PLC变更管理
自动化控制系统通常包括一组PC工作站、可编程逻辑控制器(plc)、机器人控制器和HMI(人机界面)工作站。控制逻辑要么存储在设备中,要么存储在相关的工作站上,并可能涉及大量的相关文件和可执行程序,这些文件和程序被分组为“项目”。
相关阅读
安全:你花的钱够吗?
开放和安全的控件(包括其他相关的阅读链接)
网络安全指导
美国政府问责局表示,控制系统面临网络攻击的风险
自动化控制系统通常包括一组PC工作站、可编程逻辑控制器(plc)、机器人控制器和HMI(人机界面)工作站。控制逻辑要么存储在设备中,要么存储在相关的工作站上,并可能涉及大量的相关文件和可执行程序,这些文件和程序被分组到“项目”中。这种复杂性对检测未经授权的、具有潜在危险的程序更改提出了挑战,特别是在存在来自多个供应商的系统以及相关的各种程序开发和设备管理工具的情况下。
直到最近,专有协议和网络隔离为抵御外部威胁提供了足够的安全性。然而,许多供应商正在放弃专有通信机制,以降低成本和提高可靠性。类似地,越来越多的设备管理转向基于pc的工作站和其他开放系统。向标准协议和操作系统的过渡使得现代设备和系统更容易受到攻击。
风险区域
内部风险有几种形式。最明显的是有适当权限和系统知识的不满员工。虽然系统设计和联锁可以防止大多数灾难性事件,但更容易进行导致系统停机的更改。变更管理系统在检测和防止此类场景中的作用在于这些威胁通常是如何表现的:怀有恶意的人经常会修改程序,以便在未来的某个时间执行不希望的操作,而不是在变更的时刻。在植入恶意代码和触发恶意代码之间的时间内,变更管理系统可以检测损害,向适当的人员发出警报,并防止有害情况的发生。
第二种形式的内部风险是某人对系统参数进行了不正确的更改,破坏了正常运行的代码。虽然培训和数据备份很有帮助,但这还不够。即使是受过最好训练的人员也会犯错。数据备份系统通常以服务器数据为主,很少备份专有设备中的逻辑。在这种情况下,变更管理系统的作用是使以前验证过的和文档化的程序版本可用。
第三种形式的内部风险在于在进行系统更改之前缺乏审批流程。当承包商被引入并允许进行更改或裁员时,这个问题会变得更加严重。在这种情况下,变更管理系统的作用是提供变更的批准过程和审计跟踪。
最近有很多关于那些怀有恶意的人所构成的外部威胁的文章。正确使用防火墙、dmz(非军事区:位于可信内部网络之间的计算机或小型子网)和访问限制是确保关键任务系统安全的关键。但是,这些步骤并不跟踪对控制系统的实际更改。要实现这种级别的安全性,需要变更管理系统将当前使用的逻辑与参考副本进行比较。
检测自动化设备变化的另一个挑战在于设备本身的设计。许多允许直接连接到处理器,就像PLC一样,绕过网络安全和验证。为了及时发现这些变化,有必要经常寻找它们。自动化这一过程是实现这一目标的更精确的方法,而不是定期的粗略的审查。
控制系统更改的类型
| 身份验证 | 实时变化 | 时滞的变化 |
| 使用正确的认证 | •变更管理系统将包含代码最后授权版本的副本。 | •变更管理系统将包含代码最后授权版本的副本。 |
| •变更管理系统与其他供应商应用程序一起工作,以捕获变更历史和审计跟踪。 | •变更管理系统与其他供应商应用程序一起工作,以捕获变更历史和审计跟踪。 | |
| 绕过身份验证 | •变更管理系统将包含代码最后授权版本的副本。 | •CMS定期对引用文件进行设备逻辑扫描和比较。检测到更改时向人员发出警报。 |
| •在某些情况下,CMS可以检测到与工厂设备的直接通信并发出警报。 | ||
| 注:CMS=change management system来源:Control Engineering,数据来自MDT Software | ||
| 作者信息 |
| Joe J. Colletti Jr.是MDT Software的总裁; |
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。
