具有受保護(hù)的外部訪問的過程工廠網(wǎng)絡(luò)的制作方法
【技術(shù)領(lǐng)域】
[0001 ]本申請總體上設(shè)及過程工廠通信系統(tǒng)����,并且更具體來說,設(shè)及在允許對來自運些 系統(tǒng)的數(shù)據(jù)的外部訪問的同時保護(hù)過程工廠和維護(hù)系統(tǒng)�����。
【背景技術(shù)】
[0002] 諸如類似于在發(fā)電�、化學(xué)、石油�、或其它制造過程中所使用的那些分布式或者可擴(kuò) 展的過程控制系統(tǒng)之類的過程控制系統(tǒng)通常包括一個或多個控制器���,該一個或多個控制器 彼此通信地禪合,經(jīng)由過程控制網(wǎng)絡(luò)禪合到至少一個主機(jī)或操作者工作站并經(jīng)由模擬總 線����、數(shù)字總線或者組合的模擬/數(shù)字總線禪合到一個或多個現(xiàn)場設(shè)備。例如可W是閥�、閥定 位器、交換機(jī)和發(fā)射機(jī)(例如�����,溫度傳感器����、壓力傳感器和流速傳感器)的現(xiàn)場設(shè)備在過程或 工廠內(nèi)執(zhí)行功能,諸如打開閥或關(guān)閉閥�����、開啟設(shè)備或關(guān)閉設(shè)備W及測量過程參數(shù)����?���?刂破鹘?收指示由現(xiàn)場設(shè)備獲得的過程或工廠的測量結(jié)果和/或與現(xiàn)場設(shè)備有關(guān)的其它信息的信 號��,使用該信息來執(zhí)行一個或多個控制例程并隨后生成控制信號����,通過工廠網(wǎng)絡(luò)的總線或 通信信道來向現(xiàn)場設(shè)備發(fā)送該控制信號�����,W控制過程或工廠的操作��。通常使來自現(xiàn)場設(shè)備 和控制器的信息可用于由操作者工作站執(zhí)行的一個或多個應(yīng)用����,W使得操作者或維護(hù)人員 能夠執(zhí)行關(guān)于過程或工廠的任何期望的功能,諸如查看工廠的當(dāng)前狀態(tài)���、修改工廠的操作��、 校準(zhǔn)設(shè)備等等���。
[0003] 在操作期間,通常位于過程工廠環(huán)境內(nèi)的過程控制器接收指示由現(xiàn)場設(shè)備獲得的 或者與現(xiàn)場設(shè)備相關(guān)聯(lián)的過程測量結(jié)果或過程變量和/或與現(xiàn)場設(shè)備有關(guān)的其它信息的信 號,并使用該信息來執(zhí)行控制器應(yīng)用�����?��?刂破鲬?yīng)用執(zhí)行例如不同的控制模塊����,該不同的控制 模塊作出過程控制決定����、基于接收到的信息來生成控制信號、W及與諸如HART"和 FOUNDATION?現(xiàn)場總線的現(xiàn)場設(shè)備之類的現(xiàn)場設(shè)備中的控制模塊或控制塊協(xié)調(diào)���。過 程控制器中的控制模塊通過通信線路或其它信號路徑向現(xiàn)場設(shè)備發(fā)送控制信號��,W由此控 制過程的操作���。
[0004] 通常還經(jīng)由一個或多個受保護(hù)的過程控制網(wǎng)絡(luò)而使來自現(xiàn)場設(shè)備和過程控制器 的信息可用于工廠內(nèi)的或者工廠外部的一個或多個其它硬件設(shè)備,諸如���,舉例來說�,操作者 工作站、維護(hù)工作站���、服務(wù)器、個人計算機(jī)���、手持式設(shè)備�����、數(shù)據(jù)或事件歷史庫�、報告生成器���、集 中式數(shù)據(jù)庫等等�����。通過過程控制網(wǎng)絡(luò)傳輸?shù)男畔⑹沟貌僮髡呋蚓S護(hù)人員能夠執(zhí)行關(guān)于過程 的期望的功能和/或能夠觀察工廠的操作�����。例如���,控制信息允許操作者改變過程控制例程的 設(shè)置,W便修改過程控制器或智能現(xiàn)場設(shè)備內(nèi)的控制模塊的操作、觀察過程的當(dāng)前狀態(tài)或 者過程工廠內(nèi)的具體設(shè)備的狀態(tài)��、觀察由現(xiàn)場設(shè)備和過程控制器生成的警報和/或警告���、模 擬過程的操作W便訓(xùn)練人員或測試過程控制軟件���、診斷過程工廠內(nèi)的問題或硬件故障等 等。
[0005] 現(xiàn)場設(shè)備和控制器通常通過一個或多個受保護(hù)的過程控制網(wǎng)絡(luò)(其例如可W被實 現(xiàn)為W太網(wǎng)配置的LAN)與其它硬件設(shè)備進(jìn)行通信��。過程控制網(wǎng)絡(luò)通過各種網(wǎng)絡(luò)設(shè)備發(fā)送過 程參數(shù)���、網(wǎng)絡(luò)信息�����、W及其它過程控制數(shù)據(jù)����,并發(fā)送到過程控制系統(tǒng)中的各個實體��。典型的 網(wǎng)絡(luò)設(shè)備包括網(wǎng)絡(luò)接口卡���、網(wǎng)絡(luò)交換機(jī)�����、路由器����、服務(wù)器、防火墻����、控制器����、w及操作者工作 站。網(wǎng)絡(luò)設(shè)備通常借助控制數(shù)據(jù)的路由選擇�����、帖率��、超時����、W及其它網(wǎng)絡(luò)參數(shù)來促進(jìn)數(shù)據(jù)流 動通過網(wǎng)絡(luò),但不改變過程數(shù)據(jù)本身��。由于過程控制網(wǎng)絡(luò)在尺寸和復(fù)雜性上增長,因此網(wǎng)絡(luò) 設(shè)備的數(shù)量和類型相應(yīng)地增加���。由于系統(tǒng)和網(wǎng)絡(luò)的增長���,因而運些復(fù)雜系統(tǒng)內(nèi)的安全W及 對運些復(fù)雜系統(tǒng)的管理變得越來越困難。然而作為開始��,通常將運些網(wǎng)絡(luò)與其它外部網(wǎng)絡(luò) 隔離�����,并通過一個或多個防火墻來保護(hù)運些網(wǎng)絡(luò)免受外部攻擊�����。
[0006] 事實上�,在典型的工業(yè)控制系統(tǒng)中,策略性地將工廠控制系統(tǒng)工作站/服務(wù)器放置 在執(zhí)行與工廠相關(guān)聯(lián)的各個功能的外部工廠網(wǎng)絡(luò)與在控制系統(tǒng)內(nèi)執(zhí)行控制和數(shù)據(jù)采集功 能的嵌入式控制設(shè)備(例如��,控制器����、化C、RTU)之間�����。因此,針對控制工作站/服務(wù)器的主要 的安全目標(biāo)在于防止惡意軟件進(jìn)入控制系統(tǒng)并不利地影響嵌入式設(shè)備�����,W及防止惡意軟件 改變存儲在工廠過程控制數(shù)據(jù)庫中的配置和歷史數(shù)據(jù)����。更進(jìn)一步,運些工作站/服務(wù)器防止 對過程系統(tǒng)的未授權(quán)的訪問���,W防止對工廠配置的未授權(quán)的改變、對工廠數(shù)據(jù)的未授權(quán)的 訪問����,等等。盡管多個安全特征(諸如防火墻�����、"防病毒"軟件和"白名單"可用于解決運些安 全目標(biāo)��,但運些安全特征通常是不夠的���。例如��,防病毒軟件不能對抗"零日"病毒�����,并且白名 單只防止未授權(quán)的應(yīng)用運行�����。此外��,運些特征中的某些特征太過于侵入W至于在過程控制 系統(tǒng)中無法在操作上可行����,因為運些安全特征具有妨礙工廠操作者的活動的可能性。
[0007] 在一般意義上�����,通常通過對具有權(quán)限或授權(quán)來訪問過程控制網(wǎng)絡(luò)內(nèi)的存儲設(shè)備�����、 網(wǎng)絡(luò)端口或直接數(shù)據(jù)鏈路的應(yīng)用或服務(wù)進(jìn)行操作而經(jīng)由至外部網(wǎng)絡(luò)的經(jīng)授權(quán)的通信連接 來將惡意軟件(例如位于零日攻擊的核屯����、處的惡意軟件)引入到受保護(hù)的控制系統(tǒng)網(wǎng)絡(luò)中����。 此后�����,能夠使用被惡意軟件感染的應(yīng)用或服務(wù)的安全權(quán)限來將惡意軟件傳播到其它設(shè)備 (例如�,經(jīng)由通信)和/或在過程控制網(wǎng)絡(luò)內(nèi)的設(shè)備內(nèi)執(zhí)行惡意軟件。此外�����,惡意軟件可W在 本地存留其自身而允許其在重啟聯(lián)網(wǎng)設(shè)備后再次執(zhí)行��。在某些情形中�����,惡意軟件可W使用 應(yīng)用或服務(wù)正在賬戶下執(zhí)行的該賬戶的權(quán)限來使主機(jī)(例如��,感染的應(yīng)用或服務(wù))的權(quán)限逐 步上升�,并且運樣做�,惡意軟件會能夠在需要較高權(quán)限的過程控制設(shè)備或網(wǎng)絡(luò)內(nèi)執(zhí)行動作 或操作���,并且因此通常對控制系統(tǒng)操作更為不利�。當(dāng)運些攻擊破壞工廠控制系統(tǒng)的正在進(jìn) 行的操作時,運些攻擊可W在過程工廠內(nèi)具有嚴(yán)重的W及潛在地毀滅性的影響或者甚至致 命的影響�。
[0008] 因此,盡管期望將過程控制網(wǎng)絡(luò)與其它工廠網(wǎng)絡(luò)隔離來限制過程控制網(wǎng)絡(luò)的易損 性�,但是還期望并且某些時候必須要使得人員能夠從過程控制網(wǎng)絡(luò)外部的點(即,從保護(hù)過 程控制網(wǎng)絡(luò)的防火墻外部)訪問過程工廠數(shù)據(jù)或過程控制網(wǎng)絡(luò)數(shù)據(jù)����。為了實現(xiàn)運樣的訪問, 過程控制系統(tǒng)有時具有設(shè)置在過程控制網(wǎng)絡(luò)的防火墻內(nèi)的外部數(shù)據(jù)訪問服務(wù)器�����,該外部數(shù) 據(jù)訪問服務(wù)器可W調(diào)用控制系統(tǒng)網(wǎng)絡(luò)內(nèi)的過程控制設(shè)備來讀取過程控制系統(tǒng)數(shù)據(jù)等并向 外部網(wǎng)絡(luò)內(nèi)的客戶端設(shè)備發(fā)送該數(shù)據(jù)���。此外部數(shù)據(jù)服務(wù)器可W經(jīng)由一個或多個客戶端應(yīng)用 來訪問���,該一個或多個客戶端應(yīng)用經(jīng)由防火墻與來自外部網(wǎng)絡(luò)的外部數(shù)據(jù)服務(wù)器相連接來 從過程控制網(wǎng)絡(luò)獲取期望的信息。例如�����,0PC基金會發(fā)布了 0PC規(guī)范的組,該0PC規(guī)范的組定 義可W由位于過程控制網(wǎng)絡(luò)防火墻外部的客戶端應(yīng)用來使用W訪問位于受保護(hù)的過程控 制網(wǎng)絡(luò)內(nèi)部并連接到受保護(hù)的過程控制網(wǎng)絡(luò)的0P巧良務(wù)器的可編程接口�����。根據(jù)可W調(diào)用的 方法W及在0PC客戶端與0P巧g務(wù)器之間傳遞的參數(shù)來定義運些接口����。運些接口通常提供了 對工廠的過程控制網(wǎng)絡(luò)的防火墻內(nèi)的過程控制和制造自動化系統(tǒng)內(nèi)的運行時間的W及歷 史數(shù)據(jù)和事件進(jìn)行配置、瀏覽�、讀取、寫入�、w及回調(diào)訪問。
[0009] 隨著對保護(hù)過程控制或制造自動化系統(tǒng)與其它外部(或內(nèi)部)工廠網(wǎng)絡(luò)之間的連 接的增長的需求�����,工廠架構(gòu)越來越多地在工廠控制網(wǎng)絡(luò)與其它工廠系統(tǒng)之間提供了被稱為 DMZ的緩沖區(qū)��。DMZ通常包括一個或多個服務(wù)器或網(wǎng)關(guān)設(shè)備����,該一個或多個服務(wù)器或網(wǎng)關(guān)設(shè) 備的任務(wù)是W保護(hù)的方式與過程工廠網(wǎng)絡(luò)內(nèi)的服務(wù)器(諸如���,類似于0PC服務(wù)器的外部數(shù)據(jù) 服務(wù)器)相連接�。具體來說,在運些系統(tǒng)中���,位于DMZ外部的客戶端應(yīng)用經(jīng)由DMZ網(wǎng)關(guān)設(shè)備來 訪問位于過程控制系統(tǒng)防火墻內(nèi)的0PC服務(wù)器���,DMZ網(wǎng)關(guān)設(shè)備基于用戶授權(quán)而提供對0PC月良 務(wù)器的訪問等等。該客戶端應(yīng)用隨后可W經(jīng)由DMZ網(wǎng)關(guān)向0PC服務(wù)器發(fā)送配置���、瀏覽����、讀取���、 寫入�����、回調(diào)等等的請求���,使得0PC服務(wù)器對工廠網(wǎng)絡(luò)或控制網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)進(jìn)行訪問并經(jīng)由 DMZ網(wǎng)關(guān)向客戶端應(yīng)用發(fā)送該數(shù)據(jù)或信息。盡管使用DMZ阻止了其它工廠或外部工作站與控 制系統(tǒng)設(shè)備之間的直接連接����,但經(jīng)驗表明�����,如果DMZ被惡意軟件感染�,則可W使DMZ提供從外 部網(wǎng)絡(luò)到控制系統(tǒng)的直接連接����,使得控制系統(tǒng)更容易受到損害。因此����,當(dāng)遭受惡意軟件的攻 擊或病毒時,DMZ可W進(jìn)行操作來通過經(jīng)授權(quán)的連接將0P巧g務(wù)器直接暴露于客戶端應(yīng)用或 暴露于其它外部設(shè)備�,由此戰(zhàn)勝了由DMZ網(wǎng)關(guān)設(shè)備提供的防火墻保護(hù),并使得過程控制網(wǎng)絡(luò) 遭受攻擊或損害���。
【發(fā)明內(nèi)容】
[0010] 具有經(jīng)由一個或多個防火墻向外部網(wǎng)絡(luò)提供過程控制數(shù)據(jù)的外部數(shù)據(jù)服務(wù)器的 過程控制系統(tǒng)實現(xiàn)了節(jié)約成本并且安全的機(jī)制�,該機(jī)制降低或消除了外部數(shù)據(jù)服務(wù)器被源 自于外部網(wǎng)絡(luò)的病毒或其它安全攻擊損害的能力����。總的來說�,過程控制網(wǎng)絡(luò)安全系統(tǒng)包括 通信地連接到DMZ網(wǎng)關(guān)設(shè)備的外部數(shù)據(jù)服務(wù)器(其位于過程控制網(wǎng)絡(luò)內(nèi)),該DMZ網(wǎng)關(guān)設(shè)備被 設(shè)置在過程控制網(wǎng)絡(luò)的外部并連接到外部網(wǎng)絡(luò)���。用于配置外部數(shù)據(jù)服務(wù)器的配置引擎位于 過程工廠的網(wǎng)絡(luò)防火墻內(nèi)并因此從過程控制網(wǎng)絡(luò)內(nèi)部進(jìn)行操作��。配置引擎將外部數(shù)據(jù)服務(wù) 器配置為產(chǎn)生一個或多個數(shù)據(jù)單�、數(shù)據(jù)表或數(shù)據(jù)視圖�,該一個或多個數(shù)據(jù)單、數(shù)據(jù)表或數(shù)據(jù) 視圖對待由外部數(shù)據(jù)服務(wù)