Browse Prior Art Database

Integration einer Sicherheitsstation in eine prozessleittechnische Anlage

IP.com Disclosure Number: IPCOM000193767D
Published in the IP.com Journal: Volume 10 Issue 3B (2010-03-24)
Included in the Prior Art Database: 2010-Mar-24
Document File: 4 page(s) / 187K

Publishing Venue

Siemens

Related People

Juergen Carstens: CONTACT

Abstract

Bei prozessleittechnischen Anlagen treten aehnliche Sicherheitsprobleme auf wie in IT-Systemen (IT: Information Technology). Ein Grund dafuer ist der strukturelle Uebergang von dezentralen Rechnerarchitekturen zu offenen und heterogenen Systemen, die ueber Internettechnologien weitlaeufig vernetzt werden. Ueblicherweise lassen sich Loesungen der IT-Sicherheit von Bueroanwendungen nicht auf prozessleittechnische Anlagen uebertragen. Daher werden bisher Sicherheitsmassnahmen speziell fuer die Absicherung von prozessleittechnischen Anlagen konzipiert und entwickelt. Eine bisherige Loesung sieht eine benutzerspezifische zentrale Freischaltung von Netzwerkressourcen in einem sicheren Automatisierungsnetzwerk (SAN) vor. Allerdings ist bei dieser Loesung kein Mechanismus vorgesehen, der die Feldebene gegen direkte Angriffe sichert. Eine weitere Loesung sieht ein Prozessleitsystem vor, bei dem ein Teil der Daten verschluesselt uebertragen werden. Aufgrund der eingesetzten Verschluesselung koennen auch Feldgeraete vor unberechtigtem Abhoeren geschuetzt werden. Um allerdings einen umfassenden Schutz gewaehrleisten zu koennen, muessen zusaetzliche Verfahren eingesetzt werden.

This text was extracted from a PDF file.
At least one non-text object (such as an image or picture) has been suppressed.
This is the abbreviated version, containing approximately 31% of the total text.

Page 1 of 4

Integration einer Sicherheitsstation in eine prozessleittechnische Anlage

Idee: Anna Palmin, DE-Karlsruhe; Karl-Heinz Kirchberg, DE-Karlsruhe; Dr. Kurt Dirk Bettenhausen,
DE-Karlsruhe; Stefan Lueder, DE-Karlsruhe; Kurt Schulmeister, DE-Karlsruhe; Christian Bauer, DE-Karlsruhe

Bei prozessleittechnischen Anlagen treten aehnliche Sicherheitsprobleme auf wie in IT-Systemen (IT: Information Technology). Ein Grund dafuer ist der strukturelle Uebergang von dezentralen Rechnerarchitekturen zu offenen und heterogenen Systemen, die ueber Internettechnologien weitlaeufig vernetzt werden. Ueblicherweise lassen sich Loesungen der IT-Sicherheit von Bueroanwendungen nicht auf prozessleittechnische Anlagen uebertragen. Daher werden bisher Sicherheitsmassnahmen speziell fuer die Absicherung von prozessleittechnischen Anlagen konzipiert und entwickelt.

Eine bisherige Loesung sieht eine benutzerspezifische zentrale Freischaltung von Netzwerkressourcen in einem sicheren Automatisierungsnetzwerk (SAN) vor. Allerdings ist bei dieser Loesung kein Mechanismus vorgesehen, der die Feldebene gegen direkte Angriffe sichert. Eine weitere Loesung sieht ein Prozessleitsystem vor, bei dem ein Teil der Daten verschluesselt uebertragen werden. Aufgrund der eingesetzten Verschluesselung koennen auch Feldgeraete vor unberechtigtem Abhoeren geschuetzt werden. Um allerdings einen umfassenden Schutz gewaehrleisten zu koennen, muessen zusaetzliche Verfahren eingesetzt werden.

Eine weitere bisherige Loesung basiert auf einem Verfahren, bei dem der Schutzbedarf einer Anlage ermittelt wird. Anhand des ermittelten Schutzbedarfs werden die Schutzziele festgelegt, die entsprechenden Sicherheitsmassnahmen ausgewaehlt und ein Soll-Zustand der Sicherheit eingestellt. Mit den beschriebenen Loesungen kann bisher kein umfassendes, rechnergestuetztes und anlagennahes Sicherheitsmanagement realisiert werden, durch das ein optimaler Schutz gewaehrleistet werden kann, selbst bei moeglichen Veraenderungen der Hardware-Konfiguration der Anlage oder eines anderen Bedrohungspotenzials.

Daher wird eine neuartige Loesung vorgeschlagen, die vorsieht, ein Sicherheitsmanagement in ein Prozessleitsystem zu integrieren, das parallel zu der Anlagenautomatisierung laeuft. Es wird dabei eine Sicherheitsstation, im Folgenden auch als Security Station bezeichnet, vorgeschlagen. In der Sicherheitsstation werden alle diagnosefaehigen Komponenten, wie z.B. Personal Computers, Buskomponenten, Netzwerkkomponenten, Automatisierungssysteme, die vollstaendige dezentrale Peripherie, intelligente und u.a. drahtlose Feldgeraete als auch konventionelle Komponenten hierarchisch abgebildet. Die eigentliche Bedienstation und die Sicherheitsstation laufen entweder auf einem gemeinsamen Rechner oder auf verschiedenen Rechnern. Bei dem Einsatz verschiedener Rechner wird nach jeder Aktualisierung das auf der Engineering-Station vorhandene Projekt mit der Hardware-Konfiguration der Anlage auf die Sicherheitsstation autom...