CN103117993A - 用于提供过程控制系统的防火墙的方法、装置及制品 - Google Patents
用于提供过程控制系统的防火墙的方法、装置及制品 Download PDFInfo
- Publication number
- CN103117993A CN103117993A CN2012103798739A CN201210379873A CN103117993A CN 103117993 A CN103117993 A CN 103117993A CN 2012103798739 A CN2012103798739 A CN 2012103798739A CN 201210379873 A CN201210379873 A CN 201210379873A CN 103117993 A CN103117993 A CN 103117993A
- Authority
- CN
- China
- Prior art keywords
- network
- port
- service
- address
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
- H04L67/125—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Medical Informatics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
公开了用于提供过程控制系统的防火墙的方法、装置和制品。示例性方法包括分析网络通信以识别第一服务、网络的被保护部分中关联于所述第一服务的地址、以及由所述第一服务使用的端口的子集,所述网络通信来源于所述网络的所述被保护部分中,并且将被发送到所述网络的所述被保护部分外的目的地;以及当所述网络通信包括标识符、所述地址以及所述端口的子集时,存储所述第一服务的标识符、所述地址以及所述端口的子集。
Description
技术领域
本公开一般地涉及过程控制系统,更具体地,涉及用于提供过程控制系统的防火墙的方法、装置及制品。
背景技术
过程控制系统,例如用于化学、石油或者其他过程的过程控制系统,通常包括一个或者更多个过程控制器,以及通过模拟、数字或者组合的模拟/数字总线通信地耦合到至少一个主机或者操作员工作站,并耦合到一个或者多个现场设备的输入/输出(I/O)设备。现场设备,可以是,例如,阀、阀定位器、开关和变送器(例如,温度、压强和流速传感器),其在过程中执行例如打开或者关闭阀以及测量过程控制参数的过程控制功能。过程控制器接收表示由现场设备所进行的过程测量的信号,处理该信息以实现控制例程,并且生成控制信号,该控制信号通过总线或者其他通信线被发送至现场设备以控制该过程的运行。以此方式,过程控制器可以使用通过总线和/或其他通信地耦合现场设备的通信线使用现场设备来执行和协调控制策略。
来自现场设备和控制器的过程信息可以为由操作员工作站(例如,基于处理器的系统)执行的一个或更多应用(即,例程、程序、等)可用,以使得操作员能够执行关于过程的所需的功能,例如查看过程的当前状态(例如,通过图形用户界面),评估该过程,修改该过程的运行(例如,通过可视的对象图),等等。很多过程控制系统还包括一个或者更多个应用站,这些应用站通常使用个人电脑、笔记本、或者类似装置实现,并且通过局域网(LAN)通信地耦合至控制器、操作员工作站和过程控制系统内的其他系统。每个应用站可以包括显示过程控制信息的图形化用户界面,该过程控制信息包括与过程、过程故障检测信息和/或过程状态信息相关联的质量参数值、过程变量值。
发明内容
公开了用于提供过程控制系统的防火墙的方法、装置和制品。示例性方法包括分析网络通信以识别第一服务、网络的被保护部分中关联于所述第一服务的地址、以及由所述第一服务使用的端口的子集,所述网络通信来源于所述网络的所述被保护部分中,并且将被发送到所述网络的所述被保护部分外的目的地;以及当所述网络通信包括标识符、所述地址以及所述端口的子集时,存储所述第一服务的标识符,所述地址以及所述端口的子集。
一些示例性方法还包括:比较第二网络通信与所述第一服务的所述标识符、所述地址以及所述端口的子集,所述第二网络通信接收自所述网络的所述被保护部分外。一些这种示例性方法还包括:当所述第二网络通信与所述第一服务的所述标识符,所述地址以及所述端口的子集中的一个端口匹配时,将所述第二网络通信转发到由所述第二网络通信指定的地址和端口。
一些示例性方法还包括:当所述第二网络通信与所述地址以及所述端口的子集中的一个端口匹配并且和所述标识符不匹配时,基于用于所述第一网络通信的阈值时间或网络探测标示中的至少一个来将所述第二网络通信转发到由所述第二网络通信指定的地址和端口。一些这种示例性方法还包括:基于所述第一网络通信设置所述网络探测标示。
一些示例性方法还包括:当所述第二网络通信与相应于所述第一服务的已存储地址和已存储端口不匹配时,放弃所述第二网络通信。一些示例包括:基于阈值时间从存储中移除所述第一服务的所述标识符,所述地址以及所述端口的子集。
一个示例性装置包括:通信过滤器,用于分析来源于网络的被保护部分中且将要被发送到所述网络的所述被保护部分外的目的地的网络通信;通信解析器,用于识别第一服务,网络的被保护部分中关联于所述第一服务的地址,以及用于识别由所述第一服务使用的端口的子集,以及防火墙例外生成器,用于当所述网络通信包括标识符、所述地址以及所述端口的子集时,存储所述第一服务的标识符,所述地址,以及所述端口的所述子集。
在一些示例中,所述通信过滤器比较第二网络通信与所述第一服务的所述标识符、所述地址以及所述端口的子集,所述第二网络通信接收自所述网络的所述被保护部分外。在一些这种示例中,所述通信过滤器当所述第二网络通信与所述第一服务的所述标识符,所述地址以及所述端口的子集中的一个端口匹配时,将所述第二网络通信转发到由所述第二网络通信指定的地址和端口。
在一些示例中,所述通信过滤器当所述第二网络通信与所述地址以及所述端口的子集中的一个端口匹配并且和所述标识符不匹配时,基于用于所述第一网络通信的阈值时间或网络探测标示中的至少一个来将所述第二网络通信转发到由所述第二网络通信指定的地址和端口。在一些示例性装置中,所述通信解析器基于所述第一网络通信来识别所述网络探测标示的值,并且所述防火墙例外生成器用于基于所述第一网络通信来存储所述网络探测标示的值。
在一些示例中,所述第一或第二网络通信中的至少一个包括分布式组件对象模型通信。一些示例性装置还包括存储设备,所述防火墙例外生成器用于将所述标识符,所述地址,以及所述端口的子集存储在所述存储设备中。
一种包括计算机可读指令的示例性计算机可读存储介质,所述计算机可读指令在被执行时使得处理器分析网络通信以识别第一服务、网络的被保护部分中关联于所述第一服务的地址,以及由所述第一服务使用的端口的子集,所述网络通信来源于所述网络的所述被保护部分中,并且将被发送到所述网络的所述被保护部分外的目的地;以及当所述网络通信包括标识符、所述地址以及所述端口的子集时,存储所述第一服务的标识符,所述地址以及所述端口的子集。
附图说明
图1示出了包括示例性防火墙的过程控制环境;
图2示出了可以被用于配置图1的示例性防火墙的示例性图形化用户界面;
图3和图4分别示出了示例性方式或过程的程序化视图和流程图,借由其DCOM通信可以被图1的示例性防火墙处理;
图5是图1的示例性防火墙的更具体的框图;
图6是表示用于实现图1和5的防火墙以动态地创建用于服务的例外的示例性方法的流程图;
图7是表示用于实现图1和5的防火墙以选择地允许用于服务的通信被传递到网络的被保护部分的示例性方法的流程图;
图8是表示用于实现图1和5的防火墙以管理用于服务的动态例外的示例性方法的流程图;
图9是能够执行图4和6-8的指令以实现图1和/或5的防火墙的示例性处理平台的框图。
具体实施方式
尽管下文描述了包括执行在硬件上的软件和/或固件以及其他组件的示例性方法、装置、和制品,应当认识到,这些示例仅仅是说明性的,而不应当认为是限制。例如,可以考虑将这些硬件、软件和固件组件唯一地具体化为软件、唯一地具体化为硬件或者具体化为软件和硬件的任意组合。因此,虽然下文描述了示例性方法、装置和制品,本领域普通技术人员将认识到,所提供的这些示例并非实现这些方法、装置和制品的唯一手段。
防火墙通常用于为通信网络提供保护,并且一般地可以被用于避免来源于其他网络和/或设备的通信未授权地访问通信网络。通常地,防火墙物理地或逻辑地位于与将要保护的网络相连接的点,或者位于具有相对于具有较低安全等级的其他网络相对较高的安全等级的点。一些系统或网络包含多个安全等级,因此其可以包括多个防火墙和/或其他安全防范。通常地,在这些更复杂的系统或网络中,多个安全等级可以被看作提高安全的不同层或区域。当每个连续层、区域或等级的安全增加时,关联于何种实体可以与下一个更高的安全层、区域或等级的限制增加,并且相应地,被授权通信的实体的数量通常减少。
通常被用于企业信息技术(IT)网络中的通用防火墙是非常复杂的设备,并且要求丰富的IT经验来适当地安装、配置和维护。例如,这种通用防火墙使用通信规则作为决定哪种通信不被授权并且因而被阻止的安全机制。更具体地,每个尝试穿过该防火墙(即,尝试从防火墙一侧的低安全等级进入被防火墙保护的高安全侧)的通信包基于该防火墙中确立的规则被询问并被评价。任何未能满足允许通信包穿过防火墙的规则的包被拒绝并被阻止。
这些通用防火墙所使用的规则是针对将要访问防火墙的安全侧的应用、计算机和/或设备的每个应用、计算机或其他设备根据经验来开发。这种规则开发,其可以被认为是防火墙配置过程的一部分,可以由非常熟练的IT人员和/或具有丰富的网络和数据分析经验的其他人员来完成。规则开发过程通常包含监控未受限制的运行模式中的通信流量以确定每个授权通信的特性,并且随后产生被防火墙使用的适当的规则,该规则使得仅允许这些授权的通信通过该防火墙。更通常地,这种规则开发过程谋求采集或开发封装在规则中的用于每个授权类型通信的签名,并且谋求使用这些指纹或签名来询问并阻止未授权的通信。
虽然前述的规则开发过程提供了丰富的灵活性,其使得通用防火墙能够实质上被应用在任意类型的网络、系统或应用中,但是需要相当程度的技能才能确保防火墙未被不适当地配置(例如,规则被适当地开发)。在一些情况中,不合适的防火墙配置可能导致由防火墙保护的网络被未授权地访问,和/或阻止授权通信。此外,在一些可以使用专用防火墙的更特定的应用中,不需要这种通用防火墙所提供的灵活性或多用性。
在过程控制系统的情况中,使用通用防火墙来在,例如,过程控制系统网络和关联于该过程控制系统的工厂或企业内的更多通用网络之间提供保护引入了上述与通用防火墙有关的麻烦。然而,这种麻烦在过程控制环境中更加复杂,这是由于这些通用防火墙通常由IT或过程区域外(例如,远离)的其他人员维护,并且因而可能不能根据过程控制系统中维护时间严格的过程的需要可用。
因此,在此所述的示例性方法、装置和制品提供了一种用于过程控制系统或环境中的专用防火墙。更具体地,在此所述的示例性不需要采用上述与通用防火墙有关的方式来开发配置防火墙的规则。替代地,该防火墙包括(例如,在存储器中)应用列表,该应用列表包括用于在应用和通常分布在过程控制系统或工厂中的设备之间建立通信连接的信息。包含在该列表的应用中的信息可以在其他数据中包括表征用于每个被授权通信类型的通信(例如规则)的信息。
在一些示例中,配置过程可以包含图形化用户界面,以呈现可用应用的图形和/或文字列表(例如,下拉列表),其中每个可以对应于防火墙的相对侧的应用、计算机和/或设备之间的特定通信连接。为了配置防火墙,用户可以简单地选择(例如,用鼠标或其他指示设备)这些应用中的一个或更多个,作为响应,防火墙实例化关联于所选应用的规则。图形化用户界面可以提供关联于不同类型连接的各种选择,例如向外和向内连接、入侵防御以及扫描保护。更进一步地,对于每个所选应用,图形化用户界面可以使得用户能够指定关联于所选应用的通信将要被记录,和/或所选应用(及其规则)将要在指定时长之后期满(即,暂时性授权连接)。
应用列表可以预先设置在防火墙中(例如,在制造时),或者可以后来通过例如防火墙连接的安全通信网络、通过配置站或通过手持设备等下载到防火墙中。此外,在此所述的示例性防火墙使得用户能够创建应用以加入到应用列表中。可以通过开发上述与通用防火墙有关的规则并且然后在防火墙中载入这些规则来添加这些附加应用,以使得防火墙能够通过图形化用户界面和预先设置的应用一起呈现这些被添加的应用。
在此所述的示例性防火墙还处理分布式组件对象模型(DCOM)通信,而无需打开并暴露防火墙中未使用的端口。在通用防火墙中,可以以传统的将防火墙中多个端口打开的方式来手持DCOM通信,以便于动态(而不是永久的)端口分布处理,其是建立传统DCOM连接的一部分。换言之,出于这种目的而将多个端口打开会暴露可能被用于获得通过防火墙的未授权访问的那些端口。
相比于上述用于处理DCOM通信的已知技术,在此所述的示例性防火墙自动检测何时DCOM通信正在被通过防火墙建立,并且动态打开一个预定端口并随后在该通信中止时关闭该端口。用这种方式,多个端口不会像上述的已知技术那样在用于后续动态分配的防火墙中被保持打开。因此,在此所述的示例性防火墙提供了实质上更安全的系统。
现在转到图1,过程控制环境100包括在此所述的示例性防火墙102。示例性防火墙102介于过程控制环境100的工厂或企业等级106与过程区域或等级104之间。更具体地,示例性防火墙102阻止未授权通信,该未授权通信被通过相对较低安全的网络108和110传送到防火墙102,并且指向关联于过程等级104的相对较高安全的网络112。较低安全的网络108和110对应于处于最低安全等级的公司网络,处于次最高安全等级的工厂网络108以及处于最高安全等级的过程控制网络112。
过程等级104可以包括一个或更多个工作站或应用站114,其通过用于控制器、输入/输出设备以及现场设备116的局域网118通信地耦接到这些设备。工厂或企业等级106包括一个或更多个受控方位工作站120和122,以及一个或更多个服务器124,126和128,其可以进行各种数据服务(例如,历史服务、防病毒服务、软件修补服务等)。工厂或企业等级106还可以包括企业等级工作站130和132,其可以进行账户功能、企业集成功能等。此外,通用防火墙134可以介入企业等级工作站130和132与关联于受控访问工作站120和122以及服务器124的网络之间的通信。
因此,图1的示例性过程控制环境100包括三个安全等级,最低的安全等级对应于企业等级工作站130和132,次最高的安全等级对应于受控的访问工作站120和122以及服务器124,126和128,最高的安全等级对应于过程区域104。根据本公开的教导,示例性防火墙102提供上文所说明的并且在下文中结合图2-8更具体描述的功能。此外,虽然示例性防火墙102被结合图1的过程控制环境描述,示例性防火墙102可以更通常地应用于任意其他已有的或以后开发的过程控制环境中。
图2示出了可以被用于配置图1的示例性防火墙102的示例性图形化用户界面200。更具体地,示例性图形化用户界面200可以通过防火墙102的处理单元或处理器来执行存储在防火墙102的存储器(未示出)中的指令、代码或软件。在一个示例中,计算机(例如,手提电脑,手持设备,等)可以耦接(例如,通过硬线连接、无线等)到防火墙102,以允许用户查看示例性图形化用户界面200。替代地或附加地,用户可以能够通过图1中所示的计算设备中的一个或多个,例如工作站120、122、130和/或132和/或应用站114,来调用并查看用户界面200。
无论如何,示例性图形化用户界面200使得用户能够通过下拉列表或菜单204来选择一个或更多个应用202。可用应用202中的每个对应于一个被授权的通信连接,以及将被防火墙102使用的一个下层规则或一组规则,以允许各个被授权的通信通过防火墙102。应用202可以在制造防火墙102时或者在早于配置防火墙102的任意其他时间预先设置或存储在防火墙102中。此外,在使用已知技术开发规则之后,下拉列表204中的应用202中的一个或更多个可以被由用户添加。
示例性图形化用户界面200还包括记录选择框206,其可以被由用户选择,以使得任意所选择的连接或应用被记录。此外,图形化用户界面200可以包括使能选择框208,其可以被用户选择以启动所选应用,以及“期满”选择框210,其可以被选择以使得所选应用(例如,规则)202中的一个或更多个在预定时长后变为不可用。
图3示出了示例性方式或过程的程序化视图,而图4是示出示例性方式或过程的流程图,借由其DCOM通信可以被图1的示例性防火墙102处理。参考图3和图4,起初网络管理器302通信地耦接到防火墙102(图1)以配置防火墙102,从而允许通过防火墙102的特定端口,从相对较低安全的外部网络306或者网络被保护部分的外部访问内部或高安全网络304或者网络的被保护部分(块400)。
连接到高安全的、内部网络304的服务器308穿过防火墙102向连接到外部的、较低安全网络306的外部计算机310发送通信309(块402)。通信309包括用于外部计算机310的信息,用以指示该计算机310使用在块400指定的用于与内部网络304,特别是服务器308,通信的端口。此外,防火墙102解析该通信309,并基于由所解析的通信309提取的信息,来使得防火墙102暂时地允许外部网络306和内部网络304之间通过所指定端口上的暂时连接的通信(块404)。更具体地,在块404的通信309的解析可以包括所请求的通信是DCOM通信的自动确定。
外部计算机310然后通过所指定的端口连接到服务器308,并请求312到服务器308内的DCOM服务的连接(块406)。防火墙102允许该连接,因此,外部计算机310和服务器308能够穿过防火墙102交换DCOM通信314(块406)。
图3和4的示例仅仅表示一种示例性防火墙102可以被用于在被保护的或较高级安全网络和相对较低安全的网络之间建立DCOM通信所采用的方式,其无需打开或暴露多个防火墙102端口。因此,示例性防火墙102可以提供比前述的已知通用防火墙大体更高等级的网络安全。更具体的使用防火墙102来保护网络的示例将在下文中描述。
图5是图1的示例性防火墙102的更具体的框图。图5的示例性防火墙102可以被用于,例如,相对于网络的一部分(例如,较低安全的网络108,110)而保护网络的另一部分(例如,较高安全的网络112)。
图5的示例性防火墙102包括通信过滤器502,通信解析器504,防火墙例外生成器506以及存储设备508。
图5的示例性通信过滤器502接收来自于网络的被保护部分(例如,应用站114,现场设备116,等)且将被发送到网络的被保护部分之外的目的地的通信。示例性通信过滤器502还接收来自于网络的被保护部分之外的设备且将要被发送到网络的被保护部分中的目的地的通信。在一些示例中,穿过防火墙102的通信包括DCOM通信和/或关联于服务和/或远程过程调用的通信。
为了保护网络的被保护部分,示例性通信过滤器502分析被保护部分与该被保护部分之外的资源之间的网络通信。在一些示例中,防火墙102动态地授权从被保护部分外部的资源发送到网络的被保护部分的通信(例如,DCOM通信),以使得所要求的服务能够运行而无需不必要地将被保护的网络暴露于未使用的通信端口的攻击。
为了动态地授权通信,示例性通信过滤器502分析来源于网络的被保护部分中的并且将被发送到网络的被保护部分外的目的地的通信(例如,图3的通信309)。示例性通信解析器504解析通信以确定关联于该通信的服务(例如,DCOM服务的接口通用标识符),基于该通信识别被保护网络中的设备的地址(例如,接收自网络的被保护部分外的动态授权通信将要被发送到的IP地址),以及识别被打开以用于该动态授权通信的端口子集。
通过识别通信的有效载荷中的标记(例如,标记字符串),示例性通信解析器504可以方便地辨识被解析的网络通信中出现这种信息。如果标记未出现,则通信解析器504可以停止搜索通信。另一方面,如果标记出现,示例性防火墙例外生成器从网络通信中提取服务标识符(例如,UID)、地址、以及端口。示例性防火墙例外生成器506将该服务标识符、地址以及端口存储为例外列表510中的例外,该例外列表510存储在存储设备508中。在一些示例中,防火墙例外生成器506确定网络探测标示或变量是否具有第一值(例如,使能、禁止)。网络探测标示可以被用于使得进一步的服务被基于该网络通信而授权(例如,用于与动态授权服务有关的服务)。
虽然例外保持被授权,但是示例性防火墙102接收来自于网络的被保护部分外且指向网络的安全部分的一个或更多个网络通信(例如,图3的通信312、314)。示例性通信过滤器502比较该网络通信与例外列表510中的条目中的服务标识符、地址和端口(例如,在存储器508中)以识别匹配。如果存在匹配,则示例性通信过滤器502转发该通信。
如果通信过滤器502确定该通信与例外的地址和端口匹配,但是服务标识符不匹配,则示例性通信过滤器502确定主连接是否仍然有效(例如,通信309是否超时或断开连接)。如果主连接有效,则示例性过滤器502可以向该设备转发该通信。另一方面,如果主连接失效,则示例性通信过滤器502可以确定网络探测标示是否是使能。如果网络探测标示是禁止,则示例性网络过滤器502可以向该设备转发该通信。然而,如果主连接失效且网络探测标示是使得的,则通信过滤器502过滤或放弃该通信。
图5的示例性防火墙102的示例性组件和功能在上文中被描述。示例性防火墙102可以附加地进行其他防火墙功能,例如标准的防火墙功能。不讨论这些功能以避免搞混示例。此外,虽然图1-5的示例性防火墙102被描述为单独的防火墙,但是示例性防火墙102可以实现为网络中计算设备上的软件防火墙,以保护该计算设备。
虽然在图5中已经描述了实现图1的防火墙102的一种示例性方式,但是图5中示出的元件、过程和/或设备中的一个或更多个可以被组合、拆分、重新排列、省略、消除和/或以其他方式实现。此外,图1和/或图5中的示例性通信过滤器502,示例性通信解析器504,示例性防火墙例外生成器506,示例性存储设备508和/或,更通常地,示例性防火墙102可以由硬件、软件、固件、和/或硬件、软件和/或固件的任意组合实现。因此,例如,示例性通信过滤器502、示例性通信解析器504、示例性防火墙例外生成器506、示例性存储设备508和/或,更通常地,示例性防火墙102中的任意一个可以由一个或更多个电路、可编程处理器、专用集成电路(ASIC)、可编程逻辑器件(PLD)和/或现场可编程逻辑器件(FPLD)等实现。当本专利的装置或系统的任意一个被解读为覆盖纯软件和/或固件实现时,示例性通信过滤器502、示例性通信解析器504、示例性防火墙例外生成器506和/或示例性存储设备508中的至少一个特此明确限定为包括存储有该软件和/或固件的有形计算机可读介质,例如存储器、DVD、CD、蓝光碟等。更进一步地,除了或替代在图5中所示的那些元件、过程和/或设备,图1和/或5的示例性防火墙102可以包括一个或更多个元件、过程和/或设备,和/或可以包括多于一个的任意或所有的所示出的元件、过程和设备。
表示用于实现图1和/或5的防火墙102的示例性方法的流程图被示于图4和6-8中。在这些示例中,这些方法可以被使用机器可读指令来实现,其包括用于由处理器执行的程序,该处理器诸如下文中结合图9所讨论的示例性处理平台900中所示的处理器912。程序可以具体化为存储在有形计算机可读介质上的软件,该有形计算机可读介质例如CD-ROM、软盘、硬盘、数字多功能光碟(DVD)、蓝光碟或关联于处理器912的存储器,但是整个程序和/或其部分可能替代地被由处理器912之外的设备执行,和/或具体化在固件或专用硬件中。此外,尽管示例性程序被结合图4和6-8中所示的流程图描述,但是还可以替代地使用许多其他的用于实现示例性防火墙102的方法。例如,可以调整块的执行顺序,和/或所描述的块中的一些可以被改变、消除或被组合。
正如上述,图4和6-8中的示例性过程可以使用存储在有形计算机可读介质上的被编码的指令(例如,计算机可读指令)实现,该有形计算机可读介质例如硬盘驱动器、快闪存储器、只读存储器(ROM)、压缩光碟(CD)、数字多用途光碟(DVD)、缓存、随机存取存储器(RAM)和/或任意其他存储介质,在其上信息被存储任意时间(例如,用于扩展时间周期,永久的,短暂的情况,用于暂时缓冲,和/或用于信息的高速缓存)。这里使用的,术语“有形计算机可读介质”明确被定义为包含任何类型的计算机可读介质并排除传播信号。附加地或替代地,图4和6-8的示例性过程可以使用存储在非瞬时的计算机可读介质上的被编码的指令(例如,计算机可读指令)实现,该非瞬时的计算机可读介质例如硬盘驱动器、快闪存储器、只读存储器、压缩光碟、数字多用途光碟、缓存、随机存取存储器和/或任意其他存储介质,在其上信息被存储任意时间(例如,用于扩展时间周期,永久的,短暂的情况,用于暂时缓冲,和/或用于信息的高速缓存)。这里使用的,术语“非瞬时计算机可读介质”可被定义为包含任何类型的计算机可读介质并排除传播信号。这里所使用的,当短语“至少”被用作权利要求的前序中的转换术语时,其是与术语“包括”表示的开放形式相同的开放形式。因此,在其前序中使用“至少”作为转换术语的权利要求可以包括除了明确引用在该权利要求中的那些之外的元件。
图6是表示用于实现图1和5的防火墙102以动态地创建用于服务的例外的示例性方法600的流程图。当防火墙102接收来自网络(例如,图1的网络112)的被保护部分中的设备并指向网络的被保护部分之外的设备的网络通信时,可以进行示例性方法600。
示例性方法600始于分析(例如,通过图5的通信过滤器502)来自网络的被保护部分且指向网络的被保护部分外位置或设备的网络通信(块602)。示例性通信解析器504确定网络通信中是否出现标记(块604)。如果出现标记(块604),示例性防火墙例外生成器506从该网络通信来识别服务的UID、地址(例如,图3的服务器308的IP地址)以及服务的端口(块606)。示例性防火墙例外生成器506存储UID、地址和端口(例如,存储在图5的存储设备508中的例外列表510中)(块608)。在图6的示例中,防火墙例外生成器506还存储网络探测标示值(块610)。示例性方法600然后结束。
图7是表示用于实现图1和5的防火墙102以选择地允许用于服务的通信被传递到网络的被保护部分的示例性方法700的流程图。当例如,接收到向网络的被保护部分发送的通信时(例如,图3的通信312、314),示例性方法700被由示例性防火墙102执行。
示例性方法700始于分析(例如,通过图5的通信过滤器502)接收自网络的被保护部分之外的网络通信(块702)。示例性通信过滤器502确定该网络通信的目标地址和端口(块704)。
示例性通信过滤器502确定网络通信是否与对应于例外列表(例如,图5的例外列表)中地址的端口以及地址匹配(块706)。如果该网络通信和任意地址和例外列表510中的对应端口都不匹配(块706),则示例性通信过滤器502放弃该网络通信(块716)。
另一方面,如果通信过滤器502确定该网络通信不匹配地址和对应端口,则该示例性通信过滤器502确定该网络通信是否与例外列表510中的服务标识符(例如,该UID)匹配,该服务标识符对应于所匹配的地址和端口(块708)。如果网络通信与服务标识符匹配(708),则示例性通信过滤器502将该网络通信转发到网络的被保护部分中的端口(块714)。
如果网络通信与地址和对应端口匹配,但是和服务标识符不匹配(块708),则该示例性通信过滤器502确定用于该网络通信的主连接是否有效(块710)。主连接可以是导出例外列表510中匹配的例外的网络通信(例如,用于图3的通信312,314的网络通信309)。如果主连接有效(块710),则示例性网络过滤器502可以转发该网络通信(块714)。如果主连接无效(块710),则示例性通信过滤器502确定用于该主连接的网络探测标示是否是使能的(块712)。例如,通信过滤器502可以检查例外列表510以查找匹配该地址和端口的条目,从而确定网络探测标示或变量的值。如果主连接的网络探测标示是使能的(块712),则示例性通信过滤器502过滤或放弃该网络通信。另一方面,如果网络探测标示是禁止的(块712),则示例性通信过滤器502将该网络通信转发到网络的被保护部分中的地址和端口(块714)。
在转发该网络通信(块714)或放弃该网络通信(块716)之后,示例性方法700可以结束。
图8是表示用于实现图1和5的防火墙102以管理用于服务的动态例外的示例性方法800的流程图。图8的示例性方法800可以定期地、不定期地、根据需求、响应于时间和/或在任意其他时间执行,以管理动态例外。
图5的示例性防火墙例外生成器506选择例外列表510(例如,在存储设备508中)中的条目(块802)。示例性防火墙例外生成器506确定所选条目是否在例外列表510中持续阈值时长(块804)。阈值时间可以凭经验确定,根据策略设置,和/或由网络的被保护部分的管理员设置。如果所选的条目在例外列表510中持续该阈值时长(块804),则示例性防火墙例外生成器506从例外列表(块806)中删除该条目。通过减少一些防火墙102中打开但未使用的端口,删除例外条目可能增加网络的被保护部分的安全性。如果所选条目持续短于阈值时间(块804),或者在删除该条目后(块806),示例性方法800可以结束。在一些示例中,防火墙例外生成器506针对例外列表510中的每一个条目重复该方法800。
图9是能够执行图4和6-8的指令以实现图1和/或5的防火墙102的示例性处理平台900的框图。该处理平台900可以是,例如,防火墙设备,服务器,个人电脑,或者任意其他类型的计算设备或互连网设备。
该示例的处理平台900包括处理器912。例如,处理器912可以由一个或更多个来自于任意所需系列或制造商的微处理器或控制器实现。
处理器912包括本地存储器913(例如,缓存),并且通过总线918与包括易失存储器914和非易失存储器916的主存储器通信。易失存储器914可以由同步动态随机存取内存(SDRAM)、动态随机存取存储器(DRAM)、RAMBUS动态随机存取存储器(RARAM)和/或任意其他类型的随机存取存储设备实现。非易失存储器916可以由快闪存储器和/或任意其他所需类型的存储设备实现。到主存储器914,916的访问由存储器控制器控制。
处理平台900还包括接口电路920。接口电路920可以由任意类型的接口标准实现,例如以太网接口、通用串行总线(USB)、和/或PCI扩展接口。
一个或多个输入设备922被连接到接口电路920。输入设备922允许用户向处理器912中输入数据和指令。输入设备可以由例如键盘、鼠标、触摸屏、轨迹板、轨迹球、指点杆(isopoint)和/或声音识别系统实现。
一个或多个输出设备924也被连接到接口电路920。输出设备924可以由例如显示设备(例如,液晶显示器、阴极射线管(CRT)显示器,等)实现。接口电路920因此通常包括图形驱动卡。
接口电路920还包括通信设备,例如调制解调器或网络接口卡,以便于通过网络926(例如,以太网连接,数字用户线路(DSL),电话线、同轴电缆、蜂窝电话系统等)与外部计算机交换数据。
处理平台900还包括一个或多个用于存储软件和数据的大容量存储设备928。这种大容量存储设备928的例子包括软盘驱动器、硬盘驱动器、压缩光盘驱动器和数字多用途光盘驱动器。大容量存储设备928可以实现图5的示例性存储设备508。
用于实现图4和6-8的方法的被编码的指令932可以被存储在大容量存储设备928中,存储在易失存储器914中,存储在非易失存储器916中和/或存储在可移动存储介质例如CD或DVD中。
尽管这里描述了一定示例方法,装置和制品,本专利涵盖的范围并不仅限于于此。正好相反,本专利涵盖适当落入本专利权利要求文字的或处于等同原则下的范围内的所有方法,装置和制品。
Claims (20)
1.一种方法,包括:
分析网络通信以识别第一服务、网络的被保护部分中关联于所述第一服务的地址、以及由所述第一服务使用的端口的子集,所述网络通信来源于所述网络的所述被保护部分中,并且将被发送到所述网络的所述被保护部分外的目的地;以及
当所述网络通信包括标识符、所述地址以及所述端口的子集时,存储所述第一服务的标识符,所述地址以及所述端口的子集。
2.根据权利要求1所述的方法,其特征在于,还包括:比较第二网络通信与所述第一服务的所述标识符、所述地址以及所述端口的子集,所述第二网络通信接收自所述网络的所述被保护部分外。
3.根据权利要求2所述的方法,其特征在于,还包括:当所述第二网络通信与所述第一服务的所述标识符、所述地址以及所述端口的子集中的一个端口匹配时,将所述第二网络通信转发到由所述第二网络通信指定的地址和端口。
4.根据权利要求2所述的方法,其特征在于,还包括:当所述第二网络通信与所述地址以及所述端口的子集中的一个端口匹配并且和所述标识符不匹配时,基于用于所述第一网络通信的阈值时间或网络探测标示中的至少一个来将所述第二网络通信转发到由所述第二网络通信指定的地址和端口。
5.根据权利要求4所述的方法,其特征在于,还包括:基于所述第一网络通信设置所述网络探测标示。
6.根据权利要求2所述的方法,其特征在于,还包括:当所述第二网络通信与相应于所述第一服务的已存储地址和已存储端口不匹配时,放弃所述第二网络通信。
7.根据权利要求1所述的方法,其特征在于,还包括:基于阈值时间从存储中移除所述第一服务的所述标识符、所述地址以及所述端口的子集。
8.一种装置,包括:
通信过滤器,用于分析来源于网络的被保护部分中且将要被发送到所述网络的所述被保护部分外的目的地的网络通信;
通信解析器,用于识别第一服务、网络的被保护部分中关联于所述第一服务的地址,以及用于识别由所述第一服务使用的端口的子集,以及
防火墙例外生成器,用于当所述网络通信包括标识符、所述地址以及所述端口的子集时,存储所述第一服务的标识符、所述地址、以及所述端口的所述子集。
9.根据权利要求8所述的装置,其特征在于,其中所述通信过滤器用于比较第二网络通信与所述第一服务的所述标识符、所述地址以及所述端口的子集,所述第二网络通信接收自所述网络的所述被保护部分外。
10.根据权利要求9所述的装置,其特征在于,其中所述通信过滤器用于当所述第二网络通信与所述第一服务的所述标识符、所述地址以及所述端口的子集中的一个端口匹配时,将所述第二网络通信转发到由所述第二网络通信指定的地址和端口。
11.根据权利要求所述的装置,其特征在于,其中所述通信过滤器用于当所述第二网络通信与所述地址以及所述端口的子集中的一个端口匹配并且和所述标识符不匹配时,基于用于所述第一网络通信的阈值时间或网络探测标示中的至少一个来将所述第二网络通信转发到由所述第二网络通信指定的地址和端口。
12.根据权利要求11所述的装置,其特征在于,其中所述通信解析器用于基于所述第一网络通信来识别所述网络探测标示的值,并且所述防火墙例外生成器用于基于所述第一网络通信来存储所述网络探测标示的值。
13.根据权利要求9所述的装置,其特征在于,所述第一或第二网络通信中的至少一个包括分布式组件对象模型通信。
14.根据权利要求8所述的装置,其特征在于,还包括存储设备,所述防火墙例外生成器用于将所述标识符、所述地址、以及所述端口的子集存储在所述存储设备中。
15.一种包括计算机可读指令的计算机可读存储介质,所述计算机可读指令在被执行时使得处理器至少:
分析网络通信以识别第一服务、网络的被保护部分中关联于所述第一服务的地址、以及由所述第一服务使用的端口的子集,所述网络通信来源于所述网络的所述被保护部分中,并且将被发送到所述网络的所述被保护部分外的目的地;以及
当所述网络通信包括标识符、所述地址以及所述端口的子集时,存储所述第一服务的标识符,所述地址以及所述端口的子集。
16.根据权利要求15所述的存储介质,其特征在于,其中所述指令还使得所述处理器比较第二网络通信与所述第一服务的所述标识符、所述地址以及所述端口的子集,所述第二网络通信接收自所述网络的所述被保护部分外。
17.根据权利要求16所述的存储介质,其特征在于,其中所述指令还使得所述处理器当所述第二网络通信与所述第一服务的所述标识符、所述地址以及所述端口的子集中的一个端口匹配时,将所述第二网络通信转发到由所述第二网络通信指定的地址和端口。
18.根据权利要求16所述的存储介质,其特征在于,其中所述指令还使得所述处理器当所述第二网络通信与所述地址以及所述端口的子集中的一个端口匹配并且和所述标识符不匹配时,基于用于所述第一网络通信的阈值时间或网络探测标示中的至少一个来将所述第二网络通信转发到由所述第二网络通信指定的地址和端口。
19.根据权利要求16所述的存储介质,其特征在于,其中所述指令还使得所述处理器当所述第二网络通信与相应于所述第一服务的已存储地址和已存储端口不匹配时,放弃所述第二网络通信。
20.根据权利要求15所述的存储介质,其特征在于,其中所述指令还使得所述处理器基于阈值时间从存储中移除所述第一服务的所述标识符,所述地址以及所述端口的子集。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201161540219P | 2011-09-28 | 2011-09-28 | |
| US61/540,219 | 2011-09-28 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103117993A true CN103117993A (zh) | 2013-05-22 |
| CN103117993B CN103117993B (zh) | 2018-01-26 |
Family
ID=47225296
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210379873.9A Active CN103117993B (zh) | 2011-09-28 | 2012-09-28 | 用于提供过程控制系统的防火墙的方法、装置及制品 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9100437B2 (zh) |
| JP (2) | JP6170660B2 (zh) |
| CN (1) | CN103117993B (zh) |
| DE (1) | DE102012109212B4 (zh) |
| GB (1) | GB2495214B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106168757A (zh) * | 2015-05-22 | 2016-11-30 | 费希尔-罗斯蒙特系统公司 | 工厂安全系统中的可配置鲁棒性代理 |
| CN106774248A (zh) * | 2016-12-08 | 2017-05-31 | 北京立思辰新技术有限公司 | 一种基于下位机的行为模式安全防护方法 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102015205833A1 (de) * | 2015-03-31 | 2016-10-06 | Siemens Aktiengesellschaft | Einweg-Koppelvorrichtung, Anfrageeinrichtung und Verfahren zum rückwirkungsfreien Übertragen von Daten |
| US10693859B2 (en) | 2015-07-30 | 2020-06-23 | Oracle International Corporation | Restricting access for a single sign-on (SSO) session |
| US10505982B2 (en) | 2015-10-23 | 2019-12-10 | Oracle International Corporation | Managing security agents in a distributed environment |
| WO2018057599A1 (en) * | 2016-09-21 | 2018-03-29 | Wal-Mart Stores, Inc. | System and methods for point to point encryption and tokenization in a hosted environment |
| CN106790393B (zh) * | 2016-11-25 | 2019-08-13 | 国信优易数据有限公司 | 一种数据定向传送系统 |
| US11050730B2 (en) | 2017-09-27 | 2021-06-29 | Oracle International Corporation | Maintaining session stickiness across authentication and authorization channels for access management |
| US11134078B2 (en) | 2019-07-10 | 2021-09-28 | Oracle International Corporation | User-specific session timeouts |
| US20210092122A1 (en) * | 2019-09-23 | 2021-03-25 | Vmware, Inc. | Centralized capability system for programmable switches |
| WO2022118395A1 (ja) * | 2020-12-02 | 2022-06-09 | 日本電気株式会社 | ネットワーク制御装置、ネットワークシステム、ネットワーク制御方法及び非一時的なコンピュータ可読媒体 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020004847A1 (en) * | 1995-05-19 | 2002-01-10 | Fujitsu Limited | System for performing remote operation between firewall-equipped networks or devices |
| US20090106277A1 (en) * | 2001-01-25 | 2009-04-23 | Content Direction, Inc. | Apparatus, Method and System For Directory Quality Assurance |
| CN101543005A (zh) * | 2006-11-20 | 2009-09-23 | 英国电讯有限公司 | 安全网络体系结构 |
| US20090254985A1 (en) * | 2006-04-28 | 2009-10-08 | Bae Systems Information And Electronic Systems Integration, Inc. | Secure network interface device |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5828833A (en) | 1996-08-15 | 1998-10-27 | Electronic Data Systems Corporation | Method and system for allowing remote procedure calls through a network firewall |
| US5944823A (en) | 1996-10-21 | 1999-08-31 | International Business Machines Corporations | Outside access to computer resources through a firewall |
| US6754831B2 (en) | 1998-12-01 | 2004-06-22 | Sun Microsystems, Inc. | Authenticated firewall tunneling framework |
| WO2002103964A1 (en) * | 2001-06-18 | 2002-12-27 | Sony Corporation | Data transmission apparatus, data transmission method, and data transmission method program |
| US20030028806A1 (en) | 2001-08-06 | 2003-02-06 | Rangaprasad Govindarajan | Dynamic allocation of ports at firewall |
| JP2004221879A (ja) * | 2003-01-14 | 2004-08-05 | Matsushita Electric Ind Co Ltd | 通信方法、通信プログラムおよび中継装置 |
| US20050138416A1 (en) | 2003-12-19 | 2005-06-23 | Microsoft Corporation | Object model for managing firewall services |
| US7761923B2 (en) | 2004-03-01 | 2010-07-20 | Invensys Systems, Inc. | Process control methods and apparatus for intrusion detection, protection and network hardening |
| JP2007208693A (ja) * | 2006-02-02 | 2007-08-16 | Toshiba Corp | 通信装置、通信システム、通信方法および通信プログラム |
| US20070276950A1 (en) | 2006-05-26 | 2007-11-29 | Rajesh Dadhia | Firewall For Dynamically Activated Resources |
| DE102006056566B3 (de) | 2006-11-30 | 2008-05-08 | Siemens Ag | Netzwerk und Verfahren zum Aufbau einer Datenverbindung mit einem mobilen Endgerät |
| US8621552B1 (en) * | 2007-05-22 | 2013-12-31 | Skybox Security Inc. | Method, a system, and a computer program product for managing access change assurance |
| JP2009182574A (ja) * | 2008-01-30 | 2009-08-13 | Nagoya Institute Of Technology | ファイアウォール設定解析方式 |
| JP5141328B2 (ja) * | 2008-03-25 | 2013-02-13 | 富士通株式会社 | 中継装置及びコンピュータプログラム |
| US9521120B2 (en) | 2009-04-23 | 2016-12-13 | General Electric Technology Gmbh | Method for securely transmitting control data from a secure network |
-
2012
- 2012-09-27 US US13/628,964 patent/US9100437B2/en active Active
- 2012-09-27 GB GB1217300.1A patent/GB2495214B/en active Active
- 2012-09-28 DE DE102012109212.5A patent/DE102012109212B4/de active Active
- 2012-09-28 JP JP2012216412A patent/JP6170660B2/ja active Active
- 2012-09-28 CN CN201210379873.9A patent/CN103117993B/zh active Active
-
2017
- 2017-05-22 JP JP2017101066A patent/JP6306779B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020004847A1 (en) * | 1995-05-19 | 2002-01-10 | Fujitsu Limited | System for performing remote operation between firewall-equipped networks or devices |
| US20090106277A1 (en) * | 2001-01-25 | 2009-04-23 | Content Direction, Inc. | Apparatus, Method and System For Directory Quality Assurance |
| US20090254985A1 (en) * | 2006-04-28 | 2009-10-08 | Bae Systems Information And Electronic Systems Integration, Inc. | Secure network interface device |
| CN101543005A (zh) * | 2006-11-20 | 2009-09-23 | 英国电讯有限公司 | 安全网络体系结构 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106168757A (zh) * | 2015-05-22 | 2016-11-30 | 费希尔-罗斯蒙特系统公司 | 工厂安全系统中的可配置鲁棒性代理 |
| CN106168757B (zh) * | 2015-05-22 | 2022-03-18 | 费希尔-罗斯蒙特系统公司 | 工厂安全系统中的可配置鲁棒性代理 |
| CN106774248A (zh) * | 2016-12-08 | 2017-05-31 | 北京立思辰新技术有限公司 | 一种基于下位机的行为模式安全防护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| GB2495214A (en) | 2013-04-03 |
| JP6306779B2 (ja) | 2018-04-04 |
| US20130081130A1 (en) | 2013-03-28 |
| GB2495214B (en) | 2013-08-28 |
| DE102012109212B4 (de) | 2023-02-09 |
| GB201217300D0 (en) | 2012-11-14 |
| JP2013073631A (ja) | 2013-04-22 |
| JP6170660B2 (ja) | 2017-07-26 |
| DE102012109212A1 (de) | 2013-03-28 |
| JP2017199380A (ja) | 2017-11-02 |
| US9100437B2 (en) | 2015-08-04 |
| CN103117993B (zh) | 2018-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103117993A (zh) | 用于提供过程控制系统的防火墙的方法、装置及制品 | |
| US10491463B2 (en) | Software-defined realization method based on protection and control system for intelligent substation | |
| CN105139139B (zh) | 用于运维审计的数据处理方法和装置及系统 | |
| US8565902B2 (en) | Systems and methods for controlling a building management system | |
| US11022949B2 (en) | PLC virtual patching and automated distribution of security context | |
| US20170149825A1 (en) | Modification of a Server to Mimic a Deception Mechanism | |
| US10110561B2 (en) | Firewall with application packet classifer | |
| CN105812387A (zh) | 一种单向数据安全交换设备 | |
| CN112468527A (zh) | 联动控制系统及联动控制方法 | |
| US20180337932A1 (en) | Cyber-physical security | |
| CN104570822A (zh) | 自动化流程控制系统的保护系统、方法及安全复合装置 | |
| US20130080903A1 (en) | Plant communication network | |
| JP2021515498A (ja) | 完全性監視及びネットワーク侵入検出のための属性ベースのポリシー | |
| KR102178305B1 (ko) | IoT 네트워크 접근을 제어하는 보안 시스템 | |
| CN112799358A (zh) | 一种工业控制安全防御系统 | |
| CN105493475A (zh) | 一种门禁控制方法、终端、服务器及门禁系统 | |
| KR101909836B1 (ko) | 산업 공정 자동화 제어를 위한 hmi 시스템, 이를 기반으로 한 공정 자동화 모니터링 방법 | |
| CN107360134A (zh) | 安全远程控制终端的实现方法及其安全系统 | |
| EP3729773B1 (en) | One-way data transfer device with onboard system detection | |
| CN111107108A (zh) | 一种工业控制系统网络安全分析的方法 | |
| Brooks | Intelligent buildings: an investigation into current and emerging security vulnerabilities in automated building systems using an applied defeat methodology | |
| KR102078345B1 (ko) | 항만물류정보시스템의 정보보안 취약점 진단시스템 | |
| KR100586432B1 (ko) | 변압기 수냉각설비용 plc 및 ddc 원방운전시스템 및방법 | |
| CN109495119A (zh) | 一种射频开关控制方法、装置、移动终端及存储介质 | |
| Hollerer et al. | Safety and Security: A Field of Tension in Industrial Practice |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |