JP2020021338A - Monitoring controller - Google Patents

Monitoring controller Download PDF

Info

Publication number
JP2020021338A
JP2020021338A JP2018145597A JP2018145597A JP2020021338A JP 2020021338 A JP2020021338 A JP 2020021338A JP 2018145597 A JP2018145597 A JP 2018145597A JP 2018145597 A JP2018145597 A JP 2018145597A JP 2020021338 A JP2020021338 A JP 2020021338A
Authority
JP
Japan
Prior art keywords
unit
communication
firewall
network
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018145597A
Other languages
Japanese (ja)
Inventor
陽 西山
Akira Nishiyama
陽 西山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Power Ltd
Original Assignee
Mitsubishi Hitachi Power Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Hitachi Power Systems Ltd filed Critical Mitsubishi Hitachi Power Systems Ltd
Priority to JP2018145597A priority Critical patent/JP2020021338A/en
Publication of JP2020021338A publication Critical patent/JP2020021338A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Testing And Monitoring For Control Systems (AREA)

Abstract

To provide a monitoring controller that incorporates a firewall function without affecting computing power for monitoring or control.SOLUTION: A monitoring controller which is connected to a control network and an internal network (control information network) and which performs calculations for controlling or monitoring devices connected to the control network, comprises: an arithmetic processing unit configured to execute a calculation according to communication data communicated via the internal network; an external communication unit connected to the internal network and configured to execute communication processing including reception processing of communication via the internal network; a firewall unit having a logic circuit configured to perform a permission determination for determining whether the communication data received and processed by the external communication unit may be transferred to the arithmetic processing unit; and an intra-device communication unit configured to transfer communication data to the arithmetic processing unit when permitted by the firewall unit.SELECTED DRAWING: Figure 2

Description

本開示は、プラント制御装置といった産業制御システムなどの監視制御装置に関する。   The present disclosure relates to a monitoring control device such as an industrial control system such as a plant control device.

近年、ICS(Industrial Control Systems)、SCADA(Supervisory Control And Data Acquisition)など、石油、ガス、電力、製造などで用いられる産業用制御システムへのサイバー攻撃に対するセキュリティ対策の重要性が増している。例えば発電プラントや製造プラントなどのプラントでは、DCS(Distributed Control System)などである監視制御装置(プラント制御装置)が、プラントに設置された複数の機器に制御ネットワークを介して接続し、これらの複数の機器の制御や監視を行う(特許文献1〜2参照)。また、プラント制御装置は、プラントの操作および監視を行うためのOPS(Operator Station)などとイーサネット(登録商標)などの制御情報ネットワークで接続されることにより、OPSなどの装置外部のコンピュータから送信される命令に基づいて、制御の対象となる対象機器に命令を実行する。   In recent years, the importance of security measures against cyber attacks on industrial control systems used in oil, gas, electric power, manufacturing, and the like, such as ICS (Industrial Control Systems) and SCADA (Supervisory Control And Data Acquisition), has increased. For example, in a plant such as a power plant or a manufacturing plant, a monitoring control device (plant control device) such as a DCS (Distributed Control System) is connected to a plurality of devices installed in the plant via a control network, and the plurality of devices are connected to each other. (See Patent Documents 1 and 2). Further, the plant control device is connected to an OPS (Operator Station) or the like for operating and monitoring the plant by a control information network such as Ethernet (registered trademark), and is transmitted from a computer external to the device such as the OPS. The command is executed for the target device to be controlled based on the command.

また、例えば特許文献1に記載されるように、上記の制御情報ネットワークは、インターネットなどの外部ネットワークに接続される場合もあり、クラウドなどを介するなどして外部ネットワークに接続されたリモートOPSと、プラント制御装置との通信が可能とされる場合もある。この場合、上記の制御情報ネットワーク(内部ネットワーク)と外部ネットワークとの境界にはファイアウォール装置が設置される(特許文献1参照)。そして、ファイアウォール装置が、外部ネットワークからの許可されていない通信を遮断し、許可された通信のみ転送するなどのアクセス制御を実行することで、制御情報ネットワークに接続されるプラント制御装置や制御ネットワーク側の機器の保護がなされる。   Further, as described in Patent Document 1, for example, the control information network may be connected to an external network such as the Internet, and may include a remote OPS connected to the external network via a cloud or the like. In some cases, communication with the plant control device is enabled. In this case, a firewall device is installed at the boundary between the control information network (internal network) and the external network (see Patent Document 1). Then, the firewall device cuts off unauthorized communication from the external network and performs access control such as transferring only the allowed communication, so that the plant control device or the control network side connected to the control information network can perform the access control. Equipment is protected.

特開2011−221846号公報JP 2011-221846 A 特開2012−226680号公報JP 2012-226680 A

特許文献1〜2が開示するように、制御情報ネットワーク(以下、適宜、内部ネットワーク)上に専用のファイアウォール装置を設置する場合には、例えば内部ネットワークに不正なコンピュータ機器が接続されるなど、物理的に迂回された経路を形成された場合には脆弱である。そこで、本発明者らは、ソフトウェアベースのファイアウォールを監視制御装置に組み込むことを考えたが、監視制御装置に組み込むと監視制御装置の制御または監視のための演算能力が低下するため、この手法では、特に大量の通信が到着した場合に脆弱である。   As disclosed in Patent Documents 1 and 2, when a dedicated firewall device is installed on a control information network (hereinafter, appropriately referred to as an internal network), for example, a physical device such as an unauthorized computer device is connected to the internal network. It is vulnerable when a route that is detoured is formed. Therefore, the present inventors have considered incorporating a software-based firewall into the monitoring control device. However, when incorporated into the monitoring control device, the calculation capability for controlling or monitoring the monitoring control device is reduced. Vulnerable, especially when a large amount of communication arrives.

上述の事情に鑑みて、本発明の少なくとも一実施形態は、監視または制御のための演算能力に影響を与えることなくファイアウォールの機能を組み込んだ監視制御装置を提供することを目的とする。   In view of the above circumstances, at least one embodiment of the present invention aims to provide a monitoring and control device incorporating a function of a firewall without affecting the computing capability for monitoring or control.

(1)本発明の少なくとも一実施形態に係る監視制御装置は、
制御ネットワークおよび内部ネットワークにそれぞれ接続され、前記制御ネットワークに接続された機器の制御または監視のための演算を実行する監視制御装置であって、
前記内部ネットワークを介して通信される通信データに応じた前記演算を実行するよう構成された演算処理部と、
前記内部ネットワークに接続され、前記内部ネットワークを介した通信の受信処理を含む通信処理を実行するよう構成された装置外通信部と、
前記装置外通信部によって前記受信処理された前記通信データを前記演算処理部に転送して良いか否かの許可判定を行うよう構成された論理回路を有するファイアウォール部と、
前記ファイアウォール部で許可された場合に、前記通信データを前記演算処理部に転送するよう構成された装置内通信部と、を備える。 (1) The monitoring control device according to at least one embodiment of the present invention includes:
A monitoring control device that is connected to the control network and the internal network, and performs an operation for controlling or monitoring the device connected to the control network,
An arithmetic processing unit configured to execute the arithmetic according to communication data communicated via the internal network,
An external device communication unit connected to the internal network and configured to execute a communication process including a reception process of communication via the internal network,
A firewall unit having a logic circuit configured to perform a permission determination as to whether or not the communication data subjected to the reception processing by the external device communication unit may be transferred to the arithmetic processing unit,
An internal communication unit configured to transfer the communication data to the arithmetic processing unit when permitted by the firewall unit.

上記(1)の構成によれば、監視制御装置には、自身宛ての通信に対してアクセス制御を行う論理回路を有するファイアウォール部(ハードウェア)が組み込まれており、ファイアウォール部で許可された通信データに対してのみ演算処理部によって演算処理される。換言すれば、監視制御装置の内部にハードウェアベースのファイアウォール(ハードウェアファイアウォール)が実装されている。よって、演算処理部の演算能力に影響を与えることなくアクセス制御を行うことができる。また、内部ネットワークと外部ネットワークとの境界に位置するファイアウォール装置を物理的に迂回するような迂回経路が形成された場合であっても、装置内部のファイアウォール部によって監視制御装置を適切に保護することができ、その信頼性を向上させることができる。   According to the above configuration (1), the monitoring control device incorporates a firewall unit (hardware) having a logic circuit that performs access control for communication addressed to itself, and the communication permitted by the firewall unit is performed. The arithmetic processing unit performs arithmetic processing only on the data. In other words, a hardware-based firewall (hardware firewall) is implemented inside the monitoring control device. Therefore, access control can be performed without affecting the arithmetic performance of the arithmetic processing unit. In addition, even when a bypass route that physically bypasses the firewall device located at the boundary between the internal network and the external network is formed, the monitoring and control device is appropriately protected by the firewall unit inside the device. And its reliability can be improved.

(2)幾つかの実施形態では、上記(1)の構成において、
前記装置内通信部と前記演算処理部とを接続する伝送線と、
前記装置外通信部、前記ファイアウォール部、前記装置内通信部、前記演算処理部、および前記伝送線を収容する筐体と、をさらに備える。
上記(2)の構成によれば、監視制御装置の筐体内に、演算処理部とは別に動作するハードウェアファイアウォールを収容することにより、ファイアウォールの物理的な迂回経路の形成を阻止し、監視制御装置の信頼性を向上させることができる。 (2) In some embodiments, in the configuration of the above (1),
A transmission line connecting the in-device communication unit and the arithmetic processing unit,
The apparatus further includes a housing that houses the external communication unit, the firewall unit, the internal communication unit, the arithmetic processing unit, and the transmission line.
According to the configuration (2), a hardware firewall that operates independently of the arithmetic processing unit is accommodated in the housing of the monitoring and control device, thereby preventing the formation of a physical bypass route of the firewall and controlling the monitoring. The reliability of the device can be improved.

(3)幾つかの実施形態では、上記(2)の構成において、
前記伝送線は、共通バスである。
上記(3)の構成によれば、監視制御装置の内部にハードウェアファイアウォールを実装することができる。 (3) In some embodiments, in the configuration of the above (2),
The transmission line is a common bus.
According to the above configuration (3), a hardware firewall can be implemented inside the monitoring control device.

(4)幾つかの実施形態では、上記(1)〜(3)の構成において、
前記ファイアウォール部を構成する前記論理回路は、プログラマブルロジックデバイス(PLD)で構成されている。
上記(4)の構成によれば、監視制御装置の内部に、演算処理部とは別に動作するハードウェアファイアウォールを実装することができる。 (4) In some embodiments, in the above configurations (1) to (3),
The logic circuit configuring the firewall unit is configured by a programmable logic device (PLD).
According to the above configuration (4), a hardware firewall that operates independently of the arithmetic processing unit can be mounted inside the monitoring control device.

(5)幾つかの実施形態では、上記(1)〜(4)の構成において、
前記ファイアウォール部は、ホワイトリストを用いて前記許可判定を行う。
上記(5)の構成によれば、ホワイトリストに登録された通信のみを許可し、それ以外を遮断することにより、監視制御装置を適切に保護することができる。 (5) In some embodiments, in the above configurations (1) to (4),
The firewall unit performs the permission determination using a whitelist.
According to the configuration of the above (5), only the communication registered in the white list is permitted, and other communication is blocked, so that the monitoring control device can be appropriately protected.

(6)幾つかの実施形態では、上記(1)〜(5)の構成において、
前記演算処理部は、プラントの制御または監視のための演算を実行するよう構成される。
上記(6)の構成によれば、ハードウェアファイアウォールを内部に備えるプラントの監視制御装置を提供することができる。 (6) In some embodiments, in the above configurations (1) to (5),
The arithmetic processing unit is configured to execute an operation for controlling or monitoring a plant.
According to the above configuration (6), it is possible to provide a plant monitoring and control device including a hardware firewall therein.

(7)幾つかの実施形態では、上記(1)〜(6)の構成において、
前記内部ネットワークは、外部ファイアウォール装置を介して外部ネットワークに接続される。
上記(7)の構成によれば、監視制御装置は、その内部のファイアウォール部と、制御情報ネットワークと外部ネットワークとの境界に設置される外部ファイアウォール装置により、二重に保護される。これによって、例えば内部ネットワークに不正なコンピュータ機器が接続された場合など、外部ファイアウォール装置を物理的に迂回された経路を形成された場合にも、監視制御装置を保護することができる。 (7) In some embodiments, in the above configurations (1) to (6),
The internal network is connected to an external network via an external firewall device.
According to the configuration (7), the monitoring control device is double protected by the internal firewall unit and the external firewall device installed at the boundary between the control information network and the external network. Accordingly, even when a route that physically bypasses the external firewall device is formed, for example, when an unauthorized computer device is connected to the internal network, the monitoring control device can be protected.

本発明の少なくとも一実施形態によれば、監視または制御のための演算能力に影響を与えることなくファイアウォールの機能を組み込んだ監視制御装置が提供される。   According to at least one embodiment of the present invention, there is provided a monitoring and control device incorporating a firewall function without affecting the computing power for monitoring or control.

本発明の一実施形態に係る監視制御装置を備える産業制御システムの構成を概略的に示す図である。It is a figure showing roughly composition of an industrial control system provided with a monitoring control device concerning one embodiment of the present invention. 本発明の一実施形態に係るプラントの監視制御装置の構成を概略的に示す図である。It is a figure showing roughly composition of a supervisory control device of a plant concerning one embodiment of the present invention.

以下、添付図面を参照して本発明の幾つかの実施形態について説明する。ただし、実施形態として記載されている又は図面に示されている構成部品の寸法、材質、形状、その相対的配置等は、本発明の範囲をこれに限定する趣旨ではなく、単なる説明例にすぎない。
例えば、「ある方向に」、「ある方向に沿って」、「平行」、「直交」、「中心」、「同心」或いは「同軸」等の相対的或いは絶対的な配置を表す表現は、厳密にそのような配置を表すのみならず、公差、若しくは、同じ機能が得られる程度の角度や距離をもって相対的に変位している状態も表すものとする。
例えば、「同一」、「等しい」及び「均質」等の物事が等しい状態であることを表す表現は、厳密に等しい状態を表すのみならず、公差、若しくは、同じ機能が得られる程度の差が存在している状態も表すものとする。
例えば、四角形状や円筒形状等の形状を表す表現は、幾何学的に厳密な意味での四角形状や円筒形状等の形状を表すのみならず、同じ効果が得られる範囲で、凹凸部や面取り部等を含む形状も表すものとする。
一方、一の構成要素を「備える」、「具える」、「具備する」、「含む」、又は、「有する」という表現は、他の構成要素の存在を除外する排他的な表現ではない。 Hereinafter, some embodiments of the present invention will be described with reference to the accompanying drawings. However, the dimensions, materials, shapes, relative arrangements, and the like of the components described in the embodiments or shown in the drawings are not intended to limit the scope of the present invention thereto, but are merely illustrative examples. Absent.
For example, expressions representing relative or absolute arrangement such as “in a certain direction”, “along a certain direction”, “parallel”, “orthogonal”, “center”, “concentric” or “coaxial” are strictly described. Not only does such an arrangement be shown, but also a state of being relatively displaced by an angle or distance that allows the same function to be obtained.
For example, expressions such as "identical", "equal", and "homogeneous", which indicate that things are in the same state, not only represent exactly the same state, but also have a tolerance or a difference to the extent that the same function is obtained. An existing state shall also be represented.
For example, the expression representing a shape such as a square shape or a cylindrical shape not only represents a shape such as a square shape or a cylindrical shape in a strictly geometrical sense, but also an uneven portion or a chamfer as long as the same effect can be obtained. A shape including a part and the like is also represented.
On the other hand, the expression “comprising”, “comprising”, “including”, “including”, or “having” one component is not an exclusive expression excluding the existence of another component.

図1は、本発明の一実施形態に係る監視制御装置1を備える産業制御システムSの構成を概略的に示す図である。図1に示す産業制御システムSは、発電プラントなどのプラント9の監視および制御のためのプラントシステムである。また、図2に示す監視制御装置1は、プラント9の自動制御および現場との入出力処理を行うプロセスステーション(PS)やPLC(Programable Logic Controller)といった分散型制御システム(DCS:Distributed Control System)などを構成するプラント制御装置である。なお、他の幾つかの実施形態では、監視制御装置1は、製造機器の制御を行う装置との入出力や各種の演算処理を行う装置など、他の制御システムにおける監視制御装置1であっても良い。   FIG. 1 is a diagram schematically illustrating a configuration of an industrial control system S including a monitoring control device 1 according to an embodiment of the present invention. The industrial control system S shown in FIG. 1 is a plant system for monitoring and controlling a plant 9 such as a power plant. The monitoring control device 1 illustrated in FIG. 2 is a distributed control system (DCS) such as a process station (PS) or a programmable logic controller (PLC) that performs automatic control of the plant 9 and input / output processing with a site. It is a plant control device that constitutes such as. In some other embodiments, the monitoring control device 1 is a monitoring control device 1 in another control system, such as a device that performs input / output with a device that controls manufacturing equipment and a device that performs various arithmetic processes. Is also good.

より詳細には、図1に示す実施形態では、監視制御装置1は、制御ネットワーク6(コントロールネットワーク)を介して、プラント9に設置された複数のフィールド機器91に接続される。これらのフィールド機器91は、例えば温度、流量、圧力などを計測する各種の計測器(センサ)や、ダンパや調節弁(バルブ)といった操作端などであり、制御ネットワーク6は、このようなフィールド機器91と監視制御装置1とを接続する通信ネットワークである。そして、監視制御装置1は、計測器によって計測される各種の計測データやイベント通知などの少なくとも1つを含むプラントデータを収集すると共に、収集した1以上のプラントデータを用いて各種の演算を実行し、その演算結果を操作端に送信することによりプラント9の自動制御を実行する。   More specifically, in the embodiment illustrated in FIG. 1, the monitoring control device 1 is connected to a plurality of field devices 91 installed in the plant 9 via a control network 6 (control network). These field devices 91 are, for example, various measuring devices (sensors) for measuring temperature, flow rate, pressure, and the like, and operating terminals such as dampers and control valves (valves). This is a communication network for connecting the monitoring control device 91 to the monitoring control device 1. Then, the monitoring control device 1 collects plant data including at least one of various measurement data measured by the measuring device and an event notification, and executes various calculations using the collected one or more plant data. Then, by transmitting the calculation result to the operation terminal, the automatic control of the plant 9 is executed.

また、図1に示すように、監視制御装置1は、例えばイーサネット(登録商標)などで構築されたLAN(Local Area Network)などの制御情報ネットワーク7(内部ネットワーク。以下同様)に接続される。制御情報ネットワーク7は、プラントの制御や監視、管理を行うための各種のコンピュータ装置を監視制御装置1に接続するための通信ネットワークである。   As shown in FIG. 1, the monitoring control device 1 is connected to a control information network 7 (internal network; the same applies hereinafter) such as a LAN (Local Area Network) constructed by Ethernet (registered trademark) or the like. The control information network 7 is a communication network for connecting various computer devices for controlling, monitoring, and managing the plant to the monitoring control device 1.

図1に示す実施形態では、制御情報ネットワーク7はIPネットワークであり、例えば、プラント9の操作および監視を行うヒューマンマシンインタフェース(HMI)となるオペレータステーション(OPS71)や、プラントデータの大容量保存・管理を行うACS72(Accessory Station)などが接続される。そして、監視制御装置1は、制御ネットワーク6を介して収集したプラントデータを、制御情報ネットワーク7に接続されたACS72(Accessory Station)に対して定期的または要求に応じて送信する。また、監視制御装置1は、制御情報ネットワーク7を介してOPS71などと通信し、OPS71などから送信された通信データDに応じた処理を実行し、必要に応じてその処理結果を通信元に応答したりする。   In the embodiment shown in FIG. 1, the control information network 7 is an IP network, for example, an operator station (OPS71) serving as a human-machine interface (HMI) for operating and monitoring the plant 9 and a large-capacity storage / storage of plant data. An ACS 72 (Accessory Station) for management is connected. Then, the monitoring control device 1 transmits the plant data collected via the control network 6 to an ACS 72 (Accessory Station) connected to the control information network 7 periodically or as requested. Further, the monitoring control device 1 communicates with the OPS 71 or the like via the control information network 7, executes a process according to the communication data D transmitted from the OPS 71 or the like, and responds to the communication source as necessary. Or

また、上記の制御情報ネットワーク7と、インターネットなどの外部ネットワーク8との間には、ファイアウォール装置(外部ファイアウォール装置73)が設置されており、制御情報ネットワーク7に接続された上述した監視制御装置1を含む装置と外部ネットワーク8側のOPS、ACSなどのコンピュータ装置との間で双方向の通信が可能となっている。より具体的には、例えば、制御情報ネットワーク7側のACS72に保存されたプラントデータを外部ネットワーク8側のクラウド(不図示)やリモートOPS(不図示)などに送信したり、クラウドに接続されたクラウドOPS(不図示)やリモートOPS(不図示)との間の通信データD(例えば命令やその応答)の送受信が可能とされても良い。   Further, a firewall device (external firewall device 73) is provided between the control information network 7 and an external network 8 such as the Internet, and the above-described monitoring control device 1 connected to the control information network 7 , And a computer device such as OPS and ACS on the external network 8 side can perform bidirectional communication. More specifically, for example, the plant data stored in the ACS 72 of the control information network 7 is transmitted to a cloud (not shown) or a remote OPS (not shown) of the external network 8 or connected to the cloud. Transmission and reception of communication data D (for example, a command and its response) between a cloud OPS (not shown) and a remote OPS (not shown) may be enabled.

この際、上記の外部ファイアウォール装置73は、自装置を介した外部ネットワーク8側と制御情報ネットワーク7側との通信に対してアクセス制御を行うことにより、外部ネットワーク8側からの許可されていない通信を遮断し、制御情報ネットワーク7側を不正アクセスや攻撃などから保護するよう構成される。具体的には、外部ファイアウォール装置73は、パケットフィルタリングや、ステートフルインスペクションを実行したり、アプリケーションファイアウォールとして機能しても良い。なお、他の幾つかの実施形態では、制御情報ネットワーク7に設置されるOPS71やACS72などが監視制御装置1に個別配線で直接接続されていても良く、この場合には、上記の外部ファイアウォール装置73は設置されない。   At this time, the external firewall device 73 performs access control on communication between the external network 8 and the control information network 7 via the own device, thereby enabling unauthorized communication from the external network 8 to occur. And the control information network 7 is protected from unauthorized access and attacks. Specifically, the external firewall device 73 may execute packet filtering, stateful inspection, or function as an application firewall. In some other embodiments, the OPS 71 and the ACS 72 installed in the control information network 7 may be directly connected to the monitoring control device 1 by individual wiring. In this case, the above-described external firewall device is used. 73 is not installed.

以下、上述したプラントシステムを例に、本発明の監視制御装置1を説明する。図2は、本発明の一実施形態に係るプラント9の監視制御装置1の構成を概略的に示す図である。   Hereinafter, the monitoring and control device 1 of the present invention will be described using the above-described plant system as an example. FIG. 2 is a diagram schematically showing a configuration of the monitoring control device 1 of the plant 9 according to one embodiment of the present invention.

監視制御装置1は、制御ネットワーク6および制御情報ネットワーク7(内部ネットワーク。以下同様。)にそれぞれ接続され、制御ネットワーク6に接続された機器(図1では、各種のフィールド機器91)の制御または監視のための演算を実行するよう構成された装置である。図2に示すように、監視制御装置1は、装置外通信部21と、ファイアウォール部22と、装置内通信部23と、演算処理部3と、を備える。
これらの監視制御装置1が備える構成について、それぞれ説明する。 The monitoring control device 1 is connected to a control network 6 and a control information network 7 (an internal network; the same applies hereinafter), and controls or monitors devices (various field devices 91 in FIG. 1) connected to the control network 6. Is a device configured to perform an operation for. As illustrated in FIG. 2, the monitoring control device 1 includes an external communication unit 21, a firewall unit 22, an internal communication unit 23, and an arithmetic processing unit 3.
The configurations of these monitoring control devices 1 will be described respectively.

なお、図2に示す実施形態では、装置外通信部21と、ファイアウォール部22と、装置内通信部23とが、制御情報ネットワーク7に対するインターフェース部2を構成している。つまり、インターフェース部2は、制御情報ネットワーク7および演算処理部3にそれぞれ接続され、演算処理部3が制御情報ネットワーク7を介した通信を行うため機能を提供するよう構成されている。   In the embodiment shown in FIG. 2, the external communication unit 21, the firewall unit 22, and the internal communication unit 23 constitute the interface unit 2 for the control information network 7. That is, the interface unit 2 is connected to the control information network 7 and the arithmetic processing unit 3, respectively, and is configured to provide a function for the arithmetic processing unit 3 to perform communication via the control information network 7.

演算処理部3は、制御情報ネットワーク7を介して通信される通信データDに応じた制御または監視のための演算を実行するよう構成される。より詳細には、演算処理部3は、図示しないCPU(プロセッサ)や、ROMやRAMといったメモリを備え、例えばメモリにロードされたプログラムの命令に従ってCPUが動作(データの演算など)することにより、制御演算など通信データDに応じた演算を実行する。演算処理部3は、その演算の実行の結果を、制御ネットワーク6に接続されたフィールド機器91や、通信データDの通信元に必要に応じて送信する。   The arithmetic processing unit 3 is configured to execute arithmetic for control or monitoring according to the communication data D communicated via the control information network 7. More specifically, the arithmetic processing unit 3 includes a CPU (processor) (not shown) and a memory such as a ROM or a RAM. The CPU operates (eg, calculates data) according to a program instruction loaded in the memory. An operation corresponding to the communication data D, such as a control operation, is executed. The operation processing unit 3 transmits the result of the execution of the operation to the field device 91 connected to the control network 6 and the communication source of the communication data D as necessary.

例えば、上記の通信データDは、監視制御装置1に対する命令が含まれている。この命令は、例えばフィールド機器91に対して行う制御命令であっても良く、計測値や機器情報などの取得するための命令であっても良い。上記の命令は、監視制御装置1の情報を読み出したり、設定を行ったりするための命令であっても良い。このような命令は、制御情報ネットワーク7に接続されたOPS71などの装置や、外部ネットワーク8に接続されたOPSなどの装置をオペレータが操作することが契機となって、通信されても良い。   For example, the communication data D includes an instruction for the monitoring control device 1. This command may be, for example, a control command issued to the field device 91 or a command for acquiring a measured value, device information, or the like. The above-described command may be a command for reading information of the monitoring control device 1 or performing setting. Such a command may be transmitted when an operator operates a device such as the OPS 71 connected to the control information network 7 or a device such as the OPS connected to the external network 8.

装置外通信部21は、制御情報ネットワーク7を介した通信が可能なように制御情報ネットワーク7に接続され、制御情報ネットワーク7を介した通信の受信処理を含む通信処理を実行するよう構成される。例えば、制御情報ネットワーク7や外部ネットワーク8に接続された例えばOPS71などのコンピュータ装置は、通信先に送信する通信データDのIPパケット化、MACフレーム化などの送信処理を行い、制御情報ネットワーク7に送信する。装置外通信部21は、こうして制御情報ネットワーク7を伝送されている伝送フレームFrのうちの自装置宛ての伝送フレームFrを受信処理によって内部に取り込む。   The external device communication unit 21 is connected to the control information network 7 so that communication via the control information network 7 is possible, and is configured to execute communication processing including reception processing of communication via the control information network 7. . For example, a computer device such as the OPS 71 connected to the control information network 7 or the external network 8 performs transmission processing such as IP packetization and MAC frame formation of the communication data D to be transmitted to the communication destination, and transmits the communication data D to the control information network 7. Send. The external device communication unit 21 takes in the transmission frame Fr addressed to the own device among the transmission frames Fr transmitted through the control information network 7 by the reception processing.

図2に示す実施形態では、装置外通信部21は、上記の受信処理を実行する受信処理部21rを備えている。受信処理部21rは、伝送フレームFrの宛先アドレスを確認することにより、制御情報ネットワーク7を伝送された自装置宛ての伝送フレームFrを受信するよう構成される。また、装置外通信部21は、通信先に通信データDを送信する送信処理部21sをさらに有しており、送信処理部21sは、演算処理部3から送信された(受け渡された)通信データD(送信データDs)に対して送信処理(前述)を行い、制御情報ネットワーク7に送信フレームFsを送信するよう構成される。   In the embodiment shown in FIG. 2, the external communication unit 21 includes a reception processing unit 21r that executes the above-described reception processing. The reception processing unit 21r is configured to receive the transmission frame Fr addressed to the own device transmitted through the control information network 7 by confirming the destination address of the transmission frame Fr. In addition, the external communication unit 21 further includes a transmission processing unit 21s that transmits the communication data D to the communication destination. The transmission processing unit 21s transmits (transmits) the communication data transmitted from the arithmetic processing unit 3. It is configured to perform transmission processing (described above) on data D (transmission data Ds) and transmit a transmission frame Fs to the control information network 7.

ファイアウォール部22は、上述した装置外通信部21によって受信処理された通信データDを演算処理部3に転送(送信)して良いか否かの許可判定を行うよう構成された論理回路22cを有する。図2に示すように、ファイアウォール部22は、装置外通信部21に接続されており、装置外通信部21から、その受信処理により装置内に取り込まれたデータ(以下、受信データDr)が転送される。ファイアウォール部22は、通信を許可した場合には、少なくとも受信データDrに含まれる通信データDを、ファイアウォール部22に接続された装置内通信部23に転送する。   The firewall unit 22 includes a logic circuit 22c configured to determine whether or not to transfer (transmit) the communication data D received and processed by the above-described external device communication unit 21 to the arithmetic processing unit 3. . As shown in FIG. 2, the firewall unit 22 is connected to the external device communication unit 21 and transfers data (hereinafter, reception data Dr) taken into the device by the reception processing from the external device communication unit 21. Is done. When the communication is permitted, the firewall unit 22 transfers at least the communication data D included in the received data Dr to the in-device communication unit 23 connected to the firewall unit 22.

図2に示す実施形態では、ファイアウォール部22(論理回路22c)は、ホワイトリストなどあらかじめ設定したルールに基づいて通信(受信データDr)の許可、不許可を行うパケットフィルタリングなどのアクセス制御を行うように構成されている。例えば、MACアドレスなどのレイヤ2のアドレスや、IPアドレスなどのレイヤ3のアドレス、ポート番号、これらの少なくとも2つの組合せなどに基づいてパケットフィルタリングを行っても良いし、アプリケーションレイヤのデータ(通信データD)に基づいてフィルタリングを行っても良い。また、ステートフルインスペクションを実行しても良い。   In the embodiment illustrated in FIG. 2, the firewall unit 22 (the logic circuit 22c) performs access control such as packet filtering for permitting or disallowing communication (reception data Dr) based on a preset rule such as a whitelist. Is configured. For example, packet filtering may be performed based on a layer 2 address such as a MAC address, a layer 3 address such as an IP address, a port number, a combination of at least two of them, or data of an application layer (communication data Filtering may be performed based on D). Further, stateful inspection may be performed.

装置内通信部23は、上述したファイアウォール部22で許可された場合に、通信データDを演算処理部3に転送(送信)するよう構成される。装置内通信部23は、通信データDを演算処理部3に転送する際には、通信データDと共に、IPアドレスやポート番号などの、通信元の装置を特定する情報を演算処理部3に送信しても良い。図2に示す実施形態では、装置内通信部23と演算処理部3とは伝送線4によって接続されており、伝送線4を介して通信データD等の転送がなされる。より詳細には、図2に示す実施形態では、伝送線4は、PCI(Peripheral Components Interconnect)バスなどの共通バスであるが、他の幾つかの実施形態ではシリアル通信のためのシリアル伝送路であっても良い。   The in-device communication unit 23 is configured to transfer (transmit) the communication data D to the arithmetic processing unit 3 when permitted by the firewall unit 22 described above. When transferring the communication data D to the arithmetic processing unit 3, the intra-device communication unit 23 transmits information specifying the communication source device, such as an IP address and a port number, to the arithmetic processing unit 3 together with the communication data D. You may. In the embodiment shown in FIG. 2, the in-device communication unit 23 and the arithmetic processing unit 3 are connected by the transmission line 4, and the communication data D and the like are transferred via the transmission line 4. More specifically, in the embodiment shown in FIG. 2, the transmission line 4 is a common bus such as a PCI (Peripheral Components Interconnect) bus, but in some other embodiments, the transmission line 4 is a serial transmission line for serial communication. There may be.

その他、監視制御装置1は、図2(図1も同様)に示すように、制御ネットワーク6に接続するためのインターフェース部(ネットワークアダプタ。以下、制御ネットワークIF部5)を有している。この制御ネットワークIF部5は、共通バス(伝送線4)に接続されることにより、演算処理部3との通信が可能とされる。また、フィールド機器91は、IOモジュール14を介して制御ネットワーク6に接続されており、監視制御装置1とフィールド機器91との間の通信は、制御ネットワーク6およびIOモジュール14を介して行われる。   In addition, as shown in FIG. 2 (also in FIG. 1), the monitoring control device 1 has an interface unit (network adapter; hereinafter, a control network IF unit 5) for connecting to the control network 6. The control network IF unit 5 can communicate with the arithmetic processing unit 3 by being connected to a common bus (transmission line 4). Further, the field device 91 is connected to the control network 6 via the IO module 14, and communication between the monitoring control device 1 and the field device 91 is performed via the control network 6 and the IO module 14.

なお、上述した装置外通信部21および装置内通信部23も、それぞれ個別の演算回路で構成されても良く、それぞれデバイス化された装置外通信部21と、ファイアウォール部22と、装置内通信部23とが、内部バスや高速シリアル転送デバイスなどの信号線で接続されても良い。あるいは、装置外通信部21または装置内通信部23の少なくとも一方が、ファイアウォール部22を構成する論理回路22cと同一のパッケージ基板上に形成しても良い。また、装置外通信部21、ファイアウォール部22、および装置内通信部がモジュール化されている場合には、モジュール内にCPUおよびメモリを設け、ソフト的に装置外通信部21および装置内通信部23の機能を実現しても良い。この際、このCPUやメモリは、ファイアウォール部22の論理回路22cに構成されていても良い。   Note that the above-described external device communication unit 21 and internal device communication unit 23 may also be configured by separate arithmetic circuits, respectively. The external device communication unit 21, the firewall unit 22, and the internal device communication unit, 23 may be connected by a signal line such as an internal bus or a high-speed serial transfer device. Alternatively, at least one of the external device communication unit 21 and the internal device communication unit 23 may be formed on the same package substrate as the logic circuit 22c configuring the firewall unit 22. When the external communication unit 21, the firewall unit 22, and the internal communication unit are modularized, a CPU and a memory are provided in the module, and the external communication unit 21 and the internal communication unit 23 are implemented in software. May be realized. At this time, the CPU and the memory may be configured in the logic circuit 22c of the firewall unit 22.

上記の構成によれば、監視制御装置1には、自身宛ての通信に対してアクセス制御を行う論理回路22cを有するファイアウォール部22(ハードウェア)が組み込まれており、ファイアウォール部22で許可された通信データDに対してのみ演算処理部3によって演算処理される。換言すれば、監視制御装置1の内部にハードウェアベースのファイアウォール(ハードウェアファイアウォール)が実装されている。よって、演算処理部3の演算能力に影響を与えることなくアクセス制御を行うことができる。また、制御情報ネットワーク7と外部ネットワーク8との境界に位置するファイアウォール装置(73)を物理的に迂回するような迂回経路が形成された場合であっても、装置内部のファイアウォール部22によって監視制御装置1を適切に保護することができ、その信頼性を向上させることができる。   According to the above configuration, the firewall unit 22 (hardware) having the logic circuit 22c for performing access control on the communication addressed to itself is incorporated into the monitoring control device 1, and the monitoring unit 1 is permitted by the firewall unit 22. The arithmetic processing unit 3 performs arithmetic processing only on the communication data D. In other words, a hardware-based firewall (hardware firewall) is mounted inside the monitoring control device 1. Therefore, access control can be performed without affecting the arithmetic performance of the arithmetic processing unit 3. Further, even when a bypass route that physically bypasses the firewall device (73) located at the boundary between the control information network 7 and the external network 8 is formed, the firewall unit 22 inside the device performs monitoring and control. The device 1 can be appropriately protected, and its reliability can be improved.

幾つかの実施形態では、図1〜図2に示すように、上述した監視制御装置1は、上述した装置外通信部21、ファイアウォール部22、装置内通信部23(インターフェース部2)と、演算処理部3と、伝送線4とを収容する筐体、をさらに備える。より詳細には、図1〜図2に示す実施形態では、インターフェース部2、演算処理部3、制御ネットワークIF部5は、それぞれこの単位で、異なる回路基板上に構成されることによりモジュール化(カード化)されている。また、各モジュール(カード)が筐体12の内部に搭載(設置)されることで、筐体12の内部に設置された、各モジュールを相互に接続する伝送線4(共通バス)に接続されるようになっている。   In some embodiments, as shown in FIGS. 1 and 2, the above-described monitoring control device 1 includes the above-described external device communication unit 21, firewall unit 22, internal device communication unit 23 (interface unit 2) It further includes a housing for housing the processing unit 3 and the transmission line 4. More specifically, in the embodiment shown in FIGS. 1 and 2, the interface unit 2, the arithmetic processing unit 3, and the control network IF unit 5 are modularized by being configured on different circuit boards in this unit, respectively. Card). Further, by mounting (installing) each module (card) inside the housing 12, the module (card) is connected to the transmission line 4 (common bus) installed inside the housing 12 and interconnecting the modules. It has become so.

ただし、本実施形態に本発明は限定されない。他の幾つかの実施形態では、ファイアウォール部22が、演算処理部3のモジュール内に設けられるなど、各モジュール(ハードウェア)に対する機能分散は、任意であって良い。その他の実施形態では、インターフェース部2と、演算処理部3と、伝送線4が同一の回路基板上に実装されていても良い。   However, the present invention is not limited to this embodiment. In some other embodiments, the function distribution for each module (hardware) may be arbitrary such that the firewall unit 22 is provided in a module of the arithmetic processing unit 3. In another embodiment, the interface unit 2, the arithmetic processing unit 3, and the transmission line 4 may be mounted on the same circuit board.

上記の構成によれば、監視制御装置1の筐体4内に、演算処理部3とは別に動作するハードウェアファイアウォールを収容することにより、ファイアウォールの物理的な迂回経路の形成を阻止し、監視制御装置1の信頼性を向上させることが可能となる。   According to the above configuration, a hardware firewall that operates separately from the arithmetic processing unit 3 is accommodated in the housing 4 of the monitoring and control device 1, thereby preventing the formation of a physical bypass of the firewall and monitoring. The reliability of the control device 1 can be improved.

また、幾つかの実施形態では、ファイアウォール部22を構成する論理回路22cは、プログラマブルロジックデバイス(PLD)で構成されても良い。すなわち、ファイアウォール部22は、例えばFPGA(Field−Programmable Gate Array)などのPLD(Programmable Logic Device)といった、設計者が任意の論理回路22cを構成可能な集積回路を用いて構成されている。図2に示す実施形態では、FPGA上に図示しないCPU(プロセッサ)や、ROMやRAMといったメモリを形成し、メモリにロードされたプログラムの命令に従ってCPUが動作(データの演算など)することで、ファイアウォール部22が備える機能を実現している。   Further, in some embodiments, the logic circuit 22c included in the firewall unit 22 may be configured by a programmable logic device (PLD). That is, the firewall unit 22 is configured using an integrated circuit such as a PLD (Programmable Logic Device) such as an FPGA (Field-Programmable Gate Array), which allows a designer to configure an arbitrary logic circuit 22c. In the embodiment shown in FIG. 2, a CPU (processor) (not shown) or a memory such as a ROM or a RAM is formed on the FPGA, and the CPU operates (eg, calculates data) in accordance with instructions of a program loaded in the memory. The function of the firewall unit 22 is realized.

なお、他の幾つかの実施形態では、FPGA上で論理回路22cを組み合わせることでパケットフィルタリングの各ロジックを実現しても良い。その他の幾つかの実施形態では、ファイアウォール部22をASICで構成しても良い。また、装置外通信部21と、ファイアウォール部22と、装置内通信部23とをFPGA(PLD)で構成しても良い。   In some other embodiments, each logic of packet filtering may be realized by combining the logic circuit 22c on the FPGA. In some other embodiments, the firewall unit 22 may be configured with an ASIC. Further, the external communication unit 21, the firewall unit 22, and the internal communication unit 23 may be configured by an FPGA (PLD).

上記の構成によれば、監視制御装置1の内部に、演算処理部3とは別に動作するハードウェアファイアウォールを実装することができる。   According to the above configuration, a hardware firewall that operates separately from the arithmetic processing unit 3 can be mounted inside the monitoring control device 1.

本発明は上述した実施形態に限定されることはなく、上述した実施形態に変形を加えた形態や、これらの形態を適宜組み合わせた形態も含む。   The present invention is not limited to the above-described embodiment, and includes a form in which the above-described embodiment is modified and a form in which these forms are appropriately combined.

1 監視制御装置
12 筐体
14 IOモジュール
2 インターフェース部
21 装置外通信部
21r 受信処理部
21s 送信処理部
22 ファイアウォール部
22c 論理回路
23 装置内通信部
3 演算処理部
4 伝送線
5 制御ネットワークIF部
6 制御ネットワーク
7 制御情報ネットワーク
73 外部ファイアウォール装置
8 外部ネットワーク
9 プラント
91 フィールド機器
D 通信データ
Dr 受信データ
Ds 送信データ
Fr 伝送フレーム
Fs 送信フレーム REFERENCE SIGNS LIST 1 monitoring control device 12 housing 14 IO module 2 interface unit 21 external device communication unit 21 r reception processing unit 21 s transmission processing unit 22 firewall unit 22 c logic circuit 23 internal device communication unit 3 arithmetic processing unit 4 transmission line 5 control network IF unit 6 Control network 7 Control information network 73 External firewall device 8 External network 9 Plant 91 Field device D Communication data Dr Receive data Ds Transmission data Fr Transmission frame Fs Transmission frame

Claims (7)

制御ネットワークおよび内部ネットワークにそれぞれ接続され、前記制御ネットワークに接続された機器の制御または監視のための演算を実行する監視制御装置であって、
前記内部ネットワークを介して通信される通信データに応じた前記演算を実行するよう構成された演算処理部と、
前記内部ネットワークに接続され、前記内部ネットワークを介した通信の受信処理を含む通信処理を実行するよう構成された装置外通信部と、
前記装置外通信部によって前記受信処理された前記通信データを前記演算処理部に転送して良いか否かの許可判定を行うよう構成された論理回路を有するファイアウォール部と、
前記ファイアウォール部で許可された場合に、前記通信データを前記演算処理部に転送するよう構成された装置内通信部と、を備えることを特徴とする監視制御装置。 A monitoring control device that is connected to the control network and the internal network, and performs an operation for controlling or monitoring the device connected to the control network,
An arithmetic processing unit configured to execute the arithmetic according to communication data communicated via the internal network,
An external device communication unit connected to the internal network and configured to execute a communication process including a reception process of communication via the internal network,
A firewall unit having a logic circuit configured to perform a permission determination as to whether or not the communication data subjected to the reception processing by the external device communication unit may be transferred to the arithmetic processing unit,
And a communication unit configured to transfer the communication data to the arithmetic processing unit when permitted by the firewall unit. 前記装置内通信部と前記演算処理部とを接続する伝送線と、
前記装置外通信部、前記ファイアウォール部、前記装置内通信部、前記演算処理部、および前記伝送線を収容する筐体と、をさらに備えることを特徴とする請求項1に記載の監視制御装置。 A transmission line connecting the in-device communication unit and the arithmetic processing unit,
The monitoring control apparatus according to claim 1, further comprising: a housing that houses the external communication unit, the firewall unit, the internal communication unit, the arithmetic processing unit, and the transmission line. 前記伝送線は、共通バスであることを特徴とする請求項2に記載の監視制御装置。   The supervisory control device according to claim 2, wherein the transmission line is a common bus. 前記ファイアウォール部を構成する前記論理回路は、プログラマブルロジックデバイスで構成されていることを特徴とする請求項1〜3のいずれか1項に記載の監視制御装置。   The monitoring control device according to any one of claims 1 to 3, wherein the logic circuit configuring the firewall unit is configured by a programmable logic device. 前記ファイアウォール部は、ホワイトリストを用いて前記許可判定を行うことを特徴とする請求項1〜4のいずれか1項に記載の監視制御装置。   The monitoring control device according to any one of claims 1 to 4, wherein the firewall unit performs the permission determination using a whitelist. 前記演算処理部は、プラントの制御または監視のための演算を実行するよう構成されることを特徴とする請求項1〜5のいずれか1項に記載の監視制御装置。   The monitoring control device according to any one of claims 1 to 5, wherein the arithmetic processing unit is configured to execute an operation for controlling or monitoring a plant. 前記内部ネットワークは、外部ファイアウォール装置を介して外部ネットワークに接続されることを特徴とする請求項1〜6のいずれか1項に記載の監視制御装置。   The supervisory control device according to any one of claims 1 to 6, wherein the internal network is connected to an external network via an external firewall device.
JP2018145597A 2018-08-02 2018-08-02 Monitoring controller Pending JP2020021338A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018145597A JP2020021338A (en) 2018-08-02 2018-08-02 Monitoring controller

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018145597A JP2020021338A (en) 2018-08-02 2018-08-02 Monitoring controller

Publications (1)

Publication Number Publication Date
JP2020021338A true JP2020021338A (en) 2020-02-06

Family

ID=69589849

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018145597A Pending JP2020021338A (en) 2018-08-02 2018-08-02 Monitoring controller

Country Status (1)

Country Link
JP (1) JP2020021338A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7477939B2 (en) 2021-09-06 2024-05-02 株式会社Tmeic Switching Device

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7477939B2 (en) 2021-09-06 2024-05-02 株式会社Tmeic Switching Device

Similar Documents

Publication Publication Date Title
JP6638089B2 (en) Connection unit, monitoring system and operation method for operation of automation system
US10140049B2 (en) Partitioning systems operating in multiple domains
JP6269683B2 (en) Quarantine protection system and method it performs bi-directional packet filtering inspection
US10901392B2 (en) Method and system for monitoring a plant of process automation
US20080195747A1 (en) Control protocol encapsulation
CN102739639B (en) For the interface module of modular control system
US10503668B2 (en) Intelligent field input/output (I/O) terminal for industrial control and related system and method
CN111052705B (en) Method and automation and/or communication device for checking datagrams transmitted in an industrial automation system
US11579592B2 (en) Systems and methods for control system security
US9344296B2 (en) Access protection accessory for an automation network
JP2020021338A (en) Monitoring controller
EP3729773B1 (en) One-way data transfer device with onboard system detection
US10003575B2 (en) Network management system
CN114397854A (en) Bus type main control system suitable for underground comprehensive pipe gallery
EP3566170B1 (en) Securing an unprotected hardware bus
US20160269358A1 (en) Method for checking ip address collision of ethernet communication module of plc
US11709970B1 (en) One-way communication data diode on a chip
US20130110973A1 (en) Programmable logic controller
JP2016218860A (en) Centralized management system for power supply control device and power supply control device
JP7390879B2 (en) Communication processing device, communication processing method and program, and data structure of the header part of the network layer
WO2023079652A1 (en) Control device, control method, and cloud system
JP7277206B2 (en) Communication control device and method
WO2019198456A1 (en) Safety control system and control method in safety control system
JP2020027963A (en) Relay device, relay method and relay program
JP2015153150A (en) Communication system, transmission device, reception device, debug method, and program