CN111095135A - 安全监视装置 - Google Patents
安全监视装置 Download PDFInfo
- Publication number
- CN111095135A CN111095135A CN201880056143.0A CN201880056143A CN111095135A CN 111095135 A CN111095135 A CN 111095135A CN 201880056143 A CN201880056143 A CN 201880056143A CN 111095135 A CN111095135 A CN 111095135A
- Authority
- CN
- China
- Prior art keywords
- security
- control device
- unit
- network
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/048—Monitoring; Safety
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
- G05B19/058—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/23—Pc programming
- G05B2219/23317—Safe mode, secure program, environment in case of error, intrusion
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Automation & Control Theory (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Programmable Controllers (AREA)
Abstract
保护控制装置避免受到伴随网络化或智能化而可能产生的威胁。能够外置于控制装置的安全监视装置具备与控制装置连接的通信端口,该控制装置具有执行根据控制对象制作出的程序的程序执行部,该安全监视装置当根据通信的内容检测到在从外部对控制装置的访问中发生了安全事件时,向与发生的该安全事件相应的通知目的地进行通知。安全事件包含不符合预先决定的规则的事件。
Description
技术领域
本发明涉及用于对控制对象进行控制的控制装置的安全监视装置。
背景技术
在各种设备和配置于各设备的各种装置的控制中使用PLC(可编程控制器)等控制装置。控制装置能够监视作为控制对象的设备或装置中产生的异常并且也监视控制装置本身的异常。当检测到某种异常时,通过某种方法从控制装置向外部进行通知。
例如,日本特开2000-137506号公报(专利文献1)公开了一种可编程控制器,其在登记了异常历史记录时或到了预先决定的时间时,向预先指定的收件人发送电子邮件。
现有技术文献
专利文献
专利文献1:日本特开2000-137506号公报
发明内容
发明要解决的问题
随着近年来的ICT(Information and Communication Technology:信息通信技术)的进步,控制装置也与各种各样的外部装置进行网络连接,并且在控制装置中执行的处理也变得复杂。伴随这种网络化或智能化,可设想到的威胁的种类也逐渐增加。
在以往的控制装置中,只是检测设备或装置中产生的异常或控制装置本身产生的异常,关于伴随网络化或智能化而可能产生的威胁,没有任何考虑。
本发明的一个目的在于,解决针对伴随控制装置和控制系统的网络化或智能化而可能产生的威胁进行保护这一新的课题。
用于解决问题的方案
根据本公开的一例,安全监视装置能够外置于具有程序执行部的控制装置,所述程序执行部执行根据控制对象制作出的程序,所述安全监视装置具备:通信端口,其与控制装置连接;检测部,其根据通信的内容判断在从外部向控制装置的访问中是否发生了安全事件;以及通知部,当检测到发生了安全事件时,该通知部向与发生的该安全事件相应的通知目的地进行通知,安全事件包含不符合预先决定的规则的事件。
根据该公开,能够对从外部向控制装置的访问中是否发生安全事件进行监视,并且在发生了某种安全事件的情况下,对其发生及应对等进行必要的通知。由此能够解决针对伴随控制装置的网络化或智能化而可能产生的威胁进行保护这一新的课题。
在上述的公开中,上述通信的内容包含从控制装置接收的表示该控制装置的状态的状态信息。
根据该公开,安全监视装置能够根据表示控制装置的状态的状态信息来监视安全事件。
在上述的公开中,也可以是,安全事件包含以下动作及行为中的任一种:使控制装置的动作停止或性能下降的动作及行为;使控制装置中的程序的执行处理停止或性能下降的动作及行为;以及使控制对象的动作停止或性能下降的动作及行为。
根据该公开,能够将阻碍控制装置所提供的处理这样的威胁作为安全事件来进行监视。
在上述的公开中,也可以是,安全事件包含相当于以下任一种情况的事件:数据的发送目的地或发送源的网络地址、物理地址、端口编号中的任一方不包含在预先决定的被允许访问的名单中;以及数据的发送目的地或发送源的网络地址、物理地址、端口编号中的任一方包含在预先决定的被禁止访问的名单中。
根据该公开,仅允许预先决定的发送目的地或发送源之间的数据通信,除此以外的数据通信被检测为安全事件。因此,能够实现针对经由网络的威胁的保护。
在上述的公开中,安全监视装置还具备用于进行网络连接的网络接口,数据包含从网络接收的数据和从控制装置向网络发送的数据。
根据该公开,安全监视装置能够根据在网络与控制装置之间交换的数据来监视安全事件。
在上述的公开中,也可以是,控制装置具有用于进行网络连接的端口。也可以是,安全事件包含:在第一单元的端口被无效的情况下对该端口进行网络连接。
根据该公开,能够在经由网络对控制装置进行攻击、经由网络进行不正当的处理之前的阶段,检测为安全事件。
在上述的公开中,安全事件包含:在从外部访问控制装置时所要求的用户认证失败。
根据该公开,设想用户认证的失败是不正当的访问,因此能够在进行这种不正当的访问之前的阶段,检测为安全事件。
在上述的公开中,安全事件包含:能够对控制装置中执行的程序进行开发的支持装置向控制装置进行连接。
通过直接连接能够对控制装置的程序本身进行变更的支持装置,由此可能针对执行的程序进行具有某种恶意的攻击,根据该公开,能够在这种危险发生之前的阶段,检测为安全事件。
在上述的公开中,安全事件包含:发生了在控制装置中执行的程序的追加和变更以及控制装置中的设定的变更中的任一方。
根据该公开,当针对在控制装置中执行的程序进行改变或针对控制装置进行动作所需要的设定进行改变时,能够检测为安全事件。能够将有时通过这种针对程序或设定的改变而在控制装置中执行异常的控制动作这样的威胁防患于未然。
在上述的公开中,也可以是,通知部经由网络对安全事件的发生进行事件通知。
根据该公开,能够对与控制装置通过网络连接的任意的设备通知表示对控制装置产生威胁的安全事件的发生。
在上述的公开中,也可以是,配置于网络上的告知部接收到来自通知部的事件通知后开始告知动作。
根据该公开,例如,通过配置在控制装置附近的告知部开始告知动作,能够使位于控制装置附近的管理者或安保人员等知晓安全事件的发生,能够立即开始必要的处理。
发明的效果
根据本发明,能够实现针对伴随控制装置和控制系统的网络化或智能化而可能产生的威胁的保护。
附图说明
图1是表示本实施方式所涉及的控制系统的概要结构的示意图。
图2是表示本实施方式所涉及的控制装置中包含的CPU单元的硬件结构例的框图。
图3是表示本实施方式所涉及的控制装置中包含的安全单元的硬件结构例的框图。
图4是表示本实施方式所涉及的控制装置中包含的安全单元的功能结构例的框图。
图5是表示安全设定中包含的访问控制名单(ACL:Access Control List)的一例的图。
图6是表示网络内的节点变化的一例的示意图。
图7是说明监视与网络端口的连接的示意图。
图8是说明监视与USB端口的连接的示意图。
图9是用于说明从支持装置访问CPU单元时的处理的示意图。
图10是用于说明对从支持装置保存到CPU单元的程序和/或设定进行变更的处理的示意图。
图11是用于说明从本实施方式所涉及的安全单元发送的电子邮件的一例的示意图。
图12是用于说明从本实施方式所涉及的安全单元向显示装置通知安全事件的一例的示意图。
图13是用于说明从本实施方式所涉及的安全单元向数据库通知安全事件的一例的示意图。
图14是用于说明从本实施方式所涉及的安全单元向其他控制装置通知安全事件的一例的示意图。
图15是用于说明从本实施方式所涉及的安全单元经由网络进行事件通知的一例的示意图。
图16是表示对本实施方式所涉及的安全单元中的安全事件进行监视的处理过程的流程图。
具体实施方式
参照附图来详细地说明本发明的实施方式。此外,对于图中的同一或相当的部分标注同一标号,不重复其说明。
<A.应用例>
首先,说明应用本发明的场景的一例。
在本说明书中,“安全事件”包含不符合由控制装置的运行者或管理者等预先决定的规则的事件。更具体地说,“安全事件”可以包含:(a)使控制装置本身的动作停止或性能下降的动作及行为;(b)使控制装置中的程序的执行处理停止或性能下降的动作及行为;(c)使成为控制装置的控制对象的设备、装置或器件等的动作停止或性能下降的动作及行为;以及(d)与这些类似的动作及行为。
本说明书中的“安全事件”基本上是包含经由网络或与其类似的电气通信提供的动作或行为的概念。
图1是表示本实施方式所涉及的控制系统1的概要结构的示意图。参照图1,本实施方式所涉及的控制系统1对设备以及装置等控制对象进行控制,包含控制装置2、远程IO(Input Output:输入输出)装置4、1个或多个显示装置500以及1个或多个服务器装置600。控制装置2、显示装置500以及服务器装置600经由网络10进行连接。网络10经由网关700与作为外部网络的因特网连接。另外,控制装置2与远程IO装置4之间经由现场网络6进行连接。
另外,控制系统1具备安全单元200,该安全单元200能够以外置于控制装置2的方式可装卸地与控制装置2连接。安全单元200对控制装置2(更确定地说是CPU单元100)的安全进行监视。安全单元200是“安全监视装置”的一个实施例。安全单元200具有2个通信用的端口,一个端口与网络10连接,并且另一个端口210P与控制装置2中包含的CPU单元100的通信端口110P连接。通过安全单元200经由通信端口110P以及210P与CPU单元100连接,即安全单元200配置成介于网络10与控制装置2之间,CPU单元100经由安全单元200与连接于网络10的设备之间进行数据通信。
控制装置2包含CPU单元100和1个或多个功能单元300。CPU单元100具有执行根据控制对象制作出的程序的程序执行部。更具体地说,CPU单元100相当于执行系统程序和各种用户程序的运算处理部。
在本实施方式中,控制装置2主要负责对控制对象进行控制的处理,与此相对,安全单元200对从因特网对CPU单元100的访问以及从网络10内的其他装置对CPU单元100的访问进行监视,并且当检测到某种安全事件的发生时,向控制装置2的内部或外部进行与检测到的该安全事件有关的通知。
也可以是,安全单元200与CPU单元100还经由除上述的通信端口110P和210P以外的其他数据传输单元进行连接。通过采用这种其他数据传输单元,安全单元200还能够获取CPU单元100的CPU单元状态信息。通过这种CPU单元状态信息,还能够始终监视由对CPU单元100的直接访问而产生的安全事件的发生。
安全单元200具有检测部,该检测部判断在从外部对控制装置2的访问中是否发生了安全事件。更具体地说,安全单元200按照预先决定的安全设定20,始终监视是否发生了安全事件。在图1所示的结构例中,安全单元200配置成能够监视控制装置2经由网络10发送接收的数据。即,安全单元200在逻辑上配置于CPU单元100与网络10之间,将从CPU单元100经由通信端口110P发送的数据传送给网络10,并且将从网络10接收到的数据经由通信端口210P传送给CPU单元100。安全单元200监视在这种处理中发送接收的数据,判断是否发生了某种安全事件。
安全单元200当检测到某种安全事件的发生时,按照预先决定的规则向内部或外部进行通知。即,安全单元200具有通知部,当检测到发生了安全事件时,该通知部向与发生的该安全事件相应的通知目的地进行通知。
本实施方式所涉及的安全单元200实现始终监视对控制装置2的CPU单元100或包含CPU单元100的装置的访问是否发生了预先决定的安全事件的处理。而且,当发生了某种安全事件时,将与发生的该安全事件相应的通知输出到控制装置2的内部或外部。通过采用这种结构,能够提高针对CPU单元100或包含CPU单元100的装置的安全耐性。
此外,为了便于说明,示出使用了包含各自独立的CPU单元100的控制装置2以及与控制装置2分体的安全单元200的实现例,但不限于此,也可以采用将两者一体化而成的单元。或者,不是作为与控制装置2(更确定地说是CPU单元100)连接的“装置”的方式,而是作为在控制装置2中通过某种方法与CPU单元100连接的其他单元来实现安全单元200所提供的处理。
这样,通过采用如在上述的本实施方式所涉及的控制系统1中说明的那样的外置于控制装置2的类型的安全单元200,能够实施现有的控制装置2的安全事件的监视处理。
<B.控制系统的整体结构例>
接着,参照图1对控制系统1的整体结构例进行说明。
控制装置2中包含的功能单元300与控制对象的设备和装置以及它们中配置的各种器件(传感器、致动器等)之间交换信号。具体地说,功能单元300将在CPU单元100中计算出的指令值输出到现场,或者收集来自现场的输入值。作为功能单元300,例如具有接收来自控制对象的数字信号的DI(Digital Input:数字输入)模块、对控制对象输出数字信号的DO(Digital Output:数字输出)模块、接收来自控制对象的模拟信号的AI(Analog Input:模拟输入)模块、对控制对象输出模拟信号的AO(Analog Output:模拟输出)模块中的1个或多个模块。并且,作为功能单元300,可以包含装备有PID(Proportional IntegralDerivative:比例-积分-微分)控制、运动控制之类的特殊功能的控制器。
将控制装置2与远程IO装置4连接的现场网络6优选采用进行保证数据的到达时间的固定周期通信的总线或网络。作为这种进行固定周期通信的总线或网络,也可以采用EtherCAT(注册商标)。此外,被称为“现场网络”的通信路径也被称为“现场总线”。在本说明书中,“现场网络”这一用语除了被用作狭义的“现场网络”以外还可以包含“现场总线”的概念。
远程IO装置4包含连接器单元400和1个或多个功能单元300。连接器单元400包含用于经由现场网络6交换数据的第一通信接口以及与远程IO装置4中包含的功能单元300之间进行内部的数据交换的第二通信接口。
关于功能单元300,与控制装置2中包含的功能单元300同样,因此不重复详细的说明。
作为将控制装置2与显示装置500及服务器装置600连接的网络10,例如也可以采用作为一般的网络协议的以太网(注册商标)、EtherNet/IP(注册商标)。
显示装置500接受来自用户的操作,对控制装置2输出与用户操作相应的命令等,并且将控制装置2中的运算结果等以图形方式显示。
设想服务器装置600为数据库系统、制造执行系统(MES:ManufacturingExecution System)等。制造执行系统获取来自控制对象的制造装置、设备的信息,对生产整体进行监视和管理,还能够处理订单信息、品质信息、出厂信息等。不限于此,也可以将提供信息类服务(从控制对象获取各种信息,进行宏观或微观的分析等处理)的装置连接于网络10。
网关700执行网络10与外部网络(因特网)之间的协议变换以及作为防火墙的处理。
<C.主要的单元的硬件结构例>
接着,说明本实施方式所涉及的控制装置2中包含的主要的单元的硬件结构例。
(c1:CPU单元100)
图2是表示本实施方式所涉及的控制装置2中包含的CPU单元100的硬件结构例的框图。参照图2,CPU单元100包含处理器102、芯片组104、主存储器106、存储器108、单元间接口110、USB(Universal Serial Bus:通用串行总线)接口112、存储卡接口114、网络接口118、内部总线控制器120以及现场网络控制器130。
处理器102由CPU(Central Processing Unit:中央处理单元)、MPU(MicroProcessing Unit:微处理单元)、GPU(Graphics Processing Unit:图形处理单元)等构成。作为处理器102,既可以采用具有多核的结构,也可以配置多个处理器102。这样,CPU单元100具有1个或多个处理器102和/或具有1个或多个核的处理器102。芯片组104通过对处理器102和周边要素进行控制,实现作为CPU单元100整体的处理。主存储器106由DRAM(Dynamic Random Access Memory:动态随机存取存储器)、SRAM(Static Random AccessMemory:静态随机存取存储器)等易失性存储装置等构成。存储器108例如由闪存等非易失性存储装置等构成。
处理器102通过读出存储器108中保存的各种程序并在主存储器106中展开来执行,由此实现与控制对象相应的控制。在存储器108中除了保存用于实现基本的处理的系统程序32以外,还保存根据控制对象的制造装置以及设备制作出的用户程序30。
单元间接口110是用于与其他单元以能够进行数据通信的方式连接的器件。在本实施方式中,经由CPU单元100的单元间接口110连接安全单元200。作为单元间接口110,例如能够采用遵循公知的数据传输标准(例如,PCI Express)等的器件。
USB接口112对与经由USB连接的外部装置(例如,进行用户程序的开发等的支持装置)之间的数据通信进行中介。
存储卡接口114构成为存储卡116可装卸,能够对存储卡116写入数据,从存储卡116读出各种数据(用户程序、追踪数据等)。
网络接口118能够进行经由网络10的数据通信的中介。但是,在CPU单元100与安全单元200连接的状态下,通常使网络接口118的动作无效(具体地说,禁止端口使用)。
内部总线控制器120对与安装于CPU单元100的功能单元300之间的数据通信进行中介。现场网络控制器130对经由现场网络6的与其他单元之间的数据通信进行中介。
在图2中示出了处理器102通过执行程序来实现必要的处理的结构例,但也可以使用专用的硬件电路(例如,ASIC或FPGA等)来实现所提供的这些处理的一部分或全部。
(c2:安全单元200)
图3是表示本实施方式所涉及的控制装置2中包含的安全单元200的硬件结构例的框图。参照图3,安全单元200包含处理器202、芯片组204、主存储器206、存储器208、单元间接口210以及网络接口220。
处理器202由CPU、MPU、GPU等构成。与上述的CPU单元100同样地,安全单元200具有1个或多个处理器202和/或具有1个或多个核的处理器202。芯片组204通过对处理器202和周边要素进行控制,实现作为安全单元200整体的处理。主存储器206由DRAM、SRAM等易失性存储装置等构成。存储器208例如由闪存等非易失性存储装置等构成。
处理器202通过读出存储器208中保存的各种程序并在主存储器206中展开来执行,由此实现安全事件的监视等处理。在存储器208中除了保存用于实现基本的处理的系统程序22以外,还保存用于控制装置的运行者或管理者等对预先决定的规则等进行规定的安全设定20。在后面叙述基于安全设定20的安全监视处理的详情。
单元间接口210与上述的CPU单元100的单元间接口110同样地,是用于与其他单元以能够进行数据通信的方式连接的器件。经由单元间接口210,安全单元200与CPU单元100相连接。
网络接口220对经由网络10的与其他装置之间的数据通信进行中介。网络接口220包含发送接收部222、控制器224以及缓冲器226来作为主要的组成部件。
发送接收部222是作为OSI参考模型的物理层的要素,负责经由网络10的信号的接收和解码以及应发送的数据的编码和经由网络10的编码后的信号的发送。
控制器224是主要作为OSI参考模型的数据链层、网络层、追踪端口层的要素,负责路由选择、纠错、重新发送处理等。
缓冲器226是暂时存储应发送的数据和接收到的数据等的存储部。
在图3中示出了处理器202通过执行程序来提供必要的处理的结构例,但也可以使用专用的硬件电路(例如,ASIC或FPGA等)来实现所提供的这些处理的一部分或全部。
(c3:功能单元300和连接器单元400)
本实施方式所涉及的控制装置2、远程IO装置4中包含的功能单元300以及远程IO装置4中包含的连接器单元400是公知的结构,因此在此不重复详细的说明。
<D.功能结构例>
接着,说明本实施方式所涉及的控制系统1中包含的安全单元200的功能结构的一例。图4是表示本实施方式所涉及的控制装置2中包含的安全单元200的功能结构例的框图。
参照图4,安全单元200包含帧提取模块250、分析模块252、状态获取模块260、检测模块262、通知模块264以及用户认证模块266来作为与安全事件的监视有关的功能结构。
帧提取模块250从网络接口220提取经由网络10与外部装置之间交换的数据(帧或分组)。帧提取模块250将提取出的帧或分组输出到分析模块252。
分析模块252对来自帧提取模块250的帧或分组进行分析,将其分析结果输出到检测模块262。分析模块252中的分析的内容能够任意地设定。在图4所示的结构例中,分析模块252能够执行内容分析处理254、特征提取处理256以及统计处理258。
内容分析处理254包含参照处理对象的帧或分组的报头信息等来获取发送目的地和发送源的网络地址(例如,IP(Internet Protocol:因特网协议)地址)、物理地址(例如,MAC(Media Access Control:介质访问控制)地址)、端口编号、传输协议等的信息的处理。
特征提取处理256包含根据处理对象的帧或分组中包含的数据的内容提取特征量的处理。
统计处理258包含计算处理对象的帧或分组的发送接收定时、频率等的统计信息的处理。
通过各个处理计算出的信息作为分析结果被输出到检测模块262。
状态获取模块260获取CPU单元100中的状态,将获取到的该CPU单元状态信息输出到检测模块262。CPU单元状态信息例如表示对CPU单元100进行的某种变更操作(可以包含软件方面和硬件方面中的任一方)的信息。
检测模块262参照安全设定20,判断来自分析模块252的分析结果和/或来自状态获取模块260的CPU单元状态信息是否符合预先决定的安全事件的条件。此外,在后面叙述安全事件的具体例。
检测模块262在分析结果或CPU单元状态信息符合某个条件的情况下,判断为发生了与该符合的条件对应的种类的安全事件,将表示发生了被判断为发生的该安全事件的检测结果输出到通知模块264。
检测模块262将表示检测到的安全事件的信息作为历史信息24进行登记。
通知模块264响应于来自检测模块262的检测结果,将与发生的安全事件相应的内容通知给与发生的安全事件相应的通知目的地。在后面叙述通知内容和通知目的地的具体例。
用户认证模块266执行针对经由网络10访问安全单元200的用户的认证处理。用户认证模块266将表示用户认证的结果的用户认证结果输出到检测模块262。
通过采用以上那样的功能结构,能够实现本实施方式所涉及的安全监视处理。
在本实施方式中,图4的各模块由安全单元200所具有的应用层构成,图4的各模块与CPU单元100的应用层进行数据交换。由此,即使外置安全单元200,也能够与CPU单元100的TCP/IP层和物理层等下位的层相独立地实现图4的各模块。
<E.安全事件>
接着,说明本实施方式所涉及的控制系统1中设定的安全事件的几个例子。
(e1-1:访问控制)
首先,作为安全设定20,说明利用对发送目的地和/或发送源进行限制的访问控制的例子。
作为访问控制的一例,能够使用发送目的地和/或发送源的网络地址(例如,IP地址)、物理地址(例如,MAC地址)、端口编号等。
图5是表示安全设定20中包含的访问控制名单(ACL:Access Control List)的一例的图。在图5中,作为用于实现访问控制的访问控制名单,示出明确地对允许访问的条件进行规定的白名单以及明确地对禁止访问的条件进行规定的黑名单。但是,无需使用2种名单,也可以根据所要求的安全等级等,仅使用任一方。
在图5的(A)中示出使用通信目的地的网络地址(IP地址)的例子。在图5的(A)的白名单中规定了被允许访问CPU单元100的IP地址,在图5的(A)的黑名单中规定了禁止访问CPU单元100的IP地址。
在图5的(B)中示出使用通信目的地的物理地址(MAC地址)的例子。在图5的(B)的白名单中规定了被允许访问CPU单元100的MAC地址,在图5的(B)的黑名单中规定了禁止访问CPU单元100的MAC地址。
在图5的(C)中示出使用在与通信目的地的数据通信中使用的端口编号的例子。在图5的(C)的白名单中规定了被允许访问CPU单元100的端口编号,在图5的(C)的黑名单中规定了禁止访问CPU单元100的端口编号。
也可以是,当存在来自在图5的(A)~图5的(C)的白名单中未规定的设备的访问以及来自黑名单中规定的设备的访问时,判断为发生了安全事件。这种使用访问控制名单的安全事件的监视典型地说是通过将由图4所示的分析模块252的内容分析处理254输出的分析结果与访问控制名单进行比较来实现的。
也可以将上述的网络地址、物理地址、端口编号中的多个进行组合。例如,也可以是,仅限于对物理地址和端口编号均被允许访问的通信目的地允许访问。
这样,本实施方式所涉及的安全事件也可以包含数据的发送目的地或发送源的网络地址、物理地址、端口编号中的任一方不包含在预先决定的被允许访问的白名单中的情况、以及包含在预先决定的被禁止访问的黑名单中的情况中的任一种。
(e1-2:数据接收模式)
接着,作为安全设定20,说明对数据接收模式进行监视的例子。例如,也可以采用用于检测发送大量的请求数据等使服务的利用停止的DoS(Denial of Service:拒绝服务)攻击等的安全设定20。
作为DoS攻击的一例,当考虑SYN flood攻击等时,也可以将遍及规定期间地持续接收到接收间隔短的SYN分组(或者,大小为规定值以下的分组)的情况等判断为发生了安全事件。
使用了数据接收模式的安全事件的监视典型地说是通过将由图4所示的分析模块252的特征提取处理256输出的特征量与访问控制名单进行比较来实现的。这样,作为安全设定20,也可以规定由接收的分组的种类和接收间隔等规定的数据接收模式。
这样,本实施方式所涉及的安全事件也可以包含由接收的分组的种类和接收间隔等规定的数据接收模式与预先规定的模式一致的情况。
(e1-3:访问模式)
接着,作为安全设定20,说明对特定的访问模式进行监视的例子。
例如,关于已知的计算机病毒,已明了其特有的访问模式的情况也很多,在这种情况下,也可以将其特有的访问模式规定为安全设定20。而且,也可以是,当受到了相当于安全设定20中规定的访问模式的访问时,判断为发生了安全事件。
使用了这种访问模式的安全事件的监视典型地说是通过将由图4所示的分析模块252的特征提取处理256输出的特征量与访问控制名单进行比较来实现的。这样,作为安全设定20,也可以规定特定的访问模式的监视。
这样,本实施方式所涉及的安全事件也可以包含访问控制装置2的模式与预先规定的模式一致。
(e2:网络监视)
接着,作为安全设定20,说明对网络内的节点变化进行监视的例子。
一般来说,控制装置2所连接的网络仅连接有预先决定的设备(节点),追加新的设备(节点)的必要性低。因此,也能够将网络内的节点变化视为安全事件。
图6是表示网络内的节点变化的一例的示意图。参照图6的(A),将除了控制装置2以外也将显示装置500和服务器装置600连接于网络10的状态设为标准节点结构。相对于这种标准节点结构,如图6的(B)所示那样追加了新的设备900。
也可以是,当追加这样的设备900而使网络10内的节点发生变化时,判断为发生了安全事件。
具体地说,例如,能够将标准节点结构中的各节点的网络地址预先获取为安全设定20,当在网络10内检测到与该预先获取到的节点不同的网络地址时,判断为发生了网络10内的节点变化。或者,也可以基于网络10内存在的节点的数量的变化等来检测节点变化。
此外,作为网络10内的节点变化,不限于节点的追加,也可以检测节点的删除等。并且,作为网络10内的节点变化,也可以不仅检测节点数量,也检测拓扑的变化。
也可以是,当发生这种网络内的节点变化时,判断为发生了安全事件。
这样,本实施方式所涉及的安全事件也可以包含发生了网络内的节点变化。
(e3-1:与网络端口的连接的监视)
接着,作为安全设定20,说明对与CPU单元100的网络端口的连接进行监视的例子。
在CPU单元100连接有安全单元200的结构中,CPU单元100经由安全单元200与网络10连接。因此,设置于CPU单元100自身的网络端口的使用被禁止(图2所示的网络接口118被无效)。
可以设想到在这种状态下某种网络与CPU单元100的网络端口连接是具有某种企图的行为。因此,也可以是,当发生了这种与被无效了的网络端口的网络连接时,判断为发生了安全事件。
图7是说明监视与网络端口的连接的示意图。参照图7,在CPU单元100的表面配置有通信端口110P、USB端口112P、存储卡插槽114P、网络端口118P以及现场网络端口130P1、130P2。网络端口118P是用于对CPU单元100进行网络连接的端口。
在控制装置2的运行中,设为使不使用的网络端口118P无效。也可以是,当在这种状态下线缆连接于网络端口118P时,判断为发生了安全事件。此外,有时也在控制装置2停止时或维护时进行网络连接,因此也可以将控制装置2处于运行中附加为用于判断发生了安全事件的条件。
这种与网络端口的连接的监视典型地说是通过对由图4所示的状态获取模块260输出的CPU单元状态信息进行监视来实现的。
这样,本实施方式所涉及的安全事件也可以包含在CPU单元100的网络端口118P被无效的情况下对网络端口118P进行网络连接。
(e3-2:与USB端口的连接的监视)
接着,作为安全设定20,说明对与CPU单元100的USB端口的连接进行监视的例子。
例如,经由CPU单元100的USB端口等连接支持装置。可以设想到这种支持装置的连接是具有某种企图的行为。因此,也可以是,当发生了这种向被无效了的网络端口进行网络连接时,判断为发生了安全事件。
图8是说明监视与USB端口的连接的示意图。参照图8,在CPU单元100的表面配置有USB端口112P、存储卡插槽114P、网络端口118P以及现场网络端口130P1、130P2。
例如,也可以是,当在控制装置2的运行中经由USB端口112P连接某种设备时,判断为发生了安全事件。此外,有时也在控制装置2停止时或维护时连接支持装置,因此也可以将控制装置2处于运行中附加为用于判断发生了安全事件的条件。
这种与USB端口的连接的监视典型地说是通过对由图4所示的状态获取模块260输出的CPU单元状态信息进行监视来实现的。
这样,本实施方式所涉及的安全事件也可以包含向USB端口112P连接任意的设备。此外,不限于USB端口,也可以是,将经由任意的通信单元连接支持装置等任意的设备的情况视为安全事件。因此,典型地说,安全事件包含能够对控制装置2中执行的程序(用户程序30)进行开发的支持装置向控制装置进行连接。
(e3-3:电源监视)
接着,作为安全设定20,说明对控制装置2的电源状态进行监视的例子。
例如,可以设想到在控制装置2的运行中使电源接通/断开是具有某种企图的行为。因此,也可以是,当控制装置2的电源被接通/断开时,判断为发生了安全事件。
此外,在控制装置2中,也可以设想到从共同的电源装置向CPU单元100和安全单元200供给电源的情况。在这种结构中,可以设想到通过切断电源,也切断向安全单元200的电源供给。
在这种情况下,也可以是,预先在安全单元200的内部配置电池等,即使在外部电源被切断的情况下,也利用来自该电池的电力继续进行安全监视。
控制装置2的电源状态的监视典型地说是通过对由图4所示的状态获取模块260输出的CPU单元状态信息进行监视来实现的。
这样,本实施方式所涉及的安全事件也可以包含控制装置2的电源状态发生了变化。
(e3-4:硬开关监视)
接着,作为安全设定20,说明对设置于控制装置2的硬开关的状态进行监视的例子。
例如,可以设想到在控制装置2的运行中设置于CPU单元100的DIP开关(通常用于对CPU单元100的动作模式等进行设定)被操作是具有某种企图的行为。因此,也可以是,当CPU单元100的硬开关(例如,DIP开关)被操作时,判断为发生了安全事件。
此外,作为CPU单元100的硬开关,不限于DIP开关,也可以设想旋转开关、拨动开关等。
这种设置于控制装置2的硬开关的状态监视典型地说是通过对由图4所示的状态获取模块260输出的CPU单元状态信息进行监视来实现的。
这样,本实施方式所涉及的安全事件也可以包含设置于控制装置2的硬开关的状态发生了变化。
(e3-5:周围环境监视)
接着,作为安全设定20,说明对控制装置2的周围环境进行监视的例子。
通常,控制装置2以成为规定的上限温度以下的方式收纳于控制盘等,但当可疑的人进行停止控制盘的冷却风扇等行为时,控制盘内的温度可能上升。也可以是,当这种在控制装置运行中周围环境发生了变化时,判断为发生了安全事件。作为具体例,如果将最大额定温度设为55℃,则也可以当温度达到其以下的温度例如50℃时,判断为发生了安全事件。
这种控制装置2的周围环境的监视典型地说是通过对由图4所示的状态获取模块260输出的CPU单元状态信息进行监视来实现的。
这样,本实施方式所涉及的安全事件也可以包含控制装置2的周围环境成为预先决定的条件。
(e4-1:用户认证:其一)
接着,作为安全设定20,说明对在从支持装置向CPU单元100的访问中实施的用户认证的认证结果进行监视的例子。
图9是用于说明从支持装置800访问CPU单元100时的处理的示意图。参照图9,在从支持装置800访问CPU单元100时,在两者已连接的基础上,用户利用支持装置800输入认证信息(典型地说是用户名和密码)。CPU单元100基于来自用户的认证信息执行认证处理。而且,CPU单元100对支持装置800回复认证结果。在认证处理成功的情况下,CPU单元100允许来自支持装置800的访问。
另一方面,在认证处理失败的情况下,也存在不正当访问的可能性,因此也可以判断为发生了安全事件。即,也可以是,以从支持装置800访问CPU单元100时的认证处理的失败为触发,判断为发生了安全事件。
此外,也可以设想到是单纯的输入失误的情况,因此也可以是,仅限于在从支持装置800访问CPU单元100时的认证处理失败连续了多次的情况下,判断为发生了安全事件。
这种从支持装置800访问CPU单元100时的用户认证的认证结果的监视典型地说是通过对由图4所示的状态获取模块260输出的CPU单元状态信息进行监视来实现的。
这样,本实施方式所涉及的安全事件也可以包含从外部访问控制装置2或CPU单元100时所要求的用户认证失败。
(e4-2:用户认证:其二)
接着,作为安全设定20,说明在从网络访问安全单元200的过程中实施的用户认证的认证结果进行监视的例子。
如上述的图4所示,安全单元200具有用户认证模块266,在经由网络10访问安全单元200时,执行用户认证。
也可以是,在该用户认证失败的情况下,与上述的处理同样地,也以认证处理的失败为触发,判断为发生了安全事件。即,本实施方式所涉及的安全事件也可以包含从外部访问控制装置2或CPU单元100时所要求的用户认证失败。
(e4-3:程序追加、更新/设定变更)
接着,作为安全设定20,说明对在CPU单元100中执行的程序的追加、更新和/或设定的变更进行监视的例子。
图10是用于说明对从支持装置800保存到CPU单元100的程序和/或设定进行变更的处理的示意图。参照图10,用户在支持装置800上制作或改变了任意的用户程序,之后将该制作或改变后的用户程序传送给CPU单元100。由此,向CPU单元100安装新的用户程序,或者更新已保存的用户程序。
或者,用户也能够通过对支持装置800进行操作,来对CPU单元100中保持的设定进行变更。
通过这种对CPU单元100的程序的追加、CPU单元100中执行的程序的更新、CPU单元100中的设定的变更等,使CPU单元100的动作发生变化,因此也可以是以进行了这种操作为触发,判断为发生了安全事件。
并且,能够从支持装置800将CPU单元100的主存储器106中保持的工作数据全部清除。通过进行这种全部清除,CPU单元100的程序开始执行初始状态。这种从初始状态起的执行可能示出与之前的动作不同的动作,因此也可以判断为发生了安全事件。
这种CPU单元100中的程序的追加/变更和/或设定的变更的事件典型地说是通过对由图4所示的状态获取模块260输出的CPU单元状态信息进行监视来检测的。同样地,关于对CPU单元100的主存储器106全部清除的事件也通过对由图4所示的状态获取模块260输出的CPU单元状态信息进行监视来检测。
这样,本实施方式所涉及的安全事件也可以包含发生了控制装置2中执行的程序的追加和变更以及控制装置2中的设定的变更中的任一方。另外,本实施方式所涉及的安全事件也可以包含对CPU单元100的主存储器106进行了全部清除的操作等。
<F.通知>
接着,说明响应于检测到发生了安全事件的通知的几个例子。
(f1:基于电子邮件的通知)
首先,说明利用来自安全单元200的电子邮件通知安全事件的发生的方式。
图11是用于说明从本实施方式所涉及的安全单元200发送的电子邮件的一例的示意图。参照图11,电子邮件的显示画面550包含在来自安全单元200的电子邮件中包含的摘要显示栏552、发送源显示栏554、接收日期时间栏556和正文栏558。
摘要显示栏552中显示有通知安全事件的发生的消息以及用于确定发生了该安全事件的控制装置2的信息。发送源显示栏554中显示有表示发送了电子邮件的安全单元200的服务的信息。接收日期时间栏556中显示有接收到来自安全单元200的电子邮件的日期时间。
正文栏558中显示有用于确定发生的安全事件的内容的代码、发生时刻、发生场所、紧急度等的信息。
并且,正文栏558中也可以嵌入有用于确认发生的安全事件的详情的链接信息560,用户能够通过选择链接信息560访问作为该电子邮件的发送源的安全单元200或者收集了来自安全单元200的信息的任意的服务器装置,来获取发生的安全事件的详细信息。
图11所示的电子邮件的内容是一例,也可以将任意的内容通过电子邮件进行通知。
此外,所通知的电子邮件能够利用任意的设备进行阅览。作为任意的设备,可以设想出个人计算机、智能手机、平板电脑等。
这样,本实施方式所涉及的安全单元200当检测到某种安全事件的发生时,将检测到的该安全事件利用电子邮件的方式向外部进行通知。
(f2:向显示装置500的通知)
接着,说明从安全单元200向显示装置500通知安全事件的发生的方式。
图12是用于说明从本实施方式所涉及的安全单元200向显示装置500通知安全事件的一例的示意图。参照图12,在显示装置500的显示器上进行操作用的画面显示。在画面显示中,除了显示表示控制对象的对象502以外,还可以显示表示收纳有控制装置2的控制盘的对象504。
也可以是,当在显示有这种用户接口画面的状态下,检测到某种安全事件的发生时,在与收纳有发生了该安全事件的控制装置2的控制盘对应的位置,弹出显示表示通知内容的对象506。
也可以在对象506中与表示安全事件的发生的消息一起显示发生了该安全事件的日期时间和紧急度等。不限于图12的显示例,也可以显示更多的信息,相反地也可以是更简单的显示内容。
并且,也可以从显示装置500发出用于通知安全事件的发生的通知音508。
此外,通知目的地的显示装置500不限于与安全单元200连接于同一网络,如果安全单元200能够进行通信,则也可以将连接于任意的网络的显示装置500作为通知目的地。
这样,本实施方式所涉及的安全单元200当检测到发生了某种安全事件时,将检测到的该安全事件向通过网络连接的显示装置进行通知。
(f3:向数据库/云服务的通知)
接着,说明从安全单元200向数据库或云服务通知安全事件的发生的方式。
图13是用于说明从本实施方式所涉及的安全单元200向数据库通知安全事件的一例的示意图。参照图13,例如,连接于网络10的服务器装置600实现作为数据库的处理,并且安全单元200实施安全监视(监视(1)),即当检测到安全事件的发生时将其内容通知给服务器装置600。
服务器装置600逐次收集(信息收集(3))来自安全单元200的通知的内容。而且,服务器装置600响应于来自外部的请求(查询),回复所指定的安全事件的内容。
图13中示出将连接于网络10的服务器装置600作为通知目的地的例子,但不限于此,也可以向因特网上的任意的服务器装置(即,云服务)通知安全事件(检测时通知(2))。
通过利用云服务,无需仅为了监视安全事件而准备服务器装置600。
这样,本实施方式所涉及的安全单元200当检测到某种安全事件的发生时,将检测到的该安全事件向通过网络连接的数据库/云服务进行通知。
(f4:向其他控制装置的通知)
接着,说明从安全单元200向其他控制装置通知安全事件的发生的方式。
图14是用于说明从本实施方式所涉及的安全单元200向其他控制装置通知安全事件的一例的示意图。参照图14,例如,设想在同一网络10连接有多个控制装置2,各个控制装置2具有安全单元200这样的结构。
任何安全单元200实施安全监视((1)监视)。安全单元200当检测到某种安全事件的发生时,向其他控制装置2的安全单元200通知所检测到的安全事件的内容((2)(检测时)通知)。从其他安全单元200接收到通知的安全单元200逐次收集该通知的内容((3)信息收集)。
通过采用这种结构,能够在安全单元200之间进行安全事件的相互检测。
并且,接收到安全事件的通知的其他控制装置2也可以根据该通知的紧急度等,使用所连接的现场设备进行某种物理性告知(声音、光、振动等)。
这样,本实施方式所涉及的安全单元200当检测到某种安全事件的发生时,将检测到的该安全事件向通过网络连接的其他控制装置2进行通知。
(f5:事件通知)
接着,说明从安全单元200经由网络对安全事件的发生进行事件通知的方式。
图15是用于说明从本实施方式所涉及的安全单元200经由网络进行事件通知的一例的示意图。参照图15,设想配置了用于向网络10告知安全事件的发生的告知部1000的结构。
安全单元200对安全进行监视((1)监视)。安全单元200当检测到某种安全事件的发生时,经由网络10向告知部1000发送通知分组((2)检测时通知、(3)通知分组)。告知部1000当接收到来自安全单元200的通知分组时,按照该通知分组的内容开始物理性告知(声音、光、振动等)。
作为通知分组,例如能够利用SNMP(Simple Network Management Protocol:简单网络管理协议)陷阱等。不限于SNMP陷阱,只要能够对事件进行通知,可以采用任何协议。
通过采用这种结构,能够对配置在网络上的任意的位置的告知部通知安全事件的发生。
这样,本实施方式所涉及的安全单元200也可以当检测到某种安全事件的发生时,经由网络对检测到的该安全事件进行事件通知。配置在网络上的告知部1000也可以在接受到这种事件通知后开始告知动作。
(f6:紧急度/优先度显示)
如上所述,在本实施方式所涉及的控制系统1中,对1个或多个状态值、事件进行监视,判断是否发生了安全事件。通常,各个安全事件具有与各事件相应的紧急度和/或优先度,但未必相同。
因此,也可以是,预先按每个监视对象的安全事件设定紧急度和/或优先度,当检测到某种安全事件的发生时,与检测到的该安全事件的紧急度和/或优先度一并进行通知。
作为这种紧急度和/或优先度的通知方法,既可以使用如上述的图11和图12所示的文字信息进行通知,也可以在使用如图15所示的告知部1000的情况下,使告知部1000发出的颜色、点亮模式、音色、音量等不同来进行通知。
通过对检测到的安全事件的紧急度和/或优先度进行通知,接收到该通知的用户能够立刻掌握必须以何种程度的紧急度和/或优先度针对检测到的该安全事件进行应对。
<G.处理过程>
接着,说明对本实施方式所涉及的安全单元200中的安全事件进行监视的处理过程的一例。
图16是表示对本实施方式所涉及的安全单元200中的安全事件进行监视的处理过程的流程图。图16所示的各步骤典型地说是通过安全单元200的处理器202执行系统程序22来实现的。图16所示的处理过程按照每个规定周期反复执行或者每当预先决定的事件发生时执行。
参照图16,安全单元200判断是否发生了经由网络10的数据的发送接收(步骤S100),另外从CPU单元100获取CPU单元状态信息(步骤S108)。
如果没有发生经由网络10的数据的发送接收(步骤S100中:否),则跳过步骤S102~S106的处理。
如果发生了经由网络10的数据的发送接收(在步骤S100中:是),则安全单元200判断数据的发送目的地和/或发送源是否被访问控制限制(步骤S102)。如果数据的发送目的地和/或发送源被访问控制限制(在步骤S102中:是),则安全单元200判断为发生了安全事件(步骤S104)。然后,在步骤S120中执行规定的通知处理。
如果数据的发送目的地和/或发送源没有被访问控制限制(在步骤S102中:否),则安全单元200判断数据的发送或接收的模式是否与预先决定的判断为发生了安全事件的模式一致(步骤S106)。如果数据的发送或接收的模式与预先决定的判断为发生了安全事件的模式一致(在步骤S106中:是),则安全单元200判断为发生了安全事件(步骤S104)。然后,在步骤S120中执行规定的通知处理。
另外,安全单元200当从CPU单元100获取到CPU单元状态信息时(步骤S108),判断获取到的CPU单元状态信息是否符合安全设定20中规定的任何安全事件的条件(步骤S110)。如果获取到的CPU单元状态信息符合任何安全事件的条件(在步骤S110中:是),则安全单元200判断为发生了安全事件(步骤S104)。然后,在步骤S120中执行规定的通知处理。
如果获取到的CPU单元状态信息不符合任何安全事件的条件(在步骤S110中:否),则处理结束。
在步骤S120中,安全单元200根据检测到的安全事件执行通知处理。然后,处理结束。
<H.变形例>
(h1:一体型)
在上述的本实施方式所涉及的控制系统1中,例示了将安全单元200以外置方式连接于具备CPU单元100的控制装置2的结构,但也可以不是这种外置型的结构,而是采用安全单元200组入到控制装置1内部的结构。在该情况下,在控制装置2的内部配置有安装了用于实现安全单元200所提供的处理的软件和/或硬件的结构。通过采用这种一体型的结构,能够节省控制系统整体的空间。
(h2:连接方式)
在上述的实施方式中,CPU单元100与安全单元200之间的连接例如采用了遵循公知的数据传输标准(例如,PCI Express)等的设备,但用于连接的传输标准不限定于1个传输标准。例如,在安全单元200的通信端口210P遵循USB(Universal serial Bus)的传输标准,CPU单元100的通信端口110P遵循PCI Express的传输标准的情况下,例如安全单元200也可以在PCI Express和USB之间实施标准变换,以兼容两种传输标准的不同。此外,传输标准的种类不限定于这些,另外标准的变换方式也不限定于这种方法。
在安全单元200外置于现有的控制装置2(更确定地说是CPU单元100)的情况下,即使两者的传输标准不同,通过安全单元200中具备传输标准的变换功能(电路或模块),也能够应对该不同而实现两者的通信。
(h3:机密性的确保)
在上述的实施方式中,在安全单元200通过网络10连接控制系统1的情况下,安全单元200也可以具备用于VPN(Virtual Private Network:虚拟专用网络)功能的模块(电路或程序)。通过这种VPN模块能够将加密后的数据在网络10上的各装置和控制装置2(更确定地说是CPU单元100)之间传输。
(h4:其他)
本实施方式所涉及的安全单元只要能够对CPU单元100和包含CPU单元100的控制装置2中的安全事件的发生进行监视,则可以用任何方式来实现。
<I.附记>
上述的本实施方式包含以下的技术思想。
[结构1]
一种安全监视装置(200),其能够外置于具有程序执行部(102)的控制装置(2),所述程序执行部(102)执行根据控制对象制作出的程序,所述安全监视装置具备:
通信端口(210P),其与所述控制装置连接;
检测部(262),其根据所述通信的内容判断在从外部对所述控制装置的访问中是否发生了安全事件;以及
通知部(264),当检测到发生了所述安全事件时,该通知部(264)向与发生的该安全事件相应的通知目的地进行通知,
所述安全事件包含不符合预先决定的规则的事件。
[结构2]
一种安全监视装置,所述通信的内容包含从所述控制装置接收的表示该控制装置的状态的状态信息。
[结构3]
根据结构1所述的安全监视装置,其中,
所述安全事件包含以下动作及行为中的任一种:
使所述控制装置的动作停止或性能下降的动作及行为;
使所述控制装置中的程序的执行处理停止或性能下降的动作及行为;以及
使所述控制对象的动作停止或性能下降的动作及行为。
[结构4]
根据结构1或2所述的安全监视装置,其中,
所述安全事件包含相当于以下任一种情况的事件:
数据的发送目的地或发送源的网络地址、物理地址、端口编号中的任一方不包含在预先决定的被允许访问的名单中;以及数据的发送目的地或发送源的网络地址、物理地址、端口编号中的任一方包含在预先决定的被禁止访问的名单中。
[结构5]
根据结构4所述的安全监视装置,其中,
所述安全监视装置还具备用于进行网络连接的网络接口(220),
所述数据包含从所述网络接收的数据以及从所述控制装置向所述网络发送的数据。
[结构6]
根据结构1~5中的任一项所述的安全监视装置,其中,
所述控制装置还具备用于进行网络连接的端口(118P),
所述安全事件包含:在所述端口被无效的情况下对该端口进行网络连接。
[结构7]
根据结构1~6中的任一项所述的安全监视装置,其中,
所述安全事件包含:在从外部访问所述控制装置时所要求的用户认证失败。
[结构8]
根据结构1~7中的任一项所述的安全监视装置,其中,
所述安全事件包含:能够对所述控制装置中执行的程序进行开发的支持装置向所述控制装置进行连接。
[结构9]
根据结构1~8中的任一项所述的安全监视装置,其中,
所述安全事件包含:发生了在所述控制装置中执行的程序的追加和变更以及所述控制装置中的设定的变更中的任一方。
[结构10]
根据结构1~9中的任一项所述的安全监视装置,其中,
所述通知部经由网络对安全事件的发生进行事件通知。
[结构11]
根据结构10所述的安全监视装置,其中,
配置于网络上的告知部(1000)接收到来自所述通知部的事件通知后开始告知动作。
<J.总结>
根据本实施方式所涉及的控制装置和控制系统,能够解决针对伴随控制装置和控制系统的网络化或智能化而可能产生的威胁进行保护这一新的课题。
另外,在本实施方式中,安全单元200能够外置于现有的控制系统1的控制装置2,因此即使在要对现有的控制装置2的安全进行监视的情况下,也能够利用现有的控制装置2。
另外,安全单元200能够外置于现有的控制系统1的控制装置2,因此即使为了变更安全强度而进行了模块(软件等)的变更的情况下,也能够在不停止控制系统1的运转的情况下在安全单元200中实施该变更。另外,由于不是将安全监视的模块内置于控制装置2的结构,因此控制装置2能够避免用于安全监视的负荷(针对Syn Flood进行分组丢弃耗费CPU功率等)并且进行安全监视以及维持本来的控制性能。
应该认为本公开的实施方式在所有方面均为例示而非限制性的记载。本发明的范围不是由上述的说明表示而是由权利要求书表示,旨在包含与权利要求书等同的含义和范围内的所有变更。
标号说明
1:控制系统;2:控制装置;6:现场网络;10:网络;20:安全设定;22、32:系统程序;24:历史信息;30:用户程序;100:CPU单元;110P、210P:通信端口;112P:USB端口;118P:网络端口;200:安全单元;250:帧提取模块;252:分析模块;254:内容分析处理;256:特征提取处理;258:统计处理;260:状态获取模块;262:检测模块;264:通知模块;266:用户认证模块;500:显示装置;502、504、506:对象物;508:通知音;550:显示画面;700:网关;800:支持装置;1000:告知部。
Claims (11)
1.一种安全监视装置,所述安全监视装置能够外置于具有程序执行部的控制装置,所述程序执行部执行根据控制对象制作出的程序,
所述安全监视装置具备:
通信端口,其连接所述控制装置;
检测部,其根据所述通信的内容判断在从外部对所述控制装置的访问中是否发生了安全事件;以及
通知部,当检测到发生了所述安全事件时,所述通知部对与发生的该安全事件相应的通知目的地进行通知,
所述安全事件包含不符合预先决定的规则的事件。
2.根据权利要求1所述的安全监视装置,其中,
所述通信的内容包含从所述控制装置接收的表示该控制装置的状态的状态信息。
3.根据权利要求1所述的安全监视装置,其中,
所述安全事件包含以下动作及行为中的任一种:
使所述控制装置的动作停止或性能下降的动作及行为;
使所述控制装置中的程序的执行处理停止或性能下降的动作及行为;以及
使所述控制对象的动作停止或性能下降的动作及行为。
4.根据权利要求1或2所述的安全监视装置,其中,
所述安全事件包含相当于以下任一种情况的事件:
数据的发送目的地或发送源的网络地址、物理地址、端口编号中的任一方未包含在预先决定的被允许访问的名单中;以及
数据的发送目的地或发送源的网络地址、物理地址、端口编号中的任一方包含在预先决定的被禁止访问的名单中。
5.根据权利要求4所述的安全监视装置,其中,
所述安全监视装置还具备用于进行网络连接的网络接口,
所述数据包含从所述网络接收的数据以及从所述控制装置向所述网络发送的数据。
6.根据权利要求1~5中的任一项所述的安全监视装置,其中,
所述控制装置还具有用于进行网络连接的端口,
所述安全事件包含:在所述端口被无效了的情况下对该端口进行网络连接。
7.根据权利要求1~6中的任一项所述的安全监视装置,其中,
所述安全事件包含:从外部访问所述控制装置时所要求的用户认证失败。
8.根据权利要求1~7中的任一项所述的安全监视装置,其中,
所述安全事件包含:能够对所述控制装置中执行的程序进行开发的支持装置向所述控制装置进行连接。
9.根据权利要求1~8中的任一项所述的安全监视装置,其中,
所述安全事件包含:发生了所述控制装置中执行的程序的追加和变更以及所述控制装置中的设定的变更中的任一方。
10.根据权利要求1~9中的任一项所述的安全监视装置,其中,
所述通知部经由网络对所述安全事件的发生进行事件通知。
11.根据权利要求10所述的安全监视装置,其中,
配置于网络上的告知部在接收到来自所述通知部的事件通知后开始告知动作。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017226146A JP7006178B2 (ja) | 2017-11-24 | 2017-11-24 | セキュリティ監視装置 |
JP2017-226146 | 2017-11-24 | ||
PCT/JP2018/040549 WO2019102809A1 (ja) | 2017-11-24 | 2018-10-31 | セキュリティ監視装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111095135A true CN111095135A (zh) | 2020-05-01 |
Family
ID=66630739
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880056143.0A Pending CN111095135A (zh) | 2017-11-24 | 2018-10-31 | 安全监视装置 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11397806B2 (zh) |
EP (1) | EP3715972A4 (zh) |
JP (1) | JP7006178B2 (zh) |
CN (1) | CN111095135A (zh) |
WO (1) | WO2019102809A1 (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7424089B2 (ja) * | 2020-02-10 | 2024-01-30 | オムロン株式会社 | 制御システム、中継装置、およびアクセス管理プログラム |
JP7014456B2 (ja) * | 2020-04-28 | 2022-02-01 | Necプラットフォームズ株式会社 | 不正判定システム、不正判定方法及びプログラム |
US20240056451A1 (en) * | 2021-04-01 | 2024-02-15 | Nippon Telegraph And Telephone Corporation | Communication system, anomaly detection apparatus, anomaly detection method, and program |
WO2024033972A1 (ja) * | 2022-08-08 | 2024-02-15 | 三菱電機株式会社 | プログラマブルコントローラ、例外アクセス学習方法及びプログラム |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1601429A (zh) * | 1995-02-13 | 2005-03-30 | 英特特拉斯特技术公司 | 用于安全交易管理和电子权利保护的系统和方法 |
CN101887257A (zh) * | 2010-06-10 | 2010-11-17 | 浙江工业大学 | 大坝安全智能全方位监测装置 |
CN104570822A (zh) * | 2013-10-27 | 2015-04-29 | 康斯坦丁·萨普雷金 | 自动化流程控制系统的保护系统、方法及安全复合装置 |
Family Cites Families (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US1944A (en) | 1841-01-23 | Manner of taking measures and draftings for the cutting out of ladies | ||
JPH11134190A (ja) * | 1997-10-31 | 1999-05-21 | Hitachi Ltd | ウイルス検出通知システム、方法、および該方法に係るプログラムを格納した記憶媒体 |
USH1944H1 (en) * | 1998-03-24 | 2001-02-06 | Lucent Technologies Inc. | Firewall security method and apparatus |
JP3690144B2 (ja) | 1998-11-02 | 2005-08-31 | オムロン株式会社 | プログラマブルコントローラ |
US6519703B1 (en) | 2000-04-14 | 2003-02-11 | James B. Joyce | Methods and apparatus for heuristic firewall |
JP2003108222A (ja) | 2001-10-02 | 2003-04-11 | Kurita Water Ind Ltd | 設備管理システム |
JP2005080024A (ja) * | 2003-09-01 | 2005-03-24 | Ricoh Co Ltd | 無線ネットワークシステムおよび動作方法 |
US20050182967A1 (en) | 2004-02-13 | 2005-08-18 | Microsoft Corporation | Network security device and method for protecting a computing device in a networked environment |
US7574610B2 (en) * | 2004-09-30 | 2009-08-11 | Microsoft Corporation | Security state watcher |
JP2006163509A (ja) * | 2004-12-02 | 2006-06-22 | Olympus Corp | 障害通知システム |
US7770205B2 (en) | 2005-01-19 | 2010-08-03 | Microsoft Corporation | Binding a device to a computer |
JP4575219B2 (ja) | 2005-04-12 | 2010-11-04 | 株式会社東芝 | セキュリティゲートウェイシステムとその方法およびプログラム |
JP4965239B2 (ja) | 2006-12-25 | 2012-07-04 | パナソニック株式会社 | 遠隔監視システム |
JP4899973B2 (ja) * | 2007-03-27 | 2012-03-21 | パナソニック電工株式会社 | 通信セキュリティシステム及び通信セキュリティ装置 |
JP4506814B2 (ja) | 2007-10-31 | 2010-07-21 | 日本電気株式会社 | データ管理システム |
JP2010177839A (ja) * | 2009-01-28 | 2010-08-12 | Hitachi Software Eng Co Ltd | 組織外ネットワーク接続端末検出システム |
JP5492150B2 (ja) * | 2011-07-04 | 2014-05-14 | 株式会社日立製作所 | 多重系コントローラシステムとその運転方法 |
JP2013030826A (ja) | 2011-07-26 | 2013-02-07 | Ricoh Co Ltd | ネットワーク監視システム、ネットワーク監視方法 |
JP2013101426A (ja) * | 2011-11-07 | 2013-05-23 | Toyota Motor Corp | 車載通信装置 |
JP2012123840A (ja) * | 2012-03-14 | 2012-06-28 | Mitsubishi Electric Corp | 異常通知装置、異常通知システム |
JP5799170B2 (ja) * | 2013-07-01 | 2015-10-21 | 株式会社日立製作所 | 制御システム、制御方法及びコントローラ |
US9998426B2 (en) * | 2014-01-30 | 2018-06-12 | Sierra Nevada Corporation | Bi-directional data security for control systems |
JP6442843B2 (ja) | 2014-03-14 | 2018-12-26 | オムロン株式会社 | 制御装置 |
US9697355B1 (en) * | 2015-06-17 | 2017-07-04 | Mission Secure, Inc. | Cyber security for physical systems |
EP3151152B1 (en) * | 2015-09-30 | 2020-04-08 | Secure-Nok AS | Non-intrusive software agent for monitoring and detection of cyber security events and cyber-attacks in an industrial control system |
IL242808A0 (en) * | 2015-11-26 | 2016-04-21 | Rafael Advanced Defense Sys | System and method to detect cyber attacks on ics/scada controlled plants |
US11575571B2 (en) * | 2020-05-08 | 2023-02-07 | Rockwell Automation Technologies, Inc. | Centralized security event generation policy |
-
2017
- 2017-11-24 JP JP2017226146A patent/JP7006178B2/ja active Active
-
2018
- 2018-10-31 WO PCT/JP2018/040549 patent/WO2019102809A1/ja unknown
- 2018-10-31 US US16/643,467 patent/US11397806B2/en active Active
- 2018-10-31 EP EP18881730.8A patent/EP3715972A4/en active Pending
- 2018-10-31 CN CN201880056143.0A patent/CN111095135A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1601429A (zh) * | 1995-02-13 | 2005-03-30 | 英特特拉斯特技术公司 | 用于安全交易管理和电子权利保护的系统和方法 |
CN101887257A (zh) * | 2010-06-10 | 2010-11-17 | 浙江工业大学 | 大坝安全智能全方位监测装置 |
CN104570822A (zh) * | 2013-10-27 | 2015-04-29 | 康斯坦丁·萨普雷金 | 自动化流程控制系统的保护系统、方法及安全复合装置 |
Also Published As
Publication number | Publication date |
---|---|
EP3715972A4 (en) | 2021-07-28 |
JP7006178B2 (ja) | 2022-01-24 |
US11397806B2 (en) | 2022-07-26 |
US20200364332A1 (en) | 2020-11-19 |
JP2019096150A (ja) | 2019-06-20 |
EP3715972A1 (en) | 2020-09-30 |
WO2019102809A1 (ja) | 2019-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111052005B (zh) | 控制装置以及控制系统 | |
CN111095135A (zh) | 安全监视装置 | |
US8737398B2 (en) | Communication module with network isolation and communication filter | |
US9807055B2 (en) | Preventing network attacks on baseboard management controllers | |
US20080209033A1 (en) | Event monitoring and management | |
US10193890B2 (en) | Communication apparatus to manage whitelist information | |
WO2010005545A1 (en) | Techniques for agent configuration | |
KR20140118494A (ko) | 제어 시스템의 이상 징후 탐지 장치 및 방법 | |
JP2005193590A (ja) | 印刷装置 | |
JP5898024B2 (ja) | マルウェア検出装置および方法 | |
CN107395615B (zh) | 一种打印机安全防护的方法和装置 | |
WO2017163665A1 (ja) | 通信処理システム、通信処理方法、通信処理装置、通信管理装置およびそれらの制御方法と制御プログラム | |
CN114600424A (zh) | 用于过滤数据流量的安全系统和方法 | |
JP6938205B2 (ja) | アクセス制御システム | |
JP6690377B2 (ja) | コントローラおよび制御システム | |
JP2017163505A (ja) | 監視装置、スイッチ、通信装置、通信システム、監視方法及び監視プログラム | |
Bartman et al. | An introduction to applying network intrusion detection for industrial control systems | |
JP6384107B2 (ja) | 通信検査モジュール、通信モジュール、および制御装置 | |
JP2006252109A (ja) | ネットワークアクセス制御装置、遠隔操作用装置及びシステム | |
JP2022160511A (ja) | エンド端末、中継装置、plc装置、および通信システム | |
CN117255994A (zh) | 关键基础设施中控制系统的自动防火墙配置 | |
JP2005222239A (ja) | ノード装置 | |
CN116723128A (zh) | 网络透明传输设备的检测方法及装置 | |
CN113767595A (zh) | 设备监视方法、设备监视装置以及程序 | |
JP2006237842A (ja) | ネットワーク制御システムおよびネットワーク制御方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |