JP5684103B2 - プラント用セキュリティ管理装置、管理方法及び管理プログラム - Google Patents

プラント用セキュリティ管理装置、管理方法及び管理プログラム Download PDF

Info

Publication number
JP5684103B2
JP5684103B2 JP2011284564A JP2011284564A JP5684103B2 JP 5684103 B2 JP5684103 B2 JP 5684103B2 JP 2011284564 A JP2011284564 A JP 2011284564A JP 2011284564 A JP2011284564 A JP 2011284564A JP 5684103 B2 JP5684103 B2 JP 5684103B2
Authority
JP
Japan
Prior art keywords
unit
security
plant
standby system
abnormality
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011284564A
Other languages
English (en)
Other versions
JP2013134626A (ja
Inventor
圭伸 齋藤
圭伸 齋藤
稲田 浩
浩 稲田
森 高裕
高裕 森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2011284564A priority Critical patent/JP5684103B2/ja
Priority to US13/720,214 priority patent/US8918880B2/en
Priority to DE102012224255A priority patent/DE102012224255A1/de
Priority to CN201210575010.9A priority patent/CN103310147B/zh
Publication of JP2013134626A publication Critical patent/JP2013134626A/ja
Application granted granted Critical
Publication of JP5684103B2 publication Critical patent/JP5684103B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Safety Devices In Control Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Description

本発明の実施形態は、プラント監視制御システムにおけるセキュリティ対策を強化したプラント用セキュリティ管理装置、管理方法及び管理プログラムに関する。
発電所、製鉄所、化学工場等のプラントは、プラント内の各種の設備を制御要素とするプラント監視制御システムによって制御されている。このようなプラント監視制御システムは、プラント制御装置及び操作・監視装置等を有している。
プラント制御装置は、制御要素を制御する。操作・監視装置は、プラント制御装置を介して制御要素を操作・監視する。プラント制御装置及び操作・監視装置は、それぞれオペレーティングシステム上で、制御用、操作・監視用のソフトウェアを動作させている。
また、プラント制御装置及び操作・監視装置は、制御及び操作・監視用の信号を送受信するために、ネットワークに接続されている。
このようなプラント監視制御システムにおいては、従来は、オペレーティングシステム及び制御用、操作・監視用のソフトウェアとして、メーカ独自で開発したものを用いていた。また、信号送受信用のネットワークとしては、専用のものが用いられていた。このため、外部からのウィルス攻撃等のリスクは少なかった。
特開2010−44613号公報
ところで、近年では、多くのシステムで、設置やメンテナンスの容易化、低コスト化の観点から、ハードウェア、ソフトウェア及びネットワークとして、汎用のものを用いる傾向にある。
同様の理由から、プラント監視制御システムにおいても、プラント制御装置や操作・監視装置として、汎用のオペレーティングシステムがインストールされたパーソナルコンピュータが用いられる傾向にある。また、ネットワークとしても、公衆回線網を利用することが考えられる。
しかし、かかる場合には、ネットワーク、パーソナルコンピュータのUSBポート等を経由して、ウィルス等の不正なプログラムが侵入する可能性が増大することになる。
これに対処するため、汎用のウィルス対策ソフトウェアを実行させて、ウィルス感染の有無を定期的にチェックすることが考えられる。しかし、ウィルス対策ソフトウェアの実行中は、CPUの負荷率が上昇する。このため、オペレーティンスシステム及び制御用、操作・監視用のソフトウェアの動作が遅れる可能性がある。
特に、制御対象となるプラントは、長年に亘って運転を継続させる必要性が高い。このため、外因によって運転の遅れや停止が発生することは、極力避けなければならない。
本発明の実施形態は、上記のような課題を解決するために提案されたものであり、その目的は、プラントの運転に影響を与えることなく、高いセキュリティを確保できる技術を提供することにある。
上記のような目的を達成するため、実施形態のプラント用セキュリティ管理装置は、以下の構成を有することを特徴とする。
(1) プラントの監視制御に関して常用系と待機系に多重化された構成部のうち、いずれの構成部が待機系かを判定する判定部
(2) 待機系の構成部に対してのみ、セキュリティ処理を行うセキュリティ処理部
(3) 待機系の構成部と常用系の構成部との切替指示を出力する切替指示部
(4) 多重化された構成部のうち、常用系の構成部の負荷率が、所定のしきい値を超えるか否かを判定する負荷率判定部
(5) 前記負荷率判定部による判定結果に応じて、セキュリティ処理部によるセキュリティ処理を抑制する抑制部
なお、本実施形態は、上記の各部の機能をコンピュータ又は電子回路により実現するための方法及びコンピュータに実行させるプログラムとして捉えることもできる。
第1の実施形態の構成例を示すブロック図 図1の常用待機切り替え前の信号の流れを示す図 図1の常用待機切り替え後の信号の流れを示す図 第1の実施形態の処理の流れを示すフローチャート 第2の実施形態の構成例を示すブロック図 第2の実施形態の処理の流れを示すフローチャート 第3の実施形態の構成例を示すブロック図 第3の実施形態の処理の流れを示すフローチャート 第4の実施形態の構成例を示すブロック図 第4の実施形態の処理の流れを示すフローチャート 第5の実施形態の構成例を示すブロック図 第5の実施形態の処理の流れを示すフローチャート 第6の実施形態の構成例を示すブロック図 第7の実施形態の構成例を示すブロック図 第8の実施形態の構成例を示すブロック図
[A.第1の実施形態]
[1.構成]
[プラント監視制御システム]
まず、本実施形態のセキュリティ管理装置が適用されるプラント監視制御システムSを、図1を参照して説明する。プラント監視制御システムSは、プラントプロセスPを監視制御するシステムである。
ここで、プラントプロセスPは、制御対象となるプラントを構成する各種の設備等の制御要素及びその運転状態を示すパラメータやデータの集合体であり、パラメータやデータを収集、記憶、演算、出力する機器も含まれる。
そして、プラント監視制御システムSは、プラント監視制御に関する装置として、複数のプラント制御装置20−1〜20−N、複数の操作・監視装置30−1〜30−Nを有している。以下の説明では、単にプラント制御装置、操作・監視装置を述べる場合には、プラント制御装置20、操作・監視装置30とする。
プラント制御装置20、操作・監視装置30は、ネットワーク1に接続されている。これにより、プラント制御装置20、操作・監視装置30は、制御用の信号及び操作・監視用の信号を、ネットワーク1を介して送受信可能に構成されている。
プラント制御装置20は、プラントプロセスPを制御する装置である。このプラント制御装置20は、プラント監視制御に関して多重化された構成部として、一対の制御部20a、20b、常用・待機切替装置23を有している。2つの制御部20a、20bは、たとえば、それぞれが独立したCPUを備えたコンピュータとする。この制御部20a、20bは、それぞれプラント制御ソフトウェア21、オペレーティングシステム(図中、OSとする)22がインストールされている。制御部20a、20bは、オペレ−ティングシステム22上で、プラント制御ソフトウェア21を作動させることにより、プラントプロセスPを制御する。
常用・待機切替装置23は、プラントプロセスPを制御する装置を、制御部20a、20bのいずれかに切り替える装置である。これにより、プラント監視制御システムSは、プラントプロセスPの制御に冗長化を持たせている。ここで、「常用」とは、実際にプラントプロセスPの制御に使用されていることを意味する。このため、現在使用されているという意味で、「現用」と表現することもできる。また、「待機」とは、実際にはプラントプロセスPの制御に使用されていないが、「常用」に切り替えることにより制御動作が可能な状態にあることを意味する。
なお、いずれの制御部20a、20bを「常用」に切り替えて常用系とするか、「待機」に切り替えて待機系とするかは、自由である。たとえば、常用系である一方の制御部20aが故障した時に、他方の制御部20bを待機系から常用系に切り替えることが可能である。また、本実施形態においては、後述するように、セキュリティ処理のために、常用系と待機系の切り替えを行う。
操作・監視装置30は、プラント制御装置20を介して、プラントプロセスPを操作・監視する装置である。操作・監視装置30は、操作・監視ソフトウェア31、オペレーティングシステム32を有している。この操作・監視装置30は、オペレーティングシステム32上で、操作・監視ソフトウェア31を作動させる。これにより、操作・監視装置30は、プラント制御装置20に対する操作指令の送信、状態監視等を行う。
なお、図示はしないが、プラント制御装置20、操作・監視装置30は、入力部、出力部、記憶部を有している。入力部は、装置の処理に必要な情報の入力、処理の選択や指示を入力する処理部である。出力部は、それぞれの処理の対象となる情報を、運転員等のユーザが認識可能となるように出力する表示装置等の処理部である。記憶部は、処理に必要な各種の情報を記憶する処理部である。
[セキュリティ管理装置]
次に、本実施形態のセキュリティ管理装置10を説明する。セキュリティ管理装置10は、プラント制御装置20のセキュリティ処理を行う装置である。このセキュリティ管理装置10は、ネットワーク1に接続されている。そして、セキュリティ管理装置10は、問合部11、判定部12、セキュリティ処理部13、確認部14、切替指示部15を有している。
問合部11は、待機系問合せ信号によって、プラント制御装置20における制御部20a、20bのどちらが待機系であるかを、常用・待機切替装置23に問い合わせる処理部である。判定部12は、常用・待機切替装置23からの待機系装置連絡信号によって、制御部20a、20bのどちらが待機系であるかを判定する処理部である。なお、この待機系の判定処理は、制御部20a、20bのどちらか常用系かを判定することにより、間接的に待機系を判定する処理も含まれる。これは、以下の実施形態における待機系の判定においても同様である。
セキュリティ処理部13は、待機系と判定された制御部20a若しくは制御部20bに対して、ネットワーク1を介して、セキュリティ上の異常に対処するセキュリティ処理を行う処理部である。セキュリティ処理部13には、たとえば、異常を検知する検知部13aと、異常を検知した場合に、これを排除する排除部13bが含まれる。
異常を検知する処理には、たとえば、ウィルススキャン若しくはウィルスチェックが含まれる。異常を排除する処理には、検知されたウィルスの駆除、除去若しくは隔離を行う処理が含まれる。
また、異常には、スパイウェア等のマルウェアと呼ばれる不正なプログラムの侵入、感染も含まれる。さらに、異常には、外部からの不正なアクセス、内部からの不正なサイトへのアクセスも含まれる。
確認部14は、セキュリティ処理部13によるセキュリティ処理の完了を確認する処理部である。切替指示部15は、常用・待機切替装置23に対して、常用・待機切替指令を送信することにより、常用系と待機系の制御部20a、20bを切り替えさせる処理部である。
[入力部]
上記のようなセキュリティ管理装置10には、各部の処理に必要な情報の入力、処理の選択や指示を入力する入力部10aが接続されている。この入力部10aとしては、キーボード、マウス等、現在又は将来において利用可能なあらゆる入力装置を含む。
[出力部]
また、セキュリティ管理装置10には、各部の処理の対象となる情報を、ユーザが認識可能となるように出力する出力部10bを有している。この出力部10bとしては、表示装置、プリンタ等、現在又は将来において利用可能なあらゆる出力装置を含む。
[記憶部]
さらに、図示はしないが、セキュリティ管理装置10は、各部の処理に必要な各種情報を記憶する記憶部を有している。たとえば、待機系装置連絡信号のように待機系を判断するための情報を受信した場合には、かかる情報を記憶部が記憶する。また、負荷率を判断するための情報を受信した場合には、かかる情報を記憶部が記憶する。セキュリティ処理の結果についても、記憶部が記憶する。
さらに、記憶部は、演算式、パラメータ、しきい値等、各種の設定に関する情報も記憶する。記憶部における各情報の記憶領域は、それぞれ各情報の記憶部として捉えることができる。これらの情報は、入力部10aを用いて、ユーザが入力することもできる。記憶部としては、現在又は将来において利用可能なあらゆる記憶媒体を利用可能である。
なお、上記のようなプラント制御装置20、操作・監視装置30、セキュリティ管理装置10は、コンピュータを所定のプログラムで制御することによって実現できる。たとえば、コンピュータとしては、汎用のパーソナルコンピュータやサーバ装置を用いることができる。また、プログラムであるプラント制御ソフトウェア21、操作・監視ソフトウェア31、オペレーティングシステム22、32についても、汎用のものを用いることができる。
この場合のプログラムは、コンピュータのハードウェアを物理的に活用することで、上記のような各部の処理を実現するものである。ハードウェアで処理する範囲、プログラムを含むソフトウェアで処理する範囲をどのように設定するかは、特定の態様には限定されない。
[2.作用]
以上のような本実施形態によるセキュリティ処理を、図2〜4を参照して説明する。図2、3は、信号の流れを示すために必要な部分のみを示した構成図である。図4は、セキュリティ管理装置10の処理の流れを示すフローチャートである。なお、以下に述べる各部の処理を実行する方法、プログラム及びプログラムを記録した記録媒体も、実施形態の一態様である。
まず、セキュリティ管理装置10における問合部11が、ネットワーク1を介して、現在、制御部20a、20bのいずれが待機系であるかを問い合わせる(ステップ101)。この問い合わせ処理は、図2に示すように、問合部11が、常用・待機切替装置23に対して、待機系問合わせ信号11aを送信することにより行う。セキュリティ管理装置10は、この問い合わせに対する回答を待つ(ステップ102のNO)。
常用・待機切替装置23は、問い合わせに対して、現在、制御部20a、20bのどちらが待機系であるかを、ネットワーク1を介して回答する。回答処理は、常用・待機切替装置23が、セキュリティ管理装置10に対して、待機系装置連絡信号23aを送信することにより行う。一例として、以下の説明では、現在、制御部20bが待機系であり、制御部20aが常用系であるとする。
待機系装置連絡信号23aを受信したセキュリティ管理装置10においては(ステップ102のYES)、判定部12が、待機系装置連絡信号23aを参照して、制御部20bが待機系であると判定する(ステップ103)。
セキュリティ処理部13は、判定部12による判定結果に基づいて、待機系である制御部20bに対して、セキュリティ処理を行う(ステップ104)。たとえば、セキュリティ処理部13における検知部13aが、制御部20bのプラント制御ソフトウェア21、オペレーティングシステム22について、ネットワーク1を介して、ウィルスチェックを行う。そして、ウィルスが発見された場合には、排除部13bが、ウィルスの駆除を行う。
確認部14は、セキュリティ処理部13によるセキュリティ処理の完了を待つ(ステップ105のNO)。確認部14が完了を確認すると(ステップ105のYES)、切替指示部15は、常用と待機の切り替えを指示する(ステップ106)。この指示処理は、図3に示すように、切替指示部15が、常用・待機切替装置23に対して、常用・待機切替指令15aを送信することにより行う。セキュリティ管理装置10は、この切替指示に対する連絡を待つ(ステップ107のNO)。
すると、常用・待機切替装置23が、制御部20aと20bの常用と待機を切り替える。たとえば、常用・待機切替装置23が、現在の常用系である制御部20aを待機系にして、待機系である制御部20bを常用系にする。このとき、常用・待機切替装置23は、セキュリティ管理装置10に、待機系装置連絡信号23aを送信する。
待機系装置連絡信号23aを受信したセキュリティ管理装置10においては(ステップ107のYES)、判定部12が、待機系装置連絡信号23aを参照して、制御部20bが待機系であると判定する(ステップ108)。
セキュリティ処理部13は、判定部12による判定結果に基づいて、待機系に切り替わった制御部20aに対して、ネットワーク1を介してセキュリティ処理を行う(ステップ109)。
確認部14は、セキュリティ処理部13によるセキュリティ処理が完了を待つ(ステップ110のNO)。確認部14が完了を確認すると(ステップ110のYES)、セキュリティ処理を完了する。なお、セキュリティ処理は、記憶部に記憶されたタイミングで行うことも、ユーザによる入力部10aからの指示入力に応じて行うことも可能である。
[3.効果]
以上のような本実施形態によれば、制御部20a、20bが、プラントプロセスPの制御を行っていない待機系である場合にのみ、セキュリティ処理を実施する。このため、制御部20a、20bがプラントプロセスPの制御中である場合には、セキュリティ処理を実施することがない。
したがって、プラントプロセスPの制御中の制御部20a若しくは制御部20bの負荷が上昇することがなく、プラント制御ソフトウェア21、オペレーティングシステム22の動作の遅れや停止を防止できる。つまり、プラントの運転を、安定して継続させることが可能となる。
セキュリティ上の問題が発生した装置は、単にネットワーク1との接続を切り離したり、アクセス制御を実行したりすることにより、セキュリティを確保できる。しかし、かかる場合には、プラントの運転継続が困難となる。本実施形態では、上記のように、プラントにおいて必須となる運転の継続が可能となる点で、大きな利点がある。
さらに、動作中の装置に、単にウィルスチェック等を行う場合にも、負荷が大きくなり、運転に遅延をもたらす。本実施形態においては、制御部20a、20bが待機中である場合にのみ、セキュリティ処理を行うため、プラントの運転に支障はない。たとえば、一つの装置において、仮想化により冗長化を図る場合に比べても、負荷は小さくて済む。
[B.第2の実施形態]
[1.構成]
本実施形態の構成を、図5を参照して説明する。なお、第1の実施形態と同様の構成については同一の符号を付し、重複する説明は省略する。
まず、プラント制御装置20における制御部20a、20bには、負荷率測定部24が設けられている。この負荷率測定部24は、制御部20a、20bにおけるCPUの負荷率を測定する処理部である。
そして、セキュリティ管理装置10は、負荷率問合部16a、負荷率判定部16b、抑制部16cを有している。負荷率問合部16aは、負荷率測定部24に、負荷率を問い合わせる処理部である。負荷率判定部16bは、負荷率測定部24からの負荷率が、所定のしきい値を超えるか否かを判定する処理部である。しきい値は、あらかじめ記憶部に記憶されている。
抑制部16cは、負荷率判定部16bにより、負荷率がしきい値を超えると判定された場合に、セキュリティ処理部13によるセキュリティ処理を抑制する処理部である。
[2.作用]
このように構成された本実施の形態における処理の流れを、図6のフローチャートを参照して説明する。まず、現在、制御部20aが常用系であるとする。このとき、常用系の制御部20aにおける負荷率測定部24が、制御部20aの負荷率を測定している。
そして、セキュリティ管理装置10における負荷率問合部16aは、制御部20aにおける負荷率測定部24に対して、ネットワーク1経由で、負荷率を問い合わせる(ステップ201)。負荷率測定部24は、制御部20aの負荷率のデータを、セキュリティ管理装置10に送信する。
負荷率のデータを受信したセキュリティ管理装置10においては、負荷率判定部16bが、負荷率が所定のしきい値を超えるか否かを判定する(ステップ202)。
負荷率判定部16bが、負荷率が所定のしきい値以下と判定した場合には(ステップ203のYES)、プラントが安定していると判断することができる。そこで、上記の実施形態と同様に、セキュリティ処理を行う(ステップ204〜ステップ213)。
また、負荷率判定部16bが、負荷率が処置のしきい値を超えると判定した場合には(ステップ203のNO)、プラントが安定していないと判断することができる。そこで、抑制部16cが、セキュリティ処理部13によるセキュリティ処理を抑制する。このため、セキュリティ処理は実行されずに終了する。
[3.効果]
本実施の形態によれば、セキュリティ処理のフローが開始する前に、負荷率に応じて、セキュリティ処理を行うか否かを判定する。したがって、高負荷がかかった制御部20a若しくは制御部20bに対して、セキュリティ処理のために切り替え処理を行うことによる制御への影響を防止できる。
[C.第3の実施形態]
[1.構成]
本実施形態の構成を、図7を参照して説明する。なお、第1及び第2の実施形態と同様の構成については同一の符号を付し、重複する説明は省略する。まず、操作・監視装置30は、警報表示部33を有している。警報表示部33は、セキュリティ管理装置10から出力された警報を表示する処理部である。たとえば、警報表示部33は、操作・監視装置30の出力部によって構成できる。
そして、セキュリティ管理装置10は、異常判定部17a、警報出力部17bを有している。異常判定部17aは、セキュリティ処理部13によるセキュリティ処理の完了後、その結果に異常があったか否かを判定する処理部である。たとえば、セキュリティ処理部13によりウィルスが検知された場合は、異常判定部17aは異常があったと判定する。
警報出力部17bは、異常判定部17aにより異常があったと判定された場合に、操作・監視装置30及び出力部10bに警報を出力する処理部である。たとえば、操作・監視装置30の警報表示部33、出力部10bの画面に、ウィルスが検知された旨を表示させることができる。
[2.作用]
このように構成された本実施の形態における処理の流れを、図8のフローチャートを参照して説明する。なお、現在、制御部20aが常用系であるとする。まず、負荷率の判定による処理は、上記と同様である(ステップ301〜303)。
そして、セキュリティ処理についても、基本的には、上記と同様である(ステップ304〜308)。ただし、待機系の制御部20bに対するセキュリティ処理の完了後、異常判定部17aが異常の有無を判定する(ステップ309)。
異常があった場合には(ステップ309のNO)、警報出力部17bが、警報を出力する(ステップ316)。操作・監視装置30における警報表示部33は、受信した警報を画面に表示する。セキュリティ管理装置10の出力部10bも警報を表示できる。
異常がなかった場合(ステップ309のYES)若しくは警報出力後、切替指示部15が、常用・待機切替装置23に、待機系と常用系を切り替えさせる。そして、セキュリティ処理部13が、切り替え後の待機系の制御部20aに対して、セキュリティ処理を行う(ステップ310〜314)。
切り替え後の待機系の制御部20aに対するセキュリティ処理の完了後、異常判定部17aが異常の有無を判定する(ステップ315)。異常があった場合には(ステップ315のNO)、警報出力部17bが、警報を出力する(ステップ317)。操作・監視装置30における警報表示部33は、受信した警報を画面に表示する。セキュリティ管理装置10の出力部10bも警報を表示できる。
異常がなかった場合(ステップ315のYES)若しくは上記のような警報出力後、処理を終了する。
[3.効果]
本実施の形態によれば、プラント制御装置20における制御部20a若しくは制御部20bに、ウィルス感染等の異常が発生したかどうかを、プラントの運転員が警報により直ぐに認識することができる。このため、運転員は、異常に対して、直ちに対処することが可能となる。なお、警報は、画面表示のみならず、ランプの点灯や音声によって行なってもよい。この場合、警報表示部33、出力部10bとしては、発光部、音声出力部を用いることができる。
[D.第4の実施形態]
[1.構成]
本実施形態の構成を、図9を参照して説明する。なお、第1〜3の実施形態と同様の構成については同一の符号を付し、重複する説明は省略する。
まず、プラント制御装置20における制御部20a、20bには、切離部25が設けられている。切離部25は、制御部20a、20bを、ネットワーク1から切り離す処理部である。たとえば、切り離し処理としては、接続されているポートを閉じる、ルータの電源を切る等が考えられる。
また、セキュリティ管理装置10は、異常系判定部18a、切離指示部18bを有している。異常系判定部18aは、異常判定部17aによって異常があったと判定された制御部20a、20bが、常用系か待機系かを判定する処理部である。切離指示部18bは、異常があったと判定された制御部20a、20bが待機系である場合に、切離部25に、切り離しを指示する処理部である。
[2.作用]
このように構成された本実施の形態における処理の流れを、図10のフローチャートを参照して説明する。なお、本実施形態の処理は、基本的には上記の第3の実施形態と同様である。なお、当初は制御部20aが常用系であったが、切り替え後に制御部20bが常用系となるものとする。
まず、上記のようなセキュリティ処理後(ステップ301〜317)、制御部20a及び制御部20bの双方が正常であった場合には(ステップ318のYES)、処理を終了する。制御部20a及び制御部20bの双方若しくは一方に異常があった場合(ステップ318のNO)、異常系判定部18aによる系の判定が行われる。
つまり、異常系判定部18aは、異常があった制御部20a若しくは制御部20bが、現在、常用系か待機系かを判定する(ステップ319)。異常があったのが、待機系である場合(ステップ320のYES)、切離指示部18bが待機系に切り離し指示を出力する(ステップ322)。
この場合、現在、制御部20aが待機系であるため、切り離し指示を受信した制御部20aの切離部25は、制御部20aを、ネットワーク1から切り離す。
異常があったのが、常用系である場合(ステップ320のNO)、切替指示部15は、常用系と待機系との切り替え指令を出力する(ステップ321)。この場合、常用・待機切替装置23が、制御部20bを待機系に切り替える。
そして、切離指示部18bが、待機系となった制御部20bに切り離し指示を出力する(ステップ322)。切り離し指示を受信した制御部20bの切離部25は、制御部20bを、ネットワーク1から切り離す。
[3.効果]
本実施の形態によれば、セキュリティ処理により異常と判定された制御部20a若しくは制御部20bを、ネットワーク1から切り離すことができる。ウィルスの感染等の異常があった場合、基本的には、セキュリティ処理によりウィルスの駆除が行われる。しかし、検知できなかった異常が存在し、それが他の装置へ影響を与える可能性もあるため、より詳細に異常を調べた方がよい場合がある。本実施形態においては、異常があった制御部20a若しくは制御部20bを、待機系にした状態で切り離すことができるので、他の装置への影響を防ぐことができる。また、他方の制御部20a若しくは20bによって、プラント運転を継続することが可能となる。
[E.第5の実施形態]
[1.構成]
本実施形態の構成を、図11を参照して説明する。なお、第1〜4の実施形態と同様の構成については同一の符号を付し、重複する説明は省略する。
まず、操作・監視装置30は、トリップ推奨表示部34を有している。トリップ推奨表示部34は、セキュリティ管理装置10から出力されたトリップ推奨表示を表示する処理部である。このトリップ推奨表示は、プラント運転を継続するかトリップさせるかの選択を促す表示である。
そして、セキュリティ管理装置10は、トリップ推奨出力部18cを有している。トリップ推奨出力部18cは、異常系判定部18aによって常用系と待機系の双方の制御部20a、制御部20bに異常があったと判定された場合に、操作・監視装置30及び出力部10bにトリップ推奨表示を出力する処理部である。
[2.作用]
このように構成された本実施の形態における処理の流れを、図12のフローチャートを参照して説明する。なお、本実施形態の処理は、基本的には上記の第4の実施形態と同様である(ステップ301〜322)。
ただし、異常系判定部18aによって異常があったと判定されたのが、常用系と待機系の双方である場合(ステップ323のYES)、トリップ推奨出力部18cが、トリップ推奨表示を出力する(ステップ324)。
すると、操作・監視装置30のトリップ推奨表示部34及び出力部10bに、トリップ推奨表示が表示される。異常があったと判定されたのが、常用系と待機系のいずれか一方のみである場合には(ステップ323のNO)、処理を終了する。
[3.効果]
本実施の形態によれば、セキュリティ処理により異常と判定された場合に、運転員に、プラント運転を継続するかトリップさせるかの選択を促す表示を提示できる。このため、運転員は、プラント運転の継続の有無を判断して、トリップ等の処理を行うことにより、信頼性の低下や事故の発生を未然に防止できる。
[F.第6の実施形態]
[1.構成]
本実施形態の構成を、図13を参照して説明する。なお、第1〜5の実施形態と同様の構成については同一の符号を付し、重複する説明は省略する。すなわち、本実施形態のセキュリティ管理装置10は、通信部19を有している。また、操作・監視装置30、プラント制御装置20の制御部20a、20bも、それぞれ通信部35、26を有している。
セキュリティ管理装置10、プラント制御装置20の制御部20a、20bは、通信部19、35、26により、ネットワーク1とは独立したセキュリティ処理専用のネットワーク1aに接続されている。
[2.作用効果]
以上のような本実施形態によれば、上記と同様のセキュリティ処理を、プラントの操作・監視及び制御に使用されているネットワーク1とは別のネットワーク1aを介して実施することができる。このため、ネットワーク1に比べてセキュリティが確保しやすい環境下でセキュリティ処理を行うことができ、プラントの継続運転を確保しやすい。たとえば、セキュリティ処理の際にウィルスが侵入することを防止でき、セキュリティ処理のためのデータが、プラント制御のためのネットワーク1のトラフィックを圧迫することがない。
[G.第7の実施形態]
[1.構成]
本実施形態の構成を、図14を参照して説明する。なお、第1〜5の実施形態と同様の構成については同一の符号を付し、重複する説明は省略する。すなわち、本実施形態のセキュリティ管理装置10は、VPN通信部19aを有している。また、操作・監視装置30、プラント制御装置20も、VPN通信部35a、26aを有している。
セキュリティ管理装置10、プラント制御装置20の制御部20a、20bは、VPN通信部19a、35a、26aにより、ネットワーク1とは独立したVPN(Virtual Private Network)1bを介して、信号を送受信可能に設けられている。
[2.作用効果]
以上のような本実施形態によれば、単にネットワーク1とは別のネットワークを用いるだけなく、VPN1bを用いてセキュリティ処理を行うことができる。このため、カプセル化及び暗号化等により、さらに高いセキュリティを確保した環境化で、セキュリティ処理を行うことができ、プラントの継続運転を確保しやすい。
[H.第8の実施形態]
本実施形態の構成を、図15を参照して説明する。なお、第1〜7の実施形態と同様の構成については同一の符号を付し、重複する説明は省略する。まず、操作・監視装置30が、プラント監視制御に関して多重化された構成部として、操作・監視部30a、30bを有している。2つの操作・監視部30a、30bは、たとえば、それぞれが独立したCPUを備えたコンピュータとする。操作・監視部30a、30bは、常用系と待機系とが交替可能に設けられている。
そして、本実施形態のセキュリティ管理装置10における各部は、上記のプラント制御装置20における制御部20a、20bに対する処理と同様の処理を、操作・監視部30a、30bに対して行う。このため、操作・監視装置についても、通常動作を継続させつつ、異常の検知や、異常があった場合の迅速な対処が可能となり、上記の実施形態と同様の作用効果が得られる。切り替えは、各操作・監視部30a、30bの動作モードの切り替えによって行なってもよいし、通信装置によるネットワーク1bとの接続の切り替えによって行なってもよい。
[I.他の実施形態]
(1)実施形態によるセキュリティ処理の対象となるプラント制御装置、操作・監視装置の数は、特定の数には限定されない。複数あるプラント制御装置、操作・監視装置のいずれに対してセキュリティ処理を行うか否かは自由に設定可能である。また、多重化される構成部である制御部や操作・監視部の数は、3つ以上であってもよい。この場合、待機系である制御部や操作・監視部に対して、どのような順序でセキュリティ処理を行うか、常用系への切り替えを行うかも、自由に設定可能である。なお、上記の実施形態における各部は、共通のコンピュータにおいて実現してもよいし、ネットワークで接続された複数のコンピュータによって実現してもよい。
(2)実施形態が接続されるネットワークは、情報のやりとりが可能な伝送路(伝送回線)を広く含む。伝送路としては、有線若しくは無線のあらゆる伝送媒体を適用可能であり、どのようなLANやWANを経由するか若しくは経由しないかは問わない。通信プロトコルについても、現在又は将来において利用可能なあらゆるものを適用可能である。ネットワークを介した情報の送受信を行うための装置についても、現在又は将来において利用可能なあらゆる装置を適用可能である。
(3)実施形態に用いられる情報の具体的な内容、値は自由であり、特定の内容、数値には限定されない。実施形態において、値に対する大小判断、一致不一致の判断等において、以上、以下として値を含めるように判断するか、より大きい、より小さいとして値を含めないように判断するかも自由である。
(4)本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
1、1a…ネットワーク
1b…VPN
10…セキュリティ管理装置
10a…入力部
10b…出力部
11…問合部
12…判定部
13…セキュリティ処理部
14…確認部
15…切替指示部
16a…負荷率問合部
16b…負荷率判定部
17a…異常判定部
17b…警報出力部
17c…トリップ推奨出力部
18a…異常系判定部
18b…切離指示部
19、26、35…通信部
19a、26a、35a…VPN通信部
20、20−1〜20−N…プラント制御装置
20a、20b…制御部
21…プラント制御ソフトウェア
22、32…オペレーティングシステム
23…常用・待機切替装置
24…負荷率測定部
30、30−1〜30−N…操作・監視装置
31…操作・監視ソフトウェア
33…警報表示部
34…トリップ推奨表示部
S…プラント監視制御システム

Claims (9)

  1. プラントの監視制御に関して常用系と待機系に多重化された構成部のうち、いずれの構成部が待機系かを判定する判定部と、
    待機系の構成部に対してのみ、セキュリティ処理を行うセキュリティ処理部と、
    待機系の構成部と常用系の構成部との切替指示を出力する切替指示部と、
    多重化された構成部のうち、常用系の構成部の負荷率が、所定のしきい値を超えるか否かを判定する負荷率判定部と、
    前記負荷率判定部による判定結果に応じて、セキュリティ処理部によるセキュリティ処理を抑制する抑制部と、
    を有することを特徴とするプラント用セキュリティ管理装置。
  2. 前記セキュリティ処理部は、
    待機系の構成部におけるセキュリティ上の異常を検知する検知部と、
    記検知部により検知された異常を排除する排除部と、
    を有することを特徴とする請求項1記載のプラント用セキュリティ管理装置。
  3. 前記セキュリティ処理部によるセキュリティ処理により、構成部に異常があったか否かを判定する異常判定部と、
    前記異常判定部により異常があったと判定された場合に、警報を出力する警報出力部を有することを特徴とする請求項1又は請求項2記載のプラント用セキュリティ管理装置。
  4. 多重化された構成部にネットワークを介して接続され、
    前記セキュリティ処理部によるセキュリティ処理により、構成部に異常があったか否かを判定する異常判定部と、
    前記異常判定部により異常があったと判定された構成部を、前記ネットワークから切り離す指示を出力する切離指示部を有することを特徴とする請求項1又は請求項2記載のプラント用セキュリティ管理装置。
  5. 前記セキュリティ処理部によるセキュリティ処理により、構成部に異常があったか否かを判定する異常判定部と、
    前記異常判定部により異常があったと判定された場合に、プラント運転を継続するかトリップさせるかの選択を促す表示を出力するトリップ推奨出力部を有することを特徴とする請求項1又は請求項2記載のプラント用セキュリティ管理装置。
  6. プラントの監視制御に使用されるネットワークとは独立したネットワークを介して、多重化された構成部に接続されていることを特徴とする請求項1〜のいずれか1項に記載のプラント用セキュリティ管理装置。
  7. 前記独立したネットワークは、VPNであることを特徴とする請求項記載のプラント用セキュリティ管理装置。
  8. コンピュータ又は電子回路が、
    プラントの監視制御に関して常用系と待機系に多重化された構成部のうち、いずれの構成部が待機系かを判定する処理と、
    多重化された構成部のうち、常用系の構成部の負荷率が、所定のしきい値を超えるか否かを判定する処理と、を行い、
    前記負荷率が所定のしきい値を超える場合には、セキュリティ処理を抑制する処理を行い、
    前記負荷率が所定のしきい値以下の場合には、待機系の構成部に対するセキュリティ処理と、
    前記セキュリティ処理の終了後、待機系の構成部と常用系の構成部との切替指示を出力する処理と、
    切り替え後の待機系の構成部に対するセキュリティ処理と、
    を行うことを特徴とするプラント用セキュリティ管理方法。
  9. コンピュータに、
    プラントの監視制御に関して常用系と待機系に多重化された構成部のうち、いずれの構成部が待機系かを判定する処理と、
    多重化された構成部のうち、常用系の構成部の負荷率が、所定のしきい値を超えるか否かを判定する処理と、を実行させ、
    前記負荷率が所定のしきい値を超える場合には、セキュリティ処理を抑制する処理を実行させ、
    前記負荷率が所定のしきい値以下の場合には、待機系の構成部に対するセキュリティ処理と、
    前記セキュリティ処理の終了後、待機系の構成部と常用系の構成部との切替指示を出力する処理と、
    切り替え後の待機系の構成部に対するセキュリティ処理と、
    を実行させることを特徴とするプラント用セキュリティ管理プログラム。
JP2011284564A 2011-12-26 2011-12-26 プラント用セキュリティ管理装置、管理方法及び管理プログラム Expired - Fee Related JP5684103B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2011284564A JP5684103B2 (ja) 2011-12-26 2011-12-26 プラント用セキュリティ管理装置、管理方法及び管理プログラム
US13/720,214 US8918880B2 (en) 2011-12-26 2012-12-19 Plant security managing device, managing method and managing program
DE102012224255A DE102012224255A1 (de) 2011-12-26 2012-12-21 Werkssicherheits-Verwaltungsvorrichtung, Verwaltungsverfahren und Verwaltungsprogramm
CN201210575010.9A CN103310147B (zh) 2011-12-26 2012-12-26 工厂用安全管理装置及管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011284564A JP5684103B2 (ja) 2011-12-26 2011-12-26 プラント用セキュリティ管理装置、管理方法及び管理プログラム

Publications (2)

Publication Number Publication Date
JP2013134626A JP2013134626A (ja) 2013-07-08
JP5684103B2 true JP5684103B2 (ja) 2015-03-11

Family

ID=48575881

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011284564A Expired - Fee Related JP5684103B2 (ja) 2011-12-26 2011-12-26 プラント用セキュリティ管理装置、管理方法及び管理プログラム

Country Status (4)

Country Link
US (1) US8918880B2 (ja)
JP (1) JP5684103B2 (ja)
CN (1) CN103310147B (ja)
DE (1) DE102012224255A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105654656B (zh) * 2015-12-31 2018-10-02 上海恩信仪表有限公司 安全管理***和手持设备
CN112652557A (zh) * 2016-03-29 2021-04-13 株式会社国际电气 处理装置、装置管理控制器、计算机可读的记录介质、半导体器件的制造方法以及显示方法

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10283015A (ja) * 1997-04-01 1998-10-23 Mitsubishi Electric Corp プラント監視制御システム
JP2001202101A (ja) * 2000-01-18 2001-07-27 Toshiba Corp 二重化制御システムおよびそのプログラムメンテナンス方法
JP2003248596A (ja) * 2002-02-26 2003-09-05 Hitachi Ltd 多重計算機システムにおける処理の引継方法
JP2003248668A (ja) * 2002-02-26 2003-09-05 Hitachi Ltd データセンタ資源管理方法及び運用方法
US7383463B2 (en) * 2004-02-04 2008-06-03 Emc Corporation Internet protocol based disaster recovery of a server
JP4799166B2 (ja) * 2005-12-19 2011-10-26 株式会社東芝 二重化制御システム、及びその制御装置の制御プログラムの更新方法
JP2007293519A (ja) * 2006-04-24 2007-11-08 Nec Corp サーバシステムおよびパッチ処理方法
US7487383B2 (en) * 2006-06-29 2009-02-03 Dssdr, Llc Data transfer and recovery process
JP2008242679A (ja) * 2007-03-27 2008-10-09 Nec Corp サーバシステム及びパッチ処理方法
WO2008146408A1 (ja) * 2007-06-01 2008-12-04 Fujitsu Business Systems Ltd. ライセンス管理プログラム、ソフトウェア利用制御方法およびライセンス管理装置
US8135838B2 (en) * 2008-04-08 2012-03-13 Geminare Incorporated System and method for providing data and application continuity in a computer system
JP5446167B2 (ja) 2008-08-13 2014-03-19 富士通株式会社 ウイルス対策方法、コンピュータ、及びプログラム
JP5000620B2 (ja) * 2008-10-17 2012-08-15 新日本製鐵株式会社 プロセス制御システム

Also Published As

Publication number Publication date
JP2013134626A (ja) 2013-07-08
US20130179976A1 (en) 2013-07-11
DE102012224255A1 (de) 2013-06-27
US8918880B2 (en) 2014-12-23
CN103310147A (zh) 2013-09-18
CN103310147B (zh) 2016-01-20

Similar Documents

Publication Publication Date Title
JP6258562B2 (ja) 中継装置、ネットワーク監視システム及びプログラム
WO2018198733A1 (ja) セキュリティ監視システム及びセキュリティ監視方法
EP2637102B1 (en) Cluster system with network node failover
WO2013127164A1 (zh) 一种触发旁路设备切换的方法、旁路设备切换方法及装置
JP2014146087A (ja) 監視制御システム
JP2018007179A (ja) 監視装置、監視方法および監視プログラム
JP2011120459A5 (ja)
US20070162612A1 (en) Method and system for the automatic reroute of data over a local area network
JP5684103B2 (ja) プラント用セキュリティ管理装置、管理方法及び管理プログラム
CN105513659A (zh) 一种核电站反应堆保护***的输出控制方法及***
US11165238B2 (en) Electrical arc event detection in an electric power system
JP5104631B2 (ja) 伝送装置及び伝送装置の分散管理方法
JP2018010441A (ja) ログ収集システム、ログ収集サーバ、ログ収集方法、
JP2017191958A (ja) 冗長管理システム、冗長切り替え方法、および冗長切り替えプログラム
Takano ICS cybersecurity incident response and the troubleshooting process
JP2016206898A (ja) 情報処理装置および障害検知方法、並びにコンピュータ・プログラム
JP6598288B2 (ja) 動的ゾーニングプラントシステム
KR101557858B1 (ko) 무선 네트워크 보안 시스템 및 이의 접속 장애 처리 방법
JP6163793B2 (ja) 制御システムおよびコンピュータプログラム
KR101472737B1 (ko) 인라인 장비의 장애 감지를 통한 패킷 바이패스 장치 및 그 방법
JP2018133730A (ja) ネットワークシステム
JP2014003353A (ja) ネットワーク装置、ネットワークシステム及びアラート情報処理方法
JP5766148B2 (ja) 原子力発電プラント監視制御システム
JP6184171B2 (ja) 管理制御ネットワークシステム
KR101843395B1 (ko) 인라인 장치의 장애를 방지하기 위한 장치 및 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20131226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140513

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140710

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20141216

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150114

R151 Written notification of patent or utility model registration

Ref document number: 5684103

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees