图像
图像
轨道60状态监测
轨道的文章

轨道60系列更新:网络安全状态监测!

14分钟阅读
约翰
约翰Kingham
战略现场应用工程师


介绍
图像
轨道60银奖状态监测

欢迎回到我们2021年轨道60的第一个季度更新。轨道60是本特内华达最新的状态监测、保护和数据集成平台。在上个季度的更新中,我们讨论了输出卡的增强,以及我们如何TM系统1,连通TM到您的DCS/历史学家,并输出到您的远程显示器。

图像
轨道连接Axess扩展商标

在这次更新中,我们将更详细地讨论我们如何TM系统1具有状态监测监测模块(CMM),特别强调其固有的网络安全能力;Orbit 60还允许在一个系统中使用多个cmm,以及所有这些扩展功能如何在部署中节省您的时间和金钱。以后的一篇文章将介绍我们的XtendTM与其他技术相比,它可以连接多个机箱,并利用远程I/O,从而在您的设施中安装Orbit 60系统时,进一步节省大量的部署成本。这里要快速提醒您,本文中讨论的一些功能在第一个版本中可能不提供,但在我们的产品路线图中会坚决提供,以便将来进行增强。

图1 -典型的3500/ system1网络架构
图1 -典型的3500/ system1网络架构。注意,在System 1数据采集服务器和业务网络之间设置了防火墙。通常在过程控制(DCS)和系统1之间也有一个防火墙。

网络安全——我们客户的第一要务

在今天的环境中,每个人都警惕黑客,以及他们的网络攻击可能造成的损害。一些黑客是受到挑战和/或金钱奖励的激励,但也有“国家资助”的黑客,他们背后有资金,他们的任务是造成经济、声誉甚至恐怖主义损害。

NERC, CIP, FERC以及许多工业保险政策要求任何可以改变或中断机器操作的系统,例如跳闸的能力,都是安全的。在操作上,我们的大多数客户通过隔离无法访问互联网的网络上的控制和保护系统来实现这一目标。这些网络通常被称为L1(本特利内华达网络)或L2/2.5(控制网络)。

图2 - Orbit 60的网络安全状态监测模块
图2 - Orbit 60的网络安全状态监测模块可直接连接到L4/业务网络。

通常,Bently Nevada的System 1服务器将位于L2/2.5网络上(见图1),该网络允许System 1服务器与工厂的3500个机架以及过程历史记录进行通信。从数据收集的角度来看,这工作得很好,因为系统1可以访问所有的振动和过程数据(当配置该选项时)。但问题是,系统1的数据无法在业务(L4)网络上访问!由于这是您(用户)每天大部分时间驻留的地方,除非将适当的数据二极管、复杂的防火墙或数据复制(仅限System 1 EVO)集成到网络结构中,否则访问将变得困难。

这意味着一些系统1的用户将不得不从他们的办公室到控制室,或者有时进入一个锁着的房间(通常没有窗户,并且隐藏在一个不方便的位置)来查看系统1的数据,或者对其采样参数进行更改。显然,这并不理想,也不适合实时诊断,甚至不适合主动诊断状态监测

考虑到这些问题,很容易理解为什么当我们咨询客户时,他们最关心的是“确保新系统的网络安全。”

为此,我们花费了大量的时间和精力来确保Orbit 60的网络安全。事实上,在可能的情况下,我们设计的Orbit 60符合IEC/ISA-62443标准的安全级别4(最高级别)1

系统接口模块:
安全级别-修订

3500它最初是在广泛的网络犯罪活动出现之前设计的,配置工具和通信工具被安置在同一张卡上(3500/22)。这使得它们无法在物理上相互分离,这导致在连接系统1时需要采取额外的措施或预防措施。

在60号轨道上,我们把这两个功能分开了。无论系统中包含多少其他底盘,每个Orbit 60系统都将有一个系统接口模块SIM。SIM卡是系统的重要组成部分,是用户登录和配置系统的地方。我们已经在过去的文章中讨论过这个问题,但是需要重复的是,在Orbit 60中,我们已经加强了配置,以便每个用户都有自己的凭据,因此可能具有不同的权限,这取决于整个系统管理员认为适合其角色的权限。对系统的任何更改都有时间戳,并记录了进行更改的人员的姓名。此外,就像在3500机架上一样,有一个可移动的密钥,允许用户将系统设置为“运行”模式,锁定进行任何配置更改的能力,即使用户具有其他适当的凭据。请注意,即使键处于“运行”模式,用户仍然可以登录并查看诊断日志和访问电流值,他们将无法进行任何可能中断机器运行的更改。

1参见侧栏了解IEC/ISA-62443安全级别

使用“信任根”加密密钥和固件代码签名

SIM卡也是我们的核心安全引导系统。我们在SIM卡中验证所有不同的模块及其固件。Orbit 60固件映像使用安全启动保护。本特内华达利用高度安全的第三方公钥基础设施(PKI)提供商来存储和保护我们的私钥。在制造Orbit 60“智能”模块时,密钥对的公共部分被放置在设备的安全存储中。每次模块上电并在Orbit 60设备上执行固件时,都会根据设备上的嵌入式公钥检查哈希签名,以确认它是真实的本特内华达固件,未被篡改或更改。

欲了解更多详情,请参阅我们关于Orbit 60 Security的白皮书。

状态监测模块-单向通信:
轨道轴

为了与系统1通信,有一个单独的、专用的状态监测模块(CMM)。该模块具有专利设计,可提供READ ONLY "TM到监控系统背板上的所有数据。这包括原始波形(包括第一次,Keyphasors®!),计算变量,报警状态和过程数据,如果通信网关为双向启用。连通TM通讯(也是Orbit 60的新功能,详情如下)。

CMM

实际上,我们的CMM只能收听广播到背板的内容,但它没有能力与背板交谈。或者,换一种方式——只听不说。从电子学的角度来看,CMM有接收器,但没有发射器(或收发器——既能说话也能听)。这种专利的、独特的架构确保了所有的通信都是单向的,并且总是在一个方向上走了从背板。

有关详细信息,请参阅我们的白皮书《Orbit 60状态监测模块-数据安全》。

通信网关-安全双向DCS通信:
轨道连接Axess扩展商标

很多人都熟悉我们的3500/92通信网关。这个网关服务数据通过Modbus传输到控制系统。在Orbit 60中,我们设计的系统不仅可以提供测量、状态和报警数据,还可以请求过程数据以及未来发布的数据,称为Orbit连通TM由于轨道60系统内置的网络安全功能,这种数据交换也是安全的!过程数据变成了另一个在Orbit 60背板上可用的数据流。我们看到了这一信息的三个预期用例:

  1. 处理模块可以使用这些数据来确定机器的状态,即是泵储发电机在抽水或发电模式。
  2. 该状态可用于处理预先配置的报警值,即,如果它处于泵送模式,它可能具有与生成时不同的报警和关闭值。
  3. 滞留在网络控制端的数据可以被安全地带到业务网络中,而无需额外的防火墙基础设施,从而为您提供到其他滞留数据的连接。
传输层安全性,TLS 1.3

TLS 1.3是TLS协议的最新版本,比大多数银行使用的加密安全级别更高。许多在你的iPhone或Android上使用应用程序的银行仍然使用TLS 1.2来保护你的交易。TLS 1.3用于加密和保护组态软件、Orbit Studio和物理SIM卡之间的通信。TLS 1.3加密在CMM和System 1之间自动启用,但是,如果需要,可以关闭加密。

加密认证/未授权访问

当登录Orbit 60系统进行配置更改、查看系统日志等操作时,用户必须拥有本地用户凭证(用户名、密码)。诸如凭证之类的敏感信息始终是加密的,因此没有人可以窃取这些信息(没有凭证收集!)。

凭据授予用户执行某些任务的权限。例如,操作员角色可能没有更改中继逻辑或设定值的权限。系统管理员可以添加、管理和删除特定的用户。稍后的版本将允许您为Orbit 60系统设置公司范围的活动目录登录模型,这在有人离开公司的情况下非常方便。当他们使用电子邮件等工具的权限被撤销时,他们对Orbit 60的访问权限也将被自动撤销。所有这些都不需要去每个SIM卡撤销访问权限。

网络健壮性/拒绝服务攻击

Orbit 60的设计是为了容忍对系统的攻击,例如拒绝服务、模糊测试和错误的以太网语法。这些是恶意行为者用来混淆和覆盖系统的一些常见攻击机制。

基本的日志:

如前所述,对设定值或传感器配置的任何更改都记录了所做的更改以及更改的人员。日志记录功能还捕获所有登录,以及它们是否经过授权,或者是否使用了不正确的凭据来尝试闯入。您的IT人员可以使用它来确定是否有不良行为者试图获得访问权限。

未来的增强将是授权事件的日志记录,比如谁授予了其他用户的权限。

密码复杂度规则:

在这里,管理员将能够设置密码复杂度的规则,例如长度、特殊字符等。

其他计划的改进:
  • 模块退役—当模块退出服务时,可以将其内存擦除,以便在其他站点重用该模块时,不会保留任何敏感的站点信息。
  • 证书执行-可以与第三方(OEM)或其他授权方一起使用TM到CMM。
  • SYSLOG的支持—系统信息和事件管理器SIEM—在此方案中,所有SIEM事件都自动发送给系统管理器(IT)进行评估。也就是说,如果一个未经授权的人试图登录,it部门可以在这里检测到。

如本文所述,Orbit 60正在为状态监测、保护和数据集成设定新的网络安全标准。制造的每个Orbit 60系统都默认内置了所有这些安全功能,随着时间的推移,任何改进都将通过简单的固件升级来实现。Orbit 60的体系结构允许无限的部署模型,并为长期支持和灵活性而构建,以适应未来的新安全标准。

更多信息请访问我们的网站网站

轨道60里程碑

2019年秋季-公开披露和新产品发布(ATD)

2020年春季(4月)-提供报价(ATQ)固定价格建议

2021年春季(4月)-可用于船舶(ATS) API涡轮机械和全厂应用

2021年夏季(8月)-可用于船舶(ATS) TSI和桥接应用

下一个步骤

我们的团队很高兴能更详细地讨论Orbit 60,我们有多份技术白皮书,可以更深入地探讨以下主题。请通过下面的链接联系我们以获得副本,我们将为您联系您当地的专家。

探索轨道60文档
  • 轨道60系列或3500详细比较-本文件详细说明了本特利内华达的轨道60系列机械保护系统和3500系统之间的区别。
  • 轨道60数据安全状态监测模块-本文档旨在描述Orbit 60系列监测系统中的状态监测模块如何为外部网络提供具有全高分辨率数据的安全解决方案,而不会危及保护功能的运行。
  • 轨道60系列桥接概念-本特利内华达引入了与轨道60系列系统架构桥接的概念。
了解更多关于Orbit 60的信息

数据表

简报

产品视频-轨道60挑逗

产品视频-轨道60完整长度

轨道60系列和系统1:彭博电视

休斯敦纪事报:本特利推出轨道60

涡轮机械杂志-本特利内华达州的新平台

为什么是轨道60?为什么是现在?

2020年第一季度轨道文章-介绍轨道60

2020年第二季度轨道文章-可报价-探索成本节约

Q3 2020轨道文章-现在-更少的备件!!—如何选择输入模块

Q4 2020轨道文章-轨道60系列更新:系统基础-输出卡




图像
达伦·埃文斯

达伦·埃文斯

全球硬件商业领导者

封装系统设计
解决方案架构师
工业市场

生物

作为全球硬件商业领袖,Darren参与了新产品引入(NPI)过程的早期工作,以商业上验证产品的可行性,根据客户价值确定功能的优先级,并定义硬件产品组合的整体商业战略。



图像
约翰Kingham

约翰Kingham

战略现场应用工程师

培训组长
服务总监
现场应用组长



版权所有2021贝克休斯公司版权所有。贝克休斯以“现状”为基础提供这些信息,用于一般信息目的。贝克休斯不对信息的准确性或完整性做任何陈述,也不对法律允许的最大范围内的任何类型的、具体的、暗示的或口头的保证,包括对特定目的或用途的适销性和适用性的保证。贝克休斯特此放弃对任何直接、间接、后果性或特殊损害、利润损失索赔或因使用信息而引起的第三方索赔的任何和所有责任,无论索赔是通过合同、侵权行为还是其他方式提出的。贝克休斯保留对此处所示的规格和功能进行更改的权利,或随时停止所述产品的生产,而不另行通知或承担义务。请与您的贝克休斯代表联系以获取最新信息。贝克休斯的标志、本利内华达的标志和系统1都是贝克休斯公司的商标。