具有受保护的外部访问的过程工厂网络的制作方法
【技术领域】
[0001 ]本申请总体上设及过程工厂通信系统,并且更具体来说,设及在允许对来自运些 系统的数据的外部访问的同时保护过程工厂和维护系统。
【背景技术】
[0002] 诸如类似于在发电、化学、石油、或其它制造过程中所使用的那些分布式或者可扩 展的过程控制系统之类的过程控制系统通常包括一个或多个控制器,该一个或多个控制器 彼此通信地禪合,经由过程控制网络禪合到至少一个主机或操作者工作站并经由模拟总 线、数字总线或者组合的模拟/数字总线禪合到一个或多个现场设备。例如可W是阀、阀定 位器、交换机和发射机(例如,溫度传感器、压力传感器和流速传感器)的现场设备在过程或 工厂内执行功能,诸如打开阀或关闭阀、开启设备或关闭设备W及测量过程参数。控制器接 收指示由现场设备获得的过程或工厂的测量结果和/或与现场设备有关的其它信息的信 号,使用该信息来执行一个或多个控制例程并随后生成控制信号,通过工厂网络的总线或 通信信道来向现场设备发送该控制信号,W控制过程或工厂的操作。通常使来自现场设备 和控制器的信息可用于由操作者工作站执行的一个或多个应用,W使得操作者或维护人员 能够执行关于过程或工厂的任何期望的功能,诸如查看工厂的当前状态、修改工厂的操作、 校准设备等等。
[0003] 在操作期间,通常位于过程工厂环境内的过程控制器接收指示由现场设备获得的 或者与现场设备相关联的过程测量结果或过程变量和/或与现场设备有关的其它信息的信 号,并使用该信息来执行控制器应用。控制器应用执行例如不同的控制模块,该不同的控制 模块作出过程控制决定、基于接收到的信息来生成控制信号、W及与诸如HART"和 FOUNDATION?现场总线的现场设备之类的现场设备中的控制模块或控制块协调。过 程控制器中的控制模块通过通信线路或其它信号路径向现场设备发送控制信号,W由此控 制过程的操作。
[0004] 通常还经由一个或多个受保护的过程控制网络而使来自现场设备和过程控制器 的信息可用于工厂内的或者工厂外部的一个或多个其它硬件设备,诸如,举例来说,操作者 工作站、维护工作站、服务器、个人计算机、手持式设备、数据或事件历史库、报告生成器、集 中式数据库等等。通过过程控制网络传输的信息使得操作者或维护人员能够执行关于过程 的期望的功能和/或能够观察工厂的操作。例如,控制信息允许操作者改变过程控制例程的 设置,W便修改过程控制器或智能现场设备内的控制模块的操作、观察过程的当前状态或 者过程工厂内的具体设备的状态、观察由现场设备和过程控制器生成的警报和/或警告、模 拟过程的操作W便训练人员或测试过程控制软件、诊断过程工厂内的问题或硬件故障等 等。
[0005] 现场设备和控制器通常通过一个或多个受保护的过程控制网络(其例如可W被实 现为W太网配置的LAN)与其它硬件设备进行通信。过程控制网络通过各种网络设备发送过 程参数、网络信息、W及其它过程控制数据,并发送到过程控制系统中的各个实体。典型的 网络设备包括网络接口卡、网络交换机、路由器、服务器、防火墙、控制器、w及操作者工作 站。网络设备通常借助控制数据的路由选择、帖率、超时、W及其它网络参数来促进数据流 动通过网络,但不改变过程数据本身。由于过程控制网络在尺寸和复杂性上增长,因此网络 设备的数量和类型相应地增加。由于系统和网络的增长,因而运些复杂系统内的安全W及 对运些复杂系统的管理变得越来越困难。然而作为开始,通常将运些网络与其它外部网络 隔离,并通过一个或多个防火墙来保护运些网络免受外部攻击。
[0006] 事实上,在典型的工业控制系统中,策略性地将工厂控制系统工作站/服务器放置 在执行与工厂相关联的各个功能的外部工厂网络与在控制系统内执行控制和数据采集功 能的嵌入式控制设备(例如,控制器、化C、RTU)之间。因此,针对控制工作站/服务器的主要 的安全目标在于防止恶意软件进入控制系统并不利地影响嵌入式设备,W及防止恶意软件 改变存储在工厂过程控制数据库中的配置和历史数据。更进一步,运些工作站/服务器防止 对过程系统的未授权的访问,W防止对工厂配置的未授权的改变、对工厂数据的未授权的 访问,等等。尽管多个安全特征(诸如防火墙、"防病毒"软件和"白名单"可用于解决运些安 全目标,但运些安全特征通常是不够的。例如,防病毒软件不能对抗"零日"病毒,并且白名 单只防止未授权的应用运行。此外,运些特征中的某些特征太过于侵入W至于在过程控制 系统中无法在操作上可行,因为运些安全特征具有妨碍工厂操作者的活动的可能性。
[0007] 在一般意义上,通常通过对具有权限或授权来访问过程控制网络内的存储设备、 网络端口或直接数据链路的应用或服务进行操作而经由至外部网络的经授权的通信连接 来将恶意软件(例如位于零日攻击的核屯、处的恶意软件)引入到受保护的控制系统网络中。 此后,能够使用被恶意软件感染的应用或服务的安全权限来将恶意软件传播到其它设备 (例如,经由通信)和/或在过程控制网络内的设备内执行恶意软件。此外,恶意软件可W在 本地存留其自身而允许其在重启联网设备后再次执行。在某些情形中,恶意软件可W使用 应用或服务正在账户下执行的该账户的权限来使主机(例如,感染的应用或服务)的权限逐 步上升,并且运样做,恶意软件会能够在需要较高权限的过程控制设备或网络内执行动作 或操作,并且因此通常对控制系统操作更为不利。当运些攻击破坏工厂控制系统的正在进 行的操作时,运些攻击可W在过程工厂内具有严重的W及潜在地毁灭性的影响或者甚至致 命的影响。
[0008] 因此,尽管期望将过程控制网络与其它工厂网络隔离来限制过程控制网络的易损 性,但是还期望并且某些时候必须要使得人员能够从过程控制网络外部的点(即,从保护过 程控制网络的防火墙外部)访问过程工厂数据或过程控制网络数据。为了实现运样的访问, 过程控制系统有时具有设置在过程控制网络的防火墙内的外部数据访问服务器,该外部数 据访问服务器可W调用控制系统网络内的过程控制设备来读取过程控制系统数据等并向 外部网络内的客户端设备发送该数据。此外部数据服务器可W经由一个或多个客户端应用 来访问,该一个或多个客户端应用经由防火墙与来自外部网络的外部数据服务器相连接来 从过程控制网络获取期望的信息。例如,0PC基金会发布了 0PC规范的组,该0PC规范的组定 义可W由位于过程控制网络防火墙外部的客户端应用来使用W访问位于受保护的过程控 制网络内部并连接到受保护的过程控制网络的0P巧良务器的可编程接口。根据可W调用的 方法W及在0PC客户端与0P巧g务器之间传递的参数来定义运些接口。运些接口通常提供了 对工厂的过程控制网络的防火墙内的过程控制和制造自动化系统内的运行时间的W及历 史数据和事件进行配置、浏览、读取、写入、w及回调访问。
[0009] 随着对保护过程控制或制造自动化系统与其它外部(或内部)工厂网络之间的连 接的增长的需求,工厂架构越来越多地在工厂控制网络与其它工厂系统之间提供了被称为 DMZ的缓冲区。DMZ通常包括一个或多个服务器或网关设备,该一个或多个服务器或网关设 备的任务是W保护的方式与过程工厂网络内的服务器(诸如,类似于0PC服务器的外部数据 服务器)相连接。具体来说,在运些系统中,位于DMZ外部的客户端应用经由DMZ网关设备来 访问位于过程控制系统防火墙内的0PC服务器,DMZ网关设备基于用户授权而提供对0PC月良 务器的访问等等。该客户端应用随后可W经由DMZ网关向0PC服务器发送配置、浏览、读取、 写入、回调等等的请求,使得0PC服务器对工厂网络或控制网络内的数据进行访问并经由 DMZ网关向客户端应用发送该数据或信息。尽管使用DMZ阻止了其它工厂或外部工作站与控 制系统设备之间的直接连接,但经验表明,如果DMZ被恶意软件感染,则可W使DMZ提供从外 部网络到控制系统的直接连接,使得控制系统更容易受到损害。因此,当遭受恶意软件的攻 击或病毒时,DMZ可W进行操作来通过经授权的连接将0P巧g务器直接暴露于客户端应用或 暴露于其它外部设备,由此战胜了由DMZ网关设备提供的防火墙保护,并使得过程控制网络 遭受攻击或损害。
【发明内容】
[0010] 具有经由一个或多个防火墙向外部网络提供过程控制数据的外部数据服务器的 过程控制系统实现了节约成本并且安全的机制,该机制降低或消除了外部数据服务器被源 自于外部网络的病毒或其它安全攻击损害的能力。总的来说,过程控制网络安全系统包括 通信地连接到DMZ网关设备的外部数据服务器(其位于过程控制网络内),该DMZ网关设备被 设置在过程控制网络的外部并连接到外部网络。用于配置外部数据服务器的配置引擎位于 过程工厂的网络防火墙内并因此从过程控制网络内部进行操作。配置引擎将外部数据服务 器配置为产生一个或多个数据单、数据表或数据视图,该一个或多个数据单、数据表或数据 视图对待由外部数据服务