关键基础设施中控制系统的自动防火墙配置技术方案

实施例提供了用于安全管理寄存器操作到端点设备

【技术实现步骤摘要】
【国外来华专利技术】关键基础设施中控制系统的自动防火墙配置
[0001]相关申请的交叉引用
[0002]本申请要求
2021
年3月5日提交的美国临时申请第
63/157,304
号的优先权和权益，其全部内容通过引用整体结合于本文
。


[0003]本公开涉及计算设备安全性，并且更具体地，涉及用于保护关键基础设施的控制系统的技术
。

技术介绍

[0004]近年来，在数据通信和网络安全领域已经取得了许多进步
。
然而，在某些情况下，不能采用这些进步的传统设备由于各种原因仍在使用
。
例如，目前使用的大多数断路器都不支持消息级或传输级安全性
。
作为结果，这些断路器依赖于传统的非安全通信协议
。
尽管从安全的角度来看，更换这些断路器是最好的选择，但由于停机时间
、
成本等原因，许多安装使其变得不切实际
。
并且更一般地，在一些行业中，非安全协议
(
例如，明文数据通信和其他非安全通信协议
)
仍然在使用，并且可能甚至是必需的，以便确保与监测和入侵检测系统的兼容性和透明性
。
附图说明
[0005]通过参考各种实施例，可以对以上简要概述的本公开进行更详细的描述，其中一些实施例在附图中被示出
。
尽管附图示出了本公开的选择实施例，但是这些附图不应被认为是对其范围的限制，因为本公开可以承认其他同等有效的实施例
。
[0006]在可能的情况下，使用了相同的附图标记来指定附图中共有的相同要素
。
然而，在一个实施例中公开的要素可以有益地用在其他实施例中，而无需具体叙述
。
[0007]图
1A
‑
图
1E
示出了根据本文描述的一个或多个实施例的在包括防火墙的工业网络中执行的各种网络操作
。
[0008]图2是示出了根据本文描述的一个实施例的用于将寄存器操作安全地发送给端点设备的方法的框图
。
[0009]图3是示出了根据本文描述的一个实施例的使用防火墙数据结构来管理端点设备的寄存器操作的方法的流程图
。
[0010]图4是示出了根据本文描述的一个实施例的使用防火墙数据结构来管理端点设备的寄存器操作的方法的流程图
。
[0011]图5是示出了根据本文描述的一个实施例的配置有防火墙管理组件的系统的框图
。
具体实施方式
[0012]本文描述的实施例提供了用于保护传统系统中的通信的技术
。
关键基础设施中的
电力系统被设计成具有坚实并且安全的基础
。
这包括实现具有多层防火墙
、
入侵检测系统以及物理安全要素的全面的深度防护策略
。
保护实现的一个挑战是，用于电力
、
建筑管理
、
自动化和工业过程的许多设备需要不受保护的协议
(
诸如
Modbus
或
IEC61850)
，并且不支持基于消息的加密
。
尽管单个供应商可以为其产品配备安全流程
(
诸如要求安全的
Modbus)
，但仍会存在必须与第三方硬件进行传统通信的情况
。
本文描述的实施例提供了一种提高安全性标准
、
同时允许继续使用这些传统协议的解决方案
。
[0013]更具体地，本文描述的实施例涉及电力监测系统和
/
或监督控制和数据采集
(SCADA)
系统，以及当事件或动作发生时这些系统动态地配置下游网络设备
(
防火墙
、
入侵检测
/
预防或
SIEM
系统
)
的能力
。
通常，存在与下游网络设备通信以动态地配置设置的系统
。
然而，这些现有的系统依赖于发生在网络基础设施上的配置事件
、
状态或条件
。
本文描述的实施例不仅关注网络基础设施，而且还关注电力网络基础设施中正在发生或将要发生的事件
。
[0014]通常，电力系统和
/
或
SCADA
系统包含目前不由这些基于网络的系统捕获和分析的关键信息
。
例如，
SCADA
系统可能知道甩负荷事件将要发生
(
例如，在特定的时间或响应于特定的用户输入
)。
基于该信息，
SCADA
系统可以使用安全信道重新配置工业控制系统
(ICS)
网络上的安全设备，以允许特定的控制消息
(
引起继电器或断路器操作
)。
也就是说，尽管这些网络中的传统设备可能不能实现适当的安全协议，但是现代安全设备
(
例如，路由设备
)
可以被配置用于实现现代安全措施
。
相应地，实施例可以使用安全信道将配置指令发送给安全设备
(
例如，使用由安全设备先前提供的公钥来加密配置指令，从而安全设备可以使用私钥来解密接收到的配置指令
)。
一旦操作完成，然后网络就可以重新配置为更安全的状态
。
有利的是，本文描述的实施例提供了对分组数据签名的程序化创建，以指示防火墙何时允许或阻止数据的传递，由此提高了系统的安全性
。
[0015]保护网络安全的深度防护策略的一部分包括在网络层次结构的各种级别放置防火墙
。
这包括边缘防火墙
(
在网络的边缘或“入口”)
以及较低级别的子网络
(
例如，在单个交换机板或面板内
)。
照惯例，电力系统可以只包括边缘防火墙，并且
ICS
网络
(
或电力网络
)
的其余部分被认为是“安全的”，但是这种误解会导致错误的安全感
。
此外，即使对于在不同的层上具有多个防火墙的系统，这些系统一般以
IT
为中心的方式设置，其中安全性集中在
TCP
端口和
IP
地址上，而不是它们允许传递的实际协议数据
。
[0016]最近的防火墙具有基于应用或协议传递流量
(traffic)
的能力
。
一些防火墙具有检查特定于
ICS
的协议
(
诸如
Modbus
或
IEC61850)
的能力
。
在这些情况下，防火墙可以调整流量，只允许控制写入，例如，写入到特定的
Mo本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.
一种防火墙设备，包括：一个或多个计算机处理器；以及包含计算机程序代码的非暂时性存储器，所述计算机程序代码在由所述一个或多个计算机处理器的操作执行时，执行操作，所述操作包括：维护用于管理发送给一个或多个端点设备的寄存器操作的防火墙数据结构；通过安全通信信道接收给所述防火墙数据结构的条目，所述条目指定
(i)
端点设备的寄存器操作，
(ii)
所述寄存器操作的值，以及
(iii)
所述寄存器操作能够被执行的次数的计数；更新所述防火墙数据结构以将接收到的条目添加到所述防火墙数据结构中；通过非安全通信信道接收用于所述端点设备的第一寄存器操作；确定所述防火墙数据结构内的添加的条目对应于接收到的第一寄存器操作；递减所述寄存器操作在所述防火墙数据结构内能够被执行的次数的所述计数；以及将所述接收到的第一寄存器操作转发给所述端点设备以用于执行
。2.
根据权利要求1所述的防火墙设备，其中，数据以明文形式通过非安全通信信道发送
。3.
根据权利要求2所述的防火墙设备，其中，所述非安全通信信道用于发送符合
Modbus
数据通信协议的数据
。4.
根据权利要求1所述的防火墙设备，所述操作进一步包括：在确定第二寄存器操作能够被执行的次数的计数等于零时，从所述防火墙数据结构中移除对应于所述第二寄存器操作的条目
。5.
根据权利要求1所述的防火墙设备，其中，所述端点设备被配置用于在接收到所述第一寄存器操作时执行所述第一寄存器操作
。6.
根据权利要求1所述的防火墙设备，其中，使用第二非安全通信信道将所述第一寄存器操作转发给所述端点设备以用于执行，其中，所述防火墙设备
、
所述端点设备和所述第二非安全通信信道位于安全物理环境内
。7.
根据权利要求6所述的防火墙设备，其中，所述第二非安全通信信道用于发送符合
Modbus
数据通信协议的数据
。8.
一种方法，包括：通过安全通信信道向防火墙设备上维护的防火墙结构添加条目，所述条目指定
(i)
端点设备的寄存器操作，
(ii)
所述寄存器操作的值，以及
(iii)
所述寄存器操作能够被执行的次数的计数；以及将所述寄存器操作发送给所述防火墙设备以转发给所述端点设备，其中，所述防火墙设备被配置用于只有在所述防火墙结构中指定的所述计数不会被超过的情况下，才将所述寄存器操作转发给所述端点设备
。9.
根据权利要求8所述的方法，其中，所述寄存器操作通过非安全通信信道发送
。10.
根据权利要求9所述的方法，其中，所述非安全通信信道用于发送符合
Modbus
数据通信协议的数据，并且其中，数据以明文形式通过所述非安全通信信道发送
。11.
根据权...

【专利技术属性】
技术研发人员：C，
申请(专利权)人：施耐德电气美国股份有限公司，
类型：发明
国别省市：