一种区域划分,安全区分为根安全区和子安全区;
创建模块,其配置来在工程创建时具有一个根安全区,以后创建的安全区都是根安全区的子安全区;
分配模块,将工程中的所有模型、对象定义、运行对象都分配安全区;锁配置模块,其配置锁,锁是级别和权限的组合,权限包括创建、删除、浏览、修改安全区内的业务对象;级别是描述数据的级别;
钥匙配置模块,其配置单位,给单位分配钥匙;配置用户,用户属于单位,用户拥有该单位的钥匙,指定用户具有哪些钥匙;拥有指定钥匙的用户允许访问被指定锁所保护的指定安全区内的业务对象。
以上所述,仅是本发明的较佳实施例,并非对本发明作任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属本发明技术方案的保护范围。
Claims (9)
1.一种可组态管控一体化平台的安全空间构造方法,其特征在于:该方法包括以下步骤:
(1)在平台的指定区域设置安全区,其表示对于被保护对象的一种区域划分,安全区分为根安全区和子安全区;
(2)工程创建时具有一个根安全区,以后创建的安全区都是根安全区的子安全区;
(3)工程中的所有模型、对象定义、运行对象都分配安全区;
(4)配置锁,锁是级别和权限的组合,权限包括创建、删除、浏览、修改安全区内的业务对象;级别是描述数据的级别;
(5)配置单位,给单位分配钥匙;配置用户,用户属于单位,用户拥有该单位的钥匙,指定用户具有哪些钥匙;
(6)拥有指定钥匙的用户允许访问被指定锁所保护的指定安全区内的业务对象。
2.根据权利要求1所述的可组态管控一体化平台的安全空间构造方法,其特征在于:所述步骤(1)中,用户在使用平台时,首先必须登录,进行身份识别;身份识别是通过用户的单位和密码识别的,用户登录时,指定单位和密码。
3.根据权利要求2所述的可组态管控一体化平台的安全空间构造方法,其特征在于:所述步骤(1)中用户包括系统管理员、系统用户、一般用户;系统管理员是安全管理员;系统用户是分配给后台进程的用户;一般用户是场景使用者。
4.根据权利要求3所述的可组态管控一体化平台的安全空间构造方法,其特征在于:所述步骤(4)中级别是一组数字,在检查授权时,对于升序的级别,钥匙的级别数据大于或等于锁的级别数字,才能解锁;或者,对于降序的级别,钥匙的级别数据小于或等于锁的级别数字,才能解锁。
5.根据权利要求4所述的可组态管控一体化平台的安全空间构造方法,其特征在于:预先设置级别模型,升序为1-999,其中999的权限最大,降序为999-1,其中1的权限最大;通过级别模型对级别进行划分。
6.根据权利要求4所述的可组态管控一体化平台的安全空间构造方法,其特征在于:锁的名称由用户自定义。
7.根据权利要求6所述的可组态管控一体化平台的安全空间构造方法,其特征在于:数据选择加锁,或选择不加锁,如果不加锁,表示不需要做锁保护。
8.根据权利要求7所述的可组态管控一体化平台的安全空间构造方法,其特征在于:钥匙是分配单位和用户的,用户是通过钥匙来访问想访问的内容的。
9.一种可组态管控一体化平台的安全空间构造系统,其特征在于:该系统包括:
设置模块,其配置来在平台的指定区域设置安全区,其表示对于被保护对象的一种区域划分,安全区分为根安全区和子安全区;
创建模块,其配置来在工程创建时具有一个根安全区,以后创建的安全区都是根安全区的子安全区;
分配模块,将工程中的所有模型、对象定义、运行对象都分配安全区;
锁配置模块,其配置锁,锁是级别和权限的组合,权限包括创建、删除、浏览、修改安全区内的业务对象;级别是描述数据的级别;
钥匙配置模块,其配置单位,给单位分配钥匙;配置用户,用户属于单位,用户拥有该单位的钥匙,指定用户具有哪些钥匙;拥有指定钥匙的用户允许访问被指定锁所保护的指定安全区内的业务对象。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2016109242448 | 2016-10-24 | ||
| CN201610924244 | 2016-10-24 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106709354A CN106709354A (zh) | 2017-05-24 |
| CN106709354B true CN106709354B (zh) | 2018-07-06 |
Family
ID=58933796
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611042119.0A Active CN106709354B (zh) | 2016-10-24 | 2016-11-11 | 一种可组态管控一体化平台的安全空间构造方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106709354B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115525889B (zh) * | 2022-09-28 | 2023-08-01 | 北京亚控科技发展有限公司 | 一种安全权限控制方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101447669A (zh) * | 2008-05-05 | 2009-06-03 | 国网南京自动化研究院 | 一种基于稳定规则信息模型的电网安全稳定监控方法 |
| CN102354357A (zh) * | 2011-09-28 | 2012-02-15 | 上海电力学院 | 智能电网分区防护系统漏洞的格蕴含推理算法 |
| CN103049826A (zh) * | 2013-01-06 | 2013-04-17 | 中国南方电网有限责任公司超高压输电公司检修试验中心 | 电网运行维护自动化系统 |
| CN103220257A (zh) * | 2012-01-19 | 2013-07-24 | 中国石油天然气集团公司 | 一种计算机通信的方法、网络主机及系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102663317B (zh) * | 2012-03-05 | 2016-07-27 | 浪潮通用软件有限公司 | 业务单据及关键数据流转过程安全加固系统 |
| CN105243319B (zh) * | 2015-09-24 | 2018-04-10 | 四川长虹电器股份有限公司 | Xbrl应用平台的接入安全控制方法 |
| CN105721500B (zh) * | 2016-04-10 | 2019-01-15 | 北京工业大学 | 一种基于TPM的Modbus/TCP协议的安全增强方法 |
-
2016
- 2016-11-11 CN CN201611042119.0A patent/CN106709354B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101447669A (zh) * | 2008-05-05 | 2009-06-03 | 国网南京自动化研究院 | 一种基于稳定规则信息模型的电网安全稳定监控方法 |
| CN102354357A (zh) * | 2011-09-28 | 2012-02-15 | 上海电力学院 | 智能电网分区防护系统漏洞的格蕴含推理算法 |
| CN103220257A (zh) * | 2012-01-19 | 2013-07-24 | 中国石油天然气集团公司 | 一种计算机通信的方法、网络主机及系统 |
| CN103049826A (zh) * | 2013-01-06 | 2013-04-17 | 中国南方电网有限责任公司超高压输电公司检修试验中心 | 电网运行维护自动化系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106709354A (zh) | 2017-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7051766B2 (ja) | 自己プロビジョニングアクセス制御 | |
| Karger | Limiting the damage potential of discretionary Trojan horses | |
| CN102307185B (zh) | 适用于存储云内的数据隔离方法 | |
| CN103065100B (zh) | 一种基于容器的用户私有数据保护方法 | |
| CN108322432B (zh) | 一种基于树形组织模型的机构应用权限管理方法及服务系统 | |
| US20080141334A1 (en) | Method and Apparatus for Dissociating Binding Information from Objects to Enable Proper Rights Management | |
| CN109643356B (zh) | 阻止网络钓鱼或勒索软件攻击的方法和系统 | |
| CN105512569A (zh) | 一种数据库安全加固的方法及装置 | |
| CN106997440A (zh) | 一种角色访问控制方法 | |
| CN104462937A (zh) | 一种基于用户的操作系统外设接入权限控制方法 | |
| CN106709354B (zh) | 一种可组态管控一体化平台的安全空间构造方法及系统 | |
| JP2018013875A (ja) | アクセス管理システム | |
| CN101383030A (zh) | 项目进行过程中的问题跟踪系统及问题跟踪方法 | |
| JP4723930B2 (ja) | 複合的アクセス認可方法及び装置 | |
| Cisco | Using Security Manager Tools | |
| Cisco | Using Security Manager Tools | |
| Cisco | Using Security Manager Tools | |
| CN113032770A (zh) | 一种用户分级权限管理方法、装置及智能终端 | |
| CN106778323B (zh) | 一种可组态管控一体化平台的安全钥匙 | |
| Chang et al. | A trust and unauthorized operation based RBAC (TUORBAC) model | |
| CN106326692B (zh) | 一种可组态管控一体化平台的操作权限解析方法及装置 | |
| Gritsenko et al. | Model of role-based access to spatial data of electronic master plan | |
| CN111291400A (zh) | 一种基于区块链的金融数据保护系统 | |
| CN114969833B (zh) | 门户系统的资源控制方法、系统和计算机设备 | |
| Batra et al. | Autonomous multilevel policy based security configuration in distributed database |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |