JP2017191958A - 冗長管理システム、冗長切り替え方法、および冗長切り替えプログラム - Google Patents
冗長管理システム、冗長切り替え方法、および冗長切り替えプログラム Download PDFInfo
- Publication number
- JP2017191958A JP2017191958A JP2016078567A JP2016078567A JP2017191958A JP 2017191958 A JP2017191958 A JP 2017191958A JP 2016078567 A JP2016078567 A JP 2016078567A JP 2016078567 A JP2016078567 A JP 2016078567A JP 2017191958 A JP2017191958 A JP 2017191958A
- Authority
- JP
- Japan
- Prior art keywords
- control
- control terminal
- management control
- management
- setting information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【課題】制御システムにおける外部からの進入や攻撃によって影響が与えられた状態を戻しながら制御を継続する。【解決手段】冗長構成の管理制御端末が、センサから取得される計測結果を示す計測結果情報に基づき、制御対象に対する制御に設定する制御設定情報を生成し、論理制御装置が、制御設定情報に基づいて制御対象を制御する。セキュリティゲートウェイは、管理制御端末が送受信する信号から計測結果情報および制御設定情報を取り出す。セキュリティサーバは、取り出された計測結果情報および制御設定情報を蓄積し、計測結果情報および制御設定情報に基づいて、稼働系の管理制御端末に関連する異常を検知し、稼働系の管理制御端末の異常な動作が始まった時点である異常動作開始時点を特定し、異常動作開始時点以前の制御設定情報を用いて制御対象の制御を引き継ぐように、稼働系の管理制御端末と待機系の管理制御端末の切り替えを実施する。【選択図】図1
Description
本発明は、制御システムに適用されるセキュリティ対策に関する。
近年、モノのインターネットと呼ばれるIoT(Internet of Things)技術を活用する動きが広まっている。例えば、重要インフラや産業制御システム(ICS: Industrial Control System)において制御対象であるフィールド機器(モータ、ポンプ、発電機)などを制御するのにIoT技術が利用できる。また、フィールド機器に設置されて周囲の状況を観測するセンサーにより計測されるデータをネットワーク経由で取得することにより、稼働中の機器あるいはシステムの監視、保守、および運用を効率化できる。
これまで一般に制御システムは独立したネットワークと専用のコントローラで構成されていた。しかし、IoTの活用に伴って制御システムのオープン化が進んでいる。例えば、制御システムを企業内のネットワークに接続した構成が採用される始めている。その場合、通信プロトコルとしては、インターネットあるいはイントラネットで利用されているTCP/IPが利用されている。また、制御システムにおいて、制御、監視、および管理にコントローラとして利用されるコンピュータに、一般的な情報処理システムで用いられているような汎用のオペレーティングシステムが採用され始めている。
また、そのため、重要インフラや産業制御システムにおいて、セキュリティ上あらたな問題事例が起き、脆弱性が指摘されている。例えば、外部から持ち込まれた可搬型のストレージからコンピュータウィルスが制御システムに不正侵入するという事例が起きている。また、外部から持ち込まれたノートパソコンから制御システムに対して悪意のある攻撃が行われるという事例が発生している。
上述のような制御システムの脆弱性に対する対策が求められている。例えば、制御システムへの侵入あるいは制御システムに対する攻撃などが発生した場合、システムに発生した異常あるいはシステムに対する攻撃を迅速に検知し、セキュリティ上の対策を実行することが求められる。
特許文献1には、制御システムにおいてセキュリティ上の異常を検出した場合の処理に関する技術が開示されている。特許文型1に記載の技術は、産業制御システムが外部から悪意のある攻撃を受けた場合に、ネットワーク上で該当システムを外部のシステムから切り離すというものである。
また、非特許文献1には、情報処理システムにおいてネットワークとの境界部分に設置され、外部ネットワークから内部ネットワークへの侵入あるいは攻撃を検知してトラヒックを遮断する機能を持ったIDS/IPS(Intrusion Detection/Prevention System)について述べられている。
日経NETWORK2013年02月号、日経BP社、2013年1月28日発行、「ネットワークセキュリティ」(076p)
一般の情報処理システムにおけるセキュリティの分野では、機密性(Confidentiality)、一貫性、および可用性が重視される。機密性は、情報へのアクセスを許可された人だけに限定することである。一貫性は、情報が改竄されていないことを保障することである。可用性は、必要な時点で情報にアクセスできることを保証することである。特に、個人情報が外部に漏洩したり、企業活動の技術情報や営業上などが漏洩したりすると大きな被害が生じるため、機密性の保持が最も重要視される。
一方、産業制御システムのセキュリティでは、一般的な情報処理システムとは異なる点も重視される。具体的には、制御対象となっているフィールド機器の安全性の確保が非常に重視される。
これは、産業制御システムには、モータ、油圧装置、エンジンなどの駆動装置、高温あるいは高圧になる設備など、制御対象となるフィールド機器が暴走したり、停止したりしたときの影響が大きいからである。駆動装置は例えば制御対象のモノを動かすアクチュエータである。高温で高圧となる設備の例として圧延プラントがある。このような設備に事故が発生したり、設備が破壊されたりすると大きな被害を生じさせる可能性がある。そのため、例えば、ウィルス感染や外部からの悪意のある攻撃などがあった場合に異常を検出し、制御対象となっているフィールド機器を安全に停止させたり、フィールド機器の処理を安全に継続させたりすることが要求される。
また、産業制御システムにおいて、ウィルス感染で乗っ取られた管理制御端末が、アクチュエータに対して不正なコマンドや不正な設定値を送り、システムを暴走させる可能性がある。そのため、例えば、ウィルスにより乗っ取られた管理制御端末からの指令を遮断し、代替となるマシンを立ち上げて処理を継続させることが求められる。
さらに、乗っ取られた管理制御端末を切り離しても、切り離す前に管理制御端末が不正なコマンド、不正な設定値、不正な制御目標値が制御システムに設定されてしまっている場合も想定される。そのため、例えば、乗っ取られた管理制御端末に代わって制御を行う新たな管理制御端末が、その不正な制御目標値や設定値を引き継ぎ、異常な状態を解消できなくなる可能性がある。
しかしながら、特許文献1および非特許文献1を含む従来の技術においては、制御システムにおける外部からの進入や攻撃によって影響が与えられた状態を戻しながら制御を継続することについて考慮されてこなかった。
本発明の目的は、制御システムにおける外部からの進入や攻撃によって影響が与えられた状態を戻しながら制御を継続する技術を提供することである。
上記目的を達成するために、本発明による冗長管理システムは、稼働系と待機系による冗長構成の管理制御端末により、センサから取得される計測結果を示す計測結果情報に基づき、前記制御対象に対する制御に設定する制御設定情報を生成し、論理制御装置が、前記制御設定情報に基づいて前記制御対象を制御する制御システムにおいて前記管理制御端末の切り替えを行う冗長管理システムであって、前記管理制御端末が送受信する信号から前記計測結果情報および前記制御設定情報を取り出すセキュリティゲートウェイと、取り出された前記計測結果情報および前記制御設定情報を蓄積するとともに、前記計測結果情報および前記制御設定情報に基づいて、前記稼働系の管理制御端末に関連する異常を検知し、前記稼働系の管理制御端末の異常な動作が始まった時点である異常動作開始時点を特定し、前記異常動作開始時点以前の制御設定情報を用いて前記制御対象の制御を引き継ぐように、前記稼働系の管理制御端末と前記待機系の管理制御端末の切り替えを実施するセキュリティサーバと、を有する。
本発明によれば、稼働系の管理制御端末の制御に起因する異常により管理制御端末を稼働系から待機系に切り替えるとき、それまでに蓄積した過去の情報に基づいて、異常動作が始まる前の正常な状態に戻しつつ制御を継続させることが可能となる。
本発明の実施形態について図面を参照して詳細に説明する。
図1は、本実施形態による産業制御システム109の全体構成を示すブロック図である。
産業制御システム109は、さまざまな計測ポイントに配置された各種フィールドセンサ102で計測される値に基づいて各種フィールド機器101を制御するシステムである。
フィールド機器101は、産業制御システム109における制御対象となるフィールド機器であり、例えば、タンクに水をくみ上げるポンプ、それを駆動するモータ、モータに電力を供給する発電機等である。
フィールドセンサ102は、フィールド機器101およびその周囲の環境や状況を計測するフィールドセンサであり、例えば、発電機の回転数、温度、加速度、ポンプでくみ上げられたタンク内の水位、モータに供給される電流、電圧等を計測する。
論理制御装置(PLC:Programmable Logic Controller)103は、フィールドネットワーク110を介してフィールド機器101およびフィールドセンサ102と接続され、フィールドセンサ102で計測された値を含むセンサデータと、制御ネットワーク105を介して管理制御端末(SCADA:Supervisory Control And Data Acquisition)106から設定された制御設定値に基づいて、フィールド機器101に対する制御プロセスを実行する論理制御装置である。
フィールドネットワーク110は、フィールド機器101およびフィールドセンサ102と論理制御装置103を有線あるいは無線で接続するネットワークある。論理制御装置103からフィールド機器101への制御データ、フィールドセンサ102から論理制御装置103へのセンサデータがフィールドネットワーク110上を伝送される。
制御ネットワーク105は、論理制御装置103、稼働系の管理制御端末106、待機系の管理制御端末107、Sercure IoTゲートウェイ104、およびSercure IoTサーバ108を相互に接続するネットワークである。
制御ネットワーク105は、管理制御端末106から論理制御装置103へ通知される制御設定値を含むパケットを中継したり、フィールドセンサ102から取得したフィールド機器101に関連する計測結果データを論理制御装置103から稼働系の管理制御端末106へ通知するパケットを中継したりする。
制御ネットワーク105は、管理制御端末106から論理制御装置103へ通知される制御設定値を含むパケットを中継したり、フィールドセンサ102から取得したフィールド機器101に関連する計測結果データを論理制御装置103から稼働系の管理制御端末106へ通知するパケットを中継したりする。
管理制御端末106、107は、論理制御装置103を介してフィールドセンサ102からの計測結果データを取得し、更に、論理制御装置103から、論理制御装置103がフィールド機器101に対して実行している制御プロセスの状態を示す制御状態データを取得し、計測結果データおよび制御状態データを操作員に対して画面表示する。操作員は、その画面表示を見て、論理制御装置103に設定する制御設定値を決定することができる。管理制御端末106は、操作員が入力した制御設定値を論理制御装置103に通知し、制御設定値に基づく制御プロセスの実行を指示する。
ここでは現在、管理制御端末106が稼働系であり、管理制御端末107が待機系であるとする。したがって、管理制御端末106、107の機能として上記に述べた処理は稼働系の管理制御端末106が実行している。待機系の管理制御端末107は、稼働系の管理制御端末106に障害が発生したとき、また稼働系の管理制御端末106にセキュリティ上の異常が発生したとき、稼動系の管理制御端末106に代わって上記処理を引き継いで実行する。
Secure IoTゲートウェイ104は、論理制御装置103と管理制御端末106の間の通信を中継する。Secure IoTゲートウェイ104は、管理制御端末106が論理制御装置103に設定する制御設定値が含まれるパケットを中継する際、その制御設定値の情報を取得し、時系列的に蓄積する。また、Secure IoTゲートウェイ104は、フィールドセンサ102から管理制御端末106に通知される計測結果データのパケットを、論理制御装置103と管理制御端末106の間で中継する際、その計測結果データを取得し、時系列的に蓄積する。更に、Secure IoTゲートウェイ104は、制御ネットワーク105上で論理制御装置103と管理制御端末106が送受信するパケットの所定の統計値を算出し、統計情報を時系列的に蓄積する。ここで算出する統計値は例えば単位時間当りのパケット数である。
更に、Secure IoTゲートウェイ104は、蓄積した論理制御装置103への制御設定値の時系列データと、蓄積したフィールドセンサ102による計測結果の時系列データと、制御ネットワーク105内を流れるパケットの統計情報の時系列データを、Secure IoTサーバ108に送信する。
更に、Secure IoTゲートウェイ104は、Secure IoTサーバ108から通知される、稼働系の管理制御端末106の異常状態を検出する条件を含む検出用データを用いて、稼働系の管理制御端末106の状態を監視する。この検出用データは、Secure IoTサーバ108が、論理制御装置103に設定された制御設定値の時系列データと、計測結果の時系列データと、パケットの統計情報とを分析して得られたものである。Secure IoTゲートウェイ104は、異常状態を検出すると、Secure IoTサーバ108に通知する。ここでいう異常状態は、一例として、管理制御端末106の乗っ取り、などのセキュリティ上の異常状態である。
また、Secure IoTゲートウェイ104は、Secure IoTサーバ108から稼働系の管理制御端末106と待機系の管理制御端末107の切り替えを指示されると、稼働系の管理制御端末106から論理制御装置103へのパケットを破棄し、待機系の管理制御端末107から論理制御装置103へのパケットを通過させるようにすることにより、管理制御端末106、107の稼働系と待機系を切り替える。
Secure IoTサーバ108は、制御ネットワーク105を介してSecure IoTゲートウェイ104に接続され、IoTゲートウェイ104で記憶されている各種の時系列の情報を取得する。ここで取得される情報は、管理制御端末106から論理制御装置103に設定される制御設定値の時系列の情報と、フィールドセンサ102から取得したフィールド機器101やその周囲の環境あるいは状況に関するフィールドセンサ102で計測された計測結果の時系列の情報と、制御ネットワーク105内を流れるパケットの統計情報の時系列の情報とを含む。
更に、Secure IoTサーバ108は、取得した各種時系列の情報に基づき異常状態を検出するための検出用データを算出し、Secure IoTゲートウェイ104に通知する。
Secure IoTサーバ108は、更にSecure IoTゲートウェイ104から制御ネットワーク105内で、管理制御端末106の乗っ取りなどのセキュリティ上の異常を通知された場合には、乗っ取られた管理制御端末106から送信されたパケットを破棄するようにSecure IoTゲートウェイ104に指示する。さらに、Secure IoTサーバ108は、論理制御装置103に設定された制御設定値の時系列情報と、時系列的に記憶されているフィールドセンサ102による計測結果データと、時系列的に記憶された制御ネットワーク105内を流れるパケットの統計情報とに基づいて、乗っ取りあるいは攻撃が開始された時点(異常動作開始時点)を推定する。そして、Secure IoTサーバ108は、その時点以前に送受信された管理制御端末106から論理制御装置103への制御設定値を抽出する。
さらに、Secure IoTサーバ108は、現在の稼働系の管理制御端末106の代替となる待機系の管理制御端末107を起動し、抽出された乗っ取りあるいは攻撃が開始以前の論理制御装置103への制御設定値を通知し、管理制御端末106の処理を継続させる機能を有する。
図2は、Secure IoTゲートウェイ104の論理構成の一例を示すブロック図である。
ネットワークインターフェース201、202は、制御ネットワーク105に接続されており、パケット解析/中継部203が、制御ネットワーク105を通じてSecure IoTサーバ108と通信したり、制御ネットワーク105上での管理制御端末106と論理制御装置103の間の通信を中継したりするためのインタフェースである。
具体的には、管理制御端末106から論理制御装置103への制御設定値が格納されたパケットを中継する。また、フィールドセンサ102から取得したフィールド機器101や周囲の環境・状況のセンサデータが格納されたパケットを論理制御装置103から管理制御端末106に中継する。
また、Secure IoTサーバ108からセンサデータはずれ値DB210、設定値はずれ値DB211、パケット統計はずれ値DB212、アクセスリスト(ホワイトリスト・ブラックリスト)204に格納するデータをSecure IoTサーバ108から受信する。また、パケットデータ記憶部205、フィールドセンサデータ記憶部206、設定値記憶部207に格納されたデータをSecure IoTサーバ108へ送信する。また、Secure IoTゲートウェイ104内部の異常や、Secure IoTゲートウェイ104におけるセキュリティ上の脅威が検出された場合にそれをSecure IoTサーバ108に通知する。
パケット解析/中継部203は、ネットワークインターフェース201、202からパケットを受信し、そのパケットの宛先を含む内容を解析を行い、そのパケットを宛先に中継する。その際、パケット解析/中継部203は、アクセスリスト204に含まれるホワイトリストおよびブラックリストを参照して、受信したパケットを宛先に中継するか、破棄するかを決定する。アクセスリスト204に設定されるホワイトリストおよびブラックリストはSecure IoTサーバ108から通知される。
さらに、パケット解析/中継部203は、管理制御端末106から論理制御装置103へ通知される制御設定値が格納されたパケットを中継するとき、該当パケット中に含まれる制御設定値とパケットの受信時刻を設定値記憶部207に記憶する。また、パケット解析/中継部203は、フィールドセンサ102から取得したフィールド機器101や周囲の環境および状況を計測した計測結果データが格納されたパケットを論理制御装置103から管理制御端末106に中継するとき、計測結果データとパケットの受信時刻をフィールドセンサデータ記憶部206に記録する。
また、パケット解析/中継部203は、パケットの中継を行う場合にパケットの5−tuple(送信元IPアドレス、受信先IPアドレス、プロトコル種別、送信元ポート番号、受信先ポート番号)、送信元MACアドレス、受信先MACアドレスを受信時刻とともに、統計情報としてパケットデータ記憶部205に記憶する。
セキュリティ監視部208は、パケット解析/中継部203が管理制御端末106から論理制御装置103への制御設定値が格納されたパケットを中継する場合、設定値はずれ値DB211を参照して該当パケット中に含まれる制御設定値に異常な値が設定されていないかチェックする。制御設定値に異常が検出された場合、セキュリティ監視部208は、異常が検出された旨を、Secure IoTサーバ108に通知する。
パケット解析/中継部203が、フィールドセンサ102で計測されたフィールド機器101や周囲の環境や状況の計測結果データが格納されたパケットを論理制御装置103から管理制御端末106に中継する場合、セキュリティ監視部208は、フィールドセンサ102による計測結果データを、センサデータはずれ値DBを参照しつつチェックし、フィールド機器101が異常な動作を行っていないか、あるいは周囲の環境に異常が発生していないか判断する。動作や環境に異常があると判断した場合、セキュリティ監視部208は、異常が検出された旨を、Secure IoTサーバ108に通知する。
また、パケット解析/中継部203がパケットを転送する際には、セキュリティ監視部208は、パケット統計はずれ値DB212を参照しつつ、パケットの5−tuple(送信元IPアドレス、受信先IPアドレス、プロトコル種別、送信元ポート番号、受信先ポート番号)、送信元MACアドレス、受信先MACアドレスをチェックし、セキュリティ上の異常となる通信を行っている端末が制御ネットワーク105上に存在しているか否か判断する。異常な通信が行われていると判断すると、セキュリティ監視部208は、異常が検出された旨を、Secure IoTサーバ108に通知する。
さらに、セキュリティ監視部208は、パケットデータ記憶部205、フィールドセンサデータ記憶部206、設定値記憶部207の内容をSecure IoTサーバ108へ送信する。
図3は、Secure IoTサーバ108の論理構成の一例を示すブロック図である。
ネットワークインターフェース301は制御ネットワーク105に接続され、Secure IoTサーバ108による制御ネットワーク105を介した通信を実現するインタフェースである。
パケット処理部302は、ネットワークインターフェース301を介して制御ネットワーク105に接続され、制御ネットワーク105を通してSercure IoTゲートウェイ104と通信する。例えば、Secure IoTゲートウェイ104から送信されたパケットデータ記憶部205の内容を受信し、パケットデータ記憶部311に格納する。また、Secure IoTゲートウェイ104から送信されたフィールドセンサデータ記憶部206の内容を受信し、フィールドセンサデータ記憶部312に格納する。また、Secure IoTゲートウェイ104から送信された設定値記憶部207の内容を受信し、設定値記憶部313に格納する。また、Secure IoTゲートウェイ104から、制御ネットワーク105の装置などの異常やセキュリティ上の脅威が発見された旨の通知を受信する。
統計処理/機械学習処理部310は、パケットデータ記憶部311、フィールドセンサデータ記憶部312、および設定値記憶部313に記録された情報に対して統計処理を行い、統計モデル作成部314に、産業制御システム109に異常あるいは故障が発生していないか、また、セキュリティ上の攻撃を受けていないかなどをチェックするための統計モデルを作成させる。
ここで作成される統計モデルは、Secure IoTゲートウェイ104にて異常あるい何らかの故障が発生していないか、管理制御端末106がセキュリティ上の攻撃を受けていないかを監視するためのはずれ値、正常に動作している装置のリスト、異常が検出された装置のリストなどのデータを含む。具体的には、統計モデルには、管理制御端末106が送信したパケットの統計値のはずれ値を示すパケット統計はずれ値DB315、フィールドセンサ102による計測結果のはずれ値を示すセンサデータはずれ値DB316、管理制御端末106から論理制御装置103へ通知される御設定値のはずれを示す設定値はずれ値DB317、正常に動作している装置のリスト(ホワイトリスト)と異常が検出された装置のリスト(ブラックリスト)を含むアクセスリスト318が作成される。
ここで作成されたパケット統計はずれ値DB315、センサデータはずれ値DB316、設定値はずれ値DB317、アクセスリスト318は、ネットワークインターフェース301およびパケット処理部302を通してSecure IoTゲートウェイ104に通知される。
異常/セキュリティ処理部320は、Secure IoTゲートウェイ104から、管理制御端末106から論理制御装置103へ通知される制御設定値の異常、フィールドセンサ102で計測された計測結果の異常、あるいはセキュリティ上の異常な通信を行っている端末が制御ネットワーク105に存在していることを検出した場合には、それらの異常に対応した処理を実施する。
例えば、管理制御端末106が乗っ取られたことを検出した場合には、異常/セキュリティ処理部320は、待機させていたコンピュータのマシンを管理制御端末107として起動したり、あるいは待機系の管理制御端末107を稼働系に切り替えたりする。
さらに、乗っ取りや攻撃を受けた結果、論理制御装置103へ通知される制御設定値が異常な値になっていることが検知された場合、そのまま管理制御端末106を稼働させるとその異常状態が継続してしまう。このため、異常/セキュリティ処理部320は、パケットデータ記憶部311、フィールドセンサデータ記憶部312、および設定値記憶部313を解析し、異常が発生する前の制御設定値を抽出し、新たに稼働系となる管理制御端末107が制御の運用を開始するときに用いる制御設定値(運用設定値)323として記録する。そして、異常/セキュリティ処理部320は、起動あるいは待機系から稼働系に切り替えられた、新たな稼働系の管理制御端末107に対して、起動直後の制御運用に用いる制御設定値(起動運用設定値)322および運用設定値323を設定し、異常を起こした管理制御端末106の代替として動作させる。
さらに、異常/セキュリティ処理部320は、Secure IoTゲートウェイ104に対して、異常を起こした管理制御端末106をアクセスリスト204のブラックリストに登録するように指示し、異常を起こした管理制御端末106を制御ネットワーク105から切り離す。
図4は、管理制御端末106から論理制御装置103に異常な制御設定値が通知された動作を示すシーケンス図である。
論理制御装置103はフィールドセンサ102から計測結果データ(図中ではセンサデータ)を取得する(401)。論理制御装置103は、その取得した計測結果データを、制御ネットワーク105を通して管理制御端末106に通知する(402)。
Secure IoTゲートウェイ104はパケットを中継する際に、パケットから計測結果データを読み取り、フィールドセンサデータ記憶部206に、受信時刻とともに記録する。
管理制御端末106は、論理制御装置103へ制御設定値(図中では単に設定値)を通知する(403)。Secure IoTゲートウェイ104はパケットを中継する際に、制御設定値を読み取り、設定値記憶部207に、受信時刻とともに記録する。さらに、Secure IoTゲートウェイ104からSecure IoTサーバ108にフィールドセンサデータ記憶部206、設定値記憶部207、およびパケットデータ記憶部205の内容を通知する(404)。
Secure IoTサーバ108は、統計処理/機械学習処理部310により、パケットデータ記憶部311、フィールドセンサデータ記憶部312、および設定値記憶部313の内部のデータを処理して統計モデルを作成し、Secure IoTゲートウェイ104に通知する(405)。ここで統計モデルには、パケット統計はずれ値DB315、センサデータはずれ値DB316、設定はずれ値317、およびアクセスリスト318が含まれ、それらを含む統計モデルがSecure IoTゲートウェイ104に通知される。
本例では、ここで管理制御端末106のセキュリティ上の脆弱性をついて、乗っ取りが発生したとする(406)。そのため管理制御端末106は、論理制御装置103に制御対象のフィールド機器101を破壊するような異常な制御設定値を設定しようとする(407)。その制御設定値を中継しながら、監視しているSecure IoTゲートウェイ104は、Secure IoTサーバ108にフィールドセンサデータ記憶部206、設定値記憶部207、およびパケットデータ記憶部205の内容を通知する(420)。このとき、管理制御端末(106)が乗っ取られているため、制御設定値には異常な値が含まれている。
ここでは、管理制御端末106は、更に、論理制御装置103に制御対象のフィールド機器101を破壊するような異常な制御設定値を設定しようとする(408)。Secure IoTゲートウェイ104はここで、セキュリティ監視部208にて制御設定値が異常であることを検出する(409)。そして、Secure IoTゲートウェイ104は、制御設定値が異常な値となっていること、および制御設定値が異常となった原因となっている管理制御端末106とをSecure IoTサーバ108に通知する(410)。
Secure IoTサーバ108は、乗っ取られて異常な制御設定値を送っている管理制御端末106を制御ネットワーク105から切り離すために、管理制御端末106をブラックリストに追加するようにSecure IoTゲートウェイ104に通知する(411)。それ以後、Secure IoTゲートウェイ104は、ブラックリストに追加された管理制御端末106からのパケットを破棄す(421)。
Secure IoTサーバ108は、乗っ取られている管理制御端末106のバックアップとされているマシンを管理制御端末107として起動する、あるいは、乗っ取られている管理制御端末106に対する待機系の管理制御端末107を稼働系に切り替える(412、413)。
次に、Secure IoTサーバ108は、異常/セキュリティ処理部320により、パケットデータ記憶部311、フィールドセンサデータ記憶部312、および設定値記憶部313に記録されているデータを解析し、管理制御端末106に障害や乗っ取りなどセキュリティ上の異常が発生する前の制御設定値を抽出し、その値を、管理制御端末107の運用における制御設定値として記録すると共に、管理制御端末107に通知する(414)。
新たに稼働系となった管理制御端末107は、通知された制御設定値を基に論理制御装置103に対して制御設定値を設定し、旧稼働系の管理制御端末106に異常が発生する前の状態から制御を継続させる。
図5は、Secure IoTゲートウェイ104の処理アルゴリズムを示すフローチャートである。
Secure IoTゲートウェイ104が処理を開始し(501)、パケットを受信すると(502)、パケット解析/中継部203は、そのパケットが、はずれ値DBの更新要求のパケットであるか否か判定する(503)。はずれ値DBの更新要求のパケットである場合、パケット解析/中継部203は、セキュリティ監視部208を呼び出し、セキュリティ監視部208は、センサデータはずれ値DB210、設定値はずれ値DB211、およびパケット統計はずれ値DB212を更新する処理を行う(504)。
一方、受信したパケットがはずれ値DBの更新要求のパケットでなければ、パケット解析/中継部203は、そのパケットがフィールドセンサ102による計測結果データを通知するパケットであるか否か判定する(505)。フィールドセンサ102による計測結果データを通知するパケットである場合、パケット解析/中継部203は、フィールドセンサ102の計測結果データの値とパケットの受信時刻をフィールドセンサデータ記憶部206に記録する(506)。次に、パケット解析/中継部203は、セキュリティ監視部208を呼び出し、セキュリティ監視部208はパケットに含まれていたフィールドセンサ102による計測結果データに異常がないかチェックする(507)。異常を検出した場合には、セキュリティ監視部208は、Secure IoTサーバ108に異常を通知する(508)。
一方、受信したパケットがフィールドセンサ102による計測結果データを通知するパケットでない場合、パケット解析/中継部203は、受信したパケットが論理制御装置103へ制御設定値を通知するパケットであるか否か判定する(509)。論理制御装置103へ制御設定値を通知するパケットである場合、パケット解析/中継部203は、その制御設定値とパケットの受信時刻とを設定値記憶部207に記録する(510)。次に、パケット解析/中継部203は、セキュリティ監視部208を呼び出し、セキュリティ監視部208は、受信したパケットに含まれていた制御設定値に異常がないかチェックする(511)。異常を検出した場合には、セキュリティ監視部208は、Secure IoTサーバ108に異常を通知する(512)。
ステップ504、ステップ508、またはステップ512の処理の後、あるいはステップ507またはステップ511の判定結果がNOであったとき、パケット解析/中継部203は、パケットの処理として、パケットに含まれたデータを、時系列の統計処理用のデータとしてパケットデータ記憶部205に格納する(513)。続いて、パケット解析/中継部203は、セキュリティ監視部208を呼び出し、セキュリティ監視部208は、
パケット統計はずれ値DB212を参照し、受信したパケットが統計処理において異常なデータを含んでいないかチェックする(514)。異常を検出した場合には、セキュリティ監視部208は、Secure IoTサーバ108に異常を通知する(515)。
パケット統計はずれ値DB212を参照し、受信したパケットが統計処理において異常なデータを含んでいないかチェックする(514)。異常を検出した場合には、セキュリティ監視部208は、Secure IoTサーバ108に異常を通知する(515)。
ステップ514の判定においてNoだった場合、あるいはステップ515の処理の後、セキュリティ監視部208は、パケットデータ記憶部205、フィールドセンサデータ記憶部206、あるいは設定値記憶部207の内容データが、送信するか否か判定するための閾値を超えたか否か判定する(516)。いずれかの記憶部の内容データが閾値を超えていれば、セキュリティ監視部208は、パケットデータ記憶部205、フィールドセンサデータ記憶部206、および設定値記憶部207の内容データを、Secure IoTサーバ108へ送信する(517)。ここで用いる閾値は、例えば、時間、パケットの受信数、各DBの値の変化の大きさなどに対して設定することができる。更に、受信したパケットが転送の必要なパケットであった場合には、パケット解析/中継部203は、そのパケットを次の転送先へ転送する(518)。
図6は、Secure IoTサーバ108の処理アルゴリズムを示すフローチャートである。Secure IoTサーバ108が処理を開始し(601)、パケットを受信すると(602)、パケット処理部302は、受信したパケットがセキュリティ上の異常を通知するパケットであるか否か判定する(603)。
セキュリティ上の異常を通知するパケットであれば、パケット処理部302は、異常/セキュリティ処理部320を呼び出し、異常/セキュリティ処理部320は、まず異常動作を行っている端末を特定する(604)。異常動作を行っている端末が管理制御端末106であると、異常/セキュリティ処理部320は、その管理制御端末106をアクセスリスト318のブラックリストに追加し、Secure IoTゲートウェイ104にブラックリストへの端末の追加を通知する(605)。
更に、異常/セキュリティ処理部320は代替マシン管理部321を呼び出し、代替マシン管理部321は、異常動作を行っている管理制御端末106に代わって動作させるるマシンを管理制御端末107として立ち上げる、あるいは、待機系であった管理制御端末107を稼動系に切り替える(606)。ここでのマシンは仮想インフラ上に設けられた仮想マシンであってもよい。
次に、異常/セキュリティ処理部320は、パケットデータ記憶部311、フィールドセンサデータ記憶部312、および設定値記憶部313のデータを参照して、管理制御端末106によるセキュリティ上の異常動作がいつ発生したかを推定する(607)。
管理制御端末106が乗っ取られた場合、新たに稼働系の管理制御端末107として動作させるマシンに、乗っ取られた制御管理端末が設定した設定設定値を用いさせると、新たな管理制御端末107が乗っ取られた管理制御端末106の異常動作を引き継いでします。それを防止するために、本実施形態では、管理制御端末106が乗っ取られる以前の制御設定値を新たな管理制御端末107に用いさせるためである。
続いて、異常/セキュリティ処理部320は、管理制御端末106の障害あるいは管理制御端末106が乗っ取られる以前の制御設定値を取り出し(608)、管理制御端末106の代替となるマシンに通知してその制御設定値から処理を実行させる(609)。
ステップ603の判定において、受信したパケットがセキュリティ上の異常を通知するパケットでなかったら、パケット処理部302は、次に、受信したパケットが各記憶部の更新を要求するものであったか否か判定する(ステップ610)。受信したパケットが各記憶部の更新を要求するものであった場合、パケット処理部302は、統計処理/機械学習処理部310を呼び出し、統計処理/機械学習処理部310は、呼び出されると、パケットデータ記憶部311、フィールドセンサデータ記憶部312、および設定値記憶部313を更新する(611)。更に、統計処理/機械学習処理部310は、パケットデータ記憶部311およびフィールドセンサデータ記憶部312のデータから、異常動作を行っているフィールド機器101や設定値の異常をSecure IoTゲートウェイ104で検出するために使用する統計モデルを統計モデル作成部314に作成させる(612)。
続いて、パケット処理部302は、統計モデル作成部314に指示して、パケット統計はずれ値DB315、センサデータはずれ値DB316、および設定値はずれ値DB317の内容データを作成し(613)、異常動作をしている管理制御端末106からのパケットをSecure IoTゲートウェイ104で遮断するためのアクセスリスト(318)を作成し(613)、Secure IoTゲートウェイ104に通知する(614)。
図7は、Secure IoTゲートウェイ104の設定値はずれDBの一構成例を示す図である。設定値はずれ値DB211には、転送パケットレート701と、フィールドセンサデータ値702と、制御設定値(図中では単に設定値)703と、フラグ704とが対応づけて記録されている。
図7の例では、レコード705には、転送パケットレート701が10kbpsであり、フィールドセンサ102による計測結果を示すフィールドセンサデータ値702が1000〜2000の範囲にあるとき、制御設定値703が1500〜1600の範囲に設定されていれば、正常な状態であることが示されている。また、レコード706には、転送パケットレート701が10kbpsであり、フィールドセンサ102による計測結果を示すフィールドセンサデータ値702が1000〜2000の範囲にあるとき、制御設定値703が10000以上に設定されていたら、異常な状態であることが示されている。異常な状態というのは、例えばフィールド機器101の故障を招くような制御設定値703が設定されている状態である。
図8は、Secure IoTゲートウェイ104のフィールドセンサデータはずれDBの一構成例を示す図である。転送パケットレート801と、制御設定値(図中では単に設定値)802と、フィールドセンサデータ値803と、フラグ804とが対応づけて記録されている。
図8の例では、レコード805には、転送パケットレート801が10kbpsであり、制御設定値802が1500であるとき、フィールドセンサデータ値803つまりフィールドセンサ102で計測された値が1000〜2000の範囲内であれば、正常な状態であることが示されている。また、レコード806には、転送パケットレート801が10kbpsであり、制御設定値802が10000であるとき、フィールドセンサデータ値803つまりフィールドセンサ102で計測された値が0であれば、異常な状態であることが示されている。例えば、フィールド機器101の故障を招くような値を示してる状態である。
以上説明した本実施形態は以下のように整理することができる。
本実施形態には、稼働系と待機系による冗長構成の管理制御端末106、107により、フィールドセンサ102から取得される計測結果を示す計測結果情報に基づき、制御対象であるフィールド機器101に対する制御に設定する制御設定情報を生成し、論理制御装置103が、制御設定情報に基づいて制御対象を制御する制御システムにおいて管理制御端末106、107の切り替えを行う管理システムが含まれる。セキュリティゲートウェイ(Secure IoTゲートウェイ)104は、管理制御端末106が送受信する信号から計測結果情報および制御設定情報を取り出す。セキュリティサーバ(Sesure IoTサーバ)108は、取り出された計測結果情報および制御設定情報を蓄積するとともに、計測結果情報および制御設定情報に基づいて、稼働系の管理制御端末106に関連する異常を検知し、稼働系の管理制御端末106の異常な動作が始まった時点である異常動作開始時点を特定し、異常動作開始時点以前の制御設定情報を用いて制御対象の制御を引き継ぐように、稼働系の管理制御端末106と待機系の管理制御端末107の切り替えを実施する。
これによれば、稼働系の管理制御端末106の制御に起因する異常により管理制御端末106、107を切り替えるとき、蓄積した過去の情報に基づいて、異常動作が始まる前の正常な状態に戻しつつ制御を継続させることが可能となり、制御システムにおける外部からの侵入や攻撃に対するセキュリティ性を高めることができる。
また、本実施形態では、セキュリティサーバ108は、蓄積した計測結果情報および制御設定情報に基づいて、管理制御端末106を異常と判定するための異常状態検出条件を決定し、セキュリティゲートウェイ104に通知する。セキュリティゲートウェイ104は、その異常状態検出条件に従って管理制御端末106の異常を検知し、セキュリティサーバ108へ通知する。セキュリティサーバ108は、セキュリティゲートウェイ104から稼働系の管理制御端末106の異常が通知されると、稼働系の管理制御端末106と待機系の管理制御端末107を切り替える。これによれば、過去の制御設定情報と計測結果情報から外れ値を算出し、切り替え起動の条件にするので、過去に無いような異常な状態を検出することが容易になる。
また、セキュリティゲートウェイ104は、論理制御装置103と管理制御端末106の通信を中継し、中継において、管理制御端末106から論理制御装置103への制御設定情報を疎通あるいは遮断することが可能である。セキュリティサーバ108は、管理制御端末106、107の稼働系から待機系への切り替えを前記セキュリティゲートウェイに指示する。セキュリティゲートウェイ104は、切り替えの指示を受けると、稼働系の管理制御端末106から論理制御装置103への制御設定情報を疎通し、待機系の管理制御端末107から論理制御装置103への制御設定情報を遮断している状態から、待機系の管理制御端末107から論理制御装置103への制御設定情報を疎通し稼働系の管理制御端末106から論理制御装置103への制御設定情報を遮断する状態へ移行する。これによれば、切替機構を設けなくても稼働系と待機系の切り替えが可能である。
また、セキュリティサーバ108は、稼働系の管理制御端末106から待機系の管理制御端末107への切り替えを実施するとき、異常動作開始時点以前の制御設定情報を、新たに稼働系となる管理制御端末107に通知し、制御設定情報に基づく制御を開始させる。これによれば、稼働系の管理制御端末106の異常動作により切り替えを実施するとき、制御プロセスを異常動作開始時点以前の状態に戻すように制御を開始することができる。
また、セキュリティゲートウェイ104は、更に、管理制御端末106、107が送受信する信号の所定の統計値を算出し、その統計値を含む統計情報を生成してセキュリティサーバ108に通知する。セキュリティサーバ108は、更に、統計情報に基づいて、稼働系の管理制御端末106の異常動作開始時点を特定し、異常動作開始時点以前の制御設定情報に基づいて、制御対象を異常動作開始時点以前の状態に戻して制御を継続するように、稼働系の管理制御端末106と待機系の管理制御端末107の切り替えを実施する。これによれば、管理制御端末106が送受信する信号の異常により管理制御端末106、107を切り替えるとき、異常動作の開始前の正常な状態に戻しつつ制御を継続させることができる。
上述した本発明の実施形態は、本発明の説明のための例示であり、本発明の範囲をそれらの実施形態にのみ限定する趣旨ではない。当業者は、本発明の要旨を逸脱することなしに、他の様々な態様で本発明を実施することができる。
101…フィールド機器、102…フィールドセンサ、103…論理制御装置、104…Secure IoTゲートウェイ、105…制御ネットワーク、106…管理制御端末、107…管理制御端末、108…Secure IoTサーバ、109…産業制御システム、110…フィールドネットワーク、201…ネットワークインターフェース、202…ネットワークインターフェース、203…中継部、204…アクセスリスト、205…パケットデータ記憶部、206…フィールドセンサデータ記憶部、207…設定値記憶部、208…セキュリティ監視部、210…センサデータはずれ値DB、211…設定値はずれ値DB、212…パケット統計はずれ値DB、301…ネットワークインターフェース、302…パケット処理部、310…機械学習処理部、311…パケットデータ記憶部、312…フィールドセンサデータ記憶部、313…設定値記憶部、314…統計モデル作成部、315…パケット統計はずれ値DB、316…センサデータはずれ値DB、317…設定値はずれ値DB、318…アクセスリスト、320…セキュリティ処理部、321…代替マシン管理部、323…運用設定値、701…転送パケットレート、702…フィールドセンサデータ値、703…制御設定値、704…フラグ、705…レコード、706…レコード、801…転送パケットレート、802…制御設定値、803…フィールドセンサデータ値、804…フラグ、805…レコード、806…レコード
Claims (9)
- 稼働系と待機系による冗長構成の管理制御端末により、センサから取得される計測結果を示す計測結果情報に基づき、制御対象に対する制御に設定する制御設定情報を生成し、論理制御装置が、前記制御設定情報に基づいて前記制御対象を制御する制御システムにおいて前記管理制御端末の切り替えを行う冗長管理システムであって、
前記管理制御端末が送受信する信号から前記計測結果情報および前記制御設定情報を取り出すセキュリティゲートウェイと、
取り出された前記計測結果情報および前記制御設定情報を蓄積するとともに、前記計測結果情報および前記制御設定情報に基づいて、前記稼働系の管理制御端末に関連する異常を検知し、前記稼働系の管理制御端末の異常な動作が始まった時点である異常動作開始時点を特定し、前記異常動作開始時点以前の制御設定情報を用いて前記制御対象の制御を引き継ぐように、前記稼働系の管理制御端末と前記待機系の管理制御端末の切り替えを実施するセキュリティサーバと、
を有する冗長管理システム。 - 前記セキュリティサーバは、蓄積した前記計測結果情報および前記制御設定情報に基づいて、前記管理制御端末を異常と判定するための異常状態検出条件を決定し、前記セキュリティゲートウェイに通知し、
前記セキュリティゲートウェイは、前記異常状態検出条件に従って前記管理制御端末の異常を検知し、前記セキュリティサーバへ通知し、
前記セキュリティサーバは、前記セキュリティゲートウェイから前記稼働系の管理制御端末の異常が通知されると、前記稼働系の管理制御端末と前記待機系の管理制御端末を切り替える、請求項1に記載の冗長管理システム。 - 前記セキュリティゲートウェイは、前記論理制御装置と前記管理制御端末の通信を中継し、前記中継において、前記管理制御端末から前記論理制御装置への制御設定情報を疎通あるいは遮断することが可能であり、
前記セキュリティサーバは、前記管理制御端末の稼働系から待機系への切り替えを前記セキュリティゲートウェイに指示し、
前記セキュリティゲートウェイは、前記切り替えの指示を受けると、前記稼働系の管理制御端末から前記論理制御装置への制御設定情報を疎通し前記待機系の管理制御端末から前記論理制御装置への制御設定情報を遮断している状態から、前記待機系の管理制御端末から前記論理制御装置への制御設定情報を疎通し前記稼働系の管理制御端末から前記論理制御装置への制御設定情報を遮断する状態へ移行する、
請求項1に記載の冗長管理システム。 - 前記セキュリティサーバは、前記稼働系の管理制御端末から前記待機系の管理制御端末への切り替えを実施するとき、前記異常動作開始時点以前の制御設定情報を、新たに稼働系となる管理制御端末に通知し、前記制御設定情報に基づく制御を開始させる、請求項3に記載の冗長管理システム。
- 前記セキュリティゲートウェイは、更に、前記管理制御端末が送受信する信号の所定の統計値を算出し、該統計値を含む統計情報を生成して前記セキュリティサーバに通知し、
前記セキュリティサーバは、更に、前記統計情報に基づいて、前記稼働系の管理制御端末の前記異常動作開始時点を特定し、前記異常動作開始時点以前の制御設定情報に基づいて、前記制御対象を前記異常動作開始時点以前の状態に戻して制御を継続するように、前記稼働系の管理制御端末と前記待機系の管理制御端末の切り替えを実施する、
請求項1に記載の冗長管理システム。 - 稼働系と待機系による冗長構成の管理制御端末により、センサから取得される計測結果を示す計測結果情報に基づき、制御対象に対する制御に設定する制御設定情報を生成し、論理制御装置が、前記制御設定情報に基づいて前記制御対象を制御する制御システムにおいて前記管理制御端末の切り替えを行うための冗長切り替え方法であって、
統計処理手段が、前記計測結果情報および前記制御設定情報を蓄積し、
異常処理手段が、前記計測結果情報および前記制御設定情報に基づいて、前記稼働系の管理制御端末に関連する異常を検知し、
前記異常処理手段が、前記計測結果情報および前記制御設定情報に基づいて、前記稼働系の管理制御端末の異常な動作が始まった時点である異常動作開始時点を特定し、
前記異常処理手段が、前記異常動作開始時点以前の制御設定情報を用いて前記制御対象の制御を引き継ぐように、前記稼働系の管理制御端末と前記待機系の管理制御端末の切り替えを実施する、
を有する冗長切り替え方法。 - パケット処理手段は、蓄積した前記計測結果情報および前記制御設定情報に基づいて、前記管理制御端末を異常と判定するための異常状態検出条件を決定し、
前記異常処理手段は、前記異常状態検出条件に従って前記管理制御端末の異常が検知されると、前記稼働系の管理制御端末と前記待機系の管理制御端末を切り替える、請求項6に記載の冗長切り替え方法。 - 稼働系と待機系による冗長構成の管理制御端末により、センサから取得される計測結果を示す計測結果情報に基づき、制御対象に対する制御に設定する制御設定情報を生成し、論理制御装置が、前記制御設定情報に基づいて前記制御対象を制御する制御システムにおいて、コンピュータに前記管理制御端末の切り替えを実行させるための冗長切り替えプログラムであって、
コンピュータを、
前記計測結果情報および前記制御設定情報を蓄積する統計処理手段と、
前記計測結果情報および前記制御設定情報に基づいて、前記稼働系の管理制御端末に関連する異常を検知し、前記計測結果情報および前記制御設定情報に基づいて、前記稼働系の管理制御端末の異常な動作が始まった時点である異常動作開始時点を特定し、前記異常動作開始時点以前の制御設定情報を用いて前記制御対象の制御を引き継ぐように、前記稼働系の管理制御端末と前記待機系の管理制御端末の切り替えを実施する異常処理手段、
として動作させるための冗長切り替えプログラム。 - パケット処理手段は、蓄積した前記計測結果情報および前記制御設定情報に基づいて、前記管理制御端末を異常と判定するための異常状態検出条件を決定し、
前記異常処理手段は、前記異常状態検出条件に従って前記管理制御端末の異常が検知されると、前記稼働系の管理制御端末と前記待機系の管理制御端末を切り替える、請求項8に記載の冗長切り替えプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016078567A JP2017191958A (ja) | 2016-04-11 | 2016-04-11 | 冗長管理システム、冗長切り替え方法、および冗長切り替えプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016078567A JP2017191958A (ja) | 2016-04-11 | 2016-04-11 | 冗長管理システム、冗長切り替え方法、および冗長切り替えプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2017191958A true JP2017191958A (ja) | 2017-10-19 |
Family
ID=60086029
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016078567A Pending JP2017191958A (ja) | 2016-04-11 | 2016-04-11 | 冗長管理システム、冗長切り替え方法、および冗長切り替えプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2017191958A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019129412A (ja) * | 2018-01-24 | 2019-08-01 | 株式会社東芝 | 異常要因判定装置、制御システム、および異常要因判定方法 |
CN114595127A (zh) * | 2020-12-03 | 2022-06-07 | 腾讯科技(深圳)有限公司 | 日志异常处理方法、装置、设备和存储介质 |
JP2022169485A (ja) * | 2021-04-27 | 2022-11-09 | メクサス インコーポレイテッド | モノのインターネット装置と5g/lte無線ルータを統合管理する遠隔制御ソリューションサーバー |
JP7557211B2 (ja) | 2021-04-27 | 2024-09-27 | メクサス インコーポレイテッド | モノのインターネット装置と5g/lte無線ルータを統合管理する遠隔制御ソリューションサーバー |
-
2016
- 2016-04-11 JP JP2016078567A patent/JP2017191958A/ja active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019129412A (ja) * | 2018-01-24 | 2019-08-01 | 株式会社東芝 | 異常要因判定装置、制御システム、および異常要因判定方法 |
CN114595127A (zh) * | 2020-12-03 | 2022-06-07 | 腾讯科技(深圳)有限公司 | 日志异常处理方法、装置、设备和存储介质 |
JP2022169485A (ja) * | 2021-04-27 | 2022-11-09 | メクサス インコーポレイテッド | モノのインターネット装置と5g/lte無線ルータを統合管理する遠隔制御ソリューションサーバー |
JP7557211B2 (ja) | 2021-04-27 | 2024-09-27 | メクサス インコーポレイテッド | モノのインターネット装置と5g/lte無線ルータを統合管理する遠隔制御ソリューションサーバー |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20150033076A1 (en) | Anomaly detection system, anomaly detection method, and program for the same | |
JP7123541B2 (ja) | 物理的資産を脅威に対して保護するためのシステム | |
US10819742B2 (en) | Integrated industrial system and control method thereof | |
CN108306854B (zh) | 双模异构冗余的工控安全网关系统及其入侵感知方法 | |
WO2018198733A1 (ja) | セキュリティ監視システム及びセキュリティ監視方法 | |
JP6907014B2 (ja) | 管理監視システム | |
JP6577442B2 (ja) | 不正侵入防止装置、不正侵入防止方法および不正侵入防止プログラム | |
GB2532630A (en) | Network intrusion alarm method and system for nuclear power station | |
JP2017191958A (ja) | 冗長管理システム、冗長切り替え方法、および冗長切り替えプログラム | |
EP2980697B1 (en) | System and method for altering a functionality of an application | |
KR101214427B1 (ko) | Scada 시스템 및 그의 보안 관리방법 | |
WO2024173216A1 (en) | System and method for enhancing computer network reliability by countering disruptions in network communications | |
US20210075545A1 (en) | Mission-critical communication links for industrial control systems | |
CN112799356A (zh) | 用于安全的数据记录的装置和方法 | |
Negi et al. | Intrusion Detection & Prevention in Programmable Logic Controllers: A Model-driven Approach | |
CN113518949A (zh) | 控制器系统 | |
CN110661819A (zh) | 一种防ddos系统 | |
CN103310147B (zh) | 工厂用安全管理装置及管理方法 | |
US20180046146A1 (en) | Method and embedded system for monitoring, controlling, or regulating a machine | |
Findrik et al. | Trustworthy computer security incident response for nuclear facilities | |
JP2017092933A (ja) | コントローラおよび制御システム | |
Lekidis | Cyber-attack TTP analysis for EPES systems | |
NL2028737B1 (en) | A method, a monitoring system and a computer program product for monitoring a network connected controller | |
CN112417445B (zh) | 系统安全的联合防护系统、方法、存储介质及电子设备 | |
CN117938478B (zh) | 一种基于物联网技术的特种设备箱体远程运维方法及系统 |