用于监控自动化网络中的安全性的方法以及自动化网络

摘要

本发明涉及一种用于监控自动化网络(1)中的安全性的方法，在该自动化网络中，多个数据处理设备(2…7)为了数据通信相互连接。至少一个数据处理设备(5，6，7)在无故障的情况下以如下方式预配置，即在出现安全相关的事件时生成相应的报告(30，31，32)，并且将这些报告传输给至少一个第一软件工具(3′)，该第一软件工具获取并评估报告，以便识别是否发生了安全相关的攻击。通过能够对于第一软件工具(3′)来说冗余地实施的第二软件工具(4′)，检查在出现安全相关的事件时通过数据处理设备(5，6，7)是否真正地生成了相应的报告。由此提高自动化网络(1)中的安全监控的质量和可靠性。

说明书

技术领域

本发明涉及一种：根据权利要求1的前序部分所述的、用于监控自动 化网络中的安全性的方法，在该自动化网络中，多个数据处理设备为了数 据通信相互连接；以及用于工业自动化的相应的网络。

背景技术

从数据处理的角度看，工业自动化网络由数据网络以及数据处理设备 构成，该数据处理设备为了实施数据通信，通过数据网络相互连接。例如， 为了能够从远离的站点操作通过自动化网络所自动化的工业设备，自动化 网络能够例如借助于网关连接在公共的网络上，例如因特网上。在实现现 代的自动化网络中的多样化的优点导致更多地使用像以太网这样的IT技 术和互联网协议(IP)。然而，这导致了安全风险的增高，例如通过从外 界未授权地入侵相应的自动化网络。

在Anna Palmin，Stefan Runde和Pierre Kobes在atp中公开的文章“完 整的设备范围的安全管理-用于自动化保护的工具(Ganzheitliches  anlagenweites Security Management–Werkzeuge für die automatisierte  Unterstützung)”，2012年3月，34页到40页，中描述了用于改善工业自 动化网络中的安全性的措施。整体安全管理范畴内的主要措施中的一个是 获取并评估报告，使得其在事件发生时生成自动化网络的不同组件，并且 使得其也许能够发现攻击。上级的单元收集这些报告，并且对其进行评估， 以便从所报告的单个事件或组合中识别多个事件，看是否真正地出现了攻 击，并且在可能的情况下将其报告给某个位置，从而能够采用合适的措施， 作为对识别出的攻击的反应。这种功能性被称为安全事件管理(SEM)。 另外的功能性涉及报告的生成，以便证明对准则的遵守。这被称为安全信 息管理(SIM)。如果一个单元将两个所述的功能统一起来，那么这个单元 被称为安全信息及事件管理(SIEM)。具有在自动化网络中用于实现SIEM 的软件工具的计算单元在上述的文章中作为安全站进行介绍。该安全站在 结构上归为流程引导系统(PLS)。操作站以及安全站能够共同地在一台个 人电脑(PC)上或者在两台分开的个人电脑上运行。安全站同样也能够在 一个已经存在的维护站上实现。该维护站用于将安全管理集成到流程引导 系统中，并且使之与设备自动化并行地运行。因此，在设备的现有的视角、 例如运行视角和维护视角上又补充了附加的集成的安全视角。此外，还能 够利用存在于自动化网络中的报告系统和存档系统，以便处理针对与安全 性相关的事件生成的报告。作为集成的软件工具的代替，安全站能实现为 独立于具体的产品的并且具有明确限定的端口的工具。因此，能够灵活地 在PLS和SCADA系统(Supervisory Control and Data Acquisition，监测控 制及数据采集)的背景中使用。安全站的软件工具用于监控自动化网络中 的安全性，即根据报告的获取和评估，这些报告生成，了经常被称为操作 站的操作单元、可存储器编程的控制系统、所谓的控制器、网络组件、例 如路由器、交换器或网关、或者场装置、例如控制件或用于压力、温度或 流量的测量数值变换器。这些装置在此统一称为数据处理设备，或者简称 为事件源，并且基于其相应的预配置在安全相关的事件中生成这些相应的 报告。例如，安全相关的事件是在Windows Event Log中获取的PC处的 所识别的失败的报告尝试，或者对通过防火墙防御了的、并且可能的情况 下被写入了日志数据库的IP地址的所识别的未经授权的访问。在SIEM系 统的所谓的连接器中，对报告的事件进行了标准化。这种标准化通常作为 SIEM的数据结构上的单个的组件的或参数的实例来实现。在此，存在用 于集成像交换机、防火墙和路由器这样的系统日志和/或SNMP可用的组 件的预制的连接器以及用于集成Windows组件的连接器。

SIEM系统通常在工程阶段中、即在规划和启用自动化技术的设备时 进行配置。此外，配置包括在使用相应的连接器的情况下将考虑用作安全 相关的事件的报告的来源的数据处理设备连接到SIEM系统上。在此寻求 的是，SIEM系统不与对其来说不知道的事件报告的来源交流，因为这能 够损害安全监控的可靠性。同样确保的是，在出现安全相关的事件时，通 过所涉及到的数据处理设备真正地生成相应的报告。

在自动化设备中使用的SIEM系统的首要目标在于，及时识别并评估 有关攻击尝试或者与正常状态有偏差的迹象。通过SIEM系统，应该能够 实现的是，及时并恰当地对攻击尝试和不正常做出反应。

发明内容

本发明的目的在于，改善对自动化网络中的攻击尝试的或与正常状态 有偏差的迹象的识别的质量或可靠性。

为了实现该目的，用于监控自动化网络中的安全性的新的方法具有在 权利要求1中提出的特征，并且新的自动化网络具有在权利要求8中提出 的特征。在从属权利要求中描述了本发明的有利的改进方案，在权利要求 9中描述了一种电脑程序，并且在权利要求10中描述了一种电脑程序产 品。

本发明基于以下认识，即对于攻击尝试或者与正常状态的偏差的识别 的质量来说，除了例如在SIEM系统中应用的、被称为关联引擎的评估单 元的质量之外，在应用这个评估单元的情况下提出的规则的质量也是至关 重要的，为了进行识别所需要的安全相关的事件由自动化技术的设备的、 在此被称为数据处理设备的组件在评估单元处可靠地、即例如符合在数据 处理设备中预配置的规则地、并且在传输时不损失报告的情况下、以及防 恶意操控地进行传输。现在以有利的方式确保了例如连接在SIEM系统上 的、在工程阶段中适当的预配置的数据处理设备作为安全相关的事件的报 告的来源，在自动化网络的运行中也真实地报告了属于其标准范围的安全 相关的事件。如果禁止在数据处理设备中生成相应的报告，例如通过在预 配置时进行的设置的无意的变化，那么其当时就会被识别。此外，以有利 的方式确保了在SIEM系统中根据具体情况运行所谓的连接器，其也被称 为代理程序或传送器，并且其在第一软件工具中负责将安全相关的事件的 报告从作为报告源的数据处理设备传输给评估单元。连接器的根据具体情 况的行为的偏差，例如如果连接器由于技术问题不再向第一软件工具的评 估单元传输事件，那么这就会通过第二软件工具来识别。

原则上根据报告的获取和评估，不能够决定性地、例如通过伪随机发 生器控制地或者由事件控制地触发通过第二软件工具进行的检查。优选 地，决定性地或者周期性地以预定的或者可预定的最大时间间隔对报告生 成进行检查。这具有的优点在于自动化网络中的安全性的监控的特别好的 可靠性。

如果为了检查报告的生成而借助于第二软件工具模拟攻击场景 (Szenario)，在这些攻击场景下，通过所述至少一个数据处理设备在无故 障的状态下生成符合相应的场景的报告，那么就能够进一步提高可靠性。 明显地，在第一软件工具中从进一步的评估中排除基于模拟攻击场景生成 的报告，以便不触发错误警报，或者从传输中排除基于这些报告生成的警 报。

在一个特别有利的改进方案中，为了检查通过第一软件工具对报告进 行的评估，借助于第二软件工具生成经过处理的报告，这些报告对应于在 出现安全相关的事件时通过数据处理设备生成的报告。以这种方式能够有 利地检查，是否识别到木马或者其他的“恶意程序”，也就是自动化网络 中的有害数据。由此进一步改善了安全性的监控。

在另一个特别有利的设计方案中，第一软件工具是自动化网络中的第 一SIEM系统的组件，并且第二软件工具是第二SIEM系统的组件，该第 二SIEM系统对于第一SIEM系统来说在网络中冗余地实施。由此，能够 实现一种用于在两个SIEM系统之间分配负载的方法，并且预防在这里被 称为评估装置的所谓的智能层和具有连接器的所谓的连接器层(Connector  Layer)的过载。对报告生成的检查能够有利地通过第二软件工具并行地 实施，而不会在无故障的情况下影响第一软件工具的功能。

对通过第一软件工具进行的报告生成的检查一方面能够在工程阶段 有利地用于验证数据处理设备的预配置，或者另一方面在自动化网络运行 期间用于监控安全性。因此，本发明允许在设备使用周期的不同阶段监控 安全性。

优选地，在识别到自动化网络中的安全性问题时，将用于显示可能需 要的维护措施的相应的警报信号直接在服务设备上发布，使得维护技术人 员已经立刻获得用于进行维护工作的合适的指令，例如更换感染了恶意程 序的数据处理设备。

所述方法优选地在软件中或者在软件/硬件的组合中执行，从而使得 本发明还涉及一种具有能通过电脑实施的程序代码指令的电脑程序，用于 实施上面简述的和下面描述的方法。在这一点上，本发明还涉及一种电脑 程序产品、特别是数据载体或者存储器介质，具有能通过电脑实施的这类 电脑程序。这种电脑程序优选地是自动化网络中的数据处理设备的组件， 或者在数据处理设备的电子件的存储器中保存，或者能够加载到这个存储 器中，从而在数据处理设备运行时，根据该方法自动地实施安全监控。

附图说明

下面借助示出了本发明的实施例的附图详尽地阐述本发明以及设计 方案和优点。

图中示出：

图1是自动化网络的框图，

图2是用于阐明对报告生成的监控的框图，

图3是用于阐明对连接器的监控的框图，并且

图4是用于阐明对是否能够可靠地识别经过处理的报告进行监控的 框图。

具体实施方式

在图1中示出了自动化网络1，其中，多个用于数据通信的数据处理 设备2…7通过基于以太网的通信网络8相互连接。在所示实施例中，数 据处理设备2是所谓的工程站，其用于规划并启用自动化网络1，并且在 自动化网络1运行时负责流程引导系统的操作站的功能。数据处理设备3 和4分别是所谓的安全站，其中，在数据处理设备3中运行第一软件工具 3′，其构成所谓的工业SIEM的一部分，并且其中，在第二安全站中、即 在数据处理设备4中运行第二软件工具4′，其构成对于第一工业SIEM来 说冗余地设计的第二工业SIEM的组件。可选地，两个软件工具3′和4′明 显能够在唯一的安全站9上运行，正如在图1中用虚线表示的那样。数据 处理设备5，6和7是近流程的组件，例如存储器可编程的、经常被称为 控制器的控制系统，用于在要自动化的流程中获取物理变量、例如压力的 测量转换器，或者用于取决于获取的物理变量、例如调节阀地影响流程的 控制件。

对于在安全站3或4上执行、并且形成冗余的SIEM系统的两个SIEM 的冗余功能来说，这两个SIEM都由工程站2经由自动化网络1的硬件结 构提供相同的规划数据和相同的信息。有助于实现第二SIEM的第二软件 工具4′扩大了一个用于检查第一SIEM的功能的模块4″，该模块根据其功 能被称为可靠性及可信度认证模块。通过冗余地设计SIEM系统，能够实 施一种合适的用于分配负担的方法、所谓的负担平衡法，通过该方法预防 了此外还包含评估单元的所谓SIEM智能层和包括所有用于连接事件源的 SIEM连接器的所谓的连接器层的过载。此外，通过模块4″能够实现后来 根据图2至4详细描述的监控及认证进程。例如在第一SIEM负责主要的 SIEM任务的同时，作为第一SIEM的冗余伙伴的第二SIEM受其可靠性 及可信度认证模块4″的控制地实施用于检查第一SIEM的功能的进程以及 认证进程。为了能够实现这一点，自动化网络1中的以已知的方式传输给 第一软件工具3′的安全相关的事件的报告还附加地传输给第二软件工具 4′，该第二软件工具例如评估获取的报告，以便检查这些报告是否真正地 根据数据处理设备2…7的正确的预配置生成。如果在识别自动化网络中 的安全性问题时，在服务设备10上完成了用于显示可能需要的维护措施 的警报信号的数据，那么维护技术人员能够有利地立刻获得为了计划其维 护措施所需要的信息。

第一软件工具3′在所示实施例中同样也配有可靠性及可信度认证模 块3″，其对应于模块4″。这能够实现切换线路，其中，至今为止活跃的 第一SIEM成为冗余的SIEM，并且至今为止冗余的SIEM、现在变成当前 有效的SIEM被监控是否正确运行。因此，实施周期性轮换的、相互之间 的监控。

为了进一步阐述这种用于检查自动化网络中的安全性的方法，在图2 至4中以层模型的方式示出了SIEM系统的冗余地设置的构造。对于相同 的部件，在图1至4中应用相同的标号。SIEM智能层20和SIEM连接器 层21基本上在第一软件工具3′(图1)中实现。SIEM智能层22和SIEM 连接器层23是通过第二软件工具4′(图1)实施的第二SIEM的组件。在 所谓的设备层24中，在出现安全相关的事件时根据预配置的规则完成报 告生成，该设备层基本上通过数据处理设备5…7中的软件来实现。

所谓的“事件生成认证”，即对报告生成的检查，根据图2不仅能够 在工程阶段而且还能够在执行阶段、即在自动化网络运行中以决定性的方 式周期性地、非决定性地、例如通过伪随机发生器控制地或者事件控制地 通过可靠性及可信度认证模块3″引发。在此，所选择的或者所有的连接器 C1，C2和C3、例如在根据图1的自动化网络1中所示的用于数据处理设 备5，6或7的连接器分别通过信号26，27或28或者命令来要求，用于 检查连接着的事件源、即数据处理设备5，6或7是否真正地生成了报告 30，31或32，这些报告对应于属于其相应的标准范围的、安全相关的事 件。对此，通过连接器C1，C2和C3访问相应的事件端口或者模拟攻击 场景，为了使其相应的预配置的连接着的事件源生成相应的报告。例如， 各种能够在所谓的Windows Event Log中获取的事件都属于Microsoft  Windows的标准范围。然而，为了真正地获取事件，这需要特殊的系统设 置。如果没有进行相应的系统设置，那么相应的连接器在检查报告生成工 作时不会获得Windows Event Log事件。检查的相应的结果由连接器C1， C2和C3通过信号34，35或36报告给可靠性及可信度认证模块3″，该模 块根据具体情况进一步处理这个信号，并且在可能的情况下传输给其他的 机构，例如以警报的形式传输给SIEM报告系统38。通过这些机构能够立 即引起恰当的反应，例如事件源上的配置变化。

被称为“连接器可靠性认证”的第二检查模块在下面根据图3进行阐 述。正如已经根据图2所阐述的事件生成认证那样，这种检查不仅能够在 工程阶段还能够在执行阶段周期性地、非决定性地或者事件控制地通过可 靠性及可信度认证模块3″引发。在检查连接器时、即在进行连接器可靠性 认证时，模块3″从所选择的或者所有的连接器C1，C2和C3那里分别通 过信号或者命令40，41或42要求预定数量的事件报告。在连接器C1， C2和C3根据具体情况运行的情况下，其将所要求数量的报告44，45或 46反馈给模块3″，该模块首先签收，并且紧接着将报告的数量与所要求 的数量进行比较。在不一致的情况下，在相应的连接器C1，C2或C3上 有问题，和/或有通信问题。认证流程的结果由模块3″根据具体情况进一 步处理，并且在可能的情况下传输给其他的机构，例如以警报的形式传输 给SIEM报告系统38。通过这些机构能够再次引发恰当的反应，例如改变 被识别为有问题的连接器的配置。

用于检查自动化网络中的安全性的另外的模式是所谓的“SIEM可信 度认证”，其中，以下面根据图4阐明的方式检查SIEM系统的可靠性。 对SIEM系统的可靠性的这种检查能够像已经描述的模式那样以不同的方 式在不同的时间进行初始化。在此，模块3″要求所谓的恶意连接器MC对 通信进行操控，例如利用假的身份在连接器层21，23和智能层20，22之 间的通信中上演事件。也就是说，生成操控的报告，其对应于在安全相关 的事件中通过数据处理设备2…7生成的报告。如果对于可靠性及可信度 认证模块3″来说成功地在应用中介机构的情况下从SIEM系统的标准范围 中识别出操控尝试，那么认证流程的结果是肯定。否则，也就是当模块3″ 不能将上演的事件与由合法的连接器C1，C2或C3发送的真实的事件区 分开时，结果就是否定。该结果由模块3″根据具体情况进一步处理，并且 在可能的情况下传输给其他的机构，例如以警报的形式传输给SIEM报告 系统38。通过这些机构能够立即引发恰当的反应，例如对用于SIEM连接 器层21，23和SIEM智能层20，22之间的相互的认证的现有机制进行重 新配置。

下面再次简短地阐述以下优点，这些优点是从各种认证流程的实施和 /或SIEM系统的冗余构造中得到的：

通过冗余地设置SIEM系统并且实施合适的负担平衡法，预防了通过 SIEM智能层和连接器层以及运输路径的过载造成的事件丢失。此外，能 够在SIEM系统中执行所述的认证流程。在SIEM负责主要的SIEM任务 的同时，SIEM的通过可靠性和可信度认证模块控制的冗余伙伴执行认证 流程。

得以确保的是，能够检查连接到SIEM系统上的、在工程阶段中、可 能的话在恰当地配置的事件源中是否在执行阶段真正地生成了属于这些 事件源的标准范围的安全相关的事件。如果连接在SIEM系统上的事件源 在执行阶段没有生成属于这些事件源的标准范围的事件，那么这通过可靠 性及可信度认证模块在“事件生成认证”中发现并且传达。由此能够实现 的是，能够立即消除识别的问题。

此外还得以确保的是，能够检查负责从事件源向评估单元传输安全相 关的事件的连接器是否根据具体情况运行。连接件的根据具体情况的行为 的偏差通过可靠性及可信度认证模块在“连接可靠性认证”中发现并且传 达。这同样能够立即消除识别的问题。

此外，能够检查在前往评估单元的传输路径上的事件是否可能会不被 发现地丢失或操纵。传输路径上的事件丢失能够通过可靠性及可信度认证 模块在“连接可靠性认证”中和/或在“SIEM可信度认证”中识别并且传 达。对事件的成功操控也在从所谓的恶意连接器前往评估单元的传输路径 上通过可靠性及可信度认证模块在“SIEM可信度认证”中发现并且传达。 因此，也能够通过恰当的反应立即消除该问题。