JP2020021338A - Monitoring controller - Google Patents
Monitoring controller Download PDFInfo
- Publication number
- JP2020021338A JP2020021338A JP2018145597A JP2018145597A JP2020021338A JP 2020021338 A JP2020021338 A JP 2020021338A JP 2018145597 A JP2018145597 A JP 2018145597A JP 2018145597 A JP2018145597 A JP 2018145597A JP 2020021338 A JP2020021338 A JP 2020021338A
- Authority
- JP
- Japan
- Prior art keywords
- unit
- communication
- firewall
- network
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Testing And Monitoring For Control Systems (AREA)
Abstract
Description
本開示は、プラント制御装置といった産業制御システムなどの監視制御装置に関する。 The present disclosure relates to a monitoring control device such as an industrial control system such as a plant control device.
近年、ICS(Industrial Control Systems)、SCADA(Supervisory Control And Data Acquisition)など、石油、ガス、電力、製造などで用いられる産業用制御システムへのサイバー攻撃に対するセキュリティ対策の重要性が増している。例えば発電プラントや製造プラントなどのプラントでは、DCS(Distributed Control System)などである監視制御装置(プラント制御装置)が、プラントに設置された複数の機器に制御ネットワークを介して接続し、これらの複数の機器の制御や監視を行う(特許文献1〜2参照)。また、プラント制御装置は、プラントの操作および監視を行うためのOPS(Operator Station)などとイーサネット(登録商標)などの制御情報ネットワークで接続されることにより、OPSなどの装置外部のコンピュータから送信される命令に基づいて、制御の対象となる対象機器に命令を実行する。
In recent years, the importance of security measures against cyber attacks on industrial control systems used in oil, gas, electric power, manufacturing, and the like, such as ICS (Industrial Control Systems) and SCADA (Supervisory Control And Data Acquisition), has increased. For example, in a plant such as a power plant or a manufacturing plant, a monitoring control device (plant control device) such as a DCS (Distributed Control System) is connected to a plurality of devices installed in the plant via a control network, and the plurality of devices are connected to each other. (See
また、例えば特許文献1に記載されるように、上記の制御情報ネットワークは、インターネットなどの外部ネットワークに接続される場合もあり、クラウドなどを介するなどして外部ネットワークに接続されたリモートOPSと、プラント制御装置との通信が可能とされる場合もある。この場合、上記の制御情報ネットワーク(内部ネットワーク)と外部ネットワークとの境界にはファイアウォール装置が設置される(特許文献1参照)。そして、ファイアウォール装置が、外部ネットワークからの許可されていない通信を遮断し、許可された通信のみ転送するなどのアクセス制御を実行することで、制御情報ネットワークに接続されるプラント制御装置や制御ネットワーク側の機器の保護がなされる。
Further, as described in
特許文献1〜2が開示するように、制御情報ネットワーク(以下、適宜、内部ネットワーク)上に専用のファイアウォール装置を設置する場合には、例えば内部ネットワークに不正なコンピュータ機器が接続されるなど、物理的に迂回された経路を形成された場合には脆弱である。そこで、本発明者らは、ソフトウェアベースのファイアウォールを監視制御装置に組み込むことを考えたが、監視制御装置に組み込むと監視制御装置の制御または監視のための演算能力が低下するため、この手法では、特に大量の通信が到着した場合に脆弱である。
As disclosed in
上述の事情に鑑みて、本発明の少なくとも一実施形態は、監視または制御のための演算能力に影響を与えることなくファイアウォールの機能を組み込んだ監視制御装置を提供することを目的とする。 In view of the above circumstances, at least one embodiment of the present invention aims to provide a monitoring and control device incorporating a function of a firewall without affecting the computing capability for monitoring or control.
(1)本発明の少なくとも一実施形態に係る監視制御装置は、
制御ネットワークおよび内部ネットワークにそれぞれ接続され、前記制御ネットワークに接続された機器の制御または監視のための演算を実行する監視制御装置であって、
前記内部ネットワークを介して通信される通信データに応じた前記演算を実行するよう構成された演算処理部と、
前記内部ネットワークに接続され、前記内部ネットワークを介した通信の受信処理を含む通信処理を実行するよう構成された装置外通信部と、
前記装置外通信部によって前記受信処理された前記通信データを前記演算処理部に転送して良いか否かの許可判定を行うよう構成された論理回路を有するファイアウォール部と、
前記ファイアウォール部で許可された場合に、前記通信データを前記演算処理部に転送するよう構成された装置内通信部と、を備える。
(1) The monitoring control device according to at least one embodiment of the present invention includes:
A monitoring control device that is connected to the control network and the internal network, and performs an operation for controlling or monitoring the device connected to the control network,
An arithmetic processing unit configured to execute the arithmetic according to communication data communicated via the internal network,
An external device communication unit connected to the internal network and configured to execute a communication process including a reception process of communication via the internal network,
A firewall unit having a logic circuit configured to perform a permission determination as to whether or not the communication data subjected to the reception processing by the external device communication unit may be transferred to the arithmetic processing unit,
An internal communication unit configured to transfer the communication data to the arithmetic processing unit when permitted by the firewall unit.
上記(1)の構成によれば、監視制御装置には、自身宛ての通信に対してアクセス制御を行う論理回路を有するファイアウォール部(ハードウェア)が組み込まれており、ファイアウォール部で許可された通信データに対してのみ演算処理部によって演算処理される。換言すれば、監視制御装置の内部にハードウェアベースのファイアウォール(ハードウェアファイアウォール)が実装されている。よって、演算処理部の演算能力に影響を与えることなくアクセス制御を行うことができる。また、内部ネットワークと外部ネットワークとの境界に位置するファイアウォール装置を物理的に迂回するような迂回経路が形成された場合であっても、装置内部のファイアウォール部によって監視制御装置を適切に保護することができ、その信頼性を向上させることができる。 According to the above configuration (1), the monitoring control device incorporates a firewall unit (hardware) having a logic circuit that performs access control for communication addressed to itself, and the communication permitted by the firewall unit is performed. The arithmetic processing unit performs arithmetic processing only on the data. In other words, a hardware-based firewall (hardware firewall) is implemented inside the monitoring control device. Therefore, access control can be performed without affecting the arithmetic performance of the arithmetic processing unit. In addition, even when a bypass route that physically bypasses the firewall device located at the boundary between the internal network and the external network is formed, the monitoring and control device is appropriately protected by the firewall unit inside the device. And its reliability can be improved.
(2)幾つかの実施形態では、上記(1)の構成において、
前記装置内通信部と前記演算処理部とを接続する伝送線と、
前記装置外通信部、前記ファイアウォール部、前記装置内通信部、前記演算処理部、および前記伝送線を収容する筐体と、をさらに備える。
上記(2)の構成によれば、監視制御装置の筐体内に、演算処理部とは別に動作するハードウェアファイアウォールを収容することにより、ファイアウォールの物理的な迂回経路の形成を阻止し、監視制御装置の信頼性を向上させることができる。
(2) In some embodiments, in the configuration of the above (1),
A transmission line connecting the in-device communication unit and the arithmetic processing unit,
The apparatus further includes a housing that houses the external communication unit, the firewall unit, the internal communication unit, the arithmetic processing unit, and the transmission line.
According to the configuration (2), a hardware firewall that operates independently of the arithmetic processing unit is accommodated in the housing of the monitoring and control device, thereby preventing the formation of a physical bypass route of the firewall and controlling the monitoring. The reliability of the device can be improved.
(3)幾つかの実施形態では、上記(2)の構成において、
前記伝送線は、共通バスである。
上記(3)の構成によれば、監視制御装置の内部にハードウェアファイアウォールを実装することができる。
(3) In some embodiments, in the configuration of the above (2),
The transmission line is a common bus.
According to the above configuration (3), a hardware firewall can be implemented inside the monitoring control device.
(4)幾つかの実施形態では、上記(1)〜(3)の構成において、
前記ファイアウォール部を構成する前記論理回路は、プログラマブルロジックデバイス(PLD)で構成されている。
上記(4)の構成によれば、監視制御装置の内部に、演算処理部とは別に動作するハードウェアファイアウォールを実装することができる。
(4) In some embodiments, in the above configurations (1) to (3),
The logic circuit configuring the firewall unit is configured by a programmable logic device (PLD).
According to the above configuration (4), a hardware firewall that operates independently of the arithmetic processing unit can be mounted inside the monitoring control device.
(5)幾つかの実施形態では、上記(1)〜(4)の構成において、
前記ファイアウォール部は、ホワイトリストを用いて前記許可判定を行う。
上記(5)の構成によれば、ホワイトリストに登録された通信のみを許可し、それ以外を遮断することにより、監視制御装置を適切に保護することができる。
(5) In some embodiments, in the above configurations (1) to (4),
The firewall unit performs the permission determination using a whitelist.
According to the configuration of the above (5), only the communication registered in the white list is permitted, and other communication is blocked, so that the monitoring control device can be appropriately protected.
(6)幾つかの実施形態では、上記(1)〜(5)の構成において、
前記演算処理部は、プラントの制御または監視のための演算を実行するよう構成される。
上記(6)の構成によれば、ハードウェアファイアウォールを内部に備えるプラントの監視制御装置を提供することができる。
(6) In some embodiments, in the above configurations (1) to (5),
The arithmetic processing unit is configured to execute an operation for controlling or monitoring a plant.
According to the above configuration (6), it is possible to provide a plant monitoring and control device including a hardware firewall therein.
(7)幾つかの実施形態では、上記(1)〜(6)の構成において、
前記内部ネットワークは、外部ファイアウォール装置を介して外部ネットワークに接続される。
上記(7)の構成によれば、監視制御装置は、その内部のファイアウォール部と、制御情報ネットワークと外部ネットワークとの境界に設置される外部ファイアウォール装置により、二重に保護される。これによって、例えば内部ネットワークに不正なコンピュータ機器が接続された場合など、外部ファイアウォール装置を物理的に迂回された経路を形成された場合にも、監視制御装置を保護することができる。
(7) In some embodiments, in the above configurations (1) to (6),
The internal network is connected to an external network via an external firewall device.
According to the configuration (7), the monitoring control device is double protected by the internal firewall unit and the external firewall device installed at the boundary between the control information network and the external network. Accordingly, even when a route that physically bypasses the external firewall device is formed, for example, when an unauthorized computer device is connected to the internal network, the monitoring control device can be protected.
本発明の少なくとも一実施形態によれば、監視または制御のための演算能力に影響を与えることなくファイアウォールの機能を組み込んだ監視制御装置が提供される。 According to at least one embodiment of the present invention, there is provided a monitoring and control device incorporating a firewall function without affecting the computing power for monitoring or control.
以下、添付図面を参照して本発明の幾つかの実施形態について説明する。ただし、実施形態として記載されている又は図面に示されている構成部品の寸法、材質、形状、その相対的配置等は、本発明の範囲をこれに限定する趣旨ではなく、単なる説明例にすぎない。
例えば、「ある方向に」、「ある方向に沿って」、「平行」、「直交」、「中心」、「同心」或いは「同軸」等の相対的或いは絶対的な配置を表す表現は、厳密にそのような配置を表すのみならず、公差、若しくは、同じ機能が得られる程度の角度や距離をもって相対的に変位している状態も表すものとする。
例えば、「同一」、「等しい」及び「均質」等の物事が等しい状態であることを表す表現は、厳密に等しい状態を表すのみならず、公差、若しくは、同じ機能が得られる程度の差が存在している状態も表すものとする。
例えば、四角形状や円筒形状等の形状を表す表現は、幾何学的に厳密な意味での四角形状や円筒形状等の形状を表すのみならず、同じ効果が得られる範囲で、凹凸部や面取り部等を含む形状も表すものとする。
一方、一の構成要素を「備える」、「具える」、「具備する」、「含む」、又は、「有する」という表現は、他の構成要素の存在を除外する排他的な表現ではない。
Hereinafter, some embodiments of the present invention will be described with reference to the accompanying drawings. However, the dimensions, materials, shapes, relative arrangements, and the like of the components described in the embodiments or shown in the drawings are not intended to limit the scope of the present invention thereto, but are merely illustrative examples. Absent.
For example, expressions representing relative or absolute arrangement such as “in a certain direction”, “along a certain direction”, “parallel”, “orthogonal”, “center”, “concentric” or “coaxial” are strictly described. Not only does such an arrangement be shown, but also a state of being relatively displaced by an angle or distance that allows the same function to be obtained.
For example, expressions such as "identical", "equal", and "homogeneous", which indicate that things are in the same state, not only represent exactly the same state, but also have a tolerance or a difference to the extent that the same function is obtained. An existing state shall also be represented.
For example, the expression representing a shape such as a square shape or a cylindrical shape not only represents a shape such as a square shape or a cylindrical shape in a strictly geometrical sense, but also an uneven portion or a chamfer as long as the same effect can be obtained. A shape including a part and the like is also represented.
On the other hand, the expression “comprising”, “comprising”, “including”, “including”, or “having” one component is not an exclusive expression excluding the existence of another component.
図1は、本発明の一実施形態に係る監視制御装置1を備える産業制御システムSの構成を概略的に示す図である。図1に示す産業制御システムSは、発電プラントなどのプラント9の監視および制御のためのプラントシステムである。また、図2に示す監視制御装置1は、プラント9の自動制御および現場との入出力処理を行うプロセスステーション(PS)やPLC(Programable Logic Controller)といった分散型制御システム(DCS:Distributed Control System)などを構成するプラント制御装置である。なお、他の幾つかの実施形態では、監視制御装置1は、製造機器の制御を行う装置との入出力や各種の演算処理を行う装置など、他の制御システムにおける監視制御装置1であっても良い。
FIG. 1 is a diagram schematically illustrating a configuration of an industrial control system S including a
より詳細には、図1に示す実施形態では、監視制御装置1は、制御ネットワーク6(コントロールネットワーク)を介して、プラント9に設置された複数のフィールド機器91に接続される。これらのフィールド機器91は、例えば温度、流量、圧力などを計測する各種の計測器(センサ)や、ダンパや調節弁(バルブ)といった操作端などであり、制御ネットワーク6は、このようなフィールド機器91と監視制御装置1とを接続する通信ネットワークである。そして、監視制御装置1は、計測器によって計測される各種の計測データやイベント通知などの少なくとも1つを含むプラントデータを収集すると共に、収集した1以上のプラントデータを用いて各種の演算を実行し、その演算結果を操作端に送信することによりプラント9の自動制御を実行する。
More specifically, in the embodiment illustrated in FIG. 1, the
また、図1に示すように、監視制御装置1は、例えばイーサネット(登録商標)などで構築されたLAN(Local Area Network)などの制御情報ネットワーク7(内部ネットワーク。以下同様)に接続される。制御情報ネットワーク7は、プラントの制御や監視、管理を行うための各種のコンピュータ装置を監視制御装置1に接続するための通信ネットワークである。
As shown in FIG. 1, the
図1に示す実施形態では、制御情報ネットワーク7はIPネットワークであり、例えば、プラント9の操作および監視を行うヒューマンマシンインタフェース(HMI)となるオペレータステーション(OPS71)や、プラントデータの大容量保存・管理を行うACS72(Accessory Station)などが接続される。そして、監視制御装置1は、制御ネットワーク6を介して収集したプラントデータを、制御情報ネットワーク7に接続されたACS72(Accessory Station)に対して定期的または要求に応じて送信する。また、監視制御装置1は、制御情報ネットワーク7を介してOPS71などと通信し、OPS71などから送信された通信データDに応じた処理を実行し、必要に応じてその処理結果を通信元に応答したりする。
In the embodiment shown in FIG. 1, the
また、上記の制御情報ネットワーク7と、インターネットなどの外部ネットワーク8との間には、ファイアウォール装置(外部ファイアウォール装置73)が設置されており、制御情報ネットワーク7に接続された上述した監視制御装置1を含む装置と外部ネットワーク8側のOPS、ACSなどのコンピュータ装置との間で双方向の通信が可能となっている。より具体的には、例えば、制御情報ネットワーク7側のACS72に保存されたプラントデータを外部ネットワーク8側のクラウド(不図示)やリモートOPS(不図示)などに送信したり、クラウドに接続されたクラウドOPS(不図示)やリモートOPS(不図示)との間の通信データD(例えば命令やその応答)の送受信が可能とされても良い。
Further, a firewall device (external firewall device 73) is provided between the
この際、上記の外部ファイアウォール装置73は、自装置を介した外部ネットワーク8側と制御情報ネットワーク7側との通信に対してアクセス制御を行うことにより、外部ネットワーク8側からの許可されていない通信を遮断し、制御情報ネットワーク7側を不正アクセスや攻撃などから保護するよう構成される。具体的には、外部ファイアウォール装置73は、パケットフィルタリングや、ステートフルインスペクションを実行したり、アプリケーションファイアウォールとして機能しても良い。なお、他の幾つかの実施形態では、制御情報ネットワーク7に設置されるOPS71やACS72などが監視制御装置1に個別配線で直接接続されていても良く、この場合には、上記の外部ファイアウォール装置73は設置されない。
At this time, the
以下、上述したプラントシステムを例に、本発明の監視制御装置1を説明する。図2は、本発明の一実施形態に係るプラント9の監視制御装置1の構成を概略的に示す図である。
Hereinafter, the monitoring and
監視制御装置1は、制御ネットワーク6および制御情報ネットワーク7(内部ネットワーク。以下同様。)にそれぞれ接続され、制御ネットワーク6に接続された機器(図1では、各種のフィールド機器91)の制御または監視のための演算を実行するよう構成された装置である。図2に示すように、監視制御装置1は、装置外通信部21と、ファイアウォール部22と、装置内通信部23と、演算処理部3と、を備える。
これらの監視制御装置1が備える構成について、それぞれ説明する。
The
The configurations of these
なお、図2に示す実施形態では、装置外通信部21と、ファイアウォール部22と、装置内通信部23とが、制御情報ネットワーク7に対するインターフェース部2を構成している。つまり、インターフェース部2は、制御情報ネットワーク7および演算処理部3にそれぞれ接続され、演算処理部3が制御情報ネットワーク7を介した通信を行うため機能を提供するよう構成されている。
In the embodiment shown in FIG. 2, the
演算処理部3は、制御情報ネットワーク7を介して通信される通信データDに応じた制御または監視のための演算を実行するよう構成される。より詳細には、演算処理部3は、図示しないCPU(プロセッサ)や、ROMやRAMといったメモリを備え、例えばメモリにロードされたプログラムの命令に従ってCPUが動作(データの演算など)することにより、制御演算など通信データDに応じた演算を実行する。演算処理部3は、その演算の実行の結果を、制御ネットワーク6に接続されたフィールド機器91や、通信データDの通信元に必要に応じて送信する。
The arithmetic processing unit 3 is configured to execute arithmetic for control or monitoring according to the communication data D communicated via the
例えば、上記の通信データDは、監視制御装置1に対する命令が含まれている。この命令は、例えばフィールド機器91に対して行う制御命令であっても良く、計測値や機器情報などの取得するための命令であっても良い。上記の命令は、監視制御装置1の情報を読み出したり、設定を行ったりするための命令であっても良い。このような命令は、制御情報ネットワーク7に接続されたOPS71などの装置や、外部ネットワーク8に接続されたOPSなどの装置をオペレータが操作することが契機となって、通信されても良い。
For example, the communication data D includes an instruction for the
装置外通信部21は、制御情報ネットワーク7を介した通信が可能なように制御情報ネットワーク7に接続され、制御情報ネットワーク7を介した通信の受信処理を含む通信処理を実行するよう構成される。例えば、制御情報ネットワーク7や外部ネットワーク8に接続された例えばOPS71などのコンピュータ装置は、通信先に送信する通信データDのIPパケット化、MACフレーム化などの送信処理を行い、制御情報ネットワーク7に送信する。装置外通信部21は、こうして制御情報ネットワーク7を伝送されている伝送フレームFrのうちの自装置宛ての伝送フレームFrを受信処理によって内部に取り込む。
The external
図2に示す実施形態では、装置外通信部21は、上記の受信処理を実行する受信処理部21rを備えている。受信処理部21rは、伝送フレームFrの宛先アドレスを確認することにより、制御情報ネットワーク7を伝送された自装置宛ての伝送フレームFrを受信するよう構成される。また、装置外通信部21は、通信先に通信データDを送信する送信処理部21sをさらに有しており、送信処理部21sは、演算処理部3から送信された(受け渡された)通信データD(送信データDs)に対して送信処理(前述)を行い、制御情報ネットワーク7に送信フレームFsを送信するよう構成される。
In the embodiment shown in FIG. 2, the
ファイアウォール部22は、上述した装置外通信部21によって受信処理された通信データDを演算処理部3に転送(送信)して良いか否かの許可判定を行うよう構成された論理回路22cを有する。図2に示すように、ファイアウォール部22は、装置外通信部21に接続されており、装置外通信部21から、その受信処理により装置内に取り込まれたデータ(以下、受信データDr)が転送される。ファイアウォール部22は、通信を許可した場合には、少なくとも受信データDrに含まれる通信データDを、ファイアウォール部22に接続された装置内通信部23に転送する。
The
図2に示す実施形態では、ファイアウォール部22(論理回路22c)は、ホワイトリストなどあらかじめ設定したルールに基づいて通信(受信データDr)の許可、不許可を行うパケットフィルタリングなどのアクセス制御を行うように構成されている。例えば、MACアドレスなどのレイヤ2のアドレスや、IPアドレスなどのレイヤ3のアドレス、ポート番号、これらの少なくとも2つの組合せなどに基づいてパケットフィルタリングを行っても良いし、アプリケーションレイヤのデータ(通信データD)に基づいてフィルタリングを行っても良い。また、ステートフルインスペクションを実行しても良い。
In the embodiment illustrated in FIG. 2, the firewall unit 22 (the logic circuit 22c) performs access control such as packet filtering for permitting or disallowing communication (reception data Dr) based on a preset rule such as a whitelist. Is configured. For example, packet filtering may be performed based on a
装置内通信部23は、上述したファイアウォール部22で許可された場合に、通信データDを演算処理部3に転送(送信)するよう構成される。装置内通信部23は、通信データDを演算処理部3に転送する際には、通信データDと共に、IPアドレスやポート番号などの、通信元の装置を特定する情報を演算処理部3に送信しても良い。図2に示す実施形態では、装置内通信部23と演算処理部3とは伝送線4によって接続されており、伝送線4を介して通信データD等の転送がなされる。より詳細には、図2に示す実施形態では、伝送線4は、PCI(Peripheral Components Interconnect)バスなどの共通バスであるが、他の幾つかの実施形態ではシリアル通信のためのシリアル伝送路であっても良い。
The in-device communication unit 23 is configured to transfer (transmit) the communication data D to the arithmetic processing unit 3 when permitted by the
その他、監視制御装置1は、図2(図1も同様)に示すように、制御ネットワーク6に接続するためのインターフェース部(ネットワークアダプタ。以下、制御ネットワークIF部5)を有している。この制御ネットワークIF部5は、共通バス(伝送線4)に接続されることにより、演算処理部3との通信が可能とされる。また、フィールド機器91は、IOモジュール14を介して制御ネットワーク6に接続されており、監視制御装置1とフィールド機器91との間の通信は、制御ネットワーク6およびIOモジュール14を介して行われる。
In addition, as shown in FIG. 2 (also in FIG. 1), the
なお、上述した装置外通信部21および装置内通信部23も、それぞれ個別の演算回路で構成されても良く、それぞれデバイス化された装置外通信部21と、ファイアウォール部22と、装置内通信部23とが、内部バスや高速シリアル転送デバイスなどの信号線で接続されても良い。あるいは、装置外通信部21または装置内通信部23の少なくとも一方が、ファイアウォール部22を構成する論理回路22cと同一のパッケージ基板上に形成しても良い。また、装置外通信部21、ファイアウォール部22、および装置内通信部がモジュール化されている場合には、モジュール内にCPUおよびメモリを設け、ソフト的に装置外通信部21および装置内通信部23の機能を実現しても良い。この際、このCPUやメモリは、ファイアウォール部22の論理回路22cに構成されていても良い。
Note that the above-described external
上記の構成によれば、監視制御装置1には、自身宛ての通信に対してアクセス制御を行う論理回路22cを有するファイアウォール部22(ハードウェア)が組み込まれており、ファイアウォール部22で許可された通信データDに対してのみ演算処理部3によって演算処理される。換言すれば、監視制御装置1の内部にハードウェアベースのファイアウォール(ハードウェアファイアウォール)が実装されている。よって、演算処理部3の演算能力に影響を与えることなくアクセス制御を行うことができる。また、制御情報ネットワーク7と外部ネットワーク8との境界に位置するファイアウォール装置(73)を物理的に迂回するような迂回経路が形成された場合であっても、装置内部のファイアウォール部22によって監視制御装置1を適切に保護することができ、その信頼性を向上させることができる。
According to the above configuration, the firewall unit 22 (hardware) having the logic circuit 22c for performing access control on the communication addressed to itself is incorporated into the
幾つかの実施形態では、図1〜図2に示すように、上述した監視制御装置1は、上述した装置外通信部21、ファイアウォール部22、装置内通信部23(インターフェース部2)と、演算処理部3と、伝送線4とを収容する筐体、をさらに備える。より詳細には、図1〜図2に示す実施形態では、インターフェース部2、演算処理部3、制御ネットワークIF部5は、それぞれこの単位で、異なる回路基板上に構成されることによりモジュール化(カード化)されている。また、各モジュール(カード)が筐体12の内部に搭載(設置)されることで、筐体12の内部に設置された、各モジュールを相互に接続する伝送線4(共通バス)に接続されるようになっている。
In some embodiments, as shown in FIGS. 1 and 2, the above-described
ただし、本実施形態に本発明は限定されない。他の幾つかの実施形態では、ファイアウォール部22が、演算処理部3のモジュール内に設けられるなど、各モジュール(ハードウェア)に対する機能分散は、任意であって良い。その他の実施形態では、インターフェース部2と、演算処理部3と、伝送線4が同一の回路基板上に実装されていても良い。
However, the present invention is not limited to this embodiment. In some other embodiments, the function distribution for each module (hardware) may be arbitrary such that the
上記の構成によれば、監視制御装置1の筐体4内に、演算処理部3とは別に動作するハードウェアファイアウォールを収容することにより、ファイアウォールの物理的な迂回経路の形成を阻止し、監視制御装置1の信頼性を向上させることが可能となる。
According to the above configuration, a hardware firewall that operates separately from the arithmetic processing unit 3 is accommodated in the
また、幾つかの実施形態では、ファイアウォール部22を構成する論理回路22cは、プログラマブルロジックデバイス(PLD)で構成されても良い。すなわち、ファイアウォール部22は、例えばFPGA(Field−Programmable Gate Array)などのPLD(Programmable Logic Device)といった、設計者が任意の論理回路22cを構成可能な集積回路を用いて構成されている。図2に示す実施形態では、FPGA上に図示しないCPU(プロセッサ)や、ROMやRAMといったメモリを形成し、メモリにロードされたプログラムの命令に従ってCPUが動作(データの演算など)することで、ファイアウォール部22が備える機能を実現している。
Further, in some embodiments, the logic circuit 22c included in the
なお、他の幾つかの実施形態では、FPGA上で論理回路22cを組み合わせることでパケットフィルタリングの各ロジックを実現しても良い。その他の幾つかの実施形態では、ファイアウォール部22をASICで構成しても良い。また、装置外通信部21と、ファイアウォール部22と、装置内通信部23とをFPGA(PLD)で構成しても良い。
In some other embodiments, each logic of packet filtering may be realized by combining the logic circuit 22c on the FPGA. In some other embodiments, the
上記の構成によれば、監視制御装置1の内部に、演算処理部3とは別に動作するハードウェアファイアウォールを実装することができる。
According to the above configuration, a hardware firewall that operates separately from the arithmetic processing unit 3 can be mounted inside the
本発明は上述した実施形態に限定されることはなく、上述した実施形態に変形を加えた形態や、これらの形態を適宜組み合わせた形態も含む。 The present invention is not limited to the above-described embodiment, and includes a form in which the above-described embodiment is modified and a form in which these forms are appropriately combined.
1 監視制御装置
12 筐体
14 IOモジュール
2 インターフェース部
21 装置外通信部
21r 受信処理部
21s 送信処理部
22 ファイアウォール部
22c 論理回路
23 装置内通信部
3 演算処理部
4 伝送線
5 制御ネットワークIF部
6 制御ネットワーク
7 制御情報ネットワーク
73 外部ファイアウォール装置
8 外部ネットワーク
9 プラント
91 フィールド機器
D 通信データ
Dr 受信データ
Ds 送信データ
Fr 伝送フレーム
Fs 送信フレーム
REFERENCE SIGNS
Claims (7)
前記内部ネットワークを介して通信される通信データに応じた前記演算を実行するよう構成された演算処理部と、
前記内部ネットワークに接続され、前記内部ネットワークを介した通信の受信処理を含む通信処理を実行するよう構成された装置外通信部と、
前記装置外通信部によって前記受信処理された前記通信データを前記演算処理部に転送して良いか否かの許可判定を行うよう構成された論理回路を有するファイアウォール部と、
前記ファイアウォール部で許可された場合に、前記通信データを前記演算処理部に転送するよう構成された装置内通信部と、を備えることを特徴とする監視制御装置。 A monitoring control device that is connected to the control network and the internal network, and performs an operation for controlling or monitoring the device connected to the control network,
An arithmetic processing unit configured to execute the arithmetic according to communication data communicated via the internal network,
An external device communication unit connected to the internal network and configured to execute a communication process including a reception process of communication via the internal network,
A firewall unit having a logic circuit configured to perform a permission determination as to whether or not the communication data subjected to the reception processing by the external device communication unit may be transferred to the arithmetic processing unit,
And a communication unit configured to transfer the communication data to the arithmetic processing unit when permitted by the firewall unit.
前記装置外通信部、前記ファイアウォール部、前記装置内通信部、前記演算処理部、および前記伝送線を収容する筐体と、をさらに備えることを特徴とする請求項1に記載の監視制御装置。 A transmission line connecting the in-device communication unit and the arithmetic processing unit,
The monitoring control apparatus according to claim 1, further comprising: a housing that houses the external communication unit, the firewall unit, the internal communication unit, the arithmetic processing unit, and the transmission line.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018145597A JP2020021338A (en) | 2018-08-02 | 2018-08-02 | Monitoring controller |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018145597A JP2020021338A (en) | 2018-08-02 | 2018-08-02 | Monitoring controller |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2020021338A true JP2020021338A (en) | 2020-02-06 |
Family
ID=69589849
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018145597A Pending JP2020021338A (en) | 2018-08-02 | 2018-08-02 | Monitoring controller |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2020021338A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7477939B2 (en) | 2021-09-06 | 2024-05-02 | 株式会社Tmeic | Switching Device |
-
2018
- 2018-08-02 JP JP2018145597A patent/JP2020021338A/en active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7477939B2 (en) | 2021-09-06 | 2024-05-02 | 株式会社Tmeic | Switching Device |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6638089B2 (en) | Connection unit, monitoring system and operation method for operation of automation system | |
US10140049B2 (en) | Partitioning systems operating in multiple domains | |
JP6269683B2 (en) | Quarantine protection system and method it performs bi-directional packet filtering inspection | |
US10901392B2 (en) | Method and system for monitoring a plant of process automation | |
US20080195747A1 (en) | Control protocol encapsulation | |
CN102739639B (en) | For the interface module of modular control system | |
US10503668B2 (en) | Intelligent field input/output (I/O) terminal for industrial control and related system and method | |
CN111052705B (en) | Method and automation and/or communication device for checking datagrams transmitted in an industrial automation system | |
US11579592B2 (en) | Systems and methods for control system security | |
US9344296B2 (en) | Access protection accessory for an automation network | |
JP2020021338A (en) | Monitoring controller | |
EP3729773B1 (en) | One-way data transfer device with onboard system detection | |
US10003575B2 (en) | Network management system | |
CN114397854A (en) | Bus type main control system suitable for underground comprehensive pipe gallery | |
EP3566170B1 (en) | Securing an unprotected hardware bus | |
US20160269358A1 (en) | Method for checking ip address collision of ethernet communication module of plc | |
US11709970B1 (en) | One-way communication data diode on a chip | |
US20130110973A1 (en) | Programmable logic controller | |
JP2016218860A (en) | Centralized management system for power supply control device and power supply control device | |
JP7390879B2 (en) | Communication processing device, communication processing method and program, and data structure of the header part of the network layer | |
WO2023079652A1 (en) | Control device, control method, and cloud system | |
JP7277206B2 (en) | Communication control device and method | |
WO2019198456A1 (en) | Safety control system and control method in safety control system | |
JP2020027963A (en) | Relay device, relay method and relay program | |
JP2015153150A (en) | Communication system, transmission device, reception device, debug method, and program |