CN113625664B - 通过零接触注册的自动端点安全策略分配 - Google Patents
通过零接触注册的自动端点安全策略分配 Download PDFInfo
- Publication number
- CN113625664B CN113625664B CN202110424091.1A CN202110424091A CN113625664B CN 113625664 B CN113625664 B CN 113625664B CN 202110424091 A CN202110424091 A CN 202110424091A CN 113625664 B CN113625664 B CN 113625664B
- Authority
- CN
- China
- Prior art keywords
- security
- devices
- industrial
- configuration
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006854 communication Effects 0.000 claims description 130
- 238000004891 communication Methods 0.000 claims description 130
- 238000000034 method Methods 0.000 claims description 105
- 238000006243 chemical reaction Methods 0.000 claims description 69
- 230000006870 function Effects 0.000 claims description 44
- 230000004044 response Effects 0.000 claims description 44
- 230000015654 memory Effects 0.000 claims description 27
- 230000002085 persistent effect Effects 0.000 claims description 7
- 238000003860 storage Methods 0.000 description 50
- 238000007726 management method Methods 0.000 description 46
- 238000010586 diagram Methods 0.000 description 37
- 230000008569 process Effects 0.000 description 37
- 230000000875 corresponding effect Effects 0.000 description 21
- 230000006855 networking Effects 0.000 description 19
- 238000004519 manufacturing process Methods 0.000 description 15
- 238000012544 monitoring process Methods 0.000 description 15
- 238000012545 processing Methods 0.000 description 15
- 230000009471 action Effects 0.000 description 14
- 238000004458 analytical method Methods 0.000 description 13
- 238000012986 modification Methods 0.000 description 10
- 230000004048 modification Effects 0.000 description 10
- 230000002452 interceptive effect Effects 0.000 description 9
- 238000001514 detection method Methods 0.000 description 8
- 238000009434 installation Methods 0.000 description 7
- 230000003287 optical effect Effects 0.000 description 7
- 230000000694 effects Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 230000003993 interaction Effects 0.000 description 6
- 238000009826 distribution Methods 0.000 description 4
- 239000003999 initiator Substances 0.000 description 4
- 230000008520 organization Effects 0.000 description 4
- 239000007787 solid Substances 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000001276 controlling effect Effects 0.000 description 3
- 238000013519 translation Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 230000033001 locomotion Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012806 monitoring device Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- VYMDGNCVAMGZFE-UHFFFAOYSA-N phenylbutazonum Chemical compound O=C1C(CCCC)C(=O)N(C=2C=CC=CC=2)N1C1=CC=CC=C1 VYMDGNCVAMGZFE-UHFFFAOYSA-N 0.000 description 2
- 230000002123 temporal effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 238000012800 visualization Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000007175 bidirectional communication Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000008451 emotion Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 239000003607 modifier Substances 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 238000011867 re-evaluation Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000000844 transformation Methods 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/41845—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by system universality, reconfigurability, modularity
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/18—Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form
- G05B19/4155—Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form characterised by programme execution, i.e. part programme or machine function execution, e.g. selection of a programme
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/31—From computer integrated manufacturing till monitoring
- G05B2219/31094—Data exchange between modules, cells, devices, processors
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/31—From computer integrated manufacturing till monitoring
- G05B2219/31449—Monitor workflow, to optimize business, industrial processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Automation & Control Theory (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Manufacturing & Machinery (AREA)
- Human Computer Interaction (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Quality & Reliability (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了通过零接触注册的自动端点安全策略分配。一种基于模型的工业安全策略配置系统根据用户提供的安全策略定义来实现工厂范围工业资产安全策略。配置系统对要对其实现各种安全策略的工业资产的集合进行建模。接口允许用户基于将工业资产分组到安全区域中的安全模型在高级别上为工厂环境定义区域特定的安全配置策略和事件管理策略。当新工业设备随后被安装在工厂现场时,系统确定由模型定义的安全策略是否适用于新设备,并且使新设备遵照任何相关的安全策略运转。这降低了系统管理员将各个设备手动地配置成遵照工厂范围安全策略的必要性。
Description
技术领域
本文公开的主题总体上涉及工业自动化系统,更具体地涉及工业环境中的安全配置和事件生成策略的自主部署。
背景技术
由于如此多工业设备、系统和资产驻留在工厂网络和/或办公网络上,因此系统设计者必须经常配置防止未授权的用户或设备对工业资产的未授权访问的网络安全功能。需要这样的安全措施,以防止对生产数据或其他敏感信息的未授权查看或者以防止远程实体承担对工业资产的控制并修改控制序列或设备参数。为工业资产配置安全性可以例如包括:为相应的工业资产定义访问许可(例如,指定哪些其他设备或人员可以访问给定工业资产)、为设备之间的安全数据交换配置数字证书或基于密钥的安全性、将因特网协议(IP)地址分配给相应设备、定义网络工作组、配置防火墙参数以过滤对工厂网络或办公网络上的设备和系统的访问、配置明确地定义哪些设备被许可与给定的资产交换数据的白名单或者其他这样的配置动作。
通常,为工业自动化环境配置安全性需要用户为大量单独设备分别配置安全参数和定义。这在包括大量工业资产和网络基础设施设备的工业环境中可能是耗时的过程。此外,为了安全性而配置这些工业资产通常需要被配置的各个设备的专业知识,从而限制有资格为工业环境配置和管理安全设置的人员的数量。因为用于为工业设备配置安全设置和参数的工具和过程在不同的产品供应商之间可能有很大的变化,因此当工业环境包括由多个不同的设备供应商制造的设备时,安全性配置可能变得更加困难。同样,负责在工业环境中配置设备安全性的工厂工程师需要范围广泛的供应商特定安全配置工具和参数设置的知识。此外,由于必须针对每个设备分别手动地配置用于相应设备的安全参数和策略,因此定义安全策略的过程容易出现人为错误。这样的错误可能导致需要可靠信道进行数据交换的设备之间的通信受阻。发现和纠正这些配置错误可能是耗时且复杂的过程,并且经常被引用为工业资产的所有者为什么选择禁用设备安全功能,从而使工业设备和过程面临风险的原因。
为了解决这些和其他问题,本公开内容的一个或更多个实施方式涉及用于工业自动化设备和资产的基于模型的安全策略配置系统。在一个或更多个实施方式中,配置系统可以维护工业环境的模型,该模型对分布在整个工厂环境中的工业设备和网络基础设施设备以及各种设备之间的联网互连和关系进行库存。与配置系统相关联的用户接口允许用户使用集成的建模工具将共享共同安全环境的设备的集合分组到安全区域中。该模型可以用来定义用于设备之间的安全通信的策略、事件发起者策略或其他安全性方面。例如,在模型中定义的每个安全区域可以包括作为自动化系统的正常操作的一部分以安全方式彼此通信并且共享共同安全要求的设备。可以阻止给定安全区域外的设备与该区域内的设备进行通信。如果需要与区域外的设备进行通信,则用户可以根据通信要求来定义区域内的设备与区域外的设备之间的导管、区域内的设备与另一区域之间的导管或者区域与另一区域之间的导管。
一旦自动化系统或工厂环境的所有必要设备已经被添加到相应的安全区域并且任何期望的导管被定义,配置系统就可以基于由用户定义的区域信息和导管信息以及系统模型来实现系统范围安全策略。配置系统将所定义的安全策略转换成设备级安全配置指令,所述设备级安全配置指令然后被下载或以其他方式被发送至适当的设备(例如,网络基础设施设备和/或工业设备),以实现所定义的安全策略。这种转换可以基于由配置系统维护的定义的转换规则。这些转换规则可以包括能够为相应供应商特定的设备生成适当的安全配置指令的供应商特定的规则。以这种方式,系统向用户隐藏或抽象与设置设备级安全参数相关联的技术复杂性。配置系统还抽象实施安全策略所需的跨供应商或跨产品的技术差异。
发明内容
下面呈现了简化的概述,以提供对本文描述的一些方面的基本理解。该概述不是广泛的综述,也不旨在标识关键/重要要素或者描绘本文描述的各个方面的范围。其唯一的目的是以简化的形式呈现一些概念作为稍后呈现的更详细描述的序言。
在一个或更多个实施方式中,提供了一种用于将工业设备配置成遵照安全策略的系统,该系统包括:通信组件,其被配置成:接收标识已经被安装在工业设施中的新工业设备的设备标识数据,并且基于设备标识数据来确定新工业设备是否被许可在工业设施内进行操作;以及指令转换组件,其被配置成:响应于确定新工业设备被许可在工业设施内进行操作,从在安全模型中定义的一组安全策略中选择要应用于新工业设备的安全策略,并且生成定向至新工业设备的配置指令,其中,配置指令被配置成在新工业设备上设置一个或更多个配置设置,所述一个或更多个配置设置使得新工业设备根据安全策略进行操作,其中,通信组件还被配置成向新工业设备发送配置指令。
此外,根据一个或更多个实施方式,提供了一种用于向工业设备提供安全策略的方法,该方法包括:由包括处理器的系统接收标识在控制网络上已经被检测到的新工业设备的设备标识数据;响应于基于设备标识数据确定新工业设备被授权在控制网络上进行操作,由系统从安全模型中定义的一组安全策略中选择适用于新工业设备的安全策略;由系统生成配置指令,该配置指令被设计成在新工业设备上设置一个或更多个配置设置,所述一个或更多个配置设置使得新工业设备根据安全策略进行操作;以及由系统将配置指令定向至新工业设备。
此外,提供了一种非暂态计算机可读介质,所述非暂态计算机可读介质上存储有可执行指令,所述可执行指令响应于执行来使包括处理器的系统执行操作,所述操作包括:接收新工业设备已经被安装在工业设施中的通知;响应于基于针对新工业设备接收的设备标识数据确定新工业设备被授权在工业设施中进行操作,从在安全模型中定义的一组安全策略中识别适用于新工业设备的安全策略;生成配置指令,所述配置指令被设计成在新工业设备上配置一个或更多个操作参数,以使得新工业设备根据安全策略进行操作;以及使用配置指令来配置新工业设备。
为了实现前述目的和相关目的,本文结合下面的描述和附图来描述某些说明性方面。这些方面指示可以实践的各种方式,所有这些方式都旨在被涵盖在本文中。当结合附图考虑时,根据以下详细描述,其他优点和新颖特征将变得明显。
附图说明
图1是示例工业控制环境的框图。
图2是示例基于模型的安全配置系统的框图。
图3是示出将工业设备分配给各个安全区域的图。
图4是包括用于配置工厂范围设备安全策略的安全配置系统的示例系统架构的图。
图5是示出通过基于模型的安全策略配置系统对工业资产的网络进行建模的图。
图6A至图6D是可以由基于模型的安全策略配置系统的图形接口组件呈现以用于安全策略的显示和配置的示例配置树。
图7A是示出可以由用户提供给安全配置系统以实现安全策略的示例配置输入的表。
图7B是描绘由安全策略配置系统根据图7A中描绘的用户提供的配置输入实现的安全策略的图。
图8A是示出可以由用户提供给安全配置系统以实现安全策略的示例配置输入的表。
图8B是描绘由安全策略配置系统根据图8A中描绘的用户提供的配置输入实现的安全策略的图。
图9A是示出可以由用户提供给安全配置系统以实现安全策略的示例配置输入的表。
图9B是描绘由安全策略配置系统根据图9A中描绘的用户提供的配置输入实现的安全策略的图。
图10A是示出可以由用户提供给安全配置系统以实现安全策略的示例配置输入的表。
图10B是描绘由安全策略配置系统根据图10A中描绘的用户提供的配置输入实现的安全策略的图。
图11A是示出可以由用户提供给安全配置系统以实现安全策略的示例配置输入的表。
图11B是描绘由安全策略配置系统根据图11A中描绘的用户提供的配置输入实现的安全策略的图。
图12A是示出可以由用户提供给安全配置系统以实现安全策略的示例配置输入的表。
图12B是描绘由安全策略配置系统根据图12A中描绘的用户提供的配置输入实现的安全策略的图。
图13A是示出可以由用户提供给安全配置系统以实现安全策略的示例配置输入的表。
图13B是描绘由安全策略配置系统根据图13A中描绘的用户提供的配置输入实现的安全策略的图。
图14是用于使用基于模型的工业安全配置系统来配置和实现工厂范围安全策略的示例方法的流程图。
图15是包括用于安全事件策略的系统级管理的安全配置系统的示例系统架构的图。
图16是示出将安全事件策略分配给各个安全区域的图。
图17是如下示例架构的图,在该示例架构中,设备先前已经被安全配置系统配置成实施所定义的安全策略并且根据策略自动配置新注册的设备。
图18是示出在由模型定义的安全区域的现有组织的背景下新设备的分配的图。
图19是示出设备注册和安全配置过程的示例的过程流程图。
图20是用于使用基于模型的工业安全配置系统来配置和实现安全事件管理策略的示例方法的流程图。
图21A是用于将新安装的工业设备自动配置成遵照先前定义的安全通信策略和安全事件管理策略进行操作的示例方法的第一部分的流程图。
图21B是用于将新安装的工业设备自动配置成遵照先前定义的安全通信策略和安全事件管理策略进行操作的示例方法的第二部分的流程图。
图22是示例计算环境。
图23是示例联网环境。
具体实施方式
现在参照附图来描述本公开内容,在附图中,相似的附图标记始终被用来指代相似的要素。在以下描述中,出于说明的目的,阐述了许多具体细节以提供对本公开内容的透彻理解。然而显然,可以在没有这些具体细节的情况下实践本公开内容。在其他实例中,以框图形式示出了公知的结构和设备以便于对其进行描述。
如本申请中所使用的,术语“组件”、“系统”、“平台”、“层”、“控制器”、“终端”、“站”、“节点”、“接口”旨在指代计算机相关的实体或者与具有一个或更多个特定功能的操作装置相关的实体或者作为具有一个或更多个特定功能的操作装置的一部分的实体,其中这样的实体可以是硬件、硬件与软件的组合、软件或者执行中的软件。例如,组件可以是但不限于:在处理器上运行的进程、处理器、硬盘驱动器、包括固定的(例如,用螺钉或螺栓固定的)或可移除的固定固态存储驱动器的(光学存储介质或磁存储介质的)多个存储驱动器;对象;可执行文件;执行的线程;计算机可执行程序和/或计算机。作为说明,服务器和在服务器上运行的应用都可以是组件。一个或更多个组件可以驻留在执行的进程和/或线程内,并且组件可以位于一个计算机上以及/或者分布在两个或更多个计算机之间。此外,本文所描述的组件可以从其上存储有各种数据结构的各种计算机可读存储介质来执行。这些组件可以例如根据具有一个或更多个数据包的信号(例如,来自与本地系统、分布式系统中的另一组件进行交互和/或通过诸如因特网的网络经由信号与其他系统进行交互的一个组件的数据)经由本地和/或远程进程进行通信。作为另一示例,组件可以是具有由被电气或电子电路系统操作的机械部件提供的特定功能的装置,该电气或电子电路系统由处理器执行的软件或固件应用来操作,其中处理器可以在该装置的内部或外部并且执行软件或固件应用的至少一部分。作为又一示例,组件可以是通过电子组件而不是机械部件来提供特定功能的装置,电子组件可以在其中包括处理器以执行至少部分地提供电子组件的功能的软件或固件。作为又一示例,(一个或多个)接口可以包括输入/输出(I/O)组件以及相关联的处理器、应用或应用编程接口(API)组件。虽然前述示例针对组件的各方面,但是举例说明的方面或特征也可以应用于系统、平台、接口、层、控制器、终端等。
如本文所使用的,术语“推断(infer)”和“推断(inference)”通常是指根据经由事件和/或数据捕获的观察结果的集合来推理或推断系统、环境和/或用户的状态的过程。例如,推断可以被用于识别特定的情境或动作,或者可以生成状态的概率分布。推断可以是概率性的,即,基于对数据和事件的考虑来计算感兴趣的状态的概率分布。推断也可以是指用于从事件和/或数据的集合来构成更高级别事件的技术。这样的推断导致从观察到的事件和/或存储的事件数据的集合构造新的事件或动作,而不管事件在时间接近度上是否紧密相关,也不管事件和数据是否来自一个或若干个事件和数据源。
此外,术语“或”旨在意指包含性的“或”而不是排他性的“或”。也就是说,除非另有说明或者从上下文清楚得知,否则短语“X使用A或B”旨在意指任何自然的包含性排列。也就是说,以下任何情况都满足短语“X使用A或B”:X使用A;X使用B;或者X使用A和B两者。此外,除非另有说明或从上下文中清楚得知该冠词涉及单数形式,否则在本申请和所附权利要求中使用的冠词“一(a)”和“一个(an)”通常应当被解释为意指“一个或更多个”。
此外,如本文所使用的术语“集合”排除空集,例如其中没有元素的集合。因此,本公开内容中的“集合”包括一个或更多个元素或实体。作为说明,控制器的集合包括一个或更多个控制器;数据资源的集合包括一个或更多个数据资源;等。同样,如本文所用的术语“组”是指一个或更多个实体的集合,例如,一组节点是指一个或更多个节点。
将根据可以包括多个设备、组件、模块等的系统来呈现各个方面或特征。应当理解并且意识到,各种系统可以包括附加的设备、组件、模块等,以及/或者可以不包括结合附图讨论的所有设备、组件、模块等。也可以使用这些方法的组合。
图1是示例工业控制环境100的框图。在该示例中,在整个工业工厂环境中部署多个工业控制器118,以监测和控制相应的工业系统或者与产品制造、加工、运动控制、批处理、材料处理或其他这样的工业功能有关的过程。工业控制器118通常执行相应的控制程序,以便于对构成受控工业资产或系统的工业设备120(例如,工业机器)进行监测和控制。一个或更多个工业控制器118还可以包括在个人计算机或其他硬件平台上或者在云平台上执行的软控制器。一些混合设备还可以使控制器功能与其他功能(例如,可视化)相结合。由工业控制器118执行的控制程序可以包括能够处理从工业设备120读取的输入信号并且控制由工业控制器118生成的输出信号的基本上任何类型的代码,所述任何类型的代码包括但不限于梯形逻辑、顺序功能图、功能框图或结构化文本。
工业设备120可以包括:输入设备,其向工业控制器118提供与受控工业系统有关的数据;以及输出设备,其对由工业控制器118生成的用于控制工业系统的方面的控制信号做出响应。示例输入设备可以包括遥测设备(例如,温度传感器、流量计、水平传感器、压力传感器等)、手动操作者控制设备(例如,按钮、选择器开关等)、安全监测设备(例如,安全垫、安全拉绳、光幕等)以及其他这样的设备。输出设备可以包括马达驱动器、气动致动器、信号设备、机器人控制输入、阀、泵等。
工业控制器118可以通过硬连线连接或联网连接与工业设备120通信地对接。例如,工业控制器118可以配备有与工业设备120进行通信以实现对这些设备的控制的本地硬连线输入端和输出端。本地控制器I/O可以包括:数字I/O,其向现场设备发送离散电压信号以及从现场设备接收离散电压信号;或者模拟I/O,其向设备发送模拟电压或电流信号以及从设备接收模拟电压或电流信号。控制器I/O可以通过背板与控制器的处理器进行通信,使得数字信号和模拟信号可以被读入控制程序中并由控制程序控制。工业控制器118还可以使用例如通信模块或集成联网端口通过网络与工业设备120进行通信。示例性网络可以包括因特网、内联网、以太网、设备网(DeviceNet)、控制网(ControlNet)、数据高速公路和数据高速公路加(DH/DH+)、远程I/O、现场总线、Modbus、过程现场总线(Profibus)、无线网络、串行协议等。工业控制器118还可以存储可以被其相关联的控制程序参考并且用于控制决策的持久数据值,所述持久数据值包括但不限于:表示受控机器或过程的操作状态(例如,罐水平、位置、警报等)的测量值或计算值或者在自动化系统的操作期间收集的被捕获的时间序列数据(例如,多个时间点的状态信息、诊断发生等)。类似地,一些智能设备——包括但不限于马达驱动器、仪器或状况监测模块——可以存储用于控制和/或使操作状态可视化的数据值。这样的设备还可以将时间序列数据或事件捕获在日志上以供稍后检索和查看。
工业自动化系统通常包括一个或更多个人机接口(HMI)114,所述一个或更多个人机接口(HMI)114使得工厂人员能够查看与自动化系统相关联的遥测数据和状态数据并且对系统操作的一些方面进行控制。HMI114可以通过工厂网络116与工业控制器118中的一个或更多个进行通信,并且与工业控制器交换数据以便于在一个或更多个预先开发的操作者接口画面上对与受控工业过程有关的信息进行可视化。HMI 114还可以被配置成使得操作者能够将数据提交至工业控制器118的指定数据标签或存储器地址,从而提供了供操作者向受控系统发出命令(例如,循环启动命令、设备致动命令等)、修改设定点值等的手段。HMI114可以生成一个或更多个显示画面,操作者通过所述显示画面与工业控制器118进行交互,从而与受控过程和/或系统进行交互。示例显示画面可以使用显示计量值或计算值的过程的图形化表示来可视化工业系统或其相关联的设备的当前状态,基于状态而采用颜色或位置动画,呈现警报通知,或者采用其他这样的技术以向操作者展现相关数据。以这种方式展现的数据由HMI 114从工业控制器118读取,并且根据HMI开发者选择的显示格式在显示画面中的一个或更多个上展现所述数据。HMI可以包括具有用户安装的或预先安装的操作系统以及用户安装的或预先安装的图形应用软件的固定位置设备或移动设备。
其他工业设备或资产可以包括工业机器人122,所述工业机器人122可以根据由它们自己的内部控制器执行的程序、结合与一个或更多个外部控制器(例如,PLC 118)交换的信息进行操作。一些工业环境还可以包括执行各种生产、质量或安全功能的多个子系统,所述多个子系统包括但不限于视觉系统、安全系统(例如,光学存在感测系统、安全中继系统等)、产品质量检查系统(例如,泄漏测试系统)或其他这样的资产。
一些工业环境还可以包括与受控工业系统的特定方面有关的其他系统或设备。这些系统或设备可以例如包括:聚合并存储从工业控制器118或其他数据源收集的生产信息的数据历史记录装置(data historian)110、包含构成受控工业系统的各种工业设备的电子文档的设备文档存储库、库存跟踪系统、工作订单管理系统、用于机器或过程图纸和文档的储存库、供应商产品文档存储库、供应商知识库、内部知识库、工作调度应用或者其他这样的系统,它们中的一些或全部可以驻留在工业环境的办公网络108上。
较高级别系统126可以执行与工厂现场的工业自动化系统的控制不太直接相关并且替代地针对长期规划、高级监管控制、分析、报告或其他这样的高级功能的功能。这些系统126可以驻留在相对于工厂设施的外部位置处的办公网络108上,或者驻留在可以访问办公网络和/或工厂网络的云平台上。较高级别系统126可以包括但不限于:云存储和分析系统、大数据分析系统、制造执行系统、数据湖、报告系统等。在一些场景中,在企业的这些较高级别处运行的应用可以被配置成分析控制系统操作数据,并且该分析的结果可以被反馈至控制系统处的操作者或者直接被反馈至控制系统中的控制器118或设备120。
由于如此多工业设备、系统和资产驻留在工厂网络和/或办公网络上,因此系统设计者必须经常配置防止未授权的用户或设备对工业资产的未授权访问的网络安全功能。需要这样的安全措施,以防止对生产数据或其他敏感信息的未授权查看或者以防止远程实体承担对工业资产的控制并修改控制序列或设备参数。为工业资产配置安全性可以例如包括:为相应的工业资产定义访问许可(例如,指定哪些其他设备或人员可以访问给定工业资产)、为设备之间的安全数据交换配置数字证书或基于密钥的安全性、将因特网协议(IP)地址分配给相应设备、定义网络工作组、配置防火墙参数以过滤对工厂网络或办公网络上的设备和系统的访问、配置明确地定义哪些设备被许可与给定的资产交换数据的白名单或者其他这样的配置动作。
通常,为工业自动化环境配置安全性需要用户为大量单独设备分别配置安全参数和定义。这在包括大量工业资产和网络基础设施设备的工业环境中可能是耗时的过程。此外,为了安全性而配置这些工业资产通常需要被配置的各个设备的专业知识,从而限制有资格为工业环境配置和管理安全设置的人员的数量。因为用于为工业设备配置安全设置和参数的工具和过程在不同的产品供应商之间可能有很大的变化,因此当工业环境包括由多个不同的设备供应商制造的设备时,安全性配置可能变得更加困难。同样,负责在工业环境中配置设备安全性的工厂工程师需要范围广泛的供应商特定安全配置工具和参数设置的知识。此外,由于必须针对每个设备分别手动地配置用于相应设备的安全参数和策略,因此定义安全策略的过程容易出现人为错误。这样的错误可能导致需要可靠信道进行数据交换的设备之间的通信受阻。发现和纠正这些配置错误可能是耗时且复杂的过程,并且经常被引用为工业资产的所有者为什么选择禁用设备安全功能,从而使工业设备和过程面临风险的原因。
为了解决这些和其他问题,本公开内容的一个或更多个实施方式涉及用于工业自动化设备和资产的基于模型的安全策略配置系统。在一个或更多个实施方式中,配置系统可以维护工业环境的模型,该模型对分布在整个工厂环境中的工业设备和网络基础设施设备以及各种设备之间的联网互连和关系进行库存。与配置系统相关联的用户接口允许用户使用集成的建模工具将共享共同安全环境的设备的集合分组到安全区域中。该模型可以用来定义用于设备之间的安全通信的策略、事件发起者策略或其他安全性方面。例如,在模型中定义的每个安全区域可以包括作为自动化系统的正常操作的一部分以安全方式彼此通信并且共享共同安全要求的设备。可以阻止给定安全区域外的设备与该区域内的设备进行通信。如果需要与区域外的设备进行通信,则用户可以根据通信要求来定义区域内的设备与区域外的设备之间的导管、区域内的设备与另一区域之间的导管或者区域与另一区域之间的导管。
一旦自动化系统或工厂环境的所有必要设备已经被添加到相应的安全区域并且任何期望的导管被定义,配置系统就可以基于由用户定义的区域信息和导管信息以及系统模型来实现系统范围安全策略。配置系统将所定义的安全策略转换成设备级安全配置指令,所述设备级安全配置指令然后被下载或以其他方式被发送至适当的设备(例如,网络基础设施设备和/或工业设备),以实现所定义的安全策略。这种转换可以基于由配置系统维护的定义的转换规则。这些转换规则可以包括能够为相应供应商特定的设备生成适当的安全配置指令的供应商特定的规则。以这种方式,系统向用户隐藏或抽象与设置设备级安全参数相关联的技术复杂性。配置系统还抽象实施安全策略所需的跨供应商或跨产品的技术差异。
系统模型还可以被用来定义安全事件管理策略并将安全事件管理策略部署到工业设备。这可以例如包括:配置要由设备响应于在控制网络上检测到安全相关事件(例如,检测到远程访问工业设备的未授权尝试、检测到指示拒绝服务攻击的过载网络流量、检测到对控制参数执行无效修改的尝试等)而生成的安全通知。通知的类型以及应当发送通知的人员或设备的身份可以被定义为检测到的事件的类别或类型、事件的严重性或其他事件特性的函数。通过允许用户将自动化环境分解成安全区域,系统模型可以用作用于为工业环境定义安全事件处理的设备分组机制。
图2是根据本公开内容的一个或更多个实施方式的示例基于模型的安全配置系统202的框图。本公开内容中说明的系统、装置或过程的方面可以构成包含在(一个或多个)机器内的机器可执行组件,例如包含在与一个或更多个机器相关联的一个或更多个计算机可读介质(或介质)中的机器可执行组件。这样的组件在由一个或更多个机器例如(一个或多个)计算机、(一个或多个)计算设备、(一个或多个)自动化设备、(一个或多个)虚拟机等执行时可以使(一个或多个)机器执行所描述的操作。
基于模型的安全配置系统202可以包括图形接口组件204、指令转换组件206、通信组件208、设备发现组件210、一个或更多个处理器212和存储器214。在各种实施方式中,图形接口组件204、指令转换组件206、通信组件208、设备发现组件210、一个或更多个处理器212和存储器214中的一个或更多个可以彼此电和/或通信地耦接,以执行基于模型的安全配置系统202的功能中的一个或更多个。在一些实施方式中,组件204、206、208和210可以包括存储在存储器214上并由(一个或多个)处理器212执行的软件指令。基于模型的安全配置系统202还可以与图2中未示出的其他硬件和/或软件组件进行交互。例如,(一个或多个)处理器212可以与一个或更多个外部用户接口设备诸如键盘、鼠标、显示监测器、触摸屏或其他这样的接口设备进行交互。
图形接口组件204可以被配置成生成一组图形用户接口显示,用户可以与该组图形用户接口显示进行交互以定义安全区域,将工业设备和联网设备分配给所定义的区域,定义设备之间和/或区域之间的导管,将安全配置指令下载或分发到构成工业自动化环境的适当设备以及其他这样的功能。下面将更详细地描述示例显示。
指令转换组件206可以被配置成读取由用户提供的(或由配置系统202自动检测到的)设备信息、区域信息和导管信息并且生成安全配置指令集,所述安全配置指令集当在相应的工业设备和/或联网设备上被实现时实施由用户提供的设备信息、区域信息和导管信息所定义的工厂范围安全策略。指令转换组件206可以基于所存储的模型216来生成这些指令,该模型216描述了构成用户的工厂环境的工业设备和联网设备以及设备之间的联网连接的库存。该模型216包括各种设备的供应商信息和型号信息,使得指令转换组件206能够生成将实现用户期望的安全策略的适当供应商特定的安全配置指令和型号特定的安全配置指令。指令转换组件206还可以基于定义的业务规则218来生成这些指令,所述定义的业务规则218确定针对给定场景如何解决安全配置冲突。
通信组件208可以被配置成:在基于模型的安全配置系统202与工厂网络和/或办公网络上的设备之间交换数据。这可以包括例如向设备发送安全配置指令、轮询设备标识信息和配置信息等。设备发现组件210可以被配置成发现并识别工厂网络上的要为其配置安全性的设备。这可以包括识别型号信息、供应商信息、固件版本信息、网络标识符或其他这样的信息。
一个或更多个处理器212可以执行本文中参照所公开的系统和/或方法描述的功能中的一个或更多个。存储器214可以是存储用于执行本文中参照所公开的系统和/或方法描述的功能的计算机可执行指令和/或信息的计算机可读存储介质。
本文中所描述的基于模型的安全配置系统允许用户为其联网的工业资产的集合容易地创建安全模型,该安全模型然后被系统用来生成设备特定的安全配置指令并为网络上的各个设备设置设备安全参数。安全模型可以基于IEC 62443标准,该标准建议在给定的工厂环境内定义信任区域,使得被允许安全地通信并且共享共同安全要求的设备被分配给共同区域。图3是示出将工业设备分配给各种安全区域的图。在该示例中,多个工业设备已经被分组到三个安全区域中。一般来说,每个区域是共享共同安全要求的一组逻辑资产或物理资产。共同安全区域内的设备被允许经由安全通信信道彼此交换数据,但是除非定义了信道或导管,否则共同安全区域内的设备不被许可与未被分配给该区域的设备进行通信。信道是两个独立区域中的资产之间的特定逻辑或物理通信链路。导管(由线302和304表示)是共享共同安全要求的两个或更多个设备和/或区域之间的一组逻辑通信信道。对于导管,边界设备可以被定义为提供区域与导管之间的接口的通信安全资产(例如,网络基础设施设备)。如将在下面更详细地描述的,由本文中描述的安全配置系统提供的建模工具可以允许通信链路被定义在两个指定的设备之间(如由箭头302所表示的)、被定义在指定的设备与设备的区域之间(如由线306所表示的)或者被定义在两个区域之间(如由箭头304所表示的)。
由安全配置系统202提供的建模工具可以允许用户将其现有资产分组到安全区域中,定义区域和/或设备之间的导管,以及定义相应区域和导管的安全要求。区域和导管定义设备之间和/或设备的区域之间的信任关系,并且可以包括嵌套的或外来的区域。信道定义设备之间的可信通信链路。如将在下面更详细地描述的,本文中所描述的安全配置系统202提供直观的接口,用户利用该接口可以定义其各种工业资产之间的这些各种信任关系,并且基于这些定义的信任关系来生成用于部署到用户的工业资产的合适的安全配置指令集,从而抽象并简化为每个单独的设备配置安全参数的过程。
图4是包括用于配置工厂范围设备安全策略的安全配置系统202的示例系统架构的图。在所示的示例中,工厂环境包括驻留在工厂网络406上的多个工业资产和设备408。工厂网络406可以符合任何合适的联网协议或协议的组合,包括但不限于以太网、以太网/IP、设备网、控制网、数据高速公路和数据高速公路加(DH/DH+)、远程I/O、现场总线、Modbus、过程现场总线、无线网络、串行协议等。工业设备408可以包括例如PLC、马达驱动器(例如,变频驱动器)、视觉系统、安全继电器、人机接口终端、工业机器人控制器、数据历史记录装置、工作订单跟踪系统或其他这样的工业资产。工业设备408还可以包括构成工厂网络116的主干并且管理网络设备与网络段之间的数据传输和安全性的网络基础设施设备(例如,路由器、集线器、交换机、防火墙等)。
使用安全配置系统202的安全配置由模型216部分地驱动,该模型216对工业设备408的集合以及设备之间的联网连接进行建模。模型216可以使用手动配置或自动设备检测中的一者或两者来生成。为了允许设备被添加到模型216,安全配置系统202的一些实施方式可以维护工业设备定义的数据库,所述工业设备定义可以根据需要被手动地或自动地选择并被添加至模型。对于手动配置,图形接口组件204可以生成并显示一个或更多个设备选择屏幕,所述一个或更多个设备选择屏幕允许用户根据设备供应商、设备型号、设备类型、固件版本或其他设备标识信息中的一个或更多个来浏览存储的设备数据库。对于包括设备发现组件210的实施方式,配置系统202可以针对网络上存在的工业设备而轮询工厂网络406。在这样的实施方式中,设备发现组件210可以访问联网设备上存在的设备标识信息(如果设备支持自动发现)并更新模型216以包括所发现的设备。在一些实施方式中,设备发现组件210还可以检索系统可能需要的关于设备的任何当前设备配置信息(例如,网络地址、预先存在的安全参数等),以便为该设备或将与该设备通信的其他设备生成安全配置指令。
简要地转到图5,工业设备408的集合可以被视为工业设备504(例如,设备D1、D2等)和网络基础设施设备502的网络,所述网络基础设施设备502用作网络主干以便于设备之间的通信。模型216表示设备的这种配置,并且包括标识构成所集合的一组工业设备408的工业设备和网络基础设施设备的一组信息。示例模型216可以根据设备供应商和型号、设备的当前软件或固件版本、当前网络设置(例如,网络地址)、当前安全设置和其他相关信息来定义每个设备。
返回到图4,一旦模型216被配置成反映工业资产的集合,图形接口组件204就可以生成允许用户提交配置输入402的一个或更多个信任定义屏幕,该配置输入402通过为设备定义工厂范围安全策略来进一步细化模型216。这可以包括定义区域之间和/或设备之间许可的通信信道以及定义要由构成工业资产的设备实施的事件发起者策略。信任定义屏幕提供直观的接口,该接口允许用户提交选择性地将设备408分组到安全区域中的配置输入402并定义设备之间和区域之间的任何期望的信道和/或导管,从而为工业设备408的集合定义高级别安全策略。图形接口组件204可以以适合于接收用户定义的安全定义信息的任何格式来呈现这些安全策略定义显示。例如,在一些实施方式中,系统可以呈现交互式表,该交互式表允许用户定义一个或更多个安全区域并且使从工业设备408的集合所选择的设备与相应的区域相关联。该交互式表还可以允许用户通过选择导管的两个端点设备或区域来定义设备之间和/或区域之间的一个或更多个导管。下面将更详细地描述示例配置表。
在其他实施方式中,图形接口组件204可以呈现允许用户通过操纵表示部署在工厂现场的工业资产的图标来定义安全策略的图形接口。例如,在这样的实施方式中,用户可以通过创建表示区域的圆圈并将设备图标拖入期望的区域中来将设备分组到安全区域中。为了创建信道和导管,图形接口可以允许用户将箭头添加至配置视图并将箭头的端点分配给适当的设备或区域边界。
在其他实施方式中,图形接口可以将区域、设备和其他信息呈现为分层树结构。在这样的实施方式中,接口可以允许用户创建表示区域的分层节点并将设备添加到每个所定义的区域节点作为子节点。然后用户可以使用节点特定的菜单为每个区域节点和设备节点设置安全属性(包括定义任何附加信道或导管)。图6A至图6D是可以由图形接口组件204呈现以用于安全策略的显示和配置的示例配置树。在该示例中,安全配置系统是较大的工业资产管理平台的组件。如图6A所示,配置树600包括安全模型节点602,安全模型节点602下面是安全区域节点604和证书颁发机构节点606。通过与安全区域节点604交互,用户可以创建任意数量的安全区域。如图6B所示,然后可以通过调用所选择的区域的弹出菜单608(例如,通过右键单击所选择的区域的图标)并选择添加设备选项来将设备添加到每个区域,该添加设备选项可以调用构成工业设备408的集合的可用设备的列表。用户可以通过从该设备列表选择期望的设备来使一个或更多个设备与区域相关联。菜单608还允许用户将所定义的证书颁发机构分配给每个区域以及为区域设置其他区域级安全属性和特性。以这种方式配置的区域级属性将被应用于被分配给该区域的所有设备,并且这些属性将被记录为模型216的一部分。
示例配置树600还允许用户通过与证书颁发机构节点606交互来配置一个或更多个证书颁发机构。如图6C所示,用户可以定义任意数量的证书颁发机构,并且通过调用弹出菜单610来为每个定义的证书颁发机构配置安全属性。如果要针对基于证书的安全性来配置任何先前定义的区域,则可以将定义的证书颁发机构分配给任何先前定义的区域作为模型216的一部分。
图6D是描绘区域节点612的另一示例树结构,区域节点612被扩展以显示与每个区域相关联的被表示为设备节点614的设备。在该示例中,区域被配置成支持基于证书的安全性,因此这样的每个区域与所选择的证书颁发机构(在证书颁发机构节点616下定义的)相关联。扩展区域节点612还使得与该区域相关联的证书颁发机构被显示为CA节点618。
应当认识到,本文中所描述的安全配置系统的实施方式不限于图6A至图6D中描绘的基于树的配置接口。相反,任何合适类型的配置接口——包括但不限于上述基于表的接口和图标操纵接口——在本公开内容的一个或更多个实施方式的范围内。
通过与系统的用户接口交互,安全配置系统202允许用户为用户的工业资产集合之间的通信指定多个不同的信任类型。
区域信任类型指明同一安全区域内的所有资产将彼此信任。该信任类型由包围图3中描绘的资产的圆圈表示。
资产-资产信任类型指明第一区域中的工业资产将信任不同的第二区域中的工业资产。该信任类型由图3中的箭头302表示。
资产-区域信任类型指明第一安全区域中的资产将信任来自指定的第二区域的任何资产。该信任类型由图3中的箭头306表示。
区域-区域信任类型指明来自指定的第一区域的任何资产将信任来自指定的第二区域的所有资产。该信任类型由图3中的箭头304表示。
对于资产-资产、资产-区域和区域-区域信任类型,系统还可以允许用户定义信任是单向信任(仅允许在一个方向上通信)还是双向信任。
在一个或更多个实施方式中,这些信任定义表示“允许”规则;也就是说,系统允许用户明确地定义许可的数据通信,并且假设由用户定义的信任定义未明确地允许的任何类型的通信将被认为是拒绝的或未许可的通信。在这样的实施方式中,因为配置系统将各个资产配置成拒绝未明确许可的任何通信,因此系统仅要求根据这些“允许”规则来定义安全策略。
一旦已经定义一个或更多个安全区域,图形接口组件204就允许用户为每个区域定义各种区域级安全属性。配置系统将这些区域级安全属性应用于区域内的所有设备。例如,用户可以定义要在每个安全区域内使用的安全类型。可以为区域配置的示例安全类型包括但不限于:具有证书的通用工业协议(CIP)安全、具有预共享密钥(PSK)的CIP安全、IP块安全、防火墙规则等。
为区域选择具有证书的CIP安全指明所选择的区域包含:支持CIP安全、共享共同信任并且具有由指定的可信机构(例如,由用户定义的证书颁发机构)颁发的身份(证书)的设备。当为区域设置这种类型的安全性时,系统还允许用户选择要在该区域中使用的证书颁发机构的身份(例如,来自由用户定义的证书颁发机构的列表)。
为区域选择具有PSK的CIP安全指明所选择的区域包含共享共同预共享密钥的CIP安全设备。当为区域设置这种类型的安全性时,系统还允许用户选择标识被用来启用区域内通信的密钥的密钥属性。给定区域不能被配置成用于具有证书的CIP安全和具有PSK的CIP安全二者。
为区域选择IP块安全指明所选择的区域包含由各个IP地址或一系列IP地址标识的工业资产。在同一安全区域中,这种类型的安全可以与具有证书的CIP安全或具有PSK的CIP安全进行混合。
系统还可以允许用户为定义的区域设置其他安全属性(例如,允许的密码套件、验证到期或者其他这样的安全属性)。系统还可以允许用户为与安全性不是特别相关的区域设置多个属性(例如,禁用HTTP等)。
除了区域级属性之外,系统还允许用户设置多个资产级属性。这些属性被应用于特定的工业资产和设备。在一些场景中,这些资产级属性中的一些或全部可以由作为设备自动发现例程的一部分的配置系统自动读取(由设备发现组件210实现)。这些手动提供的或自动发现的资产级属性与区域级属性一起被编码在模型216中。资产级属性可以例如包括:用来在模型216中对设备进行分类并呈现设备的能力的资产类型属性、指定资产通过其与其他资产进行通信的一个或更多个机制的端口属性(例如,指定资产经由其以太网端口进行通信,并设置设备的IP地址)或者其他这样的属性。
当工业设备408被定义并被分组到安全区域中(并且设备之间和/或区域之间的任何期望的导管被定义)时,模型216被更新以记录由用户设置的区域、导管、信道和任何其他区域级和/或资产级安全属性所定义的工业资产的集合以及工业资产之间的安全关系。指令转换组件206将高级别、用户定义的安全策略——如由区域、信道和导管定义所定义的——转换成安全配置数据404,该安全配置数据404可以被发送至各个资产和设备以便于实现工厂范围的安全策略。为此,指令转换组件206被预先配置有被设计成分析模型216的一组底层转换规则,确定将实现用户定义的安全策略的供应商特定的设备安全配置指令集,并且将这些安全配置指令部署到相应的工业资产和设备,以便于设置实现期望的工厂范围安全策略所需的适当的设备级安全参数。
例如,如果模型216中编码的工厂范围安全策略需要对驻留在工厂网络406上的防火墙设备上的防火墙配置参数的修改(例如,根据用户的区域和导管定义允许或阻止两个设备之间的通信),则指令转换组件206将生成安全配置指令,该安全配置指令根据防火墙设备的特定设备供应商和设备型号被格式化并被设计成对防火墙设备执行必要的参数修改。然后通信组件208通过工厂网络406将该指令部署到防火墙设备以实现修改。可以由安全配置指令实现的其他示例配置动作可以包括:在所选择设备上修改网络地址(例如,IP地址)或网络地址范围,在所选择设备上启用特定安全模式,在所选择设备中启用基于密钥或基于证书的安全协议,向设备分发加密密钥或证书以便于安全通信(例如,如果设备或区域被配置成用于基于密钥或基于证书的安全性),更新明确地标识被许可与给定设备通信的设备的一个或更多个白名单,修改路由器或交换机设置或者其他这样的动作。指令转换组件206针对实现由用户定义的区域和导管规范定义的安全策略所需的所有必要的设备级安全参数变化来生成这样的安全配置指令。由于给定的一组不同种类的工业资产可以支持不同的安全技术,因此系统能够针对给定的一组工业设备使用多于一种的安全实施技术来实现所定义的全局安全策略。
由于指令转换组件206预先配置有用于各种不同设备供应商的转换指令,因此即使工业资产的集合由来自多个不同供应商的设备构成,安全配置系统202也可以实现用户的指定的安全策略。因此安全配置系统202向用户提供用于为工业资产的集合定义工厂范围安全策略的简单的、与供应商无关的接口,并且将该策略转换成供应商特定的安全配置指令集和设备特定的安全配置指令集,这些安全配置指令集然后被部署到适当的设备。通过向用户抽象为每个单独设备配置安全设置和模式的设备特定的技术细节,系统降低对用户拥有特定的设备类型和供应商的深入技术知识的需要,以将设备级安全性配置为较大的工厂级安全策略的一部分。
在一个或更多个实施方式中,指令转换组件206还可以进一步基于由安全配置系统202维护的全局或用户定义的业务规则218来生成安全配置数据的一些部分。这些业务规则218可以实施与区域之间和设备之间的安全策略的配置有关的一个或更多个高级别偏好或约束。例如,业务规则218可以定义:由两个指定的产品供应商制造的设备由于这两个供应商的产品之间的冲突而不能作为使用PSK安全的共同安全区域的一部分。一般来说,由于设备型号或设备供应商之间的技术冲突,某些安全配置请求可能无法实施,业务规则218可以定义这样的冲突。基于这些编码的业务规则218,指令转换组件206可以确定用户的配置输入402何时已经请求不可实施的安全策略,并生成向用户通知不能实现所请求的策略的适当反馈。
业务规则218还可以定义要用来解决如下场景的准则:存在多种方式来配置工业设备408以实现所请求的安全策略。在示例场景中,用户可以将工业资产的子集分组在共同安全区域内,而在该区域与其他定义的区域之间没有指定的信道或导管,由此工业资产的子集被许可彼此交换数据,而与工业环境内(在安全区域外)的其他设备的通信被禁止,从而实现安全策略。基于构成联网系统的工业资产和网络架构设备的特定组合、设备之间的联网连接以及相应设备的型号和/或供应商(所有这些可以由系统202基于模型216的分析来确定),指令转换组件206可以确定:存在用于实现该安全策略的多种配置可能性。例如,对于将拒绝针对区域内的资产的外部通信请求的特定防火墙设备或路由器,可能存在多于一组安全设置。因此,指令转换组件206可以基于由业务规则218定义的一个或更多个解析准则来选择可用方法之一。
在另一示例中,系统可以确定:可以通过重新配置第一设备或第二设备中的任一个来实现所请求的安全策略,并且业务规则218可以定义帮助系统202选择最符合所定义的偏好(例如,优选的设备供应商、基于密钥的安全性超过基于证书的安全性的偏好等)的设备重新配置选项的规则。在各种实施方式中,业务规则218可以定义用于配置方法的明确偏好(例如,优选的安全类型、要用于过滤通信的优选的设备供应商等),或者可以定义当解决配置冲突时要应用的一个或更多个约束(例如,用于选择需要最少数量的设备重新配置的策略的指令)。
在一些实施方式中,业务规则还可以在部署这样的解决方案之前或之后识别实施解决方案之间的可能冲突。在这样的实施方式中,系统可以执行安全策略中涉及的设备的实时监测,以确保设备的后续重新配置与先前建立的安全策略不冲突。例如,在系统部署安全策略之后,由此在两个设备之间建立安全通信,用户可以使用独立的配置工具以如下方式来重新配置网络基础设施设备(例如,防火墙):阻止这两个设备之间的通信,无意中与由安全配置系统先前建立的安全策略相冲突。基于模型和业务规则,系统可以检测到这样的重新配置,确定该重新配置与先前定义的安全策略相冲突,并且响应于该确定而执行动作。该动作可以例如包括:向负责管理安全策略的一个或更多个人员传送通知消息,使受影响的设备自动返回到其先前配置的安全设置(即,覆盖重新配置)或者其他这样的动作。以这种方式,建模工具和业务规则可以实时地实施所定义的安全策略,容易识别以其他方式难以跟踪的策略冲突。
图7至图13和下面相关联的描述示出了可以使用安全配置系统202实现的多个示例安全策略。
图7A和图7B描绘了包括两个安全区域和资产到资产(asset-to-asset)导管的安全策略,其中,所有资产包括支持CIP安全的设备。图7A是示出由用户提供给安全配置系统202以实现安全策略的配置输入的表。如上所述,该配置输入可以经由与由图形接口组件204生成的一个或更多个用户接口显示的交互而被接收,其中,接口显示可以符合根据各种实施方式的任何合适的格式。在一个或更多个实施方式中,图形接口组件204可以显示在格式上与图7A中所描绘的表类似的一个或更多个表。例如,图形接口组件204可以生成并显示用于区域定义信息的条目的区域定义表702和用于导管定义信息的条目的导管定义表706。区域定义表702可以包括:用于向新区域分配区域名称的字段、选择要在每个区域内使用的安全类型(例如,用户证书、PSK、白名单等)的字段、指示区域内的I/O和/或消息接发是否安全的字段以及其他这样的区域级定义的字段。导管定义表706可以包括用于为要创建的每个导管分配导管名称的字段以及识别要被允许通信的两个端点设备的字段。
设备定义表704可以包括定义要对其实现工厂范围安全策略的工业资产和设备的库存的信息。对于支持自动发现的实施方式,该设备信息中的至少一些可以由设备发现组件210自动地发现,所述设备信息中的至少一些包括但不限于资产目录号和当前IP地址以及关于每个设备是否支持CIP安全的指示。可替选地,工业资产信息中的一些或全部可以由用户手动地提供给系统202。
同样如上所述,作为交互式表的替选,可以由用户通过对由图形接口组件204呈现的图形图标的操纵来定义区域和导管信息。在这样的实施方式中,图形接口可以具有与图3(或图7A)中描绘的格式类似的格式,其中,工业资产由图标表示,并且用户可以定义由将资产图标分组到区域中的圆圈表示的安全区域。该图形接口还可以允许用户在区域之间、在区域与设备之间或者在设备之间创建单向或双向箭头以定义信道和导管。
在又一接口示例中,可以通过与诸如图6A至图6D中所描绘的分层树结构的交互来提供图7A中所描绘的信息中的一些或全部。
一旦用户已经提供区域分组和任何期望导管的定义,模型216就被更新以反映这些安全偏好。指令转换组件206然后生成适当的设备级安全配置指令、型号特定的安全配置指令和供应商特定的安全配置指令并将这些安全配置指令部署到被确定成需要重新配置的任何设备,以实现指定的工厂范围安全策略。图7B是描绘由系统根据图7A中所描绘的用户提供的配置输入实现的安全策略的图。在该示例中,工业资产包括被分组到两个区域Z1和Z2中的六个设备D1至D6(如图7A的设备定义部分所指示的)。设备都支持CIP安全,因此能够安全地交换数据。根据由用户定义的区域分组,指令转换组件206生成并部署允许设备D1至D3根据其区域1指定来彼此安全地交换数据以及允许设备D4至D6根据其区域2指定来彼此安全地交换数据所必需的任何设备级安全配置指令。在该示例中,根据由用户指定的区域级安全类型(参见区域定义表702),区域1设备和区域2设备二者被配置成使用PSK安全进行数据交换。
此外,用户已经定义了驻留在不同区域中的设备D1与D5之间的导管。导管可以被认为是在两个资产或区域之间的一组一个或更多个单向信道。在该示例中,导管是设备D1与D5之间的双向通信许可。类似于区域定义,当用户定义设备D1与D5之间的导管(如由导管定义表706所指示的,其中D1和D5被识别为导管的端点)时,指令转换组件206生成适当的设备级安全配置指令并将该安全配置指令部署到设备D1、设备D5和/或任何中间网络架构设备(例如,集线器、路由器、交换机、防火墙等)中的任何设备,以允许设备D1和D5根据导管定义来安全地交换数据。由于该示例中的所有资产都支持CIP安全,因此所指定的设备之间的数据交换是安全的。
由于设备D1至D6(以及任何中间网络基础设施设备)可以包括由不同设备供应商制造的设备,因此指令转换组件206将——基于模型216的分析——识别需要新的安全设置的设备,确定这些设备的供应商和/或型号信息,并为相应设备生成合适的供应商特定的安全配置指令和型号特定的安全配置指令。指令转换组件206可以基于由安全配置系统202维护和执行的底层转换代码来生成这些供应商特定的指令。以这种方式,系统允许用户在高级别下定义与供应商无关的、工厂范围的安全策略,从而向用户抽象与在每个单独设备上配置设备设置相关联的供应商特定的技术细节和设备特定的技术细节。
图8A和图8B示出了可以由安全配置系统202实现的另一示例安全策略。图8A是示出可以被提供给安全配置系统202(或者在某些情况下由安全配置系统202自动发现)的示例用户配置输入的表,图8B是表示安全策略的图。在该示例中,设备D1至D3都支持CIP安全,并且被分配给同一区域(区域1)。被分配给区域2的设备D4是不支持CIP安全的传统产品。资产到资产导管已经被定义成允许设备D1与传统设备D4之间的通信。由于设备D1至D3支持CIP安全,因此这些设备之间的数据交换被安全地执行。由于设备D4不支持CIP安全,因此D1与D4之间的数据交换由于这两个设备之间定义的导管而被许可,但是不安全。
图9A和图9B示出了可以由安全配置系统202实现的另一示例安全策略。图9A是示出可以被提供给安全配置系统202(或者在某些情况下由安全配置系统202自动发现)的示例用户配置输入的表,图9B是表示安全策略的图。在该示例中,工业资产包括支持CIP安全和不支持CIP安全(传统设备)的设备的混合。三个安全区域已经被定义,其中设备D1至D3被分配给区域1,D4至D6被分配给区域2,并且传统设备D7和D8被分配给区域3。当该策略被实现时,区域1和区域2中的每个区域中的设备可以与同一区域中的其他设备安全地通信,而设备D7和D8可以彼此通信但不安全。
在该场景中,已经定义了三个资产到资产导管。D1和D5已经被配置成彼此安全地通信。根据用户的配置输入,还已经建立了两条不安全通信路径——D5与D8之间的路径以及D1与D8之间的路径。由于D8是不支持CIP安全的传统设备,因此这两个导管是不安全的,但仍然许可与该设备进行资产到资产通信。
图10A和图10B示出了可以由安全配置系统202实现的另一示例安全策略。图10A是示出可以被提供给安全配置系统202(或者在某些情况下由安全配置系统202自动发现)的示例用户配置输入的表,图10B是表示安全策略的图。该示例示出了系统对区域到区域导管的配置。如在先前的示例中描述的,工业资产D1至D8已经被划分为三个安全区域。除了区域分组许可的区域内通信之外,已经配置了两个区域到区域导管——区域1与区域3之间的第一导管以及区域2与区域3之间的第二导管。如在图10A的表中可以看到的,通过将被许可通信的区域指定为导管的两个端点来定义区域到区域导管。
区域到区域导管指定第一区域内的所有设备被许可与第二区域内的任何设备进行通信。根据由用户配置输入指定的优选的安全类型,指令转换组件206可以通过以下操作来实现这些区域到区域导管:更新区域边界处的防火墙设备上的白名单,适当地配置相应区域中的设备的IP地址,向适当的设备分发公钥和/或私钥或证书以许可设备之间的安全通信或者其他这样的配置动作。在本示例中,根据用户的规范,所有区域被配置成使用基于证书的安全。然而,系统允许用户为每个定义的区域单独选择安全类型(例如,证书、PSK、白名单等)。如果需要,只要在给定要配置的工业资产的特定集合的情况下,安全类型的混合是可实施的,设备和区域就可以被配置成使用不同的安全类型。
图11A和图11B示出了可以由安全配置系统202实现的另一示例安全策略。类似于上面结合图10A和图10B描述的示例,三个区域和两个区域到区域(zone-to-zone)导管已经被定义。在该示例中,资产包括支持CIP安全的设备和不支持CIP安全的传统设备的混合,其中传统设备被分配给区域3。如在图11A的配置表中可以看到的,由于传统设备的限制,没有为区域3配置安全性。
图12A和图12B示出了可以由安全配置系统202实现的另一示例安全策略。该示例描绘了两个区域,其中支持CIP安全的一组设备被分配给区域1,而不支持CIP安全的一对传统设备被分配给区域2。此外,区域到区域导管被配置成允许区域之间的通信。在该示例中,区域1被配置成允许使用供应商证书安全在其设备之间进行安全通信。区域到区域导管允许区域1设备与区域2设备之间的通信,该通信由于传统设备不能支持CIP安全是不安全的。
图13A和图13B示出了可以由安全配置系统202实现的另一示例安全策略。类似于一些先前的示例,工业资产的集合被分组到三个区域中。在该示例中,还定义了两个资产到区域(asset-to-zone)导管——设备D2到区域3之间的第一导管以及设备D6与区域3之间的第二导管。如图13A所描绘的导管配置数据所示,通过识别构成导管的相应端点的资产和区域来定义每个资产到区域导管。该配置允许设备D2和D6与区域3中的任何设备安全地通信,同时阻止区域1中的其他设备(D1和D3)与区域3或区域2中的任何设备通信。每个区域内的设备被配置成借助于区域定义彼此安全地通信,所述区域定义被配置成使用用户证书安全来进行区域内数据交换。
应当理解的是,图7至图13中描绘的配置仅旨在是示例性的而非限制性的,并且系统可以便于任何能实施的安全策略的实现,可以根据用于构成一个或更多个工业自动化系统的工业资产的给定集合的区域和导管来定义所述任何能实施的安全策略。如上所述,在给定要针对其实现安全性的资产的集合的情况下,系统能够确定所请求的安全策略或所请求的安全策略的一部分是否可实施。被确定为不能实施的策略请求(例如,由于所请求的安全类型的不适当混合、一个或更多个设备不能支持所请求的安全配置、不能通信或不能共享共同的安全策略的设备供应商的混合等)将被系统在配置期间检测到,并且如果不能实现所请求的配置,则系统将通知用户。
图14示出了根据本申请的一个或更多个实施方式的方法。尽管出于简化说明的目的,本文中示出的方法被示出和描述为一系列动作,但是应当理解和意识到,本发明不受限于动作的顺序,原因是根据本发明,一些动作可以以与本文示出和描述的顺序不同的顺序发生以及/或者与其他动作同时发生。例如,本领域技术人员将理解并意识到,方法可以替选地被表示为诸如状态图中的一系列相互关联的状态或事件。此外,并非所有示出的动作都是实现根据本发明的方法所必须的。此外,当不同的实体制定方法的不同部分时,(一个或多个)交互图可以表示根据本公开内容的方法学或方法。此外,所公开的示例方法中的两个或更多个可以彼此组合地被实现,以实现本文描述的一个或更多个特征或优点。
图14示出了用于使用基于模型的工业安全配置系统来配置和实现工厂范围安全策略的示例方法1400。最初,在1402处,呈现被配置成接收工业安全配置输入的接口。在一个或更多个实施方式中,该接口可以包括交互式分层树结构,该交互式分层树结构允许用户将一个或更多个安全区域定义为树结构的节点并将构成工业系统的相应工业资产分配给相应区域作为区域节点下的子节点。在另一示例中,接口可以包括允许用户以表格格式输入安全区域定义信息的一个或更多个表。这样的表还可以将构成要为其配置安全策略的工业系统的工业资产列成表格,并且允许用户通过输入适当的数据表值来将每个设备与所定义的区域相关联。在其他示例实施方式中,接口可以包括交互式的基于图标的图形显示,所述基于图标的图形显示允许用户经由对表示各种工业资产的图形图标的操纵来将设备分配给所选择的安全区域。例如,接口可以允许用户将工业资产图标拖放到表示所定义的安全区域的所选择的圆圈,从而将图标与所选择的区域相关联。
在1404处,经由该接口接收定义了工业环境内的一个或更多个安全区域并将工业资产与相应的区域相关联的配置输入(例如,使用上面描述的用于输入该安全配置输入的示例技术之一)。每个区域定义了共享共同的安全要求(由经由接口设置的区域级安全属性所定义的)并被许可彼此交换数据的一组工业资产。在1406处,接收为相应的区域设置一个或更多个区域级安全偏好的另外的配置输入。例如,使用该接口,用户可以为每个区域定义要用于该区域内的工业资产之间的区域内数据通信的安全类型(例如,用户证书、供应商证书、PSK、白名单等)。
在1408处,基于在步骤1404和步骤1406处接收到的配置输入来更新安全模型。该模型记录:关于构成要为其实现安全策略的工业系统或工厂的工业资产的信息(例如,设备型号、设备类型、网络地址、设备能力等)、构成工业资产驻留在其上的网络的主干的网络基础设施设备、资产与网络基础设施设备之间的连接信息、由配置信息所指定的区域定义以及/或者其他这样的信息。
在1410处,确定是否已经经由接口接收到导管配置输入。如果已经接收到这样的导管配置输入(在步骤1410处为“是”),则在步骤1412处进一步更新安全模型以包括由接收到的导管配置输入所指定的导管定义信息。该导管配置输入可以指定资产到资产导管、资产到区域导管或者区域到区域导管中的一个或更多个。在一个或更多个实施方式中,接口可以允许用户通过标识导管的两个端点来定义导管,其中每个端点可以包括设备或区域。导管指定两个指定的端点之间被许可的通信线路。
一旦已经接收到导管配置输入并且更新了安全模型,或者如果没有接收到导管配置(在步骤1410处为“否”),则该方法移动至步骤1414,在步骤1414处,(基于对安全模型的分析)确定关于在步骤1404、1406或1410处接收到的配置输入中的任何配置输入是否定义不可实施的安全策略。不可实施的安全策略可以例如包括:将一组安全要求应用于不能支持指定的安全要求的资产的请求、允许不能共享信息的两个工业资产之间的安全数据通信的请求或者其他这样的不可实施的策略。如果系统基于对安全模型的分析来确定一个或更多个不可实施的策略(在步骤1414处为“是”),则该方法移动至步骤1416,在步骤1416处,接口呈现一个或更多个不可实施的策略的通知并返回到步骤1404,以允许用户修改先前输入的配置数据中的任何配置数据以消除不可实施的策略。在一个或更多个实施方式中,系统可以基于先前提供的配置数据生成一个或更多个建议,以用于以产生可实施的工厂范围安全策略的方式修改配置请求。
一旦安全模型已经被完成并且已经被确定成仅包括可实施的安全策略(在步骤1414处为“否”),则该方法进行至步骤1418,在步骤1418处,系统生成用于在工业资产中的一个或更多个上实现的一组设备级安全指令。这些安全配置指令基于对安全模型的分析而生成,安全模型又基于由用户提供的配置输入而生成。在一个或更多个实施方式中,在步骤1402处,生成接口的系统维护转换引擎,该转换引擎能够将在先前步骤中提供的安全策略配置信息转换成设备特定的安全配置指令和供应商特定的安全配置指令,所述设备特定的安全配置指令和供应商特定的安全配置指令当在各个目标资产上被执行时将实现在先前步骤中定义的工厂范围安全策略。这些配置指令可以例如包括:网络地址设置、白名单条目、启用所选择的设备级安全功能的指令、安全密钥或证书信息、向一个或更多个设备指示应当用于安全通信的证书颁发机构的消息、防火墙设备设置或者其他这样的指令。系统的转换引擎可以包括由一系列不同设备类型和供应商支持的安全配置指令的类型和格式的知识,从而允许系统将由模型定义的安全策略适当地映射到一组供应商特定的设备级安全配置指令和型号特定的设备级安全配置指令,以实现所定义的安全策略。在1420处,安全配置指令被发送至工厂现场的适当工业资产(例如,经由工厂网络)。
尽管上述示例主要集中于定义工业设备408之间的许可数据通信的基于模型的安全通信策略的配置,但是模型216还可以被用来配置和分发要由工业设备408实施的安全事件管理策略。在这方面,如上所述生成的模型216将构成工业环境的工业设备408的集合分组到安全区域中,并且进一步定义被认为是操作所必需的区域之间和/或设备之间的任何导管。在一些实施方式中,安全配置系统202还可以接收要应用于由模型216定义的相应区域的安全事件管理策略的用户定义,将这些安全事件策略转换成设备特定的配置数据,并将该配置数据部署到相关设备408。
一般来说,安全事件是控制层上的活动或动作——例如,未授权的活动或者可以指示安全违反的活动——其由工业设备发起通知或对策。作为可以使工业设备或资产发起通知或对策的示例安全事件,恶意外部方可以尝试连接至工厂网络并尝试远程访问受保护的工业设备,以尝试获取专有生产信息或篡改由设备执行的工业过程。虽然该尝试可能被设备阻止——例如由于外部方缺少安全凭证——该尝试可以被设备检测到,设备可以生成定向至适当的工厂人员用于报告未授权的访问尝试的通知。作为安全事件的另一示例,设备可以被配置成监测控制网络(或网络的指定部分)上的过载数据流量的指示,所述过载数据流量的指示可能表明外部方正尝试对网络进行拒绝服务攻击。响应于检测到该升高水平的数据流量(例如,超过定义的阈值、指示异常的数据流量的数据通信活动的量),设备可以生成定向至适当的工厂人员用于报告可能的拒绝服务攻击的通知。未授权的尝试修改控制参数或者在批准范围之外尝试修改控制参数也可以作为安全事件被处理。一般而言,工业设备或工业设备的集合可以被配置成:监测和识别各种安全活动或事件并生成定向至系统管理员、服务器或另一实体用于报告这些安全事件的合适的通知。
通常,设备必须被单独配置成:识别感兴趣的安全事件并响应于检测到这些事件而生成通知。因此,随着工厂环境内可以生成安全事件的设备的数量增加,对于系统管理员而言以如下方式在每个端点设备处有效地管理事件生成策略变得更加具有挑战性:使一致性和针对特定需要调整安全事件策略的需要达到平衡。
安全配置系统202的实施方式可以通过以下操作来解决该问题:允许系统管理员通过利用上述用于安全事件策略的分发和实施的区域和导管安全模型216来集中管理安全事件发起者设备。在这方面,模型216可以用作设备分组构造,该设备分组构造使用集中式系统来简化对安全事件的管理,而不需要系统管理员单独地配置相应的各个设备。
图15是包括用于安全事件策略的系统级管理的安全配置系统202的示例系统架构的图。如在图4中所描绘的示例中,工厂环境包括驻留在工厂网络406上的多个工业设备408。在该示例中,假设已经使用上述技术创建模型216,并且模型216对工业设备408的集合以及设备之间的联网连接进行建模。在一些实施方式中,模型216可以根据设备408的供应商和型号、设备的当前软件或固件版本、当前网络设置(例如,网络地址)、当前安全设置或其他相关信息来定义每个设备408。如先前示例中所描述的,还假设用户已经进一步提交了定义一个或更多个区域并根据区域对工业设备408进行选择性分组的配置输入402(参见图4)。用户还可能已经定义了一个或更多个资产到资产导管、资产到区域导管或者区域到区域导管,这些导管表示要实施的其他通信信任类型。
在该模型216到位的情况下,用户可以向安全配置系统202提交安全事件配置输入1502,所述安全配置系统202描述要由工业设备408实施的系统级安全事件策略并将所选择的安全事件策略分配给由模型216定义的相应安全区域。为此,图形接口组件204可以在客户端设备上生成并显示一个或更多个交互式安全策略定义接口,所述一个或更多个交互式安全策略定义接口允许用户提交描述期望的高级安全事件管理策略的安全事件配置输入1502。在这方面,系统202可以允许用户根据以下来定义这些安全事件策略:要监测的事件、用于响应于检测到安全事件而通知所选择实体的通知偏好、指示哪些所定义的安全区域要被分配事件策略的区域分配、要由设备408响应于检测到安全事件而执行的对策或者其他这样的事件策略特性。指令转换组件206将这些系统级、用户定义的安全事件策略转换成设备级配置指令集,所述设备级配置指令集当在其相应的工业设备408上被执行时将这些设备408配置成执行所定义的安全事件策略。通信组件208将这些设备级配置指令作为安全事件配置数据1504部署到其相应的目标设备408(例如,经由工厂网络406),以便于相应地配置设备408。以这种方式,安全配置系统202将用于实现安全事件处理的设备级管理抽象到系统级,从而允许系统管理员定义系统级安全事件处理策略,然后由系统202将该策略应用于设备级。
由图形接口组件204生成的接口显示可以被配置成:接收用于转换成设备级配置指令的任何合适的系统级安全事件属性作为配置输入1502。例如,用户可以提交定义安全事件的配置输入1502,所述安全事件应当由工业设备408中的一个或更多个监测和报告。这样的事件可以包括但不限于:尝试远程访问工厂设施内的工业设备408或自动化系统;超过定义的阈值、指示对控制网络的拒绝服务攻击的增加的数据流量;对控制参数或安全参数的不许可的修改;在定义的限制之外对控制设置点的不许可的改变或者其他这样的事件。
如果对检测到的安全事件的响应是事件的严重性的函数,则用户还可以针对事件定义与对事件的不同类型的响应相关联的不同的严重性级别。在示例场景中,用户可以定义:响应于检测到控制网络上的数据流量已经超过第一阈值,将第一通知发送至第一组实体;以及响应于检测到数据流量已经超过更高的第二阈值,将提升的通知发送至扩展的一组接收者。
在一些实施方式中,配置输入1502还可以定义事件类别,将一个或更多个定义的事件分配给每个类别,并为整个类别定义通知偏好或对策。以这种方式,事件响应可以被应用于共同事件类别下的多种类型的事件。一般来说,系统202的实施方式可以允许用户根据事件描述、类别、严重性等以基本上任何粒度级别来定义安全事件。
配置输入1502还可以包括:与每个定义的事件相关联的通知偏好、事件类别、事件严重性或其他事件特性。通知偏好可以指定:响应于检测到相关联的安全事件而生成的通知的类型(例如,电子邮件、文本消息、日志条目等);要向其递送通知的一个或更多个接收者或实体;应当向其报告事件的服务器(例如,安全操作中心的服务器);如果要周期性地发送通知直到检测到的安全事件已经被解决,则应当生成通知的频率;或者其他这样的通知偏好。
在一些实施方式中,系统202还可以允许用户定义工业设备408响应于检测到安全事件要执行的对策作为配置输入1502的一部分。示例对策可以例如包括:修改防火墙设备或工业设备408上的通信参数或安全参数;禁用到指定设备的通信或来自指定设备的通信;禁用指定设备上的通信端口;改变自动化系统的操作模式(例如,响应于检测到可能使自动化系统不安全的安全事件而切换到安全操作模式);或者可以由网络和/或工业设备408执行的其他这样的对策。
由于模型216定义了将工业环境划分成包括工业资产和设备408的相关集合的区域,因此系统202可以允许用户定义与在模型216中定义和记录的安全区域相关的系统级安全事件策略,从而将系统级安全事件管理策略分配给指定区域。将安全事件策略分配给所定义的区域使系统202将所定义的策略专门应用于所选择的区域。以这种方式,系统202允许用户分别对每个区域定义单独的安全事件处理指南。图16是示出将安全事件策略1602分配给相应安全区域1604的图。在该示例中,工业设施是酿造工厂,并且模型216已经被生成以使用上述用于定义和建模信任区域的技术将工厂内的工业资产和设备408的分组定义到三个安全区域1604a至1604c中。这些区域1604对应于工厂的不同生产区域——酿造区域(安全区域1)、装瓶区域(安全区域2)和包装区域(安全区域3)。如在前面的示例中所描述的,每个区域1604已经被分配有在与该区域对应的生产区域内工作的工业设备408的子集。
安全配置系统202可以利用模型216中定义的区域信息,以允许用户将不同组的区域特定的安全事件策略1602分配给相应的区域1604。在示例实现中,图形接口组件204可以在通信地连接至系统202的客户端设备上生成并显示图形接口,所述图形接口呈现用于为模型216中定义的每个区域1604定义安全事件策略1602的配置工具。在一些实施方式中,这些接口显示可以呈现与图6A至图6D中描绘的那些类似的交互式配置树,所述交互式配置树包括与模型216中定义的每个区域1604对应的节点(例如,区域节点612)。选择这些区域节点之一可以调用所选择区域的弹出菜单608,该弹出菜单608可以包括用于为所选择区域定义安全事件策略的可选择选项(被提交为配置输入1502)。这些示例接口仅旨在是示例性的,并且应当理解的是,呈现用于为所选择安全区域配置系统级安全事件策略或规则的交互式工具的任何合适的图形接口在本公开内容的一个或更多个实施方式的范围内。
返回到图16,每组安全事件策略1602可以为其相应的区域1604定义:要在区域1604中监测的安全事件(例如,未授权的尝试远程访问设备408、在指示的控制网络上增加的数据流量超过定义的阈值、尝试对控制参数或通信参数执行不许可修改等)、用于响应于检测而报告事件的通知偏好、工业设备408中的一个或更多个响应于检测到事件而要执行的任何对策(例如,禁用通信端口、阻止到指定设备的通信等)或者其他这样的信息。系统202允许用户为相应安全区域1604a至1604c定义单独几组系统级安全事件规则或策略1602a至1602c,并且将针对给定区域1604定义的策略1602专门应用于该区域。
返回到图15,一旦用户已经提交了针对由模型216定义的相应区域定义所有期望的安全事件策略的安全事件配置输入1502,指令转换组件206就将这些系统级、用户定义的安全事件策略转换成安全事件配置数据1504,所述安全事件配置数据1504可以被发送至各个工业和联网设备408,以便于在相应区域中实现安全事件管理策略。为此,指令转换组件206预先配置有被设计成对模型216和安全事件配置输入1502进行分析的一组底层转换规则,确定将实现用户定义的安全事件策略的一组供应商特定的设备配置指令,并将这些安全事件配置指令作为配置数据1504部署到相应的工业和联网设备408,以便于设置针对所有定义的区域实现期望的安全事件处理策略所需的适当的设备级安全和通知参数。
例如,如果针对给定区域所定义的安全事件策略要求:对于增加拒绝服务攻击的特性,控制网络的特定部分上的数据流量的量应当被监测,则指令转换组件206可以基于对模型216的分析来识别要被监测的网络的部分的属性。该分析可以包括:确定被连接至网络的相关部分并能够监测和报告网络的那部分上的数据流量的设备408的子集。如果多个设备408被确定成能够监测和报告网络上的数据业务,则指令转换组件206可以使用可以在业务规则218中定义的合适的选择准则来选择候选设备408之一。可以由系统202用来从用于执行安全事件处理策略的功能的多个候选设备中选择的示例选择准则可以包括但不限于:优选的设备供应商、负载平衡准则(例如,在候选设备中选择具有最低处理工作量的设备的偏好)、选择候选设备中需要最少重新配置量的设备(例如,通过选择已经监测网络的相关部分上的数据流量并因此仅需要配置更新以实现报告或对策的设备)的偏好或者其他这样的准则。一旦合适的设备被选择,指令转换组件206就可以生成所选择目标设备可理解的设备特定的配置指令和供应商特定的配置指令。当由设备执行时,这些配置指令将设备配置成执行安全事件处理功能。
在另一示例中,指令转换组件206可以确定:可以通过配置区域内的多个设备以协作地执行策略中的一个或更多个功能来最优地实现用户为区域定义的安全事件策略,而不是将设备中的所选择的一个设备配置成执行给定安全事件策略的所有必需功能。例如,基于对模型216的分析,指令转换组件206可以确定:区域内的设备408中的一个(例如,防火墙设备或另一类型的网络基础设施设备)最适合于执行期望的安全事件处理策略所需的数据流量监测,而设备408中的另一个最适合于在检测到作为数据流量的函数的安全事件的情况下发送通知。相应地,指令转换组件206可以生成第一组设备配置指令,所述第一组设备配置指令将第一设备配置成执行所需的数据流量监测功能并在数据流量满足指示安全事件的准则时通知第二设备,并且指令转换组件206可以生成第二组第二设备配置指令,所述第二组第二设备配置指令将第二设备配置成响应于由第一设备通知安全事件而执行所需的通知功能。如在先前示例中,考虑到模型216中所记录的每个设备的类型和供应商,指令转换组件206将这些设备配置指令格式化为可由相应目标理解的设备配置指令。
根据由配置输入1502定义的期望的安全事件策略的细节,指令转换组件206可以生成用于将所选择目标设备配置成执行指定的安全事件策略的部分的设备配置指令。这些指令可以将设备配置成执行诸如以下功能:数据流量监测、生成定向至指定的服务器或客户端实体的通知、监测联网设备或控制设备的特定控制参数或通信参数、响应于检测到安全事件而改变受控自动化系统的操作模式、禁用通信端口或者其他这样的功能。
可以由设备408根据安全事件配置数据1504执行的特定重新配置动作可以包括但不限于:修改联网设备或控制设备的通信参数;修改设备的联网地址;在两个所选择的设备之间(例如,出于实现涉及两个设备的协调的安全事件处理协议的目的,在两个工厂现场设备之间;或者出于通知或记录目的,在工厂现场设备与服务器之间)建立新的通信信道;改变工业控制器的控制例程以便于响应于检测到安全事件而切换到指定的操作模式;在所选择的设备上启用特定的安全模式;在所选择的设备中启用基于密钥或基于证书的安全协议;向设备分发加密密钥或证书以便于安全通信(例如,如果设备或区域被配置成用于基于密钥或基于证书的安全性);更新明确地标识被许可与给定设备通信的设备的一个或更多个白名单;修改路由器设置或交换机设置;其他这样的功能。
一旦指令转换组件206已经确定哪些设备408需要重新配置以实现期望的安全事件处理策略并且已经生成用于相应地重新配置这些设备的适当的设备特定的配置指令,通信组件208就将这些指令作为安全事件配置数据1504部署到相关设备408(类似于如上面描述的安全配置数据404的部署)。由于指令转换组件206预先配置有用于各种不同设备供应商的转换指令,因此即使工业资产的集合由来自多个不同供应商的设备构成,安全配置系统202也可以实现用户指定的安全事件处理规则。因此安全配置系统202向用户提供用于为工业资产的集合定义工厂范围安全事件处理策略的简单的、与供应商无关的接口,并且将该策略转换成一组供应商特定的安全配置指令和设备特定的安全配置指令,然后这些安全配置指令被部署到适当的设备408。通过向用户抽象为每个单独设备配置安全事件管理设置和模式的设备特定的技术细节,系统202降低了对用户拥有特定设备类型和供应商的深入技术知识的需要,以便将设备级安全事件管理配置为更大工厂级安全策略的一部分。
尽管上述示例考虑如下场景:模型216最初被构建以定义工业资产之间的安全通信策略并将这些策略提供为安全配置数据404,然后模型216被进一步用来将安全事件处理策略应用于模型216中定义的区域,但是应当理解的是,系统202的一些实施方式可以允许用户创建将工业资产分组到区域中的模型216,并且仅使用该模型216来为区域内的设备定义和应用区域特定的安全事件管理策略,而无需定义安全通信规则和策略。一般来说,上述方法可以用于使用同一模型216来提供安全配置数据404和安全事件配置数据1504两者,或者上述方法可以仅用于提供这些类型的配置数据中的一种。
在一些实施方式中,在工业设备408已经被配置成实现如上所述的区域特定的安全事件处理策略之后,安全配置系统202可以监测设备以确保:为了执行所定义的安全事件策略而设置的参数设置随后不会以违反策略的方式被修改。响应于检测到所尝试的以使得设备违反安全事件策略进行操作的方式(例如,以使得设备停止执行策略的必要功能例如监测功能或通知功能的方式)重新配置设备,系统202可以覆盖所尝试的修改。系统202还可以响应于所尝试的修改向系统管理员发送通知。例如,如果系统先前已经将两个设备配置成在设备之间建立双向通信信道作为安全事件处理策略的一部分并且工厂工程师随后尝试以禁用该通信信道的方式修改设备之一的通信设置,则系统202可以向恢复先前通信设置的设备发送覆盖指令,从而确保现有的安全事件管理策略保持在适当的位置。
如在前面的示例中所描述的,一旦用户已经定义了安全设备通信策略和/或安全事件处理策略并且将这些策略应用于构成工业环境的相关联网设备和工业设备408,可能有必要随后替换根据所定义的安全策略进行操作的设备408或者向在所定义的策略的权限下操作的自动化系统添加新设备。为了降低对系统设计者手动地启动将安全配置数据重新部署到替换设备或新设备的需要,安全配置系统202的一个或更多个实施方式可以支持:响应于检测到新设备的注册而将策略特定的安全配置数据自动分配给新设备。
图17是如下示例架构的图,在该示例架构中,设备408先前已经由安全配置系统202配置成实施所定义的安全策略并且新注册的设备1704根据策略被自动地配置。新设备1704可以是旨在替换在最初部署安全策略时在适当位置的另一设备的替换设备。可替选地,新设备1704可以是被安装作为新的或扩展的自动化系统的一部分的附加设备。在任一情况下,在新设备安装时,新设备1704最初没有被配置成实施已经使用系统202定义的安全通信策略和事件处理策略。
通信组件208被配置成:基于新设备1704在安装时被提交给系统202的设备标识数据1702来检测新设备1704已经被安装在工厂网络406上。设备标识数据1702可以例如标识:设备类型、型号和/或供应商信息;持久设备标识符诸如媒体访问控制(MAC)地址、设备的当前固件版本或者其他这样的信息。如下面将更详细地讨论的,作为设备注册过程的一部分,设备标识数据1702还可以包括由新设备1704从身份认证机构获得的身份凭证(例如,通过安全传输进行的登记或EST、凭证)。照此,设备标识数据1702可以包括验证的认证信息,所述验证的认证信息向系统202指示:设备1704被授权服从所定义的安全策略与现有设备408共同操作。如果设备标识数据1702被验证,则安全配置系统202基于设备标识数据1702确定新设备1704驻留在模型216中所记录的区域和导管的组织中的何处,安全配置系统202考虑到设备在模型216内的作用或位置来确定新设备1704应当如何被配置以遵照现有的安全策略,并且安全配置系统202生成被设计成将新设备1704配置成遵照现有的安全策略的适当的安全配置数据404和/或安全事件配置数据1504。指令转换组件206基于新设备1704的类型和供应商来生成这种新的配置数据404、1504,使得新的配置数据404、1504能够由新设备1704理解和执行。
图18是示出在由模型216定义的安全区域的现有组织的背景下新设备1704的分配的图。在该示例中,新设备1704已经被安装在结合图16所讨论的示例酿造工厂内。在示例场景中,新设备1704可以是替换设备(例如,马达驱动器、工业控制器、网络路由器、服务器等),该替换设备替换在安全配置系统202已经根据用户定义的安全策略最初分发安全配置数据404和/或安全事件配置数据1504时已经安装的较旧设备。在示出的示例中,新设备1704替换先前在设施的酿造区域内执行并且因此在模型216中被定义为作为安全区域1(系统设计者已经将与酿造区域相关联的工业资产分组到其中的区域)的一部分的设备。当新设备1704被安装在网络上并将其设备标识数据1702提交给安全配置系统202时(例如,经由工厂网络406和任何中间网络),指令转换组件206可以将用于新设备的标识数据1702与现有模型216交叉引用以确定新设备1704是否对应于已经在模型216中定义的匹配设备,并且如果新设备1704对应于已经在模型216中定义的匹配设备,则新设备放置在由模型216定义的区域和导管的组织内。
响应于接收到设备的标识数据1702并基于该数据1702和模型216的分析来确定新设备1704是先前在安全区域1内操作的设备的替换,指令转换组件206确定新设备放置在由模型216定义的区域和导管的组织内。基于该信息,指令转换组件206还确定新设备1704应当如何被配置以遵照由模型216定义的系统范围安全通信策略1802以及遵照区域特定的安全事件处理策略1602。
如果新设备1704是其前任设备的直接替换——也就是说,新设备1704与其前任的型号和供应商相同——则指令转换组件206可以向新设备1704发布先前已经被发布给其前任设备的相同安全配置数据404和/或安全事件配置数据1504。可替选地,如果新设备1704执行与其前任设备基本上相同的功能作用但是由不同的产品供应商制造或者新设备1704的型号与其前任设备的型号不同,则指令转换组件206可以生成新的配置数据404、1504,所述新的配置数据404、1504符合可由新设备1704理解的格式并且将新设备1704适当地配置成根据现有的安全通信策略和安全事件处理策略来操作。例如,新设备1704可以具有与其前任设备的配置参数不同的一组可用配置参数,因此不能使用与其前任的参数设置相同的参数设置被配置。因此,指令转换组件206可以鉴于设备标识数据1702和现有安全策略来参考其供应商特定的转换指令以生成适当的安全配置数据,该安全配置数据当在新设备1704上被执行时,将设备1704配置成根据现有安全策略来操作和通信。在图18所描绘的示例中,这包括将新设备1704配置成:与区域1中的所有其他设备安全地通信,与区域2中的设备安全地通信(通过所定义的区域1与区域2之间的区域到区域导管),并支持针对区域1定义的安全事件策略1602a。如果新设备1704被确定为替换在模型216中为其定义了到另一资产或区域的导管的设备,则发布给新设备1704的配置数据还将设备1704配置成与另一资产或区域安全地通信。如在先前的示例中所描述的,一旦已经确定了用于将新设备1704适当地配置成遵照现有安全策略的适当的配置指令,通信组件208就将配置指令作为安全配置数据404和/或安全事件配置数据1504部署定向至新设备1704(例如,经由工厂网络406和任何中间网络)。
在一些情况下,配置新设备1704可能需要对一个或更多个其他设备408进行配置修改,以便于按照现有安全通信策略与新设备1704安全通信。例如,如果新设备1704被分配与其前任设备的网络地址不同的网络地址,则指令转换组件206可以基于现有安全策略来确定哪些其他设备408当前被许可与新设备1704安全地通信,并因此需要重新配置以识别新设备地址并与新设备地址通信。基于这些确定,指令转换组件206为需要这样的重新配置的任何设备生成新的设备配置指令,并向这些设备发布相应的安全配置数据404和/或安全事件配置数据1504。这样的重新配置动作可以例如包括:重新定义对相应工业资产的访问许可、更新数字证书、将新的网络地址分配给相应设备、重新定义网络工作组、重新配置防火墙参数、更新白名单或者其他这样的重新配置动作。
在一些场景中,新安装的设备1704可以不是对先前存在的设备的替换,而是在现有模型216中没有被考虑的新设备1704。这样的新设备1704可以被安装作为生产区域之一内的新安装的自动化系统的一部分或者作为现有自动化系统的重建的一部分。如果安全配置系统202确定新设备1704与在模型216中定义的现有设备不匹配,则指令转换组件206可以根据由系统设计者预定义的“首次接触”策略来配置新设备1704,所述“首次接触”策略要被应用于与已经在模型216中定义的设备不对应的任何经授权的新设备。“首次接触”策略的细节可以取决于系统设计者的总体安全计划和工业操作的细节。例如,系统202可以将新设备1704配置成许可对设备1704的所有不安全访问,或者可以将指定的安全程度应用于该设备作为默认设备级策略。在另一示例中,“首次接触”策略可以将新设备1704分配给针对被识别但尚未被分配决定性安全策略的设备所指定的安全区域。如在先前的示例中,指令转换组件206将根据新设备1704的供应商和型号来生成配置指令并向该设备发布配置指令。
可替选地,在一些实施方式中,安全配置系统202可以被配置成:根据现有的安全通信策略和/或安全事件管理策略来推断要应用于新设备1704的适当配置。例如,基于由新设备1704提交的设备标识数据1702,指令转换组件206可以确定新设备1704已经被安装作为在与模型216中定义的安全区域之一(例如,在图18中所描绘的示例中的区域1)对应的生产区域内的资产。系统202可以基于诸如新设备1704与区域内的现有设备之间的所确定的关系、新设备1704在工厂设施内的报告的位置(其可以对应于所定义的安全区域)或者其他这样的考虑的因素来做出该确定。基于新设备1704要被包括在分配给区域1的资产的组中的这一确定,指令转换组件206可以生成并发送将相关区域1通信策略应用于设备1704的安全配置数据404以及/或者将设备1704配置成实施与区域1相关联的安全事件策略1602a的安全事件配置数据1504。
在一些场景中,在安全区域内检测到新设备1704可以使指令转换组件206在考虑到新设备1704存在的情况下重新评估应当在该区域内如何实现该区域的现有安全通信策略和/或安全事件管理策略。例如,基于新设备1704在该区域内的功能或位置,指令转换组件206可以根据针对该区域所定义的安全事件处理策略来确定新设备1704是比当前执行数据流量监测功能的另一设备更适于执行该功能的候选设备。基于该确定,指令转换组件206可以将新设备1704重新配置成执行数据流量监测,并且将先前的监测设备重新配置成停止这些监测活动。系统202还将重新配置反映流量监测功能转移到新设备1704所必需的任何其他设备。在添加新设备1704的情况下,任何合适的准则可以被用于确定是否更新设备配置以及如何更新设备配置,包括但不限于负载平衡准则、设备能力的相对评估或者其他这样的因素。
在一些实施方式中,作为设备注册过程的一部分,由新设备1704提交的设备标识数据1702最初可以从身份认证机构被获得。例如,如图1的示例架构中所示,可由工厂网络116上的设备访问的身份认证服务器130可以驻留在工厂设施内的网络(例如,办公网络108或工厂网络116)上或者驻留在云平台上。该身份认证服务器130可以被配置成:从新设备接收注册请求,并且响应于验证设备1704被授权在工厂设施内操作,向该设备发布设备身份凭证。在这方面,身份认证服务器130充当整个工厂设施的共享信任根。在示例实施方式中,身份认证服务器130可以支持通过安全传输(EST)协议进行注册,以管理设备身份凭证并向工业设备发布设备身份凭证。
在一些实施方式中,由新设备1704从身份认证服务器130获得的设备身份凭证可以被包括在设备标识数据1702中,该设备标识数据1702随后被提供给安全配置系统202以发起将安全配置数据分配给设备1704。在这样的实施方式中,作为设备标识数据1702的一部分的设备身份凭证的存在向安全配置系统202指示:设备1704被授权并且应当被分配安全配置以根据现有策略许可与其他系统设备进行通信。
在其他实施方式中,作为设备注册过程的一部分,身份认证服务器130可以直接与安全配置系统202一起工作,以向新设备1704发布适当的安全配置。图19是示出示例设备注册和安全配置过程的过程流程图。当新设备1704被安装在工厂网络406上并被通电时或者以使得该设备可访问身份认证服务器130和安全配置系统202的方式另外被联机时,该过程被发起。最初,当新设备1704被安装时,设备1704通过定位身份认证服务器130并向身份认证服务器130发送对身份的请求来发起设备注册过程(步骤1)。在一些实施方式中,这可以包括对EST身份凭证的请求。作为请求的一部分,新设备1704可以提供设备信息——例如,设备的类型、型号、供应商、持久设备标识符诸如MAC地址等——设备信息可以由身份认证服务器130用于确定设备1704是否被授予身份凭证并被配置成用于安全通信和事件管理。
响应于接收到身份请求,身份认证服务器130确定设备1704是否接收安全策略并被许可在工业环境内进行操作。在一些实施方式中,如果由设备1704提交的设备信息的一项或更多项(例如,设备型号、供应商、持久设备标识符等)被包括在许可设备的预定义列表(例如,许可替换设备的列表、经验证的设备供应商的列表等)上,则身份认证服务器130可以许可设备的操作。如果设备还没有被包括在经批准设备的预定义列表上,则身份认证服务器130还可以支持用于允许系统管理员明确批准设备1704的使用的规定。用于确定设备1704是否被许可操作的其他方法也在一个或更多个实施方式的范围内。
响应于确定新设备1704被许可在工厂环境中进行操作,身份认证服务器130向新设备1704发布设备身份凭证1902(步骤1a)。如上所述,这些设备身份凭证1902可以包括EST身份凭证。然而,其他类型的身份凭证也在一个或更多个实施方式的范围内。
在这个阶段,在将新设备1704配置成遵照模型216中定义的现有安全策略之前,设备身份凭证1902用作设备的首次接触身份或隔离证书。这些凭证1902将网络标识分配给设备1704,同时禁止设备1704与网络上的其他设备之间的通信,直到安全配置系统202将设备1704配置成遵照由模型216定义的现有安全策略为止。
当身份认证服务器130——其发起设备身份凭证1902的提供——已经批准设备进行操作时,身份认证服务器130还向安全配置系统202通知新设备1704(步骤2)。在各种实现方式中,身份认证服务器130和安全配置系统202两者可以驻留在同一网络(例如,工厂网络116或办公网络108)上或者可以驻留在分开但连接的网络上,使得两个系统可以以双向方式交换消息。在一些实现中,身份认证服务器130或安全配置系统202中的一者或两者可以作为基于云的服务在云平台上执行,并且可以被工厂现场的设备408经由到云平台的安全连接安全地访问。
响应于从身份认证服务器130接收到新设备的通知,安全配置系统202确定哪些安全策略(安全通信策略和安全事件管理策略)适用于新设备1704(步骤3)。如上所述,安全配置系统202可以基于如下确定来确定哪些策略适用于新设备1704:新设备1704是现有设备的替换并因此对应于已经在安全模型216中定义的设备还是尚未在模型216中表现的新安装设备的一部分。可以在该步骤期间执行上述用于确定设备1704是替换设备还是新安装设备以及用于基于该确定来为设备1704选择适当的安全策略的示例方法。
如上面结合图17和图18所描述的,在确定哪些现有安全策略适用于新设备时(例如,基于设备1704被分配到的区域、被定义成到设备1704的导管或从设备1704的导管、适用于设备的区域的安全事件管理策略等),安全配置系统202生成适当的配置指令集,该适当的配置指令集被设计成:将设备1704配置成根据适用的安全策略进行操作,并且安全配置系统202将配置指令作为安全配置数据404和/或安全事件配置数据1504发送至设备。如在先前示例中所描述的,安全配置系统202还可以在此步骤期间基于新设备1704的添加来重新配置其他设备,以优化一个或更多个现有安全策略的设备级实现(例如,在共同执行安全事件管理策略的设备之间平衡处理负载、或者基于对哪些设备最适合于执行安全策略的某些功能的重新评估)
用于识别新的工业设备或替换工业设备并将该设备自动地调试成根据预定义的系统范围安全策略或区域特定的安全策略进行操作的该过程可以消除对单独手动地将设备配置成根据高级安全策略或规则进行操作的需要。在检测到工厂设施内这些新设备的安装时,通过向新设备应用先前定义的安全策略,与身份认证服务器130一起作用的安全配置系统202可以允许在安全策略管理与工业设备或联网设备的物理替换或安装之间的时间上的分离。因此,当新设备被添加以将设备配置成遵照所定义的安全策略时,安全特权管理员不必在场。
图20至图21B示出了根据本申请的一个或更多个实施方式的示例方法。尽管出于简化说明的目的,本文中示出的方法被示出和描述为一系列动作,但是应当理解和意识到,本发明不受限于动作的顺序,原因是根据本发明,一些动作可以以与本文示出和描述的顺序不同的顺序发生以及/或者与其他动作同时发生。例如,本领域技术人员将理解并意识到,方法可以替选地被表示为诸如状态图中的一系列相互关联的状态或事件。此外,并非所有示出的动作都是实现根据本发明的方法所必须的。此外,当不同的实体制定方法的不同部分时,(一个或多个)交互图可以表示根据本公开内容的方法学或方法。此外,所公开的示例方法中的两个或更多个可以彼此组合地被实现,以实现本文描述的一个或更多个特征或优点。
图20示出了用于使用基于模型的工业安全配置系统来配置和实现安全事件管理策略的示例方法2000。最初,在2002处,基于将工业环境内的工业资产的分组定义为安全区域的安全模型来呈现接口。该接口被配置成接收定义系统级安全事件管理策略的配置输入。在一些实施方式中,接口可以包括交互式分层树结构,该交互式分层树结构允许用户为由模型定义的相应安全区域定义安全事件管理策略。用于接收安全事件管理策略偏好的其他接口格式也在一个或更多个实施方式的范围内。安全事件配置输入可以以与要被配置成支持策略的工业资产或设备的特定型号或供应商无关的格式被提交。示例配置输入可以包括:要监测的安全事件的类型的定义、用于响应于检测到安全事件而传送通知的通知偏好、要由设备响应于检测到安全事件而执行的对策或者其他这样的信息。
在2004处,经由与在步骤2002处呈现的接口的交互来接收配置输入。配置输入可以定义要应用于由安全模型定义的相应安全区域的期望的安全事件管理策略。
在2006处,确定由在步骤2004处接收到的配置输入所定义的安全事件策略是否不可实施。不可实施的安全事件管理策略可以例如包括:监测设备的当前架构不能检测的安全事件的策略、向相关区域内的任何设备不能访问的服务器或客户端设备发送通知的策略、执行相关区域内的任何设备不能执行的对策的策略或者其他这样的不可实施的策略。如果系统识别一个或更多个不可实施策略(在步骤2006处为“是”),则该方法移动至步骤2008,在步骤2008处,接口呈现一个或更多个不可实施策略的通知并返回到步骤2004,以允许用户修改任何先前输入的配置数据,以消除不可实施的策略。在一些实施方式中,系统可以基于先前提供的配置数据来生成一个或更多个建议,以用于以产生可实施策略的方式修改所提出的安全事件管理策略。
一旦配置输入已经被确定成仅定义可实施的安全策略(在步骤2006处为“否”),该方法就进行至步骤2010,在步骤2010处,基于在步骤2004处接收到的配置输入来更新安全模型以记录区域特定的安全事件管理策略。在2012处,确定区域特定的安全事件管理策略的定义是否完成。如果要定义另外的策略(在步骤2012处为“否”),则该方法返回到步骤2004,并且步骤2004至步骤2012被重复,直到所有期望的策略已经被输入。
当所有期望的策略已经被输入时(在步骤2012处为“是”),该方法进行至步骤2014,在步骤2014处,系统为针对其已经定义了安全事件管理策略的每个安全区域生成设备级安全事件配置指令集以供在该区域内的工业资产中的一个或更多个上实现。这些安全事件配置指令是基于对安全模型的分析而生成的,包括由用户在步骤2004处提供的配置输入所定义的安全事件管理策略。在一个或更多个实施方式中,在步骤2002处生成接口的系统可以维护转换引擎,该转换引擎能够将由配置输入定义的安全事件管理策略转换为设备特定的安全事件配置指令和供应商特定的安全事件配置指令,所述设备特定的安全事件配置指令和供应商特定的安全事件配置指令当在各个目标设备上被执行时,将实现区域特定的安全事件管理策略。这些配置指令可以例如包括:网络地址设置、自动通知设置、将设备配置成监测指定安全事件的指令、白名单条目、启用所选择的设备级安全功能的指令、防火墙设备设置或者其他这样的指令。系统的转换引擎可以包括由一系列不同设备类型和供应商支持的安全事件配置指令的类型和格式的知识,从而允许系统将由模型定义的安全事件管理策略适当地映射到供应商特定的设备级安全事件配置指令集和型号特定的设备级安全事件配置指令集,以实现所定义的安全策略。在2016处,在步骤2014处生成的安全事件配置指令被发送至工厂现场上适当的工业资产(例如,经由工厂网络)。
图21A示出了用于将新安装的工业设备自动配置成遵照先前定义的安全通信策略和安全事件管理策略进行操作的示例方法2100A的第一部分。最初,在步骤2102处,接收标识已经被安装在工业设施内的新工业设备的设备标识数据。例如,可以由管理工厂环境的安全策略的安全配置系统接收设备标识数据。在一些系统配置中,可以从设备本身接收设备标识数据,设备在安装和加电时提交其标识信息。可替选地,可以从身份认证服务器接收设备标识数据,身份认证服务器管理在工厂设施内操作的设备的设备认证和身份凭证。设备标识数据可以例如包括:指示设备被授权与工厂设施内的其他设备一起操作(服从现有的安全通信策略)的有效认证信息;设备的类型、型号和/或供应商信息;持久设备标识符诸如MAC地址;或者其他这样的设备标识信息。
在2104处,确定在步骤2102处接收到的设备标识数据是否对应于被许可在工厂设施内操作的经授权设备。在一些场景中,可以基于如下确定来验证设备的授权:设备标识数据对应于经批准设备的列表上所包括的设备。设备还可以被身份认证服务器验证,身份认证服务器可以向安全配置系统通知该设备被许可操作。如果该设备未被授权(在步骤2014处为“否”),则该方法结束。可替选地,如果该设备被授权,则该方法进行至步骤2106,在步骤2106处,将在步骤2102处接收到的设备标识数据与安全模型、用于资产和区域的安全通信策略以及/或者为每个区域定义的安全事件管理策略进行交叉引用,所述安全模型将工业环境内的工业资产的分组定义为安全区域。该交叉引用确定新设备是替换了先前存在的设备并因此在安全模型中具有相应的表示还是新设备是尚未记录在安全模型中的新安装的一部分。
在2108处,基于在步骤2106处执行的交叉引用,确定新设备是否是在安全模型中定义的先前操作设备的替换设备。如果发现设备是替换设备(在步骤2108处为“是”),则该方法进行至步骤2120,在步骤2120处,生成设备级安全策略配置指令以供在新设备上实现。该配置指令可以基于安全模型及其相关联的安全通信策略和/或安全事件管理策略而生成,并且该配置指令被设计成将先前设备的等效安全配置应用于新设备。如果新设备的型号或供应商与其前任设备的型号或供应商不同,则系统可以在必要时利用转换规则来确定配置指令的合适格式,该配置指令的合适格式可由新设备理解,并且该配置指令的合适格式实现等效安全设置(例如,安全通信设置和/或安全事件管理设置)。在2122处,在步骤2120处生成的配置指令被发送至新设备,以便于将设备配置成根据在安全模型中定义的安全策略进行通信和操作。
如果在步骤2108处确定新设备不是替换设备而是尚未记录在安全模型中的新安装的一部分(在步骤2108处为“否”),则该方法进行至图21B中示出的第二部分2100B。在2124处,基于安全模型及其相关联的安全通信策略和/或安全事件管理策略来生成设备级安全策略配置指令以供在新设备上实现。在这种情况下,配置指令被配置成:将针对未被识别的设备(例如,被许可操作但尚未在安全模型中被建模的设备)定义的默认安全配置应用于新设备。该默认安全配置可以基于将新设备分配给如下经建模的安全区域,所述经建模的安全区域是针对未被识别的设备而保留的,并且已经为所述经建模的安全区域定义了一组默认安全通信策略和/或安全事件管理策略。在2126处,在步骤2124处生成的配置指令被发送至新设备,以便于将设备配置成根据针对未被识别的设备的默认安全策略进行通信和操作。
本文描述的实施方式、系统和部件以及可以实现本说明书中阐述的各个方面的工业控制系统和工业自动化环境可以包括计算机或网络组件,例如能够跨网络进行交互的服务器、客户端、可编程逻辑控制器(PLC)、自动化控制器、通信模块、移动计算机、无线部件、控制部件等。计算机和服务器包括一个或更多个处理器——采用电信号执行逻辑运算的电子集成电路——被配置成执行存储在诸如随机存取存储器(RAM)、只读存储器(ROM)、硬盘驱动器以及可移除存储器设备的介质中的指令,所述可移除存储器设备可以包括存储棒、存储卡、闪存驱动器、外部硬盘驱动器等。
类似地,本文使用的术语PLC或自动控制器可以包括可以跨多个部件、系统和/或网络被共享的功能。作为示例,一个或更多个PLC或自动化控制器可以跨网络与各种网络设备进行通信和协作。这可以包括经由网络进行通信的基本上任何类型的控制器、通信模块、计算机、输入/输出(I/O)设备、传感器、致动器、仪表和人机接口(HMI),所述网络包括控制网络、自动化网络和/或公共网络。PLC或自动化控制器还可以与各种其他设备进行通信并对各种其他设备进行控制,所述各种其他设备例如是包括模拟模块、数字模块、经编程模块/智能I/O模块的标准或安全等级的I/O模块、其他可编程控制器、通信模块、传感器、致动器、输出设备等。
网络可以包括诸如因特网的公共网络、内联网和诸如通用工业协议(CIP)网络的自动化网络,所述通用工业协议(CIP)网络包括设备网、控制网和以太网/IP。其他网络包括以太网、DH/DH+、远程I/O、现场总线、Modbus、过程现场总线、CAN、无线网络、串行协议、近场通信(NFC)、蓝牙等。此外,网络设备可以包括各种可能性(硬件部件和/或软件组件)。这些包括诸如具有虚拟局域网(VLAN)能力的交换机、LAN、WAN、代理、网关、路由器、防火墙、虚拟专用网(VPN)设备、服务器、客户端、计算机、配置工具、监测工具和/或其他设备的组件。
为了提供所公开的主题的各个方面的上下文,图22和图23以及以下讨论旨在提供对可以实现所公开的主题的各个方面的合适环境的简要、概括的描述。尽管上面已经在可以运行在一个或更多个计算机上的计算机可执行指令的总体背景下描述了各个实施方式,但是本领域技术人员将认识到,各个实施方式也可以结合其他程序模块被实现以及/或者被实现为硬件和软件的组合。
通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、组件、数据结构等。此外,本领域技术人员将理解的是,本发明的方法可以用其他计算机系统配置来实践,所述其他计算机系统配置包括单处理器或多处理器计算机系统、小型计算机、大型计算机、物联网(IoT)设备、分布式计算系统以及个人计算机、手持式计算设备、基于微处理器的或可编程消费电子产品等,它们中的每一个都可以可操作地耦接至一个或更多个相关联的设备。
在本文中所示出的实施方式也可以在分布式计算环境中被实践,在分布式计算环境中,某些任务由通过通信网络而链接的远程处理设备执行。在分布式计算环境中,程序模块可以位于本地存储器存储设备和远程存储器存储设备二者中。
计算设备通常包括各种介质,所述各种介质可以包括计算机可读存储介质、机器可读存储介质和/或通信介质,这两个术语在本文中如下彼此不同地被使用。计算机可读存储介质或机器可读存储介质可以是可以由计算机访问的任何可用存储介质,并且包括易失性介质和非易失性介质二者、可移除介质和不可移除介质二者。作为示例而非限制,计算机可读存储介质或机器可读存储介质可以结合用于存储诸如计算机可读或机器可读指令、程序模块、结构化数据或非结构化数据的信息的任何方法或技术被实现。
计算机可读存储介质可以包括但不限于:随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、闪存或其他存储器技术、致密盘只读存储器(CD-ROM)、数字多功能盘(DVD)、蓝光盘(BD)或其他光盘存储装置、磁带盒、磁带、磁盘存储装置或其他磁存储设备、固态驱动器或其他固态存储设备、或者可以被用于存储期望信息的其他有形和/或非暂态介质。就这一点而言,在本文中如被应用于存储装置、存储器或计算机可读介质的术语“有形”或“非暂态”应该被理解为仅排除传播暂态信号本身作为修饰语,并且不放弃对不仅仅传播暂态信号本身的所有标准的存储装置、存储器或计算机可读介质的权利。
计算机可读存储介质可以由一个或更多个本地计算设备或远程计算设备例如经由访问请求、查询或其他数据检索协议被访问,以针对通过介质存储的信息进行各种操作。
通信介质通常以数据信号例如经调制的数据信号例如载波或其他传输机制来体现计算机可读指令、数据结构、程序模块或其他结构化或非结构化的数据,并且包括任何信息传递或传输介质。术语“经调制的数据信号”或信号是指以在一个或更多个信号中对信息进行编码的方式设置或改变其特性中的一个或更多个特性的信号。作为示例而非限制,通信介质包括诸如有线网络或直接有线连接的有线介质和诸如声学、RF、红外的无线介质以及其他无线介质。
再次参照图22,用于实现本文描述的各方面的各个实施方式的示例环境2200包括计算机2202,计算机2202包括处理单元2204、系统存储器2206和系统总线2208。系统总线2208将包括但不限于系统存储器2206的系统部件耦接至处理单元2204。处理单元2204可以是各种可商购处理器中的任何处理器。也可以采用双微处理器和其他多处理器架构作为处理单元2204。
系统总线2208可以是若干类型的总线结构中的任何总线结构,所述总线结构还可以使用各种可商购的总线架构中的任何总线架构来互连至存储器总线(带有存储器控制器或不带有存储器控制器)、外围总线和局部总线。系统存储器2206包括ROM 2210和RAM2212。基本输入/输出系统(BIOS)可以被存储在诸如ROM、可擦除可编程只读存储器(EPROM)、EEPROM的非易失性存储器中,其中该BIOS包含有助于例如在启动期间在计算机2202内的元素之间传递信息的基本例程。RAM2212还可以包括诸如用于对数据进行缓存的静态RAM的高速RAM。
计算机2202还包括内部硬盘驱动器(HDD)2214(例如,EIDE、SATA)、一个或更多个外部存储设备2216(例如,磁性软盘驱动器(FDD)2216、存储棒或闪存驱动器读取器、存储卡读取器等)以及光盘驱动器2220(例如,其可以从CD-ROM盘、DVD、BD等读取或者向CD-ROM盘、DVD、BD等写入)。虽然内部HDD 2214被示出为位于计算机2202内,但是内部HDD 2214还可以被配置成在合适的机架(未示出)中供外部使用。另外,虽然在环境2200中未示出,但是除了HDD 2214以外还可以使用固态驱动器(SSD),或者用固态驱动器(SSD)代替HDD 2214。HDD2214、(一个或多个)外部存储设备2216和光盘驱动器2220可以分别通过HDD接口2224、外部存储接口2226和光学驱动器接口2228连接至系统总线2208。用于外部驱动器实现的接口2224可以包括通用串行总线(USB)和电气与电子工程师协会(IEEE)1394接口技术中的至少一个或两者。其他外部驱动器连接技术在本文描述的实施方式的考虑内。
驱动器及其相关联的计算机可读存储介质提供数据、数据结构、计算机可执行指令等的非易失性存储。对于计算机2202,驱动器和存储介质以合适的数字格式适应任何数据的存储。尽管以上对计算机可读存储介质的描述涉及相应类型的存储设备,但本领域技术人员应当理解的是,也可以在示例操作环境中使用计算机可读的其他类型的存储介质,无论所述存储介质是当前存在的还是将来要开发的,此外,任何这样的存储介质都可以包含用于执行本文所描述的方法的计算机可执行指令。
多个程序模块可以被存储在驱动器和RAM 2212中,所述多个程序模块包括操作系统2230、一个或更多个应用程序2232、其他程序模块2234和程序数据2236。操作系统、应用、模块和/或数据中的全部或部分也可以被缓存在RAM 2212中。本文描述的系统和方法可以利用各种可商购的操作系统或操作系统的组合来实现。
计算机2202可以可选地包括仿真技术。例如,管理程序(未示出)或其他中介可以对用于操作系统2230的硬件环境进行仿真,并且仿真的硬件可以可选地与图22中示出的硬件不同。在这样的实施方式中,操作系统2230可以包括在计算机2202处托管的多个虚拟机(VM)中的一个VM。此外,操作系统2230可以为应用程序2232提供运行时环境,例如Java运行时环境或.NET框架。运行时环境是使得应用程序2232能够在包括该运行时环境的任何操作系统上运行的一致执行环境。类似地,操作系统2230可以支持容器,并且应用程序2232可以是容器的形式,所述容器是包括例如代码、运行时间、系统工具、系统库和关于应用的设置的轻量级、独立的、可执行的软件包。
此外,可以用安全模块例如可信处理模块(TPM)来启用计算机2202。例如,关于TPM,引导组件对时间上紧接的引导组件进行哈希处理,并且在加载下一个引导组件之前等待结果与安全值的匹配。该过程可以发生在计算机2202的代码执行栈中的任何层处,例如,被应用在应用执行级别处或操作系统(OS)内核级别处,从而使实现在任何代码执行级别处的安全性。
用户可以通过一个或更多个有线/无线输入设备例如键盘2238、触摸屏2240以及诸如鼠标2242的定点设备将命令和信息输入至计算机2202中。其他输入设备(未示出)可以包括麦克风、红外(IR)遥控器、射频(RF)遥控器、或其他遥控器、操纵杆、虚拟现实控制器和/或虚拟现实头戴式耳机、游戏垫、触摸笔、图像输入设备(例如,(一个或多个)摄像机)、姿势传感器输入设备、视觉移动传感器输入设备、情绪或面部检测设备、生物识别输入设备(例如,指纹或虹膜扫描仪)等。这些输入设备和其他输入设备通常通过可以耦接至系统总线2208的输入设备接口2244连接至处理单元2204,但也可以通过其他接口例如并行端口、IEEE1394串行端口、游戏端口、USB端口、IR接口、接口等进行连接。
监测器2244或其他类型的显示设备也可以经由诸如视频适配器2246的接口而连接至系统总线2208。除了监测器2244以外,计算机通常包括其他外围输出设备(未示出),例如扬声器、打印机等。
计算机2202可以使用经由至诸如(一个或多个)远程计算机2248的一个或更多个远程计算机的有线和/或无线通信的逻辑连接在联网环境中进行操作。(一个或多个)远程计算机2248可以是工作站、服务器计算机、路由器、个人计算机、便携式计算机、基于微处理器的娱乐装置、对等设备或其他通用网络节点,并且通常包括关于计算机2202所描述的许多或所有元件,但是为了简明起见仅示出了存储器/存储设备2250。所描绘的逻辑连接包括至局域网(LAN)2252和/或更大的网络例如广域网(WAN)2254的有线/无线连接。这样的LAN和WAN联网环境在办公室和公司中是常见的,并且促进了诸如内联网的企业范围的计算机网络,所有这些都可以连接至全球通信网络例如因特网。
当在LAN联网环境中被使用时,计算机2202可以通过有线和/或无线通信网络接口或适配器2256连接至局域网2252。适配器2256可以促进至LAN 2252的有线或无线通信,LAN2252还可以包括布置在其上的无线接入点(AP),以用于在无线模式下与适配器2256进行通信。
当在WAN联网环境中被使用时,计算机2202可以包括调制解调器2258,或者可以经由用于通过WAN 2254建立通信的其他手段例如通过因特网来连接至WAN 2254上的通信服务器。可以是内部的或外部的并且可以是有线设备或无线设备的调制解调器2258可以经由输入设备接口2248连接至系统总线2208。在联网环境中,关于计算机2202或其部分描述的程序模块可以被存储在远程存储器/存储设备2250中。应当理解的是,所示的网络连接是示例,并且在计算机之间建立通信链路的其他手段可以被使用。
当在LAN或WAN联网环境中被使用时,除了如上所述的外部存储设备2216之外,计算机2202还可以访问云存储系统或其他基于网络的存储系统,或者代替如上所述的外部存储设备2216,计算机2202可以访问云存储系统或其他基于网络的存储系统。通常,可以例如分别通过适配器2256或调制解调器2258通过LAN 2252或WAN 2254来建立计算机2202和云存储系统之间的连接。在将计算机2202连接至相关联的云存储系统时,外部存储接口2226可以在适配器2256和/或调制解调器2258的帮助下,如管理其他类型的外部存储一样来管理由云存储系统提供的存储。例如,外部存储接口2226可以被配置成提供对云存储源的访问,就好像这些源被物理地连接至计算机2202一样。
计算机2202能够进行操作以与可操作地布置在无线通信中的任何无线设备或实体进行通信,所述任何无线设备或实体例如是打印机、扫描仪、台式计算机和/或便携式计算机、便携式数据助理、通信卫星、与以无线方式可检测的标签相关联的任何装备或位置(例如,亭、报摊、商店货架等)以及电话。这可以包括无线保真(Wi-Fi)和无线技术。因此,通信可以是如常规网络的预定义结构或者仅仅是至少两个设备之间的自组织通信(ad hoc communication)。
图23是所公开的主题可以与之进行交互的样本计算环境2300的示意性框图。样本计算环境2300包括一个或更多个客户端2302。客户端2302可以是硬件和/或软件(例如,线程、进程、计算设备)。样本计算环境2300还包括一个或更多个服务器2304。服务器2304也可以是硬件和/或软件(例如,线程、进程、计算设备)。服务器2304可以容纳线程,以通过采用例如本文描述的一个或更多个实施方式来执行变换。客户端2302与服务器2304之间的一种可能的通信可以是适于在两个或更多个计算机进程之间被传输的数据包的形式。样本计算环境2300包括可以被用于促进(一个或多个)客户端2302与(一个或多个)服务器2304之间的通信的通信框架2306。(一个或多个)客户端2302可操作地连接至可以被用于存储(一个或多个)客户端2302的本地信息的一个或更多个客户端数据存储装置2308。类似地,(一个或多个)服务器2304可操作地连接至可以被用于存储服务器2304的本地信息的一个或更多个服务器数据存储装置2310。
以上所描述的内容包括本发明的示例。当然,不可能为了描述所公开的主题而描述每个可设想到的部件或方法的组合,但是本领域普通技术人员可以认识到,本发明的许多另外的组合和排列是可能的。因此,所公开的主题旨在涵盖落入所附权利要求的精神和范围内的所有这样的改变、修改和变型。
尤其是关于由上面描述的部件、设备、电路、系统等执行的各种功能,除非另外指出,否则用于描述这样的部件的术语(包括对“手段”的提及)旨在对应于执行所描述的部件的指定功能的任何部件(例如,功能上等同的任何部件),即使在结构上不等同于所公开的结构,该部件仍然执行本文中示出的所公开主题的示例性方面中的功能。就这一点而言,还应当认识到,所公开的主题包括系统以及具有用于执行所公开的主题的各种方法的动作和/或事件的计算机可执行指令的计算机可读介质。
此外,虽然可能仅针对若干实现中的一个实现公开了所公开的主题的特定特征,但是这样的特征可以与其他实现的一个或更多个其他特征进行组合,这对于任何给定应用或特定应用而言可能是期望且有利的。此外,就在说明书或权利要求书中使用术语“包括(includes)”和“包括(including)”及其变型而言,这些术语旨在以类似于术语“构成”的方式包括在内。
在本申请中,词语“示例性”被用来表示用作示例、实例或说明。在本文中被描述为“示例性”的任何方面或设计不一定被解释为比其他方面或设计优选或有利。更确切地,词语“示例性”的使用旨在以具体方式呈现概念。
可以使用标准编程和/或工程技术将本文描述的各个方面或特征实现为方法、装置或制品。如本文所使用的术语“制品”旨在涵盖能够从任何计算机可读设备、载体或介质访问的计算机程序。例如,计算机可读介质可以包括但不限于:磁存储设备(例如,硬盘、软盘、磁条……)、光盘[例如,致密盘(CD)、数字多功能盘(DVD)……]、智能卡和闪存设备(例如,卡、棒、密钥驱动器……)。
Claims (20)
1.一种用于将工业设备配置成遵照安全策略的系统,包括:
存储器,其存储可执行组件;以及
一个或更多个处理器,其可操作地耦接至所述存储器,所述一个或更多个处理器执行所述可执行组件,所述可执行组件包括:
通信组件,其被配置成:接收标识已经被安装在工业设施中的新工业设备的设备标识数据,并且基于所述设备标识数据来确定所述新工业设备是否被许可在所述工业设施内进行操作;以及
指令转换组件,其被配置成:响应于确定所述新工业设备被许可在所述工业设施内进行操作并且对应于在安全模型中表示的设备,从在所述安全模型中定义的一组安全策略中选择针对在所述安全模型中表示的设备定义的安全策略,并且生成配置指令,所述配置指令被配置成在所述新工业设备上设置一个或更多个配置设置,所述一个或更多个配置设置使所述新工业设备根据所选择的安全策略进行操作,以及
响应于确定所述新工业设备不对应于在所述安全模型中表示的设备,生成所述配置指令以设置所述一个或更多个配置设置,以使得所述新工业设备遵照在所述安全模型中针对未被建模的设备定义的默认安全策略,
其中,所述通信组件还被配置成向所述新工业设备发送所述配置指令。
2.根据权利要求1所述的系统,其中,
所述安全模型将工业设备的分组定义为安全区域,
所述安全模型还定义至少一个导管,所述至少一个导管指定所述安全区域中的第一安全区域与所述安全区域中的第二安全区域之间、所述工业设备中的第一工业设备与所述工业设备中的第二工业设备之间或者所述安全区域之一与所述工业设备之一之间的被允许的通信路径,以及
所述一组安全策略指定:被分组到所述安全区域中的共同安全区域的工业设备的子集被许可彼此进行通信;并且除非由所述至少一个导管许可,否则被分组到所述安全区域中的共同安全区域的工业设备的子集被阻止与所述共同安全区域之外的设备进行通信。
3.根据权利要求2所述的系统,其中,所述指令转换组件被配置成:
基于所述设备标识数据来确定在所述安全模型中定义的安全区域中的所述新工业设备被分配给的安全区域,以及
选择针对该安全区域定义的、区域特定的安全策略作为要被应用于所述新工业设备的安全策略。
4.根据权利要求2所述的系统,其中,
所述安全模型还为所述安全区域中的安全区域定义要在所述安全区域内应用的安全事件管理策略,以及
所述指令转换组件被配置成:响应于基于所述设备标识数据确定所述新工业设备被分配给所述安全区域,将所述配置指令配置成根据所述安全事件管理策略来设置所述一个或更多个配置设置。
5.根据权利要求4所述的系统,其中,所述安全事件管理策略定义:
要应用所述安全事件管理策略的安全区域,以及
以下中的至少一个:要发起通知的生成的安全事件、要发起所述通知的生成的安全事件的最低严重性级别、所述通知要被定向至的一个或更多个接收设备或实体、或者响应于检测到所述安全事件而要执行的对策。
6.根据权利要求1所述的系统,其中,所述设备标识数据由所述新工业设备提交并且包括以下中的至少一个:所述新工业设备的类型、型号或供应商;所述新工业设备的持久设备标识符;或者安装在所述新工业设备上的当前固件版本。
7.根据权利要求1所述的系统,其中,所述设备标识数据由身份认证服务器提交并且包括设备凭证,所述设备凭证指示所述新工业设备被许可在所述工业设施内进行操作。
8.根据权利要求1所述的系统,其中,所述配置指令被配置成将以下中的至少一个设置为所述一个或更多个配置设置:所述新工业设备的网络地址、所述新工业设备的通信参数、白名单条目、启用设备级安全功能的设置、要用于安全通信的证书颁发机构的身份、网络基础设施设备的设备设置、所述新工业设备的控制参数、控制例程配置、或者启用基于密钥或基于证书的安全协议的设置。
9.一种用于向工业设备提供安全策略的方法,包括:
由包括处理器的系统接收设备标识数据,所述设备标识数据标识在控制网络上已经被检测到的新工业设备;
响应于基于所述设备标识数据确定所述新工业设备被授权在所述控制网络上进行操作,由所述系统从在安全模型中定义的一组安全策略中选择适用于所述新工业设备的安全策略,其中,所述选择包括:
响应于基于所述设备标识数据和所述安全模型来确定所述新工业设备对应于在所述安全模型中表示的设备,选择针对在所述安全模型中表示的设备定义的安全策略作为安全策略,以及
响应于基于所述设备标识数据和所述安全模型来确定所述新工业设备不对应于在所述安全模型中表示的设备,选择在所述安全模型中针对未被建模的设备定义的默认安全策略作为安全策略;
由所述系统生成配置指令,所述配置指令被设计成在所述新工业设备上设置一个或更多个配置设置,所述一个或更多个配置设置使所述新工业设备根据所选择的安全策略进行操作;以及
由所述系统将所述配置指令定向至所述新工业设备。
10.根据权利要求9所述的方法,其中,
所述安全模型将工业设备的分组定义为安全区域,
所述安全模型还定义至少一个导管,所述至少一个导管指定所述安全区域中的第一安全区域与所述安全区域中的第二安全区域之间、所述工业设备中的第一工业设备与所述工业设备中的第二工业设备之间、或者所述安全区域之一与所述工业设备之一之间被允许的通信路径,以及
安全策略的选择还包括从所述一组安全策略中进行选择,所述一组安全策略指定:被分组到共同安全区域的工业设备的子集被许可彼此进行通信;并且除非由所述至少一个导管许可,否则被分组到共同安全区域的工业设备的子集被阻止与所述共同安全区域之外的设备进行通信。
11.根据权利要求10所述的方法,其中,安全策略的选择还包括:
基于所述设备标识数据来确定在所述安全模型中定义的安全区域中的所述新工业设备被分配给的安全区域,以及
选择针对该安全区域定义的、区域特定的安全策略作为适用于所述新工业设备的安全策略。
12.根据权利要求10所述的方法,其中,
所述安全模型还为所述安全区域中的安全区域定义要在所述安全区域内应用的安全事件管理策略,以及
所述配置指令的生成包括:响应于基于所述设备标识数据确定所述新工业设备被分配给所述安全区域,将所述配置指令设计成根据所述安全事件管理策略来设置所述一个或更多个配置设置。
13.根据权利要求12所述的方法,其中,所述安全事件管理策略定义:
要应用所述安全事件管理策略的安全区域,以及
以下中的至少一个:要发起通知的生成的安全事件、要发起所述通知的生成的安全事件的最低严重性级别、所述通知要被定向至的一个或更多个接收设备或实体、或者响应于检测到所述安全事件而要执行的对策。
14.根据权利要求9所述的方法,其中,所述设备标识数据的接收包括接收以下中的至少一个:标识所述新工业设备的类型、型号或供应商的信息;所述新工业设备的持久设备标识符;或者安装在所述新工业设备上的当前固件版本。
15.根据权利要求9所述的方法,其中,所述设备标识数据的接收包括:接收由身份认证服务器生成的设备凭证以及指示所述新工业设备被许可在所述控制网络上进行操作。
16.根据权利要求9所述的方法,其中,所述配置指令被配置成将以下中的至少一个设置为所述一个或更多个配置设置:所述新工业设备的网络地址、所述新工业设备的通信参数、白名单条目、启用设备级安全功能的设置、要用于安全通信的证书颁发机构的身份、网络基础设施设备的设备设置、所述新工业设备的控制参数、控制例程配置、或者启用基于密钥或基于证书的安全协议的设置。
17.一种非暂态计算机可读介质,所述非暂态计算机可读介质上存储有可执行指令,所述可执行指令响应于执行来使包括处理器的系统执行操作,所述操作包括:
接收新工业设备已经被安装在工业设施中的通知;
响应于基于针对所述新工业设备接收的设备标识数据确定所述新工业设备被授权在所述工业设施中进行操作,从在安全模型中定义的一组安全策略中识别适用于所述新工业设备的安全策略,其中,所述识别包括:
响应于基于所述设备标识数据和所述安全模型来确定所述新工业设备对应于在所述安全模型中表示的设备,将针对在所述安全模型中表示的设备定义的安全策略识别为安全策略,以及
响应于基于所述设备标识数据和所述安全模型来确定所述新工业设备不对应于在所述安全模型中表示的设备,将在所述安全模型中针对未被建模的设备定义的默认安全策略识别为安全策略;
生成配置指令,所述配置指令被设计成:在所述新工业设备上配置一个或更多个操作参数,以使得所述新工业设备根据所识别的安全策略进行操作;以及
使用所述配置指令来配置所述新工业设备。
18.根据权利要求17所述的非暂态计算机可读介质,其中,所述一组安全策略至少包括:
安全通信策略,其定义在所述安全模型中定义的工业设备之间的许可数据通信信道,或者
安全事件管理策略,其定义要由所述工业设备触发通知或对策的一个或更多个安全事件。
19.根据权利要求17所述的非暂态计算机可读介质,其中,
所述安全模型将工业设备的分组定义为安全区域,
所述安全模型还定义至少一个导管,所述至少一个导管指定所述安全区域中的第一安全区域与所述安全区域中的第二安全区域之间、所述工业设备中的第一工业设备与所述工业设备中的第二工业设备之间或者所述安全区域之一与所述工业设备之一之间的被允许的通信路径,以及
所述一组安全策略包括指定以下的策略:被分组到共同安全区域的工业设备的子集被许可彼此进行通信;并且除非由所述至少一个导管许可,否则被分组到共同安全区域的工业设备的子集被阻止与所述共同安全区域之外的设备进行通信。
20.根据权利要求19所述的非暂态计算机可读介质,其中,安全策略的选择还包括:
基于所述设备标识数据来确定在所述安全模型中定义的安全区域中的所述新工业设备被分配给的安全区域,以及
选择针对该安全区域定义的、区域特定的安全策略作为适用于所述新工业设备的安全策略。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/870,117 | 2020-05-08 | ||
US16/870,117 US11588856B2 (en) | 2020-05-08 | 2020-05-08 | Automatic endpoint security policy assignment by zero-touch enrollment |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113625664A CN113625664A (zh) | 2021-11-09 |
CN113625664B true CN113625664B (zh) | 2023-12-05 |
Family
ID=75786967
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110424091.1A Active CN113625664B (zh) | 2020-05-08 | 2021-04-20 | 通过零接触注册的自动端点安全策略分配 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11588856B2 (zh) |
EP (1) | EP3907640A1 (zh) |
CN (1) | CN113625664B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11463314B2 (en) * | 2020-12-16 | 2022-10-04 | Oracle International Corporation | Automatically inferring software-defined network policies from the observed workload in a computing environment |
EP4191353A1 (de) * | 2021-12-02 | 2023-06-07 | Siemens Aktiengesellschaft | Leitsystem für eine verfahrenstechnische anlage und betriebsverfahren |
US20230370454A1 (en) * | 2022-05-16 | 2023-11-16 | Cisco Technology, Inc. | Security profile selection and configuration of network devices via ownership voucher extension |
US20230393562A1 (en) * | 2022-06-02 | 2023-12-07 | Schneider Electric Systems Usa, Inc. | Location-based licensing and configuration |
US20240106813A1 (en) * | 2022-09-28 | 2024-03-28 | Advanced Micro Devices, Inc. | Method and system for distributing keys |
US12088554B2 (en) * | 2022-11-14 | 2024-09-10 | Rockwell Automation Technologies, Inc. | Coordinating maintenance management operations via a secure deployment system |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101094056A (zh) * | 2007-05-30 | 2007-12-26 | 重庆邮电大学 | 无线工业控制网络安全系统及安全策略实现方法 |
CN104142679A (zh) * | 2013-05-09 | 2014-11-12 | 洛克威尔自动控制技术股份有限公司 | 使用大数据进行的用于工业系统的风险评估 |
CN104423370A (zh) * | 2013-09-10 | 2015-03-18 | 洛克威尔自动控制技术股份有限公司 | 用于工业资产的远程资产管理服务 |
CN105589349A (zh) * | 2014-11-07 | 2016-05-18 | 洛克威尔自动控制技术股份有限公司 | 用于发现工业自动化环境中的控制系统数据的爬取器 |
CN105589923A (zh) * | 2014-11-07 | 2016-05-18 | 洛克威尔自动控制技术股份有限公司 | 用于工业环境的动态搜索引擎 |
CN105991765A (zh) * | 2015-03-16 | 2016-10-05 | 洛克威尔自动控制技术股份有限公司 | 将工业自动化工厂备份在云中 |
CN107491044A (zh) * | 2016-06-09 | 2017-12-19 | 罗克韦尔自动化技术公司 | 用于自动控制系统的可扩展分析架构 |
CN108089696A (zh) * | 2016-11-08 | 2018-05-29 | 罗克韦尔自动化技术公司 | 用于工业自动化的虚拟现实和增强现实 |
CN108369533A (zh) * | 2015-10-13 | 2018-08-03 | 施耐德电器工业公司 | 软件定义自动化系统的集中化管理 |
CN109639484A (zh) * | 2018-12-12 | 2019-04-16 | 中国科学院沈阳自动化研究所 | 基于软件定义的工业融合网络管理方法及其网络管理器 |
CN110352428A (zh) * | 2017-03-03 | 2019-10-18 | 微软技术许可有限责任公司 | 将安全策略管理权限委托给管理账户 |
Family Cites Families (85)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6513117B2 (en) * | 1998-03-04 | 2003-01-28 | Gemstar Development Corporation | Certificate handling for digital rights management system |
US9565275B2 (en) * | 2012-02-09 | 2017-02-07 | Rockwell Automation Technologies, Inc. | Transformation of industrial data into useful cloud information |
US9009084B2 (en) * | 2002-10-21 | 2015-04-14 | Rockwell Automation Technologies, Inc. | System and methodology providing automation security analysis and network intrusion protection in an industrial environment |
US20070050777A1 (en) * | 2003-06-09 | 2007-03-01 | Hutchinson Thomas W | Duration of alerts and scanning of large data stores |
US20090271504A1 (en) * | 2003-06-09 | 2009-10-29 | Andrew Francis Ginter | Techniques for agent configuration |
JP4379223B2 (ja) * | 2004-06-18 | 2009-12-09 | 日本電気株式会社 | 動作モデル作成システム、動作モデル作成方法および動作モデル作成プログラム |
JP4341517B2 (ja) * | 2004-06-21 | 2009-10-07 | 日本電気株式会社 | セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム |
JP4197311B2 (ja) * | 2004-06-22 | 2008-12-17 | インターナショナル・ビジネス・マシーンズ・コーポレーション | セキュリティポリシー生成方法、セキュリティポリシー生成装置、プログラム、及び記録媒体 |
US8132225B2 (en) | 2004-09-30 | 2012-03-06 | Rockwell Automation Technologies, Inc. | Scalable and flexible information security for industrial automation |
US7966659B1 (en) * | 2006-04-18 | 2011-06-21 | Rockwell Automation Technologies, Inc. | Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like |
US8739278B2 (en) * | 2006-04-28 | 2014-05-27 | Oracle International Corporation | Techniques for fraud monitoring and detection using application fingerprinting |
US8117441B2 (en) * | 2006-06-20 | 2012-02-14 | Microsoft Corporation | Integrating security protection tools with computer device integrity and privacy policy |
US7849497B1 (en) * | 2006-12-14 | 2010-12-07 | Athena Security, Inc. | Method and system for analyzing the security of a network |
US9043861B2 (en) * | 2007-09-17 | 2015-05-26 | Ulrich Lang | Method and system for managing security policies |
US20090259855A1 (en) * | 2008-04-15 | 2009-10-15 | Apple Inc. | Code Image Personalization For A Computing Device |
US8595831B2 (en) | 2008-04-17 | 2013-11-26 | Siemens Industry, Inc. | Method and system for cyber security management of industrial control systems |
US8856863B2 (en) * | 2008-06-10 | 2014-10-07 | Object Security Llc | Method and system for rapid accreditation/re-accreditation of agile IT environments, for example service oriented architecture (SOA) |
US8624921B2 (en) * | 2008-09-30 | 2014-01-07 | Rockwell Automation Technologies, Inc. | Industrial automation visualization schemes employing overlays |
US8799985B2 (en) * | 2009-12-09 | 2014-08-05 | Microsoft Corporation | Automated security classification and propagation of virtualized and physical virtual machines |
US9967149B1 (en) * | 2011-05-26 | 2018-05-08 | Electric Imp Incorporated | Modularized control system to enable IoT wireless network control and sensing of other devices |
US20130083347A1 (en) * | 2011-09-29 | 2013-04-04 | Konica Minolta Laboratory U.S.A., Inc. | Method and system for physically securing a host device |
EP2667320A4 (en) * | 2011-12-01 | 2014-08-27 | Nec Corp | SAFETY CHECK DEVICE AND SAFETY TESTING METHOD |
US9094208B2 (en) * | 2011-12-13 | 2015-07-28 | Sharp Laboratories Of America, Inc. | User identity management and authentication in network environments |
US8572678B2 (en) * | 2011-12-23 | 2013-10-29 | Lockheed Martin Corporation | Security policy flow down system |
US9130837B2 (en) * | 2012-05-22 | 2015-09-08 | Cisco Technology, Inc. | System and method for enabling unconfigured devices to join an autonomic network in a secure manner |
US8839375B2 (en) * | 2012-05-25 | 2014-09-16 | Microsoft Corporation | Managing distributed operating system physical resources |
US9369431B1 (en) * | 2013-02-07 | 2016-06-14 | Infoblox Inc. | Security device controller |
US9680726B2 (en) * | 2013-02-25 | 2017-06-13 | Qualcomm Incorporated | Adaptive and extensible universal schema for heterogeneous internet of things (IOT) devices |
EP2775685A1 (en) | 2013-03-06 | 2014-09-10 | ABB Research Ltd. | Security zones in industrial control systems |
US9223941B2 (en) * | 2013-03-15 | 2015-12-29 | Google Inc. | Using a URI whitelist |
US9098217B2 (en) * | 2013-03-22 | 2015-08-04 | Hewlett-Packard Development Company, L.P. | Causing an action to occur in response to scanned data |
US10613567B2 (en) * | 2013-08-06 | 2020-04-07 | Bedrock Automation Platforms Inc. | Secure power supply for an industrial control system |
US10687193B2 (en) * | 2013-09-19 | 2020-06-16 | Unaliwear, Inc. | Assist device and system |
US20190349347A1 (en) * | 2013-10-17 | 2019-11-14 | Arm Ip Limited | Registry apparatus, agent device, application providing apparatus and corresponding methods |
US9210192B1 (en) * | 2014-09-08 | 2015-12-08 | Belkin International Inc. | Setup of multiple IOT devices |
US10652240B2 (en) * | 2014-05-29 | 2020-05-12 | Entersekt International Limited | Method and system for determining a compromise risk associated with a unique device identifier |
US20160093191A1 (en) * | 2014-09-25 | 2016-03-31 | Ryan Anderson | System and methods for early warning of natural and man-made disasters |
US9660994B2 (en) * | 2014-09-30 | 2017-05-23 | Schneider Electric USA, Inc. | SCADA intrusion detection systems |
US20160112406A1 (en) * | 2014-10-20 | 2016-04-21 | Schneider Electric Industries S.A.S. | Authentication and authorization in an industrial control system using a single digital certificate |
US10110561B2 (en) * | 2014-11-26 | 2018-10-23 | Rockwell Automation Technologies, Inc. | Firewall with application packet classifer |
US10038697B2 (en) * | 2015-05-19 | 2018-07-31 | Cisco Technology, Inc. | Determining similarity between security rules based on weighted comparisons of their rule parameters |
US9787722B2 (en) * | 2015-05-19 | 2017-10-10 | Cisco Technology, Inc. | Integrated development environment (IDE) for network security configuration files |
US10015188B2 (en) * | 2015-08-20 | 2018-07-03 | Cyberx Israel Ltd. | Method for mitigation of cyber attacks on industrial control systems |
US9948679B2 (en) * | 2015-08-21 | 2018-04-17 | Cisco Technology, Inc. | Object-relation user interface for viewing security configurations of network security devices |
US20170099647A1 (en) * | 2015-10-05 | 2017-04-06 | Nebulae LLC | Systems and Methods for Registering Devices in a Wireless Network |
US10313281B2 (en) * | 2016-01-04 | 2019-06-04 | Rockwell Automation Technologies, Inc. | Delivery of automated notifications by an industrial asset |
US10097585B2 (en) | 2016-01-22 | 2018-10-09 | Rockwell Automation Technologies, Inc. | Model-based security policy configuration and enforcement in an industrial automation system |
US10243972B2 (en) | 2016-04-11 | 2019-03-26 | Crowdstrike, Inc. | Correlation-based detection of exploit activity |
US20200225655A1 (en) * | 2016-05-09 | 2020-07-16 | Strong Force Iot Portfolio 2016, Llc | Methods, systems, kits and apparatuses for monitoring and managing industrial settings in an industrial internet of things data collection environment |
US20200348662A1 (en) * | 2016-05-09 | 2020-11-05 | Strong Force Iot Portfolio 2016, Llc | Platform for facilitating development of intelligence in an industrial internet of things system |
US10366229B2 (en) * | 2016-06-20 | 2019-07-30 | Jask Labs Inc. | Method for detecting a cyber attack |
US11605037B2 (en) * | 2016-07-20 | 2023-03-14 | Fisher-Rosemount Systems, Inc. | Fleet management system for portable maintenance tools |
US10547642B2 (en) * | 2017-01-27 | 2020-01-28 | T-Mobile Usa, Inc. | Security via adaptive threat modeling |
US10511632B2 (en) * | 2017-03-03 | 2019-12-17 | Microsoft Technology Licensing, Llc | Incremental security policy development for an enterprise network |
US10587621B2 (en) * | 2017-06-16 | 2020-03-10 | Cisco Technology, Inc. | System and method for migrating to and maintaining a white-list network security model |
US10904101B2 (en) | 2017-06-16 | 2021-01-26 | Cisco Technology, Inc. | Shim layer for extracting and prioritizing underlying rules for modeling network intents |
US10560487B2 (en) | 2017-07-26 | 2020-02-11 | International Business Machines Corporation | Intrusion detection and mitigation in data processing |
US10476912B2 (en) * | 2017-09-18 | 2019-11-12 | Veracity Security Intelligence, Inc. | Creating, visualizing, and simulating a threat based whitelisting security policy and security zones for networks |
US11368451B2 (en) * | 2017-10-19 | 2022-06-21 | Google Llc | Two-factor authentication systems and methods |
US10868714B2 (en) * | 2017-11-14 | 2020-12-15 | Rockwell Automation Technologies, Inc. | Configurable device status |
US11108557B2 (en) * | 2017-11-30 | 2021-08-31 | Cable Television Laboratories, Inc. | Systems and methods for distributed trust model and framework |
US10691087B2 (en) * | 2017-11-30 | 2020-06-23 | General Electric Company | Systems and methods for building a model-based control solution |
CN110022215B (zh) * | 2018-01-10 | 2022-09-27 | Abb瑞士股份有限公司 | 工业自动化设备和云服务 |
US10686535B2 (en) * | 2018-03-09 | 2020-06-16 | Elbex Video Ltd. | Method and a system for introducing noise free voice boxes into AC power grid environment in residences and commercial units |
US10747201B2 (en) * | 2018-05-02 | 2020-08-18 | Rockwell Automation Technologies, Inc. | Subscription-based services using industrial blockchains |
US10958425B2 (en) * | 2018-05-17 | 2021-03-23 | lOT AND M2M TECHNOLOGIES, LLC | Hosted dynamic provisioning protocol with servers and a networked responder |
US20190361917A1 (en) * | 2018-05-25 | 2019-11-28 | Bao Tran | Smart device |
US10904070B2 (en) | 2018-07-11 | 2021-01-26 | Cisco Technology, Inc. | Techniques and interfaces for troubleshooting datacenter networks |
US11604443B2 (en) * | 2018-08-23 | 2023-03-14 | Johnson Controls Tyco IP Holdings LLP | System and method for distributed device configuration and authorization |
US20200112586A1 (en) * | 2018-10-08 | 2020-04-09 | Quest Automated Services, LLC | Automation system with security module |
US11212322B2 (en) * | 2018-10-10 | 2021-12-28 | Rockwelll Automation Technologies, Inc. | Automated discovery of security policy from design data |
US10972508B1 (en) * | 2018-11-30 | 2021-04-06 | Juniper Networks, Inc. | Generating a network security policy based on behavior detected after identification of malicious behavior |
GB2579571B (en) * | 2018-12-03 | 2021-05-12 | Advanced Risc Mach Ltd | Device bootstrapping |
US11048811B2 (en) * | 2018-12-19 | 2021-06-29 | Jpmorgan Chase Bank, N. A. | Methods for big data usage monitoring, entitlements and exception analysis |
US20200202231A1 (en) * | 2018-12-19 | 2020-06-25 | Sap Se | Self-generating rules for internet of things |
US11677785B2 (en) * | 2019-02-12 | 2023-06-13 | Sap Portals Israel Ltd. | Security policy as a service |
CA3133976A1 (en) * | 2019-03-29 | 2020-10-08 | Citrix Systems, Inc. | Techniques involving a security heat map |
US11756404B2 (en) * | 2019-04-08 | 2023-09-12 | Microsoft Technology Licensing, Llc | Adaptive severity functions for alerts |
US11520946B2 (en) * | 2019-04-09 | 2022-12-06 | Johnson Controls Tyco IP Holdings LLP | Cloud-based fire protection system and method |
US11526610B2 (en) | 2019-05-21 | 2022-12-13 | Veracode, Inc. | Peer-to-peer network for blockchain security |
US11953887B2 (en) * | 2019-09-27 | 2024-04-09 | Rockwell Automation Technologies, Inc. | System and method for customer-specific naming conventions for industrial automation devices |
US11539709B2 (en) * | 2019-12-23 | 2022-12-27 | Citrix Systems, Inc. | Restricted access to sensitive content |
US11604453B2 (en) * | 2020-02-19 | 2023-03-14 | The Boeing Company | Methods and systems for provisioning factory devices within enterprise network systems |
US11308447B2 (en) * | 2020-04-02 | 2022-04-19 | Rockwell Automation Technologies, Inc. | Cloud-based collaborative industrial automation design environment |
US11575571B2 (en) * | 2020-05-08 | 2023-02-07 | Rockwell Automation Technologies, Inc. | Centralized security event generation policy |
-
2020
- 2020-05-08 US US16/870,117 patent/US11588856B2/en active Active
-
2021
- 2021-04-20 CN CN202110424091.1A patent/CN113625664B/zh active Active
- 2021-05-03 EP EP21171811.9A patent/EP3907640A1/en active Pending
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101094056A (zh) * | 2007-05-30 | 2007-12-26 | 重庆邮电大学 | 无线工业控制网络安全系统及安全策略实现方法 |
CN104142679A (zh) * | 2013-05-09 | 2014-11-12 | 洛克威尔自动控制技术股份有限公司 | 使用大数据进行的用于工业系统的风险评估 |
CN104423370A (zh) * | 2013-09-10 | 2015-03-18 | 洛克威尔自动控制技术股份有限公司 | 用于工业资产的远程资产管理服务 |
CN105589349A (zh) * | 2014-11-07 | 2016-05-18 | 洛克威尔自动控制技术股份有限公司 | 用于发现工业自动化环境中的控制系统数据的爬取器 |
CN105589923A (zh) * | 2014-11-07 | 2016-05-18 | 洛克威尔自动控制技术股份有限公司 | 用于工业环境的动态搜索引擎 |
CN105991765A (zh) * | 2015-03-16 | 2016-10-05 | 洛克威尔自动控制技术股份有限公司 | 将工业自动化工厂备份在云中 |
CN108369533A (zh) * | 2015-10-13 | 2018-08-03 | 施耐德电器工业公司 | 软件定义自动化系统的集中化管理 |
CN108513655A (zh) * | 2015-10-13 | 2018-09-07 | 施耐德电器工业公司 | 软件定义自动化系统及其架构 |
CN107491044A (zh) * | 2016-06-09 | 2017-12-19 | 罗克韦尔自动化技术公司 | 用于自动控制系统的可扩展分析架构 |
CN108089696A (zh) * | 2016-11-08 | 2018-05-29 | 罗克韦尔自动化技术公司 | 用于工业自动化的虚拟现实和增强现实 |
CN110352428A (zh) * | 2017-03-03 | 2019-10-18 | 微软技术许可有限责任公司 | 将安全策略管理权限委托给管理账户 |
CN109639484A (zh) * | 2018-12-12 | 2019-04-16 | 中国科学院沈阳自动化研究所 | 基于软件定义的工业融合网络管理方法及其网络管理器 |
Also Published As
Publication number | Publication date |
---|---|
EP3907640A1 (en) | 2021-11-10 |
US20210352110A1 (en) | 2021-11-11 |
US11588856B2 (en) | 2023-02-21 |
CN113625664A (zh) | 2021-11-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113625665B (zh) | 集中式安全事件生成策略 | |
EP3196716B1 (en) | Model-based security policy configuration and enforcement in an industrial automation system | |
CN113625664B (zh) | 通过零接触注册的自动端点安全策略分配 | |
US11212322B2 (en) | Automated discovery of security policy from design data | |
US20240134329A1 (en) | Spoke and hub configuration for a process control or automation system | |
US20240231334A9 (en) | Configuration support for a process control or automation system | |
US20240027981A1 (en) | Compute fabric enabled process control | |
US20240031370A1 (en) | Authentication/authorization framework for a process control or automation system | |
US20240039870A1 (en) | Location specific communications gateway for multi-site enterprise | |
US20240231333A9 (en) | Compute Fabric Functionalities for a Process Control or Automation System | |
US20240028006A1 (en) | Nebula Fleet Management | |
EP4152192A1 (en) | On-chassis backplane intrusion detection system and continuous threat detection enablement platform | |
US20240232164A9 (en) | Enterprise engineering and configuration framework for advanced process control and monitoring systems | |
WO2024086018A1 (en) | Location specific communications gateway for multi-site enterprise | |
WO2024086015A1 (en) | Nebula fleet management |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |