够排除危险侵入或者通过侵入对程序流程的篡改。因此能够例如在这种阶段期间物理地防止对不安全的、通常是外部的网络的访问。
[0014]通过该计算机程序产品,在运转着的运行中循环地测定相应自动化组件的实际程序行为。循环地测定理解为在确定的时间点基本上实时地捕捉并且以适当的方式中间存储实际过程状态、即相应自动化组件的输入参数或者输入信号和基本上对应的输出参数或输出信号。中间存储在此能够在挥发性或非挥发性的存储器中实现,通常在磁性存储器中实现。对实际过程状态的测定以一定的时间间隔反复地进行。在测定了实际过程状态之后,与存储器中存在的额定程序行为进行比较。比较的目标是为相应的实际程序行为在多个额定程序行为中寻找对应,这些额定程序行为以存储的形式存在。用于比较例如不同文件的相应方法是公知的。因此,根据一种方法,如果要检查文件的一致性,能够将这些文件的相应的哈希值相互比较。但是也能够设想以下方法,其不以一致性为目标,而是允许一定的、但是对于辨别危险情形或篡改情形的目的而言非关键的偏差。基于在额定程序行为和实际程序行为之间的比较,实现对危险情形的推导,其中,在确定了偏差时,通常已经对设备进行了篡改,以适当的方式对该篡改发出警报。
[0015]为了尽可能地排除错误警报,特别有利的是,将由比较推导出的危险情形附加地与对于其他安全组件的危险情形独立测定的结果相结合,并且随后当基本上同时也存在通过其他安全组件识别出的危险情形时,此时才触发警报。
[0016]其他安全组件应理解为公知的解决方案,例如所谓的SIEM解决方案(安全信息&事件管理)。但是其他的解决方案,正如在“集成的安全功能”的概念范畴中所总结的,例如以防拷贝或访问保护为目标的保护机制,也能够与在此提出的解决方案相结合。结合在此首先应理解为,结果、即一个或者多个不同的其他安全组件的警报报告在逻辑上与根据本发明提出的解决方案的警报报告相组合,并且只有当存在根据本发明提出的解决方案的至少一个警报报告和其他安全组件的警报报告时,才生成警报报告,其中,该至少两个警报报告的存在有利地应该在时间上相关联,即在要定义的时间窗之内出现。
[0017]然而,本发明不应该局限于这种组合可行性,而是应该明确包括其他合适的组合可行性。
【附图说明】
[0018]结合附图详尽地阐述本发明的上述属性、特征和优点以及如何实现这些的方式和方法。在此用示意图示出:
[0019]图1是具有现场及控制层面和上级的操作层面的自动化设备;
[0020]图2是自动化组件内部的根据本发明的流程。
【具体实施方式】
[0021]图1用一般化的示图示出了现场及控制层面20,其上级是操作层面(Operator-Level) 21。现场及控制层面20和操作层面21通过工业通讯网络5彼此相连。操作层面包括多个计算单元6,其中,所有的或者一部分计算单元6能够与显示及输入单元7相连,以便输入和/或显示数据。操作层面21通常有其他层面作为上级,并且通过通讯网路彼此相连;这些其他的、在此未示出的层面公知为管理层面或企业层面。
[0022]控制及现场层面20包括多个自动化组件1,其中,自动化组件应该理解为任何智能的、即借助软件算法来运行或者能够被影响的现场设备。这种自动化组件的实例是用于监控和/或开环控制或闭环控制任务的可编程控制系统。没有限制性地,属于这种现场设备的例如还能够有发送机或变流器,只要这些具有智能的通讯端口并且借助软件来驱控和/或监控。自动化组件1又能够与传感器2和/或执行机构3相连,以便获取过程的数据,例如开关状态、压力、温度等等,或对过程施加开关的、开环控制的或闭环控制的影响。这种作用连接同样能够经由总线或网络连接4来实现,如其例如以现场总线或者工业以太网这些名称公知的那样。但是传感器2和执行机构3也能够单独地通过数字的或模拟的硬件连接5与自动化组件1相连,或者它们是自动化组件1的组成部分自身。自动化组件1循环地从传感器2读取数据,并且基于读取的数据、基于使用者的操作指令和/或存放在的自动化组件1中的软件算法将控制指令输出到执行机构处。
[0023]图2用示意图示出了本发明。自动化组件1包括逻辑单元8,其中,逻辑单元8以公知的方式包含实时工作的、包括必要的存储器单元在内的计算器结构。逻辑单元8处理使用者程序9的指令。经由通讯站10为逻辑单元供应其他自动化组件的数据和/或操作者的数据,或者说为其他的组件和/或操作者提供数据。逻辑单元8在时间上能够借助时钟11同步。在存储器区域13中有在确定的时间点的所有相关的传感器数据2i,2j的映射2' 1、2' j和所有相关的执行机构数据的映射3' i,3' j0因此,存储器区域13的内容基于同样已知的、操作者输入和/或自动化组件在逻辑单元8内自身产生的中间数据12确定了在确定时间点的实际程序行为14。这个在确定的时间点的实际程序行为14能够以适当的文件格式作为签名15存储。在此,存储能够在逻辑单元8的内部进行,或者如根据图2地在逻辑单元8之外进行。在不同的时间点和/或在不同的过程状况中,产生新的签名15ο
[0024]在自动化组件1的存储器区域内存在以适当的格式存储的一系列的签名16,它们是额定程序行为。在教导阶段中产生多个签名16,并且这些分别是没有被篡改的标准程序行为,然而不管怎样也是典型情况下能够其外的程序行为。
[0025]只要产生了签名15,该签名就由逻辑单元8与签名16进行比较。为了比较文件或者说签名,例如能够使用公知的哈希函数。比较签名15和16也能够在自动化组件1内部的单独的逻辑单元中进行,或者在使用多核处理器时在一个单独的核中进行。也能够设想,在上级的操作层面中执行比较。在这种情况下,在那里也为自动化组件存放签名15和16。
[0026]如果确定签名15不能够从属于任何签名16,即在签名15和签名16之间存在不一致,那么在相应的逻辑单元(这里是逻辑单元8)中制造警报报告17,并且由此将危险情况通过通讯站10报告到上级的操作层面处。
[0027]然而,在识别出危险情形时,逻辑单元8自身也能够实施行动并且使得自动化组件并且可能通过通讯站10也使得其他的自动化组件切换到事先定义的安全运行中。
【主权项】
1.一种用于为自动化组件确定危险情形的方法,所述自动化组件具有至少一种循环的程序行为,其中,测定并存储有多个额定程序行为,该方法包括: a)循环地测定至少一个实际程序行为; b)循环地比较所述实际程序行为和已存在的所述额定程序行为; c)由所述比较循环地推导危险情形。2.根据权利要求1所述的方法,其特征在于,只要在所述实际程序行为和已存在的所述额定程序行为之间不存在一致性,此时推导出危险情形。3.根据前述权利要求中任一项所述的方法,其特征在于,所有的所述额定程序行为都通过模糊逻辑和/或神经元网络和/或仿真软件在教导阶段中测定。4.根据前述权利要求中任一项所述的方法,其特征在于,所测定的所述额定程序行为存储在所述自动化组件中。5.根据权利要求1-3中任一项所述的方法,其特征在于,所述自动化组件的所测定的所述额定程序行为存储在上级的控制层面中。6.根据前述权利要求中任一项所述的方法,其特征在于,对所述额定程序行为的存储如下地实现,即在存储了所述额定程序行为之后仅能够进行读取性的访问。7.根据权利要求1或2所述的方法,其特征在于,用于对所述实际程序行为进行循环测定的时间间隔是能调节的。8.根据前述权利要求中任一项所述的方法,其特征在于,由所述比较推导出的危险情形附加地与对于其他安全组件的危险情形独立测定的结果相结合。9.根据权利要求8所述的方法,其特征在于,一旦也同时存在所述其他安全组件的危险情形,就生成警报。10.—种用于确定在控制和监控设备内部的自动化组件的危险情形的计算机程序产品,所述计算机程序产品产生所述自动化组件的多个额定程序行为并且存储所述额定程序行为。11.根据权利要求10所述的计算机程序产品,包括: a)循环地测定至少一个实际程序行为; b)循环地比较所述实际程序行为和已存在的所述额定程序行为; c)由所述比较循环地推导危险情形,并且对该危险情形发出警报。12.根据权利要求11所述的计算机程序产品,其特征在于,由所述比较中推导出的所述危险情况附加地与对于其他自动化组件的危险情形独立测定的结果相结合。13.根据权利要求12的计算机程序产品,其特征在于,一旦同时也通过其他的安全组件识别出危险情形,就生成警报。
【专利摘要】本发明涉及一种用于为控制或现场层面的自动化组件确定危险情形的方法,其中,自动化组件具有至少一种基本上循环的程序行为。多个额定程序行为在教导阶段中被测定并且存储,并且循环地与在自动化组件运行时测定的实际程序行为相比较。比较的结果能够与其他安全组件的结果相结合,以用于校验。
【IPC分类】G06F21/12, G06F21/55, G06F21/31
【公开号】CN105320854
【申请号】CN201510456990
【发明人】彼得·舍内曼
【申请人】西门子公司
【公开日】2016年2月10日
【申请日】2015年7月29日
【公告号】EP2980662A1, US20160034688