CN111052005B - 控制装置以及控制系统 - Google Patents
控制装置以及控制系统 Download PDFInfo
- Publication number
- CN111052005B CN111052005B CN201880055243.1A CN201880055243A CN111052005B CN 111052005 B CN111052005 B CN 111052005B CN 201880055243 A CN201880055243 A CN 201880055243A CN 111052005 B CN111052005 B CN 111052005B
- Authority
- CN
- China
- Prior art keywords
- control device
- unit
- security event
- network
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
- G05B19/058—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/048—Monitoring; Safety
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Programmable Controllers (AREA)
Abstract
控制装置包括:程序执行部,其执行根据控制对象制作出的程序;检测部,其判断在从外部对控制装置的访问中是否发生了安全事件;以及通知部,当检测到发生了安全事件时,该通知部对与发生的该安全事件相应的通知目的地进行通知。安全事件包括不符合预先决定的规则的事件。
Description
技术领域
本发明涉及对控制对象进行控制的控制装置以及控制系统中的安全监视。
背景技术
在各种设备以及配置于各设备的各种装置的控制中使用PLC(可编程控制器)等控制装置。控制装置能够监视作为控制对象的设备或装置中产生的异常并且也能够监视控制装置本身的异常。当检测到某种异常时,通过某种方法从控制装置向外部进行通知。
例如,日本特开2000-137506号公报(专利文献1)公开了一种可编程控制器,其在登记了异常历史记录时或到了预先决定的时间时,向预先指定的收件人发送电子邮件。
现有技术文献
专利文献
专利文献1:日本特开2000-137506号公报
发明内容
发明要解决的问题
随着近年来的ICT(Information and Communication Technology:信息通信技术)的进步,控制装置也与各种各样的外部装置进行网络连接,并且在控制装置中执行的处理也变得复杂。伴随这种网络化或智能化,可设想到的威胁的种类也逐渐增加。
在以往的控制装置中,只是检测设备或装置中产生的异常或控制装置本身产生的异常,关于伴随网络化或智能化而可能产生的威胁,没有任何考虑。
本发明的一个目的在于,解决针对伴随控制装置以及控制系统的网络化或智能化而可能产生的威胁进行保护这一新的课题。
用于解决问题的方案
根据本公开的一例,提供一种对控制对象进行控制的控制装置。控制装置具备:程序执行部,其执行根据控制对象制作出的程序;检测部,其判断在从外部对控制装置的访问中是否发生了安全事件;以及通知部,当检测到发生了安全事件时,该通知部向与发生的该安全事件相应的通知目的地进行通知,安全事件包括不符合预先决定的规则的事件。
根据该公开,能够对从外部向控制装置的访问中是否发生安全事件进行监视,并且在发生了某种安全事件的情况下,对其发生及应对等进行必要的通知。由此能够解决针对伴随控制装置的网络化或智能化而可能产生的威胁进行保护这一新的课题。
在上述的公开中,也可以是,安全事件包括以下动作以及行为中的任一种:使控制装置的动作停止或性能下降的动作以及行为;使控制装置中的程序的执行处理停止或性能下降的动作以及行为;以及使控制对象的动作停止或性能下降的动作以及行为。
根据该公开,能够将阻碍控制装置所提供的处理这样的威胁作为安全事件来进行监视。
在上述的公开中,也可以是,安全事件包括与以下事件中的任一种相当的情况:数据的发送目的地或发送源的网络地址、物理地址、端口编号中的任一方未包含在预先决定的被允许访问的名单中;以及数据的发送目的地或发送源的网络地址、物理地址、端口编号中的任一方包含在预先决定的被禁止访问的名单中。
根据该公开,仅允许预先决定的发送目的地或发送源之间的数据通信,除此以外的数据通信被检测为安全事件。因此,能够实现针对经由网络的威胁的保护。
在上述的公开中,也可以是,控制装置包括第一单元和第二单元,该第一单元包括程序执行部,该第二单元包括检测部。第一单元具有用于进行网络连接的端口。也可以是,安全事件包括:在第一单元的端口被无效的情况下对该端口进行网络连接。
根据该公开,能够在经由网络对控制装置进行攻击、经由网络进行不正当的处理之前的阶段,检测为安全事件。
在上述的公开中,安全事件包括:在从外部访问控制装置时所要求的用户认证失败。
根据该公开,设想用户认证的失败是不正当的访问,因此能够在进行这种不正当的访问之前的阶段,检测为安全事件。
在上述的公开中,安全事件包括:能够对控制装置中执行的程序进行开发的支持装置向控制装置进行连接。
通过直接连接能够对控制装置的程序本身进行变更的支持装置,由此可能针对执行的程序进行具有某种恶意的攻击,根据该公开,能够在这种威胁发生之前的阶段,检测为安全事件。
在上述的公开中,安全事件包括:发生了在控制装置中执行的程序的追加和变更以及控制装置中的设定的变更中的任一方。
根据该公开,当针对在控制装置中执行的程序进行改变或针对控制装置进行动作所需要的设定进行改变时,能够检测为安全事件。能够将有时通过这种针对程序或设定的改变而在控制装置中执行异常的控制动作这样的威胁防患于未然。
在上述的公开中,也可以是,通知部经由网络对安全事件的发生进行事件通知。
根据该公开,能够对与控制装置通过网络连接的任意的设备通知表示对控制装置产生威胁的安全事件的发生。
在上述的公开中,也可以是,配置于网络上的告知部接收到来自通知部的事件通知后开始告知动作。
根据该公开,例如,通过配置在控制装置附近的告知部开始告知动作,能够使位于控制装置附近的管理者或安保人员等知晓安全事件的发生,能够立即开始必要的处理。
根据本公开的一例,提供对控制对象进行控制的控制系统。控制系统包括:第一单元,其包括执行根据控制对象制作出的程序的程序执行部;以及第二单元,其包括检测部和通知部,所述检测部判断在从外部对第一单元的访问中是否发生了安全事件,当检测到发生了安全事件时,所述通知部对与发生的该安全事件相应的通知目的地进行通知。安全事件包括不符合预先决定的规则的事件。
根据该公开,能够对在从外部对控制系统的访问中是否发生了安全事件进行监视,并且在发生了某种安全事件的情况下,对其发生和应对等进行必要的通知。由此,能够解决针对伴随控制系统的网络化或智能化而可能产生的威胁进行保护这一新的课题。
发明的效果
根据本发明,能够实现针对伴随控制装置以及控制系统的网络化或智能化而可能产生的威胁的保护。
附图说明
图1是表示本实施方式所涉及的控制系统的概要结构的示意图。
图2是表示本实施方式所涉及的控制装置中包括的CPU单元的硬件结构例的框图。
图3是表示本实施方式所涉及的控制装置中包括的安全单元的硬件结构例的框图。
图4是表示本实施方式所涉及的控制装置中包括的安全单元的功能结构例的框图。
图5是表示安全设定中包括的访问控制名单(ACL:Access Control List)的一例的图。
图6是表示网络内的节点变化的一例的示意图。
图7是说明监视与网络端口的连接的示意图。
图8是说明监视与USB端口的连接的示意图。
图9是用于说明从支持装置访问CPU单元时的处理的示意图。
图10是用于说明对从支持装置保存到CPU单元的程序和/或设定进行变更的处理的示意图。
图11是用于说明从本实施方式所涉及的安全单元发送的电子邮件的一例的示意图。
图12是用于说明从本实施方式所涉及的安全单元向显示装置通知安全事件的一例的示意图。
图13是用于说明从本实施方式所涉及的安全单元向数据库通知安全事件的一例的示意图。
图14是用于说明从本实施方式所涉及的安全单元向其他控制装置通知安全事件的一例的示意图。
图15是用于说明从本实施方式所涉及的安全单元经由网络进行事件通知的一例的示意图。
图16是表示对本实施方式所涉及的安全单元中的安全事件进行监视的处理过程的流程图。
图17是表示本实施方式的变形例所涉及的控制系统的概要结构的示意图。
具体实施方式
参照附图来详细地说明本发明的实施方式。此外,对于图中的同一或相当的部分标注同一标号,不重复其说明。
<A.应用例>
首先,说明应用本发明的场景的一例。
在本说明书中,“安全事件”包括不符合由控制装置的运行者或管理者等预先决定的规则的事件。更具体地说,“安全事件”可以包括:(a)使控制装置本身的动作停止或性能下降的动作以及行为;(b)使控制装置中的程序的执行处理停止或性能下降的动作以及行为;(c)使成为控制装置的控制对象的设备、装置或器件等的动作停止或性能下降的动作以及行为;以及(d)与这些类似的动作以及行为。
本说明书中的“安全事件”基本上是包括经由网络或与其类似的电气通信提供的动作或行为的概念。
图1是表示本实施方式所涉及的控制系统1的概要结构的示意图。参照图1,本实施方式所涉及的控制系统1对设备以及装置等控制对象进行控制,包括控制装置2、远程IO(Input Output:输入输出)装置4、1个或多个显示装置500以及1个或多个服务器装置600。控制装置2、显示装置500以及服务器装置600经由网络10进行连接。网络10经由网关700与作为外部网络的因特网连接。另外,控制装置2与远程IO装置4之间经由现场网络6进行连接。
控制装置2主要负责对控制对象进行控制的处理。在本实施方式中,控制装置2对来自因特网的访问和来自网络10内的其他装置的访问进行监视,并且当检测到发生了某种安全事件时,对控制装置2的内部或外部进行与检测出的该安全事件有关的通知。
控制装置2包括CPU单元100、安全单元200以及1个或多个功能单元300。CPU单元100具有执行根据控制对象制作出的程序的程序执行部。更具体地说,CPU单元100相当于执行系统程序和各种用户程序的运算处理部。
安全单元200具有检测部,该检测部判断在从外部对控制装置2的访问中是否发生了安全事件。更具体地说,安全单元200按照预先决定的安全设定20,始终监视是否发生了安全事件。在图1所示的结构例中,安全单元200配置成能够监视控制装置2经由网络10发送接收的数据。即,安全单元200在逻辑上配置于CPU单元100与网络10之间,将从CPU单元100发送的数据传送给网络10,并且将经由网络10接收到的数据传送给CPU单元100。安全单元200监视在这种处理中发送接收的数据,判断是否发生了某种安全事件。
安全单元200当检测到某种安全事件的发生时,按照预先决定的规则向内部或外部进行通知。即,安全单元200具有通知部,当检测到发生了安全事件时,该通知部向与发生的该安全事件相应的通知目的地进行通知。
在本实施方式所涉及的控制系统1中,实现始终监视关于对CPU单元100或包括CPU单元100的装置的访问是否发生了预先决定的安全事件的处理。而且,当发生了某种安全事件时,将与发生的该安全事件相应的通知输出到控制装置2的内部或外部。通过采用这种结构,能够提高针对CPU单元100或包括CPU单元100的装置的安全耐性。
此外,为了便于说明,示出使用了各自独立的CPU单元100和安全单元200的分体型的实现例,但不限于此,也可以采用将两者一体化而成的单元。或者,不是作为与CPU单元100连接的“单元”的方式,而是作为通过某种方法与CPU单元100连接的其他装置,来实现安全单元200所提供的处理。
<B.控制系统的整体结构例>
接着,参照图1对控制系统1的整体结构例进行说明。
控制装置2中包括的功能单元300与控制对象的设备和装置以及它们中配置的各种器件(传感器、致动器等)之间交换信号。具体地说,功能单元300将在CPU单元100中计算出的指令值输出到现场,或者收集来自现场的输入值。作为功能单元300,例如具有接收来自控制对象的数字信号的DI(Digital Input:数字输入)模块、对控制对象输出数字信号的DO(Digital Output:数字输出)模块、接收来自控制对象的模拟信号的AI(Analog Input:模拟输入)模块、对控制对象输出模拟信号的AO(Analog Output:模拟输出)模块中的1个或多个模块。并且,作为功能单元300,可以包括装备有PID(Proportional IntegralDerivative:比例-积分-微分)控制、运动控制之类的特殊功能的控制器。
将控制装置2与远程IO装置4连接的现场网络6优选采用进行保证数据的到达时间的固定周期通信的总线或网络。作为这种进行固定周期通信的总线或网络,也可以采用EtherCAT(注册商标)。此外,被称为“现场网络”的通信路径也被称为“现场总线”。在本说明书中,“现场网络”这一用语除了被用作狭义的“现场网络”以外还可以包括“现场总线”的概念。
远程IO装置4包括连接器单元400和1个或多个功能单元300。连接器单元400包括用于经由现场网络6交换数据的第一通信接口以及与远程IO装置4中包括的功能单元300之间进行内部的数据交换的第二通信接口。
关于功能单元300,与控制装置2中包括的功能单元300同样,因此不重复详细的说明。
作为将控制装置2与显示装置500及服务器装置600连接的网络10,例如也可以采用作为一般的网络协议的以太网(注册商标)、EtherNet/IP(注册商标)。
显示装置500接受来自用户的操作,对控制装置2输出与用户操作相应的命令等,并且将控制装置2中的运算结果等以图形方式显示。
设想服务器装置600为数据库系统、制造执行系统(MES:ManufacturingExecution System)等。制造执行系统获取来自控制对象的制造装置、设备的信息,对生产整体进行监视和管理,还能够处理订单信息、品质信息、出厂信息等。不限于此,也可以将提供信息类服务(从控制对象获取各种信息,进行宏观或微观的分析等处理)的装置连接于网络10。
网关700执行网络10与外部网络(因特网)之间的协议变换以及作为防火墙的处理。
<C.主要的单元的硬件结构例>
接着,说明本实施方式所涉及的控制装置2中包括的主要的单元的硬件结构例。
(c1:CPU单元100)
图2是表示本实施方式所涉及的控制装置2中包括的CPU单元100的硬件结构例的框图。参照图2,CPU单元100包括处理器102、芯片组104、主存储器106、存储器108、单元间接口110、USB(Universal Serial Bus:通用串行总线)接口112、存储卡接口114、网络接口118、内部总线控制器120以及现场网络控制器130。
处理器102由CPU(Central Processing Unit:中央处理单元)、MPU(MicroProcessing Unit:微处理单元)、GPU(Graphics Processing Unit:图形处理单元)等构成。作为处理器102,既可以采用具有多核的结构,也可以配置多个处理器102。这样,CPU单元100具有1个或多个处理器102和/或具有1个或多个核的处理器102。芯片组104通过对处理器102和周边要素进行控制,实现作为CPU单元100整体的处理。主存储器106由DRAM(Dynamic Random Access Memory:动态随机存取存储器)、SRAM(Static Random AccessMemory:静态随机存取存储器)等易失性存储装置等构成。存储器108例如由闪存等非易失性存储装置等构成。
处理器102通过读出存储器108中保存的各种程序并在主存储器106中展开来执行,由此实现与控制对象相应的控制。在存储器108中除了保存用于实现基本的处理的系统程序32以外,还保存根据控制对象的制造装置以及设备制作出的用户程序30。
单元间接口110是用于与其他单元以能够进行数据通信的方式连接的器件。在本实施方式中,经由CPU单元100的单元间接口110连接安全单元200。作为单元间接口110,例如能够采用遵循公知的数据传输标准(例如,PCI Express)等的器件。
USB接口112对与经由USB连接的外部装置(例如,进行用户程序的开发等的支持装置)之间的数据通信进行中介。
存储卡接口114构成为存储卡116可装卸,能够对存储卡116写入数据,从存储卡116读出各种数据(用户程序、追踪数据等)。
网络接口118能够进行经由网络10的数据通信的中介。但是,在CPU单元100与安全单元200连接的状态下,通常使网络接口118的动作无效(具体地说,禁止端口使用)。
内部总线控制器120对与安装于CPU单元100的功能单元300之间的数据通信进行中介。现场网络控制器130对经由现场网络6的与其他单元之间的数据通信进行中介。
在图2中示出了处理器102通过执行程序来实现必要的处理的结构例,但也可以使用专用的硬件电路(例如,ASIC或FPGA等)来实现所提供的这些处理的一部分或全部。
(c2:安全单元200)
图3是表示本实施方式所涉及的控制装置2中包括的安全单元200的硬件结构例的框图。参照图3,安全单元200包括处理器202、芯片组204、主存储器206、存储器208、单元间接口210以及网络接口220。
处理器202由CPU、MPU、GPU等构成。与上述的CPU单元100同样地,安全单元200具有1个或多个处理器202和/或具有1个或多个核的处理器202。芯片组204通过对处理器202和周边要素进行控制,实现作为安全单元200整体的处理。主存储器206由DRAM、SRAM等易失性存储装置等构成。存储器208例如由闪存等非易失性存储装置等构成。
处理器202通过读出存储器208中保存的各种程序并在主存储器206中展开来执行,由此实现安全事件的监视等处理。在存储器208中除了保存用于实现基本的处理的固件22以外,还保存用于控制装置的运用者或管理者等对预先决定的规则等进行规定的安全设定20。在后面叙述基于安全设定20的安全监视处理的详情。
单元间接口210与上述的CPU单元100的单元间接口110同样地,是用于与其他单元以能够进行数据通信的方式连接的器件。经由单元间接口210,安全单元200与CPU单元100相连接。
网络接口220对经由网络10的与其他装置之间的数据通信进行中介。网络接口220包括发送接收部222、控制器224以及缓冲器226来作为主要的组成部件。
发送接收部222是作为OSI参考模型的物理层的要素,负责经由网络10的信号的接收和解码以及应发送的数据的编码和经由网络10的编码后的信号的发送。
控制器224是主要作为OSI参考模型的数据链层、网络层、追踪端口层的要素,负责路由选择、纠错、重新发送处理等。
缓冲器226是暂时存储应发送的数据和接收到的数据等的存储部。
在图3中示出了处理器202通过执行程序来提供必要的处理的结构例,但也可以使用专用的硬件电路(例如,ASIC或FPGA等)来实现所提供的这些处理的一部分或全部。
(c3:功能单元300和连接器单元400)
本实施方式所涉及的控制装置2、远程IO装置4中包括的功能单元300以及远程IO装置4中包括的连接器单元400是公知的结构,因此在此不重复详细的说明。
<D.功能结构例>
接着,说明本实施方式所涉及的控制系统1中包括的安全单元200的功能结构的一例。图4是表示本实施方式所涉及的控制装置2中包括的安全单元200的功能结构例的框图。
参照图4,安全单元200包括帧提取模块250、分析模块252、状态获取模块260、检测模块262、通知模块264以及用户认证模块266来作为与安全事件的监视有关的功能结构。
帧提取模块250从网络接口220提取经由网络10与外部装置之间交换的数据(帧或分组)。帧提取模块250将提取出的帧或分组输出到分析模块252。
分析模块252对来自帧提取模块250的帧或分组进行分析,将其分析结果输出到检测模块262。分析模块252中的分析的内容能够任意地设定。在图4所示的结构例中,分析模块252能够执行内容分析处理254、特征提取处理256以及统计处理258。
内容分析处理254包括参照处理对象的帧或分组的报头信息等来获取发送目的地和发送源的网络地址(例如,IP(Internet Protocol:因特网协议)地址)、物理地址(例如,MAC(Media Access Control:介质访问控制)地址)、端口编号、传输协议等的信息的处理。
特征提取处理256包括根据处理对象的帧或分组中包括的数据的内容提取特征量的处理。
统计处理258包括计算处理对象的帧或分组的发送接收定时、频率等的统计信息的处理。
通过各个处理计算出的信息作为分析结果被输出到检测模块262。
状态获取模块260获取CPU单元100中的状态,将获取到的该CPU单元状态信息输出到检测模块262。CPU单元状态信息例如表示对CPU单元100进行的某种变更操作(可以包括软件方面和硬件方面中的任一方)的信息。
检测模块262参照安全设定20,判断来自分析模块252的分析结果和/或来自状态获取模块260的CPU单元状态信息是否符合预先决定的安全事件的条件。此外,在后面叙述安全事件的具体例。
检测模块262在分析结果或CPU单元状态信息符合某个条件的情况下,判断为发生了与该符合的条件对应的种类的安全事件,将表示发生了被判断为发生的该安全事件的检测结果输出到通知模块264。
检测模块262将表示检测到的安全事件的信息作为历史信息24进行登记。
通知模块264响应于来自检测模块262的检测结果,将与发生的安全事件相应的内容通知给与发生的安全事件相应的通知目的地。在后面叙述通知内容和通知目的地的具体例。
用户认证模块266执行针对经由网络10访问安全单元200的用户的认证处理。用户认证模块266将表示用户认证的结果的用户认证结果输出到检测模块262。
通过采用以上那样的功能结构,能够实现本实施方式所涉及的安全监视处理。
<E.安全事件>
接着,说明本实施方式所涉及的控制系统1中设定的安全事件的几个例子。
(e1-1:访问控制)
首先,作为安全设定20,说明利用对发送目的地和/或发送源进行限制的访问控制的例子。
作为访问控制的一例,能够使用发送目的地和/或发送源的网络地址(例如,IP地址)、物理地址(例如,MAC地址)、端口编号等。
图5是表示安全设定20中包括的访问控制名单(ACL:Access Control List)的一例的图。在图5中,作为用于实现访问控制的访问控制名单,示出明确地对允许访问的条件进行规定的白名单以及明确地对禁止访问的条件进行规定的黑名单。但是,无需使用2种名单,也可以根据所要求的安全等级等,仅使用任一方。
在图5的(A)中示出使用通信目的地的网络地址(IP地址)的例子。在图5的(A)的白名单中规定了被允许访问CPU单元100的IP地址,在图5的(A)的黑名单中规定了禁止访问CPU单元100的IP地址。
在图5的(B)中示出使用通信目的地的物理地址(MAC地址)的例子。在图5的(B)的白名单中规定了被允许访问CPU单元100的MAC地址,在图5的(B)的黑名单中规定了禁止访问CPU单元100的MAC地址。
在图5的(C)中示出使用在与通信目的地的数据通信中使用的端口编号的例子。在图5的(C)的白名单中规定了被允许访问CPU单元100的端口编号,在图5的(C)的黑名单中规定了禁止访问CPU单元100的端口编号。
也可以是,当存在来自在图5的(A)~图5的(C)的白名单中未规定的设备的访问以及来自黑名单中规定的设备的访问时,判断为发生了安全事件。这种使用访问控制名单的安全事件的监视典型地说是通过将由图4所示的分析模块252的内容分析处理254输出的分析结果与访问控制名单进行比较来实现的。
也可以将上述的网络地址、物理地址、端口编号中的多个进行组合。例如,也可以是,仅限于对物理地址和端口编号均被允许访问的通信目的地允许访问。
这样,本实施方式所涉及的安全事件也可以包括与以下任一种相当的事件:数据的发送目的地或发送源的网络地址、物理地址、端口编号中的任一方未包含在预先决定的被允许访问的白名单中;以及数据的发送目的地或发送源的网络地址、物理地址、端口编号中的任一方包含在预先决定的被禁止访问的黑名单中。
(e1-2:数据接收模式)
接着,作为安全设定20,说明对数据接收模式进行监视的例子。例如,也可以采用用于检测发送大量的请求数据等使服务的利用停止的DoS(Denial of Service:拒绝服务)攻击等的安全设定20。
作为DoS攻击的一例,当考虑SYN flood攻击等时,也可以将遍及规定期间地持续接收到接收间隔短的SYN分组(或者,大小为规定值以下的分组)的情况等判断为发生了安全事件。
使用了数据接收模式的安全事件的监视典型地说是通过将由图4所示的分析模块252的特征提取处理256输出的特征量与访问控制名单进行比较来实现的。这样,作为安全设定20,也可以规定由接收的分组的种类和接收间隔等规定的数据接收模式。
这样,本实施方式所涉及的安全事件也可以包括由接收的分组的种类和接收间隔等规定的数据接收模式与预先规定的模式一致的情况。
(e1-3:访问模式)
接着,作为安全设定20,说明对特定的访问模式进行监视的例子。
例如,关于已知的计算机病毒,已明了其特有的访问模式的情况也很多,在这种情况下,也可以将其特有的访问模式规定为安全设定20。而且,也可以是,当受到了相当于安全设定20中规定的访问模式的访问时,判断为发生了安全事件。
使用了这种访问模式的安全事件的监视典型地说是通过将由图4所示的分析模块252的特征提取处理256输出的特征量与访问控制名单进行比较来实现的。这样,作为安全设定20,也可以规定特定的访问模式的监视。
这样,本实施方式所涉及的安全事件也可以包括访问控制装置2的模式与预先规定的模式一致。
(e2:网络监视)
接着,作为安全设定20,说明对网络内的节点变化进行监视的例子。
一般来说,控制装置2所连接的网络仅连接有预先决定的设备(节点),追加新的设备(节点)的必要性低。因此,也能够将网络内的节点变化视为安全事件。
图6是表示网络内的节点变化的一例的示意图。参照图6的(A),将除了控制装置2以外也将显示装置500和服务器装置600连接于网络10的状态设为标准节点结构。相对于这种标准节点结构,如图6的(B)所示那样追加了新的设备900。
也可以是,当追加这样的设备900而使网络10内的节点发生变化时,判断为发生了安全事件。
具体地说,例如,能够将标准节点结构中的各节点的网络地址预先获取为安全设定20,当在网络10内检测到与该预先获取到的节点不同的网络地址时,判断为发生了网络10内的节点变化。或者,也可以基于网络10内存在的节点的数量的变化等来检测节点变化。
此外,作为网络10内的节点变化,不限于节点的追加,也可以检测节点的删除等。并且,作为网络10内的节点变化,也可以不仅检测节点数量,也检测拓扑的变化。
也可以是,当发生这种网络内的节点变化时,判断为发生了安全事件。
这样,本实施方式所涉及的安全事件也可以包括发生了网络内的节点变化。
(e3-1:与网络端口的连接的监视)
接着,作为安全设定20,说明对与CPU单元100的网络端口的连接进行监视的例子。
在CPU单元100连接有安全单元200的结构中,CPU单元100经由安全单元200与网络10连接。因此,设置于CPU单元100自身的网络端口的使用被禁止(图2所示的网络接口118被无效)。
可以设想到在这种状态下某种网络与CPU单元100的网络端口连接是具有某种企图的行为。因此,也可以是,当发生了这种与被无效了的网络端口的网络连接时,判断为发生了安全事件。
图7是说明监视与网络端口的连接的示意图。参照图7,在CPU单元100的表面配置有USB端口112P、存储卡插槽114P、网络端口118P以及现场网络端口130P1、130P2。网络端口118P是用于对CPU单元100进行网络连接的端口。
在控制装置2的运行中,设为使不使用的网络端口118P无效。也可以是,当在这种状态下线缆连接于网络端口118P时,判断为发生了安全事件。此外,有时也在控制装置2停止时或维护时进行网络连接,因此也可以将控制装置2处于运行中附加为用于判断发生了安全事件的条件。
这种与网络端口的连接的监视典型地说是通过对由图4所示的状态获取模块260输出的CPU单元状态信息进行监视来实现的。
这样,本实施方式所涉及的安全事件也可以包括在CPU单元100的网络端口118P被无效的情况下对网络端口118P进行网络连接。
(e3-2:与USB端口的连接的监视)
接着,作为安全设定20,说明对与CPU单元100的USB端口的连接进行监视的例子。
例如,经由CPU单元100的USB端口等连接支持装置。可以设想到这种支持装置的连接是具有某种企图的行为。因此,也可以是,当发生了这种对被无效了的网络端口的网络连接时,判断为发生了安全事件。
图8是说明监视与USB端口的连接的示意图。参照图8,在CPU单元100的表面配置有USB端口112P、存储卡插槽114P、网络端口118P以及现场网络端口130P1、130P2。
例如,也可以是,当在控制装置2的运行中经由USB端口112P连接某种设备时,判断为发生了安全事件。此外,有时也在控制装置2停止时或维护时连接支持装置,因此也可以将控制装置2处于运行中附加为用于判断发生了安全事件的条件。
这种与USB端口的连接的监视典型地说是通过对由图4所示的状态获取模块260输出的CPU单元状态信息进行监视来实现的。
这样,本实施方式所涉及的安全事件也可以包括向USB端口112P连接任意的设备。此外,不限于USB端口,也可以是,将经由任意的通信单元连接支持装置等任意的设备的情况视为安全事件。因此,典型地说,安全事件包括能够对控制装置2中执行的程序(用户程序30)进行开发的支持装置向控制装置进行连接。
(e3-3:电源监视)
接着,作为安全设定20,说明对控制装置2的电源状态进行监视的例子。
例如,可以设想到在控制装置2的运行中使电源接通/断开是具有某种企图的行为。因此,也可以是,当控制装置2的电源被接通/断开时,判断为发生了安全事件。
此外,在控制装置2中,也可以设想到从共同的电源装置向CPU单元100和安全单元200供给电源的情况。在这种结构中,可以设想到通过切断电源,也切断向安全单元200的电源供给。
在这种情况下,也可以是,预先在安全单元200的内部配置电池等,即使在外部电源被切断的情况下,也利用来自该电池的电力继续进行安全监视。
控制装置2的电源状态的监视典型地说是通过对由图4所示的状态获取模块260输出的CPU单元状态信息进行监视来实现的。
这样,本实施方式所涉及的安全事件也可以包括控制装置2的电源状态发生了变化。
(e3-4:硬开关监视)
接着,作为安全设定20,说明对设置于控制装置2的硬开关的状态进行监视的例子。
例如,可以设想到在控制装置2的运行中设置于CPU单元100的DIP开关(通常用于对CPU单元100的动作模式等进行设定)被操作是具有某种企图的行为。因此,也可以是,当CPU单元100的硬开关(例如,DIP开关)被操作时,判断为发生了安全事件。
此外,作为CPU单元100的硬开关,不限于DIP开关,也可以设想旋转开关、拨动开关等。
这种设置于控制装置2的硬开关的状态监视典型地说是通过对由图4所示的状态获取模块260输出的CPU单元状态信息进行监视来实现的。
这样,本实施方式所涉及的安全事件也可以包括设置于控制装置2的硬开关的状态发生了变化。
(e3-5:周围环境监视)
接着,作为安全设定20,说明对控制装置2的周围环境进行监视的例子。
通常,控制装置2以成为规定的上限温度以下的方式收纳于控制盘等,但当可疑的人进行停止控制盘的冷却风扇等行为时,控制盘内的温度可能上升。也可以是,当这种在控制装置运行中周围环境发生了变化时,判断为发生了安全事件。作为具体例,如果将最大额定温度设为55℃,则也可以当温度达到其以下的温度例如50℃时,判断为发生了安全事件。
这种控制装置2的周围环境的监视典型地说是通过对由图4所示的状态获取模块260输出的CPU单元状态信息进行监视来实现的。
这样,本实施方式所涉及的安全事件也可以包括控制装置2的周围环境成为预先决定的条件。
(e4-1:用户认证:其一)
接着,作为安全设定20,说明对在从支持装置向CPU单元100的访问中实施的用户认证的认证结果进行监视的例子。
图9是用于说明从支持装置800访问CPU单元100时的处理的示意图。参照图9,在从支持装置800访问CPU单元100时,在两者已连接的基础上,用户利用支持装置800输入认证信息(典型地说是用户名和密码)。CPU单元100基于来自用户的认证信息执行认证处理。而且,CPU单元100对支持装置800回复认证结果。在认证处理成功的情况下,CPU单元100允许来自支持装置800的访问。
另一方面,在认证处理失败的情况下,也存在不正当访问的可能性,因此也可以判断为发生了安全事件。即,也可以是,以从支持装置800访问CPU单元100时的认证处理的失败为触发,判断为发生了安全事件。
此外,也可以设想到是单纯的输入失误的情况,因此也可以是,仅限于在从支持装置800访问CPU单元100时的认证处理失败连续了多次的情况下,判断为发生了安全事件。
这种从支持装置800访问CPU单元100时的用户认证的认证结果的监视典型地说是通过对由图4所示的状态获取模块260输出的CPU单元状态信息进行监视来实现的。
这样,本实施方式所涉及的安全事件也可以包括从外部访问控制装置2或CPU单元100时所要求的用户认证失败。
(e4-2:用户认证:其二)
接着,作为安全设定20,说明在从网络对安全单元200的访问中实施的用户认证的认证结果进行监视的例子。
如上述的图4所示,安全单元200具有用户认证模块266,在经由网络10访问安全单元200时,执行用户认证。
也可以是,在该用户认证失败的情况下,与上述的处理同样地,也以认证处理的失败为触发,判断为发生了安全事件。即,本实施方式所涉及的安全事件也可以包括从外部访问控制装置2或CPU单元100时所要求的用户认证失败。
(e4-3:程序追加、更新/设定变更)
接着,作为安全设定20,说明对在CPU单元100中执行的程序的追加、更新和/或设定的变更进行监视的例子。
图10是用于说明对从支持装置800保存到CPU单元100的程序和/或设定进行变更的处理的示意图。参照图10,用户在支持装置800上制作或改变了任意的用户程序,之后将该制作或改变后的用户程序传送给CPU单元100。由此,向CPU单元100安装新的用户程序,或者更新已保存的用户程序。
或者,用户也能够通过对支持装置800进行操作,来对CPU单元100中保持的设定进行变更。
通过这种对CPU单元100的程序的追加、CPU单元100中执行的程序的更新、CPU单元100中的设定的变更等,使CPU单元100的动作发生变化,因此也可以是以进行了这种操作为触发,判断为发生了安全事件。
并且,能够从支持装置800将CPU单元100的主存储器106中保持的工作数据全部清除。通过进行这种全部清除,CPU单元100的程序开始执行初始状态。这种从初始状态起的执行可能示出与之前的动作不同的动作,因此也可以判断为发生了安全事件。
这种CPU单元100中的程序的追加/变更和/或设定的变更的事件典型地说是通过对由图4所示的状态获取模块260输出的CPU单元状态信息进行监视来检测的。同样地,关于对CPU单元100的主存储器106全部清除的事件也通过对由图4所示的状态获取模块260输出的CPU单元状态信息进行监视来检测。
这样,本实施方式所涉及的安全事件也可以包括发生了控制装置2中执行的程序的追加和变更以及控制装置2中的设定的变更中的任一方。另外,本实施方式所涉及的安全事件也可以包括对CPU单元100的主存储器106进行了全部清除的操作等。
<F.通知>
接着,说明响应于检测到发生了安全事件的通知的几个例子。
(f1:基于电子邮件的通知)
首先,说明利用来自安全单元200的电子邮件通知安全事件的发生的方式。
图11是用于说明从本实施方式所涉及的安全单元200发送的电子邮件的一例的示意图。参照图11,电子邮件的显示画面550包含在来自安全单元200的电子邮件中包括的摘要显示栏552、发送源显示栏554、接收日期时间栏556和正文栏558。
摘要显示栏552中显示有通知安全事件的发生的消息以及用于确定发生了该安全事件的控制装置2的信息。发送源显示栏554中显示有表示发送了电子邮件的安全单元200的服务的信息。接收日期时间栏556中显示有接收到来自安全单元200的电子邮件的日期时间。
正文栏558中显示有用于确定发生的安全事件的内容的代码、发生时刻、发生场所、紧急度等的信息。
并且,正文栏558中也可以嵌入有用于确认发生的安全事件的详情的链接信息560,用户能够通过选择链接信息560访问作为该电子邮件的发送源的安全单元200或者收集了来自安全单元200的信息的任意的服务器装置,来获取发生的安全事件的详细信息。
图11所示的电子邮件的内容是一例,也可以将任意的内容通过电子邮件进行通知。
此外,所通知的电子邮件能够利用任意的设备进行阅览。作为任意的设备,可以设想出个人计算机、智能手机、平板电脑等。
这样,本实施方式所涉及的安全单元200当检测到某种安全事件的发生时,将检测到的该安全事件利用电子邮件的方式向外部进行通知。
(f2:向显示装置500的通知)
接着,说明从安全单元200向显示装置500通知安全事件的发生的方式。
图12是用于说明从本实施方式所涉及的安全单元200向显示装置500通知安全事件的一例的示意图。参照图12,在显示装置500的显示器上进行操作用的画面显示。在画面显示中,除了显示表示控制对象的对象502以外,还可以显示表示收纳有控制装置2的控制盘的对象504。
也可以是,当在显示有这种用户接口画面的状态下,检测到某种安全事件的发生时,在与收纳有发生了该安全事件的控制装置2的控制盘对应的位置,弹出显示表示通知内容的对象506。
也可以在对象506中与表示安全事件的发生的消息一起显示发生了该安全事件的日期时间和紧急度等。不限于图12的显示例,也可以显示更多的信息,相反地也可以是更简单的显示内容。
并且,也可以从显示装置500发出用于通知安全事件的发生的通知音508。
此外,通知目的地的显示装置500不限于与安全单元200连接于同一网络,如果安全单元200能够进行通信,则也可以将连接于任意的网络的显示装置500作为通知目的地。
这样,本实施方式所涉及的安全单元200当检测到发生了某种安全事件时,将检测到的该安全事件向通过网络连接的显示装置进行通知。
(f3:向数据库/云服务的通知)
接着,说明从安全单元200向数据库或云服务通知安全事件的发生的方式。
图13是用于说明从本实施方式所涉及的安全单元200向数据库通知安全事件的一例的示意图。参照图13,例如,连接于网络10的服务器装置600实现作为数据库的处理,并且安全单元200当探测到某种安全事件的发生时将其内容通知给服务器装置600。
服务器装置600逐次收集来自安全单元200的通知的内容。而且,服务器装置600响应于来自外部的请求(查询),回复所指定的安全事件的内容。
图13中示出将连接于网络10的服务器装置600作为通知目的地的例子,但不限于此,也可以向因特网上的任意的服务器装置(即,云服务)通知安全事件。
通过利用云服务,无需仅为了监视安全事件而准备服务器装置600。
这样,本实施方式所涉及的安全单元200当检测到某种安全事件的发生时,将检测到的该安全事件向通过网络连接的数据库/云服务进行通知。
(f4:向其他控制装置的通知)
接着,说明从安全单元200向其他控制装置通知安全事件的发生的方式。
图14是用于说明从本实施方式所涉及的安全单元200向其他控制装置通知安全事件的一例的示意图。参照图14,例如,设想在同一网络10连接有多个控制装置2,各个控制装置2具有安全单元200这样的结构。
任一个安全单元200当检测到某种安全事件的发生时,向其他控制装置2的安全单元200通知所检测到的安全事件的内容。从其他安全单元200接收到通知的安全单元200逐次收集该通知的内容。
通过采用这种结构,能够在安全单元200之间进行安全事件的相互检测。
并且,接收到安全事件的通知的其他控制装置2也可以根据该通知的紧急度等,使用所连接的现场设备进行某种物理性告知(声音、光、振动等)。
这样,本实施方式所涉及的安全单元200当检测到某种安全事件的发生时,将检测到的该安全事件向通过网络连接的其他控制装置2进行通知。
(f5:事件通知)
接着,说明从安全单元200经由网络对安全事件的发生进行事件通知的方式。
图15是用于说明从本实施方式所涉及的安全单元200经由网络进行事件通知的一例的示意图。参照图15,设想配置了用于向网络10告知安全事件的发生的告知部1000的结构。
安全单元200当检测到某种安全事件的发生时,经由网络10向告知部1000发送通知分组。告知部1000当接收到来自安全单元200的通知分组时,按照该通知分组的内容开始物理性告知(声音、光、振动等)。
作为通知分组,例如能够利用SNMP(Simple Network Management Protocol:简单网络管理协议)陷阱等。不限于SNMP陷阱,只要能够对事件进行通知,可以采用任何协议。
通过采用这种结构,能够对配置在网络上的任意的位置的告知部通知安全事件的发生。
这样,本实施方式所涉及的安全单元200也可以当检测到某种安全事件的发生时,经由网络对检测到的该安全事件进行事件通知。配置在网络上的告知部1000也可以在接受到这种事件通知后开始告知动作。
(f6:紧急度/优先度显示)
如上所述,在本实施方式所涉及的控制系统1中,对1个或多个状态值、事件进行监视,判断是否发生了安全事件。通常,各个安全事件具有与各事件相应的紧急度和/或优先度,但未必相同。
因此,也可以是,预先按每个监视对象的安全事件设定紧急度和/或优先度,当检测到某种安全事件的发生时,与检测到的该安全事件的紧急度和/或优先度一并进行通知。
作为这种紧急度和/或优先度的通知方法,既可以使用如上述的图11和图12所示的文字信息进行通知,也可以在使用如图15所示的告知部1000的情况下,使告知部1000发出的颜色、点亮模式、音色、音量等不同来进行通知。
通过对检测到的安全事件的紧急度和/或优先度进行通知,接收到该通知的用户能够立刻掌握必须以何种程度的紧急度和/或优先度针对检测到的该安全事件进行应对。
<G.处理过程>
接着,说明对本实施方式所涉及的安全单元200中的安全事件进行监视的处理过程的一例。
图16是表示对本实施方式所涉及的安全单元200中的安全事件进行监视的处理过程的流程图。图16所示的各步骤典型地说是通过安全单元200的处理器202执行固件22来实现的。图16所示的处理过程按照每个规定周期反复执行或者每当预先决定的事件发生时执行。
参照图16,安全单元200判断是否发生了经由网络10的数据的发送接收(步骤S100)。如果没有发生经由网络10的数据的发送接收(步骤S100中:否),则跳过步骤S102~S106的处理。
如果发生了经由网络10的数据的发送接收(在步骤S100中:是),则安全单元200判断数据的发送目的地和/或发送源是否被访问控制限制(步骤S102)。如果数据的发送目的地和/或发送源被访问控制限制(在步骤S102中:是),则安全单元200判断为发生了安全事件(步骤S104)。然后,在步骤S120中执行规定的通知处理。
如果数据的发送目的地和/或发送源没有被访问控制限制(在步骤S102中:否),则安全单元200判断数据的发送或接收的模式是否与预先决定的判断为发生了安全事件的模式一致(步骤S106)。如果数据的发送或接收的模式与预先决定的判断为发生了安全事件的模式一致(在步骤S106中:是),则安全单元200判断为发生了安全事件(步骤S104)。然后,在步骤S120中执行规定的通知处理。
接着,安全单元200从CPU单元100获取到CPU单元状态信息(步骤S108),并判断获取到的CPU单元状态信息是否符合安全设定20中规定的任一安全事件的条件(步骤S110)。如果获取到的CPU单元状态信息符合任一安全事件的条件(在步骤S110中:是),则安全单元200判断为发生了安全事件(步骤S104)。然后,在步骤S120中执行规定的通知处理。
如果获取到的CPU单元状态信息不符合任一安全事件的条件(在步骤S110中:否),则处理结束。
在步骤S120中,安全单元200根据检测到的安全事件执行通知处理。然后,处理结束。
<H.变形例>
(h1:一体型)
在上述的本实施方式所涉及的控制系统1中,例示了将安全单元200连接于CPU单元100的结构,但也可以不是这种分离型的结构,而是采用将两者一体化而成的结构。在该情况下,在CPU单元100的内部配置有安装了用于实现安全单元200所提供的处理的软件和/或硬件的结构。通过采用这种一体型的结构,能够节省控制系统整体的空间。
(h2:外置型)
在上述的本实施方式所涉及的控制系统1中,例示了不是利用CPU单元100的网络端口,而是利用安全单元200的网络端口来进行网络连接的结构,但在将本实施方式所涉及的安全事件的监视处理应用于现有的控制装置的情况下,也可以采用外置型的安全单元。
图17是表示本实施方式的变形例所涉及的控制系统1A的概要结构的示意图。参照图17,在控制系统1A中,控制装置2A由CPU单元100和1个或多个功能单元3000构成。安全单元200A配置成介于网络10与控制装置2A之间。
更具体地说,安全单元200A具有2个网络端口,一个网络端口连接于网络10,并且另一个网络端口连接于控制装置2A中包括的CPU单元100的网络端口118P。在这种结构中,CPU单元100经由安全单元200A与连接于网络10的设备进行数据通信。
安全单元200A能够通过对从CPU单元100发送的数据和由CPU单元100接收的数据进行监视,来始终监视是否发生了安全事件。
安全单元200A也可以还经由其他数据传输单元与CPU单元100连接。通过采用这种其他数据传输单元,安全单元200A能够获取CPU单元100的CPU单元状态信息。利用这种CPU单元状态信息,还能够始终监视由直接访问CPU单元100而产生的安全事件的发生。
(h3:其他)
本实施方式所涉及的安全单元只要能够对CPU单元100和包括CPU单元100的控制装置2中的安全事件的发生进行监视,则可以用任何方式来实现。
<I.附记>
上述的本实施方式包括以下的技术思想。
[结构1]
一种控制装置(2),对控制对象进行控制,所述控制装置具备:
程序执行部(102),其执行根据所述控制对象制作出的程序;
检测部(262),其判断在从外部对所述控制装置的访问中是否发生了安全事件;以及
通知部(264),当检测到发生了所述安全事件时,该通知部对与发生的该安全事件相应的通知目的地进行通知,
所述安全事件包括不符合预先决定的规则的事件。
[结构2]
根据结构1所述的控制装置,其中,
所述安全事件包括以下动作以及行为中的任一种:
使所述控制装置的动作停止或性能下降的动作以及行为;
使所述控制装置中的程序的执行处理停止或性能下降的动作以及行为;以及
使所述控制对象的动作停止或性能下降的动作以及行为。
[结构3]
根据结构1或2所述的控制装置,其中,
所述安全事件包括与以下任一种事件相当的情况:
数据的发送目的地或发送源的网络地址、物理地址、端口编号中的任一方未包含在预先决定的被允许访问的名单中;以及数据的发送目的地或发送源的网络地址、物理地址、端口编号中的任一方包含在预先决定的被禁止访问的名单中。
[结构4]
根据结构1~3中的任一项所述的控制装置,其中,
所述控制装置具备包括所述程序执行部的第一单元(100)以及包括所述检测部的第二单元(200),
所述第一单元具有用于进行网络连接的端口(118P),
所述安全事件包括在所述第一单元的端口被无效了的情况下对该端口进行网络连接。
[结构5]
根据结构1~4中的任一项所述的控制装置,其中,
所述安全事件包括从外部访问所述控制装置时所要求的用户认证失败。
[结构6]
根据结构1~5中的任一项所述的控制装置,其中,
所述安全事件包括能够对所述控制装置中执行的程序进行开发的支持装置向所述控制装置进行连接。
[结构7]
根据结构1~6中的任一项所述的控制装置,其中,
所述安全事件包括发生了在所述控制装置中执行的程序的追加和变更以及所述控制装置中的设定的变更中的任一方。
[结构8]
根据结构1~7中的任一项所述的控制装置,其中,
所述通知部经由网络对安全事件的发生进行事件通知。
[结构9]
根据结构8所述的控制装置,其中,
配置于网络上的告知部(1000)在接收到来自所述通知部的事件通知后开始告知动作。
[结构10]
一种控制系统(1),对控制对象进行控制,所述控制系统具备:
第一单元(100),其包括执行根据所述控制对象制作出的程序的程序执行部;以及
第二单元(200),其包括检测部(262)和通知部(264),所述检测部(262)判断在从外部对所述第一单元的访问中是否发生了安全事件,当检测到发生了所述安全事件时,所述通知部(264)对与发生的该安全事件相应的通知目的地进行通知,
所述安全事件包括不符合预先决定的规则的事件。
<J.总结>
根据本实施方式所涉及的控制装置和以及控制系统,能够解决针对伴随控制装置以及控制系统的网络化或智能化而可能产生的威胁进行保护这一新的课题。
应该认为本公开的实施方式在所有方面均为例示而非限制性的记载。本发明的范围不是由上述的说明表示而是由权利要求书表示,旨在包括与权利要求书等同的含义和范围内的所有变更。
标号说明
1、1A:控制系统;2、2A:控制装置;4:远程IO装置;6:现场网络;10:网络;20:安全设定;22:固件;24:历史信息;30:用户程序;32:系统程序;100:CPU单元;102、202:处理器;104、204:芯片组;106、206:主存储器;108、208:存储器;110、210:单元间接口;112:USB接口;112P:USB端口;114:存储卡接口;114P:存储卡插槽;116:存储卡;118、220:网络接口;118P:网络端口;120:内部总线控制器;130:现场网络控制器;130P1、130P2:现场网络端口;200、200A:安全单元;222:发送接收部;224:控制器;226:缓冲器;250:帧提取模块;252:分析模块;254:内容分析处理;256:特征提取处理;258:统计处理;260:状态获取模块;262:检测模块;264:通知模块;266:用户认证模块;300:功能单元;400:连接器单元;500:显示装置;502、504、506:对象;508:通知音;550:显示画面;552:摘要显示栏;554:源显示栏;556:接收日期时间栏;558:正文栏;560:链接信息;600:服务器装置;700:网关;800:支持装置;900:设备;1000:告知部。
Claims (16)
1.一种控制装置,其对控制对象进行控制,所述控制装置具备:
第一单元,其包含程序执行部,该程序执行部执行根据所述控制对象制作出的程序;
第二单元,其包含检测部,该检测部判断在从外部对所述控制装置的访问中是否发生了安全事件;以及
通知部,当检测到发生了所述安全事件时,所述通知部对与发生的该安全事件相应的通知目的地进行通知,
所述第一单元具有与现场网络连接的现场网络端口和能够与因特网连接的网络端口,
所述安全事件包括在所述第一单元的网络端口被无效的情况下对该网络端口进行网络连接。
2.根据权利要求1所述的控制装置,其中,
所述安全事件包括以下动作及行为中的任一种:
使所述控制装置的动作停止或性能下降的动作及行为;
使所述控制装置中的程序的执行处理停止或性能下降的动作及行为;以及
使所述控制对象的动作停止或性能下降的动作及行为。
3.根据权利要求1或2所述的控制装置,其中,
所述安全事件包括相当于以下任一种情况的事件:
数据的发送目的地或发送源的网络地址、物理地址、端口编号中的任一方未包含在预先决定的被允许访问的名单中;以及
数据的发送目的地或发送源的网络地址、物理地址、端口编号中的任一方包含在预先决定的被禁止访问的名单中。
4.根据权利要求1或2所述的控制装置,其中,
所述安全事件包括从外部访问所述控制装置时所要求的用户认证失败。
5.根据权利要求1或2所述的控制装置,其中,
所述安全事件包括发生了在所述控制装置中执行的程序的追加和变更以及所述控制装置中的设定的变更中的任一方。
6.根据权利要求1或2所述的控制装置,其中,
所述通知部经由网络对安全事件的发生进行事件通知。
7.根据权利要求6所述的控制装置,其中,
配置于网络上的告知部在接收到来自所述通知部的事件通知后开始告知动作。
8.一种控制装置,其对控制对象进行控制,所述控制装置具备:
程序执行部,其执行根据所述控制对象制作出的程序;
检测部,其判断在从外部对所述控制装置的访问中是否发生了安全事件;
通知部,当检测到发生了所述安全事件时,所述通知部对与发生的该安全事件相应的通知目的地进行通知;以及
USB端口即通用串行总线端口,
所述安全事件包括能够对所述控制装置中执行的程序进行开发的支持装置向所述控制装置的所述USB端口进行连接。
9.根据权利要求8所述的控制装置,其中,
所述安全事件包括以下动作及行为中的任一种:
使所述控制装置的动作停止或性能下降的动作及行为;
使所述控制装置中的程序的执行处理停止或性能下降的动作及行为;以及
使所述控制对象的动作停止或性能下降的动作及行为。
10.根据权利要求8或9所述的控制装置,其中,
所述安全事件包括相当于以下任一种情况的事件:
数据的发送目的地或发送源的网络地址、物理地址、端口编号中的任一方未包含在预先决定的被允许访问的名单中;以及
数据的发送目的地或发送源的网络地址、物理地址、端口编号中的任一方包含在预先决定的被禁止访问的名单中。
11.根据权利要求8或9所述的控制装置,其中,
所述安全事件包括从外部访问所述控制装置时所要求的用户认证失败。
12.根据权利要求8或9所述的控制装置,其中,
所述安全事件包括发生了在所述控制装置中执行的程序的追加和变更以及所述控制装置中的设定的变更中的任一方。
13.根据权利要求8或9所述的控制装置,其中,
所述通知部经由网络对安全事件的发生进行事件通知。
14.根据权利要求13所述的控制装置,其中,
配置于网络上的告知部在接收到来自所述通知部的事件通知后开始告知动作。
15.一种控制系统,其对控制对象进行控制,所述控制系统具备:
第一单元,其包含程序执行部,该程序执行部执行根据所述控制对象制作出的程序;
第二单元,其包含检测部以及通知部,所述检测部判断在从外部对所述第一单元的访问中是否发生了安全事件,当检测到发生了所述安全事件时,所述通知部对与发生的该安全事件相应的通知目的地进行通知,
所述第一单元具有与现场网络连接的现场网络端口和能够与因特网连接的网络端口,
所述安全事件包括在所述第一单元的网络端口被无效的情况下对该网络端口进行网络连接。
16.一种控制系统,其对控制对象进行控制,所述控制系统具备:
第一单元,其包含程序执行部,该程序执行部执行根据所述控制对象制作出的程序;
第二单元,其包含检测部以及通知部,所述检测部判断在从外部对所述第一单元的访问中是否发生了安全事件,当检测到发生了所述安全事件时,所述通知部对与发生的该安全事件相应的通知目的地进行通知;以及
USB端口即通用串行总线端口,
所述安全事件包括能够对所述控制系统中执行的程序进行开发的支持装置向所述控制系统的所述USB端口进行连接。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017-226145 | 2017-11-24 | ||
JP2017226145A JP6977507B2 (ja) | 2017-11-24 | 2017-11-24 | 制御装置および制御システム |
PCT/JP2018/040653 WO2019102811A1 (ja) | 2017-11-24 | 2018-11-01 | 制御装置および制御システム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111052005A CN111052005A (zh) | 2020-04-21 |
CN111052005B true CN111052005B (zh) | 2023-07-04 |
Family
ID=66630611
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880055243.1A Active CN111052005B (zh) | 2017-11-24 | 2018-11-01 | 控制装置以及控制系统 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11516229B2 (zh) |
EP (1) | EP3715971A4 (zh) |
JP (1) | JP6977507B2 (zh) |
CN (1) | CN111052005B (zh) |
WO (1) | WO2019102811A1 (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7045958B2 (ja) * | 2018-08-20 | 2022-04-01 | 三菱電機株式会社 | 情報セキュリティシステム |
JP7255369B2 (ja) * | 2019-06-06 | 2023-04-11 | オムロン株式会社 | 制御システム |
JP2022138824A (ja) | 2021-03-11 | 2022-09-26 | オムロン株式会社 | 制御システムおよびその制御方法 |
US11856030B2 (en) * | 2021-10-04 | 2023-12-26 | Motorola Solutions, Inc. | Security ecosystem |
CN118018328B (zh) * | 2024-04-08 | 2024-06-07 | 国网浙江省电力有限公司桐庐县供电公司 | 基于端口感知的主动防御与攻击方法、系统、设备和介质 |
Family Cites Families (46)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2110732A3 (en) | 1995-02-13 | 2009-12-09 | Intertrust Technologies Corporation | Systems and methods for secure transaction management and electronic rights protection |
KR100272567B1 (ko) * | 1997-12-31 | 2000-11-15 | 서평원 | 이동통신 네트워크를 이용한 이동 인터넷 |
JP3690144B2 (ja) | 1998-11-02 | 2005-08-31 | オムロン株式会社 | プログラマブルコントローラ |
US6344802B1 (en) * | 1999-03-29 | 2002-02-05 | Kabushiki Kaisha Toshiba | Control system |
JP2003108222A (ja) | 2001-10-02 | 2003-04-11 | Kurita Water Ind Ltd | 設備管理システム |
US7854009B2 (en) * | 2003-06-12 | 2010-12-14 | International Business Machines Corporation | Method of securing access to IP LANs |
JP2005080024A (ja) | 2003-09-01 | 2005-03-24 | Ricoh Co Ltd | 無線ネットワークシステムおよび動作方法 |
US20050182967A1 (en) * | 2004-02-13 | 2005-08-18 | Microsoft Corporation | Network security device and method for protecting a computing device in a networked environment |
US7574610B2 (en) * | 2004-09-30 | 2009-08-11 | Microsoft Corporation | Security state watcher |
JP2006163509A (ja) | 2004-12-02 | 2006-06-22 | Olympus Corp | 障害通知システム |
US7770205B2 (en) * | 2005-01-19 | 2010-08-03 | Microsoft Corporation | Binding a device to a computer |
JP4575219B2 (ja) * | 2005-04-12 | 2010-11-04 | 株式会社東芝 | セキュリティゲートウェイシステムとその方法およびプログラム |
US20060250966A1 (en) * | 2005-05-03 | 2006-11-09 | Yuan-Chi Su | Method for local area network security |
CN100450012C (zh) * | 2005-07-15 | 2009-01-07 | 复旦大学 | 一种基于移动代理的入侵检测系统和方法 |
JP4965239B2 (ja) * | 2006-12-25 | 2012-07-04 | パナソニック株式会社 | 遠隔監視システム |
JP4506814B2 (ja) | 2007-10-31 | 2010-07-21 | 日本電気株式会社 | データ管理システム |
CN101232509A (zh) * | 2008-02-26 | 2008-07-30 | 杭州华三通信技术有限公司 | 支持隔离模式的网络接入控制方法、系统及设备 |
EP2351296A4 (en) * | 2008-10-31 | 2015-01-07 | Hewlett Packard Development Co | METHOD AND DEVICE FOR DETECTING NETWORK IMPACT |
US20100235914A1 (en) * | 2009-03-13 | 2010-09-16 | Alcatel Lucent | Intrusion detection for virtual layer-2 services |
CN101887257B (zh) | 2010-06-10 | 2012-05-23 | 浙江工业大学 | 大坝安全智能全方位监测装置 |
WO2012014509A1 (ja) * | 2010-07-30 | 2012-02-02 | 株式会社サイバー・ソリューションズ | 不正アクセス遮断制御方法 |
JP2013030826A (ja) | 2011-07-26 | 2013-02-07 | Ricoh Co Ltd | ネットワーク監視システム、ネットワーク監視方法 |
JP5687171B2 (ja) * | 2011-10-14 | 2015-03-18 | 株式会社日立産機システム | コントローラ、監視ユニット、およびシーケンスプログラム更新方法 |
EP2772025A4 (en) | 2011-10-24 | 2015-12-23 | Schneider Electric Ind Sas | REMOTE COMMUNICATION SYSTEMS AND METHODS |
JP2012123840A (ja) | 2012-03-14 | 2012-06-28 | Mitsubishi Electric Corp | 異常通知装置、異常通知システム |
JP6015178B2 (ja) | 2012-07-11 | 2016-10-26 | オムロン株式会社 | 安全システム |
US9038151B1 (en) * | 2012-09-20 | 2015-05-19 | Wiretap Ventures, LLC | Authentication for software defined networks |
US9246977B2 (en) * | 2012-12-21 | 2016-01-26 | Tanium Inc. | System, security and network management using self-organizing communication orbits in distributed networks |
US20150295944A1 (en) * | 2013-07-01 | 2015-10-15 | Hitachi, Ltd. | Control system, control method, and controller |
US8667589B1 (en) * | 2013-10-27 | 2014-03-04 | Konstantin Saprygin | Protection against unauthorized access to automated system for control of technological processes |
US9998426B2 (en) * | 2014-01-30 | 2018-06-12 | Sierra Nevada Corporation | Bi-directional data security for control systems |
JP6442843B2 (ja) | 2014-03-14 | 2018-12-26 | オムロン株式会社 | 制御装置 |
US9734358B2 (en) * | 2015-01-02 | 2017-08-15 | High Sec Labs Ltd | Self-locking USB protection pug device having LED to securely protect USB jack |
US9367355B1 (en) * | 2015-01-28 | 2016-06-14 | Yahoo!, Inc. | Resource utilization by one or more tasks |
US9697355B1 (en) * | 2015-06-17 | 2017-07-04 | Mission Secure, Inc. | Cyber security for physical systems |
DK3151152T3 (en) * | 2015-09-30 | 2020-06-15 | Secure Nok Tech As | Non-intrusive software agent for monitoring and detection of cyber security events and cyber-attacks in an industrial control system |
US10038705B2 (en) * | 2015-10-12 | 2018-07-31 | Dell Products, L.P. | System and method for performing intrusion detection in an information handling system |
IL242808A0 (en) * | 2015-11-26 | 2016-04-21 | Rafael Advanced Defense Sys | System and method to detect cyber attacks on ics/scada controlled plants |
JP6633373B2 (ja) * | 2015-12-03 | 2020-01-22 | 株式会社東芝 | 制御装置 |
IL243024A0 (en) * | 2015-12-10 | 2016-02-29 | Shabtai Asaf | A method and system for detecting a controller programmed in the scada system that sends false measurement data |
US9810736B2 (en) * | 2015-12-17 | 2017-11-07 | Raytheon Company | System and apparatus for trusted and secure test ports of integrated circuit devices |
IL243343A0 (en) * | 2015-12-24 | 2016-04-21 | Bg Negev Technologies & Applic Ltd | System and method for detecting a malicious plc reprogramming attempt in scada systems using time fraud |
US10848465B2 (en) * | 2016-02-26 | 2020-11-24 | Extreme Networks, Inc. | Dynamic firewalls and forensic gateways |
CN106411578B (zh) | 2016-09-12 | 2019-07-12 | 国网山东省电力公司电力科学研究院 | 一种适应于电力行业的网站监控系统及方法 |
CN106572103B (zh) * | 2016-10-28 | 2019-12-13 | 桂林电子科技大学 | 一种基于sdn网络架构的隐藏端口检测方法 |
US11575571B2 (en) * | 2020-05-08 | 2023-02-07 | Rockwell Automation Technologies, Inc. | Centralized security event generation policy |
-
2017
- 2017-11-24 JP JP2017226145A patent/JP6977507B2/ja active Active
-
2018
- 2018-11-01 WO PCT/JP2018/040653 patent/WO2019102811A1/ja unknown
- 2018-11-01 EP EP18881062.6A patent/EP3715971A4/en active Pending
- 2018-11-01 CN CN201880055243.1A patent/CN111052005B/zh active Active
- 2018-11-01 US US16/642,357 patent/US11516229B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
EP3715971A1 (en) | 2020-09-30 |
JP6977507B2 (ja) | 2021-12-08 |
US11516229B2 (en) | 2022-11-29 |
US20210075801A1 (en) | 2021-03-11 |
CN111052005A (zh) | 2020-04-21 |
WO2019102811A1 (ja) | 2019-05-31 |
JP2019096149A (ja) | 2019-06-20 |
EP3715971A4 (en) | 2021-07-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111052005B (zh) | 控制装置以及控制系统 | |
JP6749106B2 (ja) | 産業用通信ネットワークにおける異常検出、異常検出システム、及び異常検出を行う方法 | |
CN106168757B (zh) | 工厂安全系统中的可配置鲁棒性代理 | |
KR101977731B1 (ko) | 제어 시스템의 이상 징후 탐지 장치 및 방법 | |
US8737398B2 (en) | Communication module with network isolation and communication filter | |
US7246156B2 (en) | Method and computer program product for monitoring an industrial network | |
WO2019102809A1 (ja) | セキュリティ監視装置 | |
US20090271504A1 (en) | Techniques for agent configuration | |
US9015794B2 (en) | Determining several security indicators of different types for each gathering item in a computer system | |
KR100947211B1 (ko) | 능동형 보안 감사 시스템 | |
JP6690377B2 (ja) | コントローラおよび制御システム | |
CN114600424A (zh) | 用于过滤数据流量的安全系统和方法 | |
US20230262095A1 (en) | Management of the security of a communicating object | |
CN111988333B (zh) | 一种代理软件工作异常检测方法、装置及介质 | |
JP2006252109A (ja) | ネットワークアクセス制御装置、遠隔操作用装置及びシステム | |
JP2023106103A (ja) | トラフィック分析装置、トラフィック分析プログラム及びトラフィック分析方法 | |
JP2005222239A (ja) | ノード装置 | |
CN117255994A (zh) | 关键基础设施中控制系统的自动防火墙配置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |