專利名稱:用于過程控制系統(tǒng)的集成統(tǒng)一威脅管理的制作方法
技術領域:
本申請通常涉及過程工廠的控制系統(tǒng),尤其涉及用于過程控制或工廠環(huán)境中的網(wǎng)絡威脅管理的方法及裝置���。
背景技術:
過程控制系統(tǒng)���,例如那些在發(fā)電���,化學,石油或其它行業(yè)中使用的分布式或可擴展的過程控制系統(tǒng)�����,典型地包括一個或多個控制器�����,這些控制器彼此在通信上耦合��,通過過程控制網(wǎng)絡與至少一個主機或操作員工作站相耦合�����,并通過模擬總線����,數(shù)字總線或組合的模擬/數(shù)字總線與一個或多個現(xiàn)場設備相耦合?��,F(xiàn)場設備可以是,例如����,閥門,閥門定位器����, 交換機和發(fā)射機(例如,溫度����,壓力和流速傳感器),其執(zhí)行過程或工廠中的功能��,如開關閥門�����,轉換設備開關以及測量過程參數(shù)��?��?刂破鹘邮沼涩F(xiàn)場設備完成的對于過程或工廠測量指示的信號和/或其他與現(xiàn)場設備有關的信息�,控制器使用這些信息以實現(xiàn)控制例程��,然后生成控制信號�,該信號將通過總線上發(fā)送給現(xiàn)場設備以控制過程或工廠的運行。典型地����, 來自現(xiàn)場設備和控制器的信息對于由操作員工作站執(zhí)行的一個或多個應用程序而言是可用的,這使得操作者能夠執(zhí)行關于過程或工廠的任意所需功能�����,例如查看工廠的當前狀態(tài)��, 修改工廠的操作��,等等?���,F(xiàn)場設備信息和操作員工作站的應用程序共同組成了操作員控制環(huán)境。過程控制器���,典型地位于過程工廠環(huán)境中����,其接收由現(xiàn)場設備完成或與現(xiàn)場設備相關的對于過程測量或過程變量指示的信號和/或其它與現(xiàn)場設備有關的信息��,并執(zhí)行控制器應用程序??刂破鲬贸绦驅崿F(xiàn)例如不同的做出過程控制決定的控制模塊,基于接收到的信息生成控制信號�����,并與例如HART 和FOUNDATION Fieldbus 的現(xiàn)場設
備中的控制模塊或區(qū)塊進行配合���。過程控制器中的控制模塊通過通信線或信號路徑向現(xiàn)場設備發(fā)送控制信號�,從而控制過程的運行���。典型地����,來自現(xiàn)場設備和過程控制器的信息通過過程控制網(wǎng)絡對于一個或多個其它硬件設備而言是可用的�,例如,操作員工作站�,維修工作站,個人計算機�����,手持設備����,數(shù)據(jù)歷史記錄�,報告文件處理機����,集中式數(shù)據(jù)庫等等�。在網(wǎng)絡上傳播的信息使得操作員,維修人員���,或其他用戶能夠執(zhí)行關于過程的所需功能�。例如�,該信息允許操作員改變過程控制例程的設置,修改過程控制器或智能現(xiàn)場設備中的控制模塊的操作�,查看過程的當前狀態(tài)或過程工廠中特定設備的狀態(tài),查看現(xiàn)場設備和過程控制器生成的警報�����,出于培訓員工或測試過程控制軟件的目的而模擬過程操作����,診斷過程工廠中的問題或硬件故障等等。作為示例���,由愛默生過程管理有限公司銷售的Delta V 控制系統(tǒng)包括存儲于不同設備并由其執(zhí)行的多個應用程序���,這些不同設備位于過程工廠中的不同位置���。安置在一個或多個操作員工作站中的配置應用程序,使得用戶能夠創(chuàng)建或改變過程控制模塊�,并通過分布式控制器專用的數(shù)據(jù)高速通道下載這些過程控制模塊。典型地���,這些控制模塊由通信上互相連接的功能塊組成�����,它們是面向對象編程協(xié)議中的對象��。這些功能塊基于那里的輸入執(zhí)行控制模式中的功能�,并提供控制模式中其他功能塊的輸出�����。配置應用程序也可以允許設計者創(chuàng)建或改變操作者界面����,查看應用程序使用該界面向操作者顯示數(shù)據(jù)����,并能使操作員改變設置���,例如過程控制例程中的設定點�����。在一些情況下,每個專用的控制器和現(xiàn)場設備存儲并執(zhí)行控制器應用程序�,該控制器應用程序運行分配及下載在那里的控制模塊, 以實現(xiàn)實際過程控制功能����。查看應用程序,可以運行于一個或多個操作員工作站上�����,其通過數(shù)據(jù)高速通道從控制器應用程序處接收數(shù)據(jù)��,并使用用戶界面向過程控制系統(tǒng)的設計者���, 操作員或用戶顯示這些數(shù)據(jù)�����,并可以提供過程控制例程或模塊的多個不同視圖中的任意一個�����,例如�,操作員視圖,工程師視圖����,技術人員視圖等等。典型地�,數(shù)據(jù)歷史記錄應用程序被存儲于數(shù)據(jù)歷史記錄設備中并由其執(zhí)行,該數(shù)據(jù)歷史記錄設備采集并存儲通過數(shù)據(jù)高速通道提供的部分或所有數(shù)據(jù)�����,而配置數(shù)據(jù)庫應用程序還可以運行在與數(shù)據(jù)高速通道連接的另外的計算機上���,以存儲當前過程控制例程的配置及與其相關的數(shù)據(jù)�����。替代地�,配置數(shù)據(jù)庫可以位于同樣的工作站中以作為配置應用程序。由于過程控制環(huán)境中使用的控制和支持應用程序的數(shù)量和類型都在增加����,所以提供不同的圖形顯示應用程序能夠使得用戶有效地配置及使用這些應用程序。例如���,圖形顯示應用程序被用于支持控制配置應用程序��,來使得配置工程師能夠圖形化地創(chuàng)建下載到過程工廠中控制設備的控制程序�����。此外,圖形顯示應用程序被用來使得操作員能夠查看過程工廠或過程工廠中的區(qū)域的當前功能�,用于使得維修人員查看過程工廠中硬件設備的狀態(tài),用于能夠對過程工廠的進行模擬或管理等等��,如美國專利申請?zhí)?0/574����,824,名為“集成環(huán)境中具有定制的過程圖形化顯示層的過程工廠用戶界面系統(tǒng)”中所描述的那樣����,在此清楚地引用其全文作為參考����。Delta 控制系統(tǒng)還可以包括具有計算機可讀介質的用戶界面系統(tǒng)或環(huán)境���,顯示設備�����,以及具有存儲于計算機可讀介質中的信息的對象��,該信息是關于過程工廠的元件�,設備等運行狀況的���。用戶界面系統(tǒng)的執(zhí)行引擎利用運行時環(huán)境中的對象信息��,為過程圖形顯示的多個內容層生成內容�����。然后顯示設備描繪了多個內容層的指定內容層���。對象信息包括來自過程工廠的運行時數(shù)據(jù)��,其與過程工廠的元件或設備的在線操作有關���。每個用戶的配置文件包括根據(jù)工作說明(例如,操作員��,維修人員�,管理者,教員��,訪客等)對訪問的指示�����,用戶界面的內容層為每個用戶顯示內容層中運行時數(shù)據(jù)定制的描述�����。過程控制系統(tǒng)中的現(xiàn)場設備在過程控制網(wǎng)絡上與硬件設備通信���,例如,以太網(wǎng)配置的局域網(wǎng)���。網(wǎng)絡通過各種網(wǎng)絡設備將過程參數(shù)�,網(wǎng)絡信息以及來自元件及設備的其它過程控制數(shù)據(jù)中繼轉播到過程控制系統(tǒng)的各種實體上。典型的網(wǎng)絡設備包括網(wǎng)絡接口卡���,網(wǎng)絡交換機��,路由器�����,防火墻�,控制器和操作員工作站����。典型地,網(wǎng)絡設備通過控制其路由�,幀速率,超時以及其他網(wǎng)絡參數(shù)來使得通過網(wǎng)絡的數(shù)據(jù)流更加容易���,但是不能改變過程數(shù)據(jù)本身�。雖然來自現(xiàn)場設備和過程控制器的信息對于在工作站上執(zhí)行的控制環(huán)境中的操作員和維修工作站而言是可用的�,但來自網(wǎng)絡設備的信息(例如,配置��,狀況�����,狀態(tài)等)是不能作為過程變量被集成到過程控制系統(tǒng)中的,因此����,這些信息在控制環(huán)境中是不可用的。網(wǎng)絡設備的管理和控制與現(xiàn)場設備和過程變量的管理是分開的��。
由于過程控制網(wǎng)絡在規(guī)模和復雜度方面都增加了�,網(wǎng)絡設備的數(shù)量和類型也相應地增加了。另外�����,由于過程系統(tǒng)和工廠本身越來越分散(例如��,過程的不同步驟在物理隔離的位置中進行執(zhí)行��,監(jiān)視��,控制等等)��,過程控制網(wǎng)絡包括更多的通信����,其通常使用廣域網(wǎng)和特定的互聯(lián)網(wǎng)協(xié)議組,以在不同位置中的每個過程控制站點乃至單個操作員工作站上包含各種局域網(wǎng)��。作為系統(tǒng)和網(wǎng)絡增加的結果�����,網(wǎng)絡安全和對這些復雜的分布式過程控制系統(tǒng)的管理已經(jīng)越來越困難了����。任何接入到過程控制系統(tǒng)網(wǎng)絡的外部連接都是系統(tǒng)中可能的攻擊點O網(wǎng)絡設備,例如防火墻��,典型地為過程控制網(wǎng)絡提供安全�����,并降低網(wǎng)絡攻擊的風險����。防火墻被設計為阻止那些未經(jīng)授權的對于網(wǎng)絡的一部分或多個部分進行訪問的網(wǎng)絡業(yè)務。典型地����,防火墻包含一個或多個規(guī)則集,其從各種其它網(wǎng)絡設備或網(wǎng)絡位置處過濾未經(jīng)授權的通信���。規(guī)則集的兩個通用種類包括基于策略的規(guī)則集和基于特征的規(guī)則集�����?���;诓呗缘囊?guī)則集基于IP地址、端口���、通信速率及其它條件來定義網(wǎng)絡通信上的各種限制��,在這些條件下通常類型的通信是允許的�����?�;诓呗缘囊?guī)則集還可以定義網(wǎng)絡允許在網(wǎng)絡節(jié)點之間提供何種功能和服務的通信�?����;诓呗缘囊?guī)則集防火墻能夠動態(tài)地允許向隨機IP地址進行通信。典型地��,基于策略的系統(tǒng)僅僅查看每個數(shù)據(jù)包的源端口和目的地端口��,以便與規(guī)則集建立匹配關系���,并丟棄每個匹配的數(shù)據(jù)包?�;谔卣鞯囊?guī)則集包括具體的惡意模式��,并通過檢查每個數(shù)據(jù)包的內容來與特征集進行比較以此阻止與那些模式相匹配的任何通信����。 例如,基于特征的系統(tǒng)可以包括規(guī)則集����,以便將接收到的數(shù)據(jù)包的有效負荷與已知的威脅 (病毒,蠕蟲等)�����,殘缺的協(xié)議有效負荷等相比較�,或者可以被配置為丟棄基于網(wǎng)絡中特定設備的已知弱點的數(shù)據(jù)包。典型的防火墻需要對其規(guī)則集進行詳細的配置。一些防火墻實現(xiàn)了“默認拒絕”型的防火墻規(guī)則集���,其中防火墻所允許的唯一連接是那些已經(jīng)被規(guī)則集明確允許的連接��。默認拒絕規(guī)則集需要對過程控制系統(tǒng)的日常操作所需的網(wǎng)絡應用程序和端點進行詳細的了解��。當然�,通過添加或除去網(wǎng)絡組件對系統(tǒng)進行的任意修改也需要修改默認拒絕規(guī)則集���。另一個選擇是“默認允許”規(guī)則集�,其中所有的通信都被允許除非其被明確阻止�����。默認允許配置的規(guī)則集雖然易于實施�,但它使得無意的網(wǎng)絡連接和多余的系統(tǒng)保護更可能造成損害。由于過程控制系統(tǒng)和各種子系統(tǒng)逐步發(fā)展���,防火墻規(guī)則集也必須改變以符合新設備�,軟件更新及任意其它網(wǎng)絡變化的任意的額外安全需求?�,F(xiàn)場設備和過程控制系統(tǒng)軟件�, 就像任意其他軟件一樣�,可以包含需要安裝補丁和其它修復程序的錯誤��。每次改變系統(tǒng) (例如���,通過添加新設備或軟件����、補丁以修復舊軟件��,改變網(wǎng)絡配置����,更新等等)��,都會潛在地將網(wǎng)絡暴露在危險中���。在典型的IT環(huán)境中�,伴隨網(wǎng)絡停機時間的正常和一貫的修補會讓網(wǎng)絡保持安全���。 但是在工業(yè)環(huán)境中�����,系統(tǒng)或工廠的停機時間是不可行的��,而且通常會帶來巨大的花費�。在計劃的停機時間期間安排常規(guī)的修補是一種解決方法,但如果在所安排的停機時間之前太早意識到威脅���,常常會將系統(tǒng)暴露在危險中���。因此,強制終端用戶在連續(xù)地暴露于網(wǎng)絡威脅或工廠中斷工作中進行選擇��。用于在識別出新的威脅時更新防火墻的連續(xù)修補提供了一些保護���,但是通常不能防止“零日����,��,應用程序層的攻擊��,在那里直到該威脅實際發(fā)生前�,該威脅仍是未知的。此外�,因為網(wǎng)絡設備沒有集成在過程控制系統(tǒng)中����,來自防火墻的信息對于工廠操作員和其他工廠人員而言是不可用的�。諸如配置、規(guī)則集修補���、以及常規(guī)維護之類的防火墻任務僅留給IT人員進行��。在一些特別高危險或敏感的過程控制系統(tǒng)(例如�,核反應堆�����,高能處理�,主要大城市地區(qū)的電力網(wǎng)��,軍事和政府的應用程序等等)��,限制連接政策可能要求所有的外部網(wǎng)絡連接是完全安全的�����。在實踐中��,這些敏感的過程控制系統(tǒng)采用了在它們不使用時,將所有外部連接與網(wǎng)絡物理截斷的方式�。但是,如上所述����,由于物理隔離外部連接作為在圖形界面中表示的對象不能集成到過程控制系統(tǒng)中,對于操作員而言如果無法控制連接的狀態(tài)(也就是說��,操作員控制的設備或系統(tǒng)是否在物理上連接到外部實體)或者甚至不知道來自他們的操作員工作站的連接是否激活時���,那將會很困難��。一些商業(yè)貨架(COTS)防火墻系統(tǒng)和其它網(wǎng)絡設備能夠提供網(wǎng)絡安全的部分解決方案�����,但還是必須在操作員環(huán)境之外進行管理��。受過特定訓練的IT人員管理COTS防火墻���, 以此將防火墻集成到過程控制系統(tǒng)的需求中,并配置如上所述的各種規(guī)則集�。即使如此, COTS防火墻還是有很多缺點�����。例如,防火墻的“壽命終止”由生產(chǎn)商控制���,而不是由用戶或工廠底層人員控制��,這會導致意料不到的產(chǎn)品替換�����,缺少生產(chǎn)商支持����,以及工廠停機時間�。 此外��,當發(fā)現(xiàn)新的威脅或進行系統(tǒng)軟件組件升級時��,IT人員還是需要更新規(guī)則集���。在過程控制系統(tǒng)中���,每個規(guī)則集對于它所保護的系統(tǒng)都是明確的���;改變系統(tǒng)需要改變規(guī)則集。沒有受過特別地訓練以理解過程控制系統(tǒng)及其升級的IT人員����,其可能不能理解規(guī)則集如何或為何也要改變。如果僅僅作為由IT人員管理的獨立運行的應用程序���,規(guī)則集可能無意地為系統(tǒng)提供少于所需的保護���。例如,防火墻的實行����,配置,管理通常需要IT人員具有要保護網(wǎng)絡拓撲結構的詳細知識��。通常�,過程控制網(wǎng)絡的IT人員需要理解網(wǎng)絡拓撲結構,與該網(wǎng)絡相關的網(wǎng)絡業(yè)務需求���,允許的設備及局域網(wǎng)中或局域網(wǎng)之間的業(yè)務所需要的服務����,以及應當被允許訪問局域網(wǎng)的各種外部實體。示例性的內部實體可以包括業(yè)務中的多個工作站��, 其能夠訪問共享的文件服務器和應用程序�。示例性的外部實體可以包括便攜式電腦,工作站以及其它的物理上沒有連接到一個或多個局域網(wǎng)的通信設備���。例如���,這些外部實體可以與銷售人員相關聯(lián),這些銷售人員正在出差����,并且需要連接到他們業(yè)務網(wǎng)絡的敏感節(jié)點或專用節(jié)點。在IT人員需要對與控制系統(tǒng)有關的網(wǎng)絡的保護負責的情況下���,通常該人員必須了解哪些控制系統(tǒng)設備被允許訪問外部網(wǎng)絡資源��,以及哪些外部網(wǎng)絡資源被允許訪問控制系統(tǒng)設備�。一些控制系統(tǒng)(例如�,生產(chǎn)工廠中的過程控制系統(tǒng)���,測試和測量應用程序/裝置等)包括一個或多個控制器��,例如由Fisher-Rosemount Systems, Inc.公司����, EmersonProcess Management 公司銷售的DeltaV 控制器。該控制器可以連接到網(wǎng)絡并具有指定的IP地址����,一個或多個通信端口,一個或多個可以容納輸入/輸出(I/O)設備和/ 或現(xiàn)場設備的槽����,和/或一個或多個I/O通道。對于一些控制系統(tǒng)�,可以使用多個控制器, 每一個控制器都具有唯一的IP地址連同對應的端口����、槽、和/或I/O通道���。照此���,IT人員通常必須了解每個控制器的IP地址和/或連接到該控制器的每個設備,如現(xiàn)場設備,(例如�����, 智能現(xiàn)場設備)�,熱電偶,和/或其它設備(例如����,遮光罩,壓力計����,壓力變換器,電流變換器
寸寸J����。IT人員除了有責任了解控制系統(tǒng)拓撲結構和每個控制系統(tǒng)設備的地址之外,IT 人員通常還必須為包括一個或多個控制系統(tǒng)的每個設備設置規(guī)則和/或訪問特權����。規(guī)則可以包括但不限于,允許控制系統(tǒng)中已識別設備之間的內部網(wǎng)絡通信�,阻止來自于控制系統(tǒng)中一個或多個控制系統(tǒng)設備的通信,阻止來自于具有外部目的地IP地址的一個或多個控制系統(tǒng)設備的通信�,設置一個或多個通信容量閾值以及設置通信協(xié)議規(guī)則(例如,不允許智能現(xiàn)場設備啟動控制系統(tǒng)網(wǎng)絡內的通信�,除非由主設備首先請求)。此外����,由于控制系統(tǒng)設備和由這種設備使用的相關聯(lián)的通信協(xié)議可以包括唯一的設備特有的特征,所以IT人員通常需要了解關于控制系統(tǒng)通信的細節(jié)����,基于這些特征該通信會被允許或阻止。例如��,一些控制系統(tǒng)使用名為高速可編址遠程傳感器(HART)的通信協(xié)議��。HART通信使用雙向工業(yè)現(xiàn)場通信協(xié)議��,該協(xié)議通常用于實現(xiàn)智能現(xiàn)場儀表和/或主系統(tǒng)之間的通信�����。例如DeltaV 控制器的主系統(tǒng)�,出于很多原因,包括設備配置���,設備診斷��, 故障診斷��,發(fā)現(xiàn)并處理故障設備�,接收設備過程測量值,以及確定設備健康狀態(tài)信息�����,與現(xiàn)場設備通信��。在首先被主機(例如DeltaV 控制器)詢問之后�,HART設備通常僅被允許在 HART通信網(wǎng)絡上通信。HART通信協(xié)議的另一個通信特征包括其方便使用第二主機的能力 (例如��,首要主機和第二主機�,每一個都可以與現(xiàn)場設備通信)。如果配置防火墻的IT人員不知道這種設備和協(xié)議特有的特征���,那么防火墻可能不適于這種通信活動��,該活動被認為是可以接受的或特別有風險的��。例如�����,一些現(xiàn)場設備可以在控制系統(tǒng)中被配置成�,從傳感器處接收測量數(shù)據(jù),并將搜集到的測量數(shù)據(jù)通過特定的IP地址報告給具有特定端口的特定控制器��。在現(xiàn)場設備也可以啟動至替代目的地(例如���,網(wǎng)絡節(jié)點,互聯(lián)網(wǎng)��,控制系統(tǒng)中的替代控制器等)的通信的情況下��,那么這種活動可能被認為是安全威脅���,而過程控制系統(tǒng)的操作員可能不完全了解這種安全威脅�����。在其它情況下��,IT人員對于控制系統(tǒng)的細節(jié)以及控制系統(tǒng)如何正確地行使功能以滿足控制目標(例如�,控制器與設備之間所允許的控制通信��,設備之間所允許的數(shù)據(jù)通信�, 允許的設備固件更新��,允許的遠程用戶發(fā)起的對控制系統(tǒng)的外部訪問等等)僅有有限的或不太詳細的了解�。照此�,IT人員在正確的訪問控制,許可設置����,和/或對系統(tǒng)的正確防火墻規(guī)則配置方面處于重大劣勢。例如����,專業(yè)IT人員可以安裝一個或多個防火墻設備和/或防火墻軟件應用程序,以在控制系統(tǒng)網(wǎng)絡邊界與內聯(lián)網(wǎng)和/或互聯(lián)網(wǎng)邊界之間運行���。但是��,通常�,這種防火墻沒有被配置規(guī)則和訪問許可�,這些規(guī)則和許可解釋了對于控制系統(tǒng)的獨特需求,這在保持所需的網(wǎng)絡安全等級的同時會引發(fā)控制系統(tǒng)的最優(yōu)功能�����。結果��,IT人員可以重復地直接配置防火墻以響應來自控制系統(tǒng)管理員的關于通信故障及不正確的控制系統(tǒng)操作實例的抱怨。配置防火墻的這種重復工作導致了工作人員的低效�,故障,損失利潤及安全風險�。在Byres等的、名為“NETWORK SECURITY APPLIANCE��,���,的美國專禾丨』申請 No. 2007019906以及不列顛哥倫比亞省Lantzville區(qū)的Byres安全公司生產(chǎn)的!"ofino 系統(tǒng)中描述了可能的網(wǎng)絡安全的解決方案�。這些解決方案發(fā)現(xiàn)并識別設備,并通過被動地分析網(wǎng)絡上的通信流量來自動地定位設備及生成規(guī)則��,從而創(chuàng)建防火墻規(guī)則以控制流向這些設備的通信流量�����。當該解決方案發(fā)現(xiàn)新的設備時��,其提示系統(tǒng)管理員接受它的推論并將這個新設備插入到網(wǎng)絡清單圖中��,或者將該設備標記為潛在的入侵者�����。這樣,IT人員和網(wǎng)絡控制工程師總是具有當前的網(wǎng)絡地圖���。雖然這種解決方案確保了 IT人員能夠快速準確地管理網(wǎng)絡��,但該解決方案依然全部委托給了專業(yè)人員并由受過獨立訓練的IT人員控制�。過程控制系統(tǒng)中的操作員沒有能力從操作員工作站中監(jiān)控并管理過程控制網(wǎng)絡的安全���。
發(fā)明內容
通過提供統(tǒng)一威脅管理系統(tǒng)(UnifiedThreat ManagementSystem�����,UTMS)�,可以增強過程控制系統(tǒng)網(wǎng)絡的安全和管理,該UTMS包括配置了 UTMS的防火墻�����,配置了 UTMS的網(wǎng)絡訪問設備���,以及配置了 UTMS的現(xiàn)場設備�,其能夠抵抗已知的和“零日”的弱點并且抵抗對于嵌入式專用設備和標準通用設備這樣的控制系統(tǒng)的威脅��。配置了 UTMS的防火墻和/或網(wǎng)絡訪問設備可以包括位于過程控制網(wǎng)絡周邊的獨立網(wǎng)絡設備,或者運行于控制器或過程控制系統(tǒng)其它內部部分中的設備或軟件��。配置了 UTMS的防火墻和設備的狀態(tài)作為過程控制對象或變量被集成到過程控制系統(tǒng)中�,因此,其允許從操作員工作站或其它工作站中查看該狀態(tài)及其它UTMS和分支網(wǎng)絡訪問設備的參數(shù)和變量��。UTMS防火墻和設備可以與永久性的服務通信����,該服務主動地支持配置了 UTMS的防火墻,網(wǎng)絡訪問設備��,及具有符合最近安全威脅的規(guī)則集的已配置的控制器或現(xiàn)場設備�����,威脅模式�����,和網(wǎng)絡中所發(fā)現(xiàn)的存在的控制系統(tǒng)弱點�。從工廠的標準控制用戶界面(例如���,DeltaV 環(huán)境)中管理這些更新�,就如同通常的UTMS和配置了 UTMS的防火墻,網(wǎng)絡訪問設備和現(xiàn)場設備與任何其它的控制系統(tǒng)元件或實體沒有區(qū)別一樣����。UTMS事件和配置了 UTMS的防火墻及設備本身(例如,警報��,許可���, 威脅狀態(tài)��,事件�����,設置�,狀態(tài)等等)也可以從DeltaV 環(huán)境內部進行管理�。UTMS每個組件的操作員顯示器可以在DeltaV 環(huán)境或另一個圖形過程控制環(huán)境中顯示,以允許操作員顯示連接的當前狀態(tài)并更新設置��,規(guī)則集和UTMS(以及它的防火墻��, 網(wǎng)絡訪問設備����,現(xiàn)場設備如果這樣配置的話)的其它參數(shù)或變量,并執(zhí)行來自操作員顯示器或其它工作站的任意其它過程控制系統(tǒng)安全任務。在一些實施例中�����,可以基于過程控制系統(tǒng)本身連續(xù)性或周期性的評價創(chuàng)建規(guī)則集��,以提供對于已識別威脅的即時系統(tǒng)保護��。因此�����,UTMS和它的各種網(wǎng)絡訪問設備可以保護過程控制網(wǎng)絡免遭那些已知存在的和預測到存在的攻擊��。在一個實施例中��,保護過程控制系統(tǒng)中網(wǎng)絡業(yè)務的方法可以包括�����,實例化具有可編程界面的與特定過程控制系統(tǒng)設備通信的對象�����。該對象能夠訪問包括一個或多個規(guī)則的規(guī)則集��,這些規(guī)則定義了接受或拒絕在設備處所接收的網(wǎng)絡業(yè)務的條件��。該網(wǎng)絡業(yè)務來自過程控制系統(tǒng)外部�,并且還試圖訪問過程控制系統(tǒng)、過程控制系統(tǒng)的網(wǎng)絡設備����、過程控制系統(tǒng)的現(xiàn)場設備中的一個或多個。隨后����,該對象確定將規(guī)則集中的哪個或哪些規(guī)則應用到設備,并通過將該一個或多個已確定的規(guī)則應用到設備來保護設備�。然后對象監(jiān)控在受保護的設備處所接收的網(wǎng)絡業(yè)務,當接收網(wǎng)絡業(yè)務時�����,確定在受保護的設備處所接收的網(wǎng)絡業(yè)務是否違反了應用到受保護設備上的一個或多個規(guī)則����。如果在受保護的設備處所接收的網(wǎng)絡業(yè)務違反了一個或多個規(guī)則,那么該對象拒絕該網(wǎng)絡業(yè)務的訪問��,并在過程控制系統(tǒng)的操作員界面中顯示警報�。替代地�,如果在受保護的設備處接收的網(wǎng)絡業(yè)務沒有違反一個或多個規(guī)則����,那么對象允許該網(wǎng)絡業(yè)務進行訪問。在另一個實施例中�����,保護過程控制系統(tǒng)中的網(wǎng)絡業(yè)務的網(wǎng)絡設備可以包括將網(wǎng)絡業(yè)務傳播進或傳播出網(wǎng)絡設備的第一網(wǎng)絡連接器�,以及將網(wǎng)絡業(yè)務傳播到過程控制系統(tǒng)的控制裝置的第二網(wǎng)絡連接器。網(wǎng)絡設備處的規(guī)則集可以包括一個或多個規(guī)則�����,其定義了接受或拒絕在網(wǎng)絡設備處所接收的網(wǎng)絡業(yè)務的條件�����,其中該網(wǎng)絡業(yè)務來自過程控制系統(tǒng)外部��,并試圖訪問過程控制系統(tǒng)�����。網(wǎng)絡設備還可以包括比較例程��,其確定傳播到網(wǎng)絡設備的網(wǎng)絡業(yè)務是否違反了規(guī)則集中的一個或多個規(guī)則����,以及保護例程,如果在第一網(wǎng)絡連接器處所接收的網(wǎng)絡業(yè)務違反了一個或多個規(guī)則�,那么該保護例程拒絕網(wǎng)絡業(yè)務訪問過程控制系統(tǒng)的控制裝置或另一個設備,并引發(fā)顯示于過程控制系統(tǒng)的操作員界面中的警報�����,而如果在網(wǎng)絡設備處接收的網(wǎng)絡業(yè)務沒有違反一個或多個規(guī)則�����,那么該保護例程將該網(wǎng)絡業(yè)務通過第二個網(wǎng)絡連接器傳播到控制裝置����。還是在進一步的實施例中,在過程控制系統(tǒng)中保護網(wǎng)絡業(yè)務的統(tǒng)一威脅管理系統(tǒng) (UTMS)可以包括被配置為接收與過程控制系統(tǒng)相關的網(wǎng)絡業(yè)務的多個網(wǎng)絡設備���,其中可以將至少一個網(wǎng)絡設備配置為從過程控制系統(tǒng)的外部源處接收規(guī)則集����。規(guī)則集可以包括一個或多個規(guī)則�����,其定義了接受或拒絕在網(wǎng)絡設備處所接收的網(wǎng)絡業(yè)務的條件。UTMS也可以包括圖形化過程控制環(huán)境�,其用于圖形化地表示過程控制系統(tǒng)的元件(包括多個網(wǎng)絡設備) 以及連接到多個網(wǎng)絡設備中的每一個的網(wǎng)絡業(yè)務連接的狀態(tài)??梢詫D形化過程控制環(huán)境配置為實例化多個網(wǎng)絡設備中的每一個的對象,每個對象包括與每個UTMS設備通信的可編程界面�,以便圖形化地表示多個網(wǎng)絡設備中的不同的網(wǎng)絡設備。此外�,可以在圖形化過程控制環(huán)境中顯示并配置多個網(wǎng)絡設備的參數(shù)。該參數(shù)可以包括與多個網(wǎng)絡設備中的每一個的連接的狀態(tài)���、規(guī)則集以及規(guī)則集的更新���。
圖IA示出了過程控制系統(tǒng)的示意性框圖,該系統(tǒng)包括在互聯(lián)網(wǎng)上分布的元件����,每個元件包括一個或多個操作員工作站及維修工作站,控制器�,現(xiàn)場設備,配置為實現(xiàn)此處所述的過程控制系統(tǒng)網(wǎng)絡安全功能(統(tǒng)一威脅管理系統(tǒng)��;UTMS)的網(wǎng)絡設備�����,常規(guī)的網(wǎng)絡設備���,以及發(fā)送并接收與過程控制系統(tǒng)相關的外部數(shù)據(jù)的支持設備�����;圖IB示出了過程控制系統(tǒng)的另一個示意性框圖��,該系統(tǒng)包括在互聯(lián)網(wǎng)上分布的元件��,每個元件包括一個或多個操作員工作站及維修工作站����,控制器����,現(xiàn)場設備,周邊網(wǎng)絡設備(防火墻)及配置為實現(xiàn)此處所述的過程控制系統(tǒng)網(wǎng)絡安全功能(統(tǒng)一成脅管理系統(tǒng)�;UTMS)的網(wǎng)絡訪問設備,正常的網(wǎng)絡設備�����,以及發(fā)送并接收與過程控制系統(tǒng)相關的外部數(shù)據(jù)的支持設備;圖2示出了一系列應用程序和其它實體的邏輯框圖���,包括配置了 UTMS的過程對象和過程模塊���,其存儲于圖Ia和Ib的操作員工作站中,可用于實現(xiàn)UTMS方法和技術�����;圖3示出了更新UTMS規(guī)則集的方法的邏輯框圖����;圖4示出了用于過程控制系統(tǒng)外部通信的配置了 UTMS的網(wǎng)絡設備的簡化框圖;圖5示出了用于跨系統(tǒng)通信連接的配置了 UTMS的網(wǎng)絡設備的簡化框圖����;圖6示出了用于系統(tǒng)內部通信連接的配置了 UTMS的網(wǎng)絡設備的簡化框圖;圖7示出了集成的配置了 UTMS的網(wǎng)絡設備以繞過防火墻或其它過程控制系統(tǒng)中的網(wǎng)絡設備的簡化框圖�;圖8示出了用于執(zhí)行旁通功能的配置了 UTMS的網(wǎng)絡設備的邏輯框圖;圖9示出了過程控制系統(tǒng)的邏輯框圖�����,其包括通過I/O設備連接到控制裝置或現(xiàn)場設備的配置了 UTMS的網(wǎng)絡設備;圖10示出了用于在網(wǎng)絡中執(zhí)行旁通功能的配置了 UTMS的網(wǎng)絡設備的邏輯框圖��, 該網(wǎng)絡包括光連接器或其它動力的連接器��;圖11示出了過程控制系統(tǒng)中一部分的邏輯框圖����,其包括具有UTMS能力的I/O設備�;圖12示出了過程控制系統(tǒng)的邏輯框圖,其包括連接到控制裝置或現(xiàn)場設備的具有UTMS能力的I/O設備���;圖13示出了規(guī)則集用戶界面�,其用于配置用于管理過程控制系統(tǒng)的網(wǎng)絡業(yè)務的規(guī)則�;圖14示出了配置向導用戶界面,其用于向過程控制系統(tǒng)的用戶呈現(xiàn)問題以配置過程控制系統(tǒng)的網(wǎng)絡業(yè)務���;圖15示出了系統(tǒng)安全用戶界面�,其用于向過程控制系統(tǒng)顯示UTMS安全信息���;圖16示出了通信用戶界面��,其在通信上與配置了 UTMS的設備連接以管理特定類型的網(wǎng)絡業(yè)務��;圖17示出了 UTMS設備控制中心用戶界面����,其在通信上與每個配置了 UTMS的設備相連接;圖18示出了包括投入使用/停用窗口的UTMS設備控制中心用戶界面�;圖19示出了包括維修輔助窗口的UTMS設備控制中心用戶界面;圖20示出了包括動作窗口的UTMS設備控制用戶界面����;圖21示出了指出違反規(guī)則集或網(wǎng)絡安全的UTMS設備控制中心用戶界面;圖22示出了 UTMS設備控制中心用戶界面�,其包括為所選的配置了 UTMS的設備的端口統(tǒng)計窗口 ;以及圖23示出了包括警報的UTMS設備控制中心用戶界面�����。
具體實施例方式圖Ia是過程控制系統(tǒng)100的圖示�����,其包括一個或多個過程工廠中的一個或多個過程控制子系統(tǒng)10 �����,105b�����,在該一個或多個過程工廠中,通過互聯(lián)網(wǎng)或其它外部資源的如每個子系統(tǒng)之間的外部通信由“統(tǒng)一威脅管理系統(tǒng)(UTMS) ”來保護�����,該UTMS包括如此處所述的一個或多個配置了 UTMS的網(wǎng)絡設備(例如防火墻)146a��,146b���,網(wǎng)絡設備152,現(xiàn)場設備134����,智能設備,模塊���,控制器�����,元件等等����。圖Ib是過程控制系統(tǒng)100的另一個實施例的圖示,其包括一個或多個由UTMS保護的過程控制子系統(tǒng)10 �����,105b�����,除了下述的設備134�����, 146����,152之外,還包括位于防火墻146下游的網(wǎng)絡訪問設備149����。圖Ib中的網(wǎng)絡訪問設備 149可以增補設備146的周邊UTMS功能,或者可以執(zhí)行特定的UTMS功能�,例如下述的旁通功能。每個防火墻146或設備134��,149��,152可以包括規(guī)則集,例如���,規(guī)則集147a���,148a, 147b, 148b��,151a, 151b���,153��,其定義了可由配置了 UTMS的設備接收或處理的通信�。當配置了 UTMS 的設備是周邊設備(即在過程控制網(wǎng)絡150a或150b的外面)時����,規(guī)則集147和151可以包括用于訪問子系統(tǒng)105a���,105b中的任意設備的一組全局規(guī)則���。當配置了 UTMS的設備是內部設備134,152(也就是在過程控制網(wǎng)絡150a或150b的內部)時�����,規(guī)則集148,153可以包括全局規(guī)則的子集���,其僅僅定義了對特定內部設備的訪問�。規(guī)則集147���,148����,151���,153可以是基于策略的或是基于簽名的���,或者是任意其它類型的規(guī)則集,其為配置了 UTMS的防火墻146a��,146b�����,配置了 UTMS的網(wǎng)絡訪問設備149a��,149b及配置了 UTMS的現(xiàn)場設備134(如下所述)提供了配置向導,以保護系統(tǒng)免遭內部網(wǎng)絡或外部網(wǎng)絡的威脅�����。圖Ib是表示子系統(tǒng)10 和10 之間的跨系統(tǒng)連接的替代實施例���,該子系統(tǒng)包括配置了 UTMS的網(wǎng)絡訪問設備149c���,其可以包括或不包括諸如此處所述的規(guī)則集151c的規(guī)則集,并可以控制如下所述的不同類型的過程控制網(wǎng)絡連接���。通常�,UTMS可以是網(wǎng)絡入侵檢測系統(tǒng)(NIDS)���,主機入侵檢測系統(tǒng)(HIDS)��,這些類型系統(tǒng)的組合,或其它已知的或未來的網(wǎng)絡安全模式�。例如,配置了 NIDS��,UTMS的防火墻 146a�����,146b和/或配置了 UTMS的網(wǎng)絡訪問設備149a,149b�,149c或過程控制系統(tǒng)100中的其它配置了 UTMS的單元,在惡意的數(shù)據(jù)包能到達過程控制系統(tǒng)中它們計劃的目的地并造成故障之前����,可以使用一個或多個規(guī)則集來檢查并丟棄來自網(wǎng)絡的惡意數(shù)據(jù)包。另外�����,或者替代地����,配置了 UTMS的防火墻146a,146b和/或配置了 UTMS的網(wǎng)絡訪問設備149a�����,149b�����, 149c或過程控制系統(tǒng)100中其它配置了 UTMS的單元134���,152���,如下進一步所述�����,可以配置作為HIDS����,其監(jiān)控過程控制系統(tǒng)的狀態(tài)并檢測是否有任何內部通信或外部通信違反了過程控制系統(tǒng)的安全策略��。例如�����,包括HIDS元件�,規(guī)則集或配置的UTMS可以使用過程控制系統(tǒng)的當前狀態(tài)(也就是,設備��、模塊���、或存儲于RAM、文件系統(tǒng)����、日志文件或別處的元件信息)��, 并將當前狀態(tài)與一個或多個規(guī)則集147��,148���,151,153中描述的期望狀態(tài)相比較�,以確保系統(tǒng)正常地或如期望的那樣運轉。每個配置了 UTMS的防火墻146a����,146b,網(wǎng)絡訪問設備149a���, 149b���,149c,及配置了 UTMS的現(xiàn)場設備134都可以包括一個或多個規(guī)則集���,或定義了系統(tǒng) 100的安全策略的其它文件����。如下進一步所述,周邊設備也可以為每個內部配置了 UTMS的設備或各種設備群在算法上導出單個規(guī)則集����,并將該規(guī)則集的子集發(fā)送給內部設備,或者允許內部設備訪問該子集����。UTMS的每個元件被集成到過程控制系統(tǒng)的控制環(huán)境中,如下進一步的解釋�����,以增強網(wǎng)絡安全性��,并便于網(wǎng)絡管理和維護���。過程控制系統(tǒng)100可以包括一個或多個子系統(tǒng) 105a, 105b, 一個或多個過程控制網(wǎng)絡150a���,150b,以及通過過程控制網(wǎng)絡150上的一個或多個網(wǎng)絡設備146在通信上與一個或多個主機工作站或計算機120-122(其可以是任意類型的計算機,工作站等)�����,其至少一個具有顯示屏,相連接的一個或多個過程控制器110�����。雖然圖Ia的過程控制系統(tǒng)100僅僅示出了兩個過程控制子系統(tǒng)10 和10 �,其在作為廣域網(wǎng)的互聯(lián)網(wǎng)155上通信�����,圖Ib的過程控制系統(tǒng)100僅僅示出了在局域網(wǎng)上通信的兩個過程控制子系統(tǒng)10 和10 �����,但是過程控制系統(tǒng)100可以包括任意數(shù)量的子系統(tǒng)和設備����,模塊, 以及元件��,它們通過任意類型的連接��,包括互聯(lián)網(wǎng)�,局域網(wǎng),無線���,雙絞線�����,光纖等����,僅提到這幾個,彼此通信地互相連接��??刂破?10可以包括一個或多個網(wǎng)絡接口卡,也通過輸入/輸出(I/O)卡140連接到現(xiàn)場設備130����。數(shù)據(jù)歷史記錄145可以是任意所需類型的數(shù)據(jù)采集單元,其具有任意所需類型的存儲器和用于存儲數(shù)據(jù)的任意所需的或已知的軟件����,硬件或固件,其可以與工作站120-122中的一個分開或作為其中一部分�。以實例說明之,控制器110可以是艾默生過程管理公司銷售的DeltaV 控制器���,其經(jīng)由如以太網(wǎng)連接或任意其它所需的通信網(wǎng)絡150a�, 150b通過一個或多個網(wǎng)絡設備146與主機120-122通信地連接。網(wǎng)絡設備146包括以下設備元件中的一個或多個網(wǎng)絡接口卡��,網(wǎng)絡交換機��,路由器���,防火墻,配置了 UTMS的防火墻�����, 網(wǎng)絡訪問設備���,配置了 UTMS的設備�,或者便于在網(wǎng)絡150a�,150b上傳輸數(shù)據(jù)而無需改變網(wǎng)絡(如網(wǎng)絡150a,150b)的任意部分上的通信的基礎數(shù)據(jù)的任意其它元件��。通信網(wǎng)絡150a����, 150b可以是局域網(wǎng)(LAN),廣域網(wǎng)(WAN)����,電信網(wǎng)等等��,可以使用硬連線或無線技術實現(xiàn)��,其任意部分可以使用互聯(lián)網(wǎng)連接實現(xiàn)�����。通過使用任意所需的硬件以及相關的軟件�,比如��,標準420mA設備�,標準協(xié)議,例如以太網(wǎng)�����,ARP, IP, I CMP, UDP等�����,和/或任意智能通信協(xié)議��,例如FOUNDATION現(xiàn)場總線協(xié)議(Fieldbus)���,HART協(xié)議等��,控制器110通信地連接到現(xiàn)場設備 130����,133,134?���,F(xiàn)場設備130,133����,134可以是任意類型的硬件元件�����,例如���,傳感器���,閥門,發(fā)射機��, 定位器等等,而I/O卡140可以是符合任意所需通信或控制器協(xié)議的任意類型的I/O設備�。 在圖1所示的實施例中,現(xiàn)場設備130是HART設備�,其在標準模擬420mA線131上與HART調制解調器140通信,而現(xiàn)場設備133是智能設備�,例如現(xiàn)場總線現(xiàn)場設備,其使用現(xiàn)場總線協(xié)議通信在數(shù)字總線135或I/O網(wǎng)絡155上與I/O卡140通信��,現(xiàn)場設備134可以是HART����, 現(xiàn)場總線,或配置了 UTMS的其它現(xiàn)場設備���,這樣��,除了執(zhí)行上述指定的處理功能之外�����,設備 134被配置為丟棄任意符合設備本身(例如����,特定的傳感器,閥門�,發(fā)射機,定位器等等����,已知其具有特定的網(wǎng)絡通信弱點)的已知弱點的數(shù)據(jù)包,其包含已知的危險有效載荷�,其來自已知的危險地點,并符合已知的惡意網(wǎng)絡行為模式�����。當然�����,現(xiàn)場設備130�����,133�����,134可以符合任意其它所需的標準或協(xié)議�����,包括將來開發(fā)的任意標準或協(xié)議�。網(wǎng)絡150和設備也可以是標準以太網(wǎng)通信及支持任意通信協(xié)議(例如,TCP/IP�����,ModbusIP等)的網(wǎng)絡設備�。連接到控制器110的現(xiàn)場設備130,133�,134可以存儲并執(zhí)行模塊,或子模塊�����,例如與控制器110 中實現(xiàn)的控制策略相關聯(lián)的功能塊�。如圖la,Ib和3中所示���,功能塊132被置于兩個不同的現(xiàn)場總線現(xiàn)場設備130�����,134的一個中�,可以和執(zhí)行控制器110中的控制模塊136 —起執(zhí)行,以實現(xiàn)過程控制���,如所知的一樣���。如前所述,現(xiàn)場設備130����,133,134可以是任意類型的設備���,例如傳感器��,閥門��,發(fā)射機��,定位器等等���,I/O設備140可以是符合任意所需通信或控制器協(xié)議例如HART�����,現(xiàn)場總線,Profibus等的任意類型的I/O設備���。此外���,通過專用網(wǎng)絡設備143(例如配置了 UTMS的網(wǎng)絡設備,網(wǎng)關��,路由器�����,防火墻等等)�,現(xiàn)場設備142可以連接到數(shù)字總線135。例如��,現(xiàn)場設備142可以僅僅了解HART命令��,I/O網(wǎng)絡135可以實現(xiàn)I3ROFIBUS協(xié)議��。為此���,網(wǎng)關143可以提供雙向的PR0FIBUS/HART 轉換及此處所述的配置了 UTMS的能力��。替代地���,或額外地��,網(wǎng)絡設備也可以位于或接近網(wǎng)關143處�����。網(wǎng)關143和設備142中的任意一個或兩個都可以配置UTMS����?��?刂破?10�����,可以是其中具有一個或多個處理器的工廠中的許多分布式控制器中的一個���,其實現(xiàn)或監(jiān)督一個或多個過程控制例程或模塊136。該例程可以包括一個或多個存儲于控制器中或與控制器相關聯(lián)的控制循環(huán)�����?�?刂破?10還可通過網(wǎng)絡150和其他網(wǎng)絡設備與現(xiàn)場設備130�,133,134����,142,主機120-122���,防火墻146a��,146b及數(shù)據(jù)歷史記錄145通信�����,以便以任意所需方式控制過程�����。值得注意的是��,如果需要��,任何控制模塊或例程136或此處所述的元件具有由不同的控制器或其它設備實現(xiàn)或執(zhí)行的其的部分���。同樣��,控制例程136���,配置了 UTMS的網(wǎng)絡設備的管理,現(xiàn)場設備�����,以及此處所述的在過程控制系統(tǒng)100中實現(xiàn)的其它元件�����,可以采用任何形式��,包括軟件��,固件�,硬件等等。出于討論的目的��,過程控制元件是過程控制系統(tǒng)的任意部件或部分���,包括����,例如,例程����,存儲于任意計算機可讀介質上的塊或模塊����。控制例程可以是模塊或控制程序的任意部分����,例如子例程,部分子例程(例如代碼行)等等�����,UTMS管理例程可以以任意所需的軟件格式實現(xiàn)����,例如使用梯形邏輯,時序函數(shù)圖�,功能塊圖,面向對象編程或任意其它軟件編程語言或設計模式��。同樣����,控制例程和UTMS管理例程可以硬編碼進例如���,一個或多個EPROM,EEPR0M�,專用集成電路(ASICs)或任意其它硬件或固件元件中。此外�,可以使用任何設計工具,包括圖形化設計工具或任意其它類型的軟件/硬件/固件編程或設計工具����,來設計控制例程和UTMS 管理例程。因此���,控制器110可以配置為以任意所需的方式實現(xiàn)控制策略或控制例程�����,并可以如此處所述的集成UTMS管理例程�����。由于可配置為執(zhí)行許多網(wǎng)絡安全功能而無需系統(tǒng)操作員或其他人員的干預�,UTMS 中的防火墻146和任何配置了 UTMS的網(wǎng)絡訪問設備149,及現(xiàn)場設備134也可以被描述為 “智能”UTMS設備����。配置了 UTMS的網(wǎng)絡訪問設備也可以作為過程變量與過程控制系統(tǒng)100 連接,此變量能夠從操作員工作站的圖形顯示器上對其進行完全監(jiān)控和配置�����,而無需IT人員干預����,如下所述�。配置了 UTMS的防火墻146,網(wǎng)絡訪問設備149���,UTMS現(xiàn)場設備134�,網(wǎng)絡設備152及相關聯(lián)的規(guī)則集147����,148,151��,153被配置為保護過程控制系統(tǒng)100免遭內部及外部網(wǎng)絡威脅���,例如病毒���,蠕蟲或任意其它攻擊��,這些攻擊會在一個或多個網(wǎng)絡設備���,現(xiàn)場設備,或過程控制系統(tǒng)的其它部分中引起故障�。可以在控制系統(tǒng)100的分層體系中的不同層次部署UTMS設備�,以在連接到其它系統(tǒng)時保護系統(tǒng),及用于連接到不同的系統(tǒng)���。每個工作站120�,122包括一組操作員界面應用程序和其它數(shù)據(jù)結構123����,其能夠由任意已授權的用戶(此處有時稱為配置工程師,有時稱為操作員����,雖然其他類型的用戶可以存在,如下所述與為用戶類型定制的顯示層有關)訪問以查看并提供關于過程控制系統(tǒng)100中互連的設備���、單元等的功能�����。這組操作員界面應用程序123存儲于工作站120�,122 的存儲器124中,這組應用程序123中的每個應用程序或實體適于在與工作站120����,122相關聯(lián)的處理器125上執(zhí)行。雖然圖示的整組應用程序123都存儲于工作站120�,122中,但是這些應用程序或一些其它實體能夠在系統(tǒng)100或與系統(tǒng)100相關聯(lián)的其它工作站或計算機設備中存儲或執(zhí)行�����。此外�,這組應用程序能夠在與工作站120相關聯(lián)的顯示屏1 或任意其它所需的顯示屏或包括手持設備����,便攜式電腦,其它工作站��,打印機等的顯示設備上顯示輸出���。同樣地�,這組應用程序123中的應用程序可以分裂開來并在兩個或多個計算機或機器上執(zhí)行��,并可以配置為一起運行。一般而言�����,這組應用程序123提供或使得對幾個不同類型的實體創(chuàng)建并使用圖形化顯示����,可以將這種操作集成在一起以提供過程控制系統(tǒng)100中增強的控制,模擬���,網(wǎng)絡安全及顯示功能����。這組應用程序123可以用于創(chuàng)建及實現(xiàn)過程圖形化顯示127(其通常提供與過程工廠的一部分有關的操作員顯示)����,過程模塊1 (其通常提供過程工廠的一部分的模擬)及過程控制模塊,例如控制例程136���,其通常提供或執(zhí)行過程的在線控制��。過程控制模塊1 通常是本領域熟知的���,可以包括任意類型的控制模塊����,例如功能塊控制模塊等等�。 過程圖形化顯示元件127,以下將詳細描述���,通常是在操作員���,工程師或其它顯示器中顯示的元件,向如操作員之類的用戶提供關于過程工廠及其中元件的運行�,配置,網(wǎng)絡安全�����,組織結構等信息����。過程模塊1 通常緊密地與過程圖形化顯示元件127相聯(lián)系���,并可以用于執(zhí)行對過程工廠運行情況的模擬��、或對以過程圖形化顯示129中所描述的方式連接到過程工廠的不同元件中的一些元件的模擬�。雖然過程圖形化顯示1 和過程模塊1 能在任意其它與過程控制系統(tǒng)100相關聯(lián)的計算機包括便攜式電腦,手持設備等中下載及執(zhí)行��,但如圖所示�����,過程圖形化顯示1 和過程模塊1 是存儲在工作站120和122中并由其執(zhí)行的�。圖2示出了工作站120,122(圖1)的應用程序組123中的一些應用程序和數(shù)據(jù)結構或其它實體�����。特別的�����,應用程序組123包括控制模塊��,過程模塊�����,及圖形化顯示配置應用程序200,它們由配置工程師使用以創(chuàng)建控制模塊�,過程模塊(也稱為處理流程模塊)及相關的圖像化顯示。例如�,配置工程師可以為配置了 UTMS的防火墻146,網(wǎng)絡訪問設備149��, 網(wǎng)絡設備152或現(xiàn)場設備134創(chuàng)建控制模塊以便集成到圖形化顯示中���。雖然控制模塊配置應用程序200可以是任何標準的或已知的控制模塊配置應用程序�,但使用一個或多個智能過程對象(其本質在美國專利申請10/574����,擬4中描述),過程模塊和圖形化顯示配置應用程序可以創(chuàng)建過程模塊和圖形化顯示��。此外����,雖然過程模塊和過程圖形化配置應用程序200 分開顯示,但一個配置應用程序能夠創(chuàng)建這兩種類型的元件�����。過程對象204的庫202包括示例或模板過程對象204���,其可由配置應用程序200訪問����,拷貝及使用以創(chuàng)建過程模塊128(圖la)和圖形化顯示129�����??梢岳斫猓渲脩贸绦?200可以用于創(chuàng)建一個或多個過程模塊128���,每個過程模塊由一個或多個過程對象204組成或創(chuàng)建����,并可以包括一個或多個處理流程或模擬算法206�,其存儲于過程模塊存儲器208 中。此外�����,配置應用程序200可以用于創(chuàng)建一個或多個圖形化顯示129�����,其中的每一個由一個或多個過程對象204組成或創(chuàng)建,并可以包括任意數(shù)量的連接在一起的顯示元件����。一個圖形化顯示129b在圖2中以展開形式示出,包括對一系列處理元件�,例如閥門,油箱��,傳感器�,配置了 UTMS的設備,流量傳送儀的描述��,這些元件通過連接元件進行互連���,該元件可以是管道���,導電管,電力電纜���,傳送帶等��。根據(jù)圖形化顯示1 的定義�����,執(zhí)行引擎210在運行期間操作或實現(xiàn)圖形化顯示129 和過程模塊128中的每一個��,以便為操作員創(chuàng)建一個或多個過程顯示����,并實現(xiàn)與過程模塊 128相關聯(lián)的模擬功能���。執(zhí)行引擎210可以使用規(guī)則數(shù)據(jù)庫212���,其定義了作為整體在過程模塊1 上實現(xiàn)的邏輯和那些模塊中特定的過程對象。執(zhí)行引擎210也可以使用連接矩陣 214以實現(xiàn)過程模塊1 的功能�,該矩陣定義了系統(tǒng)100與過程模塊1 中的處理元件之間的連接。圖2以更詳細的方式示出了一個過程對象��,例如����,配置了 UTMS的過程對象2(Me。雖然配置了 UTMS的過程對象2(Me可以是面向對象編程環(huán)境中的對象并因此包括數(shù)據(jù)存儲���, 輸入和輸出及與之關聯(lián)的方法�����,但是這個過程對象可以由任意其它所需的編程范式或協(xié)議來創(chuàng)建并在其中實現(xiàn)���?����?梢岳斫?�,配置了 UTMS的過程對象2(Me��,在實例化之前�����,是與圖1的過程控制系統(tǒng)100中的配置了 UTMS的設備134�,146�,149,152相關聯(lián)的對象���。但是����,在拷貝和實例化之后,配置了 UTMS的過程對象2(Me可以與過程控制系統(tǒng)中特定的配置了 UTMS的設備聯(lián)系起來����。配置了 UTMS的過程對象2(Me可以通過到特定設備的可編程界面與特定的配置了 UTMS的設備聯(lián)系起來。雖然圖形化顯示中的設備的圖形化表示在該用戶的工作站上顯示�,但用戶可以訪問該可編程界面���。一旦訪問����,用戶可以顯示及配置設備的各種特性�����。 此外���,該可編程界面可以將關于配置了 UTMS的設備的各種參數(shù)傳輸給用戶的圖形化顯示����。在任何情況下�,配置了 UTMS的過程對象2(Me包括數(shù)據(jù)存儲220,其用于存儲接收來自配置了 UTMS的實體的數(shù)據(jù)或與該實體有關的數(shù)據(jù)����,該實體與配置了 UTMS的過程對象2(Me相關聯(lián)���。數(shù)據(jù)存儲220通常包括數(shù)據(jù)存儲220a,其存儲與配置了 UTMS的過程對象 204e有關的配置了 UTMS的實體的一般性或永久性信息���,如制造商�,修訂版本���,名稱���,類型等等。數(shù)據(jù)存儲220b可以存儲變量或變化著的數(shù)據(jù)��,例如狀況數(shù)據(jù)����,參數(shù)數(shù)據(jù),狀態(tài)數(shù)據(jù)�����,輸入和輸出數(shù)據(jù)�,規(guī)則集數(shù)據(jù)�����,開銷數(shù)據(jù)或與配置了 UTMS的過程對象2(Me有關的配置了 UTMS 的實體的其他數(shù)據(jù)�,包括與該實體關聯(lián)的數(shù)據(jù)���,如同在過程控制系統(tǒng)100中過去已經(jīng)存在或現(xiàn)在存在���。配置了 UTMS的設備或實體可以接收規(guī)則集數(shù)據(jù)�,通過連接到該設備或第三方資源(例如,如下與圖3有關的所述的網(wǎng)絡安全風險管理廠商)的任意所需的通信�、通過網(wǎng)絡150或互聯(lián)網(wǎng)連接、通過另一個配置了 UTMS的設備�����,其將規(guī)則集數(shù)據(jù)分配給過程控制系統(tǒng)100中的其它配置了 UTMS的過程對象����,或以任意其它所需的方式,可以將配置了 UTMS的過程對象2(Me配置為或編程為訪問規(guī)則集數(shù)據(jù)147��,148�����,151,153 (圖la)和在周期或非周期的基礎上其它更新的數(shù)據(jù)���。數(shù)據(jù)存儲220c可以存儲與配置了 UTMS的過程對象20 有關的配置了 UTMS的實體134����,146��,149�,152的圖形化表示,其用于通過操作員界面���,例如與圖Ia的工作站120相關聯(lián)的顯示器126���,向操作員進行實時顯示。該圖形化表示可以包括關于實體134�,146,149�����,152信息的位置標記符(由在數(shù)據(jù)存儲220c中的下劃線標記)��,這些信息例如是由參數(shù)或關于存儲于數(shù)據(jù)存儲220b中的實體134,146���,149����,152的其它變量數(shù)據(jù)來定義的��。當圖形化表示作為一個圖形化顯示129的一部分在顯示設備1 上顯示給操作員的時候�����,這種參數(shù)數(shù)據(jù)可以在圖形化的位置標記符中顯示����。如圖形化表示所描述的那樣���,圖形化表示(及配置了 UTMS的過程對象204e)也可以包括預先定義的連接點(由數(shù)據(jù)存儲220c中的“X”來標記)��,其使得操作員或配置工程師能將上游元件或下游元件添加到處理元件中����。當然��,這些連接點也使得配置了 UTMS的過程對象220e意識到過程控制系統(tǒng)元件如過程模塊中配置的一樣連接到配置了 UTMS的對象,并可以指定必須使用的連接元件的類型����,例如管道,導管���,與那個元件關聯(lián)的流����,數(shù)據(jù)連接等等����。配置了 UTMS的過程對象2(Me也可以包括一個或多個輸入222和輸出224,以使得其能在使用配置了 UTMS的過程對象2(Me的過程模塊的內部或外部與其它配置了 UTMS的過程對象或沒有配置UTMS的過程對象進行通信���。輸入222和輸出2M到其它過程對象的連接可以由配置工程師在過程模塊配置中簡單地將其它過程對象(配置UTMS或者相反) 連接到這些輸入及輸出或指定發(fā)生于過程對象之間的特定通信來進行配置����。一些這種輸入和輸出可以被定義為連接到過程對象�,其與配置了 UTMS的過程對象的預先定義的連接點連接,如上所述���。這些輸入222和輸出2 也可以通過規(guī)則數(shù)據(jù)庫212中的一組配置規(guī)則 (不同于規(guī)則集147�,148,151�,153,其定義了網(wǎng)絡通信可以進行或不可以進行的條件)和定義了連接矩陣214����,其定義了過程控制系統(tǒng)100中的不同設備或實體之間的連接。輸入222 和輸出224���,包括數(shù)據(jù)存儲或與之關聯(lián)的緩沖器�����,一般而言�����,用于提供從其它過程對象到配置了 UTMS的過程對象2(Me的數(shù)據(jù)通信����,或者提供配置了 UTMS的過程對象2(Me中存儲或生成的數(shù)據(jù)到其它過程對象的通信�。這些輸入和輸出也可以用于提供過程對象2(Me與過程控制系統(tǒng)100中的其它對象之間的通信��,例如控制器110中的控制模塊����,現(xiàn)場設備130����, 133���,134 等等��。如圖2所示�����,過程對象2(Me還包括方法存儲器226���,其用于存儲零值,一個或多個方法228 (在圖2中表示為方法2^a��,228b以及�����,該方法可以包括由配置了 UTMS的過程對象2(Me在執(zhí)行過程模塊期間實現(xiàn)的算法或模塊�,在該過程模塊中使用配置了 UTMS的過程對象2(Me (例如,安全模塊,旁通模塊等�����,即執(zhí)行此處所述的各種UTMS和旁通功能)�����。 通常�,存儲于方法存儲器226中的方法2 使用數(shù)據(jù)存儲部分220a和220b中的數(shù)據(jù),從其它配置了 UTMS的過程對象��,其它過程對象處獲得的數(shù)據(jù)�,或者通過輸入222和輸出2M的來自其它資源的數(shù)據(jù),例如配置數(shù)據(jù)庫��,歷史記錄145(圖Ia和lb)和規(guī)則集147�,148,151�, 153,以實現(xiàn)網(wǎng)絡安全的規(guī)則���,確定關于網(wǎng)絡150��、網(wǎng)絡安全狀態(tài)的信息,以及確定過程控制系統(tǒng)100或該系統(tǒng)中實體的配置。例如��,與規(guī)則集147��,148���,151��,153中的一個或多個進行比較�,方法2 可以確定與實體關聯(lián)的網(wǎng)絡連接的數(shù)量和類型�����,該實體由配置了 UTMS的過程對象2(Me定義�;可以確定與其或過程控制系統(tǒng)100中其它網(wǎng)絡設備關聯(lián)的錯誤的數(shù)量和類型;可以確定該系統(tǒng)100中潛在的或實時的網(wǎng)絡安全故障的數(shù)量和類型等等�����。在配置過程控制系統(tǒng)期間��,方法2 可以被預先配置或修改���,通常每當運行期間在執(zhí)行引擎210中執(zhí)行配置了 UTMS的過程對象2(Me時�����,執(zhí)行該方法���?��?稍谂渲昧?UTMS的過程對象2(Me中提供一些實例方法2 包括但不限于1)在規(guī)則集147,148���,151�,153中的一個或多個期滿之前或之時(及在會觸發(fā)警報的截止時間之前配置時間)發(fā)出警報���;2)當在對應的配置了 UTMS的設備處接收的網(wǎng)絡業(yè)務或由該設備發(fā)送的網(wǎng)絡業(yè)務違反了規(guī)則集147�,148��,151���,153的規(guī)則時�����,發(fā)出警報����;3)追蹤關于網(wǎng)絡業(yè)務的重要統(tǒng)計資料,包括內容��,源�����,目的地�����,超時信息等等�;4)發(fā)出任意警報���,該警報指示了規(guī)則集的違反或其他通常與網(wǎng)絡業(yè)務和特定的配置了 UTMS的過程對象2(Me相關的異常條件��;5)確定一個或多個配置了 UTMS的網(wǎng)絡設備146�����,149的狀態(tài)���,包括連接到網(wǎng)絡150的內部和外部數(shù)據(jù)連接的數(shù)量和類型���;6)通常監(jiān)控并檢測工廠本身的外部連接,工廠內的連接�����;及到過程控制系統(tǒng)的任意連接(例如Delta-V 系統(tǒng))���;7)為所選子系統(tǒng)�����,特定設備���,或過程控制系統(tǒng)100中的區(qū)域確定或選擇安全配置文件(如下所述)。由于通常涉及到過程控制系統(tǒng)100�,這些方法可以允許操作員訪問詳細的網(wǎng)絡和威脅統(tǒng)計以及關于網(wǎng)絡150的 fn息ο方法2 也可以增補與配置了 UTMS的過程對象2(Me相關聯(lián)的配置了 UTMS的網(wǎng)絡設備134,146�����,149�����,152的運行情況模擬,包括經(jīng)過任意過程控制系統(tǒng)100的過程實體的網(wǎng)絡業(yè)務流����。因此,可以提供方法228以計算網(wǎng)絡相關的統(tǒng)計�,該統(tǒng)計是關于質量平衡,能量平衡��,流量�,溫度����,成分,蒸汽狀態(tài)的�,以及與過程控制系統(tǒng)100中的材料相關聯(lián)的其它系統(tǒng)級或流級參數(shù),以便模擬元件的網(wǎng)絡業(yè)務以此來基于所提供的輸入等計算期望的網(wǎng)絡業(yè)務輸出����。當然,有幾個方法可以存儲于配置了 UTMS的過程對象2(Me中并由其運行��,還有許多方法可以使用��,這種方法通常由配置了 UTMS的網(wǎng)絡設備134����,146�����,149�,152的類型確定或由所表示的過程控制實體確定���,設備或實體以此方式在工廠及其它代理商中連接及使用�。注意以下問題非常重要���,配置了 UTMS的過程對象可以存儲并執(zhí)行檢測系統(tǒng)級網(wǎng)絡條件����、錯誤等的方法�����,這些方法也可以用于確定關于設備����、邏輯元件(例如,過程控制模塊及循環(huán))及其它非系統(tǒng)級實體的其他信息。如果需要��,方法2 可以以任意所需的編程語言如C�,C++, C#等進行編程或由其提供��,或者該方法可參考或定義規(guī)則數(shù)據(jù)庫212或規(guī)則集147�,148, 151��,153中的可用規(guī)則�,這些規(guī)則集在執(zhí)行期間為過程對象2(Me運行。如果需要���,每個配置了 UTMS的過程對象可以包括可應用的算法或方法庫,其可以用于定義在過程模塊中連接時配置了 UTMS的過程對象的行為�����。圖2中配置了 UTMS的過程對象2(Me的下拉式菜單230示出了這種庫��,類似的菜單可以與每個其它配置了 UTMS的過程對象相關聯(lián)���。當這個對象置于過程模塊208之中的時候�,配置工程師可以通過例如下拉菜單230選擇一個算法庫(稱為方法1,方法2等等)來定義配置了 UTMS的過程對象的行為�。以這種方式,取決于用于建模的過程的類型或本質����,配置工程師可以定義過程對象的不同行為(不管是在模擬期間還是在運行期間)。除了在被連接到過程模塊中時可以用于定義配置了 UTMS過程對象的模擬行為的算法或方法之外��,UTMS特定的功能也可以集成到下拉菜單230中��。例如����,下拉菜單230也可以允許用戶選擇一個或多個子系統(tǒng)(例如,子系統(tǒng)10 ���,105b)或系統(tǒng)100的不同部分�����, 以保護配置了 UTMS的過程對象2(Me所表示的特定的配置了 UTMS的設備���。此外,菜單230 可以允許用戶指定允許哪種類型的通信網(wǎng)絡訪問配置了 UTMS的設備(例如��,Modbus TCP, EtherNet IP,Prof iNet����,OPC等等)。下拉菜單或其它菜單或用戶替代擇的項目也可以允許用戶或操作員識別規(guī)則集版本�����,規(guī)則集147����,148,151�����,153的最后更新時間����,或直到下次更新��,設備狀態(tài)�����,關于系統(tǒng)100中其它配置了 UTMS的設備信息,網(wǎng)絡統(tǒng)計等等�。如果需要,配置工程師也可以提供專用的或其他用戶提供的算法以限定由過程塊定義的配置了 UTMS的網(wǎng)絡設備134�����,146���,149�,152的模擬行為���。當那個對象置于過程模塊 208中并在其中使用時�,這種由用戶定義的算法(在下拉菜單230中表示為“用戶定義的” 項目)可以提供給配置了 UTMS的過程對象2(Me并存儲于其中��。這種功能使得模擬行為由用戶定制����,從而在沿著處理過程中的特定過程或步驟的所選點期間,為潛在的網(wǎng)絡威脅和過程控制網(wǎng)絡150的安全提供了更好或更加精確的模擬���。如果需要(及如下更詳細所述)���, 配置了 UTMS的過程對象204或每個過程模塊208可以包括操作員可啟動的開關(例如電子開關或標志)���,其禁用配置了 UTMS的過程對象中的模擬算法,反而導致過程模塊的行為由高保真模擬包或程序來確定���,例如由HYSYS提供的一個程序���。在這種情況下,配置了 UTMS的過程對象20 或過程模塊從高保真模擬中獲取模擬的參數(shù)數(shù)據(jù)�,而不是使用配置了 UTMS 的過程對象本身中的模擬算法。在執(zhí)行引擎210執(zhí)行圖形化顯示1 或過程模塊208期間��,該引擎210實現(xiàn)由輸入222和輸出2 定義的至圖形化顯示1 或過程模塊208中的每個配置了 UTMS過程對象的通信����,并可以為那些對象中的每一個實現(xiàn)方法228,以執(zhí)行由方法2 提供的功能����。如上所述,方法2 的功能可以位于配置了 UTMS的過程對象中的編程中或由引擎210執(zhí)行的規(guī)則數(shù)據(jù)庫212中的一組規(guī)則定義��,或基于配置了 UTMS的過程對象2(Me的類型�����,組���,標識����, 標簽名稱等等在規(guī)則集147��,148���,151����,153的一個或多個規(guī)則上定義��,以實現(xiàn)由那些規(guī)則所定義的功能����。要注意的是,與配置了 UTMS的過程模塊相關聯(lián)的配置了 UTMS的過程對象2(Me的實例在配置了 UTMS的過程模塊的環(huán)境中具有標簽或唯一名稱���,該環(huán)境與配置了 UTMS的過程對象2(Me相關聯(lián)�。這個標簽或唯一名稱可以用于提供至過程對象2(Me或來自過程對象 204e的通信���,并可以由執(zhí)行引擎210在運行期間引用�����。過程模塊標簽應該在控制系統(tǒng)配置中是唯一的�。這種標記約定使得過程模塊208中的元件能由其它過程圖形化顯示129,過程模塊1 甚至控制模塊136中的元件引用����。進一步地,配置了 UTMS的過程對象2(Me的參數(shù)可以是簡單參數(shù)�,例如簡單值,結構參數(shù)或智能參數(shù)��,其知道所期望的單元和與之關聯(lián)的屬性��。智能參數(shù)能夠由過程規(guī)則引擎或執(zhí)行引擎210解釋并使用以確保所有信號在相同的單元中發(fā)送或者被正確轉換����。規(guī)則也能用于打開及關掉配置了 UTMS的智能過程對象(或過程模塊)的警報群組,以創(chuàng)建智能警報策略和/或操作員界面���。進一步地���,配置了 UTMS 的過程對象類能夠與工廠和過程控制系統(tǒng)100的過程控制策略中的裝置及模塊類相關聯(lián), 以便在配置了 UTMS的過程對象和需要解釋或訪問的過程變量之間提供已知的接合�����。配置了 UTMS的過程對象��,當其在過程控制圖形化顯示或過程模塊中使用時�����,也可以包括運行�����、狀態(tài)及警報行為模式��,以便這些配置了 UTMS的對象可以在運行期間被置于不同的模式中���,例如關閉�����、啟動及正常模式����,并可以基于其當前的運作狀態(tài)提供與該對象關聯(lián)的狀態(tài)。此外����,配置了 UTMS的過程對象可以訪問一個或多個規(guī)則集147,148����,151,153����,并將檢測到的當前網(wǎng)絡條件與規(guī)則集147,148��,151����,153中的一個或多個規(guī)則進行比較,以便基于檢測到的網(wǎng)絡條件(例如����,在配置了 UTMS的對象處不希望出現(xiàn)的網(wǎng)絡業(yè)務增長或不希望出現(xiàn)的網(wǎng)絡業(yè)務類型)提供警報,以便檢測與需要更新規(guī)則集147�,148,151,153的配置了 UTMS的對象通信的另一個元件的軟件更新���,以便完全保護系統(tǒng)100����,以便檢測網(wǎng)絡上的由已知故障所引起的攻擊及規(guī)則集147���,148,151�����,153的到期��,等等��。配置了 UTMS的過程對象還可以具有類/子類層次結構�,其使得它們可以在類庫中被分類,在復合結構中一起被采集等等�。進一步地,配置了 UTMS的過程對象可以利用來自其它元件的信息����,例如控制模塊和其它對象,以便使得配置了 UTMS的過程對象能夠意識到它的與之關聯(lián)的實體何時繁忙, 或者���,例如�����,何時被過程控制系統(tǒng)100中的批量控制過程所獲得��。配置了 UTMS的過程對象還可以與任意所需的過程實體相關聯(lián)�����,例如�����,如泵��、油箱����、 閥門等的物理設備�����,如過程區(qū)域、測量或傳動器���、控制策略等的邏輯實體��,以及如網(wǎng)絡接口卡���、網(wǎng)絡交換機、路由器���、防火墻、控制器�����、操作員工作站等的網(wǎng)絡設備���。在一些情況中���,配置了 UTMS的過程對象可以與網(wǎng)絡連接器相關聯(lián),例如通信有線及無線數(shù)據(jù)鏈接�,或任意其它設備或實體,其將網(wǎng)絡業(yè)務從一個點傳送到過程中的另一個點���。與連接器關聯(lián)并配置了 UTMS的過程對象�����,有時在此處被稱為配置了 UTMS的鏈接或連接器元件�����,也會被標記��。在配置了 UTMS過程對象的環(huán)境中����,配置了 UTMS的鏈接通常包括定義了過程控制系統(tǒng)100中通過各種網(wǎng)絡連接的網(wǎng)絡業(yè)務流的屬性或參數(shù)。這些參數(shù)可以指示通過鏈路的網(wǎng)絡業(yè)務流的類型和本質�����。配置了 UTMS的鏈路也可以包括使用模型或算法對通過鏈路的網(wǎng)絡業(yè)務流進行建模以評估業(yè)務的方法�����。配置了 UTMS的過程對象的已存儲參數(shù)也可以在這些方法中使用���。因此����,本質上,鏈路或連接器元件使得配置了 UTMS的過程對象能意識到上游和下游的對象或實體�����。在一個實施例中����,在執(zhí)行過程流模塊之前可以創(chuàng)建矩陣214,該矩陣可以定義工廠中不同設備之間的鏈路���,互相連接,以及��,由此得出的不同的配置了 UTMS 的和沒有配置UTMS的過程對象之間的互相連接��。實際上���,執(zhí)行引擎210可以使用矩陣214 查明上游和下游實體����,從而確定配置了 UTMS的過程對象和與該配置了 UTMS的過程對象相關聯(lián)的方法之間的通信�。進一步地�,可以提供一組或多組規(guī)則由配置了 UTMS的過程對象使用以便它們彼此相互作用�����,并如配置了 UTMS的過程對象中的方法所需要的那樣從彼此處獲取數(shù)據(jù)�,并消除與輸出連接相關聯(lián)的配置了 UTMS的和沒有配置UTMS的對象的影響。如果需要�����,配置了 UTMS的過程對象2(Me也可以包括到關鍵文本的熱鏈接�����,例如 URL�����,其對于對象類型而言是可用的�,或者對于與配置了 UTMS的過程對象2(Me相關的設備實例(取決于關鍵程度和應用)而言是明確的。文本可以是由廠家供應也可以是用戶特有的�。文本的一些實例包括配置,啟動和關閉程序�����,運行的和維修的文本。如果需要�����,操作員可以點擊操作員顯示器上顯示的對象�����,以便為對象或相關聯(lián)的設備提供明確的實例(如果有的話)和普通的文本���。另外��,操作員能夠添加/刪除/改變獨立于系統(tǒng)軟件的文本�����,例如維修請求�,運行問題記錄等等��。此外�,這些熱鏈接可以是用戶可配置的或可改變的���,以便提供向在操作員界面中的對象添加知識鏈接的能力���,并提供向客戶����,向特定對象類型��,或乃至向對象的特定實例添加具體工作指令的能力����。雖然以上所述的過程模塊和過程圖形是由不同的配置了 UTMS的過程對象的互相連接一起創(chuàng)建的,但它們也可以分別被創(chuàng)建�。例如,使用配置了 UTMS的過程對象可以創(chuàng)建過程圖形���,當完成時����,基于圖形顯示中的圖形元素和它們的互相連接可以生成那個圖形的過程模塊�����。替代地�����,首先使用配置了 UTMS的過程對象創(chuàng)建該過程模塊,一旦創(chuàng)建完成�,可以由配置應用程序38使用用于創(chuàng)建過程模塊的配置了 UTMS的過程對象中的圖形顯示元件自動生成那個過程模塊的圖形顯示。進一步地�,過程模塊和圖形顯示可以分開創(chuàng)建,通過彼此引用(例如�,使用圖形顯示和過程模塊中元件的標簽屬性),這兩個實體中的單個元件可以手動地連接到一起�。通過這種機制,配置了 UTMS的過程對象可以被多個顯示所引用���。在任何情況下���,一旦創(chuàng)建完成,過程圖形顯示和相關聯(lián)的過程模塊可以獨立地或分別地運行���,雖然通常它們如所希望的或需要的那樣來回傳輸參數(shù)和信息�����?���;趶娜缟纤龅南吕藛?30處或其它類似的選擇界面如下拉菜單232處指定的在較大的過程控制系統(tǒng)100中要連接的特定子系統(tǒng)�,可以對配置了 UTMS的設備和規(guī)則集147,148�,151,153進行配置�。這種簡易配置方法可以消除對在一個或多個規(guī)則集147, 148�����,151�,153的規(guī)則中提供詳細的數(shù)據(jù)包過濾器配置的需求。例如���,在包括一個或多個配置了 UTMS的設備的圖形顯示中����,通過從下拉菜單232處簡單的選擇子系統(tǒng)進行保護來完成對UTMS設備的配置�����,而不是通過為周邊防火墻定義端口和TCP或UDP協(xié)議來阻止/允許這一方式�。連同選擇允許哪種通信網(wǎng)絡(如上所述)的能力一起,用戶可以簡單地對每個配置了 UTMS的設備進行配置���,降低了誤配置和減少安全的風險�。此外,用戶可以使用配置了 UTMS的過程對象2(Me定義過程控制系統(tǒng)100所保護的區(qū)域�����。在一個實施例中���,用戶可以從圖形顯示中選擇一個或多個過程控制設備和實體以定義哪些區(qū)域或子系統(tǒng)由特定的配置了 UTMS的網(wǎng)絡設備146���,149,152進行保護和監(jiān)控����。可以從配置了 UTMS的過程對象2(Me處為配置了 UTMS的網(wǎng)絡設備146�,149,152配置額外的安全選項�����,對象2(Me包括對于所選子系統(tǒng)�、實體或過程控制系統(tǒng)的區(qū)域可用的監(jiān)控類型或保護,其規(guī)則對于用戶定義的區(qū)域���、可以觸發(fā)一個或多個警報的檢測條件等是可用的�����。當然�����,除了上述下拉菜單230�,232之外的其它類型的用戶界面可以幫助用戶對每個配置了 UTMS的過程控制對象進行配置���。下拉菜單230�,232或配置了 UTMS的對象的其它配置界面可以緊密地集成到受保護的系統(tǒng)100中�����, 或者通過安全網(wǎng)頁(或配置了 UTMS的對象2(Me中類似的可用本地頁面)使其是可用的����。訪問上述的一個或多個用戶界面以便對配置了 UTMS的設備進行配置、更新�����、接受規(guī)則更新等(或者通過關聯(lián)的配置了 UTMS的過程控制對象經(jīng)由該設備訪問受保護的系統(tǒng)),這種訪問可以通過內置的雙因素認證模塊來進行保護���,該模塊是設備的固有部分(也就是說����,認證方法作為計算機可執(zhí)行的指令存儲于配置了 UTMS的設備中的安全EEPROM或安全IC中��,作為方法2 中的一種�,等等)。替代地��,如上所述�����,雙因素認證方法可以是配置應用程序200���。認證方法也可以集成到用戶認證中����,該用戶認證對于操作員和其它用戶所訪問的系統(tǒng)100而言是本地的����。例如�,配置了 UTMS的設備和過程控制系統(tǒng)都可以使用普通的遠程用戶撥號認證系統(tǒng)(RADIUS)的認證服務器�����。在一些實施例中�,RADIUS服務器內置于配置了 UTMS的設備中����。在其它實施例中,認證方法可以包括令牌���,智能卡��,及其它已知的雙因素方法�����。一般而言�����,可以在配置應用程序中提供一組預先定義的圖形元件以使得用戶能夠構建大體上反映加工工廠和過程控制系統(tǒng)100并包括如上所述的配置了 UTMS的設備的可視化表示的過程圖形顯示�����。這些顯示具有圖形化顯示元件�����,其被設計用來動態(tài)地顯示在線測量和與控制系統(tǒng)相連接的傳動器���,作為結果����,通?����?梢猿尸F(xiàn)由操作員或參與在線操作的其他人員所監(jiān)控及使用的信息��。表示配置了 UTMS的元件的圖形化顯示元件可以動態(tài)地顯示在線網(wǎng)絡安全測量����。例如,每個圖形化顯示中的配置了 UTMS的元件可以動態(tài)地顯示配置了 UTMS的元件的當前狀態(tài)����,基于檢測到的網(wǎng)絡條件的警報(例如,在配置了 UTMS的對象處的不希望出現(xiàn)的網(wǎng)絡業(yè)務增長或不希望出現(xiàn)的網(wǎng)絡業(yè)務類型����,檢測到網(wǎng)絡上由已知的故障導致的攻擊�,等等)����,與配置了 UTMS的對象通信的控制系統(tǒng)100中的另一個元件或設備的更新檢測(例如,軟件�����,固件���,現(xiàn)有配置等等),等等�。對特定網(wǎng)絡條件的檢測也可以觸發(fā)規(guī)則集147,148����,151,153的自動更新���,或觸發(fā)警報�,該警報提示用戶執(zhí)行規(guī)則集的手動更新或其它措施以全面地保護系統(tǒng)100���。除了與控制系統(tǒng)100連接的在線測量和執(zhí)行機構及系統(tǒng)100的配置了 UTMS的元件的網(wǎng)絡參數(shù)之外��,反映過程操作的未測量的參數(shù)和反映網(wǎng)絡健康或安全的未測量參數(shù)可以使用配置了 UTMS的過程模塊中提供的在線過程模擬來計算�,并可以作為關聯(lián)的圖形顯示的主要部分來顯示。在這種方法和其它方法中�����,過程圖形顯示可以提供信息���,該信息通常由非操作員的工廠人員來監(jiān)控并使用��,例如�,工程人員����,管理或過程控制網(wǎng)絡專家����。此外�����,在可用于以工程或訓練模擬為目的的離線環(huán)境中,配置了 UTMS的過程模塊提供的過程模擬值可以使用和/或顯示�,代替由圖形元件和關聯(lián)的控制模塊以不同的方式提供的實時過程和網(wǎng)絡測量值。這些模擬值���,可由關聯(lián)的過程模塊或第三方模擬應用程序 (例如����,HYSYS)計算��,可以基于實時工廠設置(例如�����,執(zhí)行機構的位置或狀態(tài)���,網(wǎng)絡配置或狀態(tài),規(guī)則集等等)和用戶指定的干擾設置或值����,其可以通過過程圖形化顯示和它們各自的圖形化顯示元件來建立,并在其中描述��。為了這些目的����,可以生成定制成用于離線查看過程圖形化顯示的過程圖形化顯示的內容層���,并在例如訓練環(huán)境中是可用的。更一般地����,過程圖形化顯示可以在多種環(huán)境中由許多不同類型的人員使用,該環(huán)境涉及在線情形或控制情形�����,以及離線情形或模擬情形�。為了這個目的,每個過程圖形化顯示可以具有專用于這些不同環(huán)境�、情況、和人員的多個內容層�����。這些專用的內容層是用于對其定義的對象的集成部分����,就此而言,同樣的對象或對象們具有與之關聯(lián)的必要信息以生成所有不同的內容層��。作為結果,單個過程圖形化顯示的內容層提供了定制的視圖�,而無需配置工程師、IT網(wǎng)絡安全專家����、或其他設計人員為每個視圖創(chuàng)建單獨的顯示。一般而言���,圖形化顯示反映了過程控制系統(tǒng)和過程工廠����。每個顯示中的圖形化顯示元件被設計為動態(tài)地顯示與控制系統(tǒng)連接的在線測量和執(zhí)行機構����,作為結果,可以通常表示由操作員或其他參與在線操作的人員進行監(jiān)控和使用的信息����。此外,反映過程操作的未測量參數(shù)可以使用過程模塊中提供的在線過程模擬進行計算����,并可以作為關聯(lián)的圖形化顯示的主要部分進行顯示����。在這些方法和其它方法中����,過程圖形化顯示可以提供通常由工廠人員���,非操作員�,如工程人員或管理人員����,進行監(jiān)控并使用的信息。表示配置了 UTMS的網(wǎng)絡設備134���,146���,149,152的顯示中的圖形化元件向操作者和其他工廠人員提供網(wǎng)絡參數(shù)和安全數(shù)據(jù)(如上所述)��,以監(jiān)控和維護過程控制系統(tǒng)100的網(wǎng)絡安全�。如前所述,與配置了 UTMS的網(wǎng)絡設備146��,134�,149����,152相關聯(lián)的各種規(guī)則集(例如規(guī)則集147���,148����,151�����,153)需要更新以保持有效對抗網(wǎng)絡威脅����。參考圖3,第三方網(wǎng)絡安全風險管理公司305���,例如加拿大大不列顛省溫哥華的mirldtech Security, Inc.公司或其它機構�����,可以從多個不同的資源315處采集威脅數(shù)據(jù)310以構造各種規(guī)則集147�,148�����,151����,153,驗證該規(guī)則集�,鑒定并將該規(guī)則集分配到配置了 UTMS的防火墻146a,146b��,配置了 UTMS的網(wǎng)絡訪問設備149c����,其它配置了 UTMS的網(wǎng)絡設備146,和/或UTMS現(xiàn)場設備134 中��??梢允褂眠m于采用電子數(shù)據(jù)執(zhí)行這種措施的任意類型的信息技術方法執(zhí)行規(guī)則集的采集,構造�����,驗證��,和分配���。例如��,一些方法可以包括使用各種數(shù)據(jù)采集技術(例如�����,機器人�,爬行,數(shù)據(jù)傳送��,合作論壇等)從萬維網(wǎng)中采集威脅數(shù)據(jù)310����,構建數(shù)據(jù)文件將規(guī)則集以設備兼容的方式傳送到它們的目的地設備,執(zhí)行計算機實現(xiàn)的算法以確定規(guī)則集是否以所期望的方式(例如�����,模擬或其它測試方法)有效地保護了過程控制系統(tǒng)�,以及通過安全的互聯(lián)網(wǎng)接口或其它適合的方法將該規(guī)則集分配給配置了 UTMS的實體。除了采集已知的威脅數(shù)據(jù)310外�,過程控制系統(tǒng)100可以將特定領域信息320發(fā)回到公司305。例如�,特定領域信息可以包括指示了關于系統(tǒng)100(也就是,包括泵���、油箱���、 閥門等的系統(tǒng)100中的物理設備的生產(chǎn)商、型號����、狀態(tài)、軟件/硬件版本等等類型)的拓撲結構信息的數(shù)據(jù)���、協(xié)議和其它網(wǎng)絡150的基礎結構信息���、每個物理設備的軟件版本、網(wǎng)絡設備���、和配置了 UTMS的設備等等�����。隨后公司305可以使用各種分析技術建立特定領域的魯棒性測試工具�����,以便使用從過程控制系統(tǒng)100發(fā)送過來的特定領域信息連續(xù)不斷地識別任意設備���、子系統(tǒng)或軟件程序中的網(wǎng)絡弱點(僅提及幾種可能可識別的弱點)��。然后公司305可以集合分析結果����,該結果由測試工具在識別特定系統(tǒng)弱點的集合中執(zhí)行���。該集合可以被分類�、整理���、并基于幾方面因素劃分優(yōu)先次序��,這幾方面因素包括已識別弱點的安全風險�、由該弱點可能導致的網(wǎng)絡安全的缺口危險����、重復的網(wǎng)絡缺口的潛在風險等等。然后這些已知弱點中的每一個都可以被轉化為各種規(guī)則集147�����,148,151�,153的緩和及規(guī)則,公司305可以用更新UTMS設備的方式為系統(tǒng)100提供持續(xù)的補救更新服務����。用這種方法,每當新設備或代碼應用程序引進到系統(tǒng)100中時�����,任何對程序錯誤或其它弱點的暴露都會減少或消除�。每個規(guī)則集可以是包括已知特征���、策略��、或描述了對過程控制系統(tǒng)100基于網(wǎng)絡的威脅特征的規(guī)則的數(shù)據(jù)文件�?�?梢耘渲靡?guī)則集以控制對于過程控制系統(tǒng)100的每個部分的網(wǎng)絡150的內部訪問和外部訪問�。由于配置了 UTMS的網(wǎng)絡設備134,146���,149�,152作為過程變量被配置(如上所述),規(guī)則集148����,147,151���,153可以由操作員或其他人員從工作站120處的圖形化顯示1 進行配置���。例如,基于過程控制系統(tǒng)100的各種特征(例如��,過程控制系統(tǒng)100中配置了 UTMS的設備的數(shù)量和類型�、特定子系統(tǒng)、實體或由規(guī)則集保護的系統(tǒng)100的其它部分的網(wǎng)絡安全的重要性和“敏感性”�����、外部網(wǎng)絡攻擊的可能性等等)�����,用戶可以單獨地配置并管理過程控制系統(tǒng)任意部分的網(wǎng)絡安全�����。在一些實施例中,用戶的圖形化顯示可以包括許多預先配置的使用分配到系統(tǒng)100的規(guī)則子集的“網(wǎng)絡安全配置文件”����。 取決于過程控制系統(tǒng)100執(zhí)行過程的敏感性或其它因素,用戶可以選擇平衡網(wǎng)絡安全需求和系統(tǒng)100持續(xù)運行的最佳配置文件�����。在周邊配置了 UTMS的網(wǎng)絡設備接收到規(guī)則集的情況下��,該設備可以確定所接收的規(guī)則集中的哪些規(guī)則適合于過程控制系統(tǒng)的哪些子系統(tǒng)�。 隨后,該周邊設備可以將確定的規(guī)則分配給子系統(tǒng)中適合的設備����。那些子系統(tǒng)也可以依次確定更小的規(guī)則集���,并在該子系統(tǒng)中對此進行分配�。因此�,根據(jù)過程控制系統(tǒng)的網(wǎng)絡安全需要,已選擇的配置或策略可以實施一個或多個規(guī)則集147����,148,151,153中所有規(guī)則的子集���。根據(jù)網(wǎng)絡的靜態(tài)條件和動態(tài)條件����,包括但不限于���,檢測到的業(yè)務�����、系統(tǒng)100的狀態(tài)�、配置文件已被激活的時間長度等等�,警報也可以向用戶指示,特別所選的配置文件是否適合于安全�����。也可以默認設置或由用戶配置與警報關聯(lián)的定時器��,以限制所選的配置文件處于合適位置的時間��。每個定時器可以包括默認設置��,其取決于所選配置文件的剛性和所保護實體或設備的敏感度。例如�,用戶為其選擇松懈的安全策略的特別敏感的過程只能在指示警報前的短時期內有效,而用戶為其選擇嚴格的安全策略的特別安全可靠的過程可以在長時期內有效��。每個規(guī)則集147�����,148�����,151�,153都可以定義條件,如果檢測到該些條件���,則實現(xiàn)組合功能,即阻止可疑的惡意通信或通過一個或多個圖形化顯示中顯示的警報提醒操作員或其他工廠人員��,如前所述�。此外,從他們各自的操作員顯示處�����,每個操作員可以具有對于規(guī)則集更新集成的控制。對于沒有管理員權限的操作員而言�,輔助的或管理員授權能夠實現(xiàn)規(guī)則集更新(例如,上述的雙因素認證過程)�。在一些實施例中,配置了 UTMS的防火墻146a�,146b、配置了 UTMS的網(wǎng)絡訪問設備 149c���、其它配置了 UTMS的網(wǎng)絡設備146��、和/或UTMS現(xiàn)場設備134也可以被配置����,以采集并聚合直接來自于公司305或多個資源315處的威脅數(shù)據(jù)310�����,以便構建����,驗證以及鑒定各個規(guī)則集(如圖3中傳送威脅數(shù)據(jù)310的通信虛線所示)。此外����,周邊配置了 UTMS的設備 146���,149(也就是,位于過程控制網(wǎng)絡150之外的那些UTMS實體)可以從第三方資源305 處接收規(guī)則集�,其包括過程控制系統(tǒng)100中的所有各種內部配置了 UTMS的設備的規(guī)則。隨后周邊設備可以從算法上為每個內部的配置了 UTMS的設備或各種設備群導出單獨的規(guī)則集���,并將較小的規(guī)則集從周邊設備146���,149a發(fā)送到內部設備134,152����,或者將導出的規(guī)則集放置到網(wǎng)絡配置中,如上所述�。通過監(jiān)控、定義及分析對于過程控制網(wǎng)絡安全的潛在和已知威脅���,源315可以創(chuàng)建威脅數(shù)據(jù)310���。例如�����,來自Assurent SecureTechnologies的弱點研究服務(VRS)的數(shù)據(jù)、來自卡耐基梅隆大學的計算機緊急事件響應組(CERT)的數(shù)據(jù)���、來自Secimia公司的數(shù)據(jù)����、來自終端用戶研究和監(jiān)控的數(shù)據(jù)�、以及來自Achilles 注冊的產(chǎn)品用戶的數(shù)據(jù)(僅提及防火墻規(guī)則集數(shù)據(jù)的幾個源)可以被集合。替代地�����,或除了實現(xiàn)上述各種規(guī)則集之外�����,需要選擇性地激活或停用在系統(tǒng)100 外部的網(wǎng)絡業(yè)務��,以在特別敏感的過程(例如�,核電站、市政服務��、公共通信系統(tǒng)等等)期間確保適當?shù)陌踩?��。例如�,如上所述,可以實現(xiàn)一個或多個網(wǎng)絡安全配置文件以提供軟件方法��,該方法選擇性地激活或停用過程控制系統(tǒng)100的任意實體之間的通信��。此外�����,參照圖 4-12��,網(wǎng)絡訪問設備���,例如配置了 UTMS的網(wǎng)絡訪問設備149(圖Ia和lb)可以向操作員提供旁通控制的解決方案����,以選擇性地關閉或打開到過程控制網(wǎng)絡內部實體或外部實體的網(wǎng)絡連接�,以便將網(wǎng)絡業(yè)務圍繞屏蔽的、故障的����、或嚴格配置的網(wǎng)絡設備進行重選路由。使用這種配置了 UTMS的網(wǎng)絡訪問設備149和與配置了 UTMS的網(wǎng)絡訪問設備149的表示相關聯(lián)的用戶界面�,根據(jù)操作員的工作站內的圖形化顯示選擇性地關關閉或開啟各種不同的網(wǎng)絡連接,并繞過所選擇的、限制性的設備��,其中配置了 UTMS的過程對象20 屬于該用戶界面���。如上所述,配置了 UTMS的網(wǎng)絡訪問設備149是控制系統(tǒng)100的本地部分���,用戶可以使用包括了表示設備149的過程控制系統(tǒng)100的圖形化顯示來配置設備149����。如圖4所示�����,這個設備149可以由操作員或其它授權的人員使用����,以控制站點和互聯(lián)網(wǎng)之間的網(wǎng)絡訪問,如圖5所示�,控制站點之間的網(wǎng)絡訪問,或如圖6所示���,控制站點內部的網(wǎng)絡訪問(也就是在工廠的區(qū)域或單元之間)�。此外,如圖7所示��,配置了 UTMS的網(wǎng)絡訪問設備149可以用于臨時繞過位于設備149的上游的防火墻146�����,以允許少量的安全訪問(也就是技術支持���,維修等等)而無需不得不修改防火墻規(guī)則147或改變之前所選的網(wǎng)絡安全配置文件�����。 例如��,在過程控制系統(tǒng)的集成的安全系統(tǒng)中�,例如DeltaV SIS���,配置了 UTMS的網(wǎng)絡訪問設備149也能夠用于將安全系統(tǒng)與控制系統(tǒng)100斷開(如圖6所示)����。配置為過程控制系統(tǒng)100中旁通所選的其它設備的配置了 UTMS的網(wǎng)絡訪問設備 149可以是控制系統(tǒng)100的本地部分�,配置了 UTMS的網(wǎng)絡訪問設備149和其它已連接設備的狀態(tài)可以被集成到過程控制系統(tǒng)中(也就是說,配置了 UTMS的網(wǎng)絡訪問設備的狀態(tài)成為過程變量)�。這樣����,該設備的狀態(tài)可以從運行顯示中查看����,在控制系統(tǒng)的歷史集合145中記錄�����,并在過程警報中使用�����。使用具有警報配置了 UTMS的網(wǎng)絡訪問設備149的狀態(tài)和其它參數(shù)允許在網(wǎng)絡150上更好的監(jiān)控能力��,因為如果網(wǎng)絡連接保持開啟或配置文件保持有效的時間期間比所配置的時間期間長���,則可以生成警報�。由于為開放的連接���、配置文件�����、或其它參數(shù)所配置的時間期限到期了��,配置了 UTMS的網(wǎng)絡訪問設備149也可以被配置���,以便自動地終止連接����,或其它參數(shù)����。因此,在終止連接之前可以提醒操作員�����,給操作員機會重置時間期限��,選擇不同的配置文件���,或其它參數(shù)����。此外��,在與過程控制系統(tǒng)的通信或其它條件失效期間破損安全配置可以停用外部連接。存在幾種不同類型的網(wǎng)絡連接���,配置了 UTMS的網(wǎng)絡訪問設備149可以在過程控制系統(tǒng)100中使用該連接��。例如��,臨時連接�、正常激活的連接�����、旁通連接可以與配置了 UTMS 的網(wǎng)絡訪問設備149 一起使用�����,但是����,過程控制系統(tǒng)100中的其它類型的連接也可以這樣配置���。臨時連接包括����,但不限于,站點或系統(tǒng)與互聯(lián)網(wǎng)之間的連接(例如����,用于客戶支持)、站點或系統(tǒng)與公司總部之間的連接(例如�����,用于備份��、歷史存檔等)����、在站點或各種系統(tǒng)之間傳輸數(shù)據(jù)或產(chǎn)品期間所需要的多個站點之間的連接。正常運行的連接包括�����,但不限于�����,控制策略�����,其橫跨多個系統(tǒng)(例如,子系統(tǒng)10 和105b)�,或處于控制系統(tǒng)100中的單個元件,單元或設備之間(例如過程控制系統(tǒng)100和相關安全系統(tǒng)之間的連接)��。在旁通連接中���,為了通過防火墻146繼續(xù)通信�����,配置了 UTMS的網(wǎng)絡訪問設備149 可以用于臨時繞過防火墻146或其它網(wǎng)絡設備�����。當網(wǎng)絡設備存在故障時,或當防火墻規(guī)則 147或所選的規(guī)則集配置文件對于已知的安全通信配置得過于嚴格時�����,需要旁通連接����。雖然為了做出執(zhí)行旁通的決定,商業(yè)上可用的旁通設備可以監(jiān)控鏈接的健康狀況或被繞過的網(wǎng)絡設備的健康狀況�,但是配置了 UTMS的網(wǎng)絡訪問設備149可以執(zhí)行除了監(jiān)控以外的功能����。 特別地����,由于配置了 UTMS的網(wǎng)絡訪問設備149被集成到過程控制系統(tǒng)100中并在操作員的圖形化顯示中表示(如上所述),可以配置警報以便自動地控制旁通功能�����,操作員可以從操作員顯示屏直接控制旁通功能����。參考圖8,配置了 UTMS的旁通網(wǎng)絡訪問設備800的一個實例包括第一類型的網(wǎng)絡連接器(例如����,銅線、光纜�����、或其它連接器)�,其控制網(wǎng)絡業(yè)務在設備800處的進出,及第二類型的網(wǎng)絡連接器,其將網(wǎng)絡業(yè)務直接路由到現(xiàn)場設備130��,133�,134或控制裝置。輸入 1連接80 和輸出1連接802b描述了用于來自配置了 UTMS的旁通網(wǎng)絡訪問設備800的正常激活連接的連接器����。輸入2連接80 和輸出2連接804b描述了用于臨時連接的連接器。啟動配置了 UTMS的旁通網(wǎng)絡訪問設備800會導致要被中斷的輸入1/輸出1連接 80h/802b脫離正常運行的連接����。啟動配置了 UTMS的旁通網(wǎng)絡訪問設備還會導致要連入的輸入2/輸出2連接8(Ma/804b實施一個臨時連接以繞過另一個網(wǎng)絡設備(也就是,防火墻 146�,如前所述)。在一些實施例中�,微控制器812中的旁通模塊813可以包括計算機可讀存儲器,其包括執(zhí)行此處所述的旁通功能的一系列計算機可讀指令����。在其它實施例中�,旁通功能可以由用戶手動執(zhí)行。通過將輸出1/輸入^02b����,8(Ma集連接到要繞過的網(wǎng)絡設備,連接的輸入1連接80 和輸出1連接802b集可以經(jīng)由網(wǎng)絡設備路由通信���,或當啟動配置了 UTMS的旁通網(wǎng)絡訪問設備800時可以圍繞同樣的網(wǎng)絡設備旁通網(wǎng)絡通信���。第二類型的連接器��,例如CTRL連接器806��,可以將一對電線或其他類型的連接器從配置了 UTMS的網(wǎng)絡訪問設備149處直接連到現(xiàn)場設備130�����,133�,134���,或通過控制裝置808連到現(xiàn)場設備���。控制裝置808在通信上將現(xiàn)場設備130�,133和134耦合到過程控制系統(tǒng)100中的控制器110。在一些實施例中�,控制裝置808是I/O設備,例如I/O模塊或I/O卡140�����,離散輸出特性模塊 (CHARM)或由德克薩斯州奧斯汀的Fisher-Rosenmount Systems, Inc.生產(chǎn)的終端模塊。這種I/O設備和終止模塊在Burr等人申請的�����,申請?zhí)枮镹o. 11/533����,259的美國專利申請,名為“Apparatus and Methods to Communicatively CoupleField Devices to Controllers in a Process Control System”����,中進行了描述,并在此全文引用作為參考���。如圖9所示����, 1/0設備808可以用于向設備發(fā)送離散信號���,并通過1/0設備中的線路故障檢測機制及美國申請No. 11/533�����,259中描述的機制��,接收狀態(tài)信息��。替代地��,在1/0設備與現(xiàn)場設備之間可以使用智能通信方法�。例如��,該智能通信方法可以是通過所用信號的電平傳送狀態(tài)(例如�, 通信是占用還是空閑)的HART信號,所用信號的電平可以將配置了 UTMS的旁通網(wǎng)絡訪問設備800驅動到所需的狀態(tài)(也就是���,連接或非連接狀態(tài))�����。此外���,配置了 UTMS的旁通網(wǎng)絡訪問設備800可以連接到1/0設備808,如圖9所示��,1/0設備808可以每秒向配置了 UTMS的旁通網(wǎng)絡訪問設備800發(fā)送脈沖輸出作為心跳����。 如果配置了 UTMS的旁通網(wǎng)絡訪問設備800在一段時間內沒有接收到心跳����,其會自動取消配置的破損安全值(例如���,脫離臨時連接���、脫離所有連接、激活警報等等)�����。這種心跳可以從離散的輸出1/0設備808中啟動�����,或者其可以自動地從操作員工作站120中啟動����,以保證操作員工作站120和1/0設備808之間的鏈接還依然是激活的。參考圖8和圖10����,配置了 UTMS的旁通網(wǎng)絡訪問設備800可以具有由中繼810(圖 8)啟動或直接停用的連接�����,其用于銅線或其它類型的模擬連接器或用于光纖連接器上的電源控制的中繼發(fā)送機和接收機1010(圖10)。例如��,配置了 UTMS的旁通網(wǎng)絡訪問設備800 可以僅包括兩個網(wǎng)絡端口和控制電路812�����,1012 (或四個端口���,如果不需要旁通功能���,但是單個設備都要有)。使用兩個網(wǎng)絡端口��,通過關閉光纖連接的光學鏈接電路1010的電源來啟動或停用該連接���。光纖發(fā)送機1010可以通過在微控制器1012上的引腳直接關閉電源���, 或者從通用資源處啟動,微控制器1012能夠使用類似于圖8中所示的中繼來開啟或關閉電源��。無論哪種情況,配置了 UTMS的旁通網(wǎng)絡訪問設備800都可以通過1/0設備連接到控制裝置902�����。在另一個實施例中���,配置了 UTMS的旁通網(wǎng)絡訪問設備本身可以是1/0設備�����。參考圖11和12�,配置了 UTMS的1/0設備或網(wǎng)絡控制1/0設備(NCC) 1108�����,可以包括開關以便物理地連接到或不連接到以太網(wǎng)���,串口的或其它類型的鏈接�。這種設備中的一個或多個能夠安裝于控制裝置902之下的常規(guī)1/0設備808旁邊���。NCC 1108可以在與常規(guī)1/0設備808 一樣的通信總線上與控制裝置902通信�。周邊的配置了 UTMS的設備146����,149��,內部的配置了 UTMS的設備134����,152�,和配置了 UTMS的旁通網(wǎng)絡訪問設備800可以包括任意數(shù)量的額外規(guī)則表以便監(jiān)控和/或保護控制系統(tǒng)100免于多余的訪問和/或免遭惡意攻擊����。例如,配置了 UTMS的過程對象2(Me (圖 2)可以允許用戶訪問一個或多個用戶界面以配置及控制規(guī)則集147�,148,151��,152中的任意規(guī)則和過程控制系統(tǒng)中的網(wǎng)絡安全����。如圖13所示,規(guī)則集用戶界面例如協(xié)議規(guī)則表 1300可以通過配置了 UTMS的過程對象2(Me進行訪問��,并包括協(xié)議類型欄1302�����,來源地址欄1304,閾值參數(shù)欄1305����,目的地址欄1306,端口號欄1308��,動作欄1310��,描述欄1312�,及記錄欄1314。示例協(xié)議類型欄的協(xié)議類型可以包括��,但不限于����,UDP, TCP, I CMP, HART,和/ 或SCPI����。來源地址欄1304和/或目的地址欄1306中的地址可以對應于與給定的協(xié)議類型相關聯(lián)的一個或多個地址。例如�����,TCP, UDPjn ICMP協(xié)議通常使用IP地址(例如,IPv. 4��, IPv. 6等等)���,與SCPI和/或GPIB關聯(lián)的協(xié)議包括一個或多個不同格式的設備地址�����。配置了 UTMS的過程對象2(Me也可以允許對規(guī)則集147���,148���,151����,152進行訪問�����, 以創(chuàng)建定制的規(guī)則配置文件232 (圖幻�����,及訪問由過程控制設備的生產(chǎn)商生成的規(guī)則配置文件?�?梢陨蛇@樣的配置文件232以反映防火墻設置��,該設置通常對于使用由特定生產(chǎn)商提供的過程控制及測試和測量設備的用戶而言是通用的���??梢栽试S用戶通過配置下拉菜單232(當訪問配置了 UTMS的對象240的用戶界面時)或配置文件下拉選擇器1316(當訪問規(guī)則集界面或表1300時)載入配置文件�。選擇器232或1316都可以包括載入按鈕1318。 但是����,在用戶需要定制一個或多個配置文件的情況下,例如�����,該配置文件基于特定的控制系統(tǒng)拓撲結構�,過程的敏感性由該過程控制系統(tǒng)控制(例如,核反應堆�����,市政工程��,危險的或有害的過程等等),協(xié)議規(guī)則表用戶界面1300中的一個或多個用戶替代選項可以允許所需的定制���?����?梢允褂幂斎氲绞纠呐渲梦募麉^(qū)域1320的唯一配置文件名和對應的保存按鈕1322�,來保存定制的配置文件設置�����。在操作中�,如示例的行選擇欄13M所示,如果對應的行選擇器是激活的�����,示例表1300的每一行都實施規(guī)則����。第一個示例行1326�����,當由于其對應的行選擇器13 而被激活時,導致實施了規(guī)則����,該規(guī)則監(jiān)控從與地址為10. 4. 0.0關聯(lián)的設備到與地址為 232. 108. 116. 118關聯(lián)的設備的UDP協(xié)議數(shù)據(jù)包,其包括端口號18515����。對這種檢測到的通信而言,示例的第一行13 接受這種通信活動���,但不需要記錄這種通信活動�。雖然第一行 13 中的示例規(guī)則使用IP v4的地址�,但任意尋址方案都可以使用,包括�����,但不限于����,IP v6, 硬件專用尋址(例如GPID設備地址),和/或參照域名服務器的人類可讀地址���。雖然示例第一個規(guī)則13 標識了動作“接受”����,但其它動作可以包括,但不限于�����,阻止�,通知,和/或重新路由�。在圖13所示的示例中,第一行13 允許來源地址和目的地址之間的通信�,而無需閾值欄1305強加的限制。換句話說�,由于第一行13 的閾值字段13 被設置為“N/A”,符合行13 中的其余項目的網(wǎng)絡業(yè)務將不會被數(shù)量���、尺寸�����、或能由欄項目強加的其它閾值所限制。第二個示例行1330被配置為監(jiān)控TCP通信����,其具有端口號18519���,從IP地址“A”(例如,10. 4. 0.0)到IP地址“B” (232. 108. 116. 118)�����。只要在端口號18519上的網(wǎng)絡業(yè)務數(shù)量少于每小時χ兆字節(jié)���,就接受該網(wǎng)絡業(yè)務����。但是�����,如果超過了閾值��,就會生成記錄并且通信將被因為違反該閾值而停用�����。另一方面�����,雖然從地址“A”到地址“B”的通信由于示例第二行1330中所示的設置(也就是閾值設置而不是“N/A”)而被限制了,但是第三示例規(guī)則行1332在相同的兩個地址之間建立了另一個規(guī)則�,但方向相反。換句話說����,從地址“A”發(fā)起到地址“B ”的通信相對被限制了,但是從地址“B”發(fā)起到地址“A”的通信沒有被限制����。
雖然示例表1300為配置特定規(guī)則提供了相對較好的靈活性,但圖14的示例配置向導1400圖形用戶界面允許對配置了 UTMS的設備146���,149�����,內部的配置了 UTMS的設備 134��,152���,以及配置了 UTMS的旁通網(wǎng)絡訪問設備800進行簡單的配置。示例配置向導1300 允許用戶回答問題和/或選擇與用戶簡單查詢相關聯(lián)的復選框���,從而為具有有限的一般網(wǎng)絡保護知識的用戶提供以改進了的效率配置控制系統(tǒng)的機會���。此外,可以生成問題腳本�����,其對于控制系統(tǒng)100��、系統(tǒng)100中的特定設備��、設備制造商等而言是唯一的��。在圖14所示的示例中�,第一復選框1402與制造商Alpha相關聯(lián),第二復選框1404與制造商Beta相關聯(lián)�。 在客戶/用戶選擇與制造商阿爾法相關聯(lián)的復選框的情況下,生成通用的使用制造商阿爾法生產(chǎn)的設備的過程控制系統(tǒng)的提示和問題�����。通過操縱經(jīng)過周邊配置了 UTMS的設備146���,149�����,內部配置了 UTMS的設備134����, 152,以及配置了 UTMS的旁通網(wǎng)絡訪問設備800中的每一個的網(wǎng)絡業(yè)務���,用戶能夠額外地配置過程控制系統(tǒng)100的網(wǎng)絡安全��。在一些實施例中����,用戶可以通過一個或多個用戶圖形界面操縱系統(tǒng)100的網(wǎng)絡安全�,該用戶圖形界面限定了可以從配置了 UTMS的設備處接收或發(fā)送的業(yè)務類型。此外�,用戶也可以根據(jù)過程控制系統(tǒng)100的各種區(qū)域或子系統(tǒng)來限制網(wǎng)絡業(yè)務。參考圖15��,用戶可以訪問系統(tǒng)安全用戶界面1500����,其顯示了過程控制系統(tǒng)100的 UTMS安全信息。例如��,系統(tǒng)安全用戶界面1500可以顯示關于配置了 UTMS的防火墻設備 146,149的信息��。所顯示的信息可以包括用于與防火墻相關的不同類型通信1506的活動指示器1502和狀態(tài)指示器1504��?�;顒又甘酒?502可以包括任意類型的值����、圖表���、圖形�、和向用戶指示在對應于通信類型1506的配置了 UTMS的設備1508(例如�����,防火墻146���,149���,內部配置了 UTMS的設備134,152��,和配置了 UTMS的旁通網(wǎng)絡訪問設備800)處的網(wǎng)絡業(yè)務數(shù)量的類似物。在一些實施例中����,活動指示器1502可以包括彩色編碼條,其從左到右���,從一種顏色過渡到另一種顏色(例如��,從綠到紅)�����。彩色編碼條活動指示器1502的長度對應于對應于通信類型1506的網(wǎng)絡業(yè)務的數(shù)量����?���;顒又甘酒魉试S的長度可以被配置為對應于相應類型1506的網(wǎng)絡業(yè)務數(shù)量的所允許的閾值1510。該允許的閾值1510可以由對應于特定的配置了 UTMS的設備1510的規(guī)則集147���,148����,151,152中的一個或多個規(guī)則來配置或也可以由用戶來配置��。例如����,規(guī)則可以僅允許在給定時間量上的特定數(shù)量的網(wǎng)絡業(yè)務。然后允許的閾值1510會被自動配置以表示那個特定數(shù)量�。在系統(tǒng)運行期間�,從左到右伸出一小段距離的活動指示器1502可以是綠色的,指示了在防火墻146�,149處的少量的網(wǎng)絡業(yè)務,而伸出最遠或伸到顯示器中所允許的最大距離的活動指示器1502可以是紅色的�����,指示了大量的網(wǎng)絡業(yè)務��,該業(yè)務數(shù)量處于由規(guī)則集147��,148��,151����,152中的規(guī)則自動配置的所允許的閾值或由用戶手動配置的所允許的閾值附近。狀態(tài)指示器1504可以指示設備1508對應的通信類型1506是否在運轉。通過從系統(tǒng)安全用戶界面1500中選擇狀態(tài)指示器1504或其它項目��,額外的狀態(tài)信息對于對應的通信類型1506來說是可用的����。此外,系統(tǒng)安全用戶界面1500可以包括關于網(wǎng)絡150�,135的一般信息和關于一個或多個配置了 UTMS的設備的特定信息。例如�����,系統(tǒng)100可以包括主要網(wǎng)絡和充當主要網(wǎng)絡的備用的一個或多個次要網(wǎng)絡��。每個網(wǎng)絡可以包括配置了 UTMS的交換機�,其控制進出網(wǎng)絡中各個區(qū)域的網(wǎng)絡業(yè)務。系統(tǒng)安全用戶界面1500可以顯示配置了 UTMS的交換機是否被鎖定1512���,從而根據(jù)默認配置或用戶定義的配置保護網(wǎng)絡的每個部分�����。使用業(yè)務量的圖形化指示和所允許的網(wǎng)絡業(yè)務量的閾值水平的圖形化指示�,系統(tǒng)安全用戶界面1500也可以顯示對網(wǎng)絡總體通信水平1514的指示��。在一些實施例中,圖形化指示是彩色條���,如上所述�����。除了通信水平之外��,系統(tǒng)安全用戶界面1500也顯示系統(tǒng)100的通信狀態(tài)1516�,其可以包括狀態(tài)1518中的記錄或各種類型的系統(tǒng)用戶(例如�����,操作員���,工程師,管理員��,遠程用戶等等) 的其它信息�����。系統(tǒng)安全用戶界面1500可以顯示其它類型的網(wǎng)絡信息�����,包括工作站防病毒和操作系統(tǒng)(OS)安全更新1520的狀態(tài),對規(guī)則集最近更新的指示��,或其它網(wǎng)絡安全信息����。根據(jù)業(yè)務的特定的特征,可以對網(wǎng)絡業(yè)務進行分類���,用戶可以訪問用戶界面以根據(jù)該分類配置系統(tǒng)通信�����。例如�����,用戶可以選擇性地關閉及開啟系統(tǒng)100中的各類通信����。在一些實施例中��,通過增加敏感度或安全考慮的一個或多個“級別”對網(wǎng)絡業(yè)務進行分類��。參考圖16,網(wǎng)絡業(yè)務的類型可以分為“級別3” (或其它級別)�,用戶可以使用在通信上與該設備連接的級別3的通信用戶界面1600來選擇性地配置系統(tǒng)100的配置了 UTMS的設備,以便管理這種“級別3”的分類網(wǎng)絡業(yè)務�。例如,級別1的網(wǎng)絡業(yè)務可以描述為連接到網(wǎng)絡150 的本地客戶端���,而級別3的網(wǎng)絡業(yè)務可以描述為使用終端服務器通信連接到網(wǎng)絡150的遠程客戶端�。用戶可以從圖形化顯示中選擇配置了 UTMS的設備以顯示用戶工作站中的用戶界面1600�,或者作為系統(tǒng)安全狀態(tài)用戶界面1500的具體顯示?�!皯卑粹o” 1602可以允許用戶關閉所選類型的所有通信(例如���,所有級別3的通信)���,并控制網(wǎng)絡業(yè)務的各種特征����,其是配置了 UTMS的設備的入站1604和出站1606??梢允褂糜脩艚缑?600將分類為“級別 3” 1608的每種類型的網(wǎng)絡業(yè)務單獨地配置為可用或不可用。此外��,在用戶界面1600中顯示的級別3網(wǎng)絡業(yè)務1608可以包括指示網(wǎng)絡活動1610,如圖15相關的描述那樣(例如��,彩色編碼條���,圖表等等)�����。參考圖17-23���,用戶也可以從過程控制系統(tǒng)瀏覽器應用程序(例如DeltaV 的瀏覽器應用程序)中選擇視圖以查看系統(tǒng)100中每個單獨的配置了 UTMS的設備的狀態(tài),對每個設備做出各種改變�,在設備維修上給予協(xié)助。圖17示出了 UTMS設備控制中心用戶界面1700��,其在通信上與系統(tǒng)100中每個配置了 UTMS的設備(周邊配置了 UTMS的設備146��, 149�,內部配置了 UTMS的設備134,152���,和配置了 UTMS的旁通網(wǎng)絡訪問設備800等等)連接���。UTMS設備控制中心用戶界面1700的第一瀏覽器窗格1702可以包括系統(tǒng)100中每個配置了 UTMS設備的分級列表��,并可以根據(jù)各種類似的特征(例如��,通過子系統(tǒng)��,主要或次要的網(wǎng)絡�,過程任務等等)進行歸類�。如上所述,系統(tǒng)100可以包括各自主要1708網(wǎng)絡和次要 1710網(wǎng)絡中的一個或多個退役的1704和現(xiàn)役1706UTMS設備����。退役的配置了 UTMS的設備 1704可以是那些在物理上仍然位于網(wǎng)絡150中,但在系統(tǒng)100中已經(jīng)不再使用或需要了的設備���。例如�,由于過程控制系統(tǒng)的一部分廢棄或過時�,可以選擇性地將那些過時的部分退役及“離線”,這樣����,它們不再是系統(tǒng)100的激活的部分�����,但在物理上仍然存在于系統(tǒng)100之中。 選擇瀏覽器窗格1702中所列的任意配置了 UTMS的設備(例如配置了 UTMS的設備1714)可以顯示關于瀏覽器的第二窗格1716中的設備1714的幾個特征���,包含了其在系統(tǒng)100中的狀態(tài)��。例如�����,窗格1716中顯示的特征可以包括在前面的時間周期1718(例如����,之前60秒�����, 最近30分鐘等等)中所評估的特征���,包括MAC地址�����,IP地址��,軟件版本����,設備型號和設備名稱。特征的每個值1720可以在鄰近特征1718的圖像以及對每個特征1718的描述1722中顯不���。參考圖18�����,選擇任意退役的配置了 UTMS的設備1704可以顯示任命窗口 1802以允許用戶查看該設備的各種特征�����,并使用“投入使用”按鈕1804����,選擇性地將所選的退役的配置了 UTMS的設備設置回在線��。一旦在線���,重新任命的配置了 UTMS的設備可以自動對其規(guī)則集進行更新���,或者從所連接的配置了 UTMS的設備或因特網(wǎng)處請求當前規(guī)則集��,并根據(jù)該當前規(guī)則集進行網(wǎng)絡業(yè)務通信。參考圖19�,從任命的設備中選擇配置了 UTMS的設備1902可以允許用戶通過改變所選設備1902的物理特征以允許維修人員在物理上定位所選設備1902,從而幫助維修所選設備1902����。在一些實施例中,維修輔助窗口 1904可以允許用戶通過使設備上的LED燈閃爍來選擇性地指示及不指示所選設備的物理位置�。其它替代的記號包括聲音,振動�����,或所選設備的其它顯著的物理變化��。參考圖20�����,用戶可以從瀏覽器窗格1702中選擇系統(tǒng)100的任意部分��,以啟動那個所選部分上的與安全相關的措施�。例如,用戶可以從窗格1702選擇主要網(wǎng)絡1708��,并選擇選項對那部分網(wǎng)絡啟動“禁閉”。在一些實施例中�,禁閉操作使得入站和出站無法連接到系統(tǒng)100的所選部分。從面板1702啟動部分系統(tǒng)上的操作(例如��,禁閉操作)可以顯示操作窗口 2002���,其指示了系統(tǒng)100的哪一部分正經(jīng)受操作(例如����,禁閉)和已啟動操作的進程�����。參考圖21����,UTMS設備控制中心用戶界面1700也可以指示安全缺口或其它規(guī)則違規(guī)。例如�,如果配置了 UTMS的設備違反了對應規(guī)則集147,148����,151,152中的規(guī)則(例如����, 由于超過默認的或配置的閾值的時間量����,設備被解鎖)���,規(guī)則違背指示2102會出現(xiàn)在設備名稱的旁邊及該設備所屬的每個類別名稱的旁邊。此外�����,如果系統(tǒng)100確定配置了 UTMS的設備將要違背對應規(guī)則集147��,148���,151����,152中的規(guī)則�����,那么設計的規(guī)則違背指示2104也可以出現(xiàn)在設備名稱的旁邊及該設備所屬的每個類別名稱的旁邊���。當父分類中不止一個設備包括規(guī)則違背指示����,那么更加嚴重的違背可以在兩個設備的父分類旁邊顯示。例如�,當主要網(wǎng)絡包括被設計為違反規(guī)則的第一 UTMS設備和已經(jīng)實際違反規(guī)則的第二配置了 UTMS的設備,可以只顯示實際違反規(guī)則的指示�����。參考圖22����,在從UTMS設備控制中心用戶界面1700的面板1702中選擇配置了 UTMS 的設備之后,所選的配置了 UTMS的設備的各種端口統(tǒng)計2202也可以被顯示�����。在窗口中顯示的端口統(tǒng)計2202可以包括時間量上的各種端口屬性����。例如,自配置了 UTMS的設備啟動���、 之前60秒���、或一些其它可配置的時間量及顯示的值以來���,可以追蹤接收和發(fā)送字節(jié)的端口屬性。當然���,也可以追蹤并顯示其它端口屬性����,包括雙工模式選擇��,鏈路利用率���,CRC丟棄,小數(shù)據(jù)包丟棄���,大數(shù)據(jù)包丟棄��,碎片數(shù)據(jù)包丟棄��,超時(Jabber)數(shù)據(jù)包丟棄�,沖突���,近期沖突�, 僅提到幾個端口屬性。參考圖23����,除了上述討論的與圖21有關的規(guī)則違背和網(wǎng)絡安全違背之外,也可以在第二面板1716中顯示及描述警報信息2302����。當配置了 UTMS的設備(例如,配置了 UTMS 的設備2304)遇到運行問題時���,或者如上所述的規(guī)則及網(wǎng)絡安全違背��,可以在視圖中顯示警報指示2306����,該視圖在瀏覽器第一面板1702中顯示的設備名稱旁邊����。隨后,可以在瀏覽器第二面板1716的特征1718���,值1720���,描述1722欄中的每一個中顯示警報信息�。警報信息2302可以指示引起警報指示2306的一個或多個通信警報����、故障警報、維修警報�、或建議警報。除了警報信息2302之外���,第二面板1716還可以顯示狀態(tài)2308和與所選設備2304相關聯(lián)的設備信息2310���。當前狀態(tài)可以列出特定設備特征的狀態(tài)�����,其很可能與警報相關���。此外�,設備信息2310可以顯示關于所選設備2304的通用信息���,類似于上述與圖17有關的所討論的特征����。 使用配置了 UTMS的過程對象2(Me (如上所述,在一個或多個圖形化顯示1 中顯示)的用戶界面(圖13-23)��,通過操作員或其它工作站����,用戶可以配置并監(jiān)控過程控制系統(tǒng)的網(wǎng)絡安全,以響應過程���,任何生成的警報��,及其它UTMS事件的安全需求��。雖然配置了 UTMS 的網(wǎng)絡設備134����,146���,149���,152和使用UTMS的技術大體上已經(jīng)在此描述為與現(xiàn)場總線和標準420ma設備儀器一起使用,當然,它們可以通過使用任何其它過程控制通信協(xié)議或編程環(huán)境被實現(xiàn)�����,并且可以和任意其它類型的設備���,功能塊或控制器一起使用�����。雖然此處所述的 UTMS設備和例程優(yōu)選在軟件中實現(xiàn)�����,但它們也可以在硬件���,固件等中實現(xiàn),并可以由任意其它與過程控制系統(tǒng)關聯(lián)的處理器執(zhí)行�����。因此��,此處所述的方法可以在標準的多用途CPU中實現(xiàn)��,或者在特別設計的硬件或固件上實現(xiàn)����,例如,ASIC��,如果需要的話����。當其在軟件中實現(xiàn)時,該軟件可以存儲于任意計算機可讀存儲器中�,例如磁盤,激光盤����,光盤,或其它存儲介質�����,計算機或處理器的RAM或ROM中�。同樣地,這種軟件可以傳送給用戶或過程控制系統(tǒng)����, 通過任何已知的或所需的傳送方法���,包括,例如在計算機可讀磁盤上或其它可傳輸?shù)挠嬎銠C存儲機制或在通信信道上調制����,例如電話線,互聯(lián)網(wǎng)等(可以被視為與通過可傳輸?shù)拇鎯橘|提供這種軟件的方式是相同的或可交換的)�����。因此����,雖然參考特定實例對本發(fā)明進行了描述,但這些例子的目的僅僅是用作說明����,并不對本發(fā)明構成限制,很明顯�����,本領域的普通技術人員可以在不脫離本發(fā)明精神和范圍的情況下�����,對所公開的實施例進行改變���,添加或刪減����。
權利要求
1.用于保護過程控制系統(tǒng)中的網(wǎng)絡業(yè)務的方法�����,包括實例化具有到特定的過程控制系統(tǒng)設備的可編程界面的對象���,所述對象訪問包括一個或多個規(guī)則的規(guī)則集����,所述規(guī)則定義了接受或拒絕在所述設備處所接收的網(wǎng)絡業(yè)務的條件��,所述網(wǎng)絡業(yè)務來自所述過程控制系統(tǒng)的外部并試圖訪問所述過程控制系統(tǒng)或所述過程控制系統(tǒng)的另外的設備��;確定所述規(guī)則集的所述一個或多個規(guī)則中的哪個或哪些規(guī)則將應用于所述設備��;通過將所述一個或多個已確定的規(guī)則應用于所述設備來保護所述設備�;使用所述對象來監(jiān)控在受保護的設備處所接收的網(wǎng)絡業(yè)務;確定在所述受保護的設備處所接收的網(wǎng)絡業(yè)務是否違反了應用于所述受保護的設備的所述規(guī)則中的一個或多個規(guī)則�����;以及如果在所述受保護的設備處所接收的網(wǎng)絡業(yè)務違反了所述規(guī)則中的一個或多個規(guī)則, 則拒絕所述網(wǎng)絡業(yè)務訪問所述過程控制系統(tǒng)并在所述過程控制系統(tǒng)的操作員界面中顯示警報�����;或者如果在所述受保護設備處所接收的網(wǎng)絡業(yè)務沒有違反所述規(guī)則中的一個或多個規(guī)則�, 則允許所述網(wǎng)絡業(yè)務訪問所述過程控制系統(tǒng)。
2.根據(jù)權利要求1所述的方法�����,其中所述對象作為過程變量被集成到所述過程控制系統(tǒng)的過程控制環(huán)境中�����。
3.根據(jù)權利要求1所述的方法��,其中所述對象包括統(tǒng)一威脅管理系統(tǒng)(UTMQ對象��,并且所述設備包括統(tǒng)一威脅管理系統(tǒng)(UTMQ設備���。
4.根據(jù)權利要求3所述的方法���,其中所述UTMS是網(wǎng)絡入侵檢測系統(tǒng)(NIDQ或主機入侵檢測系統(tǒng)(HIDS)之一����。
5.根據(jù)權利要求1所述的方法����,進一步包括����,在所述設備處存儲所述規(guī)則集以及在另外的設備處存儲所述規(guī)則集的子集。
6.根據(jù)權利要求1所述的方法���,其中所述設備包括防火墻�����、網(wǎng)絡設備����、或現(xiàn)場設備中的一個或多個���。
7.根據(jù)權利要求1所述的方法���,其中所述對象包括數(shù)據(jù)存儲���,其用于存儲描述所述設備的變量或變化的數(shù)據(jù),所述數(shù)據(jù)包括狀態(tài)數(shù)據(jù)�����、參數(shù)數(shù)據(jù)�����、狀況數(shù)據(jù)�、輸入數(shù)據(jù)、輸出數(shù)據(jù)����、規(guī)則集數(shù)據(jù)及開銷數(shù)據(jù)中的一個或多個。
8.根據(jù)權利要求1所述的方法����,進一步包括在所述設備處接收所述規(guī)則集。
9.根據(jù)權利要求8所述的方法�,進一步包括,所述對象以算法確定將所述規(guī)則集中的所述一個或多個規(guī)則中的哪個或哪些規(guī)則應用于所述過程控制系統(tǒng)的另外的設備�����,所述其它設備向所述過程控制系統(tǒng)的子系統(tǒng)提供對所述網(wǎng)絡業(yè)務的訪問。
10.根據(jù)權利要求9所述的方法��,進一步包括����,在所述其它設備處接收所述以算法確定的一個或多個規(guī)則以用于保護所述過程控制系統(tǒng)的子系統(tǒng)���。
11.根據(jù)權利要求1所述的方法����,其中確定在所述受保護設備處所接收的所述網(wǎng)絡業(yè)務是否違反了應用于所述受保護設備的所述規(guī)則中的一個或多個規(guī)則包括�����,將進入的網(wǎng)絡業(yè)務與所述規(guī)則集的所述已確定的規(guī)則相比較��。
12.根據(jù)權利要求1所述的方法���,其中通過將所述一個或多個已確定的規(guī)則應用于所述設備來保護所述設備��,包括以下二者之一用戶在所述過程控制系統(tǒng)的圖形化顯示中配置所述對象以用于保護所述設備�����,以及自動配置所述對象以用于保護所述設備���。
13.根據(jù)權利要求12所述的方法����,其中如果所述用戶在所述過程控制系統(tǒng)的圖形化顯示中配置所述對象����,則所述用戶認證配置所述對象的能力,所述用戶認證包括所述受保護設備的內置的����、雙因素認證方法。
14.根據(jù)權利要求1所述的方法����,進一步包括使用所述對象追蹤與所述設備處接收到的所述網(wǎng)絡業(yè)務相關的統(tǒng)計。
15.根據(jù)權利要求1所述的方法�,進一步包括確定所述設備的狀況,包括連接到所述過程控制系統(tǒng)的內部的及外部的數(shù)據(jù)連接的數(shù)量和類型�。
16.根據(jù)權利要求1所述的方法,其中確定所述規(guī)則集的所述一個或多個規(guī)則中的哪個或哪些規(guī)則將應用于所述設備包括���,確定用于所述設備的安全配置文件���,所述安全配置文件保護所述過程控制系統(tǒng)的子系統(tǒng)���。
17.根據(jù)權利要求1所述的方法,進一步包括檢測所述過程控制系統(tǒng)中的另外的設備的更新�����,并在所述操作員界面中顯示警報�����,所述警報指示了所述更新并建議用戶請求所述規(guī)則集的更新��。
18.根據(jù)權利要求1所述的方法����,其中確定在所述受保護的設備處所接收的所述網(wǎng)絡業(yè)務是否違反了應用于所述受保護設備的所述規(guī)則中的一個或多個規(guī)則包括���,確定所述設備的當前運行狀態(tài)���,以及下列各項中的一個或多個確定所述當前運行狀態(tài)是否包括所述設備處在網(wǎng)絡業(yè)務或者網(wǎng)絡業(yè)務的類型方面的未預期的增長,確定所述當前運行狀態(tài)是否包括對所述過程控制系統(tǒng)上的已知的導致故障的攻擊,以及確定所述當前運行狀態(tài)是否包括所述過程控制系統(tǒng)中另外的設備的軟件���、固件或配置的改變����。
19.根據(jù)權利要求1所述的方法�,進一步包括通過從多個源采集威脅數(shù)據(jù)、構建所述規(guī)則集���、驗證所述規(guī)則集����、并將所述規(guī)則集分配給所述設備來更新所述規(guī)則集��。
20.根據(jù)權利要求19所述的方法�,其中所述設備確定所述規(guī)則集中的哪些規(guī)則適合于所述過程控制系統(tǒng)的子系統(tǒng)和其它設備中的一個或者多個,所述設備將所述確定的規(guī)則分配給所述合適的子系統(tǒng)和其它設備��。
21.根據(jù)權利要求1所述的方法���,其中所述設備被配置為繞過所述過程控制系統(tǒng)的處于所述設備上游的另外的設備����,以允許對所述設備的不太安全的數(shù)據(jù)訪問����。
22.根據(jù)權利要求21所述的方法�,其中所述設備被配置為在由用戶設置或默認設置的時間內繞過所述過程控制系統(tǒng)的另外的設備��。
23.根據(jù)權利要求22的方法����,其中所述設備是I/O設備。
24.用于保護過程控制系統(tǒng)中的網(wǎng)絡業(yè)務的網(wǎng)絡設備���,包括第一網(wǎng)絡連接器�,其將網(wǎng)絡業(yè)務傳入或傳出所述網(wǎng)絡設備�����;第二網(wǎng)絡連接器�,其將網(wǎng)絡業(yè)務傳至所述過程控制系統(tǒng)的控制裝置�;規(guī)則集,其包括定義了接受或拒絕所述網(wǎng)絡設備處所接收的網(wǎng)絡業(yè)務的條件的一個或多個規(guī)則���;比較例程���,其確定傳至所述網(wǎng)絡設備的網(wǎng)絡業(yè)務是否違反了所述規(guī)則集中的一個或多個規(guī)則����;以及保護例程���,如果在所述第一網(wǎng)絡連接器處所接收的所述網(wǎng)絡業(yè)務違反了所述規(guī)則中的一個或多個規(guī)則�,則所述保護例程拒絕所述網(wǎng)絡業(yè)務對所述過程控制系統(tǒng)的所述控制裝置或另外的設備的訪問�,并引發(fā)將在所述過程控制系統(tǒng)的操作員界面中顯示的警報;或者�����,如果在所述網(wǎng)絡設備處所接收的所述網(wǎng)絡業(yè)務沒有違反所述規(guī)則中的一個或多個規(guī)則��,則所述保護例程通過所述第二網(wǎng)絡連接器將所述網(wǎng)絡業(yè)務傳至所述控制裝置�����。
25.根據(jù)權利要求M所述的網(wǎng)絡設備�����,其中所述網(wǎng)絡業(yè)務來自所述過程控制系統(tǒng)的外部��,并試圖訪問所述過程控制系統(tǒng)。
26.根據(jù)權利要求M所述的網(wǎng)絡設備��,進一步包括規(guī)則集確定例程�����,其確定所述規(guī)則集中的所述一個或多個規(guī)則中的哪個或哪些規(guī)則將應用于所述網(wǎng)絡設備���。
27.根據(jù)權利要求M所述的網(wǎng)絡設備���,其中所述保護例程進一步被配置為,如果在第一網(wǎng)絡連接器處所接收的所述網(wǎng)絡業(yè)務違反了所述規(guī)則中的一個或多個規(guī)則��,則通過啟動旁通例程來拒絕所述網(wǎng)絡業(yè)務對所述過程控制系統(tǒng)的所述控制裝置或另外的設備的訪問�, 所述旁通例程被配置為來執(zhí)行以下各項中的一個或多個釋放到所述控制裝置的臨時連接,釋放到所述控制裝置的所有連接����,及激活警報�。
28.根據(jù)權利要求27所述的網(wǎng)絡設備,其中所述旁通例程進一步被配置為從所述控制裝置接收心跳信號����,并且�,如果所述旁通例程在一段時間內沒有接收到所述心跳信號��,執(zhí)行以下各項中的一個或多個釋放臨時連接�,釋放所有連接,及激活警報��。
29.根據(jù)權利要求27所述的網(wǎng)絡設備����,其中所述旁通例程進一步被配置為繞過所述過程控制系統(tǒng)的處于所述網(wǎng)絡設備上游的另外的設備,以允許對所述網(wǎng)絡設備的不太安全的數(shù)據(jù)訪問����。
30.根據(jù)權利要求27所述的網(wǎng)絡設備,其中所述旁通例程進一步被配置為啟用或禁止一個或多個中繼以中斷到所述第一或第二網(wǎng)絡連接器的電力或信號的發(fā)送����。
31.根據(jù)權利要求M所述的網(wǎng)絡設備,其中所述控制裝置是I/O設備�����。
32.根據(jù)權利要求對所述的網(wǎng)絡設備�,其中所述網(wǎng)絡設備是網(wǎng)絡入侵檢測系統(tǒng)(NIDS) 或主機入侵檢測系統(tǒng)(HIDS)之一。
33.根據(jù)權利要求M所述的網(wǎng)絡設備�,其中所述規(guī)則集存儲于所述設備�����,以及所述規(guī)則集的子集存儲于另外的設備��。
34.根據(jù)權利要求M所述的網(wǎng)絡設備��,其中所述網(wǎng)絡設備包括防火墻或現(xiàn)場設備中的一個或多個�����。
35.根據(jù)權利要求M所述的網(wǎng)絡設備���,進一步包括數(shù)據(jù)存儲,其用于存儲描述所述網(wǎng)絡設備的變量或變化的數(shù)據(jù)�����,所述數(shù)據(jù)包括狀態(tài)數(shù)據(jù)��、參數(shù)數(shù)據(jù)����、狀況數(shù)據(jù)���、輸入數(shù)據(jù)��、輸出數(shù)據(jù)�����、規(guī)則集數(shù)據(jù)及開銷數(shù)據(jù)中的一個或多個���。
36.根據(jù)權利要求M所述的網(wǎng)絡設備�,其中所述保護例程進一步被配置為以算法確定��,所述規(guī)則集中的所述規(guī)則的哪個或哪些規(guī)則將應用于所述過程控制系統(tǒng)的另外的網(wǎng)絡設備�,所述其它網(wǎng)絡設備向所述過程控制系統(tǒng)的子系統(tǒng)提供對網(wǎng)絡業(yè)務的訪問。
37.根據(jù)權利要求M所述的網(wǎng)絡設備���,進一步包括內置的���、雙因素認證例程。
38.根據(jù)權利要求M所述的網(wǎng)絡設備���,進一步包括更新檢測例程��,其檢測所述過程控制系統(tǒng)中另外的設備的更新���,并在所述操作員界面中顯示警報�,所述警報指示了所述更新并建議用戶請求所述規(guī)則集的更新�����。
39.根據(jù)權利要求M所述的網(wǎng)絡設備��,其中所述保護例程進一步被配置為確定所述網(wǎng)絡設備的當前運行狀態(tài)�����,以及執(zhí)行下列各項中的一個或多個確定所述當前運行狀態(tài)是否包括所述設備處在網(wǎng)絡業(yè)務或網(wǎng)絡業(yè)務的類型方面的未預期的增長���,確定所述當前運行狀態(tài)是否包括所述過程控制系統(tǒng)上已知的導致故障的攻擊�����,以及確定所述當前運行狀態(tài)是否包括所述過程控制系統(tǒng)中另外的設備的軟件��、固件或配置改變�。
40.根據(jù)權利要求M所述的網(wǎng)絡設備��,其中所述保護例程進一步被配置為通過從多個源采集威脅數(shù)據(jù)、構建所述規(guī)則集����、驗證所述規(guī)則集�����、并將所述規(guī)則集分配給所述網(wǎng)絡設備來更新所述規(guī)則集����,確定所述規(guī)則集中的哪些規(guī)則適用于所述過程控制系統(tǒng)的子系統(tǒng),以及將所述確定的規(guī)則分配給所述合適的子系統(tǒng)����。
41.用于保護過程控制系統(tǒng)中網(wǎng)絡業(yè)務的統(tǒng)一威脅管理系統(tǒng),包括多個網(wǎng)絡設備����,被配置為接收與所述過程控制系統(tǒng)相關的網(wǎng)絡業(yè)務,所述網(wǎng)絡設備中的至少一個被進一步配置為位于所述從過程控制系統(tǒng)之外的源接收規(guī)則集���,所述規(guī)則集包括一個或者多個規(guī)則����,其定義了接受或拒絕在所述網(wǎng)絡設備處所接收的網(wǎng)絡業(yè)務的條件; 以及圖形化過程控制環(huán)境�,用于圖形化地表示所述過程控制系統(tǒng)的元件以及連接到所述多個網(wǎng)絡設備中的每一個的網(wǎng)絡業(yè)務連接的狀態(tài),所述元件包括所述多個網(wǎng)絡設備��;其中所述圖形化過程控制環(huán)境被配置為實例化所述多個網(wǎng)絡設備中的每一個的對象����, 每個對象圖形化地表示所述多個網(wǎng)絡設備中的不同的網(wǎng)絡設備并且具有可編程界面以用于配置所述對象所表示的所述網(wǎng)絡設備的一個或多個參數(shù),所述參數(shù)包括以下各項中的一個或多個連接到所述多個網(wǎng)絡中的每一個的網(wǎng)絡業(yè)務連接的狀態(tài)���,所述規(guī)則集��,規(guī)則集更新���。
42.根據(jù)權利要求41所述的統(tǒng)一威脅管理系統(tǒng),其中接收所述規(guī)則集的所述網(wǎng)絡設備進一步被配置為�����,以算法為其它網(wǎng)絡設備導出一個或多個單獨的規(guī)則集�����,所述單獨的規(guī)則集分別是所述規(guī)則集的子集并且能夠通過使用所述圖形化過程控制環(huán)境來配置���。
43.根據(jù)權利要求41所述的統(tǒng)一威脅管理系統(tǒng)�,其中接受或拒絕所述網(wǎng)絡設備處所接收的網(wǎng)絡業(yè)務的條件包括,所述網(wǎng)絡業(yè)務是來自于所述過程控制系統(tǒng)的內部還是外部����。
44.根據(jù)權利要求41所述的統(tǒng)一威脅管理系統(tǒng),其中連接到所述多個網(wǎng)絡設備中的每一個的連接的狀態(tài)包括以下各項中的一個或多個���,到所述多個網(wǎng)絡設備的連接的數(shù)量,所述連接是激活的還是未激活的��,以及正在通信還是不在通信���。
45.根據(jù)權利要求41所述的統(tǒng)一威脅管理系統(tǒng)�����,其中所述圖形化過程控制環(huán)境是 DeltaV 圖形化過程控制環(huán)境�。
46.根據(jù)權利要求41所述的統(tǒng)一威脅管理系統(tǒng)���,其中所述對象作為過程變量被集成在所述圖形化過程控制環(huán)境中��。
47.根據(jù)權利要求41所述的統(tǒng)一威脅管理系統(tǒng)����,其中所述統(tǒng)一威脅管理系統(tǒng)是網(wǎng)絡入侵檢測系統(tǒng)(NIDS)或主機入侵檢測系統(tǒng)(HIDS)之一。
48.根據(jù)權利要求41所述的統(tǒng)一威脅管理系統(tǒng)���,其中所述網(wǎng)絡設備包括防火墻和現(xiàn)場設備中的一個或多個����。
49.根據(jù)權利要求41所述的統(tǒng)一威脅管理系統(tǒng)���,其中所述對象包括數(shù)據(jù)存儲��,其用于存儲描述所述網(wǎng)絡設備的變量或變化的數(shù)據(jù)��,所述數(shù)據(jù)包括狀態(tài)數(shù)據(jù)�、參數(shù)數(shù)據(jù)��、狀況數(shù)據(jù)�����、輸入數(shù)據(jù)���、輸出數(shù)據(jù)����、規(guī)則集數(shù)據(jù)及開銷數(shù)據(jù)中的一種或多種。
50.根據(jù)權利要求41所述的統(tǒng)一威脅管理系統(tǒng)�,其中所述對象被配置為將網(wǎng)絡業(yè)務與所述規(guī)則集比較,如果在所述網(wǎng)絡設備處所接收的所述網(wǎng)絡業(yè)務違反了一個或多個規(guī)則�, 則拒絕在所述網(wǎng)絡設備處所接收的所述網(wǎng)絡業(yè)務并引發(fā)在所述圖形化過程控制環(huán)境的操作員界面中顯示的警報,其中所述網(wǎng)絡業(yè)務由所述網(wǎng)絡設備接收���。
51.根據(jù)權利要求41所述的統(tǒng)一威脅管理系統(tǒng)���,其中所述對象被配置為通過以下手段之一來保護所述網(wǎng)絡設備用戶在所述圖形化過程控制環(huán)境的圖形化顯示中配置所述對象��,以及將所述對象配置為自動保護所述網(wǎng)絡設備��。
52.根據(jù)權利要求51所述的統(tǒng)一威脅管理系統(tǒng)�����,其中所述用戶在所述圖形化過程控制環(huán)境的圖形化顯示中配置所述對象����,需要通過所述過程控制系統(tǒng)內置的雙因素認證的方法的用戶認證。
53.根據(jù)權利要求41所述的統(tǒng)一威脅管理系統(tǒng)����,其中所述對象被配置為追蹤與在所述網(wǎng)絡設備處所接收的所述網(wǎng)絡業(yè)務相關的統(tǒng)計�����。
54.根據(jù)權利要求41所述的統(tǒng)一威脅管理系統(tǒng)����,其中所述對象被配置為確定用于所述網(wǎng)絡設備的安全配置文件�,所述安全配置文件用于保護所述過程控制系統(tǒng)的子系統(tǒng)。
55.根據(jù)權利要求41所述的統(tǒng)一威脅管理系統(tǒng)��,其中所述對象被配置為檢測所述過程控制系統(tǒng)中另外的網(wǎng)絡設備的更新�,并在所述圖形化過程控制環(huán)境的圖形化顯示中顯示警報,所述警報指示了所述更新并建議用戶請求更新所述規(guī)則集�。
56.根據(jù)權利要求41所述的統(tǒng)一威脅管理系統(tǒng),其中所述對象被配置為確定所述網(wǎng)絡設備處所接收的所述網(wǎng)絡業(yè)務是否違反所述規(guī)則中的一個或多個規(guī)則�。
57.根據(jù)權利要求41所述的統(tǒng)一威脅管理系統(tǒng),其中所述對象被配置為通過從多個源采集威脅數(shù)據(jù)����、構建所述規(guī)則集、驗證所述規(guī)則集����、并將所述規(guī)則集的子集分配給其它網(wǎng)絡設備來更新所述規(guī)則集��,每個其它網(wǎng)絡設備都對應于所述過程控制系統(tǒng)的子系統(tǒng)�。
58.根據(jù)權利要求41所述的統(tǒng)一威脅管理系統(tǒng)�����,其中所述一個或多個參數(shù)包括如下功能���,即在可配置的時間內繞過所述過程控制系統(tǒng)的另外的網(wǎng)絡設備�。
59.根據(jù)權利要求41所述的統(tǒng)一威脅管理系統(tǒng)�,其中所述網(wǎng)絡設備是I/O設備。
全文摘要
用于保護過程控制系統(tǒng)中網(wǎng)絡業(yè)務的統(tǒng)一威脅管理系統(tǒng)(UTMS)可以包括網(wǎng)絡設備���,其配置為接收與該過程控制系-統(tǒng)相關的網(wǎng)絡業(yè)務���,并包括從外部源接收的規(guī)則集����。該規(guī)則集可以包括定義了接受或拒絕在該網(wǎng)絡設備處所接收的網(wǎng)絡業(yè)務的條件的一個或多個規(guī)則。網(wǎng)絡設備的狀態(tài)可以作為過程控制對象或變量集成到過程控制系統(tǒng)中�����,從而允許在圖形化過程控制系統(tǒng)環(huán)境中的工作站上向操作員顯示該狀態(tài)和其它UTMS以及組件網(wǎng)絡設備參數(shù)和變量。該網(wǎng)絡設備也可以與永久性服務通信���,該服務主動向該設備提供規(guī)則集以符合最近的安全威脅��、威脅模式及在該網(wǎng)絡中發(fā)現(xiàn)的或預計到的控制系統(tǒng)弱點��。
文檔編號H04L12/24GK102299909SQ20101056984
公開日2011年12月28日 申請日期2010年9月25日 優(yōu)先權日2009年9月24日
發(fā)明者B·希布, C·赫爾南德茲, D·R·丹尼森, G·K·勞, N·庫貝, R·K·哈巴 申請人:費希爾-羅斯蒙特系統(tǒng)公司