用于運行工業(yè)控制系統(tǒng)的方法，其中所述工業(yè)控制系統(tǒng)例如是能量生成和傳輸系統(tǒng)和/或制造系統(tǒng)，其中所述控制系統(tǒng)的每個層次級別都是安全層次級別，每個層次級別都形成單獨的、封閉的安全等級，這些安全等級分別具有自己的針對所述控制系統(tǒng)的相應層次等級的信任錨，使得在由檢查機構、例如固件識別出單個層次或多個層次的功能受損的情況下，系統(tǒng)的整體完整性不受損害，因為在這種情況下只有受損的功能以及被明確地分配給所述功能的信任錨、尤其是層次被標識和/或被切斷。

技術領域

本發(fā)明涉及一種用于運行工業(yè)控制系統(tǒng)的方法，其中該工業(yè)控制系統(tǒng)例如是能量生成和傳輸系統(tǒng)和/或制造系統(tǒng)。

背景技術

根據(jù)現(xiàn)有技術，對多個安全層次/應用場景的實現(xiàn)都是歸因于值得信任的機構（Instanz），其中對多個安全層次/應用場景的實現(xiàn)例如為：在系統(tǒng)啟動時對固件進行的安全加載（Secure Boot（安全啟動））以及對設備機密進行的或與此相關聯(lián)地也對設備身份進行的安全存儲（Secure Storage）。

系統(tǒng)的完整性——例如沙箱（Sandboxen）、安全啟動（Secure Boot）、安全通信（Secure Communication）、安全存儲（Secure Storage）和設備身份——因此取決于單個信任源、信任錨（“信任根（Root of Trust）”）的完整性。

如果信任源的完整性被破壞，則這對所有層次/場景都有影響。這種破壞的示例是讀取/操縱AES密鑰，其中該AES密鑰被用于簽名/加密。

在現(xiàn)有技術中，在單個安全層次或安全特征中的安全漏洞會損害系統(tǒng)的整體完整性，這是因為多個、常常甚至是全部的安全特征都彼此相關。這應在本申請中得以避免。

發(fā)明內(nèi)容

因而，本發(fā)明的任務是提供一種工業(yè)控制系統(tǒng)，該工業(yè)控制系統(tǒng)例如是能量生成和傳輸系統(tǒng)和/或制造系統(tǒng)，在控制系統(tǒng)中存在安全漏洞的情況下，該工業(yè)控制系統(tǒng)部分地、優(yōu)選完全地保持該系統(tǒng)的整體完整性。

借助于針對每個單獨用例（安全啟動、安全存儲等等）的單獨的、封閉的（abgeschlossen）安全層次，將該風險至少最小化，優(yōu)選地甚至完全排除。因而，首次實現(xiàn)了：在部分完整性失效時保證設備部分完整性。

通過廣泛使用不同機制來提高設備整體完整性，因為在有安全薄弱處以及對其利用的情況下只會廢除相應的安全特征/場景（Security Feature/Szenario）。其它的安全特征/場景并沒有被涉及到并且仍始終具備自身的完整性。因此，始終保證設備完整性。

因而，這里所描述的方法尤其基于：提供至少一個第一層次級別（Hierarchieebene）以及至少一個第二層次級別，其中這些層次級別彼此處于交換中、尤其是以數(shù)據(jù)技術方式進行的交換中，使得給每個單獨的層次級別分配至少一個特定的用于對控制系統(tǒng)進行控制和/或調(diào)節(jié)的功能。

“控制系統(tǒng)的層次級別”尤其可以被理解為從主處理器的角度出發(fā)對計算機架構的存儲器進行的布局，其中可以通過訪問速度的大小、降低的成本和/或增加的存儲容量和/或增加的訪問單元來對層次級別進行排序。

在本發(fā)明的意義上，也可以將術語“層次級別”理解為至少一個安全模塊?！鞍踩K”可以被理解為安全證書（然而這并不是強制的）。這些安全模塊可以布置在一個級別（一個層次）下或布置在一個排序等級（即一個共同的層次等級（Hierarchiestufe））之內(nèi)。換言之，這些安全模塊于是并非以分層次的方式來被構建。在至少一個實施方式中，這些安全模塊對應于并行（parallel）構建的安全場景。

存儲器層次可以是處理器寄存器、處理器緩存、工作存儲器、分布式存儲器、大容量存儲器和/或可移動數(shù)據(jù)載體。

控制系統(tǒng)的數(shù)據(jù)庫中的不同的存儲器級別（Speicherebene）也可以根據(jù)它們的速度而定被稱作主存儲器、次存儲器或三級存儲器。