用于工业自动化设备的自动安全实施的系统和方法与流程

本公开内容总体上涉及为缺乏这种安全实施能力的工业自动化设备提供各种安全实施机制。更特别地，本公开内容的实施方式涉及自动地检测工业自动化设备的能力或属性以及基于所检测到的能力或属性为工业自动化设备提供一个或更多个安全实施机制。

背景技术：

1、工业自动化系统包括具有不同能力的各种不同工业自动化设备。在某些工业自动化系统中，诸如传统设备的一些工业自动化设备可能不提供用于监测从外部网络(例如，因特网)到工业自动化设备的数据通信或从工业自动化设备到其他工业自动化设备的数据通信的足够的安全特征。这些类型的工业自动化设备缺乏安全特征可能使工业自动化系统易受到来自外部网络的恶性实体的攻击的影响。例如，工业自动化设备可能接收来自外部网络的恶意数据，并且将恶意数据传递至工业自动化系统中的其他工业自动化设备。然后，恶意数据通过工业自动化系统的传播可能导致工业自动化系统中的各种安全问题，例如，对某些功能的控制丢失、到恶意软件在工业自动化设备上的安装、再到工业自动化系统的完全关闭。因此，为这样的工业自动化设备提供改进的安全实施机制可以是有益的。

2、本部分旨在向读者介绍可能与下面描述和/或要求保护的本技术的各个方面有关的领域的各个方面。相信该讨论有助于向读者提供背景信息，以促进更好地理解本公开内容的各个方面。因此，应当理解的是，这些陈述是从该角度来理解的，而不是作为对现有技术的承认。

技术实现思路

1、下面阐述了本文中公开的特定实施方式的概述。应当理解的，呈现这些方面仅仅是为了向读者提供这些特定实施方式的简要概述，并且这些方面并不旨在限制本公开内容的范围。实际上，本公开内容可以涵盖下面可能未阐述的多个方面。

2、在一个实施方式中，一种安全设备包括一个或更多个处理器和存储器，该存储器包括指令，所述指令在由处理器执行时使处理器执行操作。操作包括：监测工业系统中的工业自动化设备与外部网络中的一个或更多个设备之间的数据通信；确定第一工业自动化设备不包括用于接收来自外部网络中的设备的安全数据或向外部网络中的设备发送安全数据的本地安全特征；以及响应于确定第一工业自动化设备不包括本地安全特征，实施一个或更多个安全技术。

3、在另一实施方式中，一种工业系统包括：工业自动化设备，其可以向外部网络中的一个或更多个设备发送数据并且从外部网络中的一个或更多个设备接收数据；以及与工业自动化设备相关联的安全设备。安全设备包括一个或更多个处理器和存储器，该存储器包括指令，所述指令在由处理器执行时使处理器执行操作。操作包括：接收从外部网络中的一个或更多个设备发送至工业自动化设备的第一数据分组、从工业自动化设备发送至外部网络中的设备的第二数据分组、或者第一数据分组和第二数据分组两者；以及基于第一数据分组、第二数据分组、或者第一数据分组和第二数据分组两者来确定与工业自动化设备相关联的一个或更多个属性。一个或更多个属性指示由工业自动化设备利用以向外部网络中的设备传递数据的一个或更多个通信协议。该操作还包括：基于一个或更多个属性来识别和实施一个或更多个安全技术。

4、在又一实施方式中，一种方法包括：由与工业系统中的工业自动化设备相关联的安全设备接收来自外部网络中的一个或更多个设备的第一数据分组、来自工业自动化设备的第二数据分组、或者第一数据分组和第二数据分组两者。该方法还包括：由安全设备确定第一数据分组的第一状态、第二数据分组的第二状态、或者第一状态和第二状态两者；由安全设备确定安全设备被配置成基于第一数据分组的第一状态、第二数据分组的第二状态、或者第一状态和第二状态两者来实施一个或更多个已知安全技术；以及由安全设备基于第一数据分组的第一状态、第二数据分组的第二状态、或者第一状态和第二状态两者来实施已知安全技术。

技术特征：

1.一种安全设备，包括：

2.根据权利要求1所述的安全设备，其中，所述一个或更多个处理器被配置成基于所述第一工业自动化设备与外部网络中的一个或更多个设备之间的数据通信来确定所述第一工业自动化设备不包括本地安全特征。

3.根据权利要求1所述的安全设备，其中，所述操作包括：接收来自所述第一工业自动化设备的元数据，并且其中，所述一个或更多个处理器被配置成基于所接收到的元数据来确定所述第一工业自动化设备不包括本地安全特征。

4.根据权利要求1所述的安全设备，其中，所述一个或更多个安全技术包括以下中的一个或更多个：

5.根据权利要求1所述的安全设备，其中，所述操作包括：确定所述多个工业自动化设备中的第二工业自动化设备包括用于接收来自外部网络中的一个或更多个设备的安全数据或向外部网络中的一个或更多个设备发送安全数据的本地安全特征。

6.根据权利要求5所述的安全设备，其中，所述安全设备被配置成允许所述安全数据在没有干扰的情况下由所述第二工业自动化设备、外部网络中的一个或更多个设备、或者所述第二工业自动化设备和所述一个或更多个设备这两者接收。

7.一种工业系统，包括：

8.根据权利要求7所述的工业系统，其中，所述一个或更多个安全技术包括：防止所述第一数据分组被所述一个或更多个设备接收，防止所述第二数据分组被所述工业自动化设备接收，或者防止所述第一数据分组被所述一个或更多个设备接收以及防止所述第二数据分组被所述工业自动化设备接收这两者。

9.根据权利要求8所述的工业系统，其中，所述第一数据分组、所述第二数据分组、或者所述第一数据分组和所述第二数据分组这两者根据不安全的通信协议被格式化。

10.根据权利要求7所述的工业系统，其中，所述操作包括：确定所述第一数据分组、所述第二数据分组、或者所述第一数据分组和所述第二数据分组这两者包括恶意数据，并且其中，所述一个或更多个安全技术包括：生成指示确定所述第一数据分组、所述第二数据分组、或者所述第一数据分组和所述第二数据分组这两者包括恶意数据的警报。

11.根据权利要求7所述的工业系统，其中，所述一个或更多个安全技术包括：根据所述一个或更多个通信协议的相应的安全版本，重新格式化所述第一数据分组、所述第二数据分组、或者所述第一数据分组和所述第二数据分组这两者。

12.根据权利要求7所述的工业系统，包括第二多个工业自动化设备和第二安全设备，其中，所述多个工业自动化设备和所述第二多个工业自动化设备与所述工业系统中的相应区域相关联，其中，所述安全设备被配置成监测与所述相应区域中的第一区域中的第一多个工业自动化设备相关联的数据通信，并且其中，所述第二安全设备被配置成监测与所述相应区域中的第二区域中的所述第二多个工业自动化设备相关联的数据通信。

13.根据权利要求7所述的工业系统，其中，所述一个或更多个通信协议包括多个通信协议，并且其中，所述一个或更多个安全技术基于所述多个通信协议来实施。

14.一种方法，包括：

15.根据权利要求14所述的方法，包括：

16.根据权利要求15所述的方法，包括：基于从所述云计算系统接收到的更新来自动地更新所述安全设备，其中，所述安全设备被配置成基于所述第一数据分组的第一状态、所述第二数据分组的第二状态、或者所述第一状态和所述第二状态这两者来实施一个或更多个附加安全技术。

17.根据权利要求16所述的方法，包括：基于所述第一数据分组的第一状态、所述第二数据分组的第二状态、或者所述第一状态和所述第二状态这两者来自动地实施所述一个或更多个附加安全技术。

18.根据权利要求17所述的方法，其中，所述一个或更多个附加安全技术包括以下中的一个或更多个：

19.根据权利要求14所述的方法，其中，所述第一数据分组的第一状态指示用于格式化所述第一数据分组的第一不安全通信协议，所述第二数据分组的第二状态指示用于格式化所述第二数据分组的第二不安全通信协议，或者所述第一状态指示所述第一不安全通信协议以及所述第二状态指示所述第二不安全通信协议这两者。

20.根据权利要求14所述的方法，其中，所述第一数据分组的第一状态指示在所述第一数据分组中可疑数据或异常数据的第一存在，所述第二数据分组的第二状态指示在所述第二数据分组中可疑数据或异常数据的第二存在，或者所述第一状态指示所述第一存在以及所述第二状态指示所述第二存在这两者。

技术总结
公开了用于工业自动化设备的自动安全实施的系统和方法。一种安全设备包括一个或更多个处理器和存储器，该存储器包括指令，所述指令在由处理器执行时使处理器执行操作。操作包括：监测工业系统中的工业自动化设备与外部网络中的一个或更多个设备之间的数据通信；确定第一工业自动化设备不包括用于接收来自外部网络中的设备的安全数据或向外部网络中的设备发送安全数据的本地安全特征；以及响应于确定第一工业自动化设备不包括本地安全特征，实施一个或更多个安全技术。

技术研发人员：杰克·M·维索基,塔里尔·J·贾斯帕,凯尔·E·尼特,杰西卡·E·福吉特斯,威廉·J·佩特罗,大卫·E·赫夫曼
受保护的技术使用者：罗克韦尔自动化技术公司
技术研发日：
技术公布日：2024/1/22