CN117255994A - 关键基础设施中控制系统的自动防火墙配置 - Google Patents
关键基础设施中控制系统的自动防火墙配置 Download PDFInfo
- Publication number
- CN117255994A CN117255994A CN202280028395.9A CN202280028395A CN117255994A CN 117255994 A CN117255994 A CN 117255994A CN 202280028395 A CN202280028395 A CN 202280028395A CN 117255994 A CN117255994 A CN 117255994A
- Authority
- CN
- China
- Prior art keywords
- firewall
- register operation
- communication channel
- endpoint device
- register
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 claims abstract description 55
- 238000000034 method Methods 0.000 claims abstract description 26
- 238000004590 computer program Methods 0.000 claims description 9
- 230000005540 biological transmission Effects 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 15
- 230000006870 function Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 238000001514 detection method Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 238000009434 installation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 206010021403 Illusion Diseases 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
实施例提供了用于安全管理寄存器操作到端点设备(例如,断路器和其他形式的电气装备)的传输的技术。防火墙管理组件可以通过安全通信信道向防火墙设备上维护的防火墙结构添加条目。该条目可以指定(i)端点设备的寄存器操作,(ii)寄存器操作的值,以及(iii)寄存器操作可以被执行的次数的计数。防火墙管理组件将寄存器操作发送给防火墙设备以转发给端点设备。防火墙设备被配置用于只有在防火墙结构中指定的计数不会被超过的情况下,才将寄存器操作转发给端点设备。
Description
相关申请的交叉引用
本申请要求2021年3月5日提交的美国临时申请第63/157,304号的优先权和权益,其全部内容通过引用整体结合于本文。
技术领域
本公开涉及计算设备安全性,并且更具体地,涉及用于保护关键基础设施的控制系统的技术。
背景技术
近年来,在数据通信和网络安全领域已经取得了许多进步。然而,在某些情况下,不能采用这些进步的传统设备由于各种原因仍在使用。例如,目前使用的大多数断路器都不支持消息级或传输级安全性。作为结果,这些断路器依赖于传统的非安全通信协议。尽管从安全的角度来看,更换这些断路器是最好的选择,但由于停机时间、成本等原因,许多安装使其变得不切实际。并且更一般地,在一些行业中,非安全协议(例如,明文数据通信和其他非安全通信协议)仍然在使用,并且可能甚至是必需的,以便确保与监测和入侵检测系统的兼容性和透明性。
附图说明
通过参考各种实施例,可以对以上简要概述的本公开进行更详细的描述,其中一些实施例在附图中被示出。尽管附图示出了本公开的选择实施例,但是这些附图不应被认为是对其范围的限制,因为本公开可以承认其他同等有效的实施例。
在可能的情况下,使用了相同的附图标记来指定附图中共有的相同要素。然而,在一个实施例中公开的要素可以有益地用在其他实施例中,而无需具体叙述。
图1A-图1E示出了根据本文描述的一个或多个实施例的在包括防火墙的工业网络中执行的各种网络操作。
图2是示出了根据本文描述的一个实施例的用于将寄存器操作安全地发送给端点设备的方法的框图。
图3是示出了根据本文描述的一个实施例的使用防火墙数据结构来管理端点设备的寄存器操作的方法的流程图。
图4是示出了根据本文描述的一个实施例的使用防火墙数据结构来管理端点设备的寄存器操作的方法的流程图。
图5是示出了根据本文描述的一个实施例的配置有防火墙管理组件的系统的框图。
具体实施方式
本文描述的实施例提供了用于保护传统系统中的通信的技术。关键基础设施中的电力系统被设计成具有坚实并且安全的基础。这包括实现具有多层防火墙、入侵检测系统以及物理安全要素的全面的深度防护策略。保护实现的一个挑战是,用于电力、建筑管理、自动化和工业过程的许多设备需要不受保护的协议(诸如Modbus或IEC61850),并且不支持基于消息的加密。尽管单个供应商可以为其产品配备安全流程(诸如要求安全的Modbus),但仍会存在必须与第三方硬件进行传统通信的情况。本文描述的实施例提供了一种提高安全性标准、同时允许继续使用这些传统协议的解决方案。
更具体地,本文描述的实施例涉及电力监测系统和/或监督控制和数据采集(SCADA)系统,以及当事件或动作发生时这些系统动态地配置下游网络设备(防火墙、入侵检测/预防或SIEM系统)的能力。通常,存在与下游网络设备通信以动态地配置设置的系统。然而,这些现有的系统依赖于发生在网络基础设施上的配置事件、状态或条件。本文描述的实施例不仅关注网络基础设施,而且还关注电力网络基础设施中正在发生或将要发生的事件。
通常,电力系统和/或SCADA系统包含目前不由这些基于网络的系统捕获和分析的关键信息。例如,SCADA系统可能知道甩负荷事件将要发生(例如,在特定的时间或响应于特定的用户输入)。基于该信息,SCADA系统可以使用安全信道重新配置工业控制系统(ICS)网络上的安全设备,以允许特定的控制消息(引起继电器或断路器操作)。也就是说,尽管这些网络中的传统设备可能不能实现适当的安全协议,但是现代安全设备(例如,路由设备)可以被配置用于实现现代安全措施。相应地,实施例可以使用安全信道将配置指令发送给安全设备(例如,使用由安全设备先前提供的公钥来加密配置指令,从而安全设备可以使用私钥来解密接收到的配置指令)。一旦操作完成,然后网络就可以重新配置为更安全的状态。有利的是,本文描述的实施例提供了对分组数据签名的程序化创建,以指示防火墙何时允许或阻止数据的传递,由此提高了系统的安全性。
保护网络安全的深度防护策略的一部分包括在网络层次结构的各种级别放置防火墙。这包括边缘防火墙(在网络的边缘或“入口”)以及较低级别的子网络(例如,在单个交换机板或面板内)。照惯例,电力系统可以只包括边缘防火墙,并且ICS网络(或电力网络)的其余部分被认为是“安全的”,但是这种误解会导致错误的安全感。此外,即使对于在不同的层上具有多个防火墙的系统,这些系统一般以IT为中心的方式设置,其中安全性集中在TCP端口和IP地址上,而不是它们允许传递的实际协议数据。
最近的防火墙具有基于应用或协议传递流量(traffic)的能力。一些防火墙具有检查特定于ICS的协议(诸如Modbus或IEC61850)的能力。在这些情况下,防火墙可以调整流量,只允许控制写入,例如,写入到特定的Modbus寄存器。不幸的是,大多数常规的ICS防火墙都有缺点,使其无法用于预期目的。例如,许多Modbus设备具有ICS防火墙不理解的自定义功能(或供应商功能)。作为结果,大多数常规的ICS防火墙以本质上是TCP端口过滤的方式被配置(例如,对于Modbus,它们在端口502上对所有流量开放)。
本文描述的实施例提供了一种防火墙,该防火墙被配置用于理解ICS协议并且包括基于时间的要素和在SCADA或软件系统中定义的触发器。ICS防火墙通常有安全的API接口,其可以允许直接从SCADA进行通信,并且支持ICS的防火墙一般具有为指示它们允许或阻止的流量定制签名的能力。例如,如果给定期望数据的示例TCP分组(例如,来自Wireshark或一些其他分组捕获软件),则可以结合正则表达式和基本条件运算符,用分组数据的部分来配置防火墙,以允许或阻止未来类似的分组。本文描述的实施例通过以编程方式实时编排签名并且在精确的时间应用它们来利用这一点。
通常,SCADA系统具有系统级上下文,这意味着SCADA系统知道网络上的所有设备、所有设备能力(例如,包括寄存器映射/列表)以及ICS网络上的所有其他计算机和具有网络能力的设备。SCADA通常包含该上下文,因为与人类用户通信(通过人机界面(HMI)或其他方式,诸如通知)是SCADA的责任。除了静态上下文之外,SCADA系统还可以知道即将发生的事件和可能发生的动作。
使用调度程序(scheduler),SCADA系统可以在特定的时间启动一系列控制操作。例如,SCADA系统可能有事件触发脚本,当特定的事件被触发时,该事件触发脚本执行控制命令。使用这个附加的上下文,SCADA系统可以用防火墙更新来“包装(wrap)”控制信号。
当系统状态变化时,SCADA系统也可以向防火墙发送更新。例如,如果设备被添加到SCADA系统,那么SCADA系统可以向防火墙发送必要的配置更新,以允许数据从这个新设备传播。因为SCADA系统已经具有关于设备的信息(IP地址、Modbus寄存器映射等),SCADA系统可以开发用于配置的签名(以XML或类似的格式)。
根据本文描述的一个实施例,SCADA系统可以管理从电力网络添加和/或移除设备。例如,电力计量设备可以安装在需要与SCADA系统通信的面板上。在本示例中,设备具有本地配置的IP地址,并且应用工程师通过使用SCADA开发环境向SCADA系统提供IP地址来添加设备。
基于所提供的IP地址,SCADA系统可以识别出面板中安装了防火墙。SCADA系统可以辨识出这是新设备,并且作为响应,为该设备生成签名以允许通信。SCADA系统然后可以安全地配置防火墙(使用先前配置的具有交换的证书的防火墙连接)并且尝试与新的电力设备进行通信。在一个实施例中,SCADA系统被配置用于不尝试与电力设备通信,直到防火墙被成功配置(因为它意识到通信是不可能的)。
根据本文描述的一个实施例,SCADA系统可以为使用传统通信协议的断路器提供安全性。通常,目前使用的大多数断路器都不支持消息级或传输级安全性。作为结果,这些断路器依赖于传统的非安全通信协议。尽管从安全的角度来看,更换这些断路器是最好的选择,但由于停机时间、成本等原因,许多安装使其变得不切实际。本文描述的实施例可以使用防火墙上的策略签名以及在关键时刻启用规则来保护这些传统系统中的控制操作。
在一个示例中,断路器安装在包括ICS防火墙的面板中。断路器经由Modbus通信,并且可以被配置用于支持关键命令,即断开、闭合和复位。这些命令可以由SCADA系统触发。在本示例中,可以使用与先前用例中相同的机制来安装设备(所以SCADA可以为该断路器生成签名,包括断开、闭合和复位)。这些签名可以配置为防火墙上的规则,并且最初可以被设置为拒绝(意味着不允许流量)。
SCADA系统可以发出断开断路器的命令。例如,SCADA系统可以接收来自用户(例如,经由人机界面(HMI))或过程的请求以断开断路器。SCADA系统可以辨识出断路器在防火墙后面,并且作为响应,可以首先通过安全通信信道发送防火墙配置消息,以告诉防火墙允许规则“断开”。在一个实施例中,SCADA系统可以进一步为规则指定多个其他属性,例如,如果断开命令来自特定的IP地址、特定的端口、特定的Modbus站标识符,和/或如果断开命令指向特定的IP地址、特定的目的地端口和/或特定的目的地修改站标识符,则允许断开命令。当然,提供这样的示例仅仅是为了说明的目的,并且更一般地,本文描述的安全技术适用于并且可以应用于与本文描述的功能一致的其他协议。
SCADA系统然后可以发送断开命令,该命令成功穿越防火墙并且在断路器上执行。然后,SCADA系统可以发送防火墙配置消息来拒绝规则“断开”,从而有效地锁定断路器。在特定的实施例中,当提供原始规则时,SCADA系统可以包括“计数”值,防火墙设备被配置用于每当规则被满足并且对应的操作被执行时递减该“计数”值。而且,防火墙设备可以被配置用于仅考虑具有大于0的计数值的规则,并且可以删除(例如,实时地,作为周期性的批量操作等)计数值为0的规则。作为示例,SCADA系统可以为原始规则指定计数“1”,由此避免需要发送随后的配置消息来拒绝规则“断开”,因为由于指定的计数值,规则只能执行一次。
在一个实施例中,“断开”规则故意不同于“闭合”规则。这是因为如果规则是“操作”,那么当我们尝试发送“断开”命令时,攻击者可以用“闭合”命令淹没网络。在呈现出的场景中,只有由SCADA发出的命令会被传递(即使发生恶意淹没)。
大多数时候,在对安全性敏感的环境中,需要一种故障安全方法。在断路器的情况下,这种设备一般需要故障安全,这意味着防火墙应该被配置用于在通信丢失等情况下允许“断开”。由于这个原因,SCADA系统可以轮询防火墙以确保它在运行,并且如果检测到故障,则警告用户。在一个实施例中,本文提到的“规则”不仅可以包含所讨论的签名数据,还可以包括传统的防火墙规则数据(例如,发送方和接收方的IP地址、TCP/UDP端口地址等)。
图1A-图1E示出了根据本文描述的一个或多个实施例的在包括防火墙的工业网络中执行的各种网络操作。如图1A所示,系统100包括SCADA/HMI系统105、恶意攻击者系统110、防火墙设备115和多个端点设备120(1)-120(N)。在系统100中,IT防火墙115配置有常规的转发规则,其中传出消息可以在端口502上发送给任何设备和从任何设备发送,而端口502上的传入消息只能从设备A(SCADA/HMI系统105)发送给设备C(端点设备120(1))以及从设备A发送给设备D(端点设备120(N))。尽管这种防火墙配置可以防止许多攻击,是这种配置可能易受到假冒SCADA/HMI系统105的身份的攻击者系统110的攻击。
图1B示出了系统125,其中防火墙设备115的配置表包括声明允许设备A(SCADA/HMI系统105)仅向端点设备D(端点设备120(N))的寄存器1101发送写入操作的规则。尽管相对于图1A所示的系统100,这种配置可以防止附加的攻击,但是具有图1B所示的配置的防火墙设备115仍然易受到某些假冒攻击(例如,恶意攻击者能够假冒SCADA/HMI系统105的身份)。
图1C示出了更安全的系统130,其中根据本文描述的一个实施例,防火墙设备115配置有寄存器操作。如以上所讨论的,尽管SCADA/HMI系统105可以被配置用于通过安全信道向防火墙设备115发送命令,但是在一些传统环境中,端点设备120(1)-120(N)可以未被配置用于通过这样的安全信道进行通信。而且,目前许多传统环境仍然利用流量监测工具来监测去往和来自端点设备120(1)-120(N)的流量,并且这些工具可能需要未加密的网络通信,以便正确地监测流量。
这样,根据本文描述的一个实施例,SCADA/HMI系统105可以通过安全通信信道向防火墙设备115上维护的防火墙结构添加条目(entry)。例如,SCADA/HMI系统105可以通过安全通信信道将条目发送给防火墙设备115上的防火墙管理组件125(例如,通过以这样的方式加密消息,使得防火墙管理组件125可以在接收到加密消息时解密它以访问消息的内容)。该条目可以指定(i)端点设备的寄存器操作,(ii)寄存器操作的值,以及(iii)寄存器操作可以被执行的次数的计数。在所描绘的示例中,系统130中的防火墙设备115配置有声明允许源设备A(SCADA/HMI系统105)对端点设备D(端点设备120(N))的寄存器1101执行写入操作的规则,并且更具体地,源设备A仅被允许将值0x01写入寄存器一次(如计数值1所指示的)。
SCADA/HMI系统105然后可以通过非安全通信信道并以未加密的格式将寄存器操作发送给防火墙设备以转发给端点设备。防火墙管理组件125可以被配置用于只有在防火墙结构中指定的计数不会被超过的情况下,才将寄存器操作转发给端点设备,并且在成功地将寄存器操作转发给端点设备时递减计数和/或移除配置表条目。这样,实施例可以使用非安全通信将寄存器操作安全地发送给适当的端点设备,并且防止系统130受来自攻击者系统110的攻击。也就是说,即使攻击者系统110成功地假冒了SCADA/HMI系统105的身份,攻击者系统110也只能够向期望的寄存器1101提交一次值为0x01的期望的寄存器操作。换句话说,在所描述的系统130中唯一被允许的“攻击”将是期望的结果,即,完成一次所请求的操作。
图1D示出了系统150,其中SCADA/HMI系统105被配置用于每当SCADA/HMI系统105希望向端点设备发送寄存器操作时,在向端点设备发送寄存器操作之前向防火墙设备115发送配置操作。如以上所讨论的,SCADA/HMI系统105可以在通过非安全信道向端点设备发送寄存器操作之前,通过安全信道向防火墙设备115发送配置操作。尽管这样的实施例可能会给寄存器操作的传输增加微小的延迟(例如,~100毫秒),但是这样的实施例使得传统设备能够接收非安全通信,同时仍然确保网络的整体安全性。
图1E示出了系统160,其中攻击者系统110尝试向端点设备D发送大量恶意寄存器操作。在所描绘的示例中,一旦第一寄存器操作从SCADA/HMI系统105发送到端点设备D(如图1C所示),防火墙设备115就从配置表中移除对应的条目。也就是说,如以上所讨论的,图1C的防火墙配置表中所示的条目具有计数1,并且因此在具有值0x01的单个寄存器操作被发送给端点设备D的寄存器1101之后,该条目从防火墙配置表中被移除。由于图1E所示的配置表不包含这样的条目(因为它已被移除),来自攻击者系统110的恶意寄存器操作只会被防火墙设备115丢弃。
图2是示出了根据本文描述的一个实施例的用于将寄存器操作安全地发送给端点设备的方法的框图。如图所示,方法200开始于框210,其中SCADA/HMI系统105通过安全通信信道向防火墙设备上维护的防火墙结构添加条目。根据一个实施例,该条目指定(i)端点设备的寄存器操作,(ii)寄存器操作的值,以及(iii)寄存器操作可以被执行的次数的计数。SCADA/HMI系统105然后将寄存器操作发送给防火墙设备以转发给端点设备。如以上所讨论的,SCADA/HMI系统105可以经由未加密的信道发送寄存器操作(因为可能需要与传统设备通信)。防火墙设备一般被配置用于只有在防火墙结构中指定的计数不会被超过的情况下,才将寄存器操作转发给端点设备。这样做有助于确保网络的安全性,尽管传统设备具有无法发送或接收安全通信的局限性。
图3是示出了根据本文描述的一个实施例的使用防火墙数据结构来管理端点设备的寄存器操作的方法的流程图。如图所示,方法300开始于框310,其中防火墙管理组件125维护用于管理发送给一个或多个端点设备的寄存器操作的防火墙数据结构。这种结构可以保存在系统存储器中、硬盘储存器和/或两者的组合中。
防火墙管理组件125通过安全通信信道接收给防火墙数据结构的条目,该条目指定(i)端点设备的寄存器操作,(ii)寄存器操作的值,以及(iii)寄存器操作可以被执行的次数的计数(框315)。例如,防火墙管理组件125可以预配置有私钥,并且可以由发送条目的系统(例如,SCADA/HMI系统)使用对应的公钥来加密条目。防火墙管理组件125然后可以使用私钥解密接收到的条目,以便访问条目的内容。
防火墙管理组件125更新防火墙数据结构以将接收到的条目添加到防火墙数据结构中(框320)。防火墙管理组件125随后通过非安全通信信道接收用于端点设备的第一寄存器操作(框325)。防火墙管理组件125确定防火墙数据结构内的添加的条目对应于接收到的第一寄存器操作(框330)。例如,防火墙管理组件125可以查询防火墙数据结构,以确定防火墙数据结构是否包含对应于具有特定的值并且用于特定的端点设备的特定的寄存器操作的条目。
在一个实施例中,如果防火墙管理组件125确定防火墙数据结构不包含对应于第一寄存器操作的条目(例如,基于端点设备标识符、寄存器操作和在第一寄存器操作中指定的值),则防火墙管理组件125可以丢弃第一寄存器操作,而不将第一寄存器操作转发给端点设备。类似地,如果防火墙管理组件125访问防火墙数据结构并且确定对应于第一寄存器操作的条目具有小于或等于0的计数,则防火墙管理组件125可以丢弃第一寄存器操作,而不将第一寄存器操作转发给端点设备。这样做使得防火墙设备能够确保寄存器操作仅以指定的次数被发送到预配置的端点设备并且具有预配置的值,由此预防针对端点设备的淹没和其他形式的攻击。
在所描绘的实施例中,防火墙管理组件125递减寄存器操作在防火墙数据结构内可以被执行的次数的计数(框335),并且将接收到的第一寄存器操作转发给端点设备以用于执行(框340),并且方法300结束。
图4是示出了根据本文描述的一个实施例的使用防火墙数据结构来管理端点设备的寄存器操作的方法的流程图。如图所示,方法400开始于框410,其中防火墙管理组件125通过安全通信信道接收给防火墙数据结构的条目,该条目指定(i)端点设备的寄存器操作,(ii)寄存器操作的值,以及(iii)寄存器操作可以被执行的次数的计数。防火墙管理组件125更新防火墙数据结构以将接收到的条目添加到防火墙数据结构中(框415)。防火墙管理组件125随后通过非安全通信信道接收对应于防火墙数据结构内的添加的条目的第一寄存器操作(框420)。在接收到第一寄存器操作时,防火墙管理组件125更新寄存器操作在防火墙数据结构内可以被执行的次数的计数(框425)。防火墙管理组件125将接收到的第一寄存器操作转发给端点设备以用于执行(框430),并且方法400结束。
图5是示出了根据本文描述的一个实施例的配置有防火墙管理组件的系统的框图。系统500包括SCADA/HMI系统105、防火墙管理系统115和端点设备120。图5中描绘的SCADA/HMI系统105包括一个或多个计算机处理器512、非暂时性计算机可读存储器513和网络接口控制器516。存储器513包含控制逻辑组件514。例如,控制逻辑组件514可以被配置用于将防火墙条目安全地发送给防火墙管理系统115上的防火墙管理组件125。
防火墙管理系统105包括一个或多个计算机处理器532、非暂时性计算机可读存储器535和网络接口控制器549。存储器535包含防火墙管理组件125和操作系统548。通常,防火墙管理组件125代表可以生成和管理防火墙数据结构的软件逻辑,该防火墙数据结构用于管理可以被发送给端点设备120的寄存器操作。如本文所描述的,软件模块指任何软件组件,包括(但不限于)设备固件、软件应用、软件应用的模块、软件应用套件等。通常,操作系统548代表用于计算设备的任何合适的操作系统。
端点设备120包括一个或多个计算机处理器592、非暂时性计算机可读存储器593和网络接口控制器597。存储器593包含软件模块594。通常,软件模块594包含用于管理端点设备120的操作的特定于设备的控制逻辑。例如,在端点设备120代表断路器的实施例中,软件模块594可以被配置用于处理用于断开和闭合断路器、取得对应于断路器和/或连接到断路器的一个或多个传感器的状态信息等的寄存器操作。如本文所描述的,软件模块指任何软件组件,包括(但不限于)设备固件、软件应用、软件应用的模块、软件应用套件等。
目前,关键基础设施中的许多产品都不支持安全协议,然而由于以上所讨论的原因,这些产品在今后的几年里仍将继续运行。本文描述的实施例提出了一种与这些产品安全地集成的解决方案,并且提供了一种有效的分层防火墙方案。
在前述中参考了各种实施例。然而,本公开的范围不限于具体描述的实施例。而是,所描述的特征和要素的任何组合,无论是否与不同的实施例相关,都被设想以实现和实践所设想的实施例。此外,尽管实施例可以实现优于其他可能的解决方案或优于现有技术的优势,但是给定实施例是否实现具体的优势不限制本公开的范围。因此,前述的方面、特征、实施例和优势仅仅是说明性的,并且不被认为是所附权利要求的要素或限制,除非明确地在权利要求中被陈述。
通过参考各种实施例,可以对本公开进行更详细的描述,其中一些实施例在附图中被示出。尽管附图示出了本公开的选择实施例,但是这些附图不应被认为是对其范围的限制,因为本公开可以允许其他同等有效的实施例。
在可能的情况下,使用了相同的附图标记来指定附图中共有的相同要素。然而,在一个实施例中公开的要素可以有益地用在其他实施例中,而无需具体叙述。
本文公开的各种实施例可以实现为系统、方法或计算机程序产品。相应地,各方面可以采取完全硬件实施例、完全软件实施例(包括固件、常驻软件、微代码等)的形式,或结合软件和硬件方面的实施例,这些方面在本文中一般被称为“电路”、“模块”或“系统”。此外,各方面可以采取体现在一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质其上具有计算机可读程序代码。
可以利用一个或多个计算机可读介质的任何组合。计算机可读介质可以是非暂时性计算机可读介质。非暂时性计算机可读介质可以是,例如,但不限于,电子、磁、光、电磁、红外或半导体系统、装置或设备,或者上述的任何合适的组合。非暂时性计算机可读介质的更具体的示例(非穷举列表)可以包括以下:具有一条或多条导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、光纤、便携式光盘只读存储器(CD-ROM)、光储存设备、磁储存设备或上述的任何合适的组合。体现在计算机可读介质上的程序代码可以使用任何适当的介质来传输,包括但不限于无线、有线、光纤电缆、RF等,或上述的任何合适的组合。
用于执行本公开的各方面的操作的计算机程序代码可以用一种或多种编程语言的任意组合来编写。而且,这种计算机程序代码可以使用单个计算机系统或者通过彼此通信的多个计算机系统(例如,使用局域网(LAN)、广域网(WAN)、互联网等)来执行。尽管在前述中参考流程图和/或框图描述了各种特征,但是本领域普通技术人员将理解,流程图和/或框图的每个框以及流程图和/或框图中的框的组合可以由计算机逻辑(例如,计算机程序指令、硬件逻辑、两者的组合等)来实现。通常,计算机程序指令可以被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器。而且,使用处理器执行这种计算机程序指令产生可以执行流程图和/或框图或框中指定的功能或动作的机器。
附图中的流程图和框图示出了本公开的各种实施例的可能实现的架构、功能和/或操作。在这点上,流程图或框图中的每个框可以代表模块、代码段或部分,其包括用于实现指定逻辑功能的一个或多个可执行指令。还应当注意,在一些替代实现中,框中标注的功能可以不按照图中标注的顺序出现。例如,连续示出的两个框实际上可以基本同时执行,或者这些框有时可以以相反的顺序执行,取决于所涉及的功能。还将注意到,框图和/或流程图的每个框以及框图和/或流程图中的框的组合可以由执行指定功能或动作的基于专用硬件的系统或者专用硬件和计算机指令的组合来实现。
应当理解,以上描述旨在说明,而非限制。在阅读和理解以上描述后,许多其他实现示例是显而易见的。尽管本公开描述了具体的示例,但是应当辨识出,本公开的系统和方法不限于本文描述的示例,而是可以在所附权利要求的范围内进行修改来实践。相应地,说明书和附图应被认为是说明性意义的,而不是限制性意义的。因而,本公开的范围应当参考所附权利要求以及这些权利要求享有的等同物的全部范围来确定。
Claims (20)
1.一种防火墙设备,包括:
一个或多个计算机处理器;以及
包含计算机程序代码的非暂时性存储器,所述计算机程序代码在由所述一个或多个计算机处理器的操作执行时,执行操作,所述操作包括:
维护用于管理发送给一个或多个端点设备的寄存器操作的防火墙数据结构;
通过安全通信信道接收给所述防火墙数据结构的条目,所述条目指定(i)端点设备的寄存器操作,(ii)所述寄存器操作的值,以及(iii)所述寄存器操作能够被执行的次数的计数;
更新所述防火墙数据结构以将接收到的条目添加到所述防火墙数据结构中;
通过非安全通信信道接收用于所述端点设备的第一寄存器操作;
确定所述防火墙数据结构内的添加的条目对应于接收到的第一寄存器操作;
递减所述寄存器操作在所述防火墙数据结构内能够被执行的次数的所述计数;以及
将所述接收到的第一寄存器操作转发给所述端点设备以用于执行。
2.根据权利要求1所述的防火墙设备,其中,数据以明文形式通过非安全通信信道发送。
3.根据权利要求2所述的防火墙设备,
其中,所述非安全通信信道用于发送符合Modbus数据通信协议的数据。
4.根据权利要求1所述的防火墙设备,所述操作进一步包括:
在确定第二寄存器操作能够被执行的次数的计数等于零时,从所述防火墙数据结构中移除对应于所述第二寄存器操作的条目。
5.根据权利要求1所述的防火墙设备,其中,所述端点设备被配置用于在接收到所述第一寄存器操作时执行所述第一寄存器操作。
6.根据权利要求1所述的防火墙设备,其中,使用第二非安全通信信道将所述第一寄存器操作转发给所述端点设备以用于执行,其中,所述防火墙设备、所述端点设备和所述第二非安全通信信道位于安全物理环境内。
7.根据权利要求6所述的防火墙设备,其中,所述第二非安全通信信道用于发送符合Modbus数据通信协议的数据。
8.一种方法,包括:
通过安全通信信道向防火墙设备上维护的防火墙结构添加条目,所述条目指定(i)端点设备的寄存器操作,(ii)所述寄存器操作的值,以及(iii)所述寄存器操作能够被执行的次数的计数;以及
将所述寄存器操作发送给所述防火墙设备以转发给所述端点设备,
其中,所述防火墙设备被配置用于只有在所述防火墙结构中指定的所述计数不会被超过的情况下,才将所述寄存器操作转发给所述端点设备。
9.根据权利要求8所述的方法,其中,所述寄存器操作通过非安全通信信道发送。
10.根据权利要求9所述的方法,其中,所述非安全通信信道用于发送符合Modbus数据通信协议的数据,并且其中,数据以明文形式通过所述非安全通信信道发送。
11.根据权利要求8所述的方法,其中,所述防火墙设备被配置用于在确定第二寄存器操作能够被执行的次数的计数等于零时,从所述防火墙数据结构中移除对应于所述第二寄存器操作的条目。
12.根据权利要求8所述的方法,其中,所述端点设备被配置用于在从所述防火墙设备接收到所述第一寄存器操作时执行所述第一寄存器操作。
13.根据权利要求8所述的方法,其中,由所述防火墙设备使用第二非安全通信信道将所述第一寄存器操作转发给所述端点设备,并且其中,所述防火墙设备、所述端点设备和所述第二非安全通信信道位于安全物理环境内。
14.根据权利要求13所述的方法,其中,所述第二非安全通信信道用于发送符合Modbus数据通信协议的数据。
15.一种包含计算机程序代码的非暂时性计算机可读介质,所述计算机程序代码在由一个或多个计算机处理器的操作执行时,执行操作,所述操作包括:
通过安全通信信道接收给防火墙设备上的防火墙数据结构的条目,所述条目指定(i)端点设备的寄存器操作,(ii)所述寄存器操作的值,以及(iii)所述寄存器操作能够被执行的次数的计数;
更新所述防火墙数据结构以将接收到的条目添加到所述防火墙数据结构中;以及
在通过非安全通信信道接收对应于所述防火墙数据结构内的添加的条目的第一寄存器操作时:
更新所述寄存器操作在所述防火墙数据结构内能够被执行的次数的所述计数;以及
将接收到的第一寄存器操作转发给所述端点设备以用于执行。
16.根据权利要求15所述的非暂时性计算机可读介质,其中,所述非安全通信信道用于发送符合Modbus数据通信协议的数据,并且其中,数据以明文形式通过所述非安全通信信道发送。
17.根据权利要求15所述的非暂时性计算机可读介质,所述操作进一步包括:
在确定第二寄存器操作能够被执行的次数的计数等于零时,从所述防火墙数据结构中移除对应于所述第二寄存器操作的条目。
18.根据权利要求15所述的非暂时性计算机可读介质,其中,所述端点设备被配置用于在接收所述第一寄存器操作时执行所述第一寄存器操作。
19.根据权利要求15所述的非暂时性计算机可读介质,其中,使用第二非安全通信信道将所述第一寄存器操作转发给所述端点设备以用于执行,并且其中,所述防火墙设备、所述端点设备和所述第二非安全通信信道位于安全物理环境内。
20.根据权利要求19所述的非暂时性计算机可读介质,其中,所述第二非安全通信信道用于发送符合Modbus数据通信协议的数据。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202163157304P | 2021-03-05 | 2021-03-05 | |
| US63/157,304 | 2021-03-05 | ||
| PCT/US2022/018843 WO2022187579A1 (en) | 2021-03-05 | 2022-03-04 | Automatic firewall configuration for control systems in critical infrastructure |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117255994A true CN117255994A (zh) | 2023-12-19 |
Family
ID=83154585
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280028395.9A Pending CN117255994A (zh) | 2021-03-05 | 2022-03-04 | 关键基础设施中控制系统的自动防火墙配置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20240146694A1 (zh) |
| EP (1) | EP4295249A1 (zh) |
| CN (1) | CN117255994A (zh) |
| WO (1) | WO2022187579A1 (zh) |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8631483B2 (en) * | 2005-06-14 | 2014-01-14 | Texas Instruments Incorporated | Packet processors and packet filter processes, circuits, devices, and systems |
| US10757103B2 (en) * | 2017-04-11 | 2020-08-25 | Xage Security, Inc. | Single authentication portal for diverse industrial network protocols across multiple OSI layers |
-
2022
- 2022-03-04 EP EP22764109.9A patent/EP4295249A1/en active Pending
- 2022-03-04 US US18/280,320 patent/US20240146694A1/en active Pending
- 2022-03-04 WO PCT/US2022/018843 patent/WO2022187579A1/en active Application Filing
- 2022-03-04 CN CN202280028395.9A patent/CN117255994A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022187579A9 (en) | 2023-09-07 |
| US20240146694A1 (en) | 2024-05-02 |
| EP4295249A1 (en) | 2023-12-27 |
| WO2022187579A1 (en) | 2022-09-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101977731B1 (ko) | 제어 시스템의 이상 징후 탐지 장치 및 방법 | |
| US9832227B2 (en) | System and method for network level protection against malicious software | |
| US11303673B1 (en) | System and method for preventing lateral propagation of ransomware using a security appliance that functions as a DHCP relay on a shared network | |
| US11252183B1 (en) | System and method for ransomware lateral movement protection in on-prem and cloud data center environments | |
| US20140298008A1 (en) | Control System Security Appliance | |
| CN111869189A (zh) | 网络探针和处理消息的方法 | |
| CN106789982B (zh) | 一种应用于工业控制系统中的安全防护方法和系统 | |
| Januário et al. | Security challenges in SCADA systems over Wireless Sensor and Actuator Networks | |
| Elgargouri et al. | Analysis of cyber-attacks on IEC 61850 networks | |
| Taylor et al. | Enhancing integrity of modbus TCP through covert channels | |
| WO2019102809A1 (ja) | セキュリティ監視装置 | |
| AbuEmera et al. | Security framework for identifying threats in smart manufacturing systems using STRIDE approach | |
| Tippenhauer et al. | Vbump: Securing ethernet-based industrial control system networks with vlan-based traffic aggregation | |
| JP5307238B2 (ja) | 通信ネットワークのための侵入防止方法およびシステム | |
| KR101881061B1 (ko) | 모드 변경이 가능한 양방향 통신 장치 및 방법 | |
| US9298175B2 (en) | Method for detecting abnormal traffic on control system protocol | |
| US20240146694A1 (en) | Automatic firewall configuration for control systems in critical infrastructure | |
| CN115834218A (zh) | 一种调度数据网多级阻断的安全防护方法及系统 | |
| WO2019035488A1 (ja) | 制御装置、通信システム、制御方法及びコンピュータプログラム | |
| EP3018878B1 (en) | Firewall based prevention of the malicious information flows in smart home | |
| Hareesh et al. | Passive security monitoring for IEC-60870-5-104 based SCADA systems | |
| Manoj | Cyber Security | |
| US11652842B2 (en) | Edge device assisted mitigation of publish-subscribe denial of service (DoS) attacks | |
| Bartman et al. | An introduction to applying network intrusion detection for industrial control systems | |
| US11979431B1 (en) | System and method for prevention of lateral propagation of ransomware using ARP control on network switches to create point-to-point links between endpoints |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |