[发明专利]用于识别对控制和调节单元的系统状态的未授权操控的装置以及具有该装置的核设施

说明书

技术领域

本发明涉及一种用于识别对控制和调节单元、特别是核设施的存储器可编程控制器的系统状态的未授权操控的装置和方法。本发明还涉及一种用于核设施的存储器可编程控制器、数字监视设备以及相应的核设施。

背景技术

在例如发电设施的核设施(核电站)中，许多协作的处理并行地进行，这些处理通常包括控制和调节过程。在此，对于相应的处理，使用针对应用而优化和配置的控制和调节单元。

由于核设施、特别是发电设施的也日益增加的数据联网以及其到外部网络、直到因特网的连接，这些设施很容易受到病毒或者其他恶意软件的攻击。这种设备被软件病毒攻击的一个已知情况是STUXNET。这种攻击可能导致设施的生产损失直至全部故障，并且产生高额的人力和经济损失。此外，这种渗入的恶意软件可能被用于工业间谍活动。此外，在病毒的初次攻击中，存在病毒扩散的危险，从而病毒可能攻击同一核设施的其他控制装置，或者由此还可能攻击与之联网的设施的控制装置。由于这些危险，在联网环境中，其存储器配置原则上在运行时间期间可能被恶意软件修改的控制系统的使用可能显现高的安全风险。这种控制系统是存储器可编程控制器(SPS)。

发明内容

因此，本发明要解决的技术问题是，提供一种装置，利用其能够以可靠的方式检测未授权的操控。此外，要提供一种用于核设施的存储器可编程控制器和数字监视设备、一种核设施以及相应的方法。

关于装置，根据本发明，上述技术问题通过设计一种监视模块来解决，该监视模块监视控制和调节单元的工作状态和/或硬件扩展状态和/或程序状态，并且在该状态改变时产生通知。

本发明的有利的扩展方案是从属权利要求的主题。

本发明基于如下考虑：当病毒或者类似的恶意软件能够影响控制和/或调节系统的系统状态，使得其功能以不希望的方式改变、扩展或者损坏时，病毒或者类似的恶意软件的攻击有效果。这可以通过如下方式进行：恶意程序和/或恶意数据被加载到在工作期间可进行写入的存储器中并且执行。由于该原因，首先在安全关键的设备中使用这种控制和/或调节系统产生问题。在核设施中，需要满足最高的安全标准，因为控制系统的改变可能导致间谍活动、部件失效、故障和严重的事故。

在这种攻击中，例如会导致在控制和/或调节单元中渗入附加程序代码，或者已有程序代码被受感染的代码代替。此外，可能导致配置改变，使得无法再从传感器接收到数据，和/或无法再对执行器进行应答或控制。

如现在所认识到的，通过监视在这种设施中使用的控制和调节单元的系统内部过程，换句话说，即控制和调节单元的工作状态和/或硬件扩展状态和/或程序状态，并且通知改变，能够实现所需要的高安全标准。

通过产生通知，可以立即检查改变是哪种类型的，以及其是否可能是未授权进行的改变。此外，使得能够直接对该改变作出反应。在本申请的范围内，利用控制和调节单元标明仅能够执行控制过程或调节过程或者还能够执行两种类型的过程的每个电子单元。

优选的是，控制和调节单元具有至少一个其中存储有数据的可写入的存储器，其中，在存储于存储器中的数据改变时，监视模块产生通知。诸如存储器可编程控制器的具有可写入的存储器的控制和调节单元的工作状态、硬件扩展状态和程序状态主要通过其存储内容来确定。在此，存储内容通常包括程序代码、有关硬件和软件的配置以及动态地设置的数据字段、变量等。在存储器的改变中能够注意到恶意软件从外部的敌意攻击，从而存储器内容的改变可以指示未授权的操控。

有利的是，数据包括程序代码或者由此产生的程序变量。程序代码、特别是可加载的用户程序在工作期间在运行时执行，并且包含执行的指令。程序代码的改变指示有操控。然而，为了识别这些操控，不一定必须直接监视代码的改变。在此，更有效并且更经济的是，监视由此得到或者借助程序代码(用户代码、固件、操作系统等)产生的、即一定程度上的次级程序变量的改变(只要其在代码改变时也以足够大的概率使得这些变量改变)。例如在根据代码或代码段或者代码组成部分产生的校验和或长度时，情况如此。在此，有利的是，CPU具有“关于软件块或模块的校验和的异或逻辑”作为内部功能。然后，由监视模块读出结果(例如32比特值)，并且监视改变。诸如SIMATIC S7-300和SIMATIC S7-400的存储器可编程控制器由本身自动产生校验和、特别是横加和(Quersummen)。其必须由监视模块仅仅读出并且监视改变。由此，通过旧/新值比较，能够识别出每个程序改变。