横河AAI841-H50/K4A00模拟I/O模块
《 DCS培训教材 》

1、 如有打印机则安装打印机，及其他设备驱动程序安装，包括USB接口键盘驱动程序（为了以后禁用未经允许的USB设备做准备，在安装完USB设备以后，插后的位置就不要发生改变）。

2、 以Administrator用户登录，取消屏保；设置电源工作模式，将休眠，高级里面的按键将SLEEP等取消。

3、 将USB自动运行关闭，使用组策略来进行设置。开始－＞运行－＞Gpedit.msc－＞计算机配置－＞管理模版－＞系统－＞关闭自动播放－＞设置已启动－＞选择所有驱动器。

4、 在WindowsXP中禁用未经允许的USB接口。开始－＞运行－＞Regedit，找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor”主键，双击名为“Start”的DWORD值，将“数值数据”改为4（注：设为2时表示自动，设为3时表示手动(这是默认设置)，设为4则为停用）。修改后，当用户将未经允许的USB存储设备连接到计算机时，该设备将无法运行。

5、 检查程序菜单中是否有Windows操作系统附带的Windows组件，如：游戏、通讯薄、Windows Media Player、Internet Explorer等等，如有则进入控制面板－＞增加/删除程序－＞添加/删除Windows组件，将相关组件删除即可AAI841-H50/K4A00。

6、 重新启动机器，在Administrator用户登录，将CENTUM添加管理员权限；在用CENTUM登录，将屏保设置为无，设置电源工作模式，将休眠，高级里面的按键将SLEEP等取消。将音量图标去掉(右键－＞打开音频属性)，输入法图标去掉（点右键－＞设置－＞首选项－＞语言栏)。然后注销，在用Administrator登录，将CENTUM管理员权限去掉AAI841-H50/K4A00。

7、 进入HIS Utility，将Desktop设置为CENTUM Desktop。AUTO LOGO选择为CENTUM登录。在将开始菜单改为CENTUM Desktop。重启机器（注：此时开始启动了“Centum Desktop” 桌面环境）。

8、 用CENTUM用户进入系统，将HIS Utility中的Startup(for CENTUM)选中下面的选项AAI841-H50/K4A00。

9、 对于工程师站，因为安装了SYSTEM VIEWER等CS3000组态软件，在“Centum Desktop”桌面环境中，在CENTUM账户下还是可以操作SYSTEM VIEWER等CS3000组态软件。参考以前的解决方案，发现很多都是使用对文件和目录赋予NTFS权限来进行限制，但是操作步骤繁杂，而且由于CS3000系统在CENTUM用户下，是通过启动目录来调用CENTUM HIS程序,而如果稍一不注意，没有分配给CENTUM用户对“C:\Documents and Settings\All Users\「开始」菜单\启动”目录的访问权限，就会导致CS3000在CENTUM用户下不能自启动。笔者通过摸索，找到更简单的办法，在Administrator用户下，即进入C:\Documents and Settings\All Users\「开始」菜单\程序，将YOKOGAWA CENTUM文件夹发送至桌面快捷方式，然后再将YOKOGAWA CENTUM文件夹设置为隐藏属性，同时将文件夹选项中的查看将隐藏文件全部显示（主要是为了在Administrator用户下，也可以调用CENTUM系统组态程序）。即更简单解决该问题AAI841-H50/K4A00。

10、 在使用过程中，笔者还发现在工程师站（EWS）上只要操作级别为工程师级别，无论是采用软件方式（使用密码），还是钥匙开关方式（使用工程师钥匙），即使在CENTUM用户下都能从CS3000系统菜单中进入组态画面，并且还可以随意进行关键操作如停FCS，HIS及改变重要参数等。由于CENTUM用户下，操作人员知道了班长或工程师级别密码，就能任意修改密码，造成密码管理困难，最重要的是可能会造成极大的不安全因素。参考文献[6]，我们采用的方法是由DCS维护人员设置一个很长很复杂的密码，不告诉任何人，而如需操作级别切换，则使用钥匙开关方式，就能较好的解决这一个问题。

注：由于CENTUM CS 3000使用了“Centum Desktop”桌面环境，笔者在摸索过程中发现，任何对安全策略的改变，都需要重新更新“Centum Desktop” 桌面环境的缓存，具体步骤为1、用Administrator用户登录，进入HIS Utility，将Desktop设置为Windows Standard，确定后，重启机器。2、在用CENTUM登录，然后注销，用Administrator用户登录，进入HIS Utility，将Desktop设置为CENTUM Desktop，确定后，重启机器。则将“Centum Desktop” 桌面环境的缓存更新完毕。

经过上述步骤，DCS维护工程师很容易就可以对操作站及工程师站进行维护。在CENTUM用户下，操作人员再也不能进入Windows系统进行非法操作。而对于工程师站，DCS维护工程师在使用Administrator用户登录后，很方便的对CS3000组态和Windows XP系统进行维护；操作级别的切换也仅仅为使用钥匙方能切换；同时在计算机已安装了USB设备不受影响下，禁止非法的USB设备对系统的操作。至此，完整地解决了现阶段CENTUM CS3000在Windows XP Professional操作系统上的安全性问题，并且经过2套系统的实施和将近一年的运行，系统运行安全、稳定、且便于工程师的组态和维护，得到了肯定，由此证明上述步骤和改进措施是成功的。

目前很多DCS，FCS和PLC操作站都是使用PC机，采用Windows XP 操作系统。由于Windows系统本身具有开放、通用和易用的特点，同时通过USB设备传播病毒越来越广泛，很多操作人员对Windows系统都有着很深的了解，因此他们经常试图进入系统，进行一些与生产无关的操作。在这种情况下，要求DCS维护人员不仅要掌握DCS组态技术，还需要深入掌握Windows系统，充分利用好提供的相关工具，做好必要的安全防范。