嵌入式控制设备中的网络安全暴露评估和响应系统和方法技术方案

本发明专利技术公开了嵌入式控制设备中的网络安全暴露评估和响应系统和方法。用于评估和在需要的情况下改变对定位在本地网络上的假设免受外部网络威胁的个体的嵌入式设备的网络安全攻击的可能性的系统和方法。在第一级潜在的暴露中，该系统试图将输出消息发送到本地网络外部的网络上的已知的IP地址。如果输出消息被确认为已接收，则嵌入式设备具有对外部网络的访问。在第二级潜在的暴露中，已知的外部IP地址试图将输入消息发送到嵌入式设备。如果接收到输入消息，则可以从外部网络访问嵌入式设备。

Network security exposure assessment and response system and method in embedded control device

The invention discloses a network security exposure assessment and response system and method in an embedded control device. A system and method for evaluating and potentially changing the possibility of network security attacks on embedded devices that are positioned outside the network on the assumption that they are protected from external network threats. In the first level of potential exposure, the system attempts to send the output message to the known IP address on the network outside the local network. If the output message is confirmed to have been received, the embedded device has access to the external network. At level second potential exposure, the known external IP address attempts to send input messages to the embedded device. If an incoming message is received, an embedded device can be accessed from an external network.

【技术实现步骤摘要】
嵌入式控制设备中的网络安全暴露评估和响应系统和方法专利
本公开涉及本地控制网络上的嵌入式工业控制设备，并且具体地涉及用于确定对个体的嵌入式工业控制设备的网络安全攻击的可能性的方法和装置。专利技术背景工业控制产品行业已经历史上规定或假定为作为工业控制系统或工业自动化系统的一部分的嵌入式控制设备和/或工业控制产品被连接到专用网络。例如，仅连接到本地控制网络或厂内网络，而不是连接到本地控制网络之外的因特网或任何全球网络。说明或指定嵌入式控制设备或产品应该在“安全”网络环境中使用已经是行业标准。然而，并不总是遵循这种假设或指令，其导致嵌入式控制产品通常具有无意或有意地与因特网的连接。嵌入式控制产品可以根据它们在网络中的功能以及它们如何连接到因特网(外部世界)而暴露于不同严重程度的网络安全威胁。它们可以直接或通过防火墙或网络地址转换(NAT)间接连接到因特网，其期望提供网络安全保护。在过去，嵌入式工业控制设备已经受损，一些事件已经取得了显著的恶名，诸如2014年对德国钢厂的攻击，其严重损坏了高炉。随着最近对许多被认为安全的网络的网络攻击的增加，我们对工业控制网络的脆弱性以及对于可导致的人身伤害、死亡、设备损坏或生产损失的可能性的认识也已经提高。因此，需要降低对具有与因特网或外部全球网络的可能连接的工业控制设备的网络安全威胁的暴露和来自其的风险。因此，将最期望对每个嵌入式控制产品内的更鲁棒、自动的网络安全保护的需要。专利技术概述本专利技术提供了用于评估对于嵌入式控制设备的网络安全暴露的可能性的系统，该系统包括：嵌入式设备，其具有能够在本地网络上发送输出消息和接收输入消息的至少一个通信端口；存储器，用于存储定义用于评估嵌入式设备的潜在的网络安全暴露的步骤的算法；处理器，能够执行用于评估嵌入式设备的潜在的网络安全暴露的所存储的步骤；以及其中，评估嵌入式设备的潜在的网络安全暴露包括：确定用于嵌入式设备的网络安全阈值；通过将输出消息从至少一个通信端口发送到已知在本地网络外部的网络上可访问的IP地址，由处理器启动第一级潜在的网络安全暴露评估，该消息通过向接收的IP地址请求输入响应消息来启动第二级网络安全暴露评估；由处理器将输出消息和输入消息的成功/失败状态与网络安全阈值进行比较；以及基于比较，由处理器保持或改变当前级别的网络安全暴露。本专利技术还提供了用于评估定位在本地控制网络上的嵌入式控制设备的潜在的网络安全暴露的方法，该方法包括：确定用于嵌入式设备的网络安全阈值；将输出消息从嵌入式设备的通信端口发送到已知在本地网络外部的网络上可访问的IP地址，该消息向接收的IP地址请求指示输出消息的接收的输入响应消息；通过嵌入式设备的处理器将输出消息和传入消息的成功/失败状态与工业控制设备的网络安全阈值进行比较；以及基于比较，由处理器保持或改变当前级别的网络安全暴露。虽然如本文所公开的本专利技术应用于包括电动机控制器、电动机过载继电器、可编程逻辑控制器(PLC)、变速电动机驱动器、可编程逻辑继电器、传感器等的任何嵌入式控制设备，但是它还可以应用于驻留在本地网络上的具有用于存储算法步骤的存储器和能够执行所存储的步骤的处理器的其他设备。附图简述图1图示具有嵌入式工业控制设备和与因特网或其他全球网络的可能连接的局域网。图2是用于确定嵌入式设备的暴露阈值的流程图。图3是用于嵌入式控制设备的潜在的网络安全暴露的整体评估以及如果需要则采取适当的动作来减少暴露的流程图。专利技术的详细描述图1图示总体上由参考数字10指示的本地工业控制网络。本地控制网络10可以是硬连线的或无线的。可操作地连接到本地控制网络10的是多个个体的嵌入式控制设备14，该嵌入式控制设备14可以包括电动机控制器、电动机过载继电器、可编程逻辑控制器(PLC)、变速电动机驱动器、可编程逻辑继电器、传感器等。每个嵌入式控制设备14具有至少一个通信端口18，该通信端口18提供本地控制网络10上的嵌入式控制设备14之间的双向通信。本地控制网络10还可以具有与办公网络22的连接，该办公网络22通常可以通过防火墙或虚拟专用网络(VPN)30连接到全球网络26(因特网)。防火墙30在办公网络22和全球网络26之间提供一定程度的隔离。全球网络26为数百万外部托管系统34提供通信，外部托管系统34中的任一个可以发起对不受保护的嵌入式控制设备14的网络攻击。每个嵌入式控制设备14包括存储器38，该存储器38用于存储包括其当前潜在的网络安全暴露级别42、其网络安全暴露阈值46和由处理器54使用以执行潜在的网络安全暴露评估的算法50的信息。图2是用于确定嵌入式控制设备14的网络安全暴露阈值46的流程图。网络安全暴露阈值46与嵌入式设备14的功能关键性直接相关。它通常由用户在调试期间确定，并且涉及关于嵌入式控制设备14的功能(诸如嵌入式控制设备14关于与其使用有关的设计和监管标准的预期功能)、设备配置参数(诸如嵌入式控制设备14的哪些功能被启用)以及应用参数(诸如嵌入式控制设备14关于员工、设备和/或过程的安全的应用)的信息。其他关键性准则还可以用于确定网络安全阈值46，但是对于图3中的示例，将仅呈现三个准则。用于建立嵌入式设备14的网络安全阈值46的过程在步骤100处开始，其中考虑的所有准则将具有零的初始阈值单位值。在步骤105处，如果产品不被认为是趋于安全的，则它将保持零阈值单位。如果它被认为是趋于安全的产品，则其将在步骤115处被给予一个阈值单位，除非用户已经在步骤110处拒绝该授予。在步骤120处，如果安全功能未被启用，则将保持零的初始阈值单位。如果启用安全功能，则将授予一个阈值单位，除非该用户已经在步骤110处拒绝该授予。在步骤130处，如果该应用不被认为是关键的，则将保持零的初始阈值单位。如果该应用被认为是关键的，则将授予一个阈值单位，除非该用户已经在步骤110处拒绝该授予。在步骤140处，如果所有准则保持它们的初始零阈值，则当前暴露阈值可以被保持或者被增加到更高的级别但没有超过当前级别。在步骤145处，对任何授予的阈值单位进行量化并且确定新的阈值级别。如果用户拒绝了任何授予的阈值单位，则它们将不被计数。如果用户拒绝所有授予的阈值单位，则将使用初始零阈值单位并且结果将与步骤140相同。在步骤150处，来自步骤140或145的新阈值将被存储在存储器中。应当理解，嵌入式设备14的功能可以随时间而改变，因此网络安全暴露阈值46和对于网络安全暴露的可能性也可以随时间改变。还应当理解，阈值单位的值可以基于被评估的准则的关键性来进行加权。图3是用于确定个体的嵌入式控制设备14的潜在的网络安全暴露并且如果需要的话调整该级别的本专利技术的方法的流程图。在步骤100处，用于确定网络安全过程暴露的可能性的系统正在等待触发器来启动评估过程。该过程可以随机地、以预定的时间或时间表启动或者通过本地控制网络10上的异常流量来启动。一旦在步骤105处接收到触发器，在步骤110处开始嵌入式控制设备14的第一级潜在的网络安全暴露。第一级潜在的网络安全暴露由处理器54直接启动，该处理器54选择至少一个通信端口18中的一个，从存储器38检索执行潜在的网络安全暴露评估所需的网络安全暴露级别评估算法50及其他信息。处理器54试图使用多个可用的协议本文档来自技高网...

【技术保护点】
一种用于评估嵌入式设备的潜在的网络安全暴露的系统，所述系统包括：嵌入式设备，所述嵌入式设备具有能够在本地网络上发送输出消息和接收输入消息的至少一个通信端口；存储器，其用于存储定义用于评估所述嵌入式设备的所述潜在的网络安全暴露的步骤的算法；处理器，其能够执行用于评估所述嵌入式设备的所述潜在的网络安全暴露的所存储的步骤；以及其中，评估所述嵌入式设备的所述潜在的网络安全暴露包括：确定用于所述嵌入式设备的网络安全阈值；通过将输出消息从所述至少一个通信端口发送到已知在所述本地网络外部的网络上能够访问的IP地址，由所述处理器来启动第一级的潜在的网络安全暴露评估，所述消息通过向接收的IP地址请求输入响应消息来启动第二级的网络安全暴露评估；由所述处理器将所述输出消息和输入消息的成功/失败状态与所述网络安全阈值进行比较；以及基于所述比较，由所述处理器保持或改变网络安全暴露的当前级别。

【技术特征摘要】
2015.12.28 US 14/980,5271.一种用于评估嵌入式设备的潜在的网络安全暴露的系统，所述系统包括：嵌入式设备，所述嵌入式设备具有能够在本地网络上发送输出消息和接收输入消息的至少一个通信端口；存储器，其用于存储定义用于评估所述嵌入式设备的所述潜在的网络安全暴露的步骤的算法；处理器，其能够执行用于评估所述嵌入式设备的所述潜在的网络安全暴露的所存储的步骤；以及其中，评估所述嵌入式设备的所述潜在的网络安全暴露包括：确定用于所述嵌入式设备的网络安全阈值；通过将输出消息从所述至少一个通信端口发送到已知在所述本地网络外部的网络上能够访问的IP地址，由所述处理器来启动第一级的潜在的网络安全暴露评估，所述消息通...

【专利技术属性】
技术研发人员：本杰明·W·爱德华兹，康斯坦丁·亚历山大·菲利潘科，理查德·卡尔·韦勒，马修·L·怀特，凯文·M·杰弗里斯，
申请(专利权)人：施耐德电气美国股份有限公司，
类型：发明
国别省市：美国,US