空气间隙的环境中的风险管理的制作方法

相关申请的交叉引用

本申请要求于2015年2月13日提交的美国临时专利申请62/116,245的提交日期的权益，其通过引用并入本文。

本公开总体上涉及网络安全。更具体地，本公开涉及空气间隙（air-gapped）的环境中的风险管理。

背景技术：

经常使用工业过程控制和自动化系统来管理处理设施。传统控制和自动化系统惯常包括多种联网设备，诸如服务器、工作站、交换机、路由器、防火墙、安全系统、专属实时控制器和工业现场设备。时常地，此装备来自多个不同的供应商。在工业环境中，网络安全（cyber-security）具有越来越多的关注，并且这些部件的任一个中的未解决的安全脆弱性（vulnerability）可能被攻击者利用来破坏操作或在工业设施中引起不安全的状况。

技术实现要素：

本公开提供了空气间隙的环境中的风险管理。一种方法包括：由风险管理器系统从空气间隙的环境中的多个计算设备收集数据。空气间隙的环境包括与不安全的外部网络基本上或完全隔离的控制系统。该方法包括应用规则来分析收集的数据并标识对空气间隙的环境中的计算设备的网络安全威胁。该方法包括与用户进行交互以显示分析的结果和所标识的网络安全威胁。

在一些实施例中，由规则引擎来应用规则。在一些实施例中，使用存储标识网络安全威胁的规则和数据的风险管理数据库来应用规则。在一些实施例中，风险管理器系统还将分析的结果和所标识的网络安全威胁传输到web应用用户接口。在一些实施例中，风险管理器系统更新风险管理数据库以提供对空气间隙的环境中的计算设备的网络安全威胁的同时期意识（contemporaneousawareness）。在一些实施例中，使用物理介质来部署风险管理器系统。在一些实施例中，使用物理介质来安装对风险管理器系统的风险管理数据库的更新。

从下面各图、描述和权利要求，其它的技术特征对本领域技术人员而言可以是容易地显而易见的。

附图说明

为了更加完全地理解本公开，现在参考结合附图进行的下面的描述，其中：

图1图示出了根据本公开的示例工业过程控制和自动化系统；

图2图示出了根据本公开的用于空气间隙的环境中的风险管理的示例基础设施（infrastructure）；并且

图3图示出了根据所公开实施例的过程的流程图。

具体实施方式

在本专利文档中，下面讨论的各图和用来描述本发明的原理的各种实施例仅作为说明，并且不应以任何方式被解释成限制本发明的范围。本领域技术人员将理解的是，本发明的原理可以以任何类型的适当布置的设备或系统来实现。

图1图示出了根据本公开的示例工业过程控制和自动化系统100。如在图1中所示，系统100包括促进至少一个产品或其它材料的生产或处理的各种部件。例如，系统100在这里用于促进在一个或多个工厂101a-101n中的部件上的控制。每个工厂101a-101n表示一个或多个处理设施（或其一个或多个部分），诸如用于生产至少一个产品或其它材料的一个或多个制造设施。通常，每个工厂101a-101n可以实现一个或多个过程，并且可以单个地或集体地称为过程系统。过程系统通常表示被配置成以某种方式处理一个或多个产品或其它材料的任何系统或其一部分。

在图1中，使用过程控制的purdue模型来实现系统100。在purdue模型中，“级别0”可以包括一个或多个传感器102a和一个或多个致动器102b。传感器102a和致动器102b表示可以执行各种各样的功能中的任何功能的过程系统中的部件。例如，传感器102a可以测量过程系统中的各种各样的特性，诸如温度、压强（pressure）或流速率。而且，致动器102b可以改变过程系统中的各种各样的特性。传感器102a和致动器102b可以表示任何合适的过程系统中的任何其它或附加的部件。传感器102a中的每个包括用于测量过程系统中的一个或多个特性的任何合适的结构。致动器102b中的每个包括用于对过程系统中的一个或多个状况进行操作或影响其的任何合适的结构。

至少一个网络104耦合到传感器102a和致动器102b。网络104促进与传感器102a和致动器102b的交互。例如，网络104可以传送来自传感器102a的测量数据，并且向致动器102b提供控制信号。网络104可以表示任何合适的网络或网络的组合。作为特定示例，网络104可以表示以太网网络、电信号网络（诸如hart或foundationfieldbus网络）、气动控制信号网络或任何其它或附加的（多个）类型的（多个）网络。

在purdue模型中，“级别1”可以包括耦合到网络104的一个或多个控制器106。除其它事物之外，每个控制器106还可以使用来自一个或多个传感器102a的测量来控制一个或多个致动器102b的操作。例如，控制器106可以接收来自一个或多个传感器102a的测量数据，并使用测量数据来生成用于一个或多个致动器102b的控制信号。每个控制器106包括用于与一个或多个传感器102a交互并控制一个或多个致动器102b的任何合适的结构。例如，每个控制器106可以表示比例-积分-微分（pid）控制器或多变量控制器，诸如鲁棒多变量预测控制技术（rmpct）控制器或实现模型预测控制（mpc）或其它高级预测控制（apc）的其它类型的控制器。作为特定示例，每个控制器106可以表示运行实时操作系统的计算设备。

两个网络108耦合到控制器106。网络108促进与控制器106的交互，诸如通过将数据向和从控制器106进行传送。网络108可以表示任何合适的网络或网络的组合。作为特定示例，网络108可以表示以太网网络的冗余对，例如来自霍尼韦尔国际公司的容错以太网（fte）网络。

至少一个交换机/防火墙110将网络108耦合到两个网络112。交换机/防火墙110可以将业务（traffic）从一个网络传送到另一个网络。交换机/防火墙110还可以阻止一个网络上的业务到达另一个网络。交换机/防火墙110包括用于在网络之间提供通信的任何合适的结构，诸如霍尼韦尔控制防火墙（cf9）设备。网络112可以表示任何合适的网络，诸如fte网络。

在purdue模型中，“级别2”可以包括耦合到网络112的一个或多个机器级控制器114。机器级控制器114执行各种功能以支持控制器106、传感器102a以及致动器102b的操作和控制，其可以与一台特定工业装备（例如锅炉或其它机器）相关联。例如，机器级控制器114可以记录（log）由控制器106收集或生成的信息，诸如来自传感器102a的测量数据或用于致动器102b的控制信号。机器级控制器114还可以执行控制控制器106的操作的应用，由此控制致动器102b的操作。此外，机器级控制器114可以提供对控制器106的安全访问。机器级控制器114中的每一个包括用于提供对机器或其它单个台装备的访问、控制或与其相关的操作的任何合适的结构。例如，机器级控制器114中的每个可以表示运行microsoftwindows操作系统的服务器计算设备。尽管未示出，但是不同的机器级控制器114可用于控制过程系统中的不同各台装备（其中每台装备与一个或多个控制器106、传感器102a和致动器102b相关联）。

一个或多个操作员站116耦合到网络112。操作员站116表示提供对机器级控制器114的用户访问的计算或通信设备，其然后可以提供对控制器106（以及可能地传感器102a和致动器102b）的用户访问。作为特定示例，操作员站116可以允许用户使用由控制器106和/或机器级控制器114收集的信息来回顾传感器102a和致动器102b的操作历史。操作员站116还可以允许用户调整传感器102a、致动器102b、控制器106或机器级控制器114的操作。此外，操作员站116可以接收并显示由控制器106或机器级控制器114生成的警告、警报或其它消息或显示。操作员站116中的每个包括用于支持对系统100中的一个或多个部件的用户访问和控制的任何合适的结构。操作员站116中的每个可以例如表示运行microsoftwindows操作系统的计算设备。

至少一个路由器/防火墙118将网络112耦合到两个网络120。路由器/防火墙118包括用于在网络之间提供通信的任何合适的结构，诸如安全路由器或组合路由器/防火墙。网络120可以表示任何合适的网络，诸如fte网络。

在purdue模型中，“级别3”可以包括耦合到网络120的一个或多个单元级控制器122。每个单元级控制器122通常与过程系统中的单元相关联，所述单元表示一起操作以实现过程的至少一部分的不同机器的集合。单元级控制器122执行各种功能以支持在较低级别中的部件的操作和控制。例如，单元级控制器122可以记录由较低级别中的部件收集或生成的信息，执行控制较低级别中的部件的应用，并提供对较低级别中的部件的安全访问。单元级控制器122中的每一个包括用于提供对过程单元中的一个或多个机器或其它各台装备的访问、控制或与之相关的操作的任何合适的结构。单元级控制器122中的每一个可以例如表示运行microsoftwindows操作系统的服务器计算设备。尽管未示出，但是可以使用不同的单元级控制器122来控制过程系统中的不同单元（其中每个单元与一个或多个机器级控制器114、控制器106、传感器102a和致动器102b相关联）。

可以由一个或多个操作员站124来提供对单元级控制器122的访问。操作员站124中的每个包括用于支持对系统100中的一个或多个部件的用户访问和控制的任何合适的结构。操作员站124中的每个可以例如表示运行microsoftwindows操作系统的计算设备。

至少一个路由器/防火墙126将网络120耦合到两个网络128。路由器/防火墙126包括用于在网络之间提供通信的任何合适的结构，诸如安全路由器或组合路由器/防火墙。网络128可以表示任何合适的网络，诸如fte网络。

在purdue模型中，“级别4”可以包括耦合到网络128的一个或多个工厂级控制器130。每个工厂级控制器130通常与工厂101a-101n中的一个相关联，所述工厂101a-101n可以包括实现相同、相似或不同过程的一个或多个过程单元。工厂级控制器130执行各种功能以支持较低级别中的部件的操作和控制。作为特定示例，工厂级控制器130可以执行一个或多个制造执行系统（mes）应用、调度应用或其它或附加的工厂或过程控制应用。工厂级控制器130中的每个包括用于提供对过程工厂中的一个或多个过程单元的访问、控制或与其相关的操作的任何合适的结构。工厂级控制器130中的每个可以例如表示运行microsoftwindows操作系统的服务器计算设备。

可以由一个或多个操作员站132提供对工厂级控制器130的访问。操作员站132中的每个包括用于支持对系统100中的一个或多个部件的用户访问和控制的任何适当的结构。操作员站132中的每一个可以例如表示运行microsoftwindows操作系统的计算设备。

至少一个路由器/防火墙134将网络128耦合到一个或多个网络136。路由器/防火墙134包括用于在网络之间提供通信的任何合适的结构，诸如安全路由器或组合路由器/防火墙。网络136可以表示任何合适的网络，例如全企业（enterprise-wide）以太网或其它网络，或者较大网络（例如因特网）的全部或一部分。

在purdue模型中，“级别5”可以包括耦合到网络136的一个或多个企业级控制器138。每个企业级控制器138通常能够执行针对多个工厂101a-101n的规划操作并且控制工厂101a-101n的各种方面。企业级控制器138还可以执行各种功能以支持工厂101a-101n中的部件的操作和控制。作为特定示例，企业级控制器138可以执行一个或多个订单处理应用、企业资源规划（erp）应用、高级规划和调度（aps）应用或任何其它或附加的企业控制应用。企业级控制器138中的每个包括用于提供对一个或多个工厂的访问、控制或与其控制相关的操作的任何合适的结构。企业级控制器138中的每个可以例如表示运行microsoftwindows操作系统的服务器计算设备。在本文档中，术语“企业”指的是具有要被管理的一个或多个工厂或其它处理设施的组织。注意，如果要管理单个工厂101a，则可以将企业级控制器138的功能性并入到工厂级控制器130中。

可以由一个或多个操作员站140提供对企业级控制器138的访问。操作员站140中的每个包括用于支持对系统100中的一个或多个部件的用户访问和控制的任何合适的结构。操作员站140中的每个可以例如表示运行microsoftwindows操作系统的计算设备。

purdue模型的各种级别可以包括诸如一个或多个数据库之类的其它部件。与每个级别相关联的（多个）数据库可以存储与那个级别或系统100的一个或多个其它级别相关联的任何合适的信息。例如，历史学家141可以耦合到网络136。历史学家141可以表示存储关于系统100的各种信息的部件。历史学家141可以例如存储在生产调度和优化期间使用的信息。历史学家141表示用于存储和促进信息的检索的任何合适的结构。尽管被示出为耦合到网络136的单个集中式部件，但是历史学家141可以位于系统100中的别处，或者可以将多个历史学家分布在系统100中的不同位置中。

在特定实施例中，图1中的各种控制器和操作员站可以表示计算设备。例如，控制器106、114、122、130、138中的每一个可以包括一个或多个处理设备142和用于存储由（多个）处理设备142使用、生成或收集的指令和数据的一个或多个存储器144。控制器106、114、122、130、138中的每一个还可以包括至少一个网络接口146，诸如一个或多个以太网接口或无线收发器。而且，操作员站116、124、132、140中的每一个可以包括一个或多个处理设备148和用于存储由（多个）处理设备148使用、生成或收集的指令和数据的一个或多个存储器150。操作员站116、124、132、140中的每一个还可以包括诸如一个或多个以太网接口或无线收发器之类的至少一个网络接口152。

如上面指出的，关于工业过程控制和自动化系统，网络安全具有越来越多的关注。系统100中的部件中的任一个中的未解决的安全脆弱性可以被攻击者利用来破坏操作或引起工业设施中的不安全的状况。然而，在许多实例中，操作员不具有对在特定工业地点处运行的所有装备的完全理解或清单（inventory）。因此，经常难以快速地确定对控制和自动化系统的潜在风险源。

在一些安装中，控制和自动化系统是“空气间隙的（airgapped）”，意指系统与诸如因特网或其它外部网络之类的不安全网络物理隔离。隔离可以是绝对的或接近绝对的。虽然此方法确实提供了一种减轻一些风险的方式，但是它对风险管理解决方案提出了挑战，因为仍可利用其它脆弱性。不仅如此，而且脆弱性、利用和相关联的风险的类型和方式随着时间而变化。

所公开的实施例解决了各种系统中的潜在脆弱性、基于对整个系统的风险来将脆弱性优先化，并且对被监视的控制系统的数据自动地进行分类和聚合。（除其它方式之外）这通过使用风险管理器154来完成。风险管理器154包括支持空气间隙的环境中的风险管理的任何适合的结构。这里，风险管理器154包括一个或多个处理设备156；用于存储由（多个）处理设备156使用、生成或收集的指令和数据的一个或多个存储器158；和至少一个网络接口160。每个处理设备156可以表示微处理器、微控制器、数字信号过程、现场可编程门阵列、专用集成电路或离散逻辑。每个存储器158可以表示易失性或非易失性储存器和检索设备，诸如随机存取存储器或闪存。每个网络接口160可以表示以太网接口、无线收发器或促进外部通信的其它设备（而不是在空气间隙的实现中具有不是作为系统100的一部分的“外部”系统）。可以使用任何合适的硬件或硬件和软件/固件指令的组合来实现风险管理器154的功能性。

图2图示出了根据本公开的用于空气间隙的环境中的风险管理的示例基础设施200。基础设施200可以使用风险管理器154来支持或实现。基础设施200在这里支持在空气间隙的环境中的操作，并允许对风险知识库的更新以便提供风险的同时期表示。其它解决方案通常利用外部连接和外部源作为针对操作和风险意识的使能者（enabler）。

根据本公开，风险管理器154专门用于空气间隙的操作。在各种实施例中，可以以安全和可信的方式执行风险管理解决方案到空气间隙的环境中的初始部署。在一些实施例中，风险管理器利用允许在空气间隙的环境中操作的现代计算机制。各种实施例使用安全和可信的机制以用于到空气间隙的环境中的功能和架构更新。各种实施例支持对风险知识库的更新以提供同时期风险意识。

尽管图1图示出了工业过程控制和自动化系统100的一个示例，但是可以对图1进行各种改变。例如，控制和自动化系统可以包括任何数目的传感器、致动器、控制器、服务器、操作员站、网络、风险管理器和其它部件。而且，图1中的系统100的构成和布置仅用于说明。部件可以根据特定需要而被添加、省略、组合或放置在任何其它合适的配置中。此外，特定功能已被描述为由系统100的特定部件执行。这仅用于说明。通常，控制和自动化系统是高度可配置的，并且可以根据特定需要以任何适当的方式被配置。此外，图1图示出了在其中可以使用风险管理器154的功能的示例环境。此功能性可在任何其它合适的设备或系统中使用。

在图2中，风险管理器154被实现为空气间隙的控制系统200。控制系统200包括至少一个数据收集功能210、规则引擎220、风险管理（rm）数据库230和用户接口（ui）web应用240。设备250包括空气间隙的控制系统200的任何其它设备或部件，诸如系统100中的部件中的任何部件。空气间隙的环境260图示出了在空气间隙的控制系统200与外部系统之间的物理断开或“间隙”。

数据收集功能210从空气间隙的环境中的各种计算设备250收集数据。规则引擎220应用规则来分析所收集的数据并且标识针对空气间隙的环境中的计算设备250的网络安全威胁。rm数据库230存储标识网络安全威胁的规则和数据。uiweb应用240允许经由基于web的接口来与风险管理器154进行交互。这些部件在封闭（空气间隙的）环境260中起作用，意指没有或几乎没有机制来访问外部能力（诸如因特网或基于云的应用）。因此，不能经由这些机制将信息传达到风险管理器154或控制系统200的任何其它部分。

传统的计算机和智能电话通常具有对因特网的访问，并且因此具有对提供针对操作系统、应用、抗病毒部件等的更新的外部能力的访问。相比之下，在有效封闭的环境中部署、操作和更新图2中的控制系统200。空气间隙的系统并非不受所有外部威胁的影响，因为总是存在有人经由usb棒（usbstick）将恶意软件或一些其它恶意介质（maliciousagent）本地注入到系统中、安装被认为是合法但本身被感染的软件等等的风险。

根据本公开，rm架构支持以安全和可信的方式将风险管理解决方案初始部署到空气间隙的环境中。这可以例如使用针对解决方案部署的物理介质、签字的可执行文件或安全证书来完成。

rm架构还利用仅仅允许在空气间隙的环境中操作的那些现代计算机制。这可以例如使用外部端口阻挡、本地部署的应用或对rms能力的安全用户账户访问来完成。

rm架构还支持用于到空气间隙的环境中的功能和架构更新的安全和可信机制。这可以例如使用用于更新部署的物理介质、签字的可执行文件或安全证书来完成。

此外，rm架构支持对风险知识库的更新以提供同时期的风险意识。这可以例如使用用于更新部署的物理介质、签字的可执行文件或安全证书来完成。

尽管图2图示出了用于空气间隙的环境中的风险管理的控制系统200的一个示例，但是可以对图2进行各种改变。例如，图2中的部件的功能划分仅用于说明。各种部件可以被组合、进一步细分、重新布置或省略，并且可以根据特定需要来添加附加部件。

图3图示出了根据所公开的实施例的过程300的流程图，其可以例如由风险管理器154、控制系统200或被配置成如所描述地执行的其它设备（下面一般被称为“风险管理器系统”）来执行。

风险管理器系统从空气间隙的环境中的多个计算设备收集数据（305）。空气间隙的环境包括与不安全的外部网络基本上或完全隔离的控制系统。数据收集可以通过数据收集功能来执行。

风险管理器系统应用规则来分析所收集的数据并且标识对空气间隙的环境中的计算设备的网络安全威胁（310）。这可以由规则引擎来执行。这可以使用风险管理数据库来执行，所述风险管理数据库存储标识网络安全威胁的规则和数据。风险管理器系统还可以更新风险管理数据库，以提供对空气间隙的环境中的计算设备的网络安全威胁的同时期意识。

风险管理器系统存储分析的结果和所标识的网络安全威胁，并与用户进行交互以显示分析的结果和所标识的网络安全威胁（315）。这可以包括将结果传输到web应用用户接口。

注意，这里示出的风险管理器154和/或基础设施200可以结合下面先前提交的专利申请中所描述的各种特征来使用或操作（其全部通过引用并入本文）：

•题为“dynamicquantificationofcyber-securityrisksinacontrolsystem”的美国专利申请号14/482,888；

•题为“analyzingcyber-securityrisksinanindustrialcontrolenvironment”的美国临时专利申请号62/036,920；

•题为“rulesengineforconvertingsystem-relatedcharacteristicsandeventsintocyber-securityriskassessmentvalues”的美国临时专利申请号62/113,075和与其同时提交的类似标题的对应非临时美国专利申请14/871,695（案卷号h0048932-0115）；

•题为“notificationsubsystemforgeneratingconsolidated,filtered,andrelevantsecurityrisk-basednotifications”的美国临时专利申请号62/113,221以及与其同时提交的类似标题的对应非临时美国专利申请14/871,521（案卷号h0048937-0115）；

•题为“techniqueforusinginfrastructuremonitoringsoftwaretocollectcyber-securityriskdata”的美国临时专利申请号62/113,100以及与其同时提交的类似标题的对应非临时美国专利申请14/871,855（案卷号h0048943-0115）；

•题为“infrastructuremonitoringtoolforcollectingindustrialprocesscontrolandautomationsystem:riskdata”的美国临时专利申请号62/113,186以及与其同时提交的类似标题的对应非临时美国专利申请14/871,732（案卷号：h0048945-0115）；

•题为“patchmonitoringandanalysis”的美国临时专利申请号62/113,165以及与其同时提交的类似标题的对应非临时美国专利申请14/871,921（案卷号h0048973-0115）；

•题为“apparatusandmethodforautomatichandlingofcyber-securityriskevents”的美国临时专利申请号62/113,152以及与其同时提交的类似标题的对应非临时美国专利申请14/871,503（案卷号h0049067-0115）；

•题为“apparatusandmethodfordynamiccustomizationofcyber-securityriskitemrules”的美国临时专利申请号62/114,928以及与其同时提交的类似标题的对应非临时美国专利申请14/871,605（案卷号h0049099-0115）；

•题为“apparatusandmethodforprovidingpossiblecauses,recommendedactions,andpotentialimpactsrelatedtoidentifiedcyber-securityriskitems”的美国临时专利申请号62/114,865以及与其同时提交的类似标题的对应非临时美国专利申请14/871,814（案卷号h0049103-0115）；和

•题为“apparatusandmethodfortyingcyber-securityriskanalysistocommonriskmethodologiesandrisklevels”的美国临时专利申请号62/114,937以及与其同时提交的类似标题的对应非临时美国专利申请14/871,136（案卷号h0049104-0115）。

在一些实施例中，由计算机程序实现或支持在本专利文档中所描述的各种功能，所述计算机程序由计算机可读程序代码形成并且其被包含在计算机可读介质中。短语“计算机可读程序代码”包括任何类型的计算机代码，包括源代码、目标代码和可执行代码。短语“计算机可读介质”包括能够由计算机访问的任何类型的介质，诸如只读存储器（rom）、随机存取存储器（ram）、硬盘驱动器、光盘（cd）、数字视频盘（dvd）或任何其它类型的存储器。“非暂时性”计算机可读介质不包括传输暂时性电或其它信号的有线、无线、光学或其它通信链路。非暂时性计算机可读介质包括数据可以永久存储在那里的介质以及数据可以存储在那里并且稍后被覆写的介质，诸如可重写光盘或可擦除存储器设备。

阐述遍及本专利文档所使用的某些词和短语的定义可能是有利的。术语“应用”和“程序”指的是一个或多个计算机程序、软件部件、指令集、程序、函数、对象、类别、实例、相关数据或适于以合适的计算机代码（包括源代码、目标代码或可执行代码）实现的其一部分。术语“通信”及其派生词涵盖直接和间接通信两者。术语“包括”和“包含”及其派生词意指没有限制的包括。术语“或”是包括性的，意指和/或。短语“与……相关联”及其派生词可以意指包括、被包括在……内、与……互连、包含、被包含在……内、连接到……或与……连接、耦合到……或与……耦合、与……可通信、与……协作、交错、并置、与……紧接、被束缚到……或用……束缚、具有、具有……的性质、具有到或与……的关系等等。当与项目列表一起使用时，短语“……中的至少一个”意指可以使用所列项目中的一个或多个的不同组合，并且可能仅需要列表中的一个项目。例如、“a、b和c中的至少一个”包括下面组合中的任一个：a、b、c、a和b、a和c、b和c以及a​​和b和c。

虽然本公开已描述了某些实施例和一般地相关联的方法，但是对于本领域技术人员而言，这些实施例和方法的变更和置换将是显而易见的。因此，示例实施例的以上描述不限定或约束本公开。在不脱离由下面的权利要求限定的本公开的精神和范围的情况下，其它改变、替换和变更也是可能的。