[发明专利]自防御智能现场装置及体系结构

说明书

一种自动化系统，包括在自动化工厂内操作的本地威胁信息服务器和在自动化工厂的控制层处操作的多个现场装置。本地威胁信息服务器被配置为：从一个或多个外部源接收威胁信息、从一个或多个内部源接收工厂信息、根据威胁信息和工厂信息中的一个或多个设置威胁级别以及将威胁级别的指示分发给一个或多个控制层装置。每个相应的现场装置被配置为：接收威胁级别的指示、识别对应于威胁级别的一个或多个安全操作以及执行一个或多个安全操作。

技术领域

本发明主要涉及用于自防御智能现场装置和体系结构的系统、方法和设备。所公开的技术可应用于例如在工业生产环境中实现和/或增强安全性。

背景技术

改善工业控制系统的安全状态是一个活跃的研究领域。目前大部分针对普渡模型(Purdue model)的最低级别(尤其是控制和现场级别)提供的具体解决方案都局限于通过网络过滤技术(诸如防火墙)来专注于保护外围的外部控制。主要由于缺乏灵活性以支持超出制造厂内置的安全特征的部署，所以控制器、传感器和致动器不是安全感知装置。对当前安全状态缺乏感知阻碍了大大增加此类装置的可存活率的自动响应事件。实际上，外围保护是用于保护工业控制系统的唯一真正有效的措施意味着可编程逻辑控制器(PLC)不能在本质上高度暴露的环境(例如，网络军事系统，或可利用现有待管理连接选项的远程位置)中存活。

构成现有技术差距的另一方面是智能现场装置提供附加的连接和处理能力，但是可用的默认安全特征并不处于同一级别。尽管在可用于工业装置的计算能力方面有日益增长的趋势，但是只有非常有限数量的与用户和装置识别和授权相关的功能是可用的。目前现有的工业装置在允许添加安全特征方面也不灵活(不能部署附加的安全特征并且没有考虑攻击检测或响应特征)。

发明内容

本发明的实施例通过提供与自防御智能现场装置和体系结构相关的方法、系统和设备来解决和克服上述缺点和不足中的一个或多个。所提出的自防御智能现场装置增加了接收、处理和提供其本身和直接连接的对等装置的安全相关状态的能力，以便对工厂处或控制系统网络的一部分处提高了的安全状况作出反应。

根据本发明的一些实施例，自动化系统包括在自动化工厂内操作的本地威胁信息服务器和在自动化工厂的控制层处操作的现场装置。本地威胁信息服务器被配置为：从一个或多个外部源接收威胁信息、从一个或多个内部源接收工厂信息、根据威胁信息和工厂信息中的一个或多个设置威胁级别以及将威胁级别的指示分发给一个或多个控制层装置。每个相应的现场装置被配置为：接收威胁级别的指示、识别对应于威胁级别的一个或多个安全操作(例如，应用访问控制列表)以及执行那些安全操作。由相应的现场装置执行的安全操作可包括：例如，将安全相关信息(例如，日志记录信息)传输到本地威胁信息服务器和/或自动化系统外部的计算机、基于从其它现场装置接收的过程信息确认一个或多个过程变量和/或与一个或多个其它现场装置通信以激活工厂关闭模式，该工厂关闭模式将现场装置中的每个现场装置置于安全状态中。

在前述系统的一些实施例中，每个现场装置配置有附加功能。例如，在一些实施例中，每个相应的现场装置还被配置为响应于安全操作对所接收的通信执行深度包检测。在其它实施例中，每个相应的现场装置包括根据安全操作激活的现场级装置嵌入式单向网关。例如，现场级装置嵌入式单向网关可被配置为阻挡从在控制层外部操作的装置接收的通信数据包。在其它实施例中，每个相应的现场装置还被配置为响应于安全操作来激活安全模式，以便防止在没有对相应的现场装置进行物理访问的情况下修改相应的现场装置中的网络设置。

根据本发明的其它实施例，用于对在自动化工厂内操作的现场装置执行安全操作的方法包括：现场装置接收自动化工厂的指定威胁级别的指示。现场装置识别对应于指定威胁级别的一个或多个安全操作并执行该安全操作。在一些实施例中，方法可包括附加特征。例如，在一些实施例中，方法还包括现场装置根据安全操作激活现场级装置嵌入式单向网关。在一些实施例中，方法包括现场装置响应于安全操作对所接收的通信包执行深度包检测。在一些实施例中，方法还包括响应于安全操作激活安全模式，该安全模式防止在没有对现场装置进行物理访问的情况下修改现场装置中的网络设置。