JP2004272319A - Computer and method provided with device for improving security and facilitating management - Google Patents

Computer and method provided with device for improving security and facilitating management Download PDF

Info

Publication number
JP2004272319A
JP2004272319A JP2003057938A JP2003057938A JP2004272319A JP 2004272319 A JP2004272319 A JP 2004272319A JP 2003057938 A JP2003057938 A JP 2003057938A JP 2003057938 A JP2003057938 A JP 2003057938A JP 2004272319 A JP2004272319 A JP 2004272319A
Authority
JP
Japan
Prior art keywords
computer
program
setting
recording medium
external recording
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003057938A
Other languages
Japanese (ja)
Inventor
Shin Kameyama
伸 亀山
Toru Shonai
亨 庄内
Frederico Mashel
マシエル・フレデリコ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2003057938A priority Critical patent/JP2004272319A/en
Publication of JP2004272319A publication Critical patent/JP2004272319A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To enable a remote access from the Internet while keeping security by cybersecurity and the multiple security of a physical security means to a computer which is access-restricted for a security measure in a data center. <P>SOLUTION: According to a connection from a computer management by telephone or the like, an operation staff turns an external storage medium connecting switch 51 ON by physical motion to connect a computer A11 to the line of an external storage medium 31. With this connection as a turning point, a setting change starting program 201 is started, whereby a setting changing program 310 is started to change a first setting file 202 and a second setting file 410. A daemon program 303 such as telnet becomes accessible from a computer B12 by the setting change to enable the remote management work of the computer A11 from the computer B12. After the remote management work is ended, a setting recovery program 304 is executed to restore the access control. <P>COPYRIGHT: (C)2004,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、インターネットデータセンタなどのような複数の計算機で構成される計算機システムにおいて、管理用計算機からのリモートアクセスによってその他の計算機のシステム設定などの管理をする際に、セキュリティ性の向上と管理の容易化を実現する計算機と方法に関する。
発明の別の形態は、情報家電のようにインターネットに接続される特定用途向け装置を制御する計算機において、管理用計算機からのリモートアクセスによって保守する際に、セキュリティ性の向上と管理の容易化を実現する計算機に関する。
【0002】
【従来の技術】
本発明の従来技術は以下のとおりである。インターネットの普及に伴いデータセンタなどのような大規模な計算機システムが一般化し、計算機システム内のそれぞれの計算機はユーザに対してWebサービスなどを提供している。これらの計算機が安定してサービスを提供できるようにするためには、OSやアプリケーションのバージョンアップやセキュリティ等のパッチの適用、システム設定などの管理作業を行わなければならない。管理作業は対象となる計算機のある場所に行き、直接ログインして実施することもあるが、データセンタ等では一般に計算機室と運用スタッフ等が常駐するスタッフルームが離れている場合が多く、計算機室もスペースの関係でモニタやキーボード、作業時の机や椅子などが置いてない場合もあるため、わざわざ計算機管理者が計算機室へ行って管理作業するのは非常に煩わしい。そのため通常はスタッフルームにある管理用計算機から計算機室の計算機にtelnetでログインしたりftpでファイル転送するなどのリモートアクセスによって計算機の管理作業を行っている。この場合リモートアクセスには常に悪意のある第三者による不正侵入の危険性があるため、十分なセキュリティ対策が必要になる。セキュリティ対策の一つとして例えば悪意のある第三者が計算機システムへ不正に侵入することを防ぐため、計算機システムのポートを必要最小限しか開けないようにし、計算機間のリモートアクセスを制限することがある。また、万一悪意のある第三者が計算機システムに不正に侵入した場合でもtelnetやftpなどのシステム設定に関連するアプリケーションが勝手に実行されないように、計算機上では必要最小限のアプリケーションしか起動しないか、もしくは不必要なアプリケーションの実行ファイル自体を削除することもある。このようなセキュリティ対策によって管理の容易さが損なわれることになるが、セキュリティの脆弱性はデータセンタの存亡にも関わるため、セキュリティ対策の制限を少々の煩わしさはあるが運用でカバーしている。例えば任意の計算機間で直接のリモートアクセスが制限されている場合、予めリモートアクセスを可能にする計算機の組み合わせを決定しておき、任意の計算機間でリモートアクセスを実施する場合にはリモートアクセスが可能な計算機の組み合わせを経由して目的とする計算機にアクセスする。またtelnetやftpのような脆弱なコマンドは使用せずにSSHのようなセキュリティが強化されたコマンドを用いることが推奨されている。さらにIBMが開発し発売している「Desktop On−Call(商標)」やAT&Tが開発したフリーソフトウェアの「VNC」などのようなセキュリティ対策が実施されたリモートコントロールソフトによって管理作業を行うこともある。リモートコントロールソフトとは任意の計算機のデスクトップ画面をそのまま管理用計算機上に表示し、管理用計算機で目的の計算機のシステム設定を実施することができるソフトウェアである。
【0003】
本発明の別形態の従来技術は以下のとおりである。インターネットの普及に伴いネットワークに接続して情報のやり取りを行う電子レンジやエアコンなどの情報家電が開発されている。これまでの家電では保守や修理は保守員が現地に赴くか当該家電をメーカの保守センタ等に持ち込んで実施していたが、情報家電の場合はネットワークを介してファームウェアの更新などが可能になる。ただし保守手段に関しては現在各社が開発中である。
【0004】
【発明が解決しようとする課題】
ところで本発明の従来技術のようにセキュリティ対策によるリモートアクセスの制限を運用でカバーする場合、その運用管理プロセスが複雑になったり、煩雑になったりといった弊害が発生する。プロセスが煩雑になると人的要因による問題発生の要因が増大する。一方そのプロセスを適切に実施しようとすると、それだけの技能を有する運用人員を常時配置しなければならず人件費高騰の要因にもなる。またセキュリティ対策が強化されたリモートコントロールソフトやコマンドを管理を容易にするために使用しても、ソフトウェアにはセキュリティホールが存在する危険性があるなど、必ずしもセキュリティが十分保証されることにはならない。しかも何らかの方法で計算機の管理者権限を悪意のある第三者に不正に奪われた場合にはシステム設定によるセキュリティ対策などはほとんど意味がなくなってしまう。悪意のある第三者によるシステムへの不正侵入を防ぐためにもインターネットから計算機システムへのアクセスは厳重に制限されているが、このことが計算機管理者の所在を限定している。
【0005】
本発明が解決しようとする課題はデータセンタなどの計算機の管理において、サイバーセキュリティと物理的セキュリティの多重セキュリティによって管理時にセキュリティを低下させないで、かつ管理を容易化することである。
また本発明の別形態の従来技術のように、今後普及することが予想される情報家電の大きな特徴の一つがインターネットを介したリモートアクセスによる保守であるが、逆に悪意のある第三者によって不正にリモートアクセスされる危険性がある。特に情報家電はセキュリティに対する知識がない消費者が多数いることが予想される。第2の発明が解決しようとする課題は消費者にとって負担にならない手段でセキュリティを保ちながらリモートアクセスによる保守を可能にすることである。
【0006】
【課題を解決するための手段】
本発明の基本的な考え方による計算機システムは、第1の計算機(ホスト)と第2の計算機(クライアント)がネットワークで接続された計算機システムであって、第1の計算機は物理的に断続可能なスイッチを介して接続された外部記録装置を有し、外部記録装置には、第1の計算機のシステム設定に必要なソフトウェアが格納されている。第1計算機は、内部記録装置(磁気ディスクや半導体メモリ)を有し、内部記録装置には、第2計算機からのリモートアクセスによるシステム設定を許可または禁止する設定ファイルが格納されている。
【0007】
外部記録装置は物理的な断続手段によって第1の計算機から隔離されているため、ネットワークを介したソフト的な攻撃に対して安全である。外部記録装置に格納されるソフトウェアまたはデータとしては、例えば以下のものが考えられる。
(1)第2計算機からのシステム設定を許可するように設定ファイルを変更する設定変更プログラム。
(2)システム設定のためのデーモンプログラム。
(3)設定変更プログラムで実施した変更を元に回復する設定回復プログラム
(4)設定回復プログラムと連動して第1計算機と外部記録媒体を物理的に切断する回線切断プログラム。
【0008】
このうち最も重要なのは、外部からのシステム設定に対して許可を行う設定変更プログラムであり、外部記録装置に格納する必要がある。他の(2)〜(4)については、第1計算機内部の記録装置やその他の記録手段に格納してもよい。
【0009】
本発明の他の態様は、クライアント計算機とネットワークで接続された計算機であって、 この計算機はソフトウェアでは接続不可能なスイッチを介して接続された外部記録装置を有し、外部記録装置には、計算機のシステム設定に必要なソフトウェアが格納されている。
【0010】
外部記録装置のソフトウェアは、クライアント計算機からのリモートアクセスによるシステム設定を許可または禁止する設定ファイルを書き換える設定変更プログラムを含むこととする。また、外部記録装置のソフトウェアは、スイッチを切断する回線切断プログラムを含むこととしてもよい。すなわち、このスイッチは接続はソフト的に不可能だが、切断はソフト的に可能な構成であり、許可されたシステム設定が完了すると自動的に切断されて、ネットワークを介したアクセスが不可能な状態となる。
【0011】
本発明をさらに詳細に解説すれば、本発明では、少なくとも2台以上の計算機がネットワークで接続された計算機システムを構成する内部記録媒体を持った計算機あって、任意の第1計算機は任意の第2計算機からのリモートアクセスによるシステム設定を許可または禁止する設定ファイルを内部記録媒体に格納しており、設定ファイルはシステム設定を禁止する設定になっている計算機であって、第1計算機はシステム設定を行うためのプログラムを内部記録媒体には格納していない計算機において、第1計算機は物理的な接続手段によってのみ回線が物理的に接続する外部記録媒体と接続手段を持ち、外部記録媒体は第2計算機からのシステム設定を許可するように設定ファイルを変更する設定変更プログラムと、システム設定のためのプログラムと、設定変更プログラムで実施した変更を元に回復する設定回復プログラムと、設定回復プログラムと連動して第1計算機とと外部記録媒体を物理的に切断する回線切断プログラムと、を格納し、内部記録媒体には接続手段が実施されたことを検出して設定変更プログラムを実行開始する設定変更起動プログラムを格納し、接続手段を実施することで第1計算機と外部記録媒体が接続され第1計算機から外部記録媒体が物理的にアクセス可能状態になり、接続手段を実施することで実行開始される設定変更起動プログラムによって設定変更プログラムが実行されて第2計算機からシステム設定のためのプログラムが論理的に実行可能になり、設定プログラムを実施することで第2計算機からシステム設定のためのプログラムが論理的に実行不可能になり、回線切断プログラムにより第1計算機から外部記録媒体が物理的にアクセス不可能状態になることを特徴としている。なお、外部記録媒体には第2計算機の識別情報を格納し、設定変更プログラムは識別情報を用いて第2計算機からのリモートアクセスのみを許可するように前期設定ファイルを変更してもよい。また、設定変更プログラムは設定ファイルの変更を第1計算機に反映させるための工程を含んでもよい。また、内部記録媒体はシステム設定のためのプログラムと同一名称だが本来の機能とは異なった機能を持つダミープログラムを格納してもよい。また、設定変更プログラムは計算機システムにルータが含まれ第1計算機が第2計算機からアクセス禁止の設定になっている場合にアクセスを許可する設定に変更する工程を含んでも良い。また、接続手段は外部記録媒体の電源オンを行う機能を有していても良い。また、回線切断プログラムは外部記録媒体の電源オフを行う機能を有していても良い。以上のように第1の発明においては、少なくとも2台以上の計算機がネットワークで接続された計算機システムを構成する内部記録媒体を持った計算機で、第1計算機は第2計算機からのリモートアクセスによるシステム設定を許可または禁止する設定ファイルを内部記録媒体に格納し、設定ファイルはリモートアクセスによるシステム設定を禁止する設定になっている計算機であり、第1計算機はシステム設定を行うためのプログラムを内部記録媒体には格納していない計算機において、第1計算機のシステム設定を第2計算機からのリモートアクセスによって実施する場合には、接続手段という物理的手段によってリモートアクセスを許可しシステム設定のためのプログラムを実行可能にすることでシステム設定を可能にする方法によって、データセンタなどの計算機の管理において、サイバーセキュリティと物理的セキュリティの多重セキュリティによって管理時にセキュリティを低下させないで、かつ管理を容易化する。
【0012】
本発明の別の形態では、インターネットに接続し、インターネットを経由して計算機からリモートアクセスされる特定用用途向け装置を制御する組み込み型計算機において、計算機は物理的な接続手段によってのみ回線が接続する外部記憶媒体と接続手段を持ち、外部記憶媒体は計算機にリモートアクセスする計算機の識別情報と、計算機を操作するためのプログラムと、回線を切断する回線切断プログラムを格納し、接続手段を実行し計算機と外部記憶媒体が接続されることで計算機から計算機がアクセス可能になり、識別情報によって計算機のリモートアクセスを許可することで計算機が上記プログラムを実行することが可能になり、計算機から回線切断プログラムを実施することで計算機と外部記憶媒体が切断されることを特徴としている。なお、計算機はタイマーを持ち、タイマーの設定によって指定時刻になると接続手段が実行されても良い。また、計算機はタイマーを内蔵するリモートコントローラを持ち、タイマーの設定によって時刻になると接続手段を実行する指令をリモートコントローラが発して接続手段が実行されても良い。したがって、第2の発明においては、消費者にとって負担にならない手段でセキュリティを保ちながらリモートアクセスによる保守を可能にする。
【0013】
また、本発明は上記システムを用いた方法および、これらのシステムを情報家電に適用した例を含む。
【0014】
【発明の実施の形態】
以下、図1〜図7を参照して本発明の第1の実施形態を説明する。
図1はこの実施形態における計算機が構成するデータセンタ1と、計算機管理者が使用する計算機B12とそれらを接続するインターネット2を含めた全体構成を示すブロック図である。図1において計算機A11はルータ41を介してインターネット2と接続している。なお、この実施形態では図示していないが計算機A11のOSはUNIX(登録商標)であるとする。ただしUNIX(登録商標)以外のOSでも本発明が適用されるのは明白である。
【0015】
図1において計算機A11は内部記憶媒体21を内蔵しており、内部記憶媒体21には設定変更起動プログラム201、第1設定ファイル202、ダミーデーモンプログラム203が格納されている。計算機A11は対応付けられた外部記憶媒体31を持ち、外部記憶媒体31には設定変更プログラム301、識別情報302、デーモンプログラム303、設定回復プログラム304、回線切断プログラム305が格納されている。なお、本実施形態では説明を簡単にするためデーモンプログラム303はtelnetとして説明するが、任意のプログラムでも本発明は同様に有効である。
【0016】
計算機A11と外部記憶媒体31は回線L2で接続されるが、回線L2は本発明の初期状態では外部記憶媒体接続スイッチ51によって切断されている状態になっている。なお、図1では計算機A11と外部記憶媒体31を物理的に分離して記述しているが、計算機A11と外部記憶媒体31が同一筐体内に含まれていてもかまわない。また計算機A11と外部記憶媒体31を接続する手段としてスイッチを記述しているが、他の形状でも機能が同じであればかまわない。さらに計算機A11と外部記憶媒体31が物理的に分離している場合に計算機A11の対応する接続または挿入部分に外部記憶媒体31を直接接続または挿入することで外部記憶媒体接続スイッチ51の機能を兼ねてもかまわない。さらに外部記憶媒体接続スイッチ51は外部記憶媒体31の電源投入機能を持っており、外部記憶媒体接続スイッチ51を実行したときに外部記憶媒体31の電源が投入されて外部記憶媒体31が計算機A11からアクセス可能になっても良い。
【0017】
設定変更起動プログラム201は外部記憶媒体接続スイッチ51によって回線L2が接続されることにより外部割込みが発生し、その外部割込みを契機に起動される。設定変更起動プログラム201は外部記憶媒体31に格納されている設定変更プログラム301を起動するようにプログラムされている。
計算機A11では他の計算機からのサービスの要求に応えるため、公知のサーバプログラムであるXinetdが起動している。Xinetdでは、ドメイン名やIPアドレスでのアクセス制御やアクセス時間の制限、接続回数の制限などが出来る。第1設定ファイル202の一つの例がXinetdによるアクセス制御を設定するための設定ファイルであるXinetd.confである。またXinetd.confにはtelnetのようなデーモンプログラムの実行ファイルが存在するディレクトリも記述されている。計算機A11は他の計算機からサービスの要求があった場合、要求元がXinetd.confで許可された計算機であるかをチェックし、正当な計算機からの要求であればXinetd.confで記述された場所に実行ファイルがあるデーモンプログラムを実行する。なお本発明の初期状態では他の計算機からは計算機A11のデーモンプログラムが実行できない設定であるとする。
【0018】
また計算機間のアクセス制御はルータ41によっても実施される。例えばルータ41ではACL(アクセス制御リスト)によって、送信元アドレス、宛先アドレス、要求されるサービスなどに基づき、計算機A11に入ってくるパケットを許可したり拒否することができる。第2設定ファイル401の具体的な例がアクセス制御リストである。本発明の初期状態では第2設定ファイル401が計算機A11に対して他の計算機からはtelnetを拒否するように設定されている。
ダミーデーモンプログラム203はtelnetなどのデーモンプログラムのダミーである。万一悪意のある第三者がアクセス制御を潜り抜けて計算機A11にアクセスしてきてもその第三者によってデーモンプログラムが実行されないように内部記憶媒体21からはデーモンプログラムを削除することが一般的である。本発明ではデーモンプログラムの変わりにダミーデーモンプログラム203を内部記憶媒体21に格納している。これにより第三者がデーモンプログラムの起動を試みても、実際はダミーデーモンプログラム203を起動することになる。ダミーデーモンプログラム203は任意の機能を持つようにプログラム可能であるが、例えばサービス要求先の計算機のIPやドメイン名などを記録し、また計算機A11のモニタ上に警告を表示するようにプログラムすることで、悪意のある第三者の行動を記録し、後刻その第三者を特定する参考データにすることができる。第1設定ファイル202では要求されたサービスに対してダミーデーモンプログラム203の実行ファイルが実行されるように設定される。
【0019】
設定変更プログラム301は、2つの機能で構成される。第1の機能では計算機A11の第1設定ファイル202およびルータ41の第2設定ファイル401を変更して特定の計算機(ここでは計算機B12)から計算機A11の特定デーモンプログラムを論理的にアクセス可能にする。第1設定ファイル202と第2設定ファイル401の変更には図2に示すように識別情報302にあらかじめ登録されている情報を用いる。識別情報302に含まれる情報は少なくともアクセスを許可する計算機B12の計算機識別子101に対応するアクセス許可計算機ID321と、アクセス可能な人物のアクセス許可ユーザID322と、計算機B12に対して許可するデーモン名の実行許可デーモンプログラム323である。ここでアクセス許可計算機IDは例えばIPアドレスを用いる。なお、アクセス許可計算機ID、アクセス許可ユーザID、実行許可デーモンプログラムはそれぞれ複数であって良い。第2の機能では計算機A11で動作しているXinetdが外部記憶媒体31上のデーモンプログラム303を起動するように第1設定ファイル202を変更する。具体的にはXinetd.confのデーモンプログラムの実行ファイルが存在するディレクトリを内部記憶媒体21上のダミーデーモンプログラム203が存在するディレクトリから外部記憶媒体31上のデーモンプログラム303が存在する場所に変更する。なお、設定変更プログラム301は第1設定ファイル202および第2設定ファイル401の変更に先立ってこれらの設定ファイルのバックアップ(それぞれ第1設定バックアップファイル204、第2設定バックアップファイル402)を作成する機能も有する。
設定回復プログラム304は設定変更プログラム301で実施した変更を変更前に戻す機能を有する。具体的には第1設定バックアップファイル204を第1設定ファイル202へ、第2設定バックアップファイル402を第2設定ファイル401へ変更する。また変更をもとした後に回線切断プログラム305を起動する。回線切断プログラム305は外部記憶媒体接続スイッチ51によって接続されている回線L2を切断する機能を有する。
【0020】
以下では図3〜図7を用いて、第1の発明の実施形態の手順を説明する。
図3は計算機管理作業開始時の物理的操作の手順である。計算機管理者が計算機管理作業を開始する際、データセンタ内に駐在する計算機運用スタッフに電話等の手段を用いて管理作業開始の意思を伝える(A1)。この場合、計算機管理者の所在は任意の場所である。データセンタスタッフは直接計算機管理者から連絡があるため、計算機管理者の正当性を確認することができる(A2)。したがって連絡してきた人物が正当な計算機管理者であるかを判定し(A3)、正当な計算機管理者からの連絡であれば運用スタッフは計算機の外部記憶媒体接続スイッチ51を投入する(A4)。このとき運用スタッフが常駐するスタッフルームと計算機ルームは同一でない場合があるが、通常は近接しているため計算機管理者からの連絡後速やかに外部記憶媒体接続スイッチ51を投入することができる。一方連絡が正当な計算機管理者からではなかった場合、不正な第三者からの連絡という警報を出し(A5)、外部記憶媒体接続スイッチ51は投入せずに管理作業を終了する。図3で示した手順は物理的な手段の介在によりセキュリティ性を向上させる。
【0021】
図4は外部記憶媒体接続スイッチ51投入(A4)後に計算機A11が論理的にアクセス可能になるまでの手順である。外部記憶媒体接続スイッチ51投入により計算機A11と外部記憶媒体31の回線が接続され(A7)、これを契機に外部割込みが発生する(A8)。計算機A11はこの外部割込みを検出し、設定変更起動プログラム201を起動する(A9)。設定変更起動プログラム201はその機能により設定変更プログラム301を起動する(A10)。続いて設定変更プログラム301はその機能によりまず第1設定バックアップファイル204を作成し(A11)、その後アクセス許可計算機ID321、アクセス許可ユーザID322、実行許可デーモンプログラム323を用いて第1設定ファイル202を変更する(A12)。続いて設定変更プログラム301は第2設定バックアップファイル402を作成し(A13)、その後アクセス許可計算機ID321、アクセス許可ユーザID322、実行許可デーモンプログラム323を用いて第2設定ファイル401を変更する(A14)。第1設定ファイル202と第2設定ファイル401の変更完了後、必要であればそれらの変更を計算機A11およびルータ41に反映するための処理を行う(A15)。例えばXinetdの再起動や、ルータ41の再起動が変更反映のための処理である。この時点で外部記憶媒体31のデーモンプログラム303が計算機B12から物理的かつ論理的にアクセスが可能になる。
【0022】
図5はデーモンプログラム303が計算機B12からアクセス可能になった後に、計算機管理者がデーモンプログラムを利用可能になるまでの手順である。計算機管理者はデーモンプログラム303にアクセス可能になったため計算機A11に対してtelnetを実行する(A16)。計算機A11はアクセス許可ユーザID322に従いユーザの正当性の判定を行う(A17)。正当なユーザであると判定されるとログインの許可を出し(A18)、デーモンプログラムの実施許可を出す(A19)。一方、正当なユーザであると判定されなければ、不正な第三者からのアクセスという警報を出し(A20)、管理作業を終了する。以降は計算機管理者は許される範囲で計算機A11の管理作業が実施可能になる。
【0023】
図6は管理作業終了時の手順である。計算機管理者は一連の管理作業が終了し、以降デーモンプログラムを使用する必要がなくなった場合に、設定回復プログラム304を実行する(B1)。設定回復プログラム304はその機能により第1設定バックアップファイル204に基づき第1設定ファイル202を変更する。続いて第2設定バックアップファイル402に基づいて第2設定ファイル401を変更する。第1設定ファイル202と第2設定ファイル401の変更完了後、必要であればそれらの変更を計算機A11およびルータ41に反映するための処理を行う(B4)。例えばXinetdの再起動や、ルータ41の再起動を行う。これによりデーモンプログラム303は計算機B12から論理的にアクセス不可能になる。
【0024】
最後に図7に示すように設定回復プログラム304に引き続いて回線切断プログラム305が起動される(B6)。これにより外部記憶媒体31は計算機A11から切断される。
以上が本発明の第1の実施形態の説明である。
【0025】
続いて図8〜図9を参照して本発明の第2の実施形態をインターネットに接続される情報家電を例に説明する。図8はこの実施形態における情報家電と、その情報家電を管理する計算機を含めた全体構成を示すブロック図である。図8において情報家電71はインターネット2を会して計算機C61に接続している。
図8において情報家電71は対応図けられた外部記憶媒体91を持ち、外部記憶媒体91には識別情報92、管理用プログラム93、回線切断用プログラム94が格納されている。なお管理用プログラム93としては任意のプログラムが格納可能である。情報家電71と外部記憶媒体91は回線L4で接続されるが、回線L4は本発明の初期状態では外部記憶媒体接続スイッチ81によって切断されている状態になっている。なお外部記憶媒体接続スイッチ81および外部記憶媒体91の実装形態は第1の発明と同様にいくつかの方法がある。
【0026】
外部記憶媒体接続スイッチ起動用タイマーA72は外部記憶媒体接続スイッチ81を自動的に動作させるためのタイマーである。情報家電71の使用者の設定により任意時間に外部記憶媒体接続スイッチ81を動作させることができる。リモートコントローラ73は外部記憶媒体接続スイッチ81を自動的に動作させるための外部記憶媒体接続スイッチ起動用タイマーB74を内蔵している。情報家電71とは物理的に隔離されたリモートコントローラ73によって外部記憶媒体接続スイッチ81を実施することで、セキュリティ性がさらに向上する。
【0027】
以下では図9用いて第2の発明の実施形態である情報家電のリモート管理の実施手段の手順を説明する。ユーザは管理作業実施者との事前の取り決めにより、リモート管理開始時刻を外部記憶媒体接続スイッチ起動用タイマーA72または外部記憶媒体接続スイッチ起動用タイマーB74に設定する(C1)。タイマー入力は一般的な動作であり、多くの消費者にとってあまり負担が大きくない。なお、タイマーを用いずに直接情報家電71に対して管理作業開始をスイッチ等で入力してもかまわない。指定時刻になると外部記憶媒体接続スイッチ起動用タイマーA72によって、または外部記憶媒体接続スイッチ起動用タイマーB74の指令によって、外部記憶媒体接続スイッチ81を動作させる(C2)。管理作業実施者は予定の時刻になると情報家電71へアクセスを試みる(C3)。情報家電71は識別情報92に基づいて管理者業者の正当性を判定し(C4)、正当な管理者であればその管理者に対して情報家電71および外部記憶媒体91のアクセス許可を出し(C5)、不正な管理者であれば第三者によるアクセスであると警告を出し管理作業を終了させる(C8)。最後に正当な管理者は情報家電71の管理終了後に回線切断用プログラム94を実施して管理作業を正常終了させる。以上が本発明の第2の実施形態の説明である。
【0028】
【発明の効果】
本発明の第1の実施形態によって、データセンタなどの計算機の管理において、サイバーセキュリティと物理的セキュリティの多重セキュリティによって管理時にセキュリティを低下させないで、かつ管理を容易化することが可能になる。本発明の第2の実施形態によって消費者にとって負担にならない手段でセキュリティを保ちながらリモートアクセスによる保守が可能になる。
【図面の簡単な説明】
【図1】本発明の第1の実施例である計算機が構成するデータセンタと計算機管理者が使用する計算機とそれらを接続するインターネットを含めた全体構成を示すブロック図。
【図2】外部記憶媒体内の識別情報の詳細を示す図。
【図3】計算機管理作業開始時の物理的操作の手順を示したフロー図。
【図4】外部記憶媒体が論理的にアクセス可能になるまでの手順を示したフロー図。
【図5】計算機管理者が外部記憶媒体内のデーモンプログラムを利用可能になるまでの手順を示したフロー図。
【図6】管理作業終了時の終了手順を示したフロー図。
【図7】計算機と外部記憶媒体の回線が切断される手順を示したフロー図。
【図8】本発明の第2の実施例である情報家電と管理計算機を含めた全体構成を示す図。
【図9】情報家電のリモート管理の実施手段の手順を示したフロー図。
【符号の説明】
11 計算機
31 外部記憶媒体
51 外部記憶媒体接続スイッチ
41 ルータ
12 管理用計算機
201 設定変更起動プログラム
301 設定変更プログラム
302 識別情報
303 デーモンプログラム
304 設定回復プログラム
305 回線切断プログラム
71 情報家電
72 外部記憶媒体接続スイッチ起動用タイマーA
73 リモートコントローラ
74 外部記憶媒体接続スイッチ起動用タイマーB
91 外部記憶媒体
81 外部記憶媒体接続スイッチ
93 管理用プログラム
94 回線切断用プログラム。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a computer system including a plurality of computers, such as an Internet data center, which is used to manage and improve the security of other computers by remote access from a management computer. To a computer and a method for realizing the simplification.
Another aspect of the present invention is a computer that controls an application-specific device connected to the Internet, such as an information home appliance, in order to improve security and facilitate management when performing maintenance by remote access from a management computer. The computer to be realized.
[0002]
[Prior art]
The prior art of the present invention is as follows. With the spread of the Internet, large-scale computer systems such as data centers have become common, and each computer in the computer system provides a Web service or the like to a user. In order to enable these computers to provide services stably, it is necessary to perform management work such as upgrading of OS and applications, application of patches such as security, and system settings. Management work may be performed by going to the location of the target computer and logging in directly.However, in data centers and the like, the computer room and the staff room where operation staff are usually resident are often separated, and the computer room However, there is a case where a monitor, a keyboard, a desk or a chair at the time of work are not placed because of space, and it is very troublesome for a computer administrator to go to a computer room and perform management work. For this reason, the management work of the computer is usually performed by remote access such as logging in to the computer in the computer room by telnet or transferring a file by ftp from the management computer in the staff room. In this case, since remote access always involves the risk of unauthorized entry by a malicious third party, sufficient security measures are required. As one of the security measures, for example, in order to prevent a malicious third party from intruding into the computer system illegally, it is necessary to restrict the remote access between computers by opening the computer system's ports only to the minimum necessary. is there. Also, even if a malicious third party illegally invades the computer system, only the minimum necessary applications are activated on the computer so that applications related to system settings such as telnet and ftp are not executed without permission. Alternatively, the executable file of the unnecessary application may be deleted. Although such security measures impair the ease of management, security vulnerabilities also cover the survival of the data center, so the operation of the security measures is covered by the operations with some inconvenience. . For example, if direct remote access is restricted between arbitrary computers, a combination of computers that allow remote access is determined in advance, and remote access is possible when remote access is performed between arbitrary computers. Access the target computer via a combination of various computers. It is recommended to use a command with enhanced security such as SSH instead of using a vulnerable command such as telnet or ftp. In addition, management work may be performed by remote control software with security measures such as "Desktop On-Call (trademark)" developed and released by IBM and "VNC" (free software developed by AT & T). . Remote control software is software that allows a desktop screen of an arbitrary computer to be displayed as it is on the management computer, and allows the management computer to perform system settings for the target computer.
[0003]
The prior art of another embodiment of the present invention is as follows. With the spread of the Internet, information home appliances such as microwave ovens and air conditioners that connect to a network and exchange information have been developed. Until now, maintenance and repairs have been carried out by maintenance staff who go to the site or bring the home appliance to the manufacturer's maintenance center, etc.In the case of information home appliances, firmware can be updated via a network . However, each company is currently developing a maintenance method.
[0004]
[Problems to be solved by the invention]
By the way, when the restriction of remote access due to security measures is covered by the operation as in the prior art of the present invention, there is a problem that the operation management process becomes complicated or complicated. When the process becomes complicated, the number of causes of problems caused by human factors increases. On the other hand, if the process is to be carried out properly, an operation staff having such a skill must be constantly allocated, which causes a rise in labor costs. Even if remote control software and commands with enhanced security measures are used to make management easier, security is not necessarily sufficiently guaranteed, such as the risk that software has security holes. . Moreover, if the administrator authority of the computer is illegally stolen by a malicious third party in some way, security measures by the system setting have little meaning. Access to the computer system from the Internet is severely restricted in order to prevent malicious third parties from intruding into the system, but this limits the location of computer administrators.
[0005]
The problem to be solved by the present invention is to simplify the management of a computer such as a data center without reducing security during management by multiple security of cyber security and physical security.
One of the major features of information home appliances that are expected to spread in the future, as in the prior art of another embodiment of the present invention, is maintenance by remote access via the Internet. There is a risk of unauthorized remote access. In particular, it is expected that there will be many consumers of information home appliances who do not have knowledge of security. A problem to be solved by the second invention is to enable maintenance by remote access while maintaining security by means that do not burden consumers.
[0006]
[Means for Solving the Problems]
A computer system according to the basic concept of the present invention is a computer system in which a first computer (host) and a second computer (client) are connected via a network, and the first computer is physically intermittent. It has an external recording device connected via a switch, and the external recording device stores software necessary for system setting of the first computer. The first computer has an internal recording device (magnetic disk or semiconductor memory), and the internal recording device stores a setting file for permitting or prohibiting system setting by remote access from the second computer.
[0007]
Since the external recording device is isolated from the first computer by the physical intermittent means, it is safe from a software attack via the network. For example, the following can be considered as software or data stored in the external recording device.
(1) A setting change program that changes a setting file so as to permit system setting from the second computer.
(2) A daemon program for system settings.
(3) A setting recovery program that recovers based on the changes made by the setting change program
(4) A line disconnection program that physically disconnects the first computer and the external recording medium in conjunction with the setting recovery program.
[0008]
The most important of these is a setting change program for permitting external system settings, which must be stored in an external recording device. The other (2) to (4) may be stored in a recording device inside the first computer or other recording means.
[0009]
Another embodiment of the present invention is a computer connected to a client computer via a network, the computer including an external recording device connected via a switch that cannot be connected by software, and the external recording device includes: Stores software required for computer system settings.
[0010]
The software of the external recording device includes a setting change program that rewrites a setting file for permitting or prohibiting system setting by remote access from a client computer. The software of the external recording device may include a line disconnection program for disconnecting the switch. In other words, this switch cannot be connected by software but can be disconnected by software.When the permitted system settings are completed, the switch is automatically disconnected and access via the network is not possible. It becomes.
[0011]
To explain the present invention in more detail, in the present invention, there is a computer having an internal recording medium constituting a computer system in which at least two or more computers are connected by a network, and any first computer is any A setting file for permitting or prohibiting the system setting by remote access from the second computer is stored in the internal recording medium, and the setting file is a computer set to prohibit the system setting. In a computer that does not store a program for performing the processing in an internal recording medium, the first computer has an external recording medium and a connecting means physically connected to a line only by a physical connecting means. A setting change program that changes a setting file to allow system setting from the two computers, and a A program, a setting recovery program that recovers based on the change performed by the setting change program, and a line disconnection program that physically disconnects the first computer and the external recording medium in conjunction with the setting recovery program. In the internal recording medium, a setting change start program for detecting that the connecting means has been executed and starting to execute the setting change program is stored, and by executing the connecting means, the first computer and the external recording medium are connected to each other. The external recording medium becomes physically accessible from the computer, and the setting change program is executed by the setting change start program which is started to be executed by executing the connecting means, and the program for system setting is logically executed from the second computer. Executing the setting program allows the program for system setting from the second computer to be logically executed. Becomes infeasible, the external recording medium from the first computer is characterized by physically be inaccessible state by line disconnection program. In addition, the identification information of the second computer may be stored in the external recording medium, and the setting change program may use the identification information to change the setting file so as to permit only remote access from the second computer. Further, the setting change program may include a step of reflecting the change of the setting file on the first computer. Further, the internal recording medium may store a dummy program having the same name as the program for system setting but having a function different from the original function. Further, the setting change program may include a step of changing the setting to permit access when the first computer has been set to prohibit access from the second computer when the computer system includes a router. The connection means may have a function of turning on the power of the external recording medium. Further, the line disconnection program may have a function of turning off the power of the external recording medium. As described above, in the first invention, a computer having an internal recording medium constituting a computer system in which at least two or more computers are connected by a network, wherein the first computer is a system by remote access from a second computer A setting file for permitting or prohibiting the setting is stored in the internal recording medium, and the setting file is a computer which is set to prohibit the system setting by remote access, and the first computer internally records a program for performing the system setting. When the system setting of the first computer is performed by remote access from the second computer in a computer not stored in the medium, remote access is permitted by physical means such as connection means, and a program for system setting is executed. Depending on how you enable system configuration by making it executable , In the management of computer such as a data center, without reducing security when administered by multiple security cyber security and physical security, and to facilitate the management.
[0012]
According to another aspect of the present invention, in an embedded computer connected to the Internet and controlling an application-specific device remotely accessed from the computer via the Internet, the computer is connected to the line only by physical connection means. An external storage medium having an external storage medium and connection means, the external storage medium storing identification information of a computer remotely accessing the computer, a program for operating the computer, and a line disconnection program for disconnecting the line, and executing the connection means to execute the computer. The external storage medium is connected to the computer so that the computer can access the computer.By permitting remote access of the computer by the identification information, the computer can execute the above program. The feature is that the computer and the external storage medium are disconnected by implementing That. Note that the computer may have a timer, and the connection unit may be executed at a designated time according to the setting of the timer. Further, the computer may have a remote controller having a built-in timer, and when the time comes according to the setting of the timer, the remote controller may issue a command to execute the connecting means, and the connecting means may be executed. Therefore, in the second invention, it is possible to perform maintenance by remote access while maintaining security by means that does not burden consumers.
[0013]
The present invention also includes a method using the above system and an example in which these systems are applied to information home appliances.
[0014]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, a first embodiment of the present invention will be described with reference to FIGS.
FIG. 1 is a block diagram showing an overall configuration including a data center 1 constituted by computers in this embodiment, a computer B12 used by a computer administrator, and the Internet 2 connecting them. In FIG. 1, a computer A11 is connected to the Internet 2 via a router 41. Although not shown in this embodiment, the OS of the computer A11 is assumed to be UNIX (registered trademark). However, it is obvious that the present invention is applied to an OS other than UNIX (registered trademark).
[0015]
In FIG. 1, the computer A11 has a built-in internal storage medium 21. The internal storage medium 21 stores a setting change start program 201, a first setting file 202, and a dummy daemon program 203. The computer A11 has an associated external storage medium 31, and the external storage medium 31 stores a setting change program 301, identification information 302, a daemon program 303, a setting recovery program 304, and a line disconnection program 305. In the present embodiment, the daemon program 303 is described as telnet for the sake of simplicity, but the present invention is similarly effective with any program.
[0016]
The computer A11 and the external storage medium 31 are connected by the line L2, but the line L2 is disconnected by the external storage medium connection switch 51 in the initial state of the present invention. Although FIG. 1 illustrates the computer A11 and the external storage medium 31 physically separated from each other, the computer A11 and the external storage medium 31 may be included in the same housing. Further, although a switch is described as a means for connecting the computer A11 and the external storage medium 31, any other shape may be used as long as the function is the same. Further, when the computer A11 and the external storage medium 31 are physically separated from each other, the external storage medium 31 is directly connected to or inserted into a corresponding connection or insertion portion of the computer A11, thereby also functioning as the external storage medium connection switch 51. It doesn't matter. Further, the external storage medium connection switch 51 has a function of turning on the power of the external storage medium 31. When the external storage medium connection switch 51 is executed, the power of the external storage medium 31 is turned on and the external storage medium 31 is transmitted from the computer A11. It may be accessible.
[0017]
When the line L2 is connected by the external storage medium connection switch 51, the setting change activation program 201 generates an external interrupt, and is activated by the external interrupt. The setting change start program 201 is programmed to start the setting change program 301 stored in the external storage medium 31.
In the computer A11, Xinetd, which is a known server program, is running in order to respond to a service request from another computer. In Xinetd, access control by domain name or IP address, restriction of access time, restriction of the number of connections, and the like can be performed. One example of the first setting file 202 is a setting file for setting access control by Xinetd. conf. Xinetd. The directory in which the executable file of the daemon program such as telnet exists is described in the conf. When the computer A11 receives a service request from another computer, the request source is Xinetd. conf is checked, and if the request is from a valid computer, Xinetd. A daemon program having an executable file in the location described by "conf" is executed. In the initial state of the present invention, it is assumed that the setting is such that the daemon program of the computer A11 cannot be executed from another computer.
[0018]
Access control between computers is also performed by the router 41. For example, the router 41 can permit or reject a packet entering the computer A11 based on a source address, a destination address, a requested service, and the like by using an ACL (access control list). A specific example of the second setting file 401 is an access control list. In the initial state of the present invention, the second setting file 401 is set so that the computer A11 rejects telnet from other computers.
The dummy daemon program 203 is a dummy of a daemon program such as telnet. Even if a malicious third party gets under the access control and accesses the computer A11, it is common to delete the daemon program from the internal storage medium 21 so that the third party does not execute the daemon program. is there. In the present invention, the dummy daemon program 203 is stored in the internal storage medium 21 instead of the daemon program. Thus, even if a third party attempts to start the daemon program, the dummy daemon program 203 is actually started. The dummy daemon program 203 can be programmed to have an arbitrary function. For example, the dummy daemon program 203 is programmed to record the IP or domain name of the computer to which the service is requested and to display a warning on the monitor of the computer A11. Thus, the behavior of a malicious third party can be recorded and later used as reference data for identifying the third party. The first setting file 202 is set so that the execution file of the dummy daemon program 203 is executed for the requested service.
[0019]
The setting change program 301 has two functions. In the first function, the first setting file 202 of the computer A11 and the second setting file 401 of the router 41 are changed to make a specific daemon program of the computer A11 logically accessible from a specific computer (here, the computer B12). . The information registered in advance in the identification information 302 as shown in FIG. 2 is used for changing the first setting file 202 and the second setting file 401. The information included in the identification information 302 includes at least an access-permitted computer ID 321 corresponding to the computer identifier 101 of the computer B12 to which access is permitted, an access-permitted user ID 322 of an accessible person, and execution of a daemon name permitted to the computer B12. An authorization daemon program 323. Here, for example, an IP address is used as the access permission computer ID. Note that there may be a plurality of access-permitted computer IDs, access-permitted user IDs, and execution-permitted daemon programs. In the second function, the first setting file 202 is changed so that Xinetd operating on the computer A11 starts the daemon program 303 on the external storage medium 31. Specifically, Xinetd. The directory where the executable file of the conf daemon program exists is changed from the directory where the dummy daemon program 203 exists on the internal storage medium 21 to the location where the daemon program 303 exists on the external storage medium 31. The setting change program 301 also has a function of creating backups of these setting files (the first setting backup file 204 and the second setting backup file 402, respectively) before changing the first setting file 202 and the second setting file 401. Have.
The setting recovery program 304 has a function of returning the change made by the setting change program 301 to the state before the change. Specifically, the first setting backup file 204 is changed to the first setting file 202, and the second setting backup file 402 is changed to the second setting file 401. After the change is made, the line disconnection program 305 is started. The line disconnection program 305 has a function of disconnecting the line L2 connected by the external storage medium connection switch 51.
[0020]
The procedure of the first embodiment of the present invention will be described below with reference to FIGS.
FIG. 3 shows a physical operation procedure at the start of the computer management work. When the computer administrator starts the computer management work, he or she notifies the computer operation staff resident in the data center of the intention to start the management work using a telephone or the like (A1). In this case, the location of the computer administrator is arbitrary. Since the data center staff is directly contacted by the computer administrator, the validity of the computer administrator can be confirmed (A2). Therefore, it is determined whether the contacted person is a legitimate computer administrator (A3), and if the contact is from the legitimate computer administrator, the operation staff turns on the external storage medium connection switch 51 of the computer (A4). At this time, the staff room in which the operation staff resides and the computer room may not be the same, but usually, they are close to each other, so that the external storage medium connection switch 51 can be turned on immediately after contact from the computer administrator. On the other hand, if the communication is not from a valid computer administrator, an alarm is issued to notify the communication from an unauthorized third party (A5), and the management work is terminated without turning on the external storage medium connection switch 51. The procedure shown in FIG. 3 improves security by interposing physical means.
[0021]
FIG. 4 shows the procedure until the computer A11 becomes logically accessible after the external storage medium connection switch 51 is turned on (A4). When the external storage medium connection switch 51 is turned on, the line between the computer A11 and the external storage medium 31 is connected (A7), which triggers an external interrupt (A8). The computer A11 detects this external interrupt and activates the setting change activation program 201 (A9). The setting change start program 201 starts the setting change program 301 by its function (A10). Subsequently, the setting change program 301 first creates the first setting backup file 204 using the function (A11), and thereafter changes the first setting file 202 using the access-permitted computer ID 321, the access-permitted user ID 322, and the execution-permitted daemon program 323. (A12). Subsequently, the setting change program 301 creates the second setting backup file 402 (A13), and thereafter changes the second setting file 401 using the access-permitted computer ID 321, the access-permitted user ID 322, and the execution-permitted daemon program 323 (A14). . After the change of the first setting file 202 and the second setting file 401 is completed, if necessary, a process for reflecting the changes to the computer A11 and the router 41 is performed (A15). For example, restarting Xinetd or restarting the router 41 is a process for reflecting the change. At this point, the daemon program 303 of the external storage medium 31 can be physically and logically accessed from the computer B12.
[0022]
FIG. 5 shows a procedure from when the daemon program 303 becomes accessible from the computer B12 to when the computer administrator becomes able to use the daemon program. The computer administrator executes telnet on the computer A11 because the daemon program 303 can be accessed (A16). The computer A11 determines the validity of the user according to the access-permitted user ID 322 (A17). If it is determined that the user is a valid user, a login permission is issued (A18), and a daemon program execution permission is issued (A19). On the other hand, if it is not determined that the user is a legitimate user, a warning that an unauthorized third party accesses is issued (A20), and the management work is terminated. Thereafter, the computer administrator can perform the management work of the computer A11 within the allowable range.
[0023]
FIG. 6 shows a procedure at the end of the management work. The computer administrator executes the setting recovery program 304 when a series of management operations is completed and it is no longer necessary to use the daemon program (B1). The setting recovery program 304 changes the first setting file 202 based on the first setting backup file 204 by the function. Subsequently, the second setting file 401 is changed based on the second setting backup file 402. After the change of the first setting file 202 and the second setting file 401 is completed, if necessary, a process for reflecting the changes to the computer A11 and the router 41 is performed (B4). For example, Xinetd is restarted, and the router 41 is restarted. As a result, the daemon program 303 becomes logically inaccessible from the computer B12.
[0024]
Finally, as shown in FIG. 7, the line disconnection program 305 is started following the setting recovery program 304 (B6). Thereby, the external storage medium 31 is disconnected from the computer A11.
The above is the description of the first embodiment of the present invention.
[0025]
Next, a second embodiment of the present invention will be described with reference to FIGS. 8 to 9 by taking an information home appliance connected to the Internet as an example. FIG. 8 is a block diagram showing the overall configuration including the information home appliance and the computer that manages the information home appliance in this embodiment. In FIG. 8, the information home appliance 71 is connected to the computer C61 via the Internet 2.
In FIG. 8, the information home appliance 71 has a corresponding external storage medium 91, and the external storage medium 91 stores identification information 92, a management program 93, and a line disconnection program 94. An arbitrary program can be stored as the management program 93. The information home appliance 71 and the external storage medium 91 are connected by a line L4. The line L4 is disconnected by an external storage medium connection switch 81 in an initial state of the present invention. There are several methods for mounting the external storage medium connection switch 81 and the external storage medium 91 as in the first embodiment.
[0026]
The external storage medium connection switch activation timer A72 is a timer for automatically operating the external storage medium connection switch 81. The external storage medium connection switch 81 can be operated at an arbitrary time according to the setting of the user of the information home appliance 71. The remote controller 73 incorporates an external storage medium connection switch activation timer B74 for automatically operating the external storage medium connection switch 81. By implementing the external storage medium connection switch 81 by the remote controller 73 physically separated from the information home appliance 71, the security is further improved.
[0027]
In the following, the procedure of the means for implementing the remote management of the information home appliance according to the second embodiment of the present invention will be described with reference to FIG. The user sets the remote management start time in the timer A72 for activating the external storage medium connection switch or the timer B74 for activating the external storage medium connection switch in accordance with a prior agreement with the management work executor (C1). Timer input is a common operation and is not too burdensome for many consumers. The start of management work may be directly input to the information home appliance 71 without using a timer by using a switch or the like. At the designated time, the external storage medium connection switch 81 is operated by the external storage medium connection switch activation timer A72 or the command of the external storage medium connection switch activation timer B74 (C2). At the scheduled time, the management worker attempts to access the information home appliance 71 (C3). The information home appliance 71 determines the legitimacy of the manager based on the identification information 92 (C4), and if the manager is a valid manager, gives the manager permission to access the information home appliance 71 and the external storage medium 91 ( C5) If the administrator is an unauthorized administrator, a warning is issued that the access is made by a third party, and the management work is terminated (C8). Finally, after the management of the information home appliance 71 is completed, the legitimate administrator executes the line disconnection program 94 to normally end the management work. The above is the description of the second embodiment of the present invention.
[0028]
【The invention's effect】
According to the first embodiment of the present invention, in the management of a computer such as a data center, it becomes possible to simplify the management without lowering the security at the time of management by the multiple security of cyber security and physical security. The second embodiment of the present invention enables maintenance by remote access while maintaining security by means that do not burden consumers.
[Brief description of the drawings]
FIG. 1 is a block diagram showing an overall configuration including a data center configured by a computer according to a first embodiment of the present invention, computers used by a computer administrator, and the Internet connecting them.
FIG. 2 is a diagram showing details of identification information in an external storage medium.
FIG. 3 is a flowchart showing a procedure of a physical operation at the start of a computer management operation.
FIG. 4 is a flowchart showing a procedure until an external storage medium becomes logically accessible.
FIG. 5 is a flowchart showing a procedure until a computer administrator can use a daemon program in an external storage medium.
FIG. 6 is a flowchart showing an end procedure at the end of management work.
FIG. 7 is a flowchart showing a procedure for disconnecting a line between a computer and an external storage medium.
FIG. 8 is a diagram showing an overall configuration including an information home appliance and a management computer according to a second embodiment of the present invention.
FIG. 9 is a flowchart showing a procedure of a means for performing remote management of the information home appliance.
[Explanation of symbols]
11 Computer
31 External storage media
51 External storage medium connection switch
41 router
12 Management computer
201 Setting change start program
301 Setting change program
302 Identification information
303 daemon program
304 Setting recovery program
305 Line disconnection program
71 Information appliances
72 External storage medium connection switch start timer A
73 Remote Controller
74 Timer B for activating external storage medium connection switch
91 External storage media
81 External storage medium connection switch
93 Management program
94 Line disconnection program.

Claims (18)

少なくとも第1計算機と第2計算機がネットワークで接続された計算機システムのシステム設定方法であって、
上記第1計算機は第2計算機からのリモートアクセスによるシステム設定を許可または禁止する設定ファイルを内部記録媒体に格納しており、
上記設定ファイルはリモートアクセスによるシステム設定を禁止する設定になっており、
上記第1計算機は上記システム設定を行うためのプログラムを上記内部記録媒体には格納しておらず、
上記第1計算機は外部記録媒体と物理的な接続手段によってのみ回線が接続する構成を有し、
上記外部記録媒体は上記第2計算機からの上記システム設定を許可するように上記設定ファイルを変更する設定変更プログラムと、上記システム設定のためのプログラムと、上記設定変更プログラムで実施した変更を元に回復する設定回復プログラムと、上記設定回復プログラムと連動して上記第1計算機と上記外部記録媒体を物理的に切断する回線切断プログラムと、を格納し、
上記内部記録媒体には上記接続手段が実施されたことを検出して上記設定変更プログラムを実行開始する設定変更起動プログラムを格納し、
上記第1計算機と上記外部記録媒体が物理的に接続されることにより上記第1計算機から上記外部記録媒体が物理的にアクセス可能状態になり、
上記接続手段を実施することで実行開始される前記設定変更起動プログラムによって前期設定変更プログラムが実行されて上記第2計算機から上記システム設定のためのプログラムが論理的に実行可能になり、
上記設定回復プログラムを実施することで上記第2計算機から上記システム設定のためのプログラムが論理的に実行不可能になり、
上記回線切断プログラムにより上記第1計算機から上記外部記録媒体が物理的にアクセス不可能状態になることを特徴とするシステム設定方法。A system setting method of a computer system in which at least a first computer and a second computer are connected by a network,
The first computer stores a setting file for permitting or prohibiting system setting by remote access from the second computer in an internal recording medium,
The above configuration file is set to prohibit system settings by remote access.
The first computer does not store a program for performing the system setting in the internal recording medium,
The first computer has a configuration in which a line is connected only by an external recording medium and physical connection means,
The external recording medium is configured based on a setting change program that changes the setting file so as to permit the system setting from the second computer, a program for the system setting, and a change performed by the setting change program. Storing a setting recovery program for recovering, and a line disconnection program for physically disconnecting the first computer and the external recording medium in conjunction with the setting recovery program;
The internal recording medium stores a setting change start program that detects execution of the connection unit and starts executing the setting change program,
When the first computer and the external recording medium are physically connected, the external recording medium is physically accessible from the first computer,
By executing the connection means, the setting change start program started to be executed, the first setting change program is executed, and the program for the system setting can be logically executed from the second computer,
By executing the setting recovery program, the system setting program becomes logically unexecutable from the second computer,
A system setting method, wherein the external recording medium is physically inaccessible from the first computer by the line disconnection program. 第1の計算機と第2の計算機がネットワークで接続された計算機システムであって、
上記第1の計算機は物理的に断続可能なスイッチを介して接続された外部記録装置を有し、
上記外部記録装置には、上記第1の計算機のシステム設定に必要なソフトウェアが格納されている計算機システム。A computer system in which a first computer and a second computer are connected by a network,
The first computer has an external recording device connected via a physically intermittent switch,
A computer system in which the external recording device stores software necessary for system setting of the first computer. 上記第1計算機は、内部記録装置を有し、
上記内部記録装置には、上記第2計算機からのリモートアクセスによるシステム設定を許可または禁止する設定ファイルが格納されている請求項2記載の計算機システム。The first computer has an internal recording device,
3. The computer system according to claim 2, wherein the internal recording device stores a setting file for permitting or prohibiting a system setting by remote access from the second computer. 上記ソフトウェアは、上記第2計算機からのシステム設定を許可するように上期設定ファイルを変更する設定変更プログラムを含む請求項3記載の計算機システム。4. The computer system according to claim 3, wherein the software includes a setting change program that changes a first-half setting file so as to permit a system setting from the second computer. 上記ソフトウェアは、上記システム設定のためのデーモンプログラムを含む請求項4記載の計算機システム。The computer system according to claim 4, wherein the software includes a daemon program for the system setting. 上記ソフトウェアは、上記設定変更プログラムで実施した変更を元に回復する設定回復プログラムと、上記設定回復プログラムと連動して上記第1計算機と上記外部記録媒体を物理的に切断する回線切断プログラムとを含む請求項5記載の計算機システム。The software includes a setting recovery program that recovers based on the change performed by the setting change program, and a line disconnection program that physically disconnects the first computer and the external recording medium in conjunction with the setting recovery program. The computer system according to claim 5, including: 上記外部記録装置には上記第2計算機の識別情報を格納し、上記設定変更プログラムは上記識別情報を用いて上記第2計算機からのリモートアクセスのみを許可するように上記設定ファイルを変更することを特徴とする請求項6記載の計算機システム。The external recording device stores identification information of the second computer, and the setting change program uses the identification information to change the setting file so as to permit only remote access from the second computer. 7. The computer system according to claim 6, wherein: 上記設定変更プログラムは上記設定ファイルの変更を上記第1計算機に反映させるための工程を含むことを特徴とする請求項6記載の計算機システム。7. The computer system according to claim 6, wherein the setting change program includes a step of reflecting the change of the setting file on the first computer. 上記内部記録媒体は上記システム設定のためのプログラムと同一名称だが本来の機能とは異なった機能を持つダミープログラムを格納することを特徴とする請求項6記載の計算機。7. The computer according to claim 6, wherein the internal recording medium stores a dummy program having the same name as the system setting program but having a function different from an original function. 前期設定変更プログラムは上記計算機システムにルータが含まれ上記第1計算機が上記第2計算機からアクセス禁止の設定になっている場合にアクセスを許可する設定に変更する工程を含むことを特徴とする請求項6記載の計算機。The first term setting change program includes a step of changing the setting to permit access when the first computer is set to prohibit access from the second computer when a router is included in the computer system. Item 6. The computer according to Item 6. 上記接続手段は上記外部記録媒体の電源オンを行う機能を有することを特徴とする請求項6記載の計算機システム。7. The computer system according to claim 6, wherein said connection means has a function of turning on said external recording medium. 上記回線切断プログラムは上記外部記録媒体の電源オフを行う機能を有することを特徴とする請求項6記載の計算機システム。7. The computer system according to claim 6, wherein the line disconnection program has a function of turning off the power of the external recording medium. クライアント計算機とネットワークで接続された計算機であって、
上記計算機はソフトウェアでは接続不可能なスイッチを介して接続された外部記録装置を有し、
上記外部記録装置には、上記計算機のシステム設定に必要なソフトウェアが格納されている計算機。A computer connected to the client computer via a network,
The computer has an external recording device connected via a switch that cannot be connected by software,
A computer in which the external recording device stores software necessary for system setting of the computer. 上記外部記録装置のソフトウェアは、上記クライアント計算機からのリモートアクセスによるシステム設定を許可または禁止する設定ファイルを書き換える設定変更プログラムを含む請求項13記載の計算機。14. The computer according to claim 13, wherein the software of the external recording device includes a setting change program for rewriting a setting file for permitting or prohibiting a system setting by remote access from the client computer. 上記外部記録装置のソフトウェアは、上記スイッチを切断する回線切断プログラムを含む請求項13記載の計算機。14. The computer according to claim 13, wherein the software of the external recording device includes a line disconnection program for disconnecting the switch. インターネットに接続し、インターネットを経由して計算機からリモートアクセスされる特定用途向け装置を制御する組み込み型計算機において、
上記計算機は物理的な接続手段によってのみ回線が接続する外部記憶媒体と上記接続手段を具備し、
上記外部記憶媒体は上記計算機にリモートアクセスする計算機の識別情報と、上記計算機を操作するためのプログラムと、回線を切断する回線切断プログラムを格納し、
上記接続手段を実行し上記計算機と上記外部記憶媒体が接続されることで上記計算機から上記計算機がアクセス可能になり、
上記識別情報によって上記計算機のリモートアクセスを許可することで上記計算機が上記プログラムを実行することが可能になり、
上記計算機から上記回線切断プログラムを実施することで上記計算機と上記外部記憶媒体が切断されることを特徴とする計算機。An embedded computer that connects to the Internet and controls an application-specific device that is remotely accessed from the computer via the Internet.
The computer includes an external storage medium to which a line is connected only by physical connection means and the connection means,
The external storage medium stores identification information of a computer that remotely accesses the computer, a program for operating the computer, and a line disconnection program for disconnecting the line,
The computer is accessible from the computer by executing the connection means and connecting the computer and the external storage medium,
By allowing remote access of the computer by the identification information, the computer can execute the program,
A computer wherein the computer and the external storage medium are disconnected by executing the line disconnection program from the computer. 上記計算機はタイマーを具備し、上記タイマーの設定によって指定時刻になると上記接続手段が実行されることを特徴とする請求項16記載の計算機。17. The computer according to claim 16, wherein the computer includes a timer, and the connection unit is executed at a designated time according to the setting of the timer. 上記計算機はタイマーを内蔵するリモートコントローラを具備し、上記タイマーの設定によって指定時刻になると上記接続手段を実行する指令を上記リモートコントローラが発して上記接続手段が実行されることを特徴とする請求項16記載の計算機。The computer comprises a remote controller having a built-in timer, wherein at a specified time by the setting of the timer, the remote controller issues a command to execute the connecting means, and the connecting means is executed. 16. The computer according to item 16.
JP2003057938A 2003-03-05 2003-03-05 Computer and method provided with device for improving security and facilitating management Pending JP2004272319A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003057938A JP2004272319A (en) 2003-03-05 2003-03-05 Computer and method provided with device for improving security and facilitating management

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003057938A JP2004272319A (en) 2003-03-05 2003-03-05 Computer and method provided with device for improving security and facilitating management

Publications (1)

Publication Number Publication Date
JP2004272319A true JP2004272319A (en) 2004-09-30

Family

ID=33121174

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003057938A Pending JP2004272319A (en) 2003-03-05 2003-03-05 Computer and method provided with device for improving security and facilitating management

Country Status (1)

Country Link
JP (1) JP2004272319A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007087026A (en) * 2005-09-21 2007-04-05 Fuji Xerox Co Ltd Information processor
JP2012503805A (en) * 2008-09-23 2012-02-09 サヴィス・インコーポレーテッド Threat management system and method
JP2019049968A (en) * 2017-07-21 2019-03-28 フィッシャー−ローズマウント システムズ,インコーポレイテッド Firewall for encrypted traffic in process control system

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007087026A (en) * 2005-09-21 2007-04-05 Fuji Xerox Co Ltd Information processor
JP2012503805A (en) * 2008-09-23 2012-02-09 サヴィス・インコーポレーテッド Threat management system and method
JP2019049968A (en) * 2017-07-21 2019-03-28 フィッシャー−ローズマウント システムズ,インコーポレイテッド Firewall for encrypted traffic in process control system
JP7148303B2 (en) 2017-07-21 2022-10-05 フィッシャー-ローズマウント システムズ,インコーポレイテッド Firewall for encrypted traffic in process control systems

Similar Documents

Publication Publication Date Title
JP4127315B2 (en) Device management system
JP4690310B2 (en) Security system and method
JP4524288B2 (en) Quarantine system
EP1918843B1 (en) Method and apparatus for centrally managed encrypted partition
JP4620111B2 (en) Network system, storage device access control method, management server, storage device, and login control method
US9619161B2 (en) Storage system having security storage device and management system therefor
IL172054A (en) Distributed filesystem network security extension
US9411643B2 (en) Method of performing tasks on a production computer system and data processing system
WO2008109106A1 (en) Method and system for preventing unauthorized access and distribution of digital data
US20080140836A1 (en) Computer management server in remote access environment
TW201415280A (en) A method and service for securing a system networked to a cloud computing environment from malicious code attacks
JP4895731B2 (en) Information processing device, peripheral device, and program
JP4329412B2 (en) File server system
JP4815782B2 (en) Program update method, information processing apparatus, and program
JP2008004110A (en) Device management system
JP2011065679A (en) Device management system
JP2002324011A (en) Storage system
US20080177560A1 (en) ID Lending system, computer-readable recording medium storing ID lending program, and ID lending method
JP2004272319A (en) Computer and method provided with device for improving security and facilitating management
JP2003087424A (en) Internet access server, initial setting server, host server, and remote management system for internet access server
KR20100027556A (en) Method for managing program excution by logined account permission and recording medium
TWI470458B (en) A method and device for controlling control
WO2006012457A1 (en) A system and method for lost data destruction of electronic data stored on portable electronic devices
JP2008083886A (en) Confidential information leakage prevention method and system
KR101041115B1 (en) System and Method Using Website by Permission Control and Recording Medium