关键基础设施中控制系统的自动防火墙配置的制作方法

本公开涉及计算设备安全性，并且更具体地，涉及用于保护关键基础设施的控制系统的技术。

背景技术：

1、近年来，在数据通信和网络安全领域已经取得了许多进步。然而，在某些情况下，不能采用这些进步的传统设备由于各种原因仍在使用。例如，目前使用的大多数断路器都不支持消息级或传输级安全性。作为结果，这些断路器依赖于传统的非安全通信协议。尽管从安全的角度来看，更换这些断路器是最好的选择，但由于停机时间、成本等原因，许多安装使其变得不切实际。并且更一般地，在一些行业中，非安全协议(例如，明文数据通信和其他非安全通信协议)仍然在使用，并且可能甚至是必需的，以便确保与监测和入侵检测系统的兼容性和透明性。

技术实现思路

技术特征：

1.一种防火墙设备，包括：

2.根据权利要求1所述的防火墙设备，其中，数据以明文形式通过非安全通信信道发送。

3.根据权利要求2所述的防火墙设备，

4.根据权利要求1所述的防火墙设备，所述操作进一步包括：

5.根据权利要求1所述的防火墙设备，其中，所述端点设备被配置用于在接收到所述第一寄存器操作时执行所述第一寄存器操作。

6.根据权利要求1所述的防火墙设备，其中，使用第二非安全通信信道将所述第一寄存器操作转发给所述端点设备以用于执行，其中，所述防火墙设备、所述端点设备和所述第二非安全通信信道位于安全物理环境内。

7.根据权利要求6所述的防火墙设备，其中，所述第二非安全通信信道用于发送符合modbus数据通信协议的数据。

8.一种方法，包括：

9.根据权利要求8所述的方法，其中，所述寄存器操作通过非安全通信信道发送。

10.根据权利要求9所述的方法，其中，所述非安全通信信道用于发送符合modbus数据通信协议的数据，并且其中，数据以明文形式通过所述非安全通信信道发送。

11.根据权利要求8所述的方法，其中，所述防火墙设备被配置用于在确定第二寄存器操作能够被执行的次数的计数等于零时，从所述防火墙数据结构中移除对应于所述第二寄存器操作的条目。

12.根据权利要求8所述的方法，其中，所述端点设备被配置用于在从所述防火墙设备接收到所述第一寄存器操作时执行所述第一寄存器操作。

13.根据权利要求8所述的方法，其中，由所述防火墙设备使用第二非安全通信信道将所述第一寄存器操作转发给所述端点设备，并且其中，所述防火墙设备、所述端点设备和所述第二非安全通信信道位于安全物理环境内。

14.根据权利要求13所述的方法，其中，所述第二非安全通信信道用于发送符合modbus数据通信协议的数据。

15.一种包含计算机程序代码的非暂时性计算机可读介质，所述计算机程序代码在由一个或多个计算机处理器的操作执行时，执行操作，所述操作包括：

16.根据权利要求15所述的非暂时性计算机可读介质，其中，所述非安全通信信道用于发送符合modbus数据通信协议的数据，并且其中，数据以明文形式通过所述非安全通信信道发送。

17.根据权利要求15所述的非暂时性计算机可读介质，所述操作进一步包括：

18.根据权利要求15所述的非暂时性计算机可读介质，其中，所述端点设备被配置用于在接收所述第一寄存器操作时执行所述第一寄存器操作。

19.根据权利要求15所述的非暂时性计算机可读介质，其中，使用第二非安全通信信道将所述第一寄存器操作转发给所述端点设备以用于执行，并且其中，所述防火墙设备、所述端点设备和所述第二非安全通信信道位于安全物理环境内。

20.根据权利要求19所述的非暂时性计算机可读介质，其中，所述第二非安全通信信道用于发送符合modbus数据通信协议的数据。

技术总结
实施例提供了用于安全管理寄存器操作到端点设备(例如，断路器和其他形式的电气装备)的传输的技术。防火墙管理组件可以通过安全通信信道向防火墙设备上维护的防火墙结构添加条目。该条目可以指定(i)端点设备的寄存器操作，(ii)寄存器操作的值，以及(iii)寄存器操作可以被执行的次数的计数。防火墙管理组件将寄存器操作发送给防火墙设备以转发给端点设备。防火墙设备被配置用于只有在防火墙结构中指定的计数不会被超过的情况下，才将寄存器操作转发给端点设备。

技术研发人员：C·A·劳埃德,D·A·派列特
受保护的技术使用者：施耐德电气美国股份有限公司
技术研发日：
技术公布日：2024/1/15