为工业化边界设备提供应用容器的安全信息的方法和系统

摘要

本发明涉及为工业化边界设备提供应用容器的安全信息的方法和系统。应用容器具有应用程序、运行时库和执行环境的一部分。在第一步中从应用程序或其源代码中获取关于由应用程序访问的数据的第一信息。在第二步中从应用程序或其源代码中获取关于用于访问数据或处理数据的运行时库和/或执行环境的一部分的第二信息。在第三步中测定与第一信息相关联的保密等级和与第二信息相关联的保密等级。在第四步中通过将出现的保密等级与出现的处理等级链接而形成安全信息并且将其与应用容器相关联。通过该方法生成了关于应用容器或App的具体并可靠的安全信息，并根据关联性将它们提供给使用者或安装系统，从而在应用App之前就存在关于具体安全或特性的信息。

说明书

技术领域

本发明公开了一种用于为工业化的边界设备提供关于应用容器的安全信息的方法和用于为工业化的边界设备提供关于应用容器的安全信息的系统。

背景技术

在工业化的自动化布局中，对自动化构件、例如工业控制器、操作和监视装置(HMI装置)的数据、配方数据、规划数据和类似的数据的读和写访问总是安全关键的过程。生产数据、产品配方等在任何情况下都是保密的并且因此要么完全不允许、要么仅在确定的条件下才允许在工业化的自动化布部之外使其可用，而在滥用的情况下写访问会对这样的系统、特别是执行器造成显著的损坏。

然而，现代的自动化系统经常在与公共网络进行数据交换的情况下进行，特别是在所谓的“云”中处理多个自动化数据，即在例如能经由互联网访问的外部的服务器上。因此，在布局有工业控制器、HMI装置等等的“私有”的自动化网络与公共网络(特别是互联网或“云”)之间的接口处，优选地采用所谓的边界设备、经常也被称为Edge-Devices。它们是具有到自动化网络的数据通道、还具有到公共网、即特别是“云”中的另外数据通道的构件。一方面，边界设备用于为自动化构件提供用于数据处理服务的计算能力，另一方面，边界设备的任务在于管理并且在可能的情况下控制自动化网络与云端之间的数据交换。特别地，边界设备上的应用程序设置用于聚集、处理来自自动化网络的数据并且提供云中的结果，例如以便为全世界分布的集团的总部提供关于本地的生产场所的负荷数据等等。

引起边界设备的功能性的应用程序被通常作为所谓的应用容器来提供，其中，这些应用容器与用于移动通信的应用类似地大多简称为“App”(英文“application”)。因此，这样的应用容器原则上在移动电话或其它的设备中并不陌生。其不仅包括原本的应用程序，还包括为了实施而必要的运行时库和部分运行环境、特别是操作系统的补充。一个实例是已知的Docker容器，其能够分别在自有的运行环境中安装在边界设备上，并且其随后通过边界设备的基础功能而具有到本地自动化网络以及到公共网络(云)的接口的连通性。这样的应用容器或App通过应用存储器、所谓的App商店或“库”来提供。在此，不同的软件供应商能够为了不同的目的并且通常针对使用费的支付提供这样的App或应用容器，从而能够使管理员以简单的方式被编程具有各种应用程序的边界设备。

尤其对于在此提出的工业化的使用情况来说，App必须对应于具体的安全要求和数据处理规则(“policies”)。在应用者或管理员从应用存储器(App商店)中装载这样的App之前，他们在使用App之前必须检查，App的全部组件在关于其对于本地数据等类似数据的保密性的潜在安全风险方面都是否被允许使用。

从移动电话和在那里应用的应用程序中已知的是，在使用之前为使用者示出信息页面，其给出的消息为：是否应当或允许使用一定的外围设备、如摄像头或麦克风或扬声器，并且是否例如访问个人地址簿和类似的数据。

从该应用情况中已知的关于App的访问权限的信息，通常通过App的制造商提供。此外，使用者能够反对使用特定的外围设备、如摄像头、麦克风和类似的或者开放对它们的使用，又或者也允许或禁止对装置的数据、如地址簿等等的访问。

问题在于，在已知的有关保密的数据信息的使用的信息中App的制造商的必须是值得信赖的，因为展示的信息通常来自于该制造商。甚至存在对App的运营商的检查，然而这种检查在通常是以抽样的形式并基本上手动地进行。

发明内容

尤其对于在App设备的工业化的环境中的使用来说，目的在于，可靠地在有关其潜在的安全风险方面对所提供的App或应用容器分级并且为应用者提供这些信息。

该目的的根据本发明的解决方案的核心思想在于，不仅要分析相应的应用或App访问了哪些数据，尤其是哪些工业化的控制器或工业化的操作和监视装置的数据点，而且另一方面分析利用这些数据会发生什么、即具体地利用哪些程序、子程序和库功能处理这些数据并且如有可能经由那些接口将数据提供给哪些接收者。基本上，从处理的数据的重要性或保密性以及数据处理或传输的类型中，获取或高或低的安全风险或对于入侵或滥用的相应“暴露”(攻击目标)。基本上要自动管理的分级随后转化为对或者整个应用程序或者至少App的部分功能的分级，例如根据信号灯、风险分级器等等的类型。

具体地，该目的通过根据本发明的第一方面的方法和根据本发明的第二方面的系统来实现。

在此，提出一种用于为工业化的边界设备提供关于应用容器的安全信息的方法，其中，应用容器包括应用程序、运行时库和/或执行环境的一部分，特别是操作系统的一部分。在此，在第一步骤中，从应用程序或应用程序的源代码中获取关于由应用程序访问的数据、特别是与边界设备链接的工业化的控制器或公开的云网络中的云应用的数据点的第一信息，其中，在第二步骤中从应用程序或应用程序的源代码中获取关于用于访问数据或用于处理数据的运行时库和/或执行环境的部分的第二信息，其中，在第三步骤中测定与第一信息相关联的保密等级和与第二信息相关联的处理等级，并且其中，在第四步骤中通过将出现的保密等级与出现的处理等级链接而形成安全信息并且将其与应用容器相关联。借助于该方法实现了，生成并且借助于安全信息与应用容器或App的关联为使用者或安装系统提供关于应用容器或App的具体和可靠的安全信息，从而在使用App之前存在关于具体的安全问题或特性的信息。

此外，该目的通过于为工业化的边界设备提供关于应用容器的安全信息的系统实现，其中，应用容器包括应用程序、运行时库和/或执行环境的一部分、特别是操作系统的一部分，并且其中，该系统通过认证软件编程。通过其在第一步骤中从应用程序或应用程序的源代码中获取关于由应用程序访问的数据、特别是与边界设备链接的工业化的控制器或公开的云网络中的云应用的数据点的第一信息，其中，在第二步骤中从应用程序或应用程序的源代码中获取关于用于访问数据或用于处理数据的运行时库和/或执行环境的部分的第二信息，其中，在第三步骤中测定与第一信息相关联的保密等级和与第二信息相关联的处理等级，并且其中，在第四步骤中通过将出现的保密等级与出现的处理等级链接而形成安全信息并且将其应用容器相关联。通过这样的系统能够实现已经根据方法讨论的优点。

本发明的有利的设计方案在各个实施例中给出。本发明的特征和优点能够不仅单独、还以明显的相互组合的形式实现。

有利地，该方法通过在计算机上运行的认证软件自动实施，即该系统不仅测定安全信息，还通过认证来确认由谁实施的认证。有利地，证书不可分离地与安全信息也与应用容器或App连接，从而能够识别对软件以及安全证书的篡改。通过基于对与相应建立的安全证书或有利地与能由此编译地可实施的程序代码相关联的源代码(Source Code)的分析来进行安全性分析，能够适当地考虑软件的通常不想要公开源代码的制造商的保密性要求。尤其属于该情况的是，由可信赖的中立的机构、如例如技术监督协会等来进行自动的认证。

对于所应用的数据来说能够在保密性方面分级地进行归类(保密等级)，类似于此地也能够为用于数据处理的模块(运行库等)限定处理等级。这样的等级例如能够通过数字描述，从而能够在简单的情况下通过保密等级和处理等级之间的乘法以简单的方式形成确定的变量(数据点或其它的保密的信息)的危险程度。因此形成的安全信息或风险等级能够经由多个或全部考虑的数据形成，从而在联合的分析中要么能够根据信号灯或类似的类型形成总数或总体评估，又或者能够实现具有最小值、最大值和临界点的证明的详细的消息。特别有利地能够实现的是，以能机读的数据记录、例如XML数据的形式公开安全信息。为了能够分级数据或数据处理方式，能够例如访问描述的信息、所谓的元信息，其总归已经为多个信息或程序或者库经常也以能机读的形式所添加。此外得出了简单的可行性方式，在其中一方面分析自动化系统的数据点或本地变量的变量名称(“标签标记”)，并且另一方面分析用于数据处理例程的名称，因为这样的名称经常由等级形式的结构化的资料组成。

根据对安全分析的要求配置文件，可能重要的是以读还是写的方式来处理数据。因此在工业化的生产设备、例如化学设备中，对于运行安全来说对执行器的写访问比对状态信息读访问明显更关键。然而从信息安全的角度看，对保密信息的读访问明显比对例如显示装置、显示器等等的写访问更关键。关于以读还是写的方式来处理数据的信息，通常也从库元素、即程序块等的类型中得出。因此，例如用于可视化数据的程序块、通常为数据使用的单元，具有读访问。控制模块通常具有读和写访问。

附图说明

接下来根据附图阐述根据本发明的方法的实施例。该实施例同样用于阐述根据本发明的系统。

在此，图1示出了用于建立或编程应用容器(接下来称为App)的工程化系统、用于生成关于App的安全信息的系统、用于存储和分布App的应用存储器、管理员工作站、边界设备、可编程逻辑控制器和公共网络(即“云”)的示意图。

具体实施方式

借助于工程化系统ENG、即程序员工作站，建立了用于在边界设备ED(Edge-Device)上运行的应用容器APP。在此，不仅将可执行的App、即也能够包括运行库和实施环境的其它元素直到完整的操作系统的(编译的)对象代码、还有相应的源代码SRC(SourceCode)提供给系统S以用于检查。在当前的实施例中，系统S是属于可信赖的机构的技术设备。具体地，其是计算机或服务器，在其上实现了分析程序AE(Assessment Engine)。特别地，在那里检查源代码SRC；然而其也能够保障的是，对象代码、即正好是该源代码SRC的结果的应用容器APP，是检查的内容。

分析装置AE现在分析源代码SRC，这有利地通过多级的方法进行。在用于分析数据访问的步骤中建立由App读或写访问的数据或数据点的表格。这些数据或数据点可以是可编程逻辑控制器PLC的变量(所谓的数据点)，然而也可以涉及自动化网络(控制器PLC布置在其中)和其它的数据源或终端的其它的数据。在此，对所访问的数据或数据点的敏感性进行分级。在当前的实施例中，这根据在可编程逻辑控制器PLC和其它的工业化的构件中经常以分级的方式构建的变量名称来进行。因此，从所谓的具有名称电机.温度的“标签”中可以看出，其涉及与技术装置(电机)相关联的温度信息的传感器值。这样的信息通常不是特别保密的，例如能够在0和10之间的标度(0＝不重要，10＝非常重要)上以值2进行分级。

在第二通路(“Pass”)中，寻找并且分级用于数据处理或数据使用的方法。因此，在实施例中能够找到例程“图表.示图”，其中，名称所指的是，能够因此以图形来显示数据。在关于篡改安全性方面，数据的单纯显示是不关键的，因此能够在0和10之间的标度(0＝不重要，10＝非常重要)上例如评分为0。然而，在数据保护或保密性的意义上的数据安全性方面，进行显示是关键的，但又不像在公共网络中的公开那么关键。在该实例中能够给出6的分级。只要所分析的“标签”“电机.温度”和程序单元“图表.示图”当前在软件中是相互链接的，那么相应的分级信息就是相互关联的，因此例如进行相乘，从而在此能够获取值12。理论上的最小值是0，能达到的最大值是10*10＝100。那么就针对该数据得出了适度的风险信息或安全信息SI。

以所述的类型和方式能够分析完整的应用容器APP，从单独的值中能够生成不同的整体值，根据系统的使用目的和配置这实现了或多或少抽象的整体考虑。因此例如能够显示用于数据安全的“风险信号灯”和用于篡改安全性的另外的风险信号灯。

因此生成的安全信息SI与软件可执行的部分、即应用容器一起在应用存储器R(库，App商店)中建立。定期地为应用存储器R填充各种制造商的多个应用容器，其中，能够通过管理员工作站ADM选择、在可能的情况下购买并且为了传递到目标、即边界设备ED而确定应用(App)。有利地，购买的App的传输直接在应用存储器R和边界设备ED之间进行。在那里将应用容器APP载入到运行时环境RT(Runtime-Environment)中并且运行。运行时环境RT通常访问边界设备ED的通信装置KOM，由此一方面给出到具有可编程逻辑控制器PLC的自动化网络的连接，并且另一方面能够实现与公共网络、云CL的通信。

在选择和可能的购买应用程序或应用容器APP的过程中，在管理员的工作站ADM上在屏幕输出中显示安全信息SI。安全信息可以以总计的信息的形式根据信号灯的类型(红色＝大风险，绿色＝小风险)显现，然而通常将各种考虑的数据总结成等级(传感器数据、执行机构数据、商业数据、…)，从而能够实现详细的报告。一方面，工作站的操作者ADM(管理员)在这些信息的基础上决定，应用容器APP满足其要求还是不满足要求。然而，其也能够在一个有利的设计方案中单独关闭或开启数据处理模块(例如用于显示信息，用于传输数据，协议化功能等)。这些关闭信息或开启信息随后与应用容器APP一起传输到运行环境RT并且在那里相应地进行考虑。

在附加的工作步骤(未示出)中能够检查的是，应用容器APP和所相关联的安全信息SI是否有效地认证，由谁对其认证，证书有效期多长等。因此能够实现的是，相关联用(APP)的通信行为(连通性)和敏感数据的访问自动分级并且提供这些信息。