-
Die Erfindung betrifft ein Verfahren
und eine Vorrichtung zur Steuerung von Zugriffen (auch Zugriffskontrolle
genannt) auf Daten einer lokalen und/oder einer einem vernetzten
Datenverarbeitungssystem zugehörigen
Datenverarbeitungseinheit, die von mehreren Benutzereinheiten genutzt wird.
-
Zur Bearbeitung und zum Aufruf von
Daten einer einzelnen Datenverarbeitungseinheit oder einer Datenverarbeitungseinheit
in einem vernetzten Datenverarbeitungssystem werden üblicherweise
einem Benutzer unterschiedliche Zugriffsrechte auf die Daten zugeordnet.
Insbesondere zur Vermeidung von Sicherheitsrisiken, z.B. Zugriff
eines Bearbeiters oder Benutzers auf das gesamte Datensystem, sind mittels
der Zugriffsrechte in Form von Benutzerkennungen, z.B. durch Passwort,
die Daten vom Benutzer eingeschränkt,
z.B. nur Leserechte, oder uneingeschränkt, z.B. sowohl Lese- als
auch Schreibrechte, nutzbar, um so ein unerlaubtes Löschen, Verändern, Lesen
und/oder Kopieren der Daten zu verhindern. Daneben sind die Daten,
z.B. Programme, Dateien, Datenbanken, verschiedenen Verarbeitungsebenen
zugeordnet, die wiederum für
ein- und denselben Benutzer zu unterschiedlichen Zugriffsrechten führen können. Unter
Verarbeitungsebenen wird beispielsweise die sogenannte Betriebssystemebene und/oder
die Anwender- oder Applikationsebene verstanden. In einem als Automatisierungssystem
oder als Automatisierungseinheit für eine technische Anlage ausgebildeten
Datenverarbeitungssystem sind die Verarbeitungsebenen als sogenannte
Objekte definiert, die wiederum System- und Anwenderprogramme und/oder eine
Datenmenge einer Teilanlage umfassen können.
-
Die Zugriffsrechte werden dabei üblicherweise
getrennt und somit separat in der jeweiligen Verarbeitungsebene
struktu riert, archiviert und verarbeitet. Dies hat den Nachteil,
dass bei einem derartig getrennten Verfahren zur Zuordnung der Zugriffsrechte immer
noch mehrere Personen, z.B. mehrere Systemadministratoren (= einer
für das
Betriebssystem und ein anderer für
eine Applikation) oder mehrere Wartungsingenieure (= einer für die eine
Teilanlage und ein anderer für
die andere Teilanlage) die Zugriffsrechte für die jeweilige Anwendung setzen
können
und somit ein Sicherheitsrisiko darstellen können. Daneben kommt es aufgrund
einer daraus resultierenden Vielzahl von einzelnen Zuordnungen von Rechten
und Objekten zu den Benutzereinheiten, wobei diese wiederum einen
einzelnen Nutzer oder mehrere zu einer Benutzergruppe zusammengefasste
Nutzer sein können,
zu einer besonders zeit- und kostenintensiven Wartung und Kontrolle
der Zugriffsrechte.
-
Der Erfindung liegt daher die Aufgabe
zugrunde, ein Verfahren zur Steuerung von Zugriffen auf Daten einer
lokalen und/oder einer einem vernetzten Datenverarbeitungssystem
zugehörigen
Datenverarbeitungseinheit, die von mehreren Benutzereinheiten genutzt
wird, anzugeben, bei dem eine Zugriffskontrolle besonders einfach
und möglichst
sicher ausgeführt
wird. Des Weiteren ist eine besonders geeignete Vorrichtung zur
Steuerung von Zugriffen auf Daten einer Datenverarbeitungseinheit
anzugeben.
-
Die erstgenannte Aufgabe wird erfindungsgemäß dadurch
gelöst,
dass bei einem Verfahren zur Steuerung von Zugriffen auf Daten einer
lokalen und/oder einer einem vernetzten Datenverarbeitungssystem
zugehörigen
Datenverarbeitungseinheit, die von mehreren Benutzereinheiten genutzt wird,
die Daten verschiedenen Verarbeitungsebenen zugeordnet sind, wobei
den Daten zugehörige
benutzerspezifische und/oder ebenenspezifische Zugriffsrechte in
einer allen Verarbeitungsebenen gemeinsamen Zugriffsplattform hinterlegt
werden, und wobei der jeweiligen Benutzereinheit bei deren Zugriff
auf Daten einer der Verarbeitungsebenen anhand der Zugriffsplattform
das den betref fenden Daten zugrunde liegende Zugriffsrecht zugeordnet
wird.
-
Die Erfindung geht dabei von der Überlegung aus,
dass für
eine möglichst
sichere und besonders einfache Zugriffskontrolle von einer Vielzahl
von Zugriffsrechten für
eine und/oder mehrere Verarbeitungsebenen anstelle einer separaten
Zuordnung mehrere Zugriffsrechte zusammengefasst werden sollten.
Dabei sollte sowohl eine ebenenunabhängige als auch ebenenübergreifende
Zugriffskontrolle ermöglicht
sein. Hierzu wird eine allen Verarbeitungsebenen gemeinsame Zugriffsplattform
eingerichtet, anhand welcher bei einer Anforderung einer Benutzereinheit
die Daten der betreffenden Verarbeitungsebene mit den diesen zugrunde
liegenden Zugriffsrechten aufgerufen werden.
-
Damit ebenenunabhängig eine einfache Zuordnung
von Zugriffsrechten ausgeführt
werden kann, wird die Zugriffsplattform in einer der Verarbeitungsebenen
hinterlegt. Je nach Vorgabe und/oder Systemauslegung kann die Zugriffsplattform,
auch Rolle oder Rollenregister genannt, auf einer zentralen Verarbeitungsebene,
z.B. einer Betriebssystemebene, oder auf einer anwenderspezifischen
Verarbeitungsebene, z.B. einer Anlagenebene, einer Automatisierungsebene
und/oder einer Applikationsebene, hinterlegt werden. Zweckmäßigerweise
werden die einer der Verarbeitungsebenen zugehörigen Zugriffsrechte von einer
anderen Verarbeitungsebene mittels der Zugriffsplattform gesteuert.
Hierdurch ist ergänzend
zur ebenenunabhängigen
Zuordnung der Zugriffsrechte auch eine ebenenübergreifende Zuordnung der
Zugriffsrechte ermöglicht.
Dabei können mittels
der Zugriffsplattformen die Zugriffsrechte der jeweils zugehörigen und/oder
der anderen Verarbeitungsebenen geändert, gelöscht, kopiert und/oder aktiviert
werden.
-
Um beispielsweise bei einer Datenanforderung
durch mehrere Benutzereinheiten einen differenzierten Zugriff auf
die der jeweiligen Verarbeitungsebene zugehörigen Daten zu ermöglichen,
werden der jeweiligen Verarbeitungsebene vorzugsweise unterschiedliche
Zugriffsrechte mittels der Zugriffsplattform zugeordnet. Hierdurch
wird beispielsweise bei einem gleichzeitigen Zugriff von mehreren Benutzereinheiten
auf ein- und dieselben Daten der einen Benutzereinheit ein Schreib-
und Leserecht und der anderen Benutzereinheit nur ein Leserecht zugeordnet.
-
Die zweitgenannte Aufgabe wird erfindungsgemäß bei einer
Vorrichtung zur Steuerung von Zugriffen auf Daten einer lokalen
und/oder einer einem vernetzten Datenverarbeitungssystem zugehörigen Datenverarbeitungseinheit,
die von mehreren Benutzereinheiten genutzt wird, gelöst, indem
die Daten verschiedenen Verarbeitungsebenen zugeordnet sind, wobei
eine allen Verarbeitungsebenen gemeinsame Zugriffsplattform zur
Hinterlegung von den Daten zugehörigen
benutzerspezifischen und/oder ebenenspezifischen Zugriffsrechte
vorgesehen ist, und die Zugriffsplattform bei einem Zugriff der
jeweiligen Benutzereinheit auf Daten einer der Verarbeitungsebenen
zur Zuordnung des den betreffenden Daten zugrunde liegenden Zugriffsrechts
an die betreffende Benutzereinheit vorgesehen ist. Mit anderen Worten: Mittels
der gemeinsamen Zugriffsplattform für verschiedene Verarbeitungsebenen,
z.B. Anlagen-, Automatisierungs-, Dienst- und/oder Anwenderebenen für Dienst-
bzw. Anwenderprogramme, können
verschiedene die jeweilige Verarbeitungsebene repräsentierende
Daten und/oder Rechte für
ein- und denselben Benutzer zugeordnet sein.
-
In einer bevorzugten Ausführungsform
ist eine der Verarbeitungsebenen als Betriebssystem ausgebildet.
Zusätzlich
ist vorteilhafterweise eine der anderen Verarbeitungsebenen als
Anwendersystem ausgebildet. Als Anwendersystem wird beispielsweise
bei einer technischen Anlage die diese kennzeichnenden Teilanlagen,
Automatisierungsebenen, verstanden, welche im allgemeinen auch als
Objekte bezeichnet werden.
-
Je nach Art und Vorgabe ist die allen
Verarbeitungsebenen gemeinsame Zugriffsplattform zweckmäßigerweise
in einer der Verarbeitungsebenen hinterlegt. Beispielsweise ist
die Zu griffsplattform im Betriebssystem hinterlegt. Alternativ kann
die Zugriffsplattform in der Anwenderebene, z.B. einer Projekt-
oder Anlagenebene, hinterlegt sein. Hierbei wird die Struktur der
Zugriffs- oder Zugriffsrechte entsprechend der Struktur der Projektdaten
gespeichert und bleibt somit im Projektkontext erhalten. Dies ermöglicht insbesondere
bei einem projektübergreifenden und
somit auch ebenenübergreifenden
Datenaustausch eine Beibehaltung der Struktur der Zugriffsrechte
und somit eine Wiederverwendbarkeit, wodurch der Zeit- und Administrationsaufwand
deutlich reduziert ist.
-
Die mit der Erfindung erzielten Vorteile
bestehen insbesondere darin, dass durch eine allen Verarbeitungsebenen
gemeinsamen Zugriffsplattform für
einzelne oder mehrere zu einer Benutzergruppe zusammengefassten
Benutzereinheiten eine Vielzahl von Zugriffsrechten in Form einer
n·m-Zuordnung
ermöglicht
ist (mit n = Anzahl von Benutzereinheiten, m = Anzahl der Verarbeitungsebenen
(= Anzahl von Objekten und/oder Anzahl von Rechten)). D.h. die jeweils
anfordernde Benutzereinheit kann unabhängig von einer dieser zugeordneten
Verarbeitungsebene in einer anderen Verarbeitungsebene sich mittels
der gemeinsamen Zugriffsplattform anmelden, so dass ein den angeforderten
Daten zugrunde liegendes Zugriffsrecht, z.B. nur Schreib- oder Schreib- und
Leserecht, der Benutzereinheit zugeordnet wird. Durch eine derartige
abstrakte oder virtuelle Zugriffsplattform für eine Vielzahl von unterschiedlichen
Systemen, z.B. Automatisierungssystemen, Teilanlagen, in einer technischen
Anlage können
die Zugriffsrechte system- und anlagenunabhängig, d.h. ohne Kenntnisse
der Struktur und/oder der Objekte der Anlage, gesteuert, kontrolliert
und gewartet werden. Des Weiteren führt eine derartige systemunabhängige Zugriffskontrolle
zu einem besonders geringen Aufwand bei der Umsetzung von Zugriffsrechten
eines Systems auf ein anderes System. Ferner ist bei wechselnden
Benutzereinheiten aufgrund der zentral ausgebildeten gemeinsamen
Zugriffsplattform eine schnelle und einfache Aktualisierung der
Zugriffsrechte ermöglicht.
-
Ausführungsbeispiele der Erfindung
werden anhand einer Zeichnung näher
erläutert.
Darin zeigen:
-
1 schematisch
ein Datenverarbeitungssystem mit mehreren über eine Datenübertragungseinheit
verbundenen Datenverarbeitungseinheiten,
-
2 schematisch
eine Zugriffsplattform zur Zugriffskontrolle von Benutzereinheiten
auf Daten mindestens einer der Datenverarbeitungseinheiten, und
-
3 und 4 schematisch mögliche Ausführungsformen
für eine
Zugriffsplattform.
-
Einander entsprechende Teile sind
in allen Figuren mit den gleichen Bezugszeichen versehen.
-
Die 1 zeigt
ein Datenverarbeitungssystem 1 mit mehreren über mindestens
eine Datenübertragungseinheit 2 verbundenen
Datenverarbeitungseinheit 4a bis 4c einer technischen
Anlage 6, z.B. einer Chemieanlage oder einer Kraftwerksanlage.
-
Das Datenverarbeitungssystem 1 ist
beispielsweise eine speicherprogrammierbare Steuerung oder ein Automatisierungssystem,
welches zur Steuerung und/oder Regelung der technischen Anlage 6 Automatisierungseinheiten
umfasst, in denen einerseits Messwerte MW und Meldesignale MS vorverarbeitet
und in Prozesssignale PS umgewandelt werden. Zu Steuerzwecken werden
andererseits dort Steuersignale SI an Komponenten K, z.B. Antriebe, Motoren,
Ventile, der technischen Anlage 6 abgegeben. Aufgrund der
Komplexität
derartiger technischer Anlagen 6 ist die Anlage 6 in
Anlagenteile A1 bis An unterteilt, denen wiederum betreffende Datenverarbeitungseinheiten 4a zugeordnet
sind. Die Aufteilung der Anlage 6 und der zugehörigen Datenverarbeitungseinheiten 4 in
die Anlagenteile A1 bis An ist beispielhaft in der 1 durch Container dargestellt.
-
Zur Prozessführung und Prozessüberwachung
weist das Datenverarbeitungssystem 1 entsprechende Datenverarbeitungseinheiten
4b auf, welche
in der 1 als Personalcomputer
abgebildet sind. Ebenso weist das Datenverarbeitungssystem 1 zur
Projektierung und Konstruktion der technischen Anlage 6 eine
zugehörige
Datenverarbeitungseinheit 4c auf. Bedingt durch die aus
der jeweiligen Funktion der Datenverarbeitungseinheit 4a bis 4c resultierenden
unterschiedlichen Anforderungen weisen die verschiedenen Datenverarbeitungseinheiten 4a bis 4c verschiedene
Verarbeitungsebenen Vm auf. Unter Verarbeitungsebenen Vm werden
beispielsweise eine Betriebssystemebene V8, die Anlagenteile A1 bis
An, Anwenderebene V10, z.B. eine Applikationsebene, verstanden.
-
Zur Bearbeitung und zum Aufruf von
Daten D der verschiedenen Verarbeitungsebenen Vm einer der Datenverarbeitungseinheiten 4a bis 4c ist
eine allen Verarbeitungsebenen Vm gemeinsame Zugriffsplattform 12,
wie sie in 2 dargestellt
ist, vorgesehen. Dabei können
die in 1 dargestellten
Datenverarbeitungseinheiten 4a bis 4c durch mehrere
Benutzereinheiten Bn genutzt werden. Je nach Art der Benutzereinheit
Bn kann es sich um einen einzelnen Benutzer B oder um eine aus mehreren
Benutzern B zusammengefasste Benutzergruppe BG handeln. Bei den
Daten D handelt es sich um Anwender- oder Dienstprogramme, Dateien,
Datenbanken, einzelne Signale, z.B. Prozesssignale PS oder ähnliches.
Dabei kann jede der Verarbeitungsebenen V1 bis Vm zum einen durch
die diese repräsentierenden
Daten D und zum anderen durch die diese repräsentierenden Anlagenteile A1
bis An bestimmt sein. Des Weiteren ist die jeweilige Verarbeitungsebene
V1 bis Vm durch diese zugeordneten Zugriffsrechte Z bestimmt. Für eine einfache
Zugriffskontrolle einer anfordernden Benutzereinheit Bn werden in
der allen Verarbeitungsebenen Vm gemeinsamen Zugriffsplattform 12, auch
Rolle oder Rollenregister genannt, den Daten D zugehörige benutzerspezifischen
und/oder ebenenspezifische Zugriffsrechte Znm hinterlegt. Je nach
Art und Aufbau des Datenverarbeitungssystems 1 kann die
Zugriffsplattform 12 in einer der Verarbeitungsebenen Vm
hinterlegt sein. Beispielsweise kann die Zugriffsplattform 12 in
einer der Datenverarbeitungseinheiten 4b oder 4c hinterlegt
sein und d.h. entweder in der Engineering-Umgebung oder in der Prozessüberwachungsumgebung
hinterlegt sein.
-
In den 3 und 4 sind verschiedene Ausführungsformen
für die
allen Verarbeitungsebenen V1 bis Vm gemeinsame Zugriffsplattform 12 für mehrere
Benutzereinheiten B1 bis Bn dargestellt. Anhand der 3 und 4 wird
nachfolgend der Betrieb des Datenverarbeitungssystems 1 näher erläutert.
-
Bei einer Anforderung einer der Benutzereinheiten
B7, z.B. eines Wartungstechnikers, an einer der Datenverarbeitungseinheiten 4a bis 4c zum
Zugriff auf Daten D wird mittels der Zugriffsplattform 12 anhand
der dort hinterlegten benutzerspezifischen und/oder ebenenspezifischen
Zugriffsrechte Znm ein den angeforderten Daten D zugrundeliegendes
Zugriffsrecht Z77 oder Z78 der Benutzereinheit B7 zugeordnet. D.h.
unabhängig
von der verwendeten Datenverarbeitungseinheit 4a bis 4c wird
der Benutzereinheit B7 mittels der Zugriffsplattform 12 in
Form einer sogenannten Rolle das zugehörige Zugriffsrecht Z77 und/oder
Z78 zugeordnet. Somit kann die als Wartungstechniker definierte
Benutzereinheit B7 gemäß den zugeordneten
Zugriffsrechten Z77 und/oder Z78 Prozessdaten archivieren und/oder
Hardware austauschen. Dabei kann die Benutzereinheit B7 dies von
jeder beliebigen Verarbeitungsebene V1 bis Vm ausführen, d.h,
der Wartungstechniker kann beispielsweise von der Betriebssystemebene
V8 Zugriff auf die Daten D repräsentierenden
Prozesssignale PS der Anwenderebene V10 (= eine mögliche Engineeringebene)
haben, wenn ihm dieses Recht zugewiesen ist, wohingegen ein Zugriff
auf die Daten D der Betriebsebene V8 mittels der Zuordnung der Zugriffsrechte
Znm der Zugriffsplattform 12 gesperrt ist.
-
Ergänzend zu den Zugriffsrechten
Znm der Benutzereinheit Bn auf eine der Verarbeitungsebenen Vm können der
jeweiligen Verarbeitungsebene V1 bis Vm mehrere Zugriffsrechte Z
zugeordnet sein. Dies ist beispielhaft in der 4 darge stellt. Dabei wird der Verarbeitungsebene
V1, z.B. einer der Datenverarbeitungseinheiten 4a oder 4b,
für eine
der Benutzereinheiten B1, z.B. alle in einer Benutzergruppe BG zusammengefassten
Wartungsingenieure der Anlage Nord, als Zugriffsrechte Znm sowohl ein
Schreibrecht w als auch ein Leserecht r zugeordnet.