本发明专利技术的各个方面提供用于保护可编程逻辑控制器(PLC)201和工厂网络203免受越权访问以及用于提供鲁棒的预期的通信的装置、系统,以及计算机可读介质。通信模块211在不使用外部的基础设施网络设备的情况下,仅提供在工厂网络和控制网络/办公网络205之间的预期的通信并阻挡在这两者之间的所有未预期的通信。通信模块包括以太网交换机303和电耦合CPU模块209、工厂网络,以及控制/办公网络的端口以及通过基于配置信息406和504转发数据包来控制从控制/办公网络到PLC和工厂网络的通信,其中通过端口接收数据包。通信模块仅在相关的源地址和目的地址与配置信息一致时才传递数据包。通信模块还可基于数据包流量限制来传递数据包。
【技术实现步骤摘要】
【国外来华专利技术】具有网络隔离和通信过滤器的通信模块背景以太网技术被广泛使用在住宅、办公和工业部门。由于以太网网络和信息技术变得更加流行和更加成熟,趋势为在许多工业通信和自动化应用中使用以太网技术作为主要的通信接口。因为过程控制工业和自动化工业认识到以太网技/TCP/IP的重要性,以太网网络协议成为在过程级和控制级的主导通信技术。可编程逻辑控制器(PLC)和分布式控制系统(DCQ的许多生产商生产包含内置的以太网接口的产品,其能够被使用以连接PLC、以太网1/0,以及其它工业仪器。因此,以太网技术从非重要的办公环境转移到重要的但几乎不可预测的工业环境。然而,传统的现成的以太网设备典型地不能达到工业应用的高可靠性要求。工业网络可能因此易受到内部的和外部的网络攻击和仍然能破坏系统的性能/ 操作的非有意的行为的影响。作为防止外部的网络攻击的措施,可采取防火墙或其它安全措施以从将工业网络与其它网络隔离。然而,工业网络仍然比较脆弱,因为安全措施在预防由病毒、蠕虫、木马程序和其它形式的恶意代码的外部攻击以及可出现的计算机黑客入侵、 侵入、内部攻击、错误,以及疏漏方面并非十分安全的。此外,例如,受感染的PC或系统能够通过使用调制解调器、直接的连接,或通过虚拟专用网络(VPN)连接到工业网络来绕开防火墙。PC或系统然后可引入蠕虫或其它形式的恶意代码到工业网络中。另外,PC或系统可被直接地连接到在防火墙之后的网络。上述所有的场景可导致工业自动化环境中的降低的性能或可造成该环境的通信失败。虽然在办公环境中的通信失败可能仅仅造成较小的不便,但在工业环境中即使短暂的通信失败也可造成安全隐患和极大的资产损失。除此之外,经常用于重要的工业系统的管理,例如,发电和配电、石油生产、运输、 制造和卫生服务的PLC (可编程逻辑控制)、输入/输出设备、HMI (人机接口)、DCS (分布式控制系统)、监测控制和数据采集(SCADA),以及自动化控制设备通过普及的通信技术的使用而变得日益互连,所述通信技术例如,以太网、TCP/IP和网络服务。虽然SCADA的网络体系和自动化控制设备以改进的数据流和效率的形式带来了相当大的利益,但其也暴露了这些系统受病毒、黑客和恐怖分子的攻击的可能性,如一旦隔离的设备和网络可从外界访问时。在全球可能存在许多未被充分保护的控制系统。这些设备可能承担重要的系统和基础设施的安全操作,例如,电力传输变电站、天然气管道、制造工厂等,但同时对于可能以它们为攻击目的的恶意人员处于主要的无保护状态。除了安全考虑,控制系统对于可破坏系统的性能/操作的非有意的行为是比较脆弱的。例如,合法地连接到控制系统的设备可使用到控制系统内的另外的设备的消息来充满网络。因此,在控制系统中的具有时间关键的通信要求的其它设备可受到不利的影响。根据现有技术,解决以上问题的一种方法为监控工业网络的事件和相应地提出警告。工业网络可执行风险评估和依照风险评估做出响应。涉及关于工业网络的性能、健康和安全信息的很多状况以及反映工业网络外部的状况的其它因素可被考虑。然而,警报的监控为可用于触发阻止访问的行动的预警能力,但所述行动通过其自身不能阻止访问。传统的安全解决方案也是基于保护不安全的内部设备或计算机接触外部世界的中央防火墙。然而该方法通常不解决工业控制领域的要求。存在的控制器典型地不提供验证、完整性或保密机制以及可由能够找到或“Ping”网络以及相关的设备的任何个人完全地控制。除此之外,传统的安全解决方案典型地不能被容易地修补和不具有附加到它们的安全特性。一旦病毒或黑客设法通过传统的防火墙(或已经在其内部),则由防火墙保护的设备,例如,典型的可编程逻辑控制器(PLC)或分布式控制系统(DCS)成为简单的攻击目的。概述本专利技术的一个方面提供用于保护可编程逻辑控制器(PLC)和工厂网络免受越权访问以及用于提供鲁棒的预期的通信的装置和计算机可读介质。以太网通信接口模块设计在不使用工业自动化领域的外部的基础设施网络设备的情况下,保护工厂网络并仅提供在工厂网络和控制网络/办公网络之间的预期的通信且阻挡这两者之间的所有未预期的通根据本专利技术的另一方面,在可编程逻辑控制器(PLC)中的通信模块包括以太网交换机和电耦合CPU模块、工厂网络,以及控制/办公网络的端口。模块通过基于配置信息传递数据包控制从控制/办公网络到PLC和工厂网络的通信,其中数据包通过端口和以太网交换机被接收。通信模块仅在相关的源地址和目的地址与配置信息一致时传递数据包。通信模块还可基于数据包流量限制传递数据包。根据本专利技术的另一方面,通信模块基于利用源地址、目的地址和应用识别(应用协议)的标准过滤数据包。过滤可发生在开放式系统互联(OSI)基本参考模型的层2或层 3。在满足标准时,数据包被转发到目的地址。附图简述本专利技术的更加完整的理解及其优势可通过参考以下描述并结合附图来获得,其中相同的参考数字表示相同的特征,以及其中附图说明图1示出根据现有技术的控制系统。图2示出了根据本专利技术的实施方式的控制系统。图3示出了根据本专利技术的实施方式的可编程逻辑控制器的方框图。图4示出了根据本专利技术的实施方式在OSI层2操作的保护块的流程图。图5示出了根据本专利技术的实施方式在OSI层3操作的保护块的流程图。图6示出了根据本专利技术的实施方式的通信模块的方框图。详细描述在以下各种实施方式的描述中,参考形成其一部分的附图,以及通过示例示出本专利技术可被实践的各种实施方式。应该理解,其它实施方式可被利用以及在不偏离本专利技术的范围的情况下可进行结构和功能的修改。图1示出了根据现有技术的控制系统100。可编程逻辑控制器(PLC) 101通常控制工业环境中的自动化过程,其包括通信模块111、CPU模块109、电源107和背板127。通信模块111提供在PLC 101和工厂网络103和控制网络105(通过路由器121)之间的通信接口。工厂网络103为工厂设备113和115提供网络连接以及通过接收输出信息和发送输入信息与PLC 101进行通信而与直接操作自动化操作相关联。背板127提供在专用的功能模块之间的通信,例如,通信模块111,以及CPU模块111。电源107通过背板127供应电力到 CPU模块109和通信模块111。控制网络105连接控制/办公设备117和119,其典型地负责监控、配置,以及监督控制。控制/办公设备117和119典型地不参与自动化操作但是监控工厂活动。同样,控制网络105通过防火墙123连接到互联网服务提供者(ISP) 125。系统100的网络类型通常不会将控制网络105与工厂网络103和PLClOl隔离。因此,对到和来自控制105的过量的消息的处理可破坏由PLClOl和工厂网络103支持的自动化过程。图2示出了根据本专利技术的实施方式的控制系统200。可编程逻辑控制器(PLC)以太网通信接口模块设计防御PLC 201和工厂网络203的越权进入以及提供健全的预期的通信。以太网通信接口模块设计在不使用典型地包括在传统的工业自动化系统的外部的基础设施网络设备的情况下,保护工厂网络203,并仅提供在工厂网络203和控制网络/办公网络205之间的预期的通信,并阻挡在这两者之间的所有未预期的通信。可编程逻辑控制器(PLC) 201包括电源207、C本文档来自技高网...
【技术保护点】
1.一种在可编程逻辑控制器(PLC)中的通信模块:包括:数据包交换机;第一端口,其通过所述数据包交换机电耦合到所述PLC的CPU模块;第二端口,其通过所述数据包交换机电耦合到第一网络;第三端口,其通过所述数据包交换机电耦合到第二网络;以及处理器,其被配置以通过所述端口中的一个从源地址接收数据包以及通过基于配置信息选择地传递所述数据包到目的地址来控制从所述第二网络到所述PLC和所述第一网络的通信。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:维嘉库马·索尼,
申请(专利权)人:施耐德电气美国股份有限公司,
类型:发明
国别省市:US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。