Wurldtech Achilles网络安全测试
当客户不能等待标准组织时,测试协议可以来自其他来源。
如果您想指定产品要求,但没有相关的标准或测试机构,会发生什么情况?网络安全就是一个很好的例子。您如何指定并测试您的新控制系统是否经得起攻击?
假设你要为你的过程装置的某些部分购买一个新的控制系统。作为一个开明的买家,你关注网络安全问题,并希望确保你的供应商创建了一个强大而安全的平台。你的供应商说这个平台当然是健壮和安全的。所以你要寻找定义和量化这些术语的方法以一种双方都同意的方式。不幸的是,虽然关于如何使系统强大的主题已经写了很多文章,但很少有被批准的标准,也很少有测试或认证的选择。你会怎么做呢?一群石油公司发现自己正处于这样的境地。
内特·库贝博士,首席技术官Wurldtech他专注于鲁棒性测试,并设计了方法来检查网络及其对网络攻击和其他不良网络条件的恢复能力。他说:“在我们的认证项目之前,运营商没有真正的、简单的方法来指定安全性或健壮性要求,供应商也没有真正的方法来证明他有一个健壮的设备。”“所以差距很大。标准机构正在做一些工作,例如ISA SP99,但完成日期相当遥远。当时还没有可供运营商立即使用的程序。”
在2007年的PCSF年会上,Kube介绍了从他的学术工作和行业经验中发展出来的测试方法,以及如何在更大的测试项目中使用这些方法。关键行业的一组用户喜欢他们所听到的内容,并表示支持以一种可以用于测试和产品评估的形式将这些工作结合在一起。Wurldtech开始认真地开发Achilles程序,这些用户开始向他们的供应商指定这个初步测试,这个过程很快就正规化了。
Kube补充说:“我们遵循IEC和ISO指南进行适当的产品认证测试。“在缺乏标准的情况下,我们根据自己的经验、一些行业专家以及大型终端用户的反馈,提出了一份应该执行的测试清单,以演示和量化控制器的鲁棒性。随着项目的发展和越来越正式,它开始出现在采购文件中。所以,当一家大公司想要竞标一个新设施时,现在阿基里斯1级测试可能是对控制器和安全系统的要求。”
在阿基里斯的开发过程中,Kube努力摆脱传统的测试方法,认为它们不适用于日益复杂的控制应用。正如他所描述的那样,“过去的通信测试主要是基于一致性的,也就是说,您的设备是否按照某些协议规范进行响应?有一整个领域的负面测试被遗漏了,所以让我们发送一个几乎正确的消息,看看设备如何回应。我们发现,杀死设备、杀死它们的I/O例程、清除它们的编程,并基于发送稍微畸形的网络数据包对这些设备做可怕的事情是非常容易的。这就是为什么我们称之为稳健性和弹性测试。融合网络拓扑的实例越来越多,在这种拓扑中,安全管理和控制共享一个总线,并增加与企业网络的连接性。现在您有了所有这些畸形或不良流量或黑客流量的新途径,可以进入您的控制网络并影响关键系统。因此,在控制器上进行负测试或鲁棒性测试变得越来越重要。我们在模拟黑客或恐怖分子可能利用的东西。协议实现健壮吗? Does it handle exceptional conditions? If I send it a bad packet, will the implementation fault? Can I send it high rates of traffic and have it retain its control functionality in such an event? When a device has an Achilles Level 1 certificate, it means that the device is solid at network layers two through four. It will maintain its operational functionality in the presence of some extremely harsh network conditions.”
基于终端用户和系统开发人员的需求,Achilles测试已经开始流行起来。目前,已有12个控制平台通过了一级认证,其他控制平台正在建设中。
ABB
Plantguard控制器
AC 800M控制器
爱默生
均控制器
霍尼韦尔
Experion PKS C300
ICS三层
值得信赖的控制器
“诱导多能性”
三叉戟控制器
Tricon控制器
康斯贝格
RCU 501控制器
日本横河
FCJ控制器
ProSafe-RS Vnet/IP安全控制单元
CENTUM cs3000r3现场控制单元
CENTUM cs3000 R3 Vnet路由器
其他组织也在研究类似的测试策略,但目前,Achilles认证已经在关键行业中确立了领先的协议地位。
有关网络安全的更多信息,请阅读我们与恩卡利的马特·卢艾伦和史蒂夫·汉堡合作的新博客.
-过程工业编辑彼得·韦兰德PWelander@cfemedia.com,
过程与高级控制每月电子通讯
在这里注册,向下滚动选择您选择的免费电子新闻.
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。
