用于监控自动化网络中的安全性的方法以及自动化网络的制作方法
【技术领域】
[0001]本发明涉及一种:根据权利要求1的前序部分所述的、用于监控自动化网络中的安全性的方法,在该自动化网络中,多个数据处理设备为了数据通信相互连接;以及用于工业自动化的相应的网络。
【背景技术】
[0002]从数据处理的角度看,工业自动化网络由数据网络以及数据处理设备构成,该数据处理设备为了实施数据通信,通过数据网络相互连接。例如,为了能够从远离的站点操作通过自动化网络所自动化的工业设备,自动化网络能够例如借助于网关连接在公共的网络上,例如因特网上。在实现现代的自动化网络中的多样化的优点导致更多地使用像以太网这样的IT技术和互联网协议(IP)。然而,这导致了安全风险的增高,例如通过从外界未授权地入侵相应的自动化网络。
[0003]在Anna Palmin, Stefan Runde 和 Pierre Kobes 在 atp 中公开的文章“完整的设备范围的安全管理-用于自动化保护的工具(Ganzheitliches anlagenweites SecurityManagement - Werkzeuge filr die automatisierte UnterstUtzung),,,2012年 3 月,34 页到40页,中描述了用于改善工业自动化网络中的安全性的措施。整体安全管理范畴内的主要措施中的一个是获取并评估报告,使得其在事件发生时生成自动化网络的不同组件,并且使得其也许能够发现攻击。上级的单元收集这些报告,并且对其进行评估,以便从所报告的单个事件或组合中识别多个事件,看是否真正地出现了攻击,并且在可能的情况下将其报告给某个位置,从而能够采用合适的措施,作为对识别出的攻击的反应。这种功能性被称为安全事件管理(SEM)。另外的功能性涉及报告的生成,以便证明对准则的遵守。这被称为安全信息管理(SM)。如果一个单元将两个所述的功能统一起来,那么这个单元被称为安全信息及事件管理(SIEM)。具有在自动化网络中用于实现SIEM的软件工具的计算单元在上述的文章中作为安全站进行介绍。该安全站在结构上归为流程引导系统(PLS)。操作站以及安全站能够共同地在一台个人电脑(PC)上或者在两台分开的个人电脑上运行。安全站同样也能够在一个已经存在的维护站上实现。该维护站用于将安全管理集成到流程引导系统中,并且使之与设备自动化并行地运行。因此,在设备的现有的视角、例如运行视角和维护视角上又补充了附加的集成的安全视角。此外,还能够利用存在于自动化网络中的报告系统和存档系统,以便处理针对与安全性相关的事件生成的报告。作为集成的软件工具的代替,安全站能实现为独立于具体的产品的并且具有明确限定的端口的工具。因此,能够灵活地在PLS 和 SCADA系统(Supervisory Control and Data Acquisit1n,监测控制及数据米集)的背景中使用。安全站的软件工具用于监控自动化网络中的安全性,即根据报告的获取和评估,这些报告生成,了经常被称为操作站的操作单元、可存储器编程的控制系统、所谓的控制器、网络组件、例如路由器、交换器或网关、或者场装置、例如控制件或用于压力、温度或流量的测量数值变换器。这些装置在此统一称为数据处理设备,或者简称为事件源,并且基于其相应的预配置在安全相关的事件中生成这些相应的报告。例如,安全相关的事件是在Windows Event Log中获取的PC处的所识别的失败的报告尝试,或者对通过防火墙防御了的、并且可能的情况下被写入了日志数据库的IP地址的所识别的未经授权的访问。在SIEM系统的所谓的连接器中,对报告的事件进行了标准化。这种标准化通常作为SIEM的数据结构上的单个的组件的或参数的实例来实现。在此,存在用于集成像交换机、防火墙和路由器这样的系统日志和/或SNMP可用的组件的预制的连接器以及用于集成Windows组件的连接器。
[0004]SIEM系统通常在工程阶段中、即在规划和启用自动化技术的设备时进行配置。此夕卜,配置包括在使用相应的连接器的情况下将考虑用作安全相关的事件的报告的来源的数据处理设备连接到SIEM系统上。在此寻求的是,SIEM系统不与对其来说不知道的事件报告的来源交流,因为这能够损害安全监控的可靠性。同样确保的是,在出现安全相关的事件时,通过所涉及到的数据处理设备真正地生成相应的报告。
[0005]在自动化设备中使用的SIEM系统的首要目标在于,及时识别并评估有关攻击尝试或者与正常状态有偏差的迹象。通过SIEM系统,应该能够实现的是,及时并恰当地对攻击尝试和不正常做出反应。
【发明内容】
[0006]本发明的目的在于,改善对自动化网络中的攻击尝试的或与正常状态有偏差的迹象的识别的质量或可靠性。
[0007]为了实现该目的,用于监控自动化网络中的安全性的新的方法具有在权利要求1中提出的特征,并且新的自动化网络具有在权利要求8中提出的特征。在从属权利要求中描述了本发明的有利的改进方案,在权利要求9中描述了一种电脑程序,并且在权利要求10中描述了一种电脑程序产品。
[0008]本发明基于以下认识,即对于攻击尝试或者与正常状态的偏差的识别的质量来说,除了例如在SIEM系统中应用的、被称为关联引擎的评估单元的质量之外,在应用这个评估单元的情况下提出的规则的质量也是至关重要的,为了进行识别所需要的安全相关的事件由自动化技术的设备的、在此被称为数据处理设备的组件在评估单元处可靠地、即例如符合在数据处理设备中预配置的规则地、并且在传输时不损失报告的情况下、以及防恶意操控地进行传输。现在以有利的方式确保了例如连接在SIEM系统上的、在工程阶段中适当的预配置的数据处理设备作为安全相关的事件的报告的来源,在自动化网络的运行中也真实地报告了属于其标准范围的安全相关的事件。如果禁止在数据处理设备中生成相应的报告,例如通过在预配置时进行的设置的无意的变化,那么其当时就会被识别。此外,以有利的方式确保了在SIEM系统中根据具体情况运行所谓的连接器,其也被称为代理程序或传送器,并且其在第一软件工具中负责将安全相关的事件的报告从作为报告源的数据处理设备传输给评估单元。连接器的根据具体情况的行为的偏差,例如如果连接器由于技术问题不再向第一软件工具的评估单元传输事件,那么这就会通过第二软件工具来识别。
[0009]原则上根据报告的获取和评估,不能够决定性地、例如通过伪随机发生器控制地或者由事件控制地触发通过第二软件工具进行的检查。优选地,决定性地或者周期性地以预定的或者可预定的最大时间间隔对报告生成进行检查。这具有的优点在于自动化网络中的安全性的监控的特别好的可靠性。
[0010]如果为了检查报告的生成而借助于第二软件工具模拟攻击场景(Szenar1),在这些攻击场景下,通过所述至少一个数据处理设备在无故障的状态下生成符合相应的场景的报告,那么就能够进一步提高可靠性。明显地,在第一软件工具中从进一步的评估中排除基于模拟攻击场景生成的报告,以便不触发错误警报,或者从传输中排除基于这些报告生成的警报。
[0011]在一个特别有利的改进方案中,为了检查通过第一软件工具对报告进行的评估,借助于第二软件工具生成经过处理的报告,这些报告对应于在出现安全相关的事件时通过数据处理设备生成的报告。以这种方式能够有利地检查,是否识别到木马或者其他的“恶意程序”,也就是自动化网络中的有害数据。由此进一步改善了安全性的监控。
[0012]在另一个特别有利的设计方案中,第一软件工具是自动化网络中的第一 SIEM系统的组件,并且第二软件工具是第二 SIEM系统的组件,该第