JP2005252947A - Remote maintenance access control system - Google Patents

Remote maintenance access control system Download PDF

Info

Publication number
JP2005252947A
JP2005252947A JP2004063724A JP2004063724A JP2005252947A JP 2005252947 A JP2005252947 A JP 2005252947A JP 2004063724 A JP2004063724 A JP 2004063724A JP 2004063724 A JP2004063724 A JP 2004063724A JP 2005252947 A JP2005252947 A JP 2005252947A
Authority
JP
Japan
Prior art keywords
control system
security policy
maintenance
access control
distributed control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004063724A
Other languages
Japanese (ja)
Inventor
Hiroo Kamiyo
浩夫 神余
Ryosuke Watabe
良介 綿部
Shinji Tonai
信治 東内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2004063724A priority Critical patent/JP2005252947A/en
Publication of JP2005252947A publication Critical patent/JP2005252947A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a remote maintenance access control system which enables a security policy to be dynamically applied and to realize a high security level operation of a distributed control system with saved labor. <P>SOLUTION: A remote maintenance access control system which determines a transfer capability to a distributed control system of a maintenance message which communicates between a remote maintenance site 110 and a distributed control system 123 through a network 100, and controls a communication is provided with an engineering server 124 holding a device arrangement management table of the distributed control system, a security policy server 125 generating a security policy which is a condition combination of maintenance processing adaptable to the distributed control system based on the device arrangement management table, and an access control portion 122 which receives a maintenance message from the remote maintenance site 110 to the distributed control system 123, matches the message with the security policy, and passes only a maintenance massage permitted to the distributed control system 123. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

この発明は、プラントや工場などの分散制御システムをインターネット等に接続された保守端末から遠隔保守を行う場合に、第三者による分散制御システムへの不正なアクセスや危険な遠隔操作を検出、棄却するための遠隔保守アクセス制御システムに関するものである。   This invention detects and rejects unauthorized access to a distributed control system by a third party or dangerous remote operation when a remote control system such as a plant or factory is remotely controlled from a maintenance terminal connected to the Internet or the like. The present invention relates to a remote maintenance access control system.

従来の遠隔保守アクセス制御システムは、分散制御システムと外部ネットワーク接続との間に保守メッセージを検査するファイアウォール等のセキュリティ機器を設けて、外部からの不正アクセスを検出、棄却することにより対処していた(例えば特許文献1参照)。   Conventional remote maintenance access control systems have been dealt with by detecting and rejecting unauthorized access from outside by installing a security device such as a firewall that inspects maintenance messages between the distributed control system and the external network connection. (For example, refer to Patent Document 1).

特開2002−358380号公報JP 2002-358380 A

従来技術は、分散制御システムに保守メッセージの検査を行うセキュリティ機器を追加したものであるが、遠隔保守を許可する条件であるセキュリティポリシー、例えば、保守端末と分散制御システムとのアドレス情報、ユーザ情報、保守作業コマンドなどの保守作業条件定義を分散制御システムの運用に応じてあらかじめ木目細かく定義する必要があり大変手間がかかるという問題点があった。また、プラントの定期検査や事後検査などの運用に応じてセキュリティポリシーは動的に適用されるべきであるが、遠隔保守アクセス制御システムが分散制御システムのエンジニアリング情報と連動していないため、セキュリティポリシーの設定変更に手間がかかるという問題点があった。   In the conventional technology, a security device for inspecting a maintenance message is added to the distributed control system. However, a security policy which is a condition for permitting remote maintenance, for example, address information between the maintenance terminal and the distributed control system, user information However, there is a problem that maintenance work condition definitions such as maintenance work commands need to be finely defined in advance according to the operation of the distributed control system, which is very troublesome. Security policies should be applied dynamically according to operations such as periodic plant inspections and subsequent inspections. However, the remote maintenance access control system is not linked to the engineering information of the distributed control system, so the security policy There was a problem that it took time to change the setting of.

本発明は上記のような問題点を解決するためになされたもので、セキュリティポリシーの動的適用を可能とし、分散制御システムへの遠隔保守アクセスに関して高いセキュリティレベル運用を省労力で実現することができる遠隔保守アクセス制御システムを得ることを目的とする。   The present invention has been made to solve the above-described problems, and can dynamically apply a security policy, and can realize a high security level operation for remote maintenance access to a distributed control system with less labor. The purpose is to obtain a remote maintenance access control system.

本発明は、ネットワークに接続された保守端末と分散制御システムの間で上記ネットワークを介して通信する保守メッセージの分散制御システムに転送可否を判断および通信制御する遠隔保守アクセス制御システムにおいて、分散制御システムのデバイスおよびデータの構成を把握することができるデバイス構成管理テーブルを保持するエンジニアリングサーバと、デバイス構成管理テーブルに基づいて分散制御システムに転送許可する保守メッセージに関する条件組合せであるセキュリティポリシーを生成して保持するセキュリティポリシーサーバと、保守端末から分散制御システムへの保守メッセージを受信しセキュリティポリシーと照合して許可された保守メッセージだけを通過するアクセス制御部とを備えたものである。   The present invention relates to a remote maintenance access control system that judges whether or not transfer of a maintenance message communicated between a maintenance terminal connected to a network and a distributed control system to the distributed control system via the network and performs communication control. Generate a security policy that is a condition combination of the engineering server that holds the device configuration management table that can grasp the device and data configuration of the device and the maintenance message that is permitted to be transferred to the distributed control system based on the device configuration management table A security policy server to be held, and an access control unit that receives a maintenance message from the maintenance terminal to the distributed control system and passes only the maintenance message that is permitted by collating with the security policy.

本発明の遠隔保守アクセス制御システムは、ネットワークに接続された保守端末と分散制御システムの間で上記ネットワークを介して通信する保守メッセージの分散制御システムに転送可否を判断および通信制御する遠隔保守アクセス制御システムにおいて、分散制御システムのデバイスおよびデータの構成を把握することができるデバイス構成管理テーブルを保持するエンジニアリングサーバと、デバイス構成管理テーブルに基づいて分散制御システムに転送許可する保守メッセージに関する条件組合せであるセキュリティポリシーを生成して保持するセキュリティポリシーサーバと、保守端末から分散制御システムへの保守メッセージを受信しセキュリティポリシーと照合して許可された保守メッセージだけを通過するアクセス制御部とを備えたので、分散制御システムの立上げ、修理・改修、定期検査および障害時などの状況に応じてセキュリティポリシーを動的に適用できるため、高いセキュリティレベルを省労力で実現できる。   The remote maintenance access control system according to the present invention is a remote maintenance access control for judging whether or not to transfer a maintenance message to a distributed control system for communicating between the maintenance terminal connected to the network and the distributed control system via the network, and controlling the communication. This is a condition combination related to an engineering server that holds a device configuration management table that can grasp the configuration of devices and data in the distributed control system and a maintenance message that is permitted to be transferred to the distributed control system based on the device configuration management table. A security policy server that generates and holds a security policy, and an access control unit that receives a maintenance message from the maintenance terminal to the distributed control system and passes only the permitted maintenance message against the security policy; So equipped, startup of the distributed control system, repair and refurbishment, it is possible to dynamically enforce security policies depending on the situation, such as during periodic inspection and disorders, it is possible to realize a high security level while saving effort.

実施の形態1.
図1はこの発明の実施の形態1の遠隔保守アクセス制御システムと保守端末との構成を示すブロック図、図2は図1に示した遠隔保守アクセス制御システムの構成を示すブロック図である。図1において、インターネットまたは外部ネットワークにて成るネットワーク100に、保守端末としての遠隔保守サイト110と、複数の被保守端末としての工場(プラント)120とが接続されている。遠隔保守サイト110は、保守サイトの保守側イントラネット111に保守端末113が接続され、保守側イントラネット111はアクセスルータ112を介してネットワーク100に接続される。工場120は、プラントイントラネット(または制御ネットワーク)121に分散制御システム123と、エンジニアリングサーバ124と、セキュリティポリシーサーバ125とが接続される、さらにプラントイントラネット121はアクセス制御部122を介してネットワーク100に接続される。 Embodiment 1 FIG.
1 is a block diagram showing the configuration of a remote maintenance access control system and a maintenance terminal according to Embodiment 1 of the present invention, and FIG. 2 is a block diagram showing the configuration of the remote maintenance access control system shown in FIG. In FIG. 1, a remote maintenance site 110 as a maintenance terminal and a plurality of factories (plants) 120 as maintenance target terminals are connected to a network 100 composed of the Internet or an external network. In the remote maintenance site 110, a maintenance terminal 113 is connected to a maintenance-side intranet 111 of the maintenance site, and the maintenance-side intranet 111 is connected to the network 100 via an access router 112. In the factory 120, a distributed control system 123, an engineering server 124, and a security policy server 125 are connected to a plant intranet (or control network) 121. Further, the plant intranet 121 is connected to the network 100 via an access control unit 122. Is done.

図2において、エンジニアリングサーバ124は、分散制御システム123のデバイスの構成情報、すなわち分散コントローラのネットワークアドレス、タグやラベルなどコントローラ上の変数名とそのアドレス、バルブやセンサ等デバイスのメーカや型番などの機器属性情報を把握することができるデバイス構成管理テーブル1241を保持している。デバイス構成管理テーブル1241は例えばデバイスIDごとに図3に示すようにデバイス構成管理テーブル::<デバイスID、メーカ名、型番、コントローラID,デバイスアドレス>などの5つの要素から構成されているものである。   In FIG. 2, the engineering server 124 includes device configuration information of the distributed control system 123, that is, the network address of the distributed controller, variable names and addresses on the controller such as tags and labels, manufacturers and model numbers of devices such as valves and sensors. A device configuration management table 1241 that can grasp device attribute information is held. The device configuration management table 1241 is composed of, for example, five elements such as device configuration management table: <device ID, manufacturer name, model number, controller ID, device address> as shown in FIG. 3 for each device ID. is there.

デバイスとはバルブやセンサ等のプラント制御機器であり、メーカ名と型番とデバイスIDで識別できる。このデバイスIDとは分散制御システム123において機器を一意に指定するための識別子である。コントローラID、デバイスアドレスは該当デバイスを管理制御するコントローラおよびコントローラ上において該当デバイスデータが格納されているアドレスである。一部のデバイス、例えばフィールドネットワークなどはコントローラを介さずに接続されるので、コントローラIDがフィールドネットワークアドレス、デバイスアドレスが該フィールドネットワーク上のノードアドレスとなる。このような情報は分散制御システム123を構築するとき、設計情報としてエンジニアリングサーバ124に与えられ初期設定として生成される。   A device is a plant control device such as a valve or a sensor, and can be identified by the manufacturer name, model number, and device ID. This device ID is an identifier for uniquely specifying a device in the distributed control system 123. The controller ID and device address are the controller that manages and controls the corresponding device and the address where the corresponding device data is stored on the controller. Since some devices, such as a field network, are connected without going through a controller, the controller ID is a field network address, and the device address is a node address on the field network. Such information is given to the engineering server 124 as design information when the distributed control system 123 is constructed, and is generated as an initial setting.

アクセス制御部122は、保守端末113からの保守メッセージを受信すると、その内容がセキュリティポリシーとして許可された条件かどうかを検査して、許可ならば通過し、不許可ならば棄却するメッセージ検査部1221を備える。ここでいう、保守メッセージとは例えば図4に示すように、保守メッセージ::<ユーザID、デバイスID、コマンド、オプション>などの4つの要素から構成されているものである。ユーザとは、保守端末113を操作するユーザを指す。コマンドとは、遠隔保守における札掛け/参照/書込み(図4では、LockTag, ReadData, SetData)の操作単位が定義されているものである。   When the access control unit 122 receives the maintenance message from the maintenance terminal 113, the access control unit 122 checks whether the content is a condition permitted as a security policy, passes if it is permitted, and rejects if it is not permitted. Is provided. The maintenance message here includes, for example, four elements such as maintenance message :: <user ID, device ID, command, option> as shown in FIG. A user refers to a user who operates maintenance terminal 113. The command defines a unit of operation for tagging / referencing / writing in remote maintenance (in FIG. 4, LockTag, ReadData, SetData).

セキュリティポリシーサーバ125は、標準セキュリティポリシー1252と、ユーザ定義情報1253と、セキュリティポリシー1251と、詳細設定ダイアログ1254とを備える。標準セキュリティポリシー1252は、どのメーカ製のデバイスについてどのような遠隔保守が許容されるかを定義したものである。例えば図5に示すように標準セキュリティポリシー::<メーカ名、コマンド>などの2つの要素から構成されている。ユーザ定義情報1253は、ユーザがどのメーカに属するかを定義したテーブルである。例えば図6に示すように、ユーザ定義情報::<ユーザID、メーカ名>などの2つの要素から構成されている。   The security policy server 125 includes a standard security policy 1252, user definition information 1253, a security policy 1251, and a detailed setting dialog 1254. The standard security policy 1252 defines what remote maintenance is allowed for which manufacturer's device. For example, as shown in FIG. 5, it is composed of two elements such as a standard security policy :: <maker name, command>. The user definition information 1253 is a table that defines which manufacturer the user belongs to. For example, as shown in FIG. 6, it is composed of two elements such as user definition information :: <user ID, manufacturer name>.

そして、セキュリティポリシー1251とは分散制御システム123に適用可能な許可される保守処理の条件組合せを示すもので、どのユーザがどのデバイスをどのように操作できるかを定義するためのものである。通常、分散制御システム123に設置されているデバイス数は数千から数万に及ぶため、セキュリティポリシ1251をデバイス毎に初期設定することは容易ではない。しかしここでは、分散制御システム123のエンジニアリングサーバ124には、どの制御装置にどのデバイスが接続されているかが定義されたデバイス構成管理テーブル1241が存在するので、このデバイス構成管理テーブル1241のデバイスID一覧を利用してセキュリティポリシー1251の設定を行うことができる。   The security policy 1251 indicates a combination of permitted maintenance processing conditions applicable to the distributed control system 123, and is used to define which user can operate which device and how. Normally, since the number of devices installed in the distributed control system 123 ranges from several thousands to several tens of thousands, it is not easy to initialize the security policy 1251 for each device. However, here, since the engineering server 124 of the distributed control system 123 has a device configuration management table 1241 that defines which device is connected to which control device, the device ID list of the device configuration management table 1241 is present. Can be used to set the security policy 1251.

具体的には、デバイス構成管理テーブル1241の各デバイスについて、メーカ名をキーとして標準セキュリティポリシー1252からコマンドを選択、またメーカ名をユーザ定義情報1253のユーザIDに展開して、セキュリティポリシー1251を自動生成する。以上の手段により、ユーザID毎のセキュリティポリシー1251が、例えば図7に示すように セキュリティポリシー::<ユーザID、デバイスID、コマンド> などの3つの要素から構成され生成される。   Specifically, for each device in the device configuration management table 1241, a command is selected from the standard security policy 1252 using the manufacturer name as a key, and the manufacturer name is expanded to the user ID of the user definition information 1253 to automatically set the security policy 1251. Generate. By the above means, a security policy 1251 for each user ID is generated and composed of three elements such as security policy :: <user ID, device ID, command> as shown in FIG.

上記のように構成された実施の形態1の遠隔保守アクセス制御システムは、エンジニアリングサーバのデバイス構成管理テーブルとセキュリティポリシーサーバのセキュリティポリシーを連携させることができるので、分散制御システムの遠隔保守に関するセキュリティ設定の省力化が可能となる。また、エンジニアリングサーバの設定情報を利用してセキュリティポリシーの設定を自動化でき、さらにセキュリティ設定の省力化が可能となる。   Since the remote maintenance access control system of the first embodiment configured as described above can link the device configuration management table of the engineering server and the security policy of the security policy server, the security setting related to the remote maintenance of the distributed control system Can be saved. In addition, the setting information of the engineering server can be used to automate the setting of the security policy, and further labor saving of the security setting is possible.

上記実施の形態1にて示したセキュリティポリシーは標準的な例であり、他の例として標準セキュリティポリシー1252とユーザ定義情報1253とにデバイス型番を追加して、メーカ型番ごとにセキュリティポリシー1251を自動設定することも可能である。また、ユーザが遠隔保守においてどのような作業を担当しているかを示す作業内容を要素として追加して、セキュリティポリシー1251のユーザ毎の許容コマンドを詳細化することも可能である。さらに追加する要素として、遠隔保守できる日時や時間帯、保守端末のネットワークアドレスなどを追加して行うようにしてもよいことは言うまでもない。   The security policy shown in the first embodiment is a standard example. As another example, a device model number is added to the standard security policy 1252 and the user-defined information 1253, and the security policy 1251 is automatically set for each manufacturer model number. It is also possible to set. It is also possible to add details of work indicating what kind of work the user is in charge of remote maintenance as an element, and to refine the permissible command for each user of the security policy 1251. Furthermore, it goes without saying that as a factor to be added, the date and time of remote maintenance, the time zone, the network address of the maintenance terminal, etc. may be added.

実施の形態2.
図8はこの発明の実施の形態2の遠隔保守アクセス制御システムの構成を示すブロック図である。この実施の形態は、分散制御システム123のコントローラやデバイスの構成変更や追加を行った場合、該当デバイスのセキュリティポリシー1251を設定変更する必要が生じる場合についての発明である。 Embodiment 2. FIG.
FIG. 8 is a block diagram showing the configuration of the remote maintenance access control system according to the second embodiment of the present invention. This embodiment is an invention in the case where it is necessary to change the setting of the security policy 1251 of the corresponding device when the configuration change or addition of the controller or device of the distributed control system 123 is performed.

エンジニアリングサーバ124に、デバイスの変更または追加によりデバイス構成テーブル1241が更新された場合に該当デバイスIDの情報をセキュリティポリシーサーバ125に通知するデバイス構成管理テーブル1241の監視部1242を備える。そして、セキュリティポリシーサーバ125は管理者に該当デバイスIDのセキュリティポリシー再設定を促す詳細設定ダイアログ1254を表示する。そして、管理者は詳細設定ダイアログ1254の表示内容に従って該当箇所のセキュリティポリシー1251の確認と再設定を行う。   The engineering server 124 includes a monitoring unit 1242 for a device configuration management table 1241 that notifies the security policy server 125 of information on a corresponding device ID when the device configuration table 1241 is updated by changing or adding a device. The security policy server 125 displays a detailed setting dialog 1254 that prompts the administrator to reset the security policy of the corresponding device ID. Then, the administrator confirms and resets the security policy 1251 at the corresponding location according to the display contents of the detailed setting dialog 1254.

また、他の方法としてはセキュリティポリシーサーバ125が詳細設定ダイアログ1254に指示を表示するのではなく、デバイスの新規追加あるいはデバイス構成情報の変更となった場合は、標準セキュリティポリシー1252、ユーザ定義情報1253、デバイス構成管理テーブル1241に従ってセキュリティポリシー1251を自動設定しても良い。   As another method, when the security policy server 125 does not display an instruction in the detailed setting dialog 1254 but when a new device is added or device configuration information is changed, the standard security policy 1252 and the user definition information 1253 are used. The security policy 1251 may be automatically set according to the device configuration management table 1241.

また、他の方法としては、デバイス構成管理テーブル1241の監視部1242にてデバイス構成管理テーブルの変更を監視し、一定周期でデバイス構成管理テーブルの変更を確認する方法もある。この場合、セキュリティポリシーサーバ125は、事前に読み出していたデバイス構成管理テーブル1241の内容と通知後に読み出したデバイス構成管理テーブル1241の内容とを比較し、デバイス構成管理テーブル1241の変更箇所を検出すればよい。   As another method, there is a method of monitoring a change in the device configuration management table by the monitoring unit 1242 of the device configuration management table 1241 and confirming the change in the device configuration management table at a constant cycle. In this case, the security policy server 125 compares the contents of the device configuration management table 1241 read out in advance with the contents of the device configuration management table 1241 read out after notification, and detects a change in the device configuration management table 1241. Good.

上記のように構成された実施の形態2の遠隔保守アクセス制御システムは、上記実施の形態1と同様の効果を奏するのはもちろんのこと、分散制御システムの構成変更を行った場合に、構成変更した機器のセキュリティポリシーを自動設定することができる。よって、セキュリティ設定の省力化を図ることができる。   The remote maintenance access control system according to the second embodiment configured as described above has the same effect as that of the first embodiment, but when the configuration of the distributed control system is changed, the configuration is changed. The security policy of the selected device can be set automatically. Therefore, labor saving of security setting can be achieved.

実施の形態3.
図9はこの発明の実施の形態3の遠隔保守アクセス制御システムの構成を示すブロック図である。一般的に、遠隔保守が必要となるのは、分散制御システムの定期点検の場合であり、デバイスが健全に動作するかの診断、経年変化に対する調整、あるいは部品の定期交換後の設定調整などである。上記実施の形態1のセキュリティポリシー1251によると、許容されたユーザはいつでも遠隔保守可能であるが、定期点検の時のみ遠隔保守を可能とし、それ以外の場合は誰もアクセスできないようにセキュリティポリシーを設定したほうが、不正アクセスや悪意あるアクセスに対するセキュリティレベルを高く設定できる。よってこの発明においては保守スケジュールの内容に対応してセキュリティポリシー1251を決定する方法について説明する。 Embodiment 3 FIG.
FIG. 9 is a block diagram showing the configuration of the remote maintenance access control system according to the third embodiment of the present invention. In general, remote maintenance is required for periodic inspections of distributed control systems, such as diagnosis of device operation, adjustment for aging, or setting adjustment after periodic replacement of parts. is there. According to the security policy 1251 of the first embodiment, an authorized user can perform remote maintenance at any time, but can perform remote maintenance only during periodic inspections, and in other cases, the security policy cannot be accessed by anyone. The higher the security level against unauthorized access and malicious access, the higher the setting. Therefore, in the present invention, a method for determining the security policy 1251 corresponding to the contents of the maintenance schedule will be described.

まず、エンジニアリングサーバ124は、どのコントローラやデバイスを定期検査するかを計画した保守スケジュール1243を備える。そして、期間は定期検査において該当デバイスを遠隔保守する日時等の期間や作業時間帯を表す。例えば図10に示すように、保守スケジュール::<コントローラID、コマンド、期間>などの3つの要素から構成されている。そして、この保守スケジュール1243に対応してセキュリティポリシー1251は、期間も要素として持つこととなる。例えば図11に示すように、セキュリティポリシー::<ユーザID、デバイスID、コマンド、期間>などの4つの要素から構成され生成される。   First, the engineering server 124 includes a maintenance schedule 1243 that plans which controller and device to periodically inspect. The period represents a period such as a date and time when the corresponding device is remotely maintained in a periodic inspection and a work time zone. For example, as shown in FIG. 10, it is composed of three elements such as maintenance schedule :: <controller ID, command, period>. The security policy 1251 has a period as an element corresponding to the maintenance schedule 1243. For example, as shown in FIG. 11, it is configured and generated from four elements such as security policy :: <user ID, device ID, command, period>.

このようにセキュリティポリシーサーバ125は、セキュリティポリシー1251の初期設定においてエンジニアリングサーバ124のデバイス構成管理テーブル1241と、保守スケジュール1243とを読み出し、セキュリティポリシー1251の初期設定を行う。通常、分散制御システム123では冷却系、排熱改修系などのプラントとして意味あるサブシステムごとにコントローラが割り当てられており、定期検査はそのサブシステム単位で行われることが一般的である。コントローラIDとは、複数のコントローラを特定するための識別子であり、デバイス構成管理テーブル1241のコントローラIDと一致する。よって、そのコントローラ毎に接続された全デバイスIDに対してセキュリティポリシー1251が展開される。但し、保守スケジュールをエンジニアリングサーバ124側でデバイスID単位に展開することも可能である。   As described above, the security policy server 125 reads the device configuration management table 1241 and the maintenance schedule 1243 of the engineering server 124 in the initial setting of the security policy 1251, and performs the initial setting of the security policy 1251. In general, in the distributed control system 123, a controller is assigned to each subsystem that is meaningful as a plant such as a cooling system or an exhaust heat repair system, and the periodic inspection is generally performed for each subsystem. The controller ID is an identifier for identifying a plurality of controllers and matches the controller ID in the device configuration management table 1241. Therefore, the security policy 1251 is expanded for all device IDs connected to each controller. However, the maintenance schedule can be expanded in units of device IDs on the engineering server 124 side.

さらに、保守スケジュール1243に変更があった場合、エンジニアリングサーバ124の保守スケジュール監視部1244を備え、この保守スケジュール監視部1244が保守スケジュール変更をセキュリティポリシーサーバ125に通知して、セキュリティポリシーサーバ125がセキュリティポリシー1251のデフォルト設定および詳細設定ダイアログ表示1254を行う。尚、保守スケジュール1243は、エンジニアリングサーバ124とは別のサーバやデータベースにあってもよいことは言うまでもない。   Further, when the maintenance schedule 1243 is changed, the engineering server 124 includes a maintenance schedule monitoring unit 1244. The maintenance schedule monitoring unit 1244 notifies the security policy server 125 of the maintenance schedule change, and the security policy server 125 performs security. A default setting and detailed setting dialog display 1254 of the policy 1251 is performed. Needless to say, the maintenance schedule 1243 may be in a server or database different from the engineering server 124.

上記に示したようにセキュリティポリシー1251が設定され、アクセス制御部122は、生成されたセキュリティポリシー1251に従って保守メッセージの検査を行い、メッセージの通過か廃棄かを行う。メッセージには時刻情報がないが、アクセス制御部122が持つ現在時刻とセキュリティポリシー1251の期間を比較して保守メッセージ通過廃棄判定を行う。尚、保守メッセージ自体に遠隔保守端末からの発信時刻を内蔵させて、アクセス制御部122の時刻に依存しない方法も考えられる。   As described above, the security policy 1251 is set, and the access control unit 122 checks the maintenance message according to the generated security policy 1251 and determines whether the message is passed or discarded. Although there is no time information in the message, the current message held by the access control unit 122 and the period of the security policy 1251 are compared to determine whether to pass the maintenance message. It is also possible to consider a method in which the transmission time from the remote maintenance terminal is built in the maintenance message itself and does not depend on the time of the access control unit 122.

実施の形態4.
図12はこの発明の実施の形態4の遠隔保守アクセス制御システムの構成を示すブロック図である。定期検査以外に遠隔保守が必要となるのは、分散制御システム123に障害が発生した場合である。上記実施の形態3では、保守スケジュールにセキュリティポリシーが連動するが、保守スケジュール変更とセキュリティポリシーの再設定確認は管理者作業となっていた。ここでは、分散制御システム123に故障が発生した場合の事後保守についての遠隔保守計画を用意しておくことで、故障発生に連動して該当デバイスの遠隔保守のみを許可するセキュリティポリシー1251を適用することができる。 Embodiment 4 FIG.
FIG. 12 is a block diagram showing the configuration of the remote maintenance access control system according to the fourth embodiment of the present invention. Remote maintenance is required in addition to the periodic inspection when a failure occurs in the distributed control system 123. In the third embodiment, the security policy is linked to the maintenance schedule. However, the maintenance schedule change and the security policy resetting confirmation are administrator tasks. Here, by preparing a remote maintenance plan for post-maintenance when a failure occurs in the distributed control system 123, a security policy 1251 that permits only remote maintenance of the corresponding device in conjunction with the occurrence of the failure is applied. be able to.

図12に示すように、エンジニアリングサーバ124の事後保守スケジュール1245を用意しておく。その構成は保守スケジュールと同様であるが、期間の開始は無意であり、完了は開始からの日数および経過時間となる。分散制御システム123において故障が発生した場合、分散制御システム123のコントローラ(故障を検知する検知部として機能する)がエンジニアリングサーバに故障通知1231する。故障通知1231には、故障発生箇所を特定できるようにコントローラIDまたはデバイスIDが含まれているので、エンジニアリングサーバ124は該当コントローラに関する事後保守スケジュール1245の期間の開始を現在時刻、完了を現在時刻から指定の日時経過後に設定する。   As shown in FIG. 12, a post-maintenance schedule 1245 of the engineering server 124 is prepared. The configuration is the same as the maintenance schedule, but the start of the period is insignificant, and the completion is the number of days and the elapsed time from the start. When a failure occurs in the distributed control system 123, the controller of the distributed control system 123 (functioning as a detection unit that detects the failure) notifies the engineering server of a failure 1231. Since the failure notification 1231 includes a controller ID or device ID so that the location where the failure has occurred can be specified, the engineering server 124 sets the start of the post-maintenance schedule 1245 related to the controller at the current time and the completion from the current time. Set after the specified date and time.

エンジニアリングサーバ124は事後保守スケジュール1245の内容をセキュリティポリシーサーバ125に通知し、セキュリティポリシーサーバ125はセキュリティポリシー1251を変更する。このとき、管理者への詳細設定ダイアログ1254の表示と設定確認を行う必要はないが、必要に応じて管理者により設定確認を行っても良い。アクセス制御部122は、事後保守スケジュール1245を反映したセキュリティポリシー1251により、故障箇所の遠隔保守を許可する。   The engineering server 124 notifies the content of the post-maintenance schedule 1245 to the security policy server 125, and the security policy server 125 changes the security policy 1251. At this time, it is not necessary to display the detailed setting dialog 1254 for the administrator and confirm the setting, but the administrator may confirm the setting as necessary. The access control unit 122 permits remote maintenance of the failure location by the security policy 1251 reflecting the subsequent maintenance schedule 1245.

上記のように構成された実施の形態4の遠隔保守アクセス制御システムは、上記各実施の形態と同様の効果を奏するのはもちろんのこと、分散制御システムに故障検出された場合に、故障に連動して故障箇所の遠隔保守が可能なようにセキュリティポリシーを自動変更できる。   The remote maintenance access control system of the fourth embodiment configured as described above has the same effects as those of the above-described embodiments, and is linked to a failure when a failure is detected in the distributed control system. Thus, the security policy can be automatically changed so that the remote maintenance of the failure location is possible.

実施の形態5.
図13はこの発明の実施の形態5の遠隔保守アクセス制御システムの構成を示すブロック図である。この実施の形態5では上記実施の形態4のように事後保守スケジュールをエンジニアリングサーバ124に持たず、コントローラが故障通知1231を行うセキュリティポリシサーバ125は事後保守設定部1255を備え、この事後保守設定部1255が故障通知1231を受信し、セキュリティポリシー1251における故障デバイスについての保守期間を現在時刻から規定の日時(数時間から数日以内)に設定する。このように構成しても上記実施の形態4と同様の効果を奏することができる。 Embodiment 5 FIG.
FIG. 13 is a block diagram showing the configuration of the remote maintenance access control system according to the fifth embodiment of the present invention. In the fifth embodiment, unlike the fourth embodiment, the engineering server 124 does not have a post-maintenance schedule, and the security policy server 125 in which the controller issues a failure notification 1231 includes the post-maintenance setting unit 1255. 1255 receives the failure notification 1231 and sets the maintenance period for the failed device in the security policy 1251 from the current time to a specified date and time (within several hours to several days). Even if comprised in this way, there can exist an effect similar to the said Embodiment 4. FIG.

実施の形態6.
図14はこの発明の実施の形態6の遠隔保守アクセス制御システムと保守端末との構成を示すブロック図である。上記各実施の形態においては、エンジニアリングサーバ124とセキュリティポリシーサーバ125は別々の構成にて形成し連動する例を示したがこれに限られることはなく、エンジニアリングサーバおよびセキュリティポリシーサーバの両者の機能を有するひとつのセキュリティエンジニアリングサーバ126として構成することも可能であり上記各実施の形態と同様の効果を奏することができる。 Embodiment 6 FIG.
FIG. 14 is a block diagram showing the configuration of the remote maintenance access control system and maintenance terminal according to the sixth embodiment of the present invention. In each of the embodiments described above, the engineering server 124 and the security policy server 125 are formed in different configurations and interlocked. However, the present invention is not limited to this, and the functions of both the engineering server and the security policy server are provided. It can also be configured as a single security engineering server 126 having the same effects as the above-described embodiments.

実施の形態7.
上記各実施の形態では、セキュリティポリシーサーバ125が備える標準セキュリティポリシー152をメーカ名とコマンドとで構成されるとしたが、標準セキュリティポリシー1252をデバイス種別とコマンドとで構成し、エンジニアリングサーバ124が備えるデバイス構成管理テーブル1241にデバイス種別が追加された構成であっても良い。例えば、図15に示すように、デバイス構成管理テーブル::<デバイスID、メーカ名、型番、コントローラID、デバイスアドレス、デバイス種別>等の6つの要素から構成されている。また、図16に示すように、標準セキュリティポリシー::<デバイス種別、コマンド>等の2つの要素から構成されている。デバイス種別とは、バルブや流量計等のデバイスの種類が定義されているものである。 Embodiment 7 FIG.
In each of the above-described embodiments, the standard security policy 152 included in the security policy server 125 is configured with a manufacturer name and a command. However, the standard security policy 1252 is configured with a device type and a command, and the engineering server 124 includes A configuration in which a device type is added to the device configuration management table 1241 may be used. For example, as shown in FIG. 15, the device configuration management table is composed of six elements such as: <device ID, manufacturer name, model number, controller ID, device address, device type>. Also, as shown in FIG. 16, it is composed of two elements such as standard security policy :: <device type, command>. The device type is a device type such as a valve or a flow meter that is defined.

セキュリティポリシーサーバ125は、デバイス構成管理テーブル1241のデバイス種別をキーとして、標準セキュリティポリシー1252からコマンドを選択して、ユーザ定義情報1253のユーザIDに展開して、セキュリティポリシー1251を自動生成する。そして、図7に示すように、ユーザIDごとにセキュリティポリシー::<ユーザID、デバイスID、コマンド>等の3つの要素から構成され生成される。このようにセキュリティポリシー1251を生成しても上記各実施の形態と同様の効果を奏することができる。   The security policy server 125 selects a command from the standard security policy 1252 using the device type of the device configuration management table 1241 as a key, expands it to the user ID of the user definition information 1253, and automatically generates the security policy 1251. Then, as shown in FIG. 7, each user ID is composed and generated from three elements such as security policy :: <user ID, device ID, command>. Thus, even if the security policy 1251 is generated, the same effects as those of the above embodiments can be obtained.

この発明の実施の形態1の遠隔保守アクセス制御システムと保守端末との構成を示すブロック図である。It is a block diagram which shows the structure of the remote maintenance access control system and maintenance terminal of Embodiment 1 of this invention. 図1に示した遠隔保守アクセス制御システムの構成を示すブロック図である。It is a block diagram which shows the structure of the remote maintenance access control system shown in FIG. この発明の実施の形態1の遠隔保守アクセス制御システムのデバイス構成管理テーブルを示す図である。It is a figure which shows the device configuration management table of the remote maintenance access control system of Embodiment 1 of this invention. この発明の実施の形態1の遠隔保守アクセス制御システムの保守メッセージを示す図である。It is a figure which shows the maintenance message of the remote maintenance access control system of Embodiment 1 of this invention. この発明の実施の形態1の遠隔保守アクセス制御システムの標準セキュリィティポリシを示す図である。It is a figure which shows the standard security policy of the remote maintenance access control system of Embodiment 1 of this invention. この発明の実施の形態1の遠隔保守アクセス制御システムのユーザ定義情報を示す図である。It is a figure which shows the user definition information of the remote maintenance access control system of Embodiment 1 of this invention. この発明の実施の形態1の遠隔保守アクセス制御システムのセキュリティポリシーを示す図である。It is a figure which shows the security policy of the remote maintenance access control system of Embodiment 1 of this invention. この発明の実施の形態2の遠隔保守アクセス制御システムの構成を示すブロック図である。It is a block diagram which shows the structure of the remote maintenance access control system of Embodiment 2 of this invention. この発明の実施の形態3の遠隔保守アクセス制御システムの構成を示すブロック図である。It is a block diagram which shows the structure of the remote maintenance access control system of Embodiment 3 of this invention. この発明の実施の形態3の遠隔保守アクセス制御システムの保守スケジュールを示す図である。It is a figure which shows the maintenance schedule of the remote maintenance access control system of Embodiment 3 of this invention. この発明の実施の形態3の遠隔保守アクセス制御システムのセキュリィティポリシを示す図である。It is a figure which shows the security policy of the remote maintenance access control system of Embodiment 3 of this invention. この発明の実施の形態4の遠隔保守アクセス制御システムの構成を示すブロック図である。It is a block diagram which shows the structure of the remote maintenance access control system of Embodiment 4 of this invention. この発明の実施の形態5の遠隔保守アクセス制御システムの構成を示すブロック図である。It is a block diagram which shows the structure of the remote maintenance access control system of Embodiment 5 of this invention. この発明の実施の形態6の遠隔保守アクセス制御システムと保守端末との構成を示すブロック図である。It is a block diagram which shows the structure of the remote maintenance access control system and maintenance terminal of Embodiment 6 of this invention. この発明の実施の形態7の遠隔保守アクセス制御システムのデバイス構成管理テーブルを示す図である。It is a figure which shows the device configuration management table of the remote maintenance access control system of Embodiment 7 of this invention. この発明の実施の形態7の遠隔保守アクセス制御システムのセキュリティポリシーを示す図である。It is a figure which shows the security policy of the remote maintenance access control system of Embodiment 7 of this invention.

符号の説明Explanation of symbols

100 ネットワーク、110 遠隔保守サイト、
111 保守サイトイントラネット、112 アクセスルータ、113 保守端末、
120 工場、121 プラントイントラネット、122 アクセス制御部、
123 分散制御システム、124 エンジニアリングサーバ、
125 セキュリティポリシーサーバ、126 セキュリティエンジニアリングサーバ、1221 メッセージ検査部、1231 故障通知、
1241 デバイス構成管理テーブル、1242 監視部、
1243 保守スケジュール、1244 保守スケジュール監視部、
1245 事後保守スケジュール、1251 セキュリティポリシー、
1252 標準セキュリティポリシー、1253 ユーザ定義情報、
1254 詳細設定ダイアログ、1255 事後保守設定部。 100 network, 110 remote maintenance site,
111 maintenance site intranet, 112 access router, 113 maintenance terminal,
120 factories, 121 plant intranets, 122 access control units,
123 distributed control system, 124 engineering server,
125 security policy server, 126 security engineering server, 1221 message inspection unit, 1231 failure notification,
1241 device configuration management table, 1242 monitoring unit,
1243 Maintenance schedule, 1244 Maintenance schedule monitoring unit,
1245 Ex-post maintenance schedule, 1251 security policy,
1252 Standard security policy, 1253 user-defined information,
1254 Detailed setting dialog, 1255 Post maintenance setting part.

Claims (6)

ネットワークに接続された保守端末と分散制御システムの間で上記ネットワークを介して通信する保守メッセージの分散制御システムに転送可否を判断および通信制御する遠隔保守アクセス制御システムにおいて、上記分散制御システムのデバイスおよびデータの構成を把握することができるデバイス構成管理テーブルを保持するエンジニアリングサーバと、上記デバイス構成管理テーブルに基づいて上記分散制御システムに転送許可する保守メッセージに関する条件組合せであるセキュリティポリシーを生成して保持するセキュリティポリシーサーバと、上記保守端末から上記分散制御システムへの上記保守メッセージを受信し上記セキュリティポリシーと照合して許可された保守メッセージだけを上記分散制御システムに通過するアクセス制御部とを備えたことを特徴とする遠隔保守アクセス制御システム。 In a remote maintenance access control system for determining whether to transfer a maintenance message to a distributed control system communicating between the maintenance terminal connected to the network and the distributed control system via the network, and controlling the communication, a device of the distributed control system and Generates and holds a security policy that is a combination of conditions related to maintenance messages that are permitted to be transferred to the distributed control system based on the above-mentioned device configuration management table and an engineering server that holds a device configuration management table that can grasp the data configuration The security policy server that receives the maintenance message from the maintenance terminal to the distributed control system, and passes only the maintenance message that is permitted by collating with the security policy to the distributed control system. Remote maintenance access control system characterized by comprising a control unit. 上記エンジニアリングサーバは、上記デバイス構成管理テーブルにメーカ名要素を備え、上記セキュリティポリシーサーバは、メーカ名と許可される保守命令とにて設定された標準セキュリティポリシーと、保守操作を行うユーザとメーカ名とにて設定されたユーザ定義情報とを備え、上記メーカ名をキーとして上記セキュリティポリシーを生成することを特徴とする請求項1に記載の遠隔保守アクセス制御システム。 The engineering server includes a manufacturer name element in the device configuration management table, and the security policy server includes a standard security policy set by the manufacturer name and permitted maintenance commands, a user performing the maintenance operation, and a manufacturer name. The remote maintenance access control system according to claim 1, wherein the security policy is generated using the manufacturer name as a key. 上記エンジニアリングサーバが有する上記デバイス構成管理テーブルに構成する要素としてデバイス種別を追加し、上記セキュリティポリシーサーバは、上記デバイス種別と許可される保守命令とにて設定された標準セキュリティポリシーと、保守操作を行うユーザとメーカ名とにて設定されたユーザ定義情報とを備え、上記デバイス種別をキーとして上記セキュリティポリシーを生成することを特徴とする請求項1に記載の遠隔保守アクセス制御システム。 A device type is added as an element to be configured in the device configuration management table of the engineering server, and the security policy server performs a standard security policy set by the device type and a permitted maintenance instruction, and a maintenance operation. 2. The remote maintenance access control system according to claim 1, further comprising: user definition information set by a user to be performed and a manufacturer name, and generating the security policy using the device type as a key. 上記エンジニアリングサーバは、上記デバイス構成管理テーブルにおけるデバイス構成の変更/追加を監視する監視部を備え、上記監視部は上記デバイス構成の変更/追加を検出すると上記セキュリティポリシーサーバに上記デバイス構成の変更/追加が生じたことを通知し、上記セキュリティポリシーサーバは上記デバイス構成の変更/追加に対応する上記セキュリティポリシーの再生成/生成することを特徴とする請求項1ないし請求項3のいずれかに記載の遠隔保守アクセス制御システム。 The engineering server includes a monitoring unit that monitors a change / addition of a device configuration in the device configuration management table, and the monitoring unit detects the change / addition of the device configuration to the security policy server when detecting the change / addition of the device configuration. 4. The notification according to claim 1, wherein the security policy server regenerates / generates the security policy corresponding to the change / addition of the device configuration. Remote maintenance access control system. 上記分散制御システムの保守スケジュールを保持し、上記セキュリティポリシーサーバは上記保守スケジュールに対応するセキュリティポリシーを生成することを特徴とする請求項1ないし請求項4のいずれかに記載の遠隔保守アクセス制御システム。 The remote maintenance access control system according to any one of claims 1 to 4, wherein a maintenance schedule of the distributed control system is held, and the security policy server generates a security policy corresponding to the maintenance schedule. . 上記分散制御システムの故障情報を検知し、上記エンジニアリングサーバは上記検知部の故障情報に関係するセキュリティポリシーを上記故障情報に応じて再生成することを特徴とする請求項1ないし請求項5のいずれかに記載の遠隔保守アクセス制御システム。 The failure information of the distributed control system is detected, and the engineering server regenerates a security policy related to the failure information of the detection unit according to the failure information. The remote maintenance access control system according to the above.
JP2004063724A 2004-03-08 2004-03-08 Remote maintenance access control system Pending JP2005252947A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004063724A JP2005252947A (en) 2004-03-08 2004-03-08 Remote maintenance access control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004063724A JP2005252947A (en) 2004-03-08 2004-03-08 Remote maintenance access control system

Publications (1)

Publication Number Publication Date
JP2005252947A true JP2005252947A (en) 2005-09-15

Family

ID=35032976

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004063724A Pending JP2005252947A (en) 2004-03-08 2004-03-08 Remote maintenance access control system

Country Status (1)

Country Link
JP (1) JP2005252947A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011197807A (en) * 2010-03-17 2011-10-06 Fujitsu Ltd Access control system, policy generation method and access right management server apparatus
JP5702900B1 (en) * 2012-03-02 2015-04-15 コーニンクレッカ フィリップス エヌ ヴェ System and method for access assessment evaluation of building automation and control systems
JP2015133025A (en) * 2014-01-15 2015-07-23 三菱電機株式会社 data management device

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011197807A (en) * 2010-03-17 2011-10-06 Fujitsu Ltd Access control system, policy generation method and access right management server apparatus
JP5702900B1 (en) * 2012-03-02 2015-04-15 コーニンクレッカ フィリップス エヌ ヴェ System and method for access assessment evaluation of building automation and control systems
JP2015516610A (en) * 2012-03-02 2015-06-11 コーニンクレッカ フィリップス エヌ ヴェ System and method for access assessment evaluation of building automation and control systems
JP2015133025A (en) * 2014-01-15 2015-07-23 三菱電機株式会社 data management device

Similar Documents

Publication Publication Date Title
US11774925B2 (en) Building management system with device twinning, communication connection validation, and block chain
CN107026894B (en) Apparatus and method for automatic notification through industrial asset delivery
US9874869B2 (en) Information controller, information control system, and information control method
US10601634B2 (en) Cloud service control device having an information transferor configured to limit the transfer of service information, a cloud service control system having a cloud service control device, a related cloud service control method, and a related storage medium
JP6167971B2 (en) Remote management system
US10073429B2 (en) Method, computation apparatus, user unit and system for parameterizing an electrical device
JP2004232629A (en) System and method for displaying monitoring system data at real time
US10985986B2 (en) Systems and methods for interconnecting OT and IT networks within a building automation system
US20240045972A1 (en) Building management system with cyber health dashboard
WO2020166329A1 (en) Control system
JP5842947B2 (en) Remote management system
RU2742258C1 (en) System and method of checking system requirements of cyber-physical systems
JP2005252947A (en) Remote maintenance access control system
JP5915685B2 (en) Equipment management system
WO2020184186A1 (en) Control device and control system
JP2005293549A (en) Remote monitoring device of equipment and equipment monitoring system
CN111670416A (en) Alarm management system (ALMS) KPI integrated with plant information system
TWI497287B (en) Monitoring Method and Design Method of Joint Information System
TWI401626B (en) System and method for alarming through email
TW202403573A (en) Building equipment access management system with dynamic access code generation to unlock equipment control panels
JP2023045180A (en) Control cloud server
JP2004157899A (en) Maintenance management method for equipment
JP2018055450A (en) Malfunction detection device
JP2015082308A (en) Processing request management apparatus and processing request management method
JP2007065768A (en) Building remote management device