Konzept der Namur Open Architecture mit Zonen für Core Process Control sowie Monitoring & Optimization (Quelle: Phoenix Contact)
Die Namur Open Architecture (NOA) beschreibt einen Ansatz zur Erweiterung von Prozessanlagen um Monitoring-Funktionen. Details sind in der Namur-Empfehlung NE 175 [1] aufgeführt, die im Oktober 2020 veröffentlicht wurde. Auf Basis der so gewonnenen Daten lassen sich Maßnahmen zur Steigerung der Anlageneffizienz ableiten. Die in der NE 175 vorgestellten Konzepte richten sich sowohl an Neu- als auch an Bestandsanlagen. Prozessanlagen weisen eine lange Lebensdauer auf und ihr Betrieb ist teilweise mit Risiken verbunden, zum Beispiel im Hinblick auf die Umwelt. Daher erweist es sich als wichtig, dass durch die vorgesehenen Erweiterungen keine negativen Auswirkungen auf den Kernbereich der Prozessautomation (Core Process Control, CPC) entstehen.
Für den Übergang vom Bereich der Kernprozesse auf die neuen Überwachungsbereiche (Monitoring & Optimization, M&O) muss die Rückwirkungsfreiheit gegen Bedrohungen – egal ob Fahrlässigkeit oder Vorsatz – auf dem notwendigen Sicherheitsniveau umgesetzt werden. Die Security-Konzeption wird federführend in der Namur entwickelt und als Namur-Empfehlung 177 „NOA Security Zonen und NOA Security Gateway.“ [2] publiziert werden. In diesem Zusammenhang ist nach der Normenreihe DIN EN IEC 62443 [3] eine Aufteilung des Prozessautomationsnetzwerks in Zonen vorgenommen worden, um den Security-Anforderungen zu entsprechen. Darüber hinaus wurden Bedingungen für die Übergänge zwischen den Zonen formuliert, damit die Schutzziele erreicht werden können.
Security-Profile „Basic“ und „Extended”
Die NE 177 legt fest, dass am Übergang zwischen dem Kernprozessbereich und den Überwachungsbereichen ein Security-Gateway installiert sein muss, welches die Rückwirkungsfreiheit sicherstellt. Hierzu werden funktionale Anforderungen beschrieben, die sich auf die Teile „Systemanforderungen zur IT-Sicherheit und Security-Level“ (DIN EN IEC 62443-3-3) sowie „Technische Sicherheitsanforderungen an Komponenten industrieller Automatisierungssysteme“ (DIN EN IEC 62443-4-2) beziehen und sich vom Benutzermanagement über die Kommunikation bis zur Aufzeichnung von Ereignissen erstrecken. Außerdem erfolgt eine Definition der erforderlichen Module, die innerhalb des NOA-Security-Gateways realisiert sein müssen. Die Module dienen der Datenerfassung (Modul 1), dem sicheren Schutz vor Rückwirkungen (Modul 2) und der Bereitstellung der Daten für die M&O-Systeme (Modul 3). Die NE 177 umfasst ferner die beiden Security-Profile „Basic“ und „Extended“ für unterschiedliche Security-Anforderungen. Eine Entwicklung nach dem sicheren Entwicklungsprozess gemäß der DIN EN IEC 62443-4-1 wird vorausgesetzt.