CN112866427B - 用于工业控制网络的安全性的设备和方法 - Google Patents
用于工业控制网络的安全性的设备和方法 Download PDFInfo
- Publication number
- CN112866427B CN112866427B CN202011588487.1A CN202011588487A CN112866427B CN 112866427 B CN112866427 B CN 112866427B CN 202011588487 A CN202011588487 A CN 202011588487A CN 112866427 B CN112866427 B CN 112866427B
- Authority
- CN
- China
- Prior art keywords
- plc
- network
- security module
- security
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 8
- 238000010367 cloning Methods 0.000 claims abstract description 7
- 230000006855 networking Effects 0.000 claims description 14
- 230000008878 coupling Effects 0.000 claims description 3
- 238000010168 coupling process Methods 0.000 claims description 3
- 238000005859 coupling reaction Methods 0.000 claims description 3
- 238000012544 monitoring process Methods 0.000 claims description 3
- 238000001914 filtration Methods 0.000 claims description 2
- 230000037361 pathway Effects 0.000 abstract description 3
- 238000013459 approach Methods 0.000 description 16
- 230000008901 benefit Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 210000003813 thumb Anatomy 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
- G05B19/058—Safety, monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM] characterised by the network communication
- G05B19/41855—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM] characterised by the network communication by local area network [LAN], network structure
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/31—From computer integrated manufacturing till monitoring
- G05B2219/31241—Remote control by a proxy or echo server, internet - intranet
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/18—Service support devices; Network management devices
- H04W88/182—Network node acting on behalf of an other network entity, e.g. proxy
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Automation & Control Theory (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Programmable Controllers (AREA)
- Small-Scale Networks (AREA)
Abstract
提供用于提供用于可编程逻辑控制器(PLC)的安全性的途径,并且,途径包括通过拷贝PLC的媒体访问控制(MAC)地址和互联网协议(IP)地址中的至少一个来克隆安全性模块作为PLC代理;并且基于预定的安全性标准而确定是否将消息路由至PLC。基于该确定,将消息选择性地路由至PLC。通过克隆安全性模块作为PLC代理而如此被配置的对将预期用于PLC的网络流量路由至安全性模块是有效的。
Description
技术领域
本文中所公开的主题一般涉及网络安全性,并且更具体地,涉及提供用于工业控制系统的安全性。
背景技术
各种系统部署用来获得不同的类型的信息的传感器。这些系统有时还包括操作这些系统内的具体装置的致动器。传感器通常部署于工业控制系统中。
在当今的联网环境下,存在计算机病毒和其他安全性威胁。这些威胁也威胁到工业控制系统。如果未采取动作来反对这些安全性威胁,则工业控制系统(及其相关联的装置)能够由未经授权的用户潜在地损害或不适当地操作(提到两种不利的后果)。
已利用各种安全性途径来保护工业控制系统。例如,在用来缓解安全性问题的尝试中已使用软件补丁。然而,这些补丁具有问题。例如,补丁的使用可能要求将整个控制网络关闭,以便安装补丁。另外,补丁通常在反对大部分的安全性威胁中是无效的,因为,补丁不与现有的控制系统软件代码兼容,或仅仅不能够使安全性威胁停止。传统上,在正在安装补丁与已识别安全性标签的时间之间存在大量的时间。控制系统始终易受新威胁的攻击。
所有的这些问题已导致对先前的途径的一般用户的不满。由于新补丁释放的高频和对日常操作的影响导致所感知到的低的系统质量。
发明内容
本文中所描述的途径提供充当计算引擎和充当哨兵(sentinel)的网络安全性模块。在一个方面中,网络安全性模块安装于可编程逻辑控制器(PLC)与控制网络之间。网络安全性模块充当代理或模仿者。在这些方面,网络安全性模块对控制网络和云网络上的用户是透明的。换句话说,当实际上全部的流量通过且由网络安全性模块控制时,云上的用户认为他们可以直接访问控制网络(和与控制网络耦合的装置)。以这种方式,保护PLC和控制网络免受安全性威胁。另外,该模块还将保护控制网络免受经历本地服务器上的本地网络的威胁。
在一些途径中,提供用于可编程逻辑控制器(PLC)的安全性,并且,这些途径包括通过拷贝PLC的媒体访问控制(MAC)地址和互联网协议(IP)地址中的至少一个来克隆安全性模块作为PLC代理;以及基于预定的安全性标准而确定是否将消息路由至PLC。基于该确定而将消息选择性地路由至PLC。通过克隆安全性模块作为PLC代理而如此被配置的对将预期用于PLC的网络流量路由至安全性模块是有效的。
在一些途径中,对网络流量进行监测和过滤可能发生于将消息传输至PLC之前。还可以采用新安全性标准来更新安全性模块。可能自动地进行该更新,或在由用户和/或计算装置提示时进行该更新。可以进一步经由与远程联网系统(例如,“云”网络)无线地通信以将新安全性标准应用于此而进行该更新。在一些途径中,将存在安全性威胁的指示传输至用户。
在许多示例中,用于给PLC提供安全性的途径包括将网络安全性模块与PLC、远程网络以及控制网络耦合。接收与PLC的身份相关联的至少一个网络地址,并且,安全性模块配置有至少一个网络地址。在网络安全性模块处,接收寻址至PLC的数据,并且,在验证到数据的安全时,将数据路由至PLC。
在一些途径中,所接收到的网络地址包括PLC的媒体访问控制地址和互联网协议地址中的至少一个。在这些形式中的许多形式中, 在到达PLC之前,从远程网络和/或控制网络接收数据。换句话说,网络安全性模块可以“拦截”预期到PLC的消息以作为用来确保PLC的安全性的方式。在验证到数据的安全,网络安全性模块可以将数据路由至PLC、远程网络和/或控制网络。
在仍有其他示例中,提供用于提供用于可编程逻辑控制(PLC)的安全性的系统,并且,系统包括在操作上与远程联网系统、控制网络和PLC耦合的网络安全性模块。网络安全性模块配置成克隆用于PLC模块的PLC代理,使得网络安全性模型拷贝PLC的媒体访问控制(MAC)地址和互联网协议(IP)地址中的至少一个。网络安全性模块进一步配置成:基于预定的安全性标准而确定是否将网络流量从远程联网系统和控制网络中的至少一个路由至PLC;以及基于确定而将网络流量选择性地路由至PLC。在一些途径中,网络安全性模块可以阻断来自远程联网系统和/或控制网络的引入数据。
附图说明
为了更完整地理解本公开,应当参考下面的详细描述和附图,其中:
图1包含根据本发明的各种实施例的系统的框图,该系统包括控制网络,该控制网络包括网络安全性模块;
图2包含示出根据本发明的各种实施例的网络安全性模块的操作的流程图;
图3包含示出根据本发明的各种实施例的网络控制模块的操作的方面的流程图;
图4包含示出根据本发明的各种实施例的网络控制模块的操作的其他方面的流程图;
图5包含示出根据本发明的各种实施例的网络控制模块的操作的仍有其他方面的流程图。
熟练技工将领会,为了简单和清楚,图示图中的元件。将进一步领会,可以按照特定的发生顺序描述或描绘某些动作和/或步骤,而本领域技术人员将理解,实际上不要求关于序列的这种特异性。还将理解,除了在本文中另有阐述了特定含义的情况之外,本文中所使用的术语和表达具有如根据关于其调查和研究的对应的相应领域的这类术语和表达的通常含义。
具体实施方式
本文中所描述的途径提供网络安全性模块,该网络安全性模块充当如下的目标冒名顶替者(imposter):通过充当PLC代理来运行和/或实现网络补丁(或其他安全性硬件和/或软件)。换句话说,网络安全性模块实现安全性补丁(或其他安全性硬件和/或软件)的功能性。这些途径通过使外部装置能够提供针对已知的安全性威胁的网络保护来消除更新PLC软件以便实现PLC网络安全性补丁的需要,将另外需要由PLC通过安装在其上的软件补丁更新来提供针对已知的安全性威胁的网络保护。安全性模块通过从云获得自动更新从而导致最小的PLC停机时间和最小的从初始威胁检测至保护的等待时间来保持现状。安全性模块能够实现将另外不可能在当前的PLC体系结构中实现的安全性补丁。安全性模块还提供威胁通知,以通知客户/用户网络威胁、网络配置变化、攻击以及异常的网络活动。
一旦安装,并且在一个方面中,网络安全性模块克隆(或拷贝)PLC的媒体访问控制(MAC)和互联网协议(IP)地址以成为PLC代理。在一些其他方面中,网络安全性模块对全部的网络流量进行监测,并且,对被识别为网络安全性威胁的流量进行过滤,由此防止那个流量到达PLC,并且因而防止对资产的计算机攻击。在另一方面中,到云的独立的第三代(3G)或无线连接提供用于连续哨兵软件更新的路径,以便将安全性模块的功能性保持为最新以及将威胁消息提供回到用户。
本途径提供各种优点和益处。例如,本途径给工业系统提供最新的计算机安全性保护方法。本途径另外不要求受过培训的来源人员来实现、安装且验证补丁的操作。因此,降低系统操作成本。本途径也在不重新设计网络基础设施/使网络基础设施现代化的情况下增加计算机安全性/网络安全性。
所提供的其他优点包括自动更新安全性软件以及没有使PLC更新软件的停机时间。也不存在对大量投资于新网络基础设施中的需要。能够非常迅速地安装用来实现这些途径的软件。
现在,参考图1,描述用于给工业网络提供安全性的系统100的一个示例。系统100包括编程逻辑控制器(PLC)102、云网络104以及控制网络106。控制网络106包括控制装置108和110。云网络104包括服务器112,并且,服务器112与用户114耦合。PLC 102、云网络104以及控制网络106与网络安全性模块116耦合。
PLC 102是运行编程计算机指令的任何处理装置。云网络104是任何类型的网络或网络的组合。服务器112提供例如用于数据来往于控制网络106移动的路由功能。
控制网络106包括控制装置108和110。控制装置108和110可以配置成提供任何类型的控制功能性。例如,控制装置108和110可以操作开关、致动阀或激活/停用装置。可以采用任何网络拓扑结构或使用任何类型的网络或网络的组合来将控制装置108和110一起耦合于控制网络106中。控制网络106可以设置于任何类型的环境、设置或位置,例如工厂、工业设备、学校、商店、住宅(提到几个示例)。其他示例是可能的。
安全性模块116克隆(或拷贝)PLC的媒体访问控制(MAC)和互联网协议(IP)地址以成为PLC代理。在一些其他方面,安全性模块116对它从云网络104接收的全部网络流量进行监测,并且,对被识别为网络安全性威胁的流量进行过滤,由此防止那个流量到达PLC 102,由此防止对资产的计算机攻击。与此一道,威胁还能够来自控制网络106(例如,某人能够使用与控制网络连接的维护膝上型电脑上的受感染的USB拇指驱动器)。
在图1的系统的操作的一个示例中,网络安全性模块116充当代理或模仿者。在这些方面,网络安全性模块116对云网络104上的用户114是透明的。换句话说,当实际上全部流量通过网络安全性模块116时,云网络104上的用户认为他们直接访问控制网络106。另外,如果威胁起源于控制网络106内,则将由116减轻威胁,并且,116将经由网络而将时间戳消息转发至服务器104。以这种方式,保护PLC 102和控制网络106免受控制网络106外部的安全性威胁以及同样地免受内部威胁。例如,起源于云网络104的计算机攻击将不到达控制网络106。另外,起源于控制网络106的计算机攻击将不到达云网络104。在一些方面中,PLC程序(起初下载的)能够从其PLC获得,并且,上传至云,以验证确保未变更源程序的等式(即,PLC中的程序为下载的同一程序)。
现在,参考图2,描述安全性模块(例如,图1的安全性模块116)如何操作的一个示例。
在步骤202处,网络安全性模块与PLC、云网络以及控制网络耦合。能够由技术人员手动地实现耦合。
在步骤204处,安全性模块接收与PLC的身份相关联的网络地址。例如,它接收PLC的MAC和IP地址。在步骤206处,安全性模块配置有地址信息(例如,它已接收到的MAC和IP地址)。同样地,在步骤206处,配置MAC和IP地址的克隆。
因此,在步骤208处,从云发送且寻址至PLC的数据首先转至安全性模块,并且然后,在步骤210处,路由至PLC如果合适的话。可以将数据从PLC发送至控制网络。还可以将数据传输至云。例如,可以将不被视为安全性威胁的数据传递至PLC和控制网络。来自控制网络的数据被网络安全性装置掩蔽,并且,如果检测到威胁,则将时间戳威胁消息发送至云。
在步骤212处,将来自控制系统的数据传输至安全性模块。在步骤214处,将数据传递至PLC,如果合适的话。然后,能够将数据传递至云。
现在,参考图3,描述安全性模块如何提供安全性的一个示例。在步骤302处,安全性模块对控制网络处的数据流量进行监测。例如,安全性模块可以针对数据中的某些地址、用户或其他类型的信息(包括数据内容)而对控制网络上的数据流量进行监测。
在步骤304处,安全性模块在其对控制网络上的流量的监测期间检测异常性。在一个示例中,异常性是在正在传输的数据中检测到的新地址。在另一示例中,异常性是控制网络上的流量的带宽中的变化。异常性的其他示例是可能的。
在步骤306处,一旦确定或检测到异常性,安全性模块就将警告或警报消息发送至合适的实体。例如,消息可以发送至与云耦合的中央控制中心。在另一示例中,可以变更合适的权限。消息可以以任何格式,提到两个示例,例如电子邮件或语音消息。
现在,参考图4,描述示出安全性模块如何操作的另一示例。在步骤402处,将应用经由安全性模块而从PLC上传至云。通过“应用”,它意味着包括代码、数据或包含应用的其他信息的任何软件应用。
在步骤404处,云在应用与参考信息之间进行比较。在这些方面,云可以具有示出通常将如何配置应用的参考数据。
在步骤406处,如果比较指示异常性,则将警报消息发送至用户。例如,消息可以发送至与云耦合的中央控制中心。在另一示例中,可以变更合适的权限。消息可以以任何格式,提到两个示例,例如电子邮件或语音消息。
现在,参考图5,描述示出安全性模块操作的其他方面的另一示例。在步骤502处,安全性模块对来自云(或控制网络)的引入流量进行监测。例如,安全性模块可以针对某些地址而进行监测。
在步骤504处,确定是否存在任何异常性。例如,安全性模块可以确定流量来自错误的用户(例如,提到两个示例,未经授权的用户或与未经授权的万维网站相关联的用户)。在这些方面,网络安全性模块可能已存储不合适的用户或万维网站的列表,以确定用户的性质。
在步骤506处,如果存在异常性,则安全性模块阻断引入流量。因此防止能够潜在地损害控制网络(和设置于控制网络内的装置)的数据流量到达控制网络,并且,在网络安全性模块处,使该数据流量停止。
另外并且如所提到的,威胁还可能起源于控制网络而至PLC。例如,如所描述的,来自控制网络的数据可能被网络安全性模块掩蔽,并且,如果检测到威胁,则可以将时间戳威胁消息(或其他类型的警报)发送至云。
由本领域技术人员将领会,可以在各种方面中作出对前述实施例的修改。其他变型显然也将起作用,并且,处于本发明的范围和精神内。认为本发明的精神和范围囊括如将对熟悉本申请的教导的并且在本领域熟练的普通人员是显而易见的对本文中的实施例的这类修改和变更。
Claims (9)
1.一种用于提供用于可编程逻辑控制器PLC的安全性的方法,包含:
在所述PLC和远程网络之间以及所述PLC和控制网络之间耦合网络安全性模块;
克隆所述网络安全性模块作为用于PLC模块的PLC代理,所述克隆包含拷贝所述PLC的所述媒体访问控制MAC地址和所述互联网协议IP地址中的至少一个到所述网络安全性模块;
在所述网络安全性模块处接收寻址到所述PLC的数据,所述数据包括所述PLC的媒体访问控制MAC地址和互联网协议IP地址中的至少一个;
基于所述网络安全性模块中的预定的安全性标准而确定在验证到所述数据的安全时是否将所述数据路由至所述PLC;
以新安全性标准更新所述网络安全性模块,其中更新所述网络安全性模块的步骤包含与远程联网系统无线地通信,以自动地下载所述新安全性标准;
在所述网络安全模块从所述PLC接收应用;
将所述应用从所述网络安全模块传送到所述远程联网系统;
在所述远程联网系统中比较所述应用与示出将如何配置所述应用的参考数据;以及
如果所述比较显示在所述应用的异常,则向所述远程联网系统的用户传送警报消息;
而所述网络安全性模块对所述控制网络和远程网络的用户是透明的。
2.如权利要求1所述的方法,进一步包含在将所述消息传输至所述PLC之前,对所述网络流量进行监测和过滤的步骤。
3.如权利要求1所述的方法,其中,接收数据的步骤包含在到达所述PLC之前,从寻址至所述PLC的所述远程网络接收数据。
4.如权利要求1所述的方法,其中,接收数据的步骤包含在到达所述PLC之前,从寻址至所述PLC的所述控制网络接收数据。
5.如权利要求1所述的方法,进一步包含将数据路由至所述PLC、所述远程网络以及所述控制网络中的至少一个的步骤。
6.一种用于提供用于可编程逻辑控制PLC的安全性的系统,包含:
网络安全性模块,在操作上耦合在远程联网系统和所述PLC之间、以及在操作上耦合在控制网络和所述PLC之间,其中,所述网络安全性模块配置成克隆用于所述PLC模块的PLC代理,使得所述网络安全性模块拷贝所述PLC的媒体访问控制MAC地址和互联网协议IP地址中的至少一个,所述网络安全性模块配置成接收寻址到所述PLC的数据,所述系统配置成基于所述网络安全性模块中的预定的安全性标准而在验证到所述数据的安全时确定是否将所述数据从所述远程联网系统和所述控制网络中的至少一个路由至所述PLC;
所述系统的特征在于所述系统进一步被配置成:
以新的安全性标准更新所述预定的安全性标准,其中更新所述网络安全性模块的步骤包含与远程联网系统无线地通信,以自动地下载所述新安全性标准;
在所述网络安全模块从所述PLC接收应用;
将所述应用从所述网络安全模块传送到所述远程联网系统;
在所述远程联网系统中比较所述应用与示出将如何配置所述应用的参考数据;以及
如果所述比较显示在所述应用的异常,则向所述远程联网系统的用户传送警报消息;
而所述网络安全性模块对所述控制网络和远程网络的用户是透明的。
7.如权利要求6所述的系统,其中,所述网络安全性模块配置成在将所述网络流量传输至所述PLC之前,对所述网络流量进行监测和过滤。
8.如权利要求6所述的系统,其中,所述网络安全性模块配置成向用户传输存在安全性威胁的指示。
9.如权利要求6所述的系统,其中,所述网络安全性模块进一步配置成阻断来自所述远程联网系统和所述控制网络中的至少一个的引入数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011588487.1A CN112866427B (zh) | 2014-07-28 | 2015-07-15 | 用于工业控制网络的安全性的设备和方法 |
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201462029695P | 2014-07-28 | 2014-07-28 | |
| US62/029695 | 2014-07-28 | ||
| US14/663,003 US20160028693A1 (en) | 2014-07-28 | 2015-03-19 | Apparatus and method for security of industrial control networks |
| US14/663003 | 2015-03-19 | ||
| CN201580040557.0A CN106537874A (zh) | 2014-07-28 | 2015-07-15 | 用于工业控制网络的安全性的设备和方法 |
| CN202011588487.1A CN112866427B (zh) | 2014-07-28 | 2015-07-15 | 用于工业控制网络的安全性的设备和方法 |
| PCT/US2015/040506 WO2016018622A1 (en) | 2014-07-28 | 2015-07-15 | Apparatus and method for security of industrial control networks |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580040557.0A Division CN106537874A (zh) | 2014-07-28 | 2015-07-15 | 用于工业控制网络的安全性的设备和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112866427A CN112866427A (zh) | 2021-05-28 |
| CN112866427B true CN112866427B (zh) | 2024-04-09 |
Family
ID=55167627
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580040557.0A Pending CN106537874A (zh) | 2014-07-28 | 2015-07-15 | 用于工业控制网络的安全性的设备和方法 |
| CN202011588487.1A Active CN112866427B (zh) | 2014-07-28 | 2015-07-15 | 用于工业控制网络的安全性的设备和方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580040557.0A Pending CN106537874A (zh) | 2014-07-28 | 2015-07-15 | 用于工业控制网络的安全性的设备和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20160028693A1 (zh) |
| EP (1) | EP3175304B1 (zh) |
| CN (2) | CN106537874A (zh) |
| WO (1) | WO2016018622A1 (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2845105A1 (en) * | 2013-03-08 | 2014-09-08 | Bosko Loncar | Method for producing plc and hmi tag database and system |
| US9870476B2 (en) * | 2014-09-23 | 2018-01-16 | Accenture Global Services Limited | Industrial security agent platform |
| US11140186B2 (en) * | 2016-09-30 | 2021-10-05 | Siemens Aktiengesellschaft | Identification of deviant engineering modifications to programmable logic controllers |
| DE102016125511A1 (de) | 2016-12-22 | 2018-06-28 | Abb Schweiz Ag | Sicherheitsgerät und Feldbussystem zur Unterstützung einer sicheren Kommunikation über einen Feldbus |
| KR101987530B1 (ko) * | 2017-01-19 | 2019-06-10 | 박창훈 | Pim을 이용한 plc 제어방법 |
| RU2638000C1 (ru) * | 2017-02-08 | 2017-12-08 | Акционерное общество "Лаборатория Касперского" | Способ контроля системы исполнения программируемого логического контроллера |
| RU2637435C1 (ru) * | 2017-02-08 | 2017-12-04 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения аномального исполнения системы исполнения программируемого логического контроллера |
| EP3361332B1 (en) * | 2017-02-08 | 2019-08-07 | AO Kaspersky Lab | System and method of monitoring of the execution system of a programmable logic controller |
| US10819721B1 (en) | 2017-02-21 | 2020-10-27 | National Technology & Engineering Solutions Of Sandia, Llc | Systems and methods for monitoring traffic on industrial control and building automation system networks |
| CN107562929A (zh) * | 2017-09-15 | 2018-01-09 | 北京安点科技有限责任公司 | 基于大数据分析的威胁资产的排名方法和装置 |
| JP7078889B2 (ja) | 2018-01-22 | 2022-06-01 | オムロン株式会社 | 制御装置、制御方法、および制御プログラム |
| US11423801B2 (en) * | 2018-07-31 | 2022-08-23 | Autodesk, Inc. | Tutorial-based techniques for building computing systems |
| US11222117B2 (en) | 2018-09-27 | 2022-01-11 | International Business Machines Corporation | HSM self-destruction in a hybrid cloud KMS solution |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1811635A (zh) * | 2004-09-28 | 2006-08-02 | 洛克威尔自动控制技术股份有限公司 | 用于传统自动化系统的基于代理的集中管理安全性 |
| CN101375272A (zh) * | 2005-09-12 | 2009-02-25 | 洛克威尔自动控制技术股份有限公司 | 工业自动化环境中的透明桥接和路由选择 |
| CN102065111A (zh) * | 2009-11-13 | 2011-05-18 | 北京神州绿盟信息安全科技股份有限公司 | 一种反向代理方法和反向代理服务器 |
| CN102540998A (zh) * | 2010-12-31 | 2012-07-04 | 上海博泰悦臻电子设备制造有限公司 | 车辆的实时检修方法及系统 |
| CN103455020A (zh) * | 2012-05-28 | 2013-12-18 | 哈尔滨工业大学深圳研究生院 | 一种智能车况云检测服务系统及方法 |
| DE102012025178A1 (de) * | 2012-11-08 | 2014-05-08 | Haag - Elektronische Meßgeräte GmbH | Verfahren und Vorrichtung zur automatischen Charakterisierung und Überwachung eines elektrischen Netzes oder eines Stromnetzabschnitts eines elektrischen Netzes oder einer elektrischen Anlage |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1283632B1 (de) * | 2001-08-10 | 2007-12-05 | iniNet Solutions GmbH | Verfahren und Anordnung zur Übertragung von Daten |
| US7502323B2 (en) * | 2003-05-28 | 2009-03-10 | Schneider Electric Industries Sas | Access control system for automation equipment |
| WO2007075099A1 (en) * | 2005-12-27 | 2007-07-05 | Siemens Aktiengesellschaft | Automation network, access service proxy for automation network method for transmitting operating between programmable controller remote computer |
| US8892706B1 (en) * | 2010-06-21 | 2014-11-18 | Vmware, Inc. | Private ethernet overlay networks over a shared ethernet in a virtual environment |
| ES2445894T3 (es) * | 2010-06-22 | 2014-03-05 | Siemens Aktiengesellschaft | Dispositivo de protección de red |
-
2015
- 2015-03-19 US US14/663,003 patent/US20160028693A1/en not_active Abandoned
- 2015-07-15 EP EP15744814.3A patent/EP3175304B1/en active Active
- 2015-07-15 CN CN201580040557.0A patent/CN106537874A/zh active Pending
- 2015-07-15 WO PCT/US2015/040506 patent/WO2016018622A1/en active Application Filing
- 2015-07-15 CN CN202011588487.1A patent/CN112866427B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1811635A (zh) * | 2004-09-28 | 2006-08-02 | 洛克威尔自动控制技术股份有限公司 | 用于传统自动化系统的基于代理的集中管理安全性 |
| CN101375272A (zh) * | 2005-09-12 | 2009-02-25 | 洛克威尔自动控制技术股份有限公司 | 工业自动化环境中的透明桥接和路由选择 |
| CN102065111A (zh) * | 2009-11-13 | 2011-05-18 | 北京神州绿盟信息安全科技股份有限公司 | 一种反向代理方法和反向代理服务器 |
| CN102540998A (zh) * | 2010-12-31 | 2012-07-04 | 上海博泰悦臻电子设备制造有限公司 | 车辆的实时检修方法及系统 |
| CN103455020A (zh) * | 2012-05-28 | 2013-12-18 | 哈尔滨工业大学深圳研究生院 | 一种智能车况云检测服务系统及方法 |
| DE102012025178A1 (de) * | 2012-11-08 | 2014-05-08 | Haag - Elektronische Meßgeräte GmbH | Verfahren und Vorrichtung zur automatischen Charakterisierung und Überwachung eines elektrischen Netzes oder eines Stromnetzabschnitts eines elektrischen Netzes oder einer elektrischen Anlage |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106537874A (zh) | 2017-03-22 |
| EP3175304B1 (en) | 2022-05-11 |
| US20160028693A1 (en) | 2016-01-28 |
| WO2016018622A1 (en) | 2016-02-04 |
| CN112866427A (zh) | 2021-05-28 |
| EP3175304A1 (en) | 2017-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112866427B (zh) | 用于工业控制网络的安全性的设备和方法 | |
| JP6923265B2 (ja) | プラントセキュリティシステムにおける構成可能なロバスト性エージェント | |
| EP3991077B1 (en) | Comprehensive risk assessment | |
| EP3725054B1 (en) | Contextual risk monitoring | |
| EP3750279B1 (en) | Enhanced device updating | |
| JP6147309B2 (ja) | コンピュータプルグラム、システム、方法、及び装置 | |
| US8949668B2 (en) | Methods and systems for use in identifying abnormal behavior in a control system including independent comparisons to user policies and an event correlation model | |
| US10623445B2 (en) | Endpoint agent for enterprise security system | |
| US20140090060A1 (en) | Trusted network interface | |
| EP3987421B1 (en) | Adaptive scanning | |
| US11265718B2 (en) | Detecting IoT security attacks using physical communication layer characteristics | |
| US8302189B2 (en) | Methods, devices, systems, and computer program products for edge driven communications network security monitoring | |
| US20170070518A1 (en) | Advanced persistent threat identification | |
| KR20160036201A (ko) | 비정상 통신 차단 장치 및 방법 | |
| KR101887544B1 (ko) | Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템 | |
| US10205738B2 (en) | Advanced persistent threat mitigation | |
| Berhe et al. | Industrial control system security framework for ethiopia | |
| JP2019125914A (ja) | 通信装置及びプログラム | |
| KR20080073112A (ko) | 네트워크 보안시스템 및 그 처리방법 | |
| JP2006252109A (ja) | ネットワークアクセス制御装置、遠隔操作用装置及びシステム | |
| KR101336066B1 (ko) | 보안 강화를 위한 소프트웨어 배포 관리 장치 | |
| CN117044182A (zh) | 在过程自动化节点之间利用带外通信信道 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |