本发明专利技术涉及微数据采集设备,该微数据采集设备能够被配置作为从第一计算设备到第二计算设备的单向连接来操作。微数据采集设备能够包括数据采集侧,该数据采集侧包括第一通用串行总线(USB)接口,该第一USB接口被配置用于连接到第一计算设备,以便从第一计算设备提取数据。微数据采集设备还能够包括监控装置,该监控装置包括拦截器,该拦截器被配置用于从数据采集侧复制数据,以便限定单向连接。此外,微数据采集设备能够限定包括第二USB接口的数据存储侧,第二USB接口被配置用于连接到第二计算设备,以便向第二计算设备传送数据。数据存储侧能够被配置用于经由该监控装置从该数据存储侧接收数据。在一些情况下,数据采集侧仅具有易失性存储器,并且数据存储侧包括非易失性存储器。此外,数据采集侧能够与数据存储侧物理分离。理分离。理分离。
【技术实现步骤摘要】
【国外来华专利技术】使用单向通信从计算设备中提取安全数据
技术介绍
[0001]随着时间的推移,网络攻击者对支持关键基础设施的工业自动化和控制系统的入侵威胁日益增加。在一些情况下,生产系统的垂直集成和价值链的水平集成迫使工业控制系统(ICS)变得更互连,尽管许多关键过程继续在物理隔离或气隙网络内操作。然而,这里认识到,气隙网络没有安全风险。与信息技术(IT)领域中的典型计算机不同,诸如可编程逻辑控制器(PLC)、分布式控制系统(DCS)、运动控制器、监控和数据采集(SCADA)服务器、人机接口(HMI)等的ICS组件或产品通常被设计用于执行控制功能,而不需要对网络安全进行内在考虑。此外,通常能够集成包括多个PLC、HMI、DCS、SCADA和运动控制器的控制系统网络,而不需要深入考虑针对网络威胁的保护。这种缺乏或保护可能会使这种操作技术(OT)系统非常脆弱,并且在最初的感染或入侵发生后很容易受到损害。能够发生初始感染的许多方式之一是通过诸如通用串行总线(USB)的可移动设备。
[0002]USB为各种设备提供简单的连接。USB设备是无处不在的,并且用户将其连接到不可信主机时,通常能够免责地使用它。USB的复杂特性可能掩盖这些设备的功能,这可能会欺骗USB所连接的操作系统,从而信任物理连接的设备,而这些设备可能不值得信任。攻击者滥用这种欺骗手段,从而使用隐藏键盘或网络适配器渗入系统。在OT域中,过去的各种事件(例如Stuxnet)已经证明攻击者在探索关键基础设施保护空间中的初始感染的替代入口点方面的能力。其他示例性事件包括污染USB存储介质、智能电话和维护笔记本电脑。
[0003]此外,工业物联网(IIoT)的出现影响了保证需求。IIoT由通过通信软件连接的各种设备组成。在一些情况下,在IIoT生态系统内的单个设备的妥协能够使攻击者能够监视、收集和/或控制信息,以便在没有人为干预的情况下操纵环境。此外,本文认识到工业控制系统中的当前安全方法缺乏与保护IIoT设备相关的能力。此外,考虑到与诸如USB等的瞬态介质相关联的风险,由安全专业人员执行的敏感操作(诸如取证和补救等)可能例如由于不同网段之间的潜在交叉污染而受到限制。
技术实现思路
[0004]本专利技术的实施例通过提供能够安全地从工业物联网(IIoT)环境内的各个设备提取数据的方法、系统和装置来解决和克服这里描述的一个或多个缺点。例如,能够以安全的方式使用单向USB-dongle或微数据采集设备从各个设备获得数据,使得单向USB-dongle或微数据采集设备能够安全地从多个设备提取数据,而不是例如必须为每个设备使用不同的USB存储器棒。在一些情况下,能够分析所提取到的数据,以便确定给定设备是否已经受损。在某些情况下,这种数据提取能够使计算机取证能够在受损的环境中进行,而没有在计算机取证阶段(例如,收集存储器、盘图像)期间在不同网段之间交叉污染的风险。
[0005]在一个实例方面,微数据采集设备被配置成作为从第一计算设备到第二计算设备的单向连接来操作。微数据采集设备能够包括数据采集侧,该数据采集侧包括第一通用串行总线(USB)接口,该第一USB接口被配置成连接到第一计算设备以便从第一计算设备提取数据。微数据采集设备还能够包括监控装置,该监控装置包括拦截器,该拦截器被配置成从
数据采集侧复制数据,以便限定单向连接。此外,微数据采集设备能够限定包括第二USB接口的数据存储侧,第二USB接口被配置为连接到第二计算设备,以便例如在不可能改变使用第一USB接口收集的数据的情况下向第二计算设备传送数据。数据存储侧侧能够被配置成经由该监控装置从该数据存储侧接收数据。在一些情况下,数据采集侧仅具有易失性存储器,并且数据存储侧包括非易失性存储器。此外,数据采集侧能够与数据存储侧物理分离。
[0006]在另一个实例方面,微DCU设备能够在不同时间经由第一USB接口或数据提取接口连接到多个工业设备中的每一个工业设备。当微DCU设备连接到多个工业设备中的每一个工业设备时,微DCU设备的数据采集侧能够从多个工业设备中的每一个工业设备提取相应的数据,以便限定提取到的数据。提取到的数据能够通过数据采集侧和数据存储侧之间的单向通信连接从数据采集侧传送到微DCU设备的数据存储侧。在一些情况下,当第一USB接口与相应工业设备耦合时,从相应工业设备传送相应提取到的数据。所提取到的数据能够存储在微DCU设备的数据存储侧,例如存储在闪速存储器中。所提取到的数据能够被过滤,例如通过数据存储侧的过滤器配置部,以便从所提取到的数据中移除内容,从而限定已过滤的数据。能够例如通过数据存储侧上的散列应用或模块来生成表示已过滤的数据的一个或多个消息摘要(例如,散列值)。一个或多个消息摘要能够存储在例如闪速存储器中。微DCU设备能够经由第二USB接口连接或连接到存储设备。已过滤的数据能够通过第二USB接口传送到存储设备。
附图说明
[0007]当结合附图阅读时,从下面的详细描述中能够最好地理解本专利技术的上述和其它方面。为了说明本专利技术,在附图中示出了目前优选的实施例,然而,应当理解,本专利技术不限于所公开的特定手段。附图中包括下列附图:
[0008]图1示出了部署在示例性工业控制系统(ICS)内的数据采集单元(DCU)装置的框图。
[0009]图2示出了根据示例性实施例的微DCU设备的框图。
[0010]图3示出了根据示例性实施例的能够由微DCU设备限定的示例性USB控制器栈。
[0011]图4示出了能够由根据示例性实施例的微DCU设备执行的流程图。
[0012]图5示出了其中能够实现本专利技术的实施例的计算环境。
具体实施方式
[0013]诸如通用串行总线(USB)存储设备之类的可移动介质能够在企业信息技术(IT)域和操作技术(OT)域内用于传送数据。在一些情况下,使用USB中的规则的数据包级过滤能够从到给定主机的连接过滤未授权接口。在其它方法中,用户可能需要基于USB设备报告什么来明确地允许或拒绝业务。在其它方法中,给定的USB存储设备可能以某种方式在使用USB设备执行任何读/写操作之前验证主机的完整性。在另一种方法中,使用不同的USB设备来从不同的设备提取数据,使得USB不能用来自另一设备的数据来感染给定设备。这种方法需要许多USB设备,这可能是不实际的。在此还认识到,当前的方法未能完全解决与经由诸如USB设备的可移动介质共享数据有关的安全问题。
[0014]首先参考图1,示例性分布式控制系统(DCS)或工业控制系统(ICS)100包括诸如办
公室或公司网络的不可信或不安全IT网络102,以及经由数据控制装置或数据控制单元(DCU)106通信地耦合到IT网络102的诸如生产网络的安全或可信操作技术(OT)网络104。IT网络102能够限定办公室网络或公共网络,它们能够包括云,云具有比OT网络104更低的安全性要求,OT网络104能够限定专用或关键生产网络,例如石油化工厂或核电站中的网络等。DCU 106能够被配置成作为专用网络和公共网络之间的单向通信连接来操作。DCU 本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种被配置作为从第一计算设备到第二计算设备的单向连接来操作的微数据采集设备,所述微数据采集设备包括:数据采集侧,所述数据采集侧包括第一通用串行总线USB接口,所述第一通用串行总线接口被配置用于连接到所述第一计算设备,以便从所述第一计算设备提取数据;监控装置,所述监控装置包括拦截器,所述拦截器被配置用于从所述数据采集侧复制数据,以便限定所述单向连接;以及数据存储侧,所述数据存储侧包括第二USB接口,所述第二USB接口被配置用于连接到所述第二计算设备,以便将数据传输到所述第二计算设备,所述数据存储侧被配置用于经由所述监控装置从所述数据存储侧接收数据。2.根据权利要求1所述的微数据采集设备,所述微数据采集设备进一步包括:只读存储器,微采集设备的操作系统被配置用于,每当所述微采集设备经由第一USB接口连接到所述第一计算设备或经由所述第二USB接口连接到所述第二计算设备时,所述微采集设备的操作系统被重新加载到所述只读存储器上。3.根据权利要求1所述的微数据采集设备,其中,所述数据采集侧与所述数据存储侧物理分离。4.根据权利要求3所述的微数据采集设备,其中,所述数据采集侧电感耦合到所述数据存储侧。5.根据权利要求4所述的微数据采集设备,其中,所述数据采集侧还包括输入端和输出端,并且所述监控装置还包括耦合到所述输入端和所述输出端的导线,以便限定回路,所述拦截器连接到所述数据存储侧并电感耦合到所述回路,以便限定从所述数据采集侧到所述数据存储侧的所述单向连接。6.根据权利要求1所述的微数据采集设备,其中,所述数据采集侧还仅包括易失性存储器,使得没有其它存储器驻留在所述数据采集侧上。7.根据权利要求1所述的微数据采集设备,其中,所述数据存储侧还包括限定非易失性存储器的闪速存储器,所述闪速存储器被配置用于存储从所述数据采集侧接收的数据。8.根据权利要求7所述的微数据采集设备,所述数据存储侧还被配置用于:从所述闪速存储器中检索数据,以便限定检索到的数据,从所述数据采集侧接收所述检索到的数据;以及经由所述第二USB接口将所述检索到的数据的第一部分传输到所述第二计算设备。9.根据权利要求8所述的微数据采集设备,其中,所述数据存储侧还包括过滤器配置部,所述过滤器配置部被配置用于从所述检索到的数据中移除数据的第二部分,以便限定所述检索到的数据的所述第一部分。10.根据权利要求9所述的微数据采集设备,其中,所述过滤器配置部还被配置用于基于所述检索到的数据的源或目的地、与所述检索到的数据相关联的时间或日期、与所述检索到的数据相关联的文件格式或句法、或与所述检索...
【专利技术属性】
技术研发人员:戴维,
申请(专利权)人:西门子交通有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。