JP5445626B2 - ネットワーク管理システム - Google Patents

ネットワーク管理システム Download PDF

Info

Publication number
JP5445626B2
JP5445626B2 JP2012142224A JP2012142224A JP5445626B2 JP 5445626 B2 JP5445626 B2 JP 5445626B2 JP 2012142224 A JP2012142224 A JP 2012142224A JP 2012142224 A JP2012142224 A JP 2012142224A JP 5445626 B2 JP5445626 B2 JP 5445626B2
Authority
JP
Japan
Prior art keywords
network
network management
management device
wireless network
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012142224A
Other languages
English (en)
Other versions
JP2014007588A (ja
Inventor
高範 下村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2012142224A priority Critical patent/JP5445626B2/ja
Priority to PCT/JP2013/065419 priority patent/WO2014002699A1/ja
Priority to EP13805217.0A priority patent/EP2874466B1/en
Priority to CN201380001913.9A priority patent/CN103650634B/zh
Priority to US14/129,215 priority patent/US10003575B2/en
Publication of JP2014007588A publication Critical patent/JP2014007588A/ja
Application granted granted Critical
Publication of JP5445626B2 publication Critical patent/JP5445626B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements

Description

本発明は、ネットワーク管理システムに関し、詳しくは、ネットワークのセキュリティ管理に関する。
図3は、インダストリアルオートメーション用無線通信規格ISA100.11aに基づき構築された従来のネットワークの一例を示すブロック図である。プラント管理機器11,12は第1のネットワークNW1に接続されていて、これらプラント管理機器11,12は、第1のセキュリティエリアSA1を構成している。
第1のネットワークNW1は、ファイアウォール21を介して第2のネットワークNW2に接続されている。
無線ネットワーク管理機器31,32は、ISA100.11aにおけるシステムマネージャーの機能とゲートウェイの機能を持つ機器であり、無線ネットワークの管理を行うとともに、無線ネットワーク上の機器との情報のやりとりを行うものである。
また、無線ネットワーク管理機器31,32は、第2のネットワークNW2に接続されるとともに第3のネットワークNW3に接続されている。
第3のネットワークNW3には、メンテナンス用端末4も接続されている。これら無線ネットワーク管理機器31,32とメンテナンス用端末4は、第3のセキュリティエリアSA3を構成している。
第3のネットワークNW3は、ファイアウォール22を介して第4のネットワークNW4に接続されている。
第4のネットワークNW4には、フィールド機器51〜5nが接続されている。これらフィールド機器51〜5nは、第5のセキュリティエリアSA5を構成している。
ここで、ファイアウォール21,22は、第1のセキュリティエリアSA1、第3のセキュリティエリアSA3および第5のセキュリティエリアSA5それぞれの異なるセキュリティポリシーを満たすために、各ネットワークの境界に設けられている。
なお、セキュリティポリシーとは、たとえば該当するネットワークに接続を許可するIPアドレス情報を含む情報である。接続を許可するIPアドレスが設定された場合、該当する通信ポートでは、他のIPアドレスからの接続を許可しない。
第1のセキュリティエリアSA1には、プラント管理機器11,12を冗長構成で使用するためのセキュリティポリシーが設定される。
第3のセキュリティエリアSA3には、無線ネットワーク管理機器31,32を冗長構成で使用するためのセキュリティポリシーが設定される。
第5のセキュリティエリアSA5には、複数台のフィールド機器51〜5nを並列駆動するためのセキュリティポリシーが設定される。
特許文献1には、インダストリアルオートメーションにおけるプロセス制御システムを無線制御ネットワークシステムとして構成するのにあたり、悪意の第三者による改ざん等を回避するとともに、優先度を保証して高度なリアルタイム性が要求されるプロセス制御用無線通信信号とリアルタイム性がそれほど要求されない信号とを同一のネットワークに同居させることを可能とする制御ネットワーク管理システムの技術について記載されている。
特開2011−142441号公報
しかし、図3の構成において、無線ネットワーク管理機器3を新たに接続するのにあたっては、ファイアウォール2を利用してネットワークの境界を守る必要があり、ファイアウォール2を設置するためのコストがかかることになる。
また、無線ネットワーク管理機器3に直接接続するメンテナンス用端末4や、冗長化用の第3のセキュリティエリアSA3のセキュリティを考慮する必要があり、セキュリティポリシーの管理が複雑になってしまう。
また、ファイアウォール2の設置だけでなく、冗長化用のネットワークを構成するためのネットワークスイッチなどの設備も必要となる。
さらに、ネットワークの構成にもよるが、冗長化構成を制御する通信が、他のネットワーク上を経由することにより、他のネットワークに影響を与える可能性がある。
本発明は、このような従来の問題点に着目したものであり、その目的は、複数のセキュリティポリシーを有する無線ネットワーク管理機器を用いることで、複数のセキュリティレベルのネットワークにおける同時使用を可能にする。
他の目的は、ファイアウォール機能を内蔵する無線ネットワーク管理機器を用いることにより、外部にファイアウォールを設置することなくセキュリティを確保し、冗長化用のネットワーク設定や運用の手間を省くことにある。
このような課題を達成する請求項1の発明は、
プラント管理機器が接続される第1のネットワークと、
フィールド機器が接続される第2のネットワークと、
ファイアウォール機能を有し、これら第1のネットワークと第2のネットワークに接続されたネットワーク管理機器とで構成され、
前記ネットワーク管理機器は、専用の接続線を介して接続することにより冗長化されていることを特徴とするネットワーク管理システムである。
請求項2の発明は、請求項1に記載のネットワーク管理システムにおいて、
前記ネットワーク管理機器は、複数のネットワークに接続するための複数の通信ポートを有することを特徴とする。
請求項3の発明は、請求項2に記載のネットワーク管理システムにおいて、
前記通信ポート毎に接続するセキュリティエリアを分類することを特徴とする。
請求項4の発明は、請求項1から請求項3のいずれかに記載のネットワーク管理システムにおいて、
前記ネットワークは、インダストリアルオートメーション用無線通信規格ISA100.11aに基づき構築されるネットワークであることを特徴とする。
これらにより、ネットワーク管理機器を、複数のセキュリティレベルのネットワークで同時に使用できる。
また、別途ファイアウォールを設けることなくセキュリティを確保でき、冗長化用のネットワークの設定、運用の手間を省くことができる。
本発明の一実施例を示すブロック図である。 無線ネットワーク管理機器61の具体例を示すブロック図である。 従来のネットワークの一例を示すブロック図である。
以下、本発明について、図面を用いて説明する。図1は本発明の一実施例を示すブロック図であり、図3と共通する部分には同一の符号を付けている。
プラント管理機器11,12は第1のネットワークNW1に接続されていて、これらプラント管理機器11,12は、第1のセキュリティエリアSA1を構成している。
無線ネットワーク管理機器61,62は、第1のネットワークNW1と第2のネットワークNW2に接続されている。無線ネットワーク管理機器61と62は専用の接続線で接続されている。メンテナンス用端末7は、無線ネットワーク管理機器61または62に直接接続される。これら無線ネットワーク管理機器61,62とメンテナンス用端末7は、第6のセキュリティエリアSA6を構成している。
フィールド機器51〜5nは、第2のネットワークNW2に接続されている。
無線ネットワーク管理機器61,62は、ISA100.11aにおけるシステムマネージャーの機能とゲートウェイの機能の他、ファイアウォール機能も有するものである。無線ネットワーク管理機器61,62にファイアウォール機能を持たせることで、無線ネットワーク管理機器61,62と各ネットワークNW1,NW2を直接接続できる。
そして、無線ネットワーク管理機器61,62のポート毎にセキュリティポリシーを割り当てることで、セキュリティポリシーの異なる複数のネットワークに接続することができる。
また、無線ネットワーク管理機器61,62間の通信に専用の接続線を使用することで、冗長化構成を構築できる。
図2は、無線ネットワーク管理機器61の具体例を示すブロック図である。図2において、パケット処理部61aには冗長化管理機器接続用通信ポート61bが接続されるとともに、ファイアウォール機能部61cが接続されている。
ファイアウォール機能部61cには、フィルタリングルール設定データベース61dが接続されるとともに、メンテナンス端末直結用通信ポート61e、上位ネットワーク接続用通信ポート61f、下位ネットワーク接続用通信ポート61gが接続されている。
図2の構成において、ファイアウォール機能部61cは、フィルタリングルール設定データベース61dからフィルタリングルールを取得して動作する。ここで、フィルタリングルールとは、各通信ポートで通信を許可するIPアドレス一覧などの情報である。
ファイアウォール機能部61cは、フィルタリングルール設定データベース61dから取得したフィルタリングルールに基づいて受信したパケットの制御を行い、通信が許可されるものはパケット処理部61aに渡す。
冗長化構成された無線ネットワーク管理機器61,62間では、一方の無線ネットワーク管理機器(たとえば61)内のデータベースがペアとなる他方の無線ネットワーク管理機器(たとえば62)内のデータベースと等しくなるように、情報の同期を行う。
データベースの同期を行うための通信は、たとえば一方の無線ネットワーク管理機器61に他方の無線ネットワーク管理機器62を直接接続するための通信ポート61bを使用する。これにより、上位側ネットワークNW1および下位側ネットワークNW2上にデータベース同期の通信が流れることはない。
このような構成によれば、無線ネットワーク管理機器61,62を、セキュリティレベルの異なる複数のネットワークNW1,NW2に接続することができる。
別途ファイアウォールを使用することなく、セキュリティレベルの境界に、無線ネットワーク管理機器61,62を設置することができる。
無線ネットワーク管理機器61,62相互を専用の接続線で直接接続することで、冗長化構成のためのネットワークを構築する必要はなく、冗長化を容易に実現できる。
さらに、無線ネットワーク管理機器61,62を冗長化構成で運用する際に必要な通信は、専用の接続線を介して行うことから、他のネットワークに影響を与えない。この場合の専用接続線としては、ネットワークケーブルに限るものではなく、専用ケーブルや、プリント配線板のバックプレーンを利用してもよい。
また、上記実施例では、ネットワーク管理機器が無線ネットワーク管理機器の例について説明したが、これに限るものではなく、有線のネットワーク管理機器についても同等の効果が得られる。
以上説明したように、本発明によれば、ファイアウォール機能を内蔵する無線ネットワーク管理機器を用いることにより、複数のセキュリティレベルのネットワークにおける同時使用が可能で、外部にファイアウォールを設置することなくセキュリティを確保し、冗長化用のネットワーク設定や運用の手間を省くことができるネットワーク管理システムが実現できる。
1(11,12) プラント管理機器
5(51〜5n) フィールド機器
6(61,62) 無線ネットワーク管理機器
61a パケット処理部
61b 冗長化管理機器接続用通信ポート
61c ファイアウォール機能部
61d フィルタリングルール設定データベース
61e メンテナンス端末直結用通信ポート
61f 上位ネットワーク接続用通信ポート
61g 下位ネットワーク接続用通信ポート

Claims (2)

  1. プラント管理機器が接続される第1のネットワークと、
    フィールド機器が接続される第2のネットワークと、
    ファイアウォール機能を有し、これら第1のネットワークと第2のネットワークに接続されたネットワーク管理機器とで構成され、
    前記ネットワーク管理機器は、専用の接続線を介して接続することにより冗長化されるとともに、複数のネットワークに接続するための複数の通信ポートを有し、
    前記通信ポート毎に接続するセキュリティエリアを分類することを特徴とするネットワーク管理システム。
  2. 前記ネットワークは、インダストリアルオートメーション用無線通信規格ISA100.11aに基づき構築されるネットワークであることを特徴とする請求項1に記載のネットワーク管理システム。
JP2012142224A 2012-06-25 2012-06-25 ネットワーク管理システム Active JP5445626B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2012142224A JP5445626B2 (ja) 2012-06-25 2012-06-25 ネットワーク管理システム
PCT/JP2013/065419 WO2014002699A1 (ja) 2012-06-25 2013-06-04 ネットワーク管理システム
EP13805217.0A EP2874466B1 (en) 2012-06-25 2013-06-04 Network management system
CN201380001913.9A CN103650634B (zh) 2012-06-25 2013-06-04 网络管理系统
US14/129,215 US10003575B2 (en) 2012-06-25 2013-06-04 Network management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012142224A JP5445626B2 (ja) 2012-06-25 2012-06-25 ネットワーク管理システム

Publications (2)

Publication Number Publication Date
JP2014007588A JP2014007588A (ja) 2014-01-16
JP5445626B2 true JP5445626B2 (ja) 2014-03-19

Family

ID=49782865

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012142224A Active JP5445626B2 (ja) 2012-06-25 2012-06-25 ネットワーク管理システム

Country Status (5)

Country Link
US (1) US10003575B2 (ja)
EP (1) EP2874466B1 (ja)
JP (1) JP5445626B2 (ja)
CN (1) CN103650634B (ja)
WO (1) WO2014002699A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5601353B2 (ja) 2012-06-29 2014-10-08 横河電機株式会社 ネットワーク管理システム
JP5556858B2 (ja) 2012-06-29 2014-07-23 横河電機株式会社 ネットワーク管理システム
CN111373700B (zh) * 2017-10-31 2021-11-19 村田机械株式会社 通信系统、被控制设备以及通信系统的控制方法
WO2019123523A1 (ja) 2017-12-18 2019-06-27 日本電気株式会社 通信装置、通信システム、通信制御方法、プログラム

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020188700A1 (en) * 2001-06-08 2002-12-12 Todd Steitle System and method of interactive network system design
US7715819B2 (en) * 2001-08-03 2010-05-11 The Boeing Company Airborne security manager
US7302700B2 (en) * 2001-09-28 2007-11-27 Juniper Networks, Inc. Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
US7197660B1 (en) * 2002-06-26 2007-03-27 Juniper Networks, Inc. High availability network security systems
FR2844415B1 (fr) * 2002-09-05 2005-02-11 At & T Corp Systeme pare-feu pour interconnecter deux reseaux ip geres par deux entites administratives differentes
US20050240989A1 (en) * 2004-04-23 2005-10-27 Seoul National University Industry Foundation Method of sharing state between stateful inspection firewalls on mep network
US7941837B1 (en) * 2007-04-18 2011-05-10 Juniper Networks, Inc. Layer two firewall with active-active high availability support
US8782771B2 (en) 2007-06-19 2014-07-15 Rockwell Automation Technologies, Inc. Real-time industrial firewall
CN101834831A (zh) * 2009-03-13 2010-09-15 华为技术有限公司 一种实现nat设备冗余备份的方法、装置和系统
US8826413B2 (en) * 2009-12-30 2014-09-02 Motorla Solutions, Inc. Wireless local area network infrastructure devices having improved firewall features
JP4900487B2 (ja) 2010-01-06 2012-03-21 横河電機株式会社 制御ネットワーク管理システム
JP5110406B2 (ja) * 2010-03-01 2012-12-26 横河電機株式会社 フィールド通信管理装置
JP5041257B2 (ja) 2010-04-22 2012-10-03 横河電機株式会社 フィールド通信システムおよびフィールド通信方法
JP5581141B2 (ja) 2010-07-29 2014-08-27 株式会社Pfu 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム
JP5494816B2 (ja) 2010-10-20 2014-05-21 日本電気株式会社 通信制御装置、システム、方法及びプログラム
US8446818B2 (en) * 2010-11-01 2013-05-21 Avaya Inc. Routed split multi-link trunking resiliency for wireless local area network split-plane environments
JP2012226680A (ja) * 2011-04-22 2012-11-15 Internatl Business Mach Corp <Ibm> 産業制御システムを管理する管理システム、管理方法および管理プログラム
US9270642B2 (en) * 2011-10-13 2016-02-23 Rosemount Inc. Process installation network intrusion detection and prevention

Also Published As

Publication number Publication date
JP2014007588A (ja) 2014-01-16
CN103650634B (zh) 2017-05-31
EP2874466B1 (en) 2017-08-09
EP2874466A1 (en) 2015-05-20
US10003575B2 (en) 2018-06-19
US20150222599A1 (en) 2015-08-06
WO2014002699A1 (ja) 2014-01-03
EP2874466A4 (en) 2016-02-17
CN103650634A (zh) 2014-03-19

Similar Documents

Publication Publication Date Title
US11212315B2 (en) Tunneling for network deceptions
ES2831800T3 (es) Una red orquestada impulsada por datos que responde a las condiciones mediante un controlador distribuido ligero
US20170264639A1 (en) Active deception system
CN108259226B (zh) 网络接口设备管理方法与装置
JP5445626B2 (ja) ネットワーク管理システム
KR20160040277A (ko) 보안 산업용 제어 시스템
JP2010178089A (ja) 遠隔管理システム、遠隔管理装置及び接続装置
US9686316B2 (en) Layer-2 security for industrial automation by snooping discovery and configuration messages
ES2894243T3 (es) Método, servicio web de comunicación, servidor web y cliente para proporcionar servicio de comunicación en red entre dispositivos IP a través del Internet
CN104301132A (zh) 网络可配置的工业装置
EP3011708B1 (en) System for the routing of data to computer networks
US20160352686A1 (en) Transmitting network traffic in accordance with network traffic rules
CN105580323A (zh) 通过网络过滤装置过滤数据包
US20070058654A1 (en) Arrangement and coupling device for securing data access
CN114697069A (zh) 用于楼宇自动化系统的网络安全管理
McNeil Secure IoT deployment in the cement industry
JP4671056B2 (ja) プログラマブルコントローラおよび通信ユニット
Siddeswaran et al. IT and OT Convergence-Recommendations for Building an IoT-Ready Manufacturing Network
KR102555773B1 (ko) 네트워크 터널링 기반 동일 네트워크 내 장비 별 통신 제어 시스템
EP3771155B1 (en) Gateway and method for connecting a building automation network to the internet
JP2023088784A (ja) 産業用ネットワークシステム、ネットワーク管理方法、及びネットワークサービス提供システム
Amidi et al. Wireless process control network architecture overview
JP7000863B2 (ja) マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置
Queiroz Integration of SDN technologies in SCADA Industrial Control Networks
da Conceição Queiroz Integration of Sdn Technologies in Scada Industrial Control Networks

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131028

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131126

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131209

R150 Certificate of patent or registration of utility model

Ref document number: 5445626

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150