专利名称:用于过程控制系统的集成统一威胁管理的制作方法
技术领域:
本申请通常涉及过程工厂的控制系统,尤其涉及用于过程控制或工厂环境中的网络威胁管理的方法及装置。
背景技术:
过程控制系统,例如那些在发电,化学,石油或其它行业中使用的分布式或可扩展的过程控制系统,典型地包括一个或多个控制器,这些控制器彼此在通信上耦合,通过过程控制网络与至少一个主机或操作员工作站相耦合,并通过模拟总线,数字总线或组合的模拟/数字总线与一个或多个现场设备相耦合。现场设备可以是,例如,阀门,阀门定位器, 交换机和发射机(例如,温度,压力和流速传感器),其执行过程或工厂中的功能,如开关阀门,转换设备开关以及测量过程参数。控制器接收由现场设备完成的对于过程或工厂测量指示的信号和/或其他与现场设备有关的信息,控制器使用这些信息以实现控制例程,然后生成控制信号,该信号将通过总线上发送给现场设备以控制过程或工厂的运行。典型地, 来自现场设备和控制器的信息对于由操作员工作站执行的一个或多个应用程序而言是可用的,这使得操作者能够执行关于过程或工厂的任意所需功能,例如查看工厂的当前状态, 修改工厂的操作,等等。现场设备信息和操作员工作站的应用程序共同组成了操作员控制环境。过程控制器,典型地位于过程工厂环境中,其接收由现场设备完成或与现场设备相关的对于过程测量或过程变量指示的信号和/或其它与现场设备有关的信息,并执行控制器应用程序。控制器应用程序实现例如不同的做出过程控制决定的控制模块,基于接收到的信息生成控制信号,并与例如HART 和FOUNDATION Fieldbus 的现场设
备中的控制模块或区块进行配合。过程控制器中的控制模块通过通信线或信号路径向现场设备发送控制信号,从而控制过程的运行。典型地,来自现场设备和过程控制器的信息通过过程控制网络对于一个或多个其它硬件设备而言是可用的,例如,操作员工作站,维修工作站,个人计算机,手持设备,数据历史记录,报告文件处理机,集中式数据库等等。在网络上传播的信息使得操作员,维修人员,或其他用户能够执行关于过程的所需功能。例如,该信息允许操作员改变过程控制例程的设置,修改过程控制器或智能现场设备中的控制模块的操作,查看过程的当前状态或过程工厂中特定设备的状态,查看现场设备和过程控制器生成的警报,出于培训员工或测试过程控制软件的目的而模拟过程操作,诊断过程工厂中的问题或硬件故障等等。作为示例,由爱默生过程管理有限公司销售的Delta V 控制系统包括存储于不同设备并由其执行的多个应用程序,这些不同设备位于过程工厂中的不同位置。安置在一个或多个操作员工作站中的配置应用程序,使得用户能够创建或改变过程控制模块,并通过分布式控制器专用的数据高速通道下载这些过程控制模块。典型地,这些控制模块由通信上互相连接的功能块组成,它们是面向对象编程协议中的对象。这些功能块基于那里的输入执行控制模式中的功能,并提供控制模式中其他功能块的输出。配置应用程序也可以允许设计者创建或改变操作者界面,查看应用程序使用该界面向操作者显示数据,并能使操作员改变设置,例如过程控制例程中的设定点。在一些情况下,每个专用的控制器和现场设备存储并执行控制器应用程序,该控制器应用程序运行分配及下载在那里的控制模块, 以实现实际过程控制功能。查看应用程序,可以运行于一个或多个操作员工作站上,其通过数据高速通道从控制器应用程序处接收数据,并使用用户界面向过程控制系统的设计者, 操作员或用户显示这些数据,并可以提供过程控制例程或模块的多个不同视图中的任意一个,例如,操作员视图,工程师视图,技术人员视图等等。典型地,数据历史记录应用程序被存储于数据历史记录设备中并由其执行,该数据历史记录设备采集并存储通过数据高速通道提供的部分或所有数据,而配置数据库应用程序还可以运行在与数据高速通道连接的另外的计算机上,以存储当前过程控制例程的配置及与其相关的数据。替代地,配置数据库可以位于同样的工作站中以作为配置应用程序。由于过程控制环境中使用的控制和支持应用程序的数量和类型都在增加,所以提供不同的图形显示应用程序能够使得用户有效地配置及使用这些应用程序。例如,图形显示应用程序被用于支持控制配置应用程序,来使得配置工程师能够图形化地创建下载到过程工厂中控制设备的控制程序。此外,图形显示应用程序被用来使得操作员能够查看过程工厂或过程工厂中的区域的当前功能,用于使得维修人员查看过程工厂中硬件设备的状态,用于能够对过程工厂的进行模拟或管理等等,如美国专利申请号10/574,824,名为“集成环境中具有定制的过程图形化显示层的过程工厂用户界面系统”中所描述的那样,在此清楚地引用其全文作为参考。Delta 控制系统还可以包括具有计算机可读介质的用户界面系统或环境,显示设备,以及具有存储于计算机可读介质中的信息的对象,该信息是关于过程工厂的元件,设备等运行状况的。用户界面系统的执行引擎利用运行时环境中的对象信息,为过程图形显示的多个内容层生成内容。然后显示设备描绘了多个内容层的指定内容层。对象信息包括来自过程工厂的运行时数据,其与过程工厂的元件或设备的在线操作有关。每个用户的配置文件包括根据工作说明(例如,操作员,维修人员,管理者,教员,访客等)对访问的指示,用户界面的内容层为每个用户显示内容层中运行时数据定制的描述。过程控制系统中的现场设备在过程控制网络上与硬件设备通信,例如,以太网配置的局域网。网络通过各种网络设备将过程参数,网络信息以及来自元件及设备的其它过程控制数据中继转播到过程控制系统的各种实体上。典型的网络设备包括网络接口卡,网络交换机,路由器,防火墙,控制器和操作员工作站。典型地,网络设备通过控制其路由,帧速率,超时以及其他网络参数来使得通过网络的数据流更加容易,但是不能改变过程数据本身。虽然来自现场设备和过程控制器的信息对于在工作站上执行的控制环境中的操作员和维修工作站而言是可用的,但来自网络设备的信息(例如,配置,状况,状态等)是不能作为过程变量被集成到过程控制系统中的,因此,这些信息在控制环境中是不可用的。网络设备的管理和控制与现场设备和过程变量的管理是分开的。
由于过程控制网络在规模和复杂度方面都增加了,网络设备的数量和类型也相应地增加了。另外,由于过程系统和工厂本身越来越分散(例如,过程的不同步骤在物理隔离的位置中进行执行,监视,控制等等),过程控制网络包括更多的通信,其通常使用广域网和特定的互联网协议组,以在不同位置中的每个过程控制站点乃至单个操作员工作站上包含各种局域网。作为系统和网络增加的结果,网络安全和对这些复杂的分布式过程控制系统的管理已经越来越困难了。任何接入到过程控制系统网络的外部连接都是系统中可能的攻击点O网络设备,例如防火墙,典型地为过程控制网络提供安全,并降低网络攻击的风险。防火墙被设计为阻止那些未经授权的对于网络的一部分或多个部分进行访问的网络业务。典型地,防火墙包含一个或多个规则集,其从各种其它网络设备或网络位置处过滤未经授权的通信。规则集的两个通用种类包括基于策略的规则集和基于特征的规则集。基于策略的规则集基于IP地址、端口、通信速率及其它条件来定义网络通信上的各种限制,在这些条件下通常类型的通信是允许的。基于策略的规则集还可以定义网络允许在网络节点之间提供何种功能和服务的通信。基于策略的规则集防火墙能够动态地允许向随机IP地址进行通信。典型地,基于策略的系统仅仅查看每个数据包的源端口和目的地端口,以便与规则集建立匹配关系,并丢弃每个匹配的数据包。基于特征的规则集包括具体的恶意模式,并通过检查每个数据包的内容来与特征集进行比较以此阻止与那些模式相匹配的任何通信。 例如,基于特征的系统可以包括规则集,以便将接收到的数据包的有效负荷与已知的威胁 (病毒,蠕虫等),残缺的协议有效负荷等相比较,或者可以被配置为丢弃基于网络中特定设备的已知弱点的数据包。典型的防火墙需要对其规则集进行详细的配置。一些防火墙实现了“默认拒绝”型的防火墙规则集,其中防火墙所允许的唯一连接是那些已经被规则集明确允许的连接。默认拒绝规则集需要对过程控制系统的日常操作所需的网络应用程序和端点进行详细的了解。当然,通过添加或除去网络组件对系统进行的任意修改也需要修改默认拒绝规则集。另一个选择是“默认允许”规则集,其中所有的通信都被允许除非其被明确阻止。默认允许配置的规则集虽然易于实施,但它使得无意的网络连接和多余的系统保护更可能造成损害。由于过程控制系统和各种子系统逐步发展,防火墙规则集也必须改变以符合新设备,软件更新及任意其它网络变化的任意的额外安全需求。现场设备和过程控制系统软件, 就像任意其他软件一样,可以包含需要安装补丁和其它修复程序的错误。每次改变系统 (例如,通过添加新设备或软件、补丁以修复旧软件,改变网络配置,更新等等),都会潜在地将网络暴露在危险中。在典型的IT环境中,伴随网络停机时间的正常和一贯的修补会让网络保持安全。 但是在工业环境中,系统或工厂的停机时间是不可行的,而且通常会带来巨大的花费。在计划的停机时间期间安排常规的修补是一种解决方法,但如果在所安排的停机时间之前太早意识到威胁,常常会将系统暴露在危险中。因此,强制终端用户在连续地暴露于网络威胁或工厂中断工作中进行选择。用于在识别出新的威胁时更新防火墙的连续修补提供了一些保护,但是通常不能防止“零日,,应用程序层的攻击,在那里直到该威胁实际发生前,该威胁仍是未知的。此外,因为网络设备没有集成在过程控制系统中,来自防火墙的信息对于工厂操作员和其他工厂人员而言是不可用的。诸如配置、规则集修补、以及常规维护之类的防火墙任务仅留给IT人员进行。在一些特别高危险或敏感的过程控制系统(例如,核反应堆,高能处理,主要大城市地区的电力网,军事和政府的应用程序等等),限制连接政策可能要求所有的外部网络连接是完全安全的。在实践中,这些敏感的过程控制系统采用了在它们不使用时,将所有外部连接与网络物理截断的方式。但是,如上所述,由于物理隔离外部连接作为在图形界面中表示的对象不能集成到过程控制系统中,对于操作员而言如果无法控制连接的状态(也就是说,操作员控制的设备或系统是否在物理上连接到外部实体)或者甚至不知道来自他们的操作员工作站的连接是否激活时,那将会很困难。一些商业货架(COTS)防火墙系统和其它网络设备能够提供网络安全的部分解决方案,但还是必须在操作员环境之外进行管理。受过特定训练的IT人员管理COTS防火墙, 以此将防火墙集成到过程控制系统的需求中,并配置如上所述的各种规则集。即使如此, COTS防火墙还是有很多缺点。例如,防火墙的“寿命终止”由生产商控制,而不是由用户或工厂底层人员控制,这会导致意料不到的产品替换,缺少生产商支持,以及工厂停机时间。 此外,当发现新的威胁或进行系统软件组件升级时,IT人员还是需要更新规则集。在过程控制系统中,每个规则集对于它所保护的系统都是明确的;改变系统需要改变规则集。没有受过特别地训练以理解过程控制系统及其升级的IT人员,其可能不能理解规则集如何或为何也要改变。如果仅仅作为由IT人员管理的独立运行的应用程序,规则集可能无意地为系统提供少于所需的保护。例如,防火墙的实行,配置,管理通常需要IT人员具有要保护网络拓扑结构的详细知识。通常,过程控制网络的IT人员需要理解网络拓扑结构,与该网络相关的网络业务需求,允许的设备及局域网中或局域网之间的业务所需要的服务,以及应当被允许访问局域网的各种外部实体。示例性的内部实体可以包括业务中的多个工作站, 其能够访问共享的文件服务器和应用程序。示例性的外部实体可以包括便携式电脑,工作站以及其它的物理上没有连接到一个或多个局域网的通信设备。例如,这些外部实体可以与销售人员相关联,这些销售人员正在出差,并且需要连接到他们业务网络的敏感节点或专用节点。在IT人员需要对与控制系统有关的网络的保护负责的情况下,通常该人员必须了解哪些控制系统设备被允许访问外部网络资源,以及哪些外部网络资源被允许访问控制系统设备。一些控制系统(例如,生产工厂中的过程控制系统,测试和测量应用程序/装置等)包括一个或多个控制器,例如由Fisher-Rosemount Systems, Inc.公司, EmersonProcess Management 公司销售的DeltaV 控制器。该控制器可以连接到网络并具有指定的IP地址,一个或多个通信端口,一个或多个可以容纳输入/输出(I/O)设备和/ 或现场设备的槽,和/或一个或多个I/O通道。对于一些控制系统,可以使用多个控制器, 每一个控制器都具有唯一的IP地址连同对应的端口、槽、和/或I/O通道。照此,IT人员通常必须了解每个控制器的IP地址和/或连接到该控制器的每个设备,如现场设备,(例如, 智能现场设备),热电偶,和/或其它设备(例如,遮光罩,压力计,压力变换器,电流变换器
寸寸J。IT人员除了有责任了解控制系统拓扑结构和每个控制系统设备的地址之外,IT 人员通常还必须为包括一个或多个控制系统的每个设备设置规则和/或访问特权。规则可以包括但不限于,允许控制系统中已识别设备之间的内部网络通信,阻止来自于控制系统中一个或多个控制系统设备的通信,阻止来自于具有外部目的地IP地址的一个或多个控制系统设备的通信,设置一个或多个通信容量阈值以及设置通信协议规则(例如,不允许智能现场设备启动控制系统网络内的通信,除非由主设备首先请求)。此外,由于控制系统设备和由这种设备使用的相关联的通信协议可以包括唯一的设备特有的特征,所以IT人员通常需要了解关于控制系统通信的细节,基于这些特征该通信会被允许或阻止。例如,一些控制系统使用名为高速可编址远程传感器(HART)的通信协议。HART通信使用双向工业现场通信协议,该协议通常用于实现智能现场仪表和/或主系统之间的通信。例如DeltaV 控制器的主系统,出于很多原因,包括设备配置,设备诊断, 故障诊断,发现并处理故障设备,接收设备过程测量值,以及确定设备健康状态信息,与现场设备通信。在首先被主机(例如DeltaV 控制器)询问之后,HART设备通常仅被允许在 HART通信网络上通信。HART通信协议的另一个通信特征包括其方便使用第二主机的能力 (例如,首要主机和第二主机,每一个都可以与现场设备通信)。如果配置防火墙的IT人员不知道这种设备和协议特有的特征,那么防火墙可能不适于这种通信活动,该活动被认为是可以接受的或特别有风险的。例如,一些现场设备可以在控制系统中被配置成,从传感器处接收测量数据,并将搜集到的测量数据通过特定的IP地址报告给具有特定端口的特定控制器。在现场设备也可以启动至替代目的地(例如,网络节点,互联网,控制系统中的替代控制器等)的通信的情况下,那么这种活动可能被认为是安全威胁,而过程控制系统的操作员可能不完全了解这种安全威胁。在其它情况下,IT人员对于控制系统的细节以及控制系统如何正确地行使功能以满足控制目标(例如,控制器与设备之间所允许的控制通信,设备之间所允许的数据通信, 允许的设备固件更新,允许的远程用户发起的对控制系统的外部访问等等)仅有有限的或不太详细的了解。照此,IT人员在正确的访问控制,许可设置,和/或对系统的正确防火墙规则配置方面处于重大劣势。例如,专业IT人员可以安装一个或多个防火墙设备和/或防火墙软件应用程序,以在控制系统网络边界与内联网和/或互联网边界之间运行。但是,通常,这种防火墙没有被配置规则和访问许可,这些规则和许可解释了对于控制系统的独特需求,这在保持所需的网络安全等级的同时会引发控制系统的最优功能。结果,IT人员可以重复地直接配置防火墙以响应来自控制系统管理员的关于通信故障及不正确的控制系统操作实例的抱怨。配置防火墙的这种重复工作导致了工作人员的低效,故障,损失利润及安全风险。在Byres等的、名为“NETWORK SECURITY APPLIANCE,,的美国专禾丨』申请 No. 2007019906以及不列颠哥伦比亚省Lantzville区的Byres安全公司生产的!"ofino 系统中描述了可能的网络安全的解决方案。这些解决方案发现并识别设备,并通过被动地分析网络上的通信流量来自动地定位设备及生成规则,从而创建防火墙规则以控制流向这些设备的通信流量。当该解决方案发现新的设备时,其提示系统管理员接受它的推论并将这个新设备插入到网络清单图中,或者将该设备标记为潜在的入侵者。这样,IT人员和网络控制工程师总是具有当前的网络地图。虽然这种解决方案确保了 IT人员能够快速准确地管理网络,但该解决方案依然全部委托给了专业人员并由受过独立训练的IT人员控制。过程控制系统中的操作员没有能力从操作员工作站中监控并管理过程控制网络的安全。
发明内容
通过提供统一威胁管理系统(UnifiedThreat ManagementSystem,UTMS),可以增强过程控制系统网络的安全和管理,该UTMS包括配置了 UTMS的防火墙,配置了 UTMS的网络访问设备,以及配置了 UTMS的现场设备,其能够抵抗已知的和“零日”的弱点并且抵抗对于嵌入式专用设备和标准通用设备这样的控制系统的威胁。配置了 UTMS的防火墙和/或网络访问设备可以包括位于过程控制网络周边的独立网络设备,或者运行于控制器或过程控制系统其它内部部分中的设备或软件。配置了 UTMS的防火墙和设备的状态作为过程控制对象或变量被集成到过程控制系统中,因此,其允许从操作员工作站或其它工作站中查看该状态及其它UTMS和分支网络访问设备的参数和变量。UTMS防火墙和设备可以与永久性的服务通信,该服务主动地支持配置了 UTMS的防火墙,网络访问设备,及具有符合最近安全威胁的规则集的已配置的控制器或现场设备,威胁模式,和网络中所发现的存在的控制系统弱点。从工厂的标准控制用户界面(例如,DeltaV 环境)中管理这些更新,就如同通常的UTMS和配置了 UTMS的防火墙,网络访问设备和现场设备与任何其它的控制系统元件或实体没有区别一样。UTMS事件和配置了 UTMS的防火墙及设备本身(例如,警报,许可, 威胁状态,事件,设置,状态等等)也可以从DeltaV 环境内部进行管理。UTMS每个组件的操作员显示器可以在DeltaV 环境或另一个图形过程控制环境中显示,以允许操作员显示连接的当前状态并更新设置,规则集和UTMS(以及它的防火墙, 网络访问设备,现场设备如果这样配置的话)的其它参数或变量,并执行来自操作员显示器或其它工作站的任意其它过程控制系统安全任务。在一些实施例中,可以基于过程控制系统本身连续性或周期性的评价创建规则集,以提供对于已识别威胁的即时系统保护。因此,UTMS和它的各种网络访问设备可以保护过程控制网络免遭那些已知存在的和预测到存在的攻击。在一个实施例中,保护过程控制系统中网络业务的方法可以包括,实例化具有可编程界面的与特定过程控制系统设备通信的对象。该对象能够访问包括一个或多个规则的规则集,这些规则定义了接受或拒绝在设备处所接收的网络业务的条件。该网络业务来自过程控制系统外部,并且还试图访问过程控制系统、过程控制系统的网络设备、过程控制系统的现场设备中的一个或多个。随后,该对象确定将规则集中的哪个或哪些规则应用到设备,并通过将该一个或多个已确定的规则应用到设备来保护设备。然后对象监控在受保护的设备处所接收的网络业务,当接收网络业务时,确定在受保护的设备处所接收的网络业务是否违反了应用到受保护设备上的一个或多个规则。如果在受保护的设备处所接收的网络业务违反了一个或多个规则,那么该对象拒绝该网络业务的访问,并在过程控制系统的操作员界面中显示警报。替代地,如果在受保护的设备处接收的网络业务没有违反一个或多个规则,那么对象允许该网络业务进行访问。在另一个实施例中,保护过程控制系统中的网络业务的网络设备可以包括将网络业务传播进或传播出网络设备的第一网络连接器,以及将网络业务传播到过程控制系统的控制装置的第二网络连接器。网络设备处的规则集可以包括一个或多个规则,其定义了接受或拒绝在网络设备处所接收的网络业务的条件,其中该网络业务来自过程控制系统外部,并试图访问过程控制系统。网络设备还可以包括比较例程,其确定传播到网络设备的网络业务是否违反了规则集中的一个或多个规则,以及保护例程,如果在第一网络连接器处所接收的网络业务违反了一个或多个规则,那么该保护例程拒绝网络业务访问过程控制系统的控制装置或另一个设备,并引发显示于过程控制系统的操作员界面中的警报,而如果在网络设备处接收的网络业务没有违反一个或多个规则,那么该保护例程将该网络业务通过第二个网络连接器传播到控制装置。还是在进一步的实施例中,在过程控制系统中保护网络业务的统一威胁管理系统 (UTMS)可以包括被配置为接收与过程控制系统相关的网络业务的多个网络设备,其中可以将至少一个网络设备配置为从过程控制系统的外部源处接收规则集。规则集可以包括一个或多个规则,其定义了接受或拒绝在网络设备处所接收的网络业务的条件。UTMS也可以包括图形化过程控制环境,其用于图形化地表示过程控制系统的元件(包括多个网络设备) 以及连接到多个网络设备中的每一个的网络业务连接的状态。可以将图形化过程控制环境配置为实例化多个网络设备中的每一个的对象,每个对象包括与每个UTMS设备通信的可编程界面,以便图形化地表示多个网络设备中的不同的网络设备。此外,可以在图形化过程控制环境中显示并配置多个网络设备的参数。该参数可以包括与多个网络设备中的每一个的连接的状态、规则集以及规则集的更新。
图IA示出了过程控制系统的示意性框图,该系统包括在互联网上分布的元件,每个元件包括一个或多个操作员工作站及维修工作站,控制器,现场设备,配置为实现此处所述的过程控制系统网络安全功能(统一威胁管理系统;UTMS)的网络设备,常规的网络设备,以及发送并接收与过程控制系统相关的外部数据的支持设备;图IB示出了过程控制系统的另一个示意性框图,该系统包括在互联网上分布的元件,每个元件包括一个或多个操作员工作站及维修工作站,控制器,现场设备,周边网络设备(防火墙)及配置为实现此处所述的过程控制系统网络安全功能(统一成胁管理系统;UTMS)的网络访问设备,正常的网络设备,以及发送并接收与过程控制系统相关的外部数据的支持设备;图2示出了一系列应用程序和其它实体的逻辑框图,包括配置了 UTMS的过程对象和过程模块,其存储于图Ia和Ib的操作员工作站中,可用于实现UTMS方法和技术;图3示出了更新UTMS规则集的方法的逻辑框图;图4示出了用于过程控制系统外部通信的配置了 UTMS的网络设备的简化框图;图5示出了用于跨系统通信连接的配置了 UTMS的网络设备的简化框图;图6示出了用于系统内部通信连接的配置了 UTMS的网络设备的简化框图;图7示出了集成的配置了 UTMS的网络设备以绕过防火墙或其它过程控制系统中的网络设备的简化框图;图8示出了用于执行旁通功能的配置了 UTMS的网络设备的逻辑框图;图9示出了过程控制系统的逻辑框图,其包括通过I/O设备连接到控制装置或现场设备的配置了 UTMS的网络设备;图10示出了用于在网络中执行旁通功能的配置了 UTMS的网络设备的逻辑框图, 该网络包括光连接器或其它动力的连接器;图11示出了过程控制系统中一部分的逻辑框图,其包括具有UTMS能力的I/O设备;图12示出了过程控制系统的逻辑框图,其包括连接到控制装置或现场设备的具有UTMS能力的I/O设备;图13示出了规则集用户界面,其用于配置用于管理过程控制系统的网络业务的规则;图14示出了配置向导用户界面,其用于向过程控制系统的用户呈现问题以配置过程控制系统的网络业务;图15示出了系统安全用户界面,其用于向过程控制系统显示UTMS安全信息;图16示出了通信用户界面,其在通信上与配置了 UTMS的设备连接以管理特定类型的网络业务;图17示出了 UTMS设备控制中心用户界面,其在通信上与每个配置了 UTMS的设备相连接;图18示出了包括投入使用/停用窗口的UTMS设备控制中心用户界面;图19示出了包括维修辅助窗口的UTMS设备控制中心用户界面;图20示出了包括动作窗口的UTMS设备控制用户界面;图21示出了指出违反规则集或网络安全的UTMS设备控制中心用户界面;图22示出了 UTMS设备控制中心用户界面,其包括为所选的配置了 UTMS的设备的端口统计窗口 ;以及图23示出了包括警报的UTMS设备控制中心用户界面。
具体实施例方式图Ia是过程控制系统100的图示,其包括一个或多个过程工厂中的一个或多个过程控制子系统10 ,105b,在该一个或多个过程工厂中,通过互联网或其它外部资源的如每个子系统之间的外部通信由“统一威胁管理系统(UTMS) ”来保护,该UTMS包括如此处所述的一个或多个配置了 UTMS的网络设备(例如防火墙)146a,146b,网络设备152,现场设备134,智能设备,模块,控制器,元件等等。图Ib是过程控制系统100的另一个实施例的图示,其包括一个或多个由UTMS保护的过程控制子系统10 ,105b,除了下述的设备134, 146,152之外,还包括位于防火墙146下游的网络访问设备149。图Ib中的网络访问设备 149可以增补设备146的周边UTMS功能,或者可以执行特定的UTMS功能,例如下述的旁通功能。每个防火墙146或设备134,149,152可以包括规则集,例如,规则集147a,148a, 147b, 148b,151a, 151b,153,其定义了可由配置了 UTMS的设备接收或处理的通信。当配置了 UTMS 的设备是周边设备(即在过程控制网络150a或150b的外面)时,规则集147和151可以包括用于访问子系统105a,105b中的任意设备的一组全局规则。当配置了 UTMS的设备是内部设备134,152(也就是在过程控制网络150a或150b的内部)时,规则集148,153可以包括全局规则的子集,其仅仅定义了对特定内部设备的访问。规则集147,148,151,153可以是基于策略的或是基于签名的,或者是任意其它类型的规则集,其为配置了 UTMS的防火墙146a,146b,配置了 UTMS的网络访问设备149a,149b及配置了 UTMS的现场设备134(如下所述)提供了配置向导,以保护系统免遭内部网络或外部网络的威胁。图Ib是表示子系统10 和10 之间的跨系统连接的替代实施例,该子系统包括配置了 UTMS的网络访问设备149c,其可以包括或不包括诸如此处所述的规则集151c的规则集,并可以控制如下所述的不同类型的过程控制网络连接。通常,UTMS可以是网络入侵检测系统(NIDS),主机入侵检测系统(HIDS),这些类型系统的组合,或其它已知的或未来的网络安全模式。例如,配置了 NIDS,UTMS的防火墙 146a,146b和/或配置了 UTMS的网络访问设备149a,149b,149c或过程控制系统100中的其它配置了 UTMS的单元,在恶意的数据包能到达过程控制系统中它们计划的目的地并造成故障之前,可以使用一个或多个规则集来检查并丢弃来自网络的恶意数据包。另外,或者替代地,配置了 UTMS的防火墙146a,146b和/或配置了 UTMS的网络访问设备149a,149b, 149c或过程控制系统100中其它配置了 UTMS的单元134,152,如下进一步所述,可以配置作为HIDS,其监控过程控制系统的状态并检测是否有任何内部通信或外部通信违反了过程控制系统的安全策略。例如,包括HIDS元件,规则集或配置的UTMS可以使用过程控制系统的当前状态(也就是,设备、模块、或存储于RAM、文件系统、日志文件或别处的元件信息), 并将当前状态与一个或多个规则集147,148,151,153中描述的期望状态相比较,以确保系统正常地或如期望的那样运转。每个配置了 UTMS的防火墙146a,146b,网络访问设备149a, 149b,149c,及配置了 UTMS的现场设备134都可以包括一个或多个规则集,或定义了系统 100的安全策略的其它文件。如下进一步所述,周边设备也可以为每个内部配置了 UTMS的设备或各种设备群在算法上导出单个规则集,并将该规则集的子集发送给内部设备,或者允许内部设备访问该子集。UTMS的每个元件被集成到过程控制系统的控制环境中,如下进一步的解释,以增强网络安全性,并便于网络管理和维护。过程控制系统100可以包括一个或多个子系统 105a, 105b, 一个或多个过程控制网络150a,150b,以及通过过程控制网络150上的一个或多个网络设备146在通信上与一个或多个主机工作站或计算机120-122(其可以是任意类型的计算机,工作站等),其至少一个具有显示屏,相连接的一个或多个过程控制器110。虽然图Ia的过程控制系统100仅仅示出了两个过程控制子系统10 和10 ,其在作为广域网的互联网155上通信,图Ib的过程控制系统100仅仅示出了在局域网上通信的两个过程控制子系统10 和10 ,但是过程控制系统100可以包括任意数量的子系统和设备,模块, 以及元件,它们通过任意类型的连接,包括互联网,局域网,无线,双绞线,光纤等,仅提到这几个,彼此通信地互相连接。控制器110可以包括一个或多个网络接口卡,也通过输入/输出(I/O)卡140连接到现场设备130。数据历史记录145可以是任意所需类型的数据采集单元,其具有任意所需类型的存储器和用于存储数据的任意所需的或已知的软件,硬件或固件,其可以与工作站120-122中的一个分开或作为其中一部分。以实例说明之,控制器110可以是艾默生过程管理公司销售的DeltaV 控制器,其经由如以太网连接或任意其它所需的通信网络150a, 150b通过一个或多个网络设备146与主机120-122通信地连接。网络设备146包括以下设备元件中的一个或多个网络接口卡,网络交换机,路由器,防火墙,配置了 UTMS的防火墙, 网络访问设备,配置了 UTMS的设备,或者便于在网络150a,150b上传输数据而无需改变网络(如网络150a,150b)的任意部分上的通信的基础数据的任意其它元件。通信网络150a, 150b可以是局域网(LAN),广域网(WAN),电信网等等,可以使用硬连线或无线技术实现,其任意部分可以使用互联网连接实现。通过使用任意所需的硬件以及相关的软件,比如,标准420mA设备,标准协议,例如以太网,ARP, IP, I CMP, UDP等,和/或任意智能通信协议,例如FOUNDATION现场总线协议(Fieldbus),HART协议等,控制器110通信地连接到现场设备 130,133,134。现场设备130,133,134可以是任意类型的硬件元件,例如,传感器,阀门,发射机, 定位器等等,而I/O卡140可以是符合任意所需通信或控制器协议的任意类型的I/O设备。 在图1所示的实施例中,现场设备130是HART设备,其在标准模拟420mA线131上与HART调制解调器140通信,而现场设备133是智能设备,例如现场总线现场设备,其使用现场总线协议通信在数字总线135或I/O网络155上与I/O卡140通信,现场设备134可以是HART, 现场总线,或配置了 UTMS的其它现场设备,这样,除了执行上述指定的处理功能之外,设备 134被配置为丢弃任意符合设备本身(例如,特定的传感器,阀门,发射机,定位器等等,已知其具有特定的网络通信弱点)的已知弱点的数据包,其包含已知的危险有效载荷,其来自已知的危险地点,并符合已知的恶意网络行为模式。当然,现场设备130,133,134可以符合任意其它所需的标准或协议,包括将来开发的任意标准或协议。网络150和设备也可以是标准以太网通信及支持任意通信协议(例如,TCP/IP,ModbusIP等)的网络设备。连接到控制器110的现场设备130,133,134可以存储并执行模块,或子模块,例如与控制器110 中实现的控制策略相关联的功能块。如图la,Ib和3中所示,功能块132被置于两个不同的现场总线现场设备130,134的一个中,可以和执行控制器110中的控制模块136 —起执行,以实现过程控制,如所知的一样。如前所述,现场设备130,133,134可以是任意类型的设备,例如传感器,阀门,发射机,定位器等等,I/O设备140可以是符合任意所需通信或控制器协议例如HART,现场总线,Profibus等的任意类型的I/O设备。此外,通过专用网络设备143(例如配置了 UTMS的网络设备,网关,路由器,防火墙等等),现场设备142可以连接到数字总线135。例如,现场设备142可以仅仅了解HART命令,I/O网络135可以实现I3ROFIBUS协议。为此,网关143可以提供双向的PR0FIBUS/HART 转换及此处所述的配置了 UTMS的能力。替代地,或额外地,网络设备也可以位于或接近网关143处。网关143和设备142中的任意一个或两个都可以配置UTMS。控制器110,可以是其中具有一个或多个处理器的工厂中的许多分布式控制器中的一个,其实现或监督一个或多个过程控制例程或模块136。该例程可以包括一个或多个存储于控制器中或与控制器相关联的控制循环。控制器110还可通过网络150和其他网络设备与现场设备130,133,134,142,主机120-122,防火墙146a,146b及数据历史记录145通信,以便以任意所需方式控制过程。值得注意的是,如果需要,任何控制模块或例程136或此处所述的元件具有由不同的控制器或其它设备实现或执行的其的部分。同样,控制例程136,配置了 UTMS的网络设备的管理,现场设备,以及此处所述的在过程控制系统100中实现的其它元件,可以采用任何形式,包括软件,固件,硬件等等。出于讨论的目的,过程控制元件是过程控制系统的任意部件或部分,包括,例如,例程,存储于任意计算机可读介质上的块或模块。控制例程可以是模块或控制程序的任意部分,例如子例程,部分子例程(例如代码行)等等,UTMS管理例程可以以任意所需的软件格式实现,例如使用梯形逻辑,时序函数图,功能块图,面向对象编程或任意其它软件编程语言或设计模式。同样,控制例程和UTMS管理例程可以硬编码进例如,一个或多个EPROM,EEPR0M,专用集成电路(ASICs)或任意其它硬件或固件元件中。此外,可以使用任何设计工具,包括图形化设计工具或任意其它类型的软件/硬件/固件编程或设计工具,来设计控制例程和UTMS 管理例程。因此,控制器110可以配置为以任意所需的方式实现控制策略或控制例程,并可以如此处所述的集成UTMS管理例程。由于可配置为执行许多网络安全功能而无需系统操作员或其他人员的干预,UTMS 中的防火墙146和任何配置了 UTMS的网络访问设备149,及现场设备134也可以被描述为 “智能”UTMS设备。配置了 UTMS的网络访问设备也可以作为过程变量与过程控制系统100 连接,此变量能够从操作员工作站的图形显示器上对其进行完全监控和配置,而无需IT人员干预,如下所述。配置了 UTMS的防火墙146,网络访问设备149,UTMS现场设备134,网络设备152及相关联的规则集147,148,151,153被配置为保护过程控制系统100免遭内部及外部网络威胁,例如病毒,蠕虫或任意其它攻击,这些攻击会在一个或多个网络设备,现场设备,或过程控制系统的其它部分中引起故障。可以在控制系统100的分层体系中的不同层次部署UTMS设备,以在连接到其它系统时保护系统,及用于连接到不同的系统。每个工作站120,122包括一组操作员界面应用程序和其它数据结构123,其能够由任意已授权的用户(此处有时称为配置工程师,有时称为操作员,虽然其他类型的用户可以存在,如下所述与为用户类型定制的显示层有关)访问以查看并提供关于过程控制系统100中互连的设备、单元等的功能。这组操作员界面应用程序123存储于工作站120,122 的存储器124中,这组应用程序123中的每个应用程序或实体适于在与工作站120,122相关联的处理器125上执行。虽然图示的整组应用程序123都存储于工作站120,122中,但是这些应用程序或一些其它实体能够在系统100或与系统100相关联的其它工作站或计算机设备中存储或执行。此外,这组应用程序能够在与工作站120相关联的显示屏1 或任意其它所需的显示屏或包括手持设备,便携式电脑,其它工作站,打印机等的显示设备上显示输出。同样地,这组应用程序123中的应用程序可以分裂开来并在两个或多个计算机或机器上执行,并可以配置为一起运行。一般而言,这组应用程序123提供或使得对几个不同类型的实体创建并使用图形化显示,可以将这种操作集成在一起以提供过程控制系统100中增强的控制,模拟,网络安全及显示功能。这组应用程序123可以用于创建及实现过程图形化显示127(其通常提供与过程工厂的一部分有关的操作员显示),过程模块1 (其通常提供过程工厂的一部分的模拟)及过程控制模块,例如控制例程136,其通常提供或执行过程的在线控制。过程控制模块1 通常是本领域熟知的,可以包括任意类型的控制模块,例如功能块控制模块等等。 过程图形化显示元件127,以下将详细描述,通常是在操作员,工程师或其它显示器中显示的元件,向如操作员之类的用户提供关于过程工厂及其中元件的运行,配置,网络安全,组织结构等信息。过程模块1 通常紧密地与过程图形化显示元件127相联系,并可以用于执行对过程工厂运行情况的模拟、或对以过程图形化显示129中所描述的方式连接到过程工厂的不同元件中的一些元件的模拟。虽然过程图形化显示1 和过程模块1 能在任意其它与过程控制系统100相关联的计算机包括便携式电脑,手持设备等中下载及执行,但如图所示,过程图形化显示1 和过程模块1 是存储在工作站120和122中并由其执行的。图2示出了工作站120,122(图1)的应用程序组123中的一些应用程序和数据结构或其它实体。特别的,应用程序组123包括控制模块,过程模块,及图形化显示配置应用程序200,它们由配置工程师使用以创建控制模块,过程模块(也称为处理流程模块)及相关的图像化显示。例如,配置工程师可以为配置了 UTMS的防火墙146,网络访问设备149, 网络设备152或现场设备134创建控制模块以便集成到图形化显示中。虽然控制模块配置应用程序200可以是任何标准的或已知的控制模块配置应用程序,但使用一个或多个智能过程对象(其本质在美国专利申请10/574,拟4中描述),过程模块和图形化显示配置应用程序可以创建过程模块和图形化显示。此外,虽然过程模块和过程图形化配置应用程序200 分开显示,但一个配置应用程序能够创建这两种类型的元件。过程对象204的库202包括示例或模板过程对象204,其可由配置应用程序200访问,拷贝及使用以创建过程模块128(图la)和图形化显示129。可以理解,配置应用程序 200可以用于创建一个或多个过程模块128,每个过程模块由一个或多个过程对象204组成或创建,并可以包括一个或多个处理流程或模拟算法206,其存储于过程模块存储器208 中。此外,配置应用程序200可以用于创建一个或多个图形化显示129,其中的每一个由一个或多个过程对象204组成或创建,并可以包括任意数量的连接在一起的显示元件。一个图形化显示129b在图2中以展开形式示出,包括对一系列处理元件,例如阀门,油箱,传感器,配置了 UTMS的设备,流量传送仪的描述,这些元件通过连接元件进行互连,该元件可以是管道,导电管,电力电缆,传送带等。根据图形化显示1 的定义,执行引擎210在运行期间操作或实现图形化显示129 和过程模块128中的每一个,以便为操作员创建一个或多个过程显示,并实现与过程模块 128相关联的模拟功能。执行引擎210可以使用规则数据库212,其定义了作为整体在过程模块1 上实现的逻辑和那些模块中特定的过程对象。执行引擎210也可以使用连接矩阵 214以实现过程模块1 的功能,该矩阵定义了系统100与过程模块1 中的处理元件之间的连接。图2以更详细的方式示出了一个过程对象,例如,配置了 UTMS的过程对象2(Me。虽然配置了 UTMS的过程对象2(Me可以是面向对象编程环境中的对象并因此包括数据存储, 输入和输出及与之关联的方法,但是这个过程对象可以由任意其它所需的编程范式或协议来创建并在其中实现。可以理解,配置了 UTMS的过程对象2(Me,在实例化之前,是与图1的过程控制系统100中的配置了 UTMS的设备134,146,149,152相关联的对象。但是,在拷贝和实例化之后,配置了 UTMS的过程对象2(Me可以与过程控制系统中特定的配置了 UTMS的设备联系起来。配置了 UTMS的过程对象2(Me可以通过到特定设备的可编程界面与特定的配置了 UTMS的设备联系起来。虽然图形化显示中的设备的图形化表示在该用户的工作站上显示,但用户可以访问该可编程界面。一旦访问,用户可以显示及配置设备的各种特性。 此外,该可编程界面可以将关于配置了 UTMS的设备的各种参数传输给用户的图形化显示。在任何情况下,配置了 UTMS的过程对象2(Me包括数据存储220,其用于存储接收来自配置了 UTMS的实体的数据或与该实体有关的数据,该实体与配置了 UTMS的过程对象2(Me相关联。数据存储220通常包括数据存储220a,其存储与配置了 UTMS的过程对象 204e有关的配置了 UTMS的实体的一般性或永久性信息,如制造商,修订版本,名称,类型等等。数据存储220b可以存储变量或变化着的数据,例如状况数据,参数数据,状态数据,输入和输出数据,规则集数据,开销数据或与配置了 UTMS的过程对象2(Me有关的配置了 UTMS 的实体的其他数据,包括与该实体关联的数据,如同在过程控制系统100中过去已经存在或现在存在。配置了 UTMS的设备或实体可以接收规则集数据,通过连接到该设备或第三方资源(例如,如下与图3有关的所述的网络安全风险管理厂商)的任意所需的通信、通过网络150或互联网连接、通过另一个配置了 UTMS的设备,其将规则集数据分配给过程控制系统100中的其它配置了 UTMS的过程对象,或以任意其它所需的方式,可以将配置了 UTMS的过程对象2(Me配置为或编程为访问规则集数据147,148,151,153 (图la)和在周期或非周期的基础上其它更新的数据。数据存储220c可以存储与配置了 UTMS的过程对象20 有关的配置了 UTMS的实体134,146,149,152的图形化表示,其用于通过操作员界面,例如与图Ia的工作站120相关联的显示器126,向操作员进行实时显示。该图形化表示可以包括关于实体134,146,149,152信息的位置标记符(由在数据存储220c中的下划线标记),这些信息例如是由参数或关于存储于数据存储220b中的实体134,146,149,152的其它变量数据来定义的。当图形化表示作为一个图形化显示129的一部分在显示设备1 上显示给操作员的时候,这种参数数据可以在图形化的位置标记符中显示。如图形化表示所描述的那样,图形化表示(及配置了 UTMS的过程对象204e)也可以包括预先定义的连接点(由数据存储220c中的“X”来标记),其使得操作员或配置工程师能将上游元件或下游元件添加到处理元件中。当然,这些连接点也使得配置了 UTMS的过程对象220e意识到过程控制系统元件如过程模块中配置的一样连接到配置了 UTMS的对象,并可以指定必须使用的连接元件的类型,例如管道,导管,与那个元件关联的流,数据连接等等。配置了 UTMS的过程对象2(Me也可以包括一个或多个输入222和输出224,以使得其能在使用配置了 UTMS的过程对象2(Me的过程模块的内部或外部与其它配置了 UTMS的过程对象或没有配置UTMS的过程对象进行通信。输入222和输出2M到其它过程对象的连接可以由配置工程师在过程模块配置中简单地将其它过程对象(配置UTMS或者相反) 连接到这些输入及输出或指定发生于过程对象之间的特定通信来进行配置。一些这种输入和输出可以被定义为连接到过程对象,其与配置了 UTMS的过程对象的预先定义的连接点连接,如上所述。这些输入222和输出2 也可以通过规则数据库212中的一组配置规则 (不同于规则集147,148,151,153,其定义了网络通信可以进行或不可以进行的条件)和定义了连接矩阵214,其定义了过程控制系统100中的不同设备或实体之间的连接。输入222 和输出224,包括数据存储或与之关联的缓冲器,一般而言,用于提供从其它过程对象到配置了 UTMS的过程对象2(Me的数据通信,或者提供配置了 UTMS的过程对象2(Me中存储或生成的数据到其它过程对象的通信。这些输入和输出也可以用于提供过程对象2(Me与过程控制系统100中的其它对象之间的通信,例如控制器110中的控制模块,现场设备130, 133,134 等等。如图2所示,过程对象2(Me还包括方法存储器226,其用于存储零值,一个或多个方法228 (在图2中表示为方法2^a,228b以及,该方法可以包括由配置了 UTMS的过程对象2(Me在执行过程模块期间实现的算法或模块,在该过程模块中使用配置了 UTMS的过程对象2(Me (例如,安全模块,旁通模块等,即执行此处所述的各种UTMS和旁通功能)。 通常,存储于方法存储器226中的方法2 使用数据存储部分220a和220b中的数据,从其它配置了 UTMS的过程对象,其它过程对象处获得的数据,或者通过输入222和输出2M的来自其它资源的数据,例如配置数据库,历史记录145(图Ia和lb)和规则集147,148,151, 153,以实现网络安全的规则,确定关于网络150、网络安全状态的信息,以及确定过程控制系统100或该系统中实体的配置。例如,与规则集147,148,151,153中的一个或多个进行比较,方法2 可以确定与实体关联的网络连接的数量和类型,该实体由配置了 UTMS的过程对象2(Me定义;可以确定与其或过程控制系统100中其它网络设备关联的错误的数量和类型;可以确定该系统100中潜在的或实时的网络安全故障的数量和类型等等。在配置过程控制系统期间,方法2 可以被预先配置或修改,通常每当运行期间在执行引擎210中执行配置了 UTMS的过程对象2(Me时,执行该方法。可在配置了 UTMS的过程对象2(Me中提供一些实例方法2 包括但不限于1)在规则集147,148,151,153中的一个或多个期满之前或之时(及在会触发警报的截止时间之前配置时间)发出警报;2)当在对应的配置了 UTMS的设备处接收的网络业务或由该设备发送的网络业务违反了规则集147,148,151,153的规则时,发出警报;3)追踪关于网络业务的重要统计资料,包括内容,源,目的地,超时信息等等;4)发出任意警报,该警报指示了规则集的违反或其他通常与网络业务和特定的配置了 UTMS的过程对象2(Me相关的异常条件;5)确定一个或多个配置了 UTMS的网络设备146,149的状态,包括连接到网络150的内部和外部数据连接的数量和类型;6)通常监控并检测工厂本身的外部连接,工厂内的连接;及到过程控制系统的任意连接(例如Delta-V 系统);7)为所选子系统,特定设备,或过程控制系统100中的区域确定或选择安全配置文件(如下所述)。由于通常涉及到过程控制系统100,这些方法可以允许操作员访问详细的网络和威胁统计以及关于网络150的 fn息ο方法2 也可以增补与配置了 UTMS的过程对象2(Me相关联的配置了 UTMS的网络设备134,146,149,152的运行情况模拟,包括经过任意过程控制系统100的过程实体的网络业务流。因此,可以提供方法228以计算网络相关的统计,该统计是关于质量平衡,能量平衡,流量,温度,成分,蒸汽状态的,以及与过程控制系统100中的材料相关联的其它系统级或流级参数,以便模拟元件的网络业务以此来基于所提供的输入等计算期望的网络业务输出。当然,有几个方法可以存储于配置了 UTMS的过程对象2(Me中并由其运行,还有许多方法可以使用,这种方法通常由配置了 UTMS的网络设备134,146,149,152的类型确定或由所表示的过程控制实体确定,设备或实体以此方式在工厂及其它代理商中连接及使用。注意以下问题非常重要,配置了 UTMS的过程对象可以存储并执行检测系统级网络条件、错误等的方法,这些方法也可以用于确定关于设备、逻辑元件(例如,过程控制模块及循环)及其它非系统级实体的其他信息。如果需要,方法2 可以以任意所需的编程语言如C,C++, C#等进行编程或由其提供,或者该方法可参考或定义规则数据库212或规则集147,148, 151,153中的可用规则,这些规则集在执行期间为过程对象2(Me运行。如果需要,每个配置了 UTMS的过程对象可以包括可应用的算法或方法库,其可以用于定义在过程模块中连接时配置了 UTMS的过程对象的行为。图2中配置了 UTMS的过程对象2(Me的下拉式菜单230示出了这种库,类似的菜单可以与每个其它配置了 UTMS的过程对象相关联。当这个对象置于过程模块208之中的时候,配置工程师可以通过例如下拉菜单230选择一个算法库(称为方法1,方法2等等)来定义配置了 UTMS的过程对象的行为。以这种方式,取决于用于建模的过程的类型或本质,配置工程师可以定义过程对象的不同行为(不管是在模拟期间还是在运行期间)。除了在被连接到过程模块中时可以用于定义配置了 UTMS过程对象的模拟行为的算法或方法之外,UTMS特定的功能也可以集成到下拉菜单230中。例如,下拉菜单230也可以允许用户选择一个或多个子系统(例如,子系统10 ,105b)或系统100的不同部分, 以保护配置了 UTMS的过程对象2(Me所表示的特定的配置了 UTMS的设备。此外,菜单230 可以允许用户指定允许哪种类型的通信网络访问配置了 UTMS的设备(例如,Modbus TCP, EtherNet IP,Prof iNet,OPC等等)。下拉菜单或其它菜单或用户替代择的项目也可以允许用户或操作员识别规则集版本,规则集147,148,151,153的最后更新时间,或直到下次更新,设备状态,关于系统100中其它配置了 UTMS的设备信息,网络统计等等。如果需要,配置工程师也可以提供专用的或其他用户提供的算法以限定由过程块定义的配置了 UTMS的网络设备134,146,149,152的模拟行为。当那个对象置于过程模块 208中并在其中使用时,这种由用户定义的算法(在下拉菜单230中表示为“用户定义的” 项目)可以提供给配置了 UTMS的过程对象2(Me并存储于其中。这种功能使得模拟行为由用户定制,从而在沿着处理过程中的特定过程或步骤的所选点期间,为潜在的网络威胁和过程控制网络150的安全提供了更好或更加精确的模拟。如果需要(及如下更详细所述), 配置了 UTMS的过程对象204或每个过程模块208可以包括操作员可启动的开关(例如电子开关或标志),其禁用配置了 UTMS的过程对象中的模拟算法,反而导致过程模块的行为由高保真模拟包或程序来确定,例如由HYSYS提供的一个程序。在这种情况下,配置了 UTMS的过程对象20 或过程模块从高保真模拟中获取模拟的参数数据,而不是使用配置了 UTMS 的过程对象本身中的模拟算法。在执行引擎210执行图形化显示1 或过程模块208期间,该引擎210实现由输入222和输出2 定义的至图形化显示1 或过程模块208中的每个配置了 UTMS过程对象的通信,并可以为那些对象中的每一个实现方法228,以执行由方法2 提供的功能。如上所述,方法2 的功能可以位于配置了 UTMS的过程对象中的编程中或由引擎210执行的规则数据库212中的一组规则定义,或基于配置了 UTMS的过程对象2(Me的类型,组,标识, 标签名称等等在规则集147,148,151,153的一个或多个规则上定义,以实现由那些规则所定义的功能。要注意的是,与配置了 UTMS的过程模块相关联的配置了 UTMS的过程对象2(Me的实例在配置了 UTMS的过程模块的环境中具有标签或唯一名称,该环境与配置了 UTMS的过程对象2(Me相关联。这个标签或唯一名称可以用于提供至过程对象2(Me或来自过程对象 204e的通信,并可以由执行引擎210在运行期间引用。过程模块标签应该在控制系统配置中是唯一的。这种标记约定使得过程模块208中的元件能由其它过程图形化显示129,过程模块1 甚至控制模块136中的元件引用。进一步地,配置了 UTMS的过程对象2(Me的参数可以是简单参数,例如简单值,结构参数或智能参数,其知道所期望的单元和与之关联的属性。智能参数能够由过程规则引擎或执行引擎210解释并使用以确保所有信号在相同的单元中发送或者被正确转换。规则也能用于打开及关掉配置了 UTMS的智能过程对象(或过程模块)的警报群组,以创建智能警报策略和/或操作员界面。进一步地,配置了 UTMS 的过程对象类能够与工厂和过程控制系统100的过程控制策略中的装置及模块类相关联, 以便在配置了 UTMS的过程对象和需要解释或访问的过程变量之间提供已知的接合。配置了 UTMS的过程对象,当其在过程控制图形化显示或过程模块中使用时,也可以包括运行、状态及警报行为模式,以便这些配置了 UTMS的对象可以在运行期间被置于不同的模式中,例如关闭、启动及正常模式,并可以基于其当前的运作状态提供与该对象关联的状态。此外,配置了 UTMS的过程对象可以访问一个或多个规则集147,148,151,153,并将检测到的当前网络条件与规则集147,148,151,153中的一个或多个规则进行比较,以便基于检测到的网络条件(例如,在配置了 UTMS的对象处不希望出现的网络业务增长或不希望出现的网络业务类型)提供警报,以便检测与需要更新规则集147,148,151,153的配置了 UTMS的对象通信的另一个元件的软件更新,以便完全保护系统100,以便检测网络上的由已知故障所引起的攻击及规则集147,148,151,153的到期,等等。配置了 UTMS的过程对象还可以具有类/子类层次结构,其使得它们可以在类库中被分类,在复合结构中一起被采集等等。进一步地,配置了 UTMS的过程对象可以利用来自其它元件的信息,例如控制模块和其它对象,以便使得配置了 UTMS的过程对象能够意识到它的与之关联的实体何时繁忙, 或者,例如,何时被过程控制系统100中的批量控制过程所获得。配置了 UTMS的过程对象还可以与任意所需的过程实体相关联,例如,如泵、油箱、 阀门等的物理设备,如过程区域、测量或传动器、控制策略等的逻辑实体,以及如网络接口卡、网络交换机、路由器、防火墙、控制器、操作员工作站等的网络设备。在一些情况中,配置了 UTMS的过程对象可以与网络连接器相关联,例如通信有线及无线数据链接,或任意其它设备或实体,其将网络业务从一个点传送到过程中的另一个点。与连接器关联并配置了 UTMS的过程对象,有时在此处被称为配置了 UTMS的链接或连接器元件,也会被标记。在配置了 UTMS过程对象的环境中,配置了 UTMS的链接通常包括定义了过程控制系统100中通过各种网络连接的网络业务流的属性或参数。这些参数可以指示通过链路的网络业务流的类型和本质。配置了 UTMS的链路也可以包括使用模型或算法对通过链路的网络业务流进行建模以评估业务的方法。配置了 UTMS的过程对象的已存储参数也可以在这些方法中使用。因此,本质上,链路或连接器元件使得配置了 UTMS的过程对象能意识到上游和下游的对象或实体。在一个实施例中,在执行过程流模块之前可以创建矩阵214,该矩阵可以定义工厂中不同设备之间的链路,互相连接,以及,由此得出的不同的配置了 UTMS 的和没有配置UTMS的过程对象之间的互相连接。实际上,执行引擎210可以使用矩阵214 查明上游和下游实体,从而确定配置了 UTMS的过程对象和与该配置了 UTMS的过程对象相关联的方法之间的通信。进一步地,可以提供一组或多组规则由配置了 UTMS的过程对象使用以便它们彼此相互作用,并如配置了 UTMS的过程对象中的方法所需要的那样从彼此处获取数据,并消除与输出连接相关联的配置了 UTMS的和没有配置UTMS的对象的影响。如果需要,配置了 UTMS的过程对象2(Me也可以包括到关键文本的热链接,例如 URL,其对于对象类型而言是可用的,或者对于与配置了 UTMS的过程对象2(Me相关的设备实例(取决于关键程度和应用)而言是明确的。文本可以是由厂家供应也可以是用户特有的。文本的一些实例包括配置,启动和关闭程序,运行的和维修的文本。如果需要,操作员可以点击操作员显示器上显示的对象,以便为对象或相关联的设备提供明确的实例(如果有的话)和普通的文本。另外,操作员能够添加/删除/改变独立于系统软件的文本,例如维修请求,运行问题记录等等。此外,这些热链接可以是用户可配置的或可改变的,以便提供向在操作员界面中的对象添加知识链接的能力,并提供向客户,向特定对象类型,或乃至向对象的特定实例添加具体工作指令的能力。虽然以上所述的过程模块和过程图形是由不同的配置了 UTMS的过程对象的互相连接一起创建的,但它们也可以分别被创建。例如,使用配置了 UTMS的过程对象可以创建过程图形,当完成时,基于图形显示中的图形元素和它们的互相连接可以生成那个图形的过程模块。替代地,首先使用配置了 UTMS的过程对象创建该过程模块,一旦创建完成,可以由配置应用程序38使用用于创建过程模块的配置了 UTMS的过程对象中的图形显示元件自动生成那个过程模块的图形显示。进一步地,过程模块和图形显示可以分开创建,通过彼此引用(例如,使用图形显示和过程模块中元件的标签属性),这两个实体中的单个元件可以手动地连接到一起。通过这种机制,配置了 UTMS的过程对象可以被多个显示所引用。在任何情况下,一旦创建完成,过程图形显示和相关联的过程模块可以独立地或分别地运行,虽然通常它们如所希望的或需要的那样来回传输参数和信息。基于从如上所述的下拉菜单230处或其它类似的选择界面如下拉菜单232处指定的在较大的过程控制系统100中要连接的特定子系统,可以对配置了 UTMS的设备和规则集147,148,151,153进行配置。这种简易配置方法可以消除对在一个或多个规则集147, 148,151,153的规则中提供详细的数据包过滤器配置的需求。例如,在包括一个或多个配置了 UTMS的设备的图形显示中,通过从下拉菜单232处简单的选择子系统进行保护来完成对UTMS设备的配置,而不是通过为周边防火墙定义端口和TCP或UDP协议来阻止/允许这一方式。连同选择允许哪种通信网络(如上所述)的能力一起,用户可以简单地对每个配置了 UTMS的设备进行配置,降低了误配置和减少安全的风险。此外,用户可以使用配置了 UTMS的过程对象2(Me定义过程控制系统100所保护的区域。在一个实施例中,用户可以从图形显示中选择一个或多个过程控制设备和实体以定义哪些区域或子系统由特定的配置了 UTMS的网络设备146,149,152进行保护和监控。可以从配置了 UTMS的过程对象2(Me处为配置了 UTMS的网络设备146,149,152配置额外的安全选项,对象2(Me包括对于所选子系统、实体或过程控制系统的区域可用的监控类型或保护,其规则对于用户定义的区域、可以触发一个或多个警报的检测条件等是可用的。当然,除了上述下拉菜单230,232之外的其它类型的用户界面可以帮助用户对每个配置了 UTMS的过程控制对象进行配置。下拉菜单230,232或配置了 UTMS的对象的其它配置界面可以紧密地集成到受保护的系统100中, 或者通过安全网页(或配置了 UTMS的对象2(Me中类似的可用本地页面)使其是可用的。访问上述的一个或多个用户界面以便对配置了 UTMS的设备进行配置、更新、接受规则更新等(或者通过关联的配置了 UTMS的过程控制对象经由该设备访问受保护的系统),这种访问可以通过内置的双因素认证模块来进行保护,该模块是设备的固有部分(也就是说,认证方法作为计算机可执行的指令存储于配置了 UTMS的设备中的安全EEPROM或安全IC中,作为方法2 中的一种,等等)。替代地,如上所述,双因素认证方法可以是配置应用程序200。认证方法也可以集成到用户认证中,该用户认证对于操作员和其它用户所访问的系统100而言是本地的。例如,配置了 UTMS的设备和过程控制系统都可以使用普通的远程用户拨号认证系统(RADIUS)的认证服务器。在一些实施例中,RADIUS服务器内置于配置了 UTMS的设备中。在其它实施例中,认证方法可以包括令牌,智能卡,及其它已知的双因素方法。一般而言,可以在配置应用程序中提供一组预先定义的图形元件以使得用户能够构建大体上反映加工工厂和过程控制系统100并包括如上所述的配置了 UTMS的设备的可视化表示的过程图形显示。这些显示具有图形化显示元件,其被设计用来动态地显示在线测量和与控制系统相连接的传动器,作为结果,通常可以呈现由操作员或参与在线操作的其他人员所监控及使用的信息。表示配置了 UTMS的元件的图形化显示元件可以动态地显示在线网络安全测量。例如,每个图形化显示中的配置了 UTMS的元件可以动态地显示配置了 UTMS的元件的当前状态,基于检测到的网络条件的警报(例如,在配置了 UTMS的对象处的不希望出现的网络业务增长或不希望出现的网络业务类型,检测到网络上由已知的故障导致的攻击,等等),与配置了 UTMS的对象通信的控制系统100中的另一个元件或设备的更新检测(例如,软件,固件,现有配置等等),等等。对特定网络条件的检测也可以触发规则集147,148,151,153的自动更新,或触发警报,该警报提示用户执行规则集的手动更新或其它措施以全面地保护系统100。除了与控制系统100连接的在线测量和执行机构及系统100的配置了 UTMS的元件的网络参数之外,反映过程操作的未测量的参数和反映网络健康或安全的未测量参数可以使用配置了 UTMS的过程模块中提供的在线过程模拟来计算,并可以作为关联的图形显示的主要部分来显示。在这种方法和其它方法中,过程图形显示可以提供信息,该信息通常由非操作员的工厂人员来监控并使用,例如,工程人员,管理或过程控制网络专家。此外,在可用于以工程或训练模拟为目的的离线环境中,配置了 UTMS的过程模块提供的过程模拟值可以使用和/或显示,代替由图形元件和关联的控制模块以不同的方式提供的实时过程和网络测量值。这些模拟值,可由关联的过程模块或第三方模拟应用程序 (例如,HYSYS)计算,可以基于实时工厂设置(例如,执行机构的位置或状态,网络配置或状态,规则集等等)和用户指定的干扰设置或值,其可以通过过程图形化显示和它们各自的图形化显示元件来建立,并在其中描述。为了这些目的,可以生成定制成用于离线查看过程图形化显示的过程图形化显示的内容层,并在例如训练环境中是可用的。更一般地,过程图形化显示可以在多种环境中由许多不同类型的人员使用,该环境涉及在线情形或控制情形,以及离线情形或模拟情形。为了这个目的,每个过程图形化显示可以具有专用于这些不同环境、情况、和人员的多个内容层。这些专用的内容层是用于对其定义的对象的集成部分,就此而言,同样的对象或对象们具有与之关联的必要信息以生成所有不同的内容层。作为结果,单个过程图形化显示的内容层提供了定制的视图,而无需配置工程师、IT网络安全专家、或其他设计人员为每个视图创建单独的显示。一般而言,图形化显示反映了过程控制系统和过程工厂。每个显示中的图形化显示元件被设计为动态地显示与控制系统连接的在线测量和执行机构,作为结果,可以通常表示由操作员或其他参与在线操作的人员进行监控和使用的信息。此外,反映过程操作的未测量参数可以使用过程模块中提供的在线过程模拟进行计算,并可以作为关联的图形化显示的主要部分进行显示。在这些方法和其它方法中,过程图形化显示可以提供通常由工厂人员,非操作员,如工程人员或管理人员,进行监控并使用的信息。表示配置了 UTMS的网络设备134,146,149,152的显示中的图形化元件向操作者和其他工厂人员提供网络参数和安全数据(如上所述),以监控和维护过程控制系统100的网络安全。如前所述,与配置了 UTMS的网络设备146,134,149,152相关联的各种规则集(例如规则集147,148,151,153)需要更新以保持有效对抗网络威胁。参考图3,第三方网络安全风险管理公司305,例如加拿大大不列颠省温哥华的mirldtech Security, Inc.公司或其它机构,可以从多个不同的资源315处采集威胁数据310以构造各种规则集147,148,151,153,验证该规则集,鉴定并将该规则集分配到配置了 UTMS的防火墙146a,146b,配置了 UTMS的网络访问设备149c,其它配置了 UTMS的网络设备146,和/或UTMS现场设备134 中。可以使用适于采用电子数据执行这种措施的任意类型的信息技术方法执行规则集的采集,构造,验证,和分配。例如,一些方法可以包括使用各种数据采集技术(例如,机器人,爬行,数据传送,合作论坛等)从万维网中采集威胁数据310,构建数据文件将规则集以设备兼容的方式传送到它们的目的地设备,执行计算机实现的算法以确定规则集是否以所期望的方式(例如,模拟或其它测试方法)有效地保护了过程控制系统,以及通过安全的互联网接口或其它适合的方法将该规则集分配给配置了 UTMS的实体。除了采集已知的威胁数据310外,过程控制系统100可以将特定领域信息320发回到公司305。例如,特定领域信息可以包括指示了关于系统100(也就是,包括泵、油箱、 阀门等的系统100中的物理设备的生产商、型号、状态、软件/硬件版本等等类型)的拓扑结构信息的数据、协议和其它网络150的基础结构信息、每个物理设备的软件版本、网络设备、和配置了 UTMS的设备等等。随后公司305可以使用各种分析技术建立特定领域的鲁棒性测试工具,以便使用从过程控制系统100发送过来的特定领域信息连续不断地识别任意设备、子系统或软件程序中的网络弱点(仅提及几种可能可识别的弱点)。然后公司305可以集合分析结果,该结果由测试工具在识别特定系统弱点的集合中执行。该集合可以被分类、整理、并基于几方面因素划分优先次序,这几方面因素包括已识别弱点的安全风险、由该弱点可能导致的网络安全的缺口危险、重复的网络缺口的潜在风险等等。然后这些已知弱点中的每一个都可以被转化为各种规则集147,148,151,153的缓和及规则,公司305可以用更新UTMS设备的方式为系统100提供持续的补救更新服务。用这种方法,每当新设备或代码应用程序引进到系统100中时,任何对程序错误或其它弱点的暴露都会减少或消除。每个规则集可以是包括已知特征、策略、或描述了对过程控制系统100基于网络的威胁特征的规则的数据文件。可以配置规则集以控制对于过程控制系统100的每个部分的网络150的内部访问和外部访问。由于配置了 UTMS的网络设备134,146,149,152作为过程变量被配置(如上所述),规则集148,147,151,153可以由操作员或其他人员从工作站120处的图形化显示1 进行配置。例如,基于过程控制系统100的各种特征(例如,过程控制系统100中配置了 UTMS的设备的数量和类型、特定子系统、实体或由规则集保护的系统100的其它部分的网络安全的重要性和“敏感性”、外部网络攻击的可能性等等),用户可以单独地配置并管理过程控制系统任意部分的网络安全。在一些实施例中,用户的图形化显示可以包括许多预先配置的使用分配到系统100的规则子集的“网络安全配置文件”。 取决于过程控制系统100执行过程的敏感性或其它因素,用户可以选择平衡网络安全需求和系统100持续运行的最佳配置文件。在周边配置了 UTMS的网络设备接收到规则集的情况下,该设备可以确定所接收的规则集中的哪些规则适合于过程控制系统的哪些子系统。 随后,该周边设备可以将确定的规则分配给子系统中适合的设备。那些子系统也可以依次确定更小的规则集,并在该子系统中对此进行分配。因此,根据过程控制系统的网络安全需要,已选择的配置或策略可以实施一个或多个规则集147,148,151,153中所有规则的子集。根据网络的静态条件和动态条件,包括但不限于,检测到的业务、系统100的状态、配置文件已被激活的时间长度等等,警报也可以向用户指示,特别所选的配置文件是否适合于安全。也可以默认设置或由用户配置与警报关联的定时器,以限制所选的配置文件处于合适位置的时间。每个定时器可以包括默认设置,其取决于所选配置文件的刚性和所保护实体或设备的敏感度。例如,用户为其选择松懈的安全策略的特别敏感的过程只能在指示警报前的短时期内有效,而用户为其选择严格的安全策略的特别安全可靠的过程可以在长时期内有效。每个规则集147,148,151,153都可以定义条件,如果检测到该些条件,则实现组合功能,即阻止可疑的恶意通信或通过一个或多个图形化显示中显示的警报提醒操作员或其他工厂人员,如前所述。此外,从他们各自的操作员显示处,每个操作员可以具有对于规则集更新集成的控制。对于没有管理员权限的操作员而言,辅助的或管理员授权能够实现规则集更新(例如,上述的双因素认证过程)。在一些实施例中,配置了 UTMS的防火墙146a,146b、配置了 UTMS的网络访问设备 149c、其它配置了 UTMS的网络设备146、和/或UTMS现场设备134也可以被配置,以采集并聚合直接来自于公司305或多个资源315处的威胁数据310,以便构建,验证以及鉴定各个规则集(如图3中传送威胁数据310的通信虚线所示)。此外,周边配置了 UTMS的设备 146,149(也就是,位于过程控制网络150之外的那些UTMS实体)可以从第三方资源305 处接收规则集,其包括过程控制系统100中的所有各种内部配置了 UTMS的设备的规则。随后周边设备可以从算法上为每个内部的配置了 UTMS的设备或各种设备群导出单独的规则集,并将较小的规则集从周边设备146,149a发送到内部设备134,152,或者将导出的规则集放置到网络配置中,如上所述。通过监控、定义及分析对于过程控制网络安全的潜在和已知威胁,源315可以创建威胁数据310。例如,来自Assurent SecureTechnologies的弱点研究服务(VRS)的数据、来自卡耐基梅隆大学的计算机紧急事件响应组(CERT)的数据、来自Secimia公司的数据、来自终端用户研究和监控的数据、以及来自Achilles 注册的产品用户的数据(仅提及防火墙规则集数据的几个源)可以被集合。替代地,或除了实现上述各种规则集之外,需要选择性地激活或停用在系统100 外部的网络业务,以在特别敏感的过程(例如,核电站、市政服务、公共通信系统等等)期间确保适当的安全性。例如,如上所述,可以实现一个或多个网络安全配置文件以提供软件方法,该方法选择性地激活或停用过程控制系统100的任意实体之间的通信。此外,参照图 4-12,网络访问设备,例如配置了 UTMS的网络访问设备149(图Ia和lb)可以向操作员提供旁通控制的解决方案,以选择性地关闭或打开到过程控制网络内部实体或外部实体的网络连接,以便将网络业务围绕屏蔽的、故障的、或严格配置的网络设备进行重选路由。使用这种配置了 UTMS的网络访问设备149和与配置了 UTMS的网络访问设备149的表示相关联的用户界面,根据操作员的工作站内的图形化显示选择性地关关闭或开启各种不同的网络连接,并绕过所选择的、限制性的设备,其中配置了 UTMS的过程对象20 属于该用户界面。如上所述,配置了 UTMS的网络访问设备149是控制系统100的本地部分,用户可以使用包括了表示设备149的过程控制系统100的图形化显示来配置设备149。如图4所示,这个设备149可以由操作员或其它授权的人员使用,以控制站点和互联网之间的网络访问,如图5所示,控制站点之间的网络访问,或如图6所示,控制站点内部的网络访问(也就是在工厂的区域或单元之间)。此外,如图7所示,配置了 UTMS的网络访问设备149可以用于临时绕过位于设备149的上游的防火墙146,以允许少量的安全访问(也就是技术支持,维修等等)而无需不得不修改防火墙规则147或改变之前所选的网络安全配置文件。 例如,在过程控制系统的集成的安全系统中,例如DeltaV SIS,配置了 UTMS的网络访问设备149也能够用于将安全系统与控制系统100断开(如图6所示)。配置为过程控制系统100中旁通所选的其它设备的配置了 UTMS的网络访问设备 149可以是控制系统100的本地部分,配置了 UTMS的网络访问设备149和其它已连接设备的状态可以被集成到过程控制系统中(也就是说,配置了 UTMS的网络访问设备的状态成为过程变量)。这样,该设备的状态可以从运行显示中查看,在控制系统的历史集合145中记录,并在过程警报中使用。使用具有警报配置了 UTMS的网络访问设备149的状态和其它参数允许在网络150上更好的监控能力,因为如果网络连接保持开启或配置文件保持有效的时间期间比所配置的时间期间长,则可以生成警报。由于为开放的连接、配置文件、或其它参数所配置的时间期限到期了,配置了 UTMS的网络访问设备149也可以被配置,以便自动地终止连接,或其它参数。因此,在终止连接之前可以提醒操作员,给操作员机会重置时间期限,选择不同的配置文件,或其它参数。此外,在与过程控制系统的通信或其它条件失效期间破损安全配置可以停用外部连接。存在几种不同类型的网络连接,配置了 UTMS的网络访问设备149可以在过程控制系统100中使用该连接。例如,临时连接、正常激活的连接、旁通连接可以与配置了 UTMS 的网络访问设备149 一起使用,但是,过程控制系统100中的其它类型的连接也可以这样配置。临时连接包括,但不限于,站点或系统与互联网之间的连接(例如,用于客户支持)、站点或系统与公司总部之间的连接(例如,用于备份、历史存档等)、在站点或各种系统之间传输数据或产品期间所需要的多个站点之间的连接。正常运行的连接包括,但不限于,控制策略,其横跨多个系统(例如,子系统10 和105b),或处于控制系统100中的单个元件,单元或设备之间(例如过程控制系统100和相关安全系统之间的连接)。在旁通连接中,为了通过防火墙146继续通信,配置了 UTMS的网络访问设备149 可以用于临时绕过防火墙146或其它网络设备。当网络设备存在故障时,或当防火墙规则 147或所选的规则集配置文件对于已知的安全通信配置得过于严格时,需要旁通连接。虽然为了做出执行旁通的决定,商业上可用的旁通设备可以监控链接的健康状况或被绕过的网络设备的健康状况,但是配置了 UTMS的网络访问设备149可以执行除了监控以外的功能。 特别地,由于配置了 UTMS的网络访问设备149被集成到过程控制系统100中并在操作员的图形化显示中表示(如上所述),可以配置警报以便自动地控制旁通功能,操作员可以从操作员显示屏直接控制旁通功能。参考图8,配置了 UTMS的旁通网络访问设备800的一个实例包括第一类型的网络连接器(例如,铜线、光缆、或其它连接器),其控制网络业务在设备800处的进出,及第二类型的网络连接器,其将网络业务直接路由到现场设备130,133,134或控制装置。输入 1连接80 和输出1连接802b描述了用于来自配置了 UTMS的旁通网络访问设备800的正常激活连接的连接器。输入2连接80 和输出2连接804b描述了用于临时连接的连接器。启动配置了 UTMS的旁通网络访问设备800会导致要被中断的输入1/输出1连接 80h/802b脱离正常运行的连接。启动配置了 UTMS的旁通网络访问设备还会导致要连入的输入2/输出2连接8(Ma/804b实施一个临时连接以绕过另一个网络设备(也就是,防火墙 146,如前所述)。在一些实施例中,微控制器812中的旁通模块813可以包括计算机可读存储器,其包括执行此处所述的旁通功能的一系列计算机可读指令。在其它实施例中,旁通功能可以由用户手动执行。通过将输出1/输入^02b,8(Ma集连接到要绕过的网络设备,连接的输入1连接80 和输出1连接802b集可以经由网络设备路由通信,或当启动配置了 UTMS的旁通网络访问设备800时可以围绕同样的网络设备旁通网络通信。第二类型的连接器,例如CTRL连接器806,可以将一对电线或其他类型的连接器从配置了 UTMS的网络访问设备149处直接连到现场设备130,133,134,或通过控制装置808连到现场设备。控制装置808在通信上将现场设备130,133和134耦合到过程控制系统100中的控制器110。在一些实施例中,控制装置808是I/O设备,例如I/O模块或I/O卡140,离散输出特性模块 (CHARM)或由德克萨斯州奥斯汀的Fisher-Rosenmount Systems, Inc.生产的终端模块。这种I/O设备和终止模块在Burr等人申请的,申请号为No. 11/533,259的美国专利申请,名为“Apparatus and Methods to Communicatively CoupleField Devices to Controllers in a Process Control System”,中进行了描述,并在此全文引用作为参考。如图9所示, 1/0设备808可以用于向设备发送离散信号,并通过1/0设备中的线路故障检测机制及美国申请No. 11/533,259中描述的机制,接收状态信息。替代地,在1/0设备与现场设备之间可以使用智能通信方法。例如,该智能通信方法可以是通过所用信号的电平传送状态(例如, 通信是占用还是空闲)的HART信号,所用信号的电平可以将配置了 UTMS的旁通网络访问设备800驱动到所需的状态(也就是,连接或非连接状态)。此外,配置了 UTMS的旁通网络访问设备800可以连接到1/0设备808,如图9所示,1/0设备808可以每秒向配置了 UTMS的旁通网络访问设备800发送脉冲输出作为心跳。 如果配置了 UTMS的旁通网络访问设备800在一段时间内没有接收到心跳,其会自动取消配置的破损安全值(例如,脱离临时连接、脱离所有连接、激活警报等等)。这种心跳可以从离散的输出1/0设备808中启动,或者其可以自动地从操作员工作站120中启动,以保证操作员工作站120和1/0设备808之间的链接还依然是激活的。参考图8和图10,配置了 UTMS的旁通网络访问设备800可以具有由中继810(图 8)启动或直接停用的连接,其用于铜线或其它类型的模拟连接器或用于光纤连接器上的电源控制的中继发送机和接收机1010(图10)。例如,配置了 UTMS的旁通网络访问设备800 可以仅包括两个网络端口和控制电路812,1012 (或四个端口,如果不需要旁通功能,但是单个设备都要有)。使用两个网络端口,通过关闭光纤连接的光学链接电路1010的电源来启动或停用该连接。光纤发送机1010可以通过在微控制器1012上的引脚直接关闭电源, 或者从通用资源处启动,微控制器1012能够使用类似于图8中所示的中继来开启或关闭电源。无论哪种情况,配置了 UTMS的旁通网络访问设备800都可以通过1/0设备连接到控制装置902。在另一个实施例中,配置了 UTMS的旁通网络访问设备本身可以是1/0设备。参考图11和12,配置了 UTMS的1/0设备或网络控制1/0设备(NCC) 1108,可以包括开关以便物理地连接到或不连接到以太网,串口的或其它类型的链接。这种设备中的一个或多个能够安装于控制装置902之下的常规1/0设备808旁边。NCC 1108可以在与常规1/0设备808 一样的通信总线上与控制装置902通信。周边的配置了 UTMS的设备146,149,内部的配置了 UTMS的设备134,152,和配置了 UTMS的旁通网络访问设备800可以包括任意数量的额外规则表以便监控和/或保护控制系统100免于多余的访问和/或免遭恶意攻击。例如,配置了 UTMS的过程对象2(Me (图 2)可以允许用户访问一个或多个用户界面以配置及控制规则集147,148,151,152中的任意规则和过程控制系统中的网络安全。如图13所示,规则集用户界面例如协议规则表 1300可以通过配置了 UTMS的过程对象2(Me进行访问,并包括协议类型栏1302,来源地址栏1304,阈值参数栏1305,目的地址栏1306,端口号栏1308,动作栏1310,描述栏1312,及记录栏1314。示例协议类型栏的协议类型可以包括,但不限于,UDP, TCP, I CMP, HART,和/ 或SCPI。来源地址栏1304和/或目的地址栏1306中的地址可以对应于与给定的协议类型相关联的一个或多个地址。例如,TCP, UDPjn ICMP协议通常使用IP地址(例如,IPv. 4, IPv. 6等等),与SCPI和/或GPIB关联的协议包括一个或多个不同格式的设备地址。配置了 UTMS的过程对象2(Me也可以允许对规则集147,148,151,152进行访问, 以创建定制的规则配置文件232 (图幻,及访问由过程控制设备的生产商生成的规则配置文件。可以生成这样的配置文件232以反映防火墙设置,该设置通常对于使用由特定生产商提供的过程控制及测试和测量设备的用户而言是通用的。可以允许用户通过配置下拉菜单232(当访问配置了 UTMS的对象240的用户界面时)或配置文件下拉选择器1316(当访问规则集界面或表1300时)载入配置文件。选择器232或1316都可以包括载入按钮1318。 但是,在用户需要定制一个或多个配置文件的情况下,例如,该配置文件基于特定的控制系统拓扑结构,过程的敏感性由该过程控制系统控制(例如,核反应堆,市政工程,危险的或有害的过程等等),协议规则表用户界面1300中的一个或多个用户替代选项可以允许所需的定制。可以使用输入到示例的配置文件名区域1320的唯一配置文件名和对应的保存按钮1322,来保存定制的配置文件设置。在操作中,如示例的行选择栏13M所示,如果对应的行选择器是激活的,示例表1300的每一行都实施规则。第一个示例行1326,当由于其对应的行选择器13 而被激活时,导致实施了规则,该规则监控从与地址为10. 4. 0.0关联的设备到与地址为 232. 108. 116. 118关联的设备的UDP协议数据包,其包括端口号18515。对这种检测到的通信而言,示例的第一行13 接受这种通信活动,但不需要记录这种通信活动。虽然第一行 13 中的示例规则使用IP v4的地址,但任意寻址方案都可以使用,包括,但不限于,IP v6, 硬件专用寻址(例如GPID设备地址),和/或参照域名服务器的人类可读地址。虽然示例第一个规则13 标识了动作“接受”,但其它动作可以包括,但不限于,阻止,通知,和/或重新路由。在图13所示的示例中,第一行13 允许来源地址和目的地址之间的通信,而无需阈值栏1305强加的限制。换句话说,由于第一行13 的阈值字段13 被设置为“N/A”,符合行13 中的其余项目的网络业务将不会被数量、尺寸、或能由栏项目强加的其它阈值所限制。第二个示例行1330被配置为监控TCP通信,其具有端口号18519,从IP地址“A”(例如,10. 4. 0.0)到IP地址“B” (232. 108. 116. 118)。只要在端口号18519上的网络业务数量少于每小时χ兆字节,就接受该网络业务。但是,如果超过了阈值,就会生成记录并且通信将被因为违反该阈值而停用。另一方面,虽然从地址“A”到地址“B”的通信由于示例第二行1330中所示的设置(也就是阈值设置而不是“N/A”)而被限制了,但是第三示例规则行1332在相同的两个地址之间建立了另一个规则,但方向相反。换句话说,从地址“A”发起到地址“B ”的通信相对被限制了,但是从地址“B”发起到地址“A”的通信没有被限制。
虽然示例表1300为配置特定规则提供了相对较好的灵活性,但图14的示例配置向导1400图形用户界面允许对配置了 UTMS的设备146,149,内部的配置了 UTMS的设备 134,152,以及配置了 UTMS的旁通网络访问设备800进行简单的配置。示例配置向导1300 允许用户回答问题和/或选择与用户简单查询相关联的复选框,从而为具有有限的一般网络保护知识的用户提供以改进了的效率配置控制系统的机会。此外,可以生成问题脚本,其对于控制系统100、系统100中的特定设备、设备制造商等而言是唯一的。在图14所示的示例中,第一复选框1402与制造商Alpha相关联,第二复选框1404与制造商Beta相关联。 在客户/用户选择与制造商阿尔法相关联的复选框的情况下,生成通用的使用制造商阿尔法生产的设备的过程控制系统的提示和问题。通过操纵经过周边配置了 UTMS的设备146,149,内部配置了 UTMS的设备134, 152,以及配置了 UTMS的旁通网络访问设备800中的每一个的网络业务,用户能够额外地配置过程控制系统100的网络安全。在一些实施例中,用户可以通过一个或多个用户图形界面操纵系统100的网络安全,该用户图形界面限定了可以从配置了 UTMS的设备处接收或发送的业务类型。此外,用户也可以根据过程控制系统100的各种区域或子系统来限制网络业务。参考图15,用户可以访问系统安全用户界面1500,其显示了过程控制系统100的 UTMS安全信息。例如,系统安全用户界面1500可以显示关于配置了 UTMS的防火墙设备 146,149的信息。所显示的信息可以包括用于与防火墙相关的不同类型通信1506的活动指示器1502和状态指示器1504。活动指示器1502可以包括任意类型的值、图表、图形、和向用户指示在对应于通信类型1506的配置了 UTMS的设备1508(例如,防火墙146,149,内部配置了 UTMS的设备134,152,和配置了 UTMS的旁通网络访问设备800)处的网络业务数量的类似物。在一些实施例中,活动指示器1502可以包括彩色编码条,其从左到右,从一种颜色过渡到另一种颜色(例如,从绿到红)。彩色编码条活动指示器1502的长度对应于对应于通信类型1506的网络业务的数量。活动指示器所允许的长度可以被配置为对应于相应类型1506的网络业务数量的所允许的阈值1510。该允许的阈值1510可以由对应于特定的配置了 UTMS的设备1510的规则集147,148,151,152中的一个或多个规则来配置或也可以由用户来配置。例如,规则可以仅允许在给定时间量上的特定数量的网络业务。然后允许的阈值1510会被自动配置以表示那个特定数量。在系统运行期间,从左到右伸出一小段距离的活动指示器1502可以是绿色的,指示了在防火墙146,149处的少量的网络业务,而伸出最远或伸到显示器中所允许的最大距离的活动指示器1502可以是红色的,指示了大量的网络业务,该业务数量处于由规则集147,148,151,152中的规则自动配置的所允许的阈值或由用户手动配置的所允许的阈值附近。状态指示器1504可以指示设备1508对应的通信类型1506是否在运转。通过从系统安全用户界面1500中选择状态指示器1504或其它项目,额外的状态信息对于对应的通信类型1506来说是可用的。此外,系统安全用户界面1500可以包括关于网络150,135的一般信息和关于一个或多个配置了 UTMS的设备的特定信息。例如,系统100可以包括主要网络和充当主要网络的备用的一个或多个次要网络。每个网络可以包括配置了 UTMS的交换机,其控制进出网络中各个区域的网络业务。系统安全用户界面1500可以显示配置了 UTMS的交换机是否被锁定1512,从而根据默认配置或用户定义的配置保护网络的每个部分。使用业务量的图形化指示和所允许的网络业务量的阈值水平的图形化指示,系统安全用户界面1500也可以显示对网络总体通信水平1514的指示。在一些实施例中,图形化指示是彩色条,如上所述。除了通信水平之外,系统安全用户界面1500也显示系统100的通信状态1516,其可以包括状态1518中的记录或各种类型的系统用户(例如,操作员,工程师,管理员,远程用户等等) 的其它信息。系统安全用户界面1500可以显示其它类型的网络信息,包括工作站防病毒和操作系统(OS)安全更新1520的状态,对规则集最近更新的指示,或其它网络安全信息。根据业务的特定的特征,可以对网络业务进行分类,用户可以访问用户界面以根据该分类配置系统通信。例如,用户可以选择性地关闭及开启系统100中的各类通信。在一些实施例中,通过增加敏感度或安全考虑的一个或多个“级别”对网络业务进行分类。参考图16,网络业务的类型可以分为“级别3” (或其它级别),用户可以使用在通信上与该设备连接的级别3的通信用户界面1600来选择性地配置系统100的配置了 UTMS的设备,以便管理这种“级别3”的分类网络业务。例如,级别1的网络业务可以描述为连接到网络150 的本地客户端,而级别3的网络业务可以描述为使用终端服务器通信连接到网络150的远程客户端。用户可以从图形化显示中选择配置了 UTMS的设备以显示用户工作站中的用户界面1600,或者作为系统安全状态用户界面1500的具体显示。“应急按钮” 1602可以允许用户关闭所选类型的所有通信(例如,所有级别3的通信),并控制网络业务的各种特征,其是配置了 UTMS的设备的入站1604和出站1606。可以使用用户界面1600将分类为“级别 3” 1608的每种类型的网络业务单独地配置为可用或不可用。此外,在用户界面1600中显示的级别3网络业务1608可以包括指示网络活动1610,如图15相关的描述那样(例如,彩色编码条,图表等等)。参考图17-23,用户也可以从过程控制系统浏览器应用程序(例如DeltaV 的浏览器应用程序)中选择视图以查看系统100中每个单独的配置了 UTMS的设备的状态,对每个设备做出各种改变,在设备维修上给予协助。图17示出了 UTMS设备控制中心用户界面1700,其在通信上与系统100中每个配置了 UTMS的设备(周边配置了 UTMS的设备146, 149,内部配置了 UTMS的设备134,152,和配置了 UTMS的旁通网络访问设备800等等)连接。UTMS设备控制中心用户界面1700的第一浏览器窗格1702可以包括系统100中每个配置了 UTMS设备的分级列表,并可以根据各种类似的特征(例如,通过子系统,主要或次要的网络,过程任务等等)进行归类。如上所述,系统100可以包括各自主要1708网络和次要 1710网络中的一个或多个退役的1704和现役1706UTMS设备。退役的配置了 UTMS的设备 1704可以是那些在物理上仍然位于网络150中,但在系统100中已经不再使用或需要了的设备。例如,由于过程控制系统的一部分废弃或过时,可以选择性地将那些过时的部分退役及“离线”,这样,它们不再是系统100的激活的部分,但在物理上仍然存在于系统100之中。 选择浏览器窗格1702中所列的任意配置了 UTMS的设备(例如配置了 UTMS的设备1714)可以显示关于浏览器的第二窗格1716中的设备1714的几个特征,包含了其在系统100中的状态。例如,窗格1716中显示的特征可以包括在前面的时间周期1718(例如,之前60秒, 最近30分钟等等)中所评估的特征,包括MAC地址,IP地址,软件版本,设备型号和设备名称。特征的每个值1720可以在邻近特征1718的图像以及对每个特征1718的描述1722中显不。参考图18,选择任意退役的配置了 UTMS的设备1704可以显示任命窗口 1802以允许用户查看该设备的各种特征,并使用“投入使用”按钮1804,选择性地将所选的退役的配置了 UTMS的设备设置回在线。一旦在线,重新任命的配置了 UTMS的设备可以自动对其规则集进行更新,或者从所连接的配置了 UTMS的设备或因特网处请求当前规则集,并根据该当前规则集进行网络业务通信。参考图19,从任命的设备中选择配置了 UTMS的设备1902可以允许用户通过改变所选设备1902的物理特征以允许维修人员在物理上定位所选设备1902,从而帮助维修所选设备1902。在一些实施例中,维修辅助窗口 1904可以允许用户通过使设备上的LED灯闪烁来选择性地指示及不指示所选设备的物理位置。其它替代的记号包括声音,振动,或所选设备的其它显著的物理变化。参考图20,用户可以从浏览器窗格1702中选择系统100的任意部分,以启动那个所选部分上的与安全相关的措施。例如,用户可以从窗格1702选择主要网络1708,并选择选项对那部分网络启动“禁闭”。在一些实施例中,禁闭操作使得入站和出站无法连接到系统100的所选部分。从面板1702启动部分系统上的操作(例如,禁闭操作)可以显示操作窗口 2002,其指示了系统100的哪一部分正经受操作(例如,禁闭)和已启动操作的进程。参考图21,UTMS设备控制中心用户界面1700也可以指示安全缺口或其它规则违规。例如,如果配置了 UTMS的设备违反了对应规则集147,148,151,152中的规则(例如, 由于超过默认的或配置的阈值的时间量,设备被解锁),规则违背指示2102会出现在设备名称的旁边及该设备所属的每个类别名称的旁边。此外,如果系统100确定配置了 UTMS的设备将要违背对应规则集147,148,151,152中的规则,那么设计的规则违背指示2104也可以出现在设备名称的旁边及该设备所属的每个类别名称的旁边。当父分类中不止一个设备包括规则违背指示,那么更加严重的违背可以在两个设备的父分类旁边显示。例如,当主要网络包括被设计为违反规则的第一 UTMS设备和已经实际违反规则的第二配置了 UTMS的设备,可以只显示实际违反规则的指示。参考图22,在从UTMS设备控制中心用户界面1700的面板1702中选择配置了 UTMS 的设备之后,所选的配置了 UTMS的设备的各种端口统计2202也可以被显示。在窗口中显示的端口统计2202可以包括时间量上的各种端口属性。例如,自配置了 UTMS的设备启动、 之前60秒、或一些其它可配置的时间量及显示的值以来,可以追踪接收和发送字节的端口属性。当然,也可以追踪并显示其它端口属性,包括双工模式选择,链路利用率,CRC丢弃,小数据包丢弃,大数据包丢弃,碎片数据包丢弃,超时(Jabber)数据包丢弃,冲突,近期冲突, 仅提到几个端口属性。参考图23,除了上述讨论的与图21有关的规则违背和网络安全违背之外,也可以在第二面板1716中显示及描述警报信息2302。当配置了 UTMS的设备(例如,配置了 UTMS 的设备2304)遇到运行问题时,或者如上所述的规则及网络安全违背,可以在视图中显示警报指示2306,该视图在浏览器第一面板1702中显示的设备名称旁边。随后,可以在浏览器第二面板1716的特征1718,值1720,描述1722栏中的每一个中显示警报信息。警报信息2302可以指示引起警报指示2306的一个或多个通信警报、故障警报、维修警报、或建议警报。除了警报信息2302之外,第二面板1716还可以显示状态2308和与所选设备2304相关联的设备信息2310。当前状态可以列出特定设备特征的状态,其很可能与警报相关。此外,设备信息2310可以显示关于所选设备2304的通用信息,类似于上述与图17有关的所讨论的特征。 使用配置了 UTMS的过程对象2(Me (如上所述,在一个或多个图形化显示1 中显示)的用户界面(图13-23),通过操作员或其它工作站,用户可以配置并监控过程控制系统的网络安全,以响应过程,任何生成的警报,及其它UTMS事件的安全需求。虽然配置了 UTMS 的网络设备134,146,149,152和使用UTMS的技术大体上已经在此描述为与现场总线和标准420ma设备仪器一起使用,当然,它们可以通过使用任何其它过程控制通信协议或编程环境被实现,并且可以和任意其它类型的设备,功能块或控制器一起使用。虽然此处所述的 UTMS设备和例程优选在软件中实现,但它们也可以在硬件,固件等中实现,并可以由任意其它与过程控制系统关联的处理器执行。因此,此处所述的方法可以在标准的多用途CPU中实现,或者在特别设计的硬件或固件上实现,例如,ASIC,如果需要的话。当其在软件中实现时,该软件可以存储于任意计算机可读存储器中,例如磁盘,激光盘,光盘,或其它存储介质,计算机或处理器的RAM或ROM中。同样地,这种软件可以传送给用户或过程控制系统, 通过任何已知的或所需的传送方法,包括,例如在计算机可读磁盘上或其它可传输的计算机存储机制或在通信信道上调制,例如电话线,互联网等(可以被视为与通过可传输的存储介质提供这种软件的方式是相同的或可交换的)。因此,虽然参考特定实例对本发明进行了描述,但这些例子的目的仅仅是用作说明,并不对本发明构成限制,很明显,本领域的普通技术人员可以在不脱离本发明精神和范围的情况下,对所公开的实施例进行改变,添加或删减。
权利要求
1.用于保护过程控制系统中的网络业务的方法,包括实例化具有到特定的过程控制系统设备的可编程界面的对象,所述对象访问包括一个或多个规则的规则集,所述规则定义了接受或拒绝在所述设备处所接收的网络业务的条件,所述网络业务来自所述过程控制系统的外部并试图访问所述过程控制系统或所述过程控制系统的另外的设备;确定所述规则集的所述一个或多个规则中的哪个或哪些规则将应用于所述设备;通过将所述一个或多个已确定的规则应用于所述设备来保护所述设备;使用所述对象来监控在受保护的设备处所接收的网络业务;确定在所述受保护的设备处所接收的网络业务是否违反了应用于所述受保护的设备的所述规则中的一个或多个规则;以及如果在所述受保护的设备处所接收的网络业务违反了所述规则中的一个或多个规则, 则拒绝所述网络业务访问所述过程控制系统并在所述过程控制系统的操作员界面中显示警报;或者如果在所述受保护设备处所接收的网络业务没有违反所述规则中的一个或多个规则, 则允许所述网络业务访问所述过程控制系统。
2.根据权利要求1所述的方法,其中所述对象作为过程变量被集成到所述过程控制系统的过程控制环境中。
3.根据权利要求1所述的方法,其中所述对象包括统一威胁管理系统(UTMQ对象,并且所述设备包括统一威胁管理系统(UTMQ设备。
4.根据权利要求3所述的方法,其中所述UTMS是网络入侵检测系统(NIDQ或主机入侵检测系统(HIDS)之一。
5.根据权利要求1所述的方法,进一步包括,在所述设备处存储所述规则集以及在另外的设备处存储所述规则集的子集。
6.根据权利要求1所述的方法,其中所述设备包括防火墙、网络设备、或现场设备中的一个或多个。
7.根据权利要求1所述的方法,其中所述对象包括数据存储,其用于存储描述所述设备的变量或变化的数据,所述数据包括状态数据、参数数据、状况数据、输入数据、输出数据、规则集数据及开销数据中的一个或多个。
8.根据权利要求1所述的方法,进一步包括在所述设备处接收所述规则集。
9.根据权利要求8所述的方法,进一步包括,所述对象以算法确定将所述规则集中的所述一个或多个规则中的哪个或哪些规则应用于所述过程控制系统的另外的设备,所述其它设备向所述过程控制系统的子系统提供对所述网络业务的访问。
10.根据权利要求9所述的方法,进一步包括,在所述其它设备处接收所述以算法确定的一个或多个规则以用于保护所述过程控制系统的子系统。
11.根据权利要求1所述的方法,其中确定在所述受保护设备处所接收的所述网络业务是否违反了应用于所述受保护设备的所述规则中的一个或多个规则包括,将进入的网络业务与所述规则集的所述已确定的规则相比较。
12.根据权利要求1所述的方法,其中通过将所述一个或多个已确定的规则应用于所述设备来保护所述设备,包括以下二者之一用户在所述过程控制系统的图形化显示中配置所述对象以用于保护所述设备,以及自动配置所述对象以用于保护所述设备。
13.根据权利要求12所述的方法,其中如果所述用户在所述过程控制系统的图形化显示中配置所述对象,则所述用户认证配置所述对象的能力,所述用户认证包括所述受保护设备的内置的、双因素认证方法。
14.根据权利要求1所述的方法,进一步包括使用所述对象追踪与所述设备处接收到的所述网络业务相关的统计。
15.根据权利要求1所述的方法,进一步包括确定所述设备的状况,包括连接到所述过程控制系统的内部的及外部的数据连接的数量和类型。
16.根据权利要求1所述的方法,其中确定所述规则集的所述一个或多个规则中的哪个或哪些规则将应用于所述设备包括,确定用于所述设备的安全配置文件,所述安全配置文件保护所述过程控制系统的子系统。
17.根据权利要求1所述的方法,进一步包括检测所述过程控制系统中的另外的设备的更新,并在所述操作员界面中显示警报,所述警报指示了所述更新并建议用户请求所述规则集的更新。
18.根据权利要求1所述的方法,其中确定在所述受保护的设备处所接收的所述网络业务是否违反了应用于所述受保护设备的所述规则中的一个或多个规则包括,确定所述设备的当前运行状态,以及下列各项中的一个或多个确定所述当前运行状态是否包括所述设备处在网络业务或者网络业务的类型方面的未预期的增长,确定所述当前运行状态是否包括对所述过程控制系统上的已知的导致故障的攻击,以及确定所述当前运行状态是否包括所述过程控制系统中另外的设备的软件、固件或配置的改变。
19.根据权利要求1所述的方法,进一步包括通过从多个源采集威胁数据、构建所述规则集、验证所述规则集、并将所述规则集分配给所述设备来更新所述规则集。
20.根据权利要求19所述的方法,其中所述设备确定所述规则集中的哪些规则适合于所述过程控制系统的子系统和其它设备中的一个或者多个,所述设备将所述确定的规则分配给所述合适的子系统和其它设备。
21.根据权利要求1所述的方法,其中所述设备被配置为绕过所述过程控制系统的处于所述设备上游的另外的设备,以允许对所述设备的不太安全的数据访问。
22.根据权利要求21所述的方法,其中所述设备被配置为在由用户设置或默认设置的时间内绕过所述过程控制系统的另外的设备。
23.根据权利要求22的方法,其中所述设备是I/O设备。
24.用于保护过程控制系统中的网络业务的网络设备,包括第一网络连接器,其将网络业务传入或传出所述网络设备;第二网络连接器,其将网络业务传至所述过程控制系统的控制装置;规则集,其包括定义了接受或拒绝所述网络设备处所接收的网络业务的条件的一个或多个规则;比较例程,其确定传至所述网络设备的网络业务是否违反了所述规则集中的一个或多个规则;以及保护例程,如果在所述第一网络连接器处所接收的所述网络业务违反了所述规则中的一个或多个规则,则所述保护例程拒绝所述网络业务对所述过程控制系统的所述控制装置或另外的设备的访问,并引发将在所述过程控制系统的操作员界面中显示的警报;或者,如果在所述网络设备处所接收的所述网络业务没有违反所述规则中的一个或多个规则,则所述保护例程通过所述第二网络连接器将所述网络业务传至所述控制装置。
25.根据权利要求M所述的网络设备,其中所述网络业务来自所述过程控制系统的外部,并试图访问所述过程控制系统。
26.根据权利要求M所述的网络设备,进一步包括规则集确定例程,其确定所述规则集中的所述一个或多个规则中的哪个或哪些规则将应用于所述网络设备。
27.根据权利要求M所述的网络设备,其中所述保护例程进一步被配置为,如果在第一网络连接器处所接收的所述网络业务违反了所述规则中的一个或多个规则,则通过启动旁通例程来拒绝所述网络业务对所述过程控制系统的所述控制装置或另外的设备的访问, 所述旁通例程被配置为来执行以下各项中的一个或多个释放到所述控制装置的临时连接,释放到所述控制装置的所有连接,及激活警报。
28.根据权利要求27所述的网络设备,其中所述旁通例程进一步被配置为从所述控制装置接收心跳信号,并且,如果所述旁通例程在一段时间内没有接收到所述心跳信号,执行以下各项中的一个或多个释放临时连接,释放所有连接,及激活警报。
29.根据权利要求27所述的网络设备,其中所述旁通例程进一步被配置为绕过所述过程控制系统的处于所述网络设备上游的另外的设备,以允许对所述网络设备的不太安全的数据访问。
30.根据权利要求27所述的网络设备,其中所述旁通例程进一步被配置为启用或禁止一个或多个中继以中断到所述第一或第二网络连接器的电力或信号的发送。
31.根据权利要求M所述的网络设备,其中所述控制装置是I/O设备。
32.根据权利要求对所述的网络设备,其中所述网络设备是网络入侵检测系统(NIDS) 或主机入侵检测系统(HIDS)之一。
33.根据权利要求M所述的网络设备,其中所述规则集存储于所述设备,以及所述规则集的子集存储于另外的设备。
34.根据权利要求M所述的网络设备,其中所述网络设备包括防火墙或现场设备中的一个或多个。
35.根据权利要求M所述的网络设备,进一步包括数据存储,其用于存储描述所述网络设备的变量或变化的数据,所述数据包括状态数据、参数数据、状况数据、输入数据、输出数据、规则集数据及开销数据中的一个或多个。
36.根据权利要求M所述的网络设备,其中所述保护例程进一步被配置为以算法确定,所述规则集中的所述规则的哪个或哪些规则将应用于所述过程控制系统的另外的网络设备,所述其它网络设备向所述过程控制系统的子系统提供对网络业务的访问。
37.根据权利要求M所述的网络设备,进一步包括内置的、双因素认证例程。
38.根据权利要求M所述的网络设备,进一步包括更新检测例程,其检测所述过程控制系统中另外的设备的更新,并在所述操作员界面中显示警报,所述警报指示了所述更新并建议用户请求所述规则集的更新。
39.根据权利要求M所述的网络设备,其中所述保护例程进一步被配置为确定所述网络设备的当前运行状态,以及执行下列各项中的一个或多个确定所述当前运行状态是否包括所述设备处在网络业务或网络业务的类型方面的未预期的增长,确定所述当前运行状态是否包括所述过程控制系统上已知的导致故障的攻击,以及确定所述当前运行状态是否包括所述过程控制系统中另外的设备的软件、固件或配置改变。
40.根据权利要求M所述的网络设备,其中所述保护例程进一步被配置为通过从多个源采集威胁数据、构建所述规则集、验证所述规则集、并将所述规则集分配给所述网络设备来更新所述规则集,确定所述规则集中的哪些规则适用于所述过程控制系统的子系统,以及将所述确定的规则分配给所述合适的子系统。
41.用于保护过程控制系统中网络业务的统一威胁管理系统,包括多个网络设备,被配置为接收与所述过程控制系统相关的网络业务,所述网络设备中的至少一个被进一步配置为位于所述从过程控制系统之外的源接收规则集,所述规则集包括一个或者多个规则,其定义了接受或拒绝在所述网络设备处所接收的网络业务的条件; 以及图形化过程控制环境,用于图形化地表示所述过程控制系统的元件以及连接到所述多个网络设备中的每一个的网络业务连接的状态,所述元件包括所述多个网络设备;其中所述图形化过程控制环境被配置为实例化所述多个网络设备中的每一个的对象, 每个对象图形化地表示所述多个网络设备中的不同的网络设备并且具有可编程界面以用于配置所述对象所表示的所述网络设备的一个或多个参数,所述参数包括以下各项中的一个或多个连接到所述多个网络中的每一个的网络业务连接的状态,所述规则集,规则集更新。
42.根据权利要求41所述的统一威胁管理系统,其中接收所述规则集的所述网络设备进一步被配置为,以算法为其它网络设备导出一个或多个单独的规则集,所述单独的规则集分别是所述规则集的子集并且能够通过使用所述图形化过程控制环境来配置。
43.根据权利要求41所述的统一威胁管理系统,其中接受或拒绝所述网络设备处所接收的网络业务的条件包括,所述网络业务是来自于所述过程控制系统的内部还是外部。
44.根据权利要求41所述的统一威胁管理系统,其中连接到所述多个网络设备中的每一个的连接的状态包括以下各项中的一个或多个,到所述多个网络设备的连接的数量,所述连接是激活的还是未激活的,以及正在通信还是不在通信。
45.根据权利要求41所述的统一威胁管理系统,其中所述图形化过程控制环境是 DeltaV 图形化过程控制环境。
46.根据权利要求41所述的统一威胁管理系统,其中所述对象作为过程变量被集成在所述图形化过程控制环境中。
47.根据权利要求41所述的统一威胁管理系统,其中所述统一威胁管理系统是网络入侵检测系统(NIDS)或主机入侵检测系统(HIDS)之一。
48.根据权利要求41所述的统一威胁管理系统,其中所述网络设备包括防火墙和现场设备中的一个或多个。
49.根据权利要求41所述的统一威胁管理系统,其中所述对象包括数据存储,其用于存储描述所述网络设备的变量或变化的数据,所述数据包括状态数据、参数数据、状况数据、输入数据、输出数据、规则集数据及开销数据中的一种或多种。
50.根据权利要求41所述的统一威胁管理系统,其中所述对象被配置为将网络业务与所述规则集比较,如果在所述网络设备处所接收的所述网络业务违反了一个或多个规则, 则拒绝在所述网络设备处所接收的所述网络业务并引发在所述图形化过程控制环境的操作员界面中显示的警报,其中所述网络业务由所述网络设备接收。
51.根据权利要求41所述的统一威胁管理系统,其中所述对象被配置为通过以下手段之一来保护所述网络设备用户在所述图形化过程控制环境的图形化显示中配置所述对象,以及将所述对象配置为自动保护所述网络设备。
52.根据权利要求51所述的统一威胁管理系统,其中所述用户在所述图形化过程控制环境的图形化显示中配置所述对象,需要通过所述过程控制系统内置的双因素认证的方法的用户认证。
53.根据权利要求41所述的统一威胁管理系统,其中所述对象被配置为追踪与在所述网络设备处所接收的所述网络业务相关的统计。
54.根据权利要求41所述的统一威胁管理系统,其中所述对象被配置为确定用于所述网络设备的安全配置文件,所述安全配置文件用于保护所述过程控制系统的子系统。
55.根据权利要求41所述的统一威胁管理系统,其中所述对象被配置为检测所述过程控制系统中另外的网络设备的更新,并在所述图形化过程控制环境的图形化显示中显示警报,所述警报指示了所述更新并建议用户请求更新所述规则集。
56.根据权利要求41所述的统一威胁管理系统,其中所述对象被配置为确定所述网络设备处所接收的所述网络业务是否违反所述规则中的一个或多个规则。
57.根据权利要求41所述的统一威胁管理系统,其中所述对象被配置为通过从多个源采集威胁数据、构建所述规则集、验证所述规则集、并将所述规则集的子集分配给其它网络设备来更新所述规则集,每个其它网络设备都对应于所述过程控制系统的子系统。
58.根据权利要求41所述的统一威胁管理系统,其中所述一个或多个参数包括如下功能,即在可配置的时间内绕过所述过程控制系统的另外的网络设备。
59.根据权利要求41所述的统一威胁管理系统,其中所述网络设备是I/O设备。
全文摘要
用于保护过程控制系统中网络业务的统一威胁管理系统(UTMS)可以包括网络设备,其配置为接收与该过程控制系-统相关的网络业务,并包括从外部源接收的规则集。该规则集可以包括定义了接受或拒绝在该网络设备处所接收的网络业务的条件的一个或多个规则。网络设备的状态可以作为过程控制对象或变量集成到过程控制系统中,从而允许在图形化过程控制系统环境中的工作站上向操作员显示该状态和其它UTMS以及组件网络设备参数和变量。该网络设备也可以与永久性服务通信,该服务主动向该设备提供规则集以符合最近的安全威胁、威胁模式及在该网络中发现的或预计到的控制系统弱点。
文档编号H04L12/24GK102299909SQ20101056984
公开日2011年12月28日 申请日期2010年9月25日 优先权日2009年9月24日
发明者B·希布, C·赫尔南德兹, D·R·丹尼森, G·K·劳, N·库贝, R·K·哈巴 申请人:费希尔-罗斯蒙特系统公司