本申請是基于申請日為2006年10月5日、申請號為

200680036993.1（國際申請號為PCT/CA2006/001639）、發明創造名稱為“網絡安全設備”的中國專利申請的分案申請。

技術領域

本發明涉及工業網絡安全，尤其涉及網絡安全設備以及部署和管理這些設備以保護工業裝置的方法。

背景技術

在對諸如發電和配電、石油生產、運輸、制造和健康服務之類的關鍵工業系統進行管理時使用的監視控制和數據采集（SCADA）和自動控制設備通過使用諸如Ethernet、TCP/IP和web服務之類的流行通信技術日益互連起來。雖然SCADA和自動控制設備的聯網以改進的信息流和效率的形式帶來相當多的優點，但是一旦從世界各地都可以訪問分離的裝置和網絡時，這些系統也有可能受到病毒、黑客和恐怖分子的威脅。當前，存在大量的保護不充分的控制裝置遍布世界各地。這些控制裝置負責諸如電力傳輸變電所、氣體管線、制造工廠等等的關鍵系統和基礎設施的安全操作，然而同時很大程度上未對它們進行保護以避免它們成為惡意攻擊的目標。

傳統的安全解決方案是基于用來保護不安全的內部裝置或計算機不受外界攻擊的中心防火墻，這種設計不能滿足工業控制領域的要求。現存的控制器不提供驗證、完整（integrity）或加密機制，并且可以被任何能夠發現或“ping”該網絡和相關裝置的個人完全地控制。另外，他們不易于被修補或者添加安全特性。一旦病毒或黑客設法沖破（或已經進入）傳統防火墻，由防火墻保護的諸如典型的可編程邏輯控制器（PLC）或分布控制系統（DCS）之類的裝置就成為易于攻擊的目標。

在很多諸如輸油管線或配電系統的工業環境中，在包括偏遠區域的寬廣地域上可以分布著數以百計的控制器裝置。在這些偏遠區域通常沒有具備管理傳統安全裝置技能的人員，因此即使裝置只需要進行少量本地配置也是無法接受的。例如，提供“透明的”操作的當前防火墻產品仍然需要網絡屬性（諸如IP地址、網關和網絡掩碼）的本地配置，否則它們就無法被遠程控制，這是SCADA領域的一個嚴重的缺點。同樣地，由于在這些分布控制系統中存在大量的分離區域（每個都需要防火墻），所以需要從中心區域同時管理數以百計的防火墻的技術，這就排除了采用基于“逐個”管理的流行小型辦公室防火墻解決方案。

使該問題復雜化的是市場上存在數以千計不同的工業控制裝置的零部件，其中每一個零部件采用了350種以上的已知SCADA通信協議中的一種或多種進行通信。每種控制裝置都需要非常特殊的安全規則以被正確保護，例如一種流行的PLC對于包含超過125個字符的URL的web請求具有不常見但是眾所周知的安全問題。在傳統防火墻中人工地為每個被保護裝置的各個漏洞創建不同的規則會使整個防火墻配置極度地復雜并且有很可能導致配置錯誤。

最后，操作和維護這些SCADA系統的工作人員必然是進行了高度培訓的控制系統專家，而不是信息技術或安全專家。因此，這些安全系統的管理需要基于控制技術人員能夠理解的新范例，而不是傳統的關注于網絡系統的管理和配置的網絡技術。如果沒有針對控制技術人員和控制產品的解決方案，則可能在任何安全解決方案的建立和管理中出現嚴重缺陷。

因此，需要用于SCADA和自動控制設備的網絡安全設備，該網絡安全設備易于配置并且可被遠程可控，并且有助于保護廣泛分布工業環境中的具備網絡功能的控制設備。

發明內容

提供了一種用于保護網絡環境中的工業裝置的方法、設備和系統。在工業裝置的通信路徑上配置安全設備或節點，所述安全設備或節點在裝置和網絡之間透明地橋接業務。當與管理服務器通信時，安全設備利用工業裝置的網址，并且管理服務器使用該裝置的地址訪問該安全設備。安全設備沒有唯一的地址，并且通過利用裝置地址而不是唯一的地址并利用數據加密來提供隱身能力。

安全設備通過監視經過的業務來獲知正在被保護的裝置的特征。該特征然后被提供給管理服務器，該管理服務器能使軟件和安全規則適合于裝置的特殊網絡漏洞和裝置所使用的控制協議。配置數據通過安全連接被傳送給裝置，然后被用于配置安全設備的安全模塊。安全設備攔截數據包并且確定該包是來自于管理服務器還是網絡上的其它裝置，以及是否應該被發送到終端裝置或從終端裝置發送。如果業務指向終端裝置，則安全模塊管理業務以保證裝置安全。安全設備利用裝置網址將周期心跳消息發送給管理服務器。心跳消息還可以描述需要從管理服務器向節點提供附加軟件的異常事件。