JP3446891B2 - 監視システム - Google Patents
監視システムInfo
- Publication number
- JP3446891B2 JP3446891B2 JP2000379920A JP2000379920A JP3446891B2 JP 3446891 B2 JP3446891 B2 JP 3446891B2 JP 2000379920 A JP2000379920 A JP 2000379920A JP 2000379920 A JP2000379920 A JP 2000379920A JP 3446891 B2 JP3446891 B2 JP 3446891B2
- Authority
- JP
- Japan
- Prior art keywords
- computer
- access
- firewall
- monitoring
- information system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Description
アクセスを監視する監視システムに関するものである。
ンフラストラクチャーであるため、これらのプラントが
サイバーテロリストやクラッカー等によって不正アクセ
スを受けると、社会生活に大きな支障をきたすことがあ
る。昨今におけるサイバーテロリストによる中央官庁の
ホームページ改竄に見られるように、ネットワークを経
由した不正アクセスは大きな脅威になっている。DCS
(分散形制御システム)を含むプラント制御システムの
オープン化の流れを考えると、プラントに対する不正ア
クセスの脅威を現実の問題として認識し、適切な対応を
取ることが必要である。
の接続状態を示した図である。図2で、制御系システム
10はプラント制御システムに相当し、プラント20に
存在する温度、圧力等のプロセス量を制御してプラント
を制御運転する。制御系システム10は、操作監視ステ
ーション11と制御ステーション12を制御系ネットワ
ーク13に接続し、制御ステーション12はプラントの
制御を担当し、操作監視ステーション11はプラントの
運転操作と監視を担当する構成をとっている。制御対象
であるプラントの規模に応じて複数の制御ステーション
がプラントに分散配置される。生産管理コンピュータ1
4は、情報系システム30から生産指令を受け付け、受
け付けた指令に応じて制御系システム10に指令を送
り、プラント20の生産管理を行う。ネットワーク15
には、操作監視ステーション11と生産管理コンピュー
タ14が接続されている。
0よりも上位階層にある。情報系システム30では、販
売システム31と工場ホストコンピュータ32が情報系
ネットワーク33に接続されている。販売システム31
は、プラントで生産した製品の販売を管理する。工場ホ
ストコンピュータ32は、プラント工場を統合管理す
る。操作監視ステーション11は情報系ネットワーク3
3に接続され、これによって、情報系システム30と制
御系システム10の間の通信が行われる。
情報系システム30とインターネット50との間に介在
し、インターネット50を経由した情報系システム30
へのアクセスを制限するファイアウォールの機能を果た
す。ファイアウォール用コンピュータ40は、プラント
工場内のイントラネットと外部のインターネットとの間
に介在している。
ト50上のコンピュータ60からアクセスが行われる
と、ファイアウォール用コンピュータ40は、特定のア
ドレスやプロトコルだけしか通さないため、不正アクセ
スはファイアウォール用コンピュータ40でブロックさ
れる。このようにして不正アクセスを阻止する。しか
し、図2のネットワーク構成では、アクセスがファイア
ウォール用コンピュータ40をくぐり抜けると、情報系
システム30と制御系システム10の間ではほとんど障
壁がないため、容易にプラントに不正アクセスを許すこ
とになる。このことから、図2のネットワーク構成で
は、プラントのセキュリティが十分でないという問題点
があった。
点を解決するためになされたものであり、情報系システ
ムと制御系システムの間にファイアウォール用コンピュ
ータを設けるとともに、ファイアウォール用コンピュー
タを通過した後のアクセス経路を監視する装置を設ける
ことによって、監視対象に対して十分なセキュリティを
確保できる監視システムを実現することを目的とする。
成になった監視システムである。
る監視システムにおいて、監視対象を管理する情報系シ
ステムとインターネットの間に介在し、インターネット
を経由した情報系システムへのアクセスを制限するファ
イアウォールの機能を果たす第1のファイアウォール用
コンピュータと、 前記情報系システムと監視対象を制御
する制御系システムとの間に介在し、前記情報系システ
ムから制御系システムへのアクセスを制限するファイア
ウォールの機能を果たす第2のファイアウォール用コン
ピュータと、この第2のファイアウォール用コンピュー
タに結合されたバス上に接続されたコンピュータと、前
記バス上の通信を監視する監視装置と、を有し、前記第
2のファイアウォール用コンピュータを通過したアクセ
スは前記バス上に送られ、前記監視装置は、第2のファ
イアウォール用コンピュータを通過したアクセスが前記
コンピュータへのアクセスであるときは正当なアクセス
とし、このアクセスが前記コンピュータへのアクセスで
ないときは不正なアクセスとすることを特徴とする監視
システム。
る監視システムにおいて、プラントの生産管理を行う情
報系システムとインターネットの間に介在し、インター
ネットを経由した情報系システムへのアクセスを制限す
るファイアウォールの機能を果たす第1のファイアウォ
ール用コンピュータと、 前記情報系システムとプラント
を制御運転する制御系システムとの間に介在し、前記情
報系システムから制御系システムへのアクセスを制限す
るファイアウォールの機能を果たす第2のファイアウォ
ール用コンピュータと、この第2のファイアウォール用
コンピュータに結合されたバス上に接続されたコンピュ
ータと、前記バス上の通信を監視する監視装置と、を有
し、前記第2のファイアウォール用コンピュータを通過
したアクセスは前記バス上に送られ、前記監視装置は、
第2のファイアウォール用コンピュータを通過したアク
セスが前記コンピュータへのアクセスであるときは正当
なアクセスとし、このアクセスが前記コンピュータへの
アクセスでないときは不正なアクセスとすることを特徴
とする監視システム。
ムから生産指令を受け付け、受け付けた指令に応じてプ
ラントの生産管理を行う生産管理コンピュータであるこ
とを特徴とする(2)記載の監視システム。
ムからの要求に応じて制御系システムの情報を情報系シ
ステムに送るWebサーバであることを特徴とする
(2)記載の監視システム。
れる通信のログをとり、このログをもとに不正アクセス
を摘出することを特徴とする(2)記載の監視システ
ム。
出したときは、前記第2のファイアウォール用コンピュ
ータに対してアクセスの通過を阻止する指令を与えるこ
とを特徴とする(2)記載の監視システム。
出したときは、不正アクセスの検出を通知することを特
徴とする(2)記載の監視システム。
説明する。図1は本発明の一実施例を示す構成図であ
る。図1で図2と同一のものは同一符号を付ける。図1
で、ファイアウォール用コンピュータ70は、情報系シ
ステム30と制御系システム10との間に介在し、情報
系システム30から制御系システム10へのアクセスを
制限するファイアウォールの機能を果たす。バス80
は、ファイアウォール用コンピュータ70に接続されて
いる。
に接続され、ファイアウォール用コンピュータ70を通
過したアクセスを受け付ける。そして、受け付けたアク
セスに応じて制御系システム10へ指令を送る。例え
ば、「今日は製品AをBトン生産する。」という生産指
令が情報系システム30から生産管理コンピュータ90
に与えられると、生産管理コンピュータ90はこの指令
を実現するための具体的な指令を制御系システム10に
与え、制御系システム10を制御運転する。Webサー
バ91は、Webブラウザからの要求に応じてディスク
に保存されているHTMLファイルを送る処理等を実行
する。Webサーバ91は、情報系システム30からの
要求に応じて制御系システム10の情報を情報系システ
ムに送る。監視装置100は、バス80上の通信を監視
し、ファイアウォール用コンピュータ70を通過したア
クセスが生産管理コンピュータ90またはWebサーバ
91へのアクセスであるときは正当なアクセスとし、こ
のアクセスが生産管理コンピュータ90またはWebサ
ーバ91へのアクセスでないときは不正なアクセスとす
る。監視装置100は、不正なアクセスとしたときは、
ファイアウォール用コンピュータ70に対してアクセス
の通過を阻止する指令を与える。
ネット50を経由したプラントへのアクセスが、ファイ
アウォール用コンピュータ40と情報系システム30を
通過したものとする。制御系システム10と情報系シス
テム30の間には、不正アクセスをブロックするための
障壁を設けている。ファイアウォール用コンピュータ7
0は、プラントへのアクセスを制限する。ファイアウォ
ール用コンピュータ70の機能は設定に依存する。例え
ば、ある設定では、データ、アドレス、プロトコル等を
管理していて、特定のアドレス、データ、プロトコルだ
けしか通さない。ファイアウォール用コンピュータ70
を直接通過できる設定にはしない。ファイアウォール用
コンピュータ70を通過したアクセスは、バス80上に
送られる。監視装置100はバス80を監視する。
コンピュータ90に宛てられたアクセスが、正当な生産
指令のアクセスであるときは、ファイアウォール用コン
ピュータ70を通過したアクセスはバス80を通って生
産管理コンピュータ90へ到達する。監視装置80は、
このようなアクセス経路を見てアクセスが正当であると
判断する。このときは、生産管理コンピュータ90が発
生した指令はファイアウォール用コンピュータ70を通
過して制御系システム10に与えられる。また、情報系
ネットワーク33上のコンピュータからWebサーバ9
1に宛てられたアクセスが、正当なアクセスであるとき
は、ファイアウォール用コンピュータ70を通過したア
クセスはバス80を通ってWebサーバ91へ到達す
る。監視装置80は、このようなアクセス経路を見てア
クセスが正当であると判断する。このときは、Webサ
ーバ91の情報はファイアウォール用コンピュータ70
を通過して情報系システム30に与えられる。
過したアクセスが生産管理コンピュータ90にもWeb
サーバ91にも行かないアクセスであるときは、監視装
置80は、このアクセスを不正なアクセスと判断する。
このときは、ファイアウォール用コンピュータ70に対
してアクセスの通過を阻止する指令を与える。このよう
にしてバス80上の通信を監視装置100で監視するこ
とにより不正アクセスを検出する。また、監視装置10
0は、バス80上で行われる通信のログをとり、このロ
グをもとに不正アクセスを摘出する。
報系システム30の間では、ファイアウォール用コンピ
ュータ70と監視装置100により二段構えでアクセス
を監視し、プラントへの不正アクセスを阻止している。
用コンピュータ70と操作監視ステーション11の間に
配置してもよい。防御する対象は制御系システム10で
あるため、この入口に監視装置100を置く。
たときは、不正アクセスの検出を通知する構成にしても
良い。通知は、例えばアラーム、画面表示等によって行
ってもよい。
外のもの、例えばFA分野の生産システム等であっても
よい。
報系システムとインターネットの間に第1のファイアウ
ォール用コンピュータを設けるとともに、情報系システ
ムと制御系システムの間に第2のファイアウォール用コ
ンピュータを設けている。このため、不正アクセスが第
1のファイアウォール用コンピュータをくぐり抜けて
も、第2のファイアウォール用コンピュータが情報系シ
ステムから制御系システムへのアクセスを制限するとと
もに、監視装置が第2のファイアウォール用コンピュー
タを通過した後のアクセス経路を監視している。すなわ
ち、制御系システムと情報系システムの間では、二段構
えで不正アクセスをブロックしている。これよって、監
視対象やプラントに対して十分なセキュリティを確保で
きる。
に基づいてプラントの生産管理を行うことを防止でき
る。
に対して制御系システムの情報を転送することを防止で
きる。
ス上で行われる通信のログをとり、このログをもとに不
正アクセスを摘出しているため、適確に不正アクセスを
検出できる。
検出したときは、第2のファイアウォール用コンピュー
タに対してアクセスの通過を阻止する指令を与えるた
め、適確に不正アクセスを阻止できる。
あったことを監視員に知らせることができる。
を示した図である。
Claims (7)
- 【請求項1】監視対象への不正アクセスを監視する監視
システムにおいて、監視対象を管理する情報系システムとインターネットの
間に介在し、インターネットを経由した情報系システム
へのアクセスを制限するファイアウォールの機能を果た
す第1のファイアウォール用コンピュータと、 前記 情報系システムと監視対象を制御する制御系システ
ムとの間に介在し、前記情報系システムから制御系シス
テムへのアクセスを制限するファイアウォールの機能を
果たす第2のファイアウォール用コンピュータと、 この第2のファイアウォール用コンピュータに結合され
たバス上に接続されたコンピュータと、 前記バス上の通信を監視する監視装置と、を有し、前記
第2のファイアウォール用コンピュータを通過したアク
セスは前記バス上に送られ、前記監視装置は、第2のフ
ァイアウォール用コンピュータを通過したアクセスが前
記コンピュータへのアクセスであるときは正当なアクセ
スとし、このアクセスが前記コンピュータへのアクセス
でないときは不正なアクセスとすることを特徴とする監
視システム。 - 【請求項2】プラントへの不正アクセスを監視する監視
システムにおいて、プラントの生産管理を行う情報系システムとインターネ
ットの間に介在し、インターネットを経由した情報系シ
ステムへのアクセスを制限するファイアウォールの機能
を果たす第1のファイアウォール用コンピュータと、 前記 情報系システムとプラントを制御運転する制御系シ
ステムとの間に介在し、前記情報系システムから制御系
システムへのアクセスを制限するファイアウォールの機
能を果たす第2のファイアウォール用コンピュータと、 この第2のファイアウォール用コンピュータに結合され
たバス上に接続されたコンピュータと、 前記バス上の通信を監視する監視装置と、を有し、前記
第2のファイアウォール用コンピュータを通過したアク
セスは前記 バス上に送られ、前記監視装置は、第2のフ
ァイアウォール用コンピュータを通過したアクセスが前
記コンピュータへのアクセスであるときは正当なアクセ
スとし、このアクセスが前記コンピュータへのアクセス
でないときは不正なアクセスとすることを特徴とする監
視システム。 - 【請求項3】前記コンピュータは、情報系システムから
生産指令を受け付け、受け付けた指令に応じてプラント
の生産管理を行う生産管理コンピュータであることを特
徴とする請求項2記載の監視システム。 - 【請求項4】前記コンピュータは、情報系システムから
の要求に応じて制御系システムの情報を情報系システム
に送るWebサーバであることを特徴とする請求項2記
載の監視システム。 - 【請求項5】前記監視装置は、前記バス上で行われる通
信のログをとり、このログをもとに不正アクセスを摘出
することを特徴とする請求項2記載の監視システム。 - 【請求項6】前記監視装置は、不正アクセスを検出した
ときは、前記第2のファイアウォール用コンピュータに
対してアクセスの通過を阻止する指令を与えることを特
徴とする請求項2記載の監視システム。 - 【請求項7】前記監視装置は、不正アクセスを検出した
ときは、不正アクセスの検出を通知することを特徴とす
る請求項2記載の監視システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000379920A JP3446891B2 (ja) | 2000-12-14 | 2000-12-14 | 監視システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000379920A JP3446891B2 (ja) | 2000-12-14 | 2000-12-14 | 監視システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2002182738A JP2002182738A (ja) | 2002-06-26 |
JP3446891B2 true JP3446891B2 (ja) | 2003-09-16 |
Family
ID=18848195
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000379920A Expired - Fee Related JP3446891B2 (ja) | 2000-12-14 | 2000-12-14 | 監視システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3446891B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8326666B2 (en) | 2008-09-29 | 2012-12-04 | Fisher-Rosemount Systems, Inc. | Event synchronized reporting in process control systems |
US8155761B2 (en) * | 2009-07-23 | 2012-04-10 | Fisher-Rosemount Systems, Inc. | Process control system with integrated external data sources |
KR20190121680A (ko) * | 2018-04-18 | 2019-10-28 | 엔쓰리엔 주식회사 | 생산현장 영상에서 데이터를 추출하여 전송하는 장치 및 방법, 생산현장 영상에서 추출된 데이터를 수신하는 장치 및 방법, 생산현장 영상에서 추출된 데이터를 송수신하는 시스템 |
-
2000
- 2000-12-14 JP JP2000379920A patent/JP3446891B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2002182738A (ja) | 2002-06-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10104120B2 (en) | Command and control cyber vaccine | |
US7797436B2 (en) | Network intrusion prevention by disabling a network interface | |
KR101977731B1 (ko) | 제어 시스템의 이상 징후 탐지 장치 및 방법 | |
US20040123141A1 (en) | Multi-tier intrusion detection system | |
US11425152B2 (en) | Physical and network security system and mehtods | |
WO2009004611A2 (en) | Protection of control networks using a one-way link | |
CN101116068A (zh) | 数据中心环境中的入侵检测 | |
CN110620791A (zh) | 一种带有预警功能的工业安全数据摆渡系统 | |
GB2532630A (en) | Network intrusion alarm method and system for nuclear power station | |
CN111556473A (zh) | 一种异常访问行为检测方法及装置 | |
CN108183901B (zh) | 基于fpga的主机安全防护物理卡及其数据处理方法 | |
AbuEmera et al. | Security framework for identifying threats in smart manufacturing systems using STRIDE approach | |
CN1893371A (zh) | 利用端口隔离以进行安全性封包转传的网络装置 | |
JP3446891B2 (ja) | 監視システム | |
JP2005071218A (ja) | 不正アクセス防御システム、ポリシ管理装置、不正アクセス防御方法、及びプログラム | |
JP2002328896A (ja) | 不正アクセス対処ルール自動設定装置 | |
EP3018878B1 (en) | Firewall based prevention of the malicious information flows in smart home | |
KR102145421B1 (ko) | 스마트 게이트웨이를 구비한 디지털변전소 | |
KR20040049714A (ko) | 인터넷을 이용한 무인경비 시스템 및 그 방법 | |
KR100464567B1 (ko) | 센서를 이용한 액티브 네트워크 침입패킷 대응방법 | |
CN1794718A (zh) | 一种网络安全设备联动协议 | |
KR100427448B1 (ko) | 라돈-보안게이트웨이 시스템 및 그 보안정책 설정방법과유해트래픽 탐지경보생성방법 | |
KR102160539B1 (ko) | 스마트 게이트웨이를 구비한 디지털변전소 | |
KR102160537B1 (ko) | 스마트 게이트웨이를 구비한 디지털변전소 | |
KR100447896B1 (ko) | 블랙보드기반의 네트워크 보안 시스템 및 이의 운용방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
R150 | Certificate of patent or registration of utility model |
Ref document number: 3446891 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080704 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090704 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100704 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110704 Year of fee payment: 8 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110704 Year of fee payment: 8 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120704 Year of fee payment: 9 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130704 Year of fee payment: 10 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140704 Year of fee payment: 11 |
|
LAPS | Cancellation because of no payment of annual fees |