工业安全企业之所以能够享有大量的公共市场,很大一部分原因还得归功于Stuxnet病毒的出现。如今“由软件发起的对工业目标的直接攻击”这一概念已经得到了广泛认识,于是企业在针对这一情况的安全投资方面变得毫不吝啬。
LutzJNIcke是位于Berlin的Innominate安全技术公司的技术主管。他说:“Stuxnet病毒对于工业界而言就是一份礼物。这些年来,我们一直提醒人们注意病毒入侵,如今他们真正见识了这一情况。工业PC和PLC可能受到黑客攻击,而且也确实有人是这么干的。现在是时候行动起来了。”
CPU和FPGAI/O的结合
六年前,NationalInstruments推出了一款名为ComPACtRIO或者cRIO的新型控制器。这款控制器同时带有一枚处理器和一枚可重复配置的可编程门阵列(FPGA)。工程师可以通过NI的labview软件对其进行编程,从而快速实现对硬件的配置。如今,FPGA的应用变得越来越广泛,对FPGA编程的工程成本也在下降。这些因素激发了CPU与现场FPGA整合这一思想的发展。
超安全PLC
对于安全公司而言,2010年的SPS/IPC/Drives展会举办之际恰逢Stuxnet危机出现后的几个月,可以说来得正是时候。这是Innominate公司携手其兄弟公司PheonixContact发布超安全PLC——KW-Software的最佳时机。
大多数IT安全公司以监控通信的方式企图阻止存在安全隐患的软件。因此,他们的数据库必须通过不断更新加入最新的故障信息,才能阻止黑客攻击。然而,Innominate公司采取的安全策略是持续地对工业PC内的软件实施监控,从而观察基本配置是否突然发生了改变。一般来说,如果蠕虫病毒侵入了系统,那么它们就会到处植入微型软件。这些软件往往小到不会引起注意,但是Innominate的软件能够在几个毫秒内发现他们并且对它们的危险性作一次评估,然后指导用户如何处理它们。Jnicke博士说,其实最佳的解决方案就是彻底清空系统并重新安装全新的软件包。
但是,这种策略需要一套独立的硬件对PC或PLC实施监控。于是一个想法产生了,为何不将两者整合到同一个模块中呢?借助虚拟化技术,这种想法在KW-Software上成为了现实。
Innominate将其称为超安全PLC,实际上就是一台建立在IntelAtomZ530处理器平台上的工业PC。这台合二为一的机器以WindRiver的Hypervisor作为基础软件。虚拟的mGuard安全应用程序在Linux平台上运行,对网络上的通信情况进行监控。KW-Software的软PLC基于VxWorks运行,并且只有通过mGuard才能与外界(Profinet)取得通信。另一台辅助PC,例如一台桌面电脑或笔记本电脑,进行符合IEC61131标准的编程操作并且实现一些与Profinet相关的配置。mGuard自身则可以通过网络接口在浏览器上进行配置。
Jnicke博士说:“目前为止,这套控制方案只能够采用面向PLC和安全应用的专用硬件。随着虚拟化技术的发展,更多节约成本的方案将会被推出,例如对CPU进行集成。实现这些方案的前提有两个,首先是软件不依赖于某一种硬件运行,其次是有适合工业应用并且适应不同处理器架构的Hypervisor推出。”