JP2000267957A - 制御系用ファイアウォール - Google Patents
制御系用ファイアウォールInfo
- Publication number
- JP2000267957A JP2000267957A JP11069575A JP6957599A JP2000267957A JP 2000267957 A JP2000267957 A JP 2000267957A JP 11069575 A JP11069575 A JP 11069575A JP 6957599 A JP6957599 A JP 6957599A JP 2000267957 A JP2000267957 A JP 2000267957A
- Authority
- JP
- Japan
- Prior art keywords
- control
- control system
- command
- information
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
て、悪意、または、無意識による制御系への不正介入、
トラフィック妨害を防ぐための制御系用ファイアウォー
ルを提供する。 【解決手段】情報系プロセスで、暗号化データを受信
し、そのデータを復号化し、復号化したデータを制御系
プロセスに渡し、データから制御コマンドを抽出し、コ
マンドフィルタリングテーブルを参照して、「通過」で
きる制御コマンドだけフィルタリングして、制御系LA
N上の監視制御コンピュータなどに転送する。また、制
御系プロセスで、監視データを受信し、プロセス間通信
で情報系プロセスに渡し、さらに、情報系LAN上の端
末やデータベースサーバに転送する。
Description
利用する情報系ネットワークを利用して、プラントの監
視制御を行うシステムにおいて、情報系ネットワークと
制御系ネットワークとを安全に接続する装置に関する。
どのプラントの監視制御は、専用のリアルタイムオペレ
ーティングシステム(以下、RT−OSという)で動作
する制御機器・計測機器・制御装置・監視制御卓などを
専用の回線で接続して制御系ネットワークを構築し、専
用の制御系用通信プロトコルによって制御データ・監視
データなどを通信する送ることによって行われてきた。
織では、事務管理や電子メール・プリンタの共有などを
目的として、組織内情報系ネットワーク(以下、イント
ラネットという)を構築している。一般に、情報端末に
は汎用のオペレーティングシステム(以下、G−OSと
いう)で動作するものを利用し、また、汎用の情報通信
用プロトコルによって情報通信を行っている。さらに、
イントラネットをインターネットに接続して、組織を超
えたWWW(World Wide Web)サービス
や電子メールも行っている。
トに不正な侵入を防ぐものとしてファイアウォールがあ
る。例えば、文献1(「ファイアウォール」、51頁〜
79頁、1995、ソフトバンク)によれば、ファイア
ウォールには、方式として、パケットフィルタリングゲ
ートウェイ、トランスポートレベルゲートウェイ、アプ
リケーションレベルゲートウェイがある。
送信元/送信先のIP(Internet Proto
col)アドレス/ポートに基づいてパケットを遮断/
許可する。トランスポートレベルゲートウェイは、送信
元がトランスポートレベルゲートウェイのTCP(Tr
ansmission Control Protoc
ol)ポートに接続すると、トランスポートレベルゲー
トウェイが別のネットワーク上のサーバのポートに接続
する。コネクションが確立している間は、トランスポー
トレベルゲートウェイがリレーして、すべてのデータが
双方向に送られる。アプリケーションレベルゲートウェ
イは、送信元が別のネットワーク上のサーバのポートに
接続要求をしたとき、アプリケーションレベルゲートウ
ェイのTCPポートに接続し、アプリケーションレベル
ゲートウェイが要求のあったサーバのポートに接続要求
する。
クとイントラネットとを接続し、情報系ネットワーク上
の情報端末(イントラネット内の情報端末、インターネ
ットを介して接続する情報端末、公衆回線・無線などを
使ってイントラネットに接続した情報端末など)からプ
ラントの監視・制御、または、プラントの監視データの
2次利用を行うシステムが要求されている。
(1)従来の制御系ネットワーク、および、制御用通信
プロトコルを、情報系ネットワーク、および、情報系通
信プロトコルに置き換えて再構築する方法と、(2)従
来の制御系ネットワーク、および、制御用通信プロトコ
ルを使って独自のイントラネットを構築し、その上に情
報端末を接続する方法と、(3)従来の制御系ネットワ
ーク、とイントラネットとを接続する方法とがある。こ
のうち、(1)(2)は既に稼動しているプラント監視
制御系、または、イントラネットを再構築する必要が生
じ、それぞれに必要なサービスを業務に支障をきたさな
いように維持するのは大変である。また、いずれかが新
規の構築になる場合であっても、それぞれに必要なサー
ビスが一様に同一のネットワーク上にあることは、制御
系の役割を考えると、セキュリティやリアルタイム性の
点で不安である。そこで、図2に示すように、制御系ネ
ットワーク1000と情報系ネットワーク2000とを
分けて考え、それらを接続する。このとき、制御系のセ
キュリティやリアルタイム性を確保するために、制御系
ネットワーク1000と情報系ネットワーク2000と
の接点に、制御系用ファイアウォール1が必要となる。
ネットワークに接続するための制御系LANボード、お
よび、情報系ネットワークに接続するための情報系LA
Nボードを搭載し、制御系用通信プロトコルと、情報系
用通信プロトコルとがサポートされている必要がある。
両通信プロトコルをサポートするためには、RT−OS
に両通信プロトコルをサポートさせる方法と、G−OS
とRT−OSの両方を共存させる方法が考えられる。
方法としては、例えば、文献2(「リアルタイム制御方
式」、特開平10−21094)によれば、G−OSが
動作するCPUと、RT−OSが動作するCPUとを搭
載し、共有メモリを介して相互のプロセスの間のデータ
交換を行う方法と、RT−OSをコアにして、この上に
G−OSエミュレータを実装する方法とが紹介されてい
る。
ントの監視制御を行う制御系ネットワークと組織内情報
系ネットワーク(イントラネット)を接続し、イントラ
ネット上の情報端末などで、プラントデータの監視、ま
たは、プラントの制御を行うとき、制御系ネットワーク
のセキュリティ、および、リアルタイム性を確保するた
めに、制御系ネットワークとイントラネットの接点に設
置する制御系用ファイウォールを提供することにある。
用なコマンドのみを制御系に転送するコマンドフィルタ
リング機能を有する制御系用ファイアウォールを提供す
ることにある。
じて有用なコマンドの制限を変更するアクティブコマン
ドフィルタリング機能を有する制御系用ファイアウォー
ルを提供することにある。
リングのルールを情報系ネットワーク上のいかなるプロ
セスからも覗くことができないようにするフィルタリン
グテーブル不可視化機能を有する制御系用ファイアウォ
ールを提供することにある。
が制御できないように、かつ、権利をもつユーザでも他
の権利者が制御を実行している間は制御できないように
するユーザ認証・操作権認証機能を有する制御系用ファ
イアウォールを提供することにある。
信したとき、そのコマンドに対する制御系の進捗状況、
または、結果をレポートするトランザクションモニタリ
ング機能を有する制御系用ファイアウォールを提供する
ことにある。
ザがプラントデータの監視ができ、かつ、不特定多数の
リクエストが制御系にじょう乱を与えないようにするリ
アルタイム監視データ転送機能を有する制御系用ファイ
アウォールを提供することにある。
タのヒストリカルデータも不特定多数のユーザが利用で
きるようにするリアルタイム監視データ転送機能を有す
る制御系用ファイアウォールを提供することにある。
タをリアルタイムに必要とするユーザに対して、ユーザ
が毎回リクエストを要求しなくてもデータが配信され、
かつ、要求のないプラント監視データはデータが配信さ
れないようにするリアルタイム監視データ転送機能を有
する制御系用ファイアウォールを提供することにある。
トが発生したときに、不特定多数のユーザに対してリア
ルタイムに配信され、かつ、後でイベント発生リストを
確認することもできるようにするリアルタイム監視デー
タ転送機能を有する制御系用ファイアウォールを提供す
ることにある。
−OSとの双方に対して、メモリや記憶装置、LANボ
ードなどに対して、アクセス領域が異なる制御系用ファ
イアウォールを提供することにある。
アウォール上に対するアクセスによって発生した事象
を、不正・正当を問わずログをとる機能と、そのログを
分析して適当な警報システムに状況報告をする機能を有
する制御系用ファイアウォールを提供することにある。
ウォールをG−OSとRT−OSが共存するコンピュー
タに実装する。G−OSとRT−OS上のそれぞれのプ
ロセスは共有メモリを介してプロセス間通信ができるよ
うにする。このとき、G−OS上の情報系プロセスで、
暗号化データを受信し、そのデータを復号化し、復号化
したデータをRT−OS上の制御系プロセスに渡す。こ
の制御系プロセスで、データから制御コマンドを抽出
し、コマンドフィルタリングテーブルを参照して、「通
過」できるコマンドだけを制御系LAN上の監視制御コ
ンピュータなどに転送する。
視データに基づいて、コマンドフィルタリングテーブル
のルールを変更するロジックをもつプロセスをRT−O
S上で実行させるか、または、監視制御コンピュータな
どから直接ルールの変更要求を受け取れるようにする。
G−OS上の情報系プロセスからはアクセスできないメ
モリや記憶装置におく。
ーザからのアクセスであるかを認証し、正当なユーザか
らのアクセスの場合、正当なユーザが利用している端末
と制御系用ファイウォール1との間でユニークな操作権
番号を共有する。正当なユーザからの暗号化データを受
信するが、それには、「ユーザID」「操作権番号」
「制御コマンド」が含まれるようにする。そして、ユー
ザIDと操作権番号が一致するかをチェックする。も
し、一致するならば、「操作権番号」と「制御コマン
ド」を制御系プロセスに転送する。制御系プロセスで
は、「操作権番号」と「制御コマンド」を含むデータを
受信し、操作権認証を行う。操作権認証は、受信した
「操作権番号」と「制御コマンド」の組み合わせが一致
するかを比較する。
ンドを監視制御コンピュータなどに転送した後、制御コ
マンドを送出したことをプロセス間通信によって、情報
系プロセスに通知し、情報系プロセスは、通知を受け取
ると、さらに、制御コマンドを発信したユーザ宛てに転
送する。このサイクルを監視制御コンピュータなどから
制御トランザクションに関するレポートが通知されるた
びに繰り返す。
したとき、プロセス間通信で情報系プロセスに監視デー
タを引き渡し、さらに、情報系プロセスは、情報系LA
N上の端末やデータベースサーバに監視データを転送す
る。
を設定し、前回、データを転送したときの転送時刻より
も新しい時刻のものに更新されているものだけを取り出
し、データベースサーバへまとめて転送する。そして転
送時刻を更新する。
ら、ある監視項目のリアルタイム配信要求を受けたと
き、正当なユーザからの要求であるかを認証を行う。正
当なユーザである場合には、その監視項目と配信先を登
録する。この登録が済むと、指定されている監視項目の
更新がある度に、登録されている配信先へ監視データを
転送する。
発生を受信する度に、イベント内容を情報系LAN上に
マルチキャストする。
込み可能だが、RT−OSからは読み込みしかできない
アドレス空間と、RT−OSから書き込み可能だが、G
−OSからは読み込みしかできないアドレス空間とを持
たせる。
メモリや記憶装置、LANボード、及び、RT−OSか
らしかアクセスできないメモリや記憶装置、LANボー
ドを持たせる。
たデータを復号化したとき、送信元、ユーザ名、アクセ
ス時刻、内容、処理状況のログをとる。定期、または、
不定期に、このアクセスログを分析すし、分析によって
アクセス状況を認識し、重大、または、注意に値する状
況になっている場合には、警報システムへ状況を報告す
る。
ルを介して情報系ネットワークと制御系ネットワークを
接続するシステム構成例を示したものである。
イアウォール)1は、制御系ネットワーク(制御系LA
N)1000と、情報系ネットワーク(イントラネッ
ト)2000との間に接続される。制御系LAN100
0には、監視制御コンピュータ1001が接続され、監
視制御コンピュータ1001は、制御機器1002の制
御を行ったり、計測機器1003の計測データを取り込
んだりしている。監視制御卓1004は制御コマンドの
送信やデータの監視を行う。イントラネット2000に
は、情報サーバ2003、データベースサーバ200
4、情報端末3001などが接続され、さらに、ファイ
アウォール2002を介してインターネット2001に
接続している。情報端末3001としては、イントラネ
ット2000上の他にも、公衆回線や無線回線など30
02を介して情報サーバ2003の1つに接続するも
の、インターネットサービスプロバイダ3003を介し
てインターネットに接続しているもの、他のネット上か
らインタネットに接続しているものなどがある。
ォールの第1の発明であるコマンドフィルタリング機能
の実施例を示したものである。
ANに接続する制御系LANボード14と、イントラネ
ットに接続する情報系LANボード11とを搭載し、R
T−OS3とG−OS2とが動作し、それぞれのOS上
で、制御系用通信プロトコルによる通信9、情報系用通
信プロトコルによる通信4で通信する機能を持ってい
る。さらに、RT−OS上のプロセス30とG−OS上
のプロセス20は、制御系−情報系間プロセス通信機能
6、7によって共有メモリ10を介してプロセス間通信
することができる。なお、図3以降の発明に関する図に
おいては、通信プロトコル4、9、プロセス間通信6、
7、メモリ・記憶装置など管理5、8に該当するものは
割愛する。
受信し(21)、復号鍵を使って暗号化データを復号化
する(22)。正当なデータならば、復号化データには
制御コマンドが含まれている。そして、復号化データの
一部、または、全部(制御コマンドを含む)を制御系−
情報系間プロセス通信を使って制御系プロセス30に渡
す(23)。制御系プロセス30で復号化データの一
部、または、全部を受信し(31)、復号化データの中
から制御コマンドをとりだし、その制御コマンドの通過
・待機・遮断を行うコマンドフィルタリングを行い(3
2)、通過させる制御コマンド(正当なコマンド)のみ
を制御系LAN上の監視制御用コンピュータ1001な
どに転送する。
めのフイルタリングテーブル34の例を示したものであ
る。
タリング動作41、制御コマンド42、制御コマンドの
送信先43が記述されており、RT−OS3上のプロセ
ス上から読み書き可能なメモリ、または、ハードディス
クなどの記憶装置13に記憶されている。動作には、
「通過」「待機」「遮断」がある。
の具体的処理を示したものである。
マンドがフィルタリングテーブル34に存在しているか
を確認し(51)、コマンドが存在していない場合は、
削除して(54)、終了する。存在する場合は、フィル
タリング動作をチェックする(52)。動作が「遮断」
のコマンドは、削除して(54)、終了する。「通過」
のコマンドは、監視制御コンピュータなど指定されてい
る送信先に送信する(33)。「待機」のコマンドは、
コマンドの内容を保持し、別プロセスなどからの通知を
待つ(53)。もし、別プロセスから通知があり、動作
が「待機」から「通過」または「遮断」に変更になった
ときは、フィルタリング動作の再チェックを行う(5
2)。
信されたとき(制御トランザクションが完了しないうち
に次のコマンドが送信されたとき)に、図4の処理だけ
では不足である。そこで、図5に示したように、「通
過」のコマンドに対しては、まず、そのフィルタリング
ルールの動作を一時「待機」にしておき(55)、コマ
ンドを転送した(33)後、制御トランザクションの完
了を待って(56)、完了を知った時点で、また、「通
過」に戻す(57)。連続して送信されたコマンドは
「待機」に基づき保持される。
から行える制御を限定できる。不必要な制御コマンドが
いたずらに制御系LAN上に流れることもない。制御ト
ランザクションが完了しないうちに到着した制御コマン
ドにも対処できる。もし、一切の制御コマンドを排除し
たい場合には、フィルタリングテーブルの中味を無にす
れば良い(記述のない制御コマンドは「遮断」を意味す
る)。
の発明であるアクティブコマンドフィルタリング機能の
実施例を示したものである。
は、フィルタリング動作変更要求を取得する(61)。
フィルタリング動作変更要求(コマンドAを「通過」な
ど)を取得した場合には、その通りにフィルタリングテ
ーブルの変更を行う(63)。制御系プロセス60から
アクセス可能なメモリまたは記憶装置13上に、フィル
タリング動作を変更するためのルール65が存在する場
合には、これに従って、入手した監視データを元に、動
作変更の必要性があるかを調べ(62)、必要がある場
合には、フィルタリングテーブルの変更を行う(6
3)。変更を行ったときは、別の制御系プロセスにもそ
の旨を通知する(64)。フィルタリング動作を変更す
るためのルール65とは、例えば、「主電源がOFF状
態のとき、緊急ポンプ停止の制御コマンドは遮断」など
のルールである。
な制御コマンドを管理する機能を既にもっている場合
(つまり、制御プロセス60の中の、動作変更要求の必
要性の判断を行うロジック62相当のものを既に監視制
御コンピュータが持っている場合)は、制御コマンドの
有効/無効が切り替わったときのみ、その旨を制御系用
ファイアウォール1に送信し、そのコマンドに対する動
作の通過/遮断を切り替えることができる。監視制御コ
ンピュータ1001側が、有効な制御コマンドを管理す
る機能を持っていない場合には、2つの方法がある。
(1)監視制御コンピュータにロジックを実装する。
(2)制御系用ファイアウォール1の制御系プロセス6
0に実装する。(2)の場合、例えば、制御系LAN上
にたくさんの監視制御コンピュータがある場合でも、ロ
ジックのメンテナンスを1箇所で行うことができる。逆
に、ロジックが複雑、または、ルールを処理する数が多
いと、制御系用ファイアウォール自身の負荷が大きくな
る。
に入ったら、保守コマンド系は遮断するとか、電源がO
Nの状態でないと、ポンプ運転系のコマンドは受け付け
ないなど、制御系の状態に基づく制御コマンドのフィル
タリングができる。つまり、制御系の現在状態にとって
不必要な制御コマンドがいたずらに制御系LAN上に流
れることを防げる。
の発明であるフィルタリングテーブルの不可視化の実施
例を示したものである。
系用ファイアウォールに対して、フィルタリングテーブ
ルの記憶は、(a)情報系プロセスからアクセス可能な
メモリ、記憶装置12上、(b)情報系プロセスからア
クセス可能な共有メモリ10上、(c)制御系プロセス
からアクセス可能なメモリ、記憶装置13上の3つがあ
る。
アクセス可能なため、悪意のあるユーザによって例えば
システムのルート権限に不正侵入して、フィルタリング
テーブル72aを書き換えてしまう可能性がある。フィ
ルタリングテーブルが読み込みしかできないようになっ
ている場合は、動的にフィルタリングテーブルを変更す
ることができなくなる。また、読み込みができることを
利用して、制御可能なコマンドをいたずらに送信してく
る可能性もでてしまう。
る。
ス70cからは、直接的には、フィルタングテーブルを
参照することができないので、情報系LAN上の端末か
らは、制御可能なコマンド書き換えられることも、盗み
見られることも可能性は極めて小さい。
3を制御系プロセス71からのみアクセス可能なメモ
リ、記憶装置13上に記憶することで情報系プロセスか
ら隠ぺいすることができる。
アウォールの第4の発明であるユーザ認証・操作権認証
機能の実施例を示したものである。
ワードとの組み合わせなどを用い、正当なユーザからの
アクセスであるかを認証する(81)。そして、正当な
ユーザからのアクセスと判断されたときは、正当なユー
ザが利用している端末3001と制御系用ファイウォー
ル1との間でユニークな操作権番号84、85を共有す
る(82)。このとき、制御系用ファイアウォール1側
ではユーザIDと操作権番号の組み合わせを暗号化して
記憶しておくことが望ましい(83)。もし、同じユー
ザIDを使って別の端末からもアクセスがあるとして
も、別の操作権番号が共有されることになる。
ザからの暗号化データを受信し(21)、復号化する
(22)。復号化したデータには、「ユーザID」「操
作権番号」「制御コマンド」が含まれる。そして、ユー
ザIDと操作権番号が一致するかをチェックする(9
1)。もし、一致するならば、「操作権番号」と「制御
コマンド」を制御系プロセスに転送する(23)。
と「制御コマンド」を含む復号化データを受信し(3
1)、操作権認証を行ってから(101)、コマンドフ
ィルタリングを行う(32)。このとき、図11に示し
たようにフィルタリングテーブル34には、制御コマン
ド42に対する操作権番号104が記憶されている。図
中「−」で示されているのは、その制御コマンドが現在
どのユーザにも利用しようとしていないことを意味す
る。操作権認証101は、受信した「操作権番号」と
「制御コマンド」の組み合わせが一致するかを比較する
(102)。もし、一致するならば、コマンドフィルタ
リングを行う(32)。もし、フィルタリングテーブル
に操作権番号が登録されていないとき(図中「−」のと
き)は、受信した操作権番号を該当の制御コマンド、お
よび、それに関連する制御コマンドに登録をしてから
(103)、コマンドフィルタリングを行う(32)。
一致しないときは終了する。
マンドと操作権番号との関連付けを空きにする手順が必
要である。これは、利用者が操作権を放棄したり、また
は、一定時間以上操作がない(操作権の放棄の忘れ)、
または、ある利用者の操作権を強制的にはく奪する場合
に実行される。
むことができるのは、正当なユーザだけである。しか
も、他の正当なユーザが制御コマンドを実施中は、例
え、自分が正当ユーザであっても、制御コマンドを送り
込むことはできない。図12は、制御系用ファイアウォ
ールの第5の発明であるトランザクションモニタリング
機能の実施例を示したものである。
マンドを転送した後(33)、制御コマンドを送出した
ことをプロセス間通信によって、情報系プロセス120
に通知する(111)。情報系プロセスでは、通知を受
け取ると、その内容を、さらに、制御コマンドを発信し
たユーザ宛てに転送する(122)。このサイクルを監
視制御コンピュータなどから制御トランザクションに関
するレポートが通知されるたびに繰り返し(113、1
21)、制御トランザクションが完了するまで繰り返す
(112、123)。
ンドが正確に監視制御コンピュータ1001などに伝わ
ったのかを把握することができる。また、1つの制御コ
マンドに対してその制御トランザクションが完了するの
に時間がかかる場合でも途中の進捗状況を把握すること
ができる。
ルの第6の発明である監視データ転送機能の実施例を示
したものである。
制御系LAN上の監視制御コンピュータなどから受信し
(131)、監視データをプロセス間通信によって、情
報系プロセスに渡す(132)。実際には、図14に示
したように共有メモリ10上の監視データ空間134に
書き込まれ、ここには最新データ、及び、その更新時刻
などの可変データが入る。一方、共有メモリ10上に
は、監視項目に対する属性情報空間133もあり、ここ
には、データID、データ名称、単位、共有メモリ上の
監視データの保存アドレスなどが示される。属性情報空
間133の内容は、監視項目の追加や削除・修正などが
あった場合に制御系プロセス側から書き換えられるよう
になっている。
受信した後(141)、監視データを情報系LAN上の
端末3001やデータベースサーバ2004などにさら
に転送する(142)。また、必要に応じて、属性情報
空間の内容を転送する場合もある。
01などがもつ制御機器や計測機器のデータを情報系上
の端末やデータベースサーバに転送することができる。
への転送の方法には、さらに、以下の3つの発明があ
る。
おける大容量データ転送機能の発明(制御系用ファイア
ウォールの第7の発明)の実施例を示したものである。
刻、及び、時間間隔159をセットしておく(15
1)。
ントが発生すると(152)、前回、データをデータベ
ースサーバ2004へ転送したときの転送時刻158を
読み込む(153)。監視データを受信し(共有メモリ
10上のデータを読み込み)(141)、前回転送時刻
よりも新しい時刻のデータであるかをチェックする(1
54)。データが新しいときは、そのデータを一時記憶
する(155)。これをすべての監視データに対して繰
り返す(156)。そして、一時記憶しておいた監視デ
ータをデータベースサーバ2004へまとめて転送する
(142)。転送した監視データの中で最も新しい更新
時刻を最終転送時刻158として書き換える(15
7)。
の例では、12:00を基点として、20分ごとにタイ
マーイベントが発生するように設定されてあり、現在時
刻は、13:20になった場合である。前回の最終転送
時刻は13:00と記憶されており、監視データ空間1
34上のデータから13:00よりも新しいものを一時
記憶空間164に抽出し、抽出したデータをまとめてデ
ータベースサーバに転送する。そして、最終転送時刻を
最も新しいものである13:15におきかえる。なお、
この例において、最終転送時刻を現在時刻の13:20
とする場合もある。
4に定期的にデータを一括して転送することができる。
監視データ空間のデータの更新時刻が同一でなくても問
題ない。このとき、更新されていないデータに関して
は、転送されないので、トラフィックの節約にもなる
し、一度送ったことのあるデータの再送によるデータベ
ースサーバ側の負荷低減にもなる。また、通常、制御系
上での監視データの更新サイクルはかなり短く、このサ
イクルに合わせて全てのデータを転送するのは、相当負
荷が大きいが、時間間隔の設定ができるので、転送サイ
クルを長くすることで、制御系プラントファイウォール
・ネットワークトラフィック・データベースサーバの負
荷を抑えることができる。
リアルタイム配信機能の発明(制御系用ファイアウォー
ルの第8の発明)の実施例を示したものである。
のリアルタイム配信要求を受信すると(161)、ま
ず、そのユーザの認証を行う(81)。正当なユーザで
ある場合には、その監視項目と配信先を登録する(16
2)。
0では、指定されている監視項目の更新がある度に(1
41)、登録されている配信先へ転送する(142)。
なお、配信先は1箇所でない場合もある。
リアルタイム配信を受けることができる。また、ユーザ
認証を加えていることにより、なりすましによってリア
ルタイム配信サービスを不正に大量に行って、リアルタ
イム配信サービスの妨害することから防ぐこともでき
る。なお、リアルタイム配信は、1ユーザあたり3項目
までのように制約をつけてリアルタイム配信サービスを
保護してもよい。
イベントのマルチキャスト配信機能の発明(制御系用フ
ァイアウォールの第9の発明)の実施例を示したもので
ある。
を受信する度に(171)、イベント内容を情報系LA
N上にマルチキャストする(172)。情報系LAN上
のデータベースサーバ2004、端末3001はマルチ
キャストを受信すると、イベント内容を取り込み、デー
タベースサーバにイベントを取り込んだり、端末にイベ
ントを表示したりなどの適切な処置を行う。
体制になっている情報系LAN上の端末、データベース
サーバは、イベントをリアルタイムに受信することがで
きる。また、端末が受信する体制になかったとしても、
データベースサーバには、発生イベントが格納されてい
るので、こちらを参照することでイベントリストを見る
ことができる。
10の発明であるメモリアクセスの安全性の実施例を示
したものである。
2とRT−OS3が実装され、それぞれ共有メモリ10
にアクセスすることができる。このとき、共有メモリ
は、G−OS2から書き込み可能だが、RT−OS3か
らは読み込みしかできないアドレス空間181と、RT
−OS3から書き込み可能だが、G−OS2からは読み
込みしかできないアドレス空間182とを持たせる。ア
ドレス空間181には、例えば、制御コマンドや、適当
な各種フラグが、G−OS側のプロセスによって書き込
まれる。アドレス空間182には、例えば、属性情報
や、適当な各種フラグ、監視データ、イベント、制御ト
ランザクションのレポートなどが、RT−OS側のプロ
セスによって書き込まれる。
って、監視データやイベントなどを書き換えてしまうこ
とがなくなる。また、共有メモリを介したプロセス間通
信として、お互いに通信の受領を通知したい場合でも、
両方の空間にそれぞれのOSのプロセスがフラグを書き
込むための領域があるので、問題ない。
11の発明であるメモリアクセスの安全性の第2の実施
例を示したものである。
2とRT−OS3が実装され、それぞれ共有メモリ10
にアクセスすることができるが、G−OS2からしかア
クセスできないメモリや記憶装置12、LANボード1
1、及び、RT−OS3からしかアクセスできないメモ
リや記憶装置13、LANボード14を持たせる。例え
ば、G−OS2は、メモリ13を認識することはできな
い。
リングテーブル34をメモリ13に置くことで、G−O
S側のプロセスからは、その内容を直接読んだり、書き
換えたりすることはできない。
12の発明であるアクセスログ機能の実施例を示したも
のである。
る、または、平文のままのデータを受信する(21)。
そして、その内容を復号化する(22)。当然、平文は
復号化処理を施せば意味のないものにかわる。そして、
復号化したデータが、意味のあるものかどうかを判断し
(191)、意味不明の場合には、内容が不正であると
して、処理を「不正による削除(192)」として、送
信元、ユーザ名、アクセス時刻、内容、処理状況のログ
195をとる(194)。復号化した内容に意味がある
場合には、ユーザIDや操作権番号が一致するかを確認
し(91)、不一致の場合には、「処理:操作権不一致
による削除(193)」として、同様にログ195をと
る(194)。一致の場合には、「処理:正当なデータ
転送」として、内容をプロセス間通信によって、制御系
プロセスに引き渡す。このときもログ195をとる(1
94)。
13の発明である警報機能の実施例を示したものであ
る。
は、不定期に、アクセスログ195を分析する(20
1)。分析によってアクセス状況を認識し(202)、
もし、重大、または、注意に値する状況になっている場
合には、警報システムへ状況を報告する(203)。問
題なければ、特に何もしない。
スの状況が内容レベルまでログをとり、さらに、重大な
不正があった場合には、即座に警報システムに報告がで
る。
端末3001から行える制御を限定できる。不必要な制
御コマンドがいたずらに制御系LAN上に流れることも
ない。制御トランザクションが完了しないうちに到着し
た制御コマンドにも対処できる。もし、一切の制御コマ
ンドを排除したい場合には、フィルタリングテーブルの
中味を無にすれば良い。
態に入ったら、保守コマンド系は遮断するとか、電源が
ONの状態でないと、ポンプ運転系のコマンドは受け付
けないなど、制御系の状態に基づく制御コマンドのフィ
ルタリングができる。つまり、制御系の現在状態にとっ
て不必要な制御コマンドがいたずらに制御系LAN上に
流れることを防げる。
を制御系プロセスからのみアクセス可能なメモリ、記憶
装置上に記憶することで情報系プロセスから隠ぺいする
ことができる。
込むことができるのは、正当なユーザだけである。しか
も、他の正当なユーザが制御コマンドを実施中は、例
え、自分が正当ユーザであっても、制御コマンドを送り
込むことはできない。本発明によれば、ユーザが送信し
た制御コマンドが正確に監視制御コンピュータなどに伝
わったのかを把握することができる。また、1つの制御
コマンドに対してその制御トランザクションが完了する
のに時間がかかる場合でも途中の進捗状況を把握するこ
とができる。
どがもつ制御機器や計測機器のデータを情報系上の端末
やデータベースサーバに転送することができる。
期的にデータを一括して転送することができる。監視デ
ータ空間のデータの更新時刻が同一でなくても問題な
い。このとき、更新されていないデータに関しては、転
送されないので、トラフィックの節約にもなるし、一度
送ったことのあるデータの再送によるデータベースサー
バ側の負荷低減にもなる。また、通常、制御系上での監
視データの更新サイクルはかなり短く、このサイクルに
合わせて全てのデータを転送するのは、相当負荷が大き
いが、時間間隔の設定ができるので、転送サイクルを長
くすることで、制御系プラントファイウォール・ネット
ワークトラフィック・データベースサーバの負荷を抑え
ることができる。
は、リアルタイム配信を受けることができる。また、ユ
ーザ認証を加えていることにより、なりすましによって
リアルタイム配信サービスを不正に大量に行って、リア
ルタイム配信サービスの妨害することから防ぐこともで
きる。
る体制になっている情報系LAN上の端末、データベー
スサーバは、イベントをリアルタイムに受信することが
できる。また、端末が受信する体制になかったとして
も、データベースサーバには、発生イベントが格納され
ているので、こちらを参照することでイベントリストを
見ることができる。
誤って、監視データやイベントなどを書き換えてしまう
ことがなくなる。また、共有メモリを介したプロセス間
通信として、お互いに通信の受領を通知したい場合で
も、両方の空間にそれぞれのOSのプロセスがフラグを
書き込むための領域があるので、問題ない。
タリングテーブルをメモリに置くことで、G−OS側の
プロセスからは、その内容を直接読んだり、書き換えた
りすることはできない。
セスの状況が内容レベルまでログをとり、さらに、重大
な不正があった場合には、即座に警報システムに報告が
でる。
の説明図である。
ムの例である。
の第1の説明図である。
の第2の説明図である。
の第3の説明図である。
能の実施例の説明図である。
可視化の実施例の説明図である。
の第1の説明図である。
の第2の説明図である。
例の第3の説明図である。
例の第4の説明図である。
機能の実施例の説明図である。
機能の実施例の第1の説明図である。
機能の実施例の第2の説明図である。
機能の実施例の第3の説明図である。
機能の実施例の第4の説明図である。
機能の実施例の第5の説明図である。
機能の実施例の第6の説明図である。
例の第1の説明図である。
例の第2の説明図である。
施例の第1の説明図である。
施例の第2の説明図である。
ル)、2…情報系OS(G−OS)、3制御系RT−O
S(RT−OS)、10…共有メモリ、11…情報系L
ANボード、12…情報系メモリ・記憶装置、13…制
御系メモリ・記憶装置、14…制御系LANボード、3
4…コマンドフィルタリングテーブル、1000…制御
系LAN、1001…監視制御コンピュータ、1002
…制御機器、1003…計測機器、2000…情報系L
AN(イントラネット)、2001…インターネット、
2004…データベースサーバ、3001…情報端末。
Claims (5)
- 【請求項1】制御機器を制御したり、計測機器からデー
タを収集したりする監視制御用コンピュータが接続され
ている制御系ネットワークに接続する制御系LANボー
ドと、情報端末や情報サーバが接続されている情報系ネ
ットワークに情報系LANボードとを搭載し、制御系用
リアルタイムオペレーティングシステムと情報系用オペ
レーティングシステムとが動作し、制御系用通信プロト
コルで通信する手段と情報系用通信プロトコルで通信す
る手段とを有し、制御系用リアルタイムオペレーティン
グシステム上で動作するプロセスと情報系用オペレーテ
ィングシステム上で動作するプロセスとがプロセス間通
信する手段を有するコンピュータであって、情報系用オ
ペレーティングシステム上では、情報系ネットワークか
ら送信された暗号化コマンドを復号化する手段と、復号
化したコマンドを制御系用リアルタイムオペレーティン
グシステム上で動作するプロセスにプロセス間通信する
手段とを有し、制御系用リアルタイムオペレーティング
システム上では、プロセス間通信によって入手したコマ
ンドをフィルタリングする手段と、フィルタリング手段
によって許可されたコマンドを前記監視制御用コンピュ
ータに通信する手段とを有していることを特徴とする制
御系用ファイアウォール。 - 【請求項2】請求項1記載の制御用ファイアウォールで
あって、制御系用リアルタイムオペレーティングシステ
ム上では、制御可能なコマンド情報、または、監視デー
タを制御系ネットワークから受信し、受信した内容に基
づいてコマンドをフィルタリングするルールを変更する
手段を有していることを特徴とする制御系用ファイアウ
ォール。 - 【請求項3】請求項1記載の制御系用ファイアウォール
であって、コマンドフィルタリング手段のためのフィル
タリングルールを記憶する記憶装置は、制御系用リアル
タイムオペレーティングシステム上で動作するプロセス
からのみ読み書き可能なことを特徴とする制御系用ファ
イアウォール。 - 【請求項4】請求項1記載の制御系用ファイアウォール
であって、情報系用オペレーティングシステム上では、
コマンドを送信したユーザが正当な権利をもつかを認証
する手段と、操作権が登録のものと一致するかを確認す
る手段とを有し、正当な権利をもち、かつ、操作権をも
っているユーザからのデータのみを、制御系用リアルタ
イムオペレーティングシステム上で動作するプロセスに
プロセス間通信し、制御系用リアルタイムオペレーティ
ングシステム上では、さらに、制御コマンドを実行する
ことが許可されている操作権であるかを確認する手段を
有していることを特徴とする制御系用ファイアウォー
ル。 - 【請求項5】請求項1記載の制御系用ファイアウォール
であって、制御系用リアルタイムオペレーティングシス
テム上では、制御コマンドを前記監視制御用コンピュー
タに通信したとき、該監視制御用コンピュータより制御
コマンドに対する進捗状況、または、結果を受信し、該
進捗状況、または、結果を情報系用オペレーティングシ
ステム上で動作するプロセスにプロセス間通信する手段
を有し、情報系用オペレーティングシステム上では、プ
ロセス間通信によって入手した進捗状況、または、結果
を制御コマンドの発信元に転送する手段とを有している
ことを特徴とする制御系用ファイアウォール。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP11069575A JP2000267957A (ja) | 1999-03-16 | 1999-03-16 | 制御系用ファイアウォール |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP11069575A JP2000267957A (ja) | 1999-03-16 | 1999-03-16 | 制御系用ファイアウォール |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2000267957A true JP2000267957A (ja) | 2000-09-29 |
Family
ID=13406740
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP11069575A Pending JP2000267957A (ja) | 1999-03-16 | 1999-03-16 | 制御系用ファイアウォール |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2000267957A (ja) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003111156A (ja) * | 2001-09-27 | 2003-04-11 | Toshiba Corp | デジタル家電機器 |
JP2010531484A (ja) * | 2007-06-06 | 2010-09-24 | エアバス・オペレーションズ | オープンドメインからアビオニクスドメインまでの通信のオンボードアクセス制御システム |
JP2015517694A (ja) * | 2012-05-02 | 2015-06-22 | ▲ホア▼▲ウェイ▼技術有限公司 | ネットワークデバイスを制御するための方法と装置 |
EP3182669A1 (en) | 2015-12-15 | 2017-06-21 | Yokogawa Electric Corporation | Integrated industrial system and control method thereof |
EP3182234A1 (en) | 2015-12-15 | 2017-06-21 | Yokogawa Electric Corporation | Control device, integrated industrial system, and control method thereof |
JP2017519388A (ja) * | 2014-04-11 | 2017-07-13 | アー・ファウ・エル・リスト・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング | データを伝送するための設備及び方法 |
WO2018156428A1 (en) | 2017-02-22 | 2018-08-30 | Honeywell International Inc. | Transparent firewall for protecting field devices |
JP2020088677A (ja) * | 2018-11-28 | 2020-06-04 | 株式会社日立製作所 | ネットワークシステム |
-
1999
- 1999-03-16 JP JP11069575A patent/JP2000267957A/ja active Pending
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003111156A (ja) * | 2001-09-27 | 2003-04-11 | Toshiba Corp | デジタル家電機器 |
JP2010531484A (ja) * | 2007-06-06 | 2010-09-24 | エアバス・オペレーションズ | オープンドメインからアビオニクスドメインまでの通信のオンボードアクセス制御システム |
JP2015517694A (ja) * | 2012-05-02 | 2015-06-22 | ▲ホア▼▲ウェイ▼技術有限公司 | ネットワークデバイスを制御するための方法と装置 |
JP2017519388A (ja) * | 2014-04-11 | 2017-07-13 | アー・ファウ・エル・リスト・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング | データを伝送するための設備及び方法 |
US10819742B2 (en) | 2015-12-15 | 2020-10-27 | Yokogawa Electric Corporation | Integrated industrial system and control method thereof |
EP3182234A1 (en) | 2015-12-15 | 2017-06-21 | Yokogawa Electric Corporation | Control device, integrated industrial system, and control method thereof |
EP3182669A1 (en) | 2015-12-15 | 2017-06-21 | Yokogawa Electric Corporation | Integrated industrial system and control method thereof |
US10956567B2 (en) | 2015-12-15 | 2021-03-23 | Yokogawa Electric Corporation | Control device, integrated industrial system, and control method thereof |
WO2018156428A1 (en) | 2017-02-22 | 2018-08-30 | Honeywell International Inc. | Transparent firewall for protecting field devices |
CN110326268A (zh) * | 2017-02-22 | 2019-10-11 | 霍尼韦尔国际公司 | 用于保护现场设备的透明防火墙 |
EP3586491A4 (en) * | 2017-02-22 | 2020-12-30 | Honeywell International Inc. | TRANSPARENT FIREWALL FOR PROTECTING FIELD DEVICES |
JP2020088677A (ja) * | 2018-11-28 | 2020-06-04 | 株式会社日立製作所 | ネットワークシステム |
JP7093717B2 (ja) | 2018-11-28 | 2022-06-30 | 株式会社日立製作所 | ネットワークシステム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3995338B2 (ja) | ネットワーク接続制御方法及びシステム | |
US5919258A (en) | Security system and method for computers connected to network | |
JP4630896B2 (ja) | アクセス制御方法、アクセス制御システムおよびパケット通信装置 | |
RU2313185C2 (ru) | Способ, система и устройство для контроля и управления передачей данных в сетях связи | |
JP2008141581A (ja) | 秘密情報アクセス認証システム及びその方法 | |
JP2008015786A (ja) | アクセス制御システム及びアクセス制御サーバ | |
JP2008146660A (ja) | フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム | |
US20070299781A1 (en) | System and apparatus for credit data transmission | |
CN103413083A (zh) | 单机安全防护系统 | |
CN100438427C (zh) | 网络控制方法和设备 | |
US20020087619A1 (en) | Method and sysem for server management platform instrumentation | |
JP2000267957A (ja) | 制御系用ファイアウォール | |
US20020138627A1 (en) | Apparatus and method for managing persistent network connections | |
KR20020027702A (ko) | 인터넷상에서 유해 사이트 접속을 차단하는 방법 | |
JP2006094258A (ja) | 端末装置、そのポリシー強制方法およびそのプログラム | |
US20030065953A1 (en) | Proxy unit, method for the computer-assisted protection of an application server program, a system having a proxy unit and a unit for executing an application server program | |
JP2012064007A (ja) | 情報処理装置、通信中継方法およびプログラム | |
JP2004062416A (ja) | 不正アクセス防止方法、セキュリティポリシーダウンロード方法、pc、およびポリシーサーバ | |
JP2003258795A (ja) | コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム | |
JP2000163283A (ja) | リモートサイトコンピュータ監視システム | |
WO2003034687A1 (en) | Method and system for securing computer networks using a dhcp server with firewall technology | |
JP4039361B2 (ja) | ネットワークを用いた分析システム | |
JPH1188436A (ja) | 情報提供システム | |
KR100503772B1 (ko) | 유틸리티 방식으로 데이터베이스 서버에 접속하여 수행되는작업을 감시하는 모니터링 시스템 및 방법 | |
JP2004054488A (ja) | ファイアウォール装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20051006 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051025 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051222 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060328 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20060417 |