プロセス制御システムのための一体型統合脅威管理
【課題】プロセス制御システムでネットワークセキュリティを強化する。
【解決手段】関連ネットワークトラヒックを受信するように設定され、外部ソースから受信されたルールセットを含むネットワーク装置を備える。ルールセットは受信したネットワークトラヒックを受入れ又は拒否する条件を定義する1つ以上のルールを含む。ネットワーク装置の状態はプロセス制御オブジェクト又は変数としてプロセス制御システムに組込まれ、状態、他のUTMS、構成要素ネットワーク装置、パラメータ、変数をグラフィックプロセス制御システム環境の中でワークステーションのオペレータに表示できる。ネットワーク装置は、更に最新のセキュリティ脅威、脅威パターン及びネットワーク内に存在することが分かっている又は予測される制御システムの脆弱性に対応するため装置に積極的にルールセットを提供する恒久的なサービスと通信できる。
【解決手段】関連ネットワークトラヒックを受信するように設定され、外部ソースから受信されたルールセットを含むネットワーク装置を備える。ルールセットは受信したネットワークトラヒックを受入れ又は拒否する条件を定義する1つ以上のルールを含む。ネットワーク装置の状態はプロセス制御オブジェクト又は変数としてプロセス制御システムに組込まれ、状態、他のUTMS、構成要素ネットワーク装置、パラメータ、変数をグラフィックプロセス制御システム環境の中でワークステーションのオペレータに表示できる。ネットワーク装置は、更に最新のセキュリティ脅威、脅威パターン及びネットワーク内に存在することが分かっている又は予測される制御システムの脆弱性に対応するため装置に積極的にルールセットを提供する恒久的なサービスと通信できる。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、2009年9月24日出願の米国仮特許出願第61/245,496号「プロセス制御システムのための一体型統合脅威管理」の恩恵を請求し、その全体を参考文献としてここに援用する。
【0002】
本出願は、一般には、プロセスプラント制御システムに、より厳密には、プロセス制御又はプラント環境におけるネットワーク脅威管理の方法及び装置に関する。
【背景技術】
【0003】
プロセス制御システム、例えば、発電、化学、石油又は他のプロセスで使用されるような分散型又は拡張可能なプロセス制御システムは、標準的には、プロセス制御ネットワークを介して少なくとも1つのホスト又はオペレータワークステーションと、アナログ、デジタル又はアナログ/デジタルの複合バスを介して1つ以上のフィールド装置と、互いに通信可能に連結される1つ以上のコントローラを含んでいる。例えば、バルブ、バルブポジショナ、スイッチ、送信器などのようなフィールド装置(例えば、温度、圧力及び流量センサー)は、プロセス又はプラント内部で開又は閉バルブ、オン、オフのスイッチ装置、測定プロセスパラメータのような機能を果たす。コントローラは、フィールド装置によって行われるプロセス又はプラント測定を示す信号、及び/又はフィールド装置に関連する他の情報を受信し、制御ルーチンを実施するためにこの情報を使用し、更にはプロセス又はプラントの動作を制御するためにバスを通じてフィールド装置へ送信される制御信号を生成する。フィールド装置及びコントローラからの情報は、オペレータがプロセス又はプラントに関する任意の所望の機能、例えば、プラントの現況観察、プラントの工程修正などを行うことができるように、標準的には、オペレータワークステーションによって実行される1つ以上のアプリケーションで利用できるようになっている。同時に、フィールド装置情報及びオペレータワークステーションアプリケーションは、オペレータ制御環境を構成する。
【0004】
プロセスプラント環境の内部に標準的には設置されるプロセスコントローラは、フィールド装置及び/又はフィールド装置に関連する他の情報によって行われる又はそれらに関連付けられるプロセス測定又はプロセス変数を示す信号を受信し、コントローラアプリケーションを実行する。コントローラアプリケーションは、例えば、プロセス制御決定をする、受信情報に基づいて制御信号を生成する、及びHART(登録商標)及びFOUNDATIONフィールドバス(登録商標)のフィールド装置のようなフィールド装置の制御モジュールまたはブロックと調整する、異なる制御モジュールを実施する。プロセスコントローラの制御モジュールは、通信回線又は信号経路を通じてフィールド装置に制御信号を送信し、それによって、プロセスの動作を制御する。
【0005】
フィールド装置及びプロセスコントローラからの情報は、標準的には、プロセス制御ネットワークを介して、例えば、オペレータワークステーション、保守ワークステーション、パーソナルコンピュータ、可搬型装置、データヒストリアン、報告書作成プログラム、集中型データベースなどの1つ以上の他のハードウェア装置で利用できる。ネットワークを通じて交換される情報は、オペレータ、保守人員、又は他のユーザーが、プロセスに関する所望の機能を行うことを可能にする。例えば、このような情報によって、オペレータは、プロセス制御ルーチンの設定変更、プロセスコントローラ又はスマートフィールド装置内部の制御モジュールの動作の修正、プロセスプラント内部の特定の装置のプロセス又は状況の現在の状態の観察、フィールド装置及びプロセスコントローラから生成される警報の観察、人材育成又はプロセス制御ソフトウェアの検査のためのプロセスの動作のシミュレーション、プロセスプラント内部の問題又はハードウェア不具合の診断、などができるようになる。
【0006】
例証として、Emerson Process Managementが販売するDeltaV(登録商標)制御システムは、プロセスプラント内部の様々な場所に位置する異なる装置の内部に記憶され、それらの装置によって実行される複数のアプリケーションを含んでいる。1つ以上のオペレータワークステーションに存在する設定アプリケーションは、ユーザーが、プロセス制御モジュールを作成又は変更し、それらのプロセス制御モジュールをデータハイウェイを経由して専用分散コントローラにダウンロードすることを可能にする。標準的には、それらの制御モジュールは、オブジェクト指向のプログラミングプロトコルのオブジェクトである、通信可能に相互接続される機能ブロックで構成される。それらの機能ブロックは、そこへ行われた入力に基づいて制御スキーム内部で機能を遂行し、更に、制御スキーム内部で他の機能ブロックへの出力を提供する。設定アプリケーションは、更に、設計者が、データをオペレータへ表示する表示アプリケーションによって使用されるオペレータインターフェイスを作成又は変更すること、及びオペレータがプロセス制御ルーチン内のセットポイントなどの設定を変更することをできるようにさせること、を可能にし得る。それぞれの専用コントローラ及び、幾つかの事例ではフィールド装置は、実際のプロセス制御機能性を実施するためにそこへ割り当てられ、ダウンロードされる制御モジュールを起動するコントローラアプリケーションを記憶及び実行する。1つ以上のオペレータワークステーションで起動され得る表示アプリケーションは、データハイウェイを経由してコントローラアプリケーションからデータを受信し、ユーザーインターフェイスを使用してこのデータをプロセス制御システム設計者、オペレータ又はユーザーに表示し、オペレータの表示、エンジニアの表示、技術者の表示、などのようなプロセス制御ルーチン又はモジュールの複数の異なる表示の何れかを提供し得る。データヒストリアンアプリケーションは、標準的には、データハイウェイを超えて提供されるデータの幾らか又は全てを集める及び記憶する、データヒストリアン装置の中に記憶され、またこの装置によって実行されるが、その一方、設定データベースアプリケーションは、現在のプロセス制御ルーチン設定及びそれに関連付けられるデータを記憶するためにデータハイウェイに取り付けられた更に別のコンピュータで起動し得る。或いは、設定データベースは、設定アプリケーションと同じワークステーションに設置されてもよい。
【0007】
プロセス制御環境で使用する制御及びサポートアプリケーションの数及び型が増えてきたのにつれて、ユーザーが、それらのアプリケーションを効果的に設定及び使用することが可能な異なるグラフィックディスプレイアプリケーションが、提供されるようになった。例えば、グラフィカルディスプレイアプリケーションは、設定エンジニアがプロセスプラント内部の制御装置にダウンロードされる制御プログラムをグラフィカルに作成できるようにするための制御設定アプリケーションを支援するために使用されてきた。更に、グラフィカルディスプレイアプリケーションは、その開示全体を明示的に参考文献としてここに援用する、米国特許出願第10/574,824号「統合環境においてカスタマイズされたプロセスグラフィックディスプレイ層を有するプロセスプラントユーザーインターフェイスシステム」に記載されるように、オペレータが、プロセスプラント又はプロセスプラントの区域の現在の機能性を観察することを可能にすることと、保守人員がプロセスプラント内部のハードウェア装置の状況を観察することを可能にすることと、プロセスプラントのシミュレーション又は管理を可能にすることと、などの目的で使用されてきた。
【0008】
DeltaV(登録商標)制御システムは、更に、ユーザーインターフェイスシステム、又はコンピュータ可読媒体と、ディスプレイ装置と、プロセスプラント素子、装置などの動作に関してコンピュータ可読媒体に記憶される情報を有するオブジェクトと、を備える環境、を含み得る。ユーザーインターフェイスシステムの実行エンジンは、プロセスグラフィックディスプレイの複数のコンテンツ層のコンテンツを生成するために、ルーチン環境でオブジェクト情報を利用する。ディスプレイ装置は、それから、複数のコンテンツ層の特定のコンテンツ層を描写する。オブジェクト情報は、プロセスプラント素子又は装置のオンライン動作に関連するプロセスプラントからのランタイムデータを含む。それぞれのユーザーのプロファイルは、職務記述(例えば、オペレータ、保守人員、監督者、訓練者、ゲストなど)に基づくアクセスに関する表示を含み、ユーザーインターフェイスのコンテンツ層は、各ユーザーのコンテンツ層にランタイムデータのカスタマイズされた描写を表示する。
【0009】
プロセス制御システムの中のフィールド装置は、プロセス制御システムネットワーク、例えばイーサネット(登録商標)設定LANを通じてハードウェア装置と通信する。ネットワークは、プロセスパラメータ、ネットワーク情報及び他のプロセス制御データを、素子及び装置から様々なネットワーク装置を通じてプロセス制御システムの様々なエンティティまで中継する。典型的なネットワーク装置は、ネットワークインターフェイスカード、ネットワークスイッチ、ルータ、ファイアウォール、コントローラ、及びオペレータワークステーションを含む。ネットワーク装置は、標準的には、ルーティング、フレームレート、タイムアウト、及び他のネットワークパラメータを制御することによって、プロセスデータ自体を変えずに、ネットワークを通るデータの流れを円滑化する。フィールド装置及びプロセスコントローラからの情報は、ワークステーションで実行する制御環境において、オペレータワークステーション及び保守ワークステーションで利用できるようにされているが、ネットワーク装置からの情報(例えば、設定、状況、状態など)は、プロセス変数としてプロセス制御システムに組み込まれていないので、制御環境においては利用できない。ネットワーク装置の管理及び制御は、フィールド装置及びプロセス変数の管理から切り離されている。
【0010】
プロセス制御ネットワークの大きさ及び複雑さが増すにつれて、ネットワーク装置の数及び型も適宜増す。更に、プロセスシステム及びプラントは、それら自体がますます分散型化していくにつれ(例えば、プロセスの異なる工程が、物理的に離れた場所で実行、監視、制御などを行われる)、プロセス制御ネットワークは、一般的には広域ネットワークを使用する、またそれぞれのプロセス制御場所又は更にばらばらな場所の個々のオペレータワークステーションでの様々なLANを包含するような特殊な場合にはインターネットプロトコルスイートを使用する、より多くの通信を取り込む。システム及びネットワークが成長した結果、そのような複雑で分散型のプロセス制御システムのネットワークセキュリティ及び管理は、ますます困難になってきた。プロセス制御システムネットワークの中へ入るどの様な外部接続も、システムの中へ攻撃の起こり得る点を提示する。
【0011】
ファイアウォールのようなネットワーク装置は、標準的には、プロセス制御ネットワークにセキュリティを提供し、ネットワーク攻撃の危険性を軽減する。ファイアウォールは、ネットワークの1つ以上の部分にアクセスすることが許可されないネットワークトラヒックを遮断するように設計される。ファイアウォールは、標準的には、様々な他のネットワーク装置又はネットワークの場所からの不正な通信にフィルターをかける1つ以上のルールセットを含んでいる。ルールセットの2つの一般的なカテゴリーは、ポリシーに基づくルールセット及び署名に基づくルールセットを含む。ポリシーに基づくルールセットは、IPアドレス、ポート、通信比率、及び通信の一般的な型が許可される他の状態に基づいてネットワーク通信に関する様々な規制を定義する。ポリシーに基づくルールセットは、更に、ネットワークが、ネットワークノード間に通信を提供することを許可するであろう機能及びサービスを定義する。ポリシーに基づくルールセットファイアウォールは、更に、無作為のIPアドレスへの通信を動的に許可する。ポリシーに基づくシステムは、標準的には、ルールセットとの一致を確証し、それぞれの一致したパケットを破棄するために各パケットのソース及び宛先ポートだけを調べる。署名に基づくルールセットは、特定の悪意のあるパターンを含み、各パケットのコンテンツを署名ルールセットと比較して検査することによってそれらのパターンと一致する如何なるトラヒックも遮断する。例えば、署名に基づくシステムは、受信パケットペイロードを既知の脅威(ウィルス、ワーム等)、不正形式プロトコルペイロードなどと比較するルールセットを含んでいてもよい、又はネットワーク内部の特定の装置の既知の脆弱性に基づいてパケットを破棄するように設定されていてもよい。
【0012】
標準的なファイアウォールは、先述のルールセットの詳細な設定を必要とする。幾つかのファイアウォールは、ファイアウォールが許可する唯一の接続は、ルールセットによって明確に許可された接続だけである「デフォルト拒否」型のファイアウォールルールセットを実装する。デフォルト拒否型のルールセットは、ネットワークアプリケーションの詳細な理解及びプロセス制御システムの日常的な動作に必要なエンドポイントを必要とする。勿論、ネットワーク構成要素の追加又は除去によるシステムのどの様な変更も、デフォルト拒否型ルールセットの変更を更に必要とするであろう。別の選択肢は、限定的に遮断される場合を除いて、全てのトラヒックは許可される「デフォルト許可」型のルールセットである。デフォルト許可設定のルールセットは、容易に実装することができるが、不注意によるネットワーク接続及び好ましくないシステムセキュリティ侵害をかなり起こしやすい。
【0013】
プロセス制御システム及び様々なサブシステムが進化するにつれて、ファイアウォールルールセットも、新しい装置、ソフトウェア更新及び何らかの他のネットワーク変更の追加的なセキュリティ要件に適合するために変化せざるを得ない。フィールド装置及びプロセス制御システムソフトウェアは、何らかの他のソフトウェアと同様に、パッチ及び他の修正のインストールを必要とするエラーを含み得る。システムが変更されるたびに(例えば、新しい装置又はソフトウェアの追加、古いソフトウェアを修正するパッチ、ネットワーク設定の変更、更新など)、その様な変更は、ネットワークを危険に曝す可能性がある。
【0014】
通常のIT環境では、ネットワークのダウンタイムを伴う定期的及び恒常的なパッチングは、ネットワークを安全に保つことを可能にする。しかしながら、産業界の事情では、システム又はプラントのダウンタイムは、実用的ではなく、標準的にはかなりの損失が発生する。予定されたダウンタイムの間に定期的なパッチをスケジュール化することは、1つの解決策ではあるが、スケジュールされたダウンタイムより前の非常に早い時期に脅威が認識される場合には、多くの場合、システムを危険に曝すことになる。而して、エンドユーザーは、ネットワーク脅威に継続的に曝される、もしくはプラントを中断する、の間で選択を余儀なくされる。新しい脅威が確認されるにつれ、ファイアウォールを更新するために継続的にパッチングを行えば、幾らかの保護を提供するが、実際に起こるまでは脅威は未知である、「ゼロデイ」アプリケーション層攻撃に対する保護は標準的には不可能である。更に、ネットワーク装置はプロセス制御システムの中に一体化されていないので、ファイアウォールからの情報は、プラントオペレータ及び他のプラント人員には利用できない。設定、ルールセットパッチング、及び定期的な保守のようなファイアウォールタスクは、IT人員だけに委ねられる。
【0015】
幾つかの特別にハイリスクな又は細心の注意を払うべきプロセス制御システム(例えば、原子炉、高エネルギー処理過程、大規模な大都市域電力網、軍隊及び政府のアプリケーションなど)では、制限的接続ポリシーは、全ての外部ネットワーク接続が完全に安全でなければならないものと要求する場合がある。実際には、それらの細心の注意を払うべきプロセス制御システムは、使用時ではない時には、ネットワークから全ての外部接続を物理的に切断する措置をとってきた。しかしながら、外部接続の物理的な切断は、先に述べたようにグラフィカルインターフェイスの中で表現され得るオブジェクトとしてプロセス制御システムに組み込まれないので、オペレータが接続の状態を制御すること(即ち、オペレータが制御する装置又はシステムが物理的に外部エンティティに接続されているかどうかということ)、又は接続がそれらのオペレータワークステーションからアクセスできる状態になっているか否かを知ることさえ、不可能ではないにしても、困難である。
【0016】
幾つかの民生品のファイアウォールシステム及び他のネットワーク装置は、ネットワークセキュリティに対する部分的な解決策を提供することができるが、いまだに、オペレータ環境の外で管理されなければならない。COTSファイアウォールは、ファイアウォールをプロセス制御システムの必需品に組み込み、先述のような様々なルールセットを設定するために特別に訓練されたIT人員によって管理される。そうであっても、COTSファイアウォールシステムは、多くの欠点を有している。例えば、予期せぬ製品取り替え、製造者のサポート不足、及びプラントのダウンタイムを招く可能性がある、ファイアウォールの「耐用年数」は、ユーザーではなく製造業者によって、またはプラントのフロア人員によって制御される。その上、新しい脅威が発見される又はシステムのソフトウェア構成要素にアップグレードが実施される時には、IT人員は、更にルールセットを更新する必要がある。プロセス制御システムでは、各ルールセットは、ルールセットが保護するシステムに固有のものであり、システムに対する変更は、ルールセットに対する変更を要求する。プロセス制御システム及びそのアップグレードを理解する訓練を標準的には受けないIT人員は、ルールセットも変更される必要があるということに関する方法又は理由を理解し得ない。IT人員によって管理される独立型アプリケーションとして任せられる場合には、ルールセットは、システムに所望されるよりも低い保護を不注意で提供する可能性がある。例えば、ファイアウォールの管理、設定及び操作は、標準的には、保護されるべきネットワークアーキテクチャについての詳細な知識を有するIT人員を必要とする。プロセス制御ネットワークのIT人員は、標準的にはネットワーク微細構成を理解する必要があり、ネットワークビジネスは、ネットワーク、ビジネスがローカルネットワーク内部及びそれらの間で必要とする許可される装置及びサービス、及びローカルネットワークにアクセスすることが許可されるべき様々な外部エンティティ、を理解する必要がある。例示の内部エンティティは、共用ファイルサーバー及びアプリケーションへのアクセスを有するビジネス内部に複数のワークステーションを含み得る。例示の外部エンティティは、ラップトップ型コンピュータ、ワークステーション及び1つ以上のローカルネットワークに物理的に接続されない他の通信装置を含み得る。当該外部エンティティは、例えば、自分たちのビジネスネットワークの機密事項を扱う又は専有的なノードへの接続性を必要とする移動中の販売員に関連付けられてもよい。
【0017】
IT人員が制御システムと関連付けられるネットワークを保護する責任がある環境では、人員は、標準的には、どの制御システム装置が外部ネットワークリソースにアクセスすることを許可されているのか、及びどの外部ネットワークリソースが制御システム装置にアクセスすることを許可されているのかを理解する必要がある。幾つかの制御システム(例えば、製造プラントのプロセス制御システム、試験及び測定アプリケーション/機器など)は、Fisher−Rosemount Systems, Inc.、Emerson Process Management(登録商標)会社によって販売されるDeltaV(登録商標)コントローラのような1つ以上のコントローラを含む。コントローラは、ネットワークに繋がり、指定されたIPアドレス、1つ以上の通信ポート、入出力(I/O)装置及び/又はフィールド装置を受け入れる1つ以上のスロット、及び/又は1つ以上のI/Oチャネルを有し得る。幾つかの制御システムでは、それぞれが対応するポート、スロット及び/又はI/Oチャネルと共に独自のIPアドレスを有する複数のコントローラが採用され得る。そのようなものとして、IT人員は、標準的には、各コントローラ及び/又はフィールド装置(例えば、スマートフィールド装置)、熱電対及び/又は他の装置(例えば、遮光体、圧力計、圧力トランスデューサ、電流トランスデューサなど)のような、コントローラに接続される各装置のIPアドレスを知る必要がある。
【0018】
制御システムトポロジー及び/又は各制御システム装置のアドレスを理解する責任を有するIT人員に加えて、IT人員は、標準的には、ルール及び/又は1つ以上の制御システムを備えるそれぞれの装置のアクセス権を設定しなければならない。ルールは、制御システム内部で確認される装置間で内部ネットワーク通信を許可する工程と、制御システム内部で1つ以上の制御システム装置からの通信を遮断する工程と、外部宛先IPアドレスを有する1つ以上の制御システム装置から発信される通信を遮断する工程と、1つ以上の通信量閾値を設定する工程と、通信プロトコルルール(例えば、スマートフィールド装置は、マスター装置から最初に要求されない限り、制御システムネットワーク内部で通信を開始することが許可されない)を設定する工程とを、これらに限定するわけではないが、含んでいてもよい。
【0019】
更に、制御システム装置及び当該装置によって使用される関連付けられる通信プロトコルは、独自の及び装置固有の特徴を含み得るので、IT人員は、標準的には、その様な特長に基づいて許可又は遮断されるべき制御システム通信に関連する詳細部を理解する必要がある。例えば、幾つかの制御システムは、Highway Addressable Remote Transducer(HART)として周知の通信プロトコルを採用する。HART通信は、インテリジェント分野機器及び/又はホストシステムの間で通信を実施するために標準的に使用される双方向性産業分野通信プロトコルを採用する。DeltaV(登録商標)コントローラのようなホストシステムは、装置設定、装置診断、装置故障修理、装置プロセス測定値の受信及び装置健康状況情報の判定を含む多数の理由でフィールド装置と通信する。HART装置は、通常では、ホスト(DeltaV(登録商標)コントローラのような)から最初に問い合わされるまではHART通信ネットワークで通信することは許可されない。HART通信プロトコルの別の通信特徴は、第2のホスト(例えば、それぞれがフィールド装置と通信し得る、第1のマスター及び第2のマスター)を補助する能力を含む。ファイアウォールを設定するIT人員がその様な装置及びプロトコル固有の特徴に気付いていない場合、ファイアウォールは、受け入れ可能である又は特に危険傾向であると判断されるその様な通信活動に対して対応できない可能性がある。例えば、幾つかのフィールド装置は、トランデューサからの測定データを受信し、集められた測定値を特定のポートを有する特定のIPアドレスを介して特定のコントローラに報告するように制御システムの中で設定され得る。フィールド装置が更に代替的な宛先(例えば、ネットワークノード、インターネット、制御システム内の代替的なコントローラなど)へ通信を開始する場合には、その後、その様な活動は、プロセス制御システムのオペレータが完全には理解していない可能性があるセキュリティの危険と見なされ得る。
【0020】
他の状況では、IT人員は、制御システム詳細部及び制御システムが制御目的(例えば、コントローラと装置の間で許可される制御通信、装置間で許可されるデータ通信、装置に対する許可されるファームウェア更新、遠隔ユーザーによる制御システムへの許可される外部アクセスなど)を満足させ適切に機能する方法について限定的な又は詳細ではない理解しか有していない。そのようなものとして、IT人員は、適切なアクセス制御、許可設定、及び/又はシステムの適切なファイアウォールルール設定に関して極めて不利である。例えば、IT専門家は、制御システムネットワーク境界とイントラネット及び/又はインターネット境界の間で作動する、1つ以上のファイアウォール装置及び/又はファイアウォールソフトウェアアプリケーションをインストールし得る。しかしながら、その様なファイアウォールは、ネットワークセキュリティの所望の程度を維持しながら、標準的には、制御システムの最適な機能性をもたらす制御システムの独自の必要性への責任があるルール及びアクセス許可を備えて設定されない。結果的には、IT専門家は、通信不具合及び不適切な制御システム動作の事例に関して制御システム管理者からのクレームに繰り返し応えてファイアウォールを複雑ではないように設定する場合がある。ファイアウォールを設定するためにそのように繰り返して行われる作業は、労働効率の低下、不具合、利益損失及び安全性の危険をもたらす。
【0021】
ネットワークセキュリティの1つの可能性のある解決策は、Byres他による米国特許出願第2007019906号「ネットワークセキュリティアプライアンス」及びBC、LantzvilleのByres Security Inc.によって製造されたTofino(登録商標)システムに記載される。これらの解決策は、ネットワーク装置を発見及び識別し、自動的に装置の場所を探し出し、ネットワーク上のトラヒックを受動的に分析することからルールを生成することによってそれらの装置へのトラヒック通信量を制御するファイアウォールルールを作成する。解決策が新しい装置を発見すると、解決策は、システム管理者に演繹を受け入れ新しい装置をネットワークインベントリダイヤグラムに入れる、或いは潜在的な侵入者として警告を発する、ように指示する。この方法では、IT人員及びネットワーク制御エンジニアは、常時現在のネットワークマップを有している。この解決策は、IT人員が、ネットワークを瞬時に的確に管理することができることを保証するが、しかしながら、この解決策は、全面的に個別の訓練を受けたIT人員の専門技能及び制御に委ねられるものである。プロセス制御システム内部のオペレータは、オペレータワークステーションからプロセス制御ネットワークセキュリティを監視及び管理する能力を持ち得ないであろう。
【発明の概要】
【課題を解決するための手段】
【0022】
プロセス制御システムネットワークのセキュリティ及び管理は、統合脅威管理システム(UTMS)を提供することによって強化することができ、統合脅威管理システム(UTMS)は、UTMS設定ファイアウォール、UTMS設定ネットワークアクセス装置、及び既知の及び「ゼロデイ」の脆弱性と、埋め込み型の専有的な装置及び標準型の一般的に使用される装置の両方のための制御システムに対する脅威と、の両方に対して防御することができるUTMS設定フィールド装置を含む。UTMS設定ファイアウォール及び/又はネットワークアクセス装置は、プロセス制御ネットワークの周辺に設置される独立型のネットワーク装置、又は装置あるいはプロセス制御システムのコントローラ又は他の内部部品で作動するソフトウェアを含み得る。UTMS設定ファイアウォール及び装置の状態は、プロセスオブジェクト又は変数としてプロセス制御システムに組み込まれ、従って、状態及び他のUTMS及び構成要素ネットワークアクセス装置パラメータ及び変数がオペレータ又は他のワークステーションから観察することができるようになる。UTMSファイアウォール及び装置は、最新型のセキュリティ脅威、脅威パターン及びネットワーク内に存在することが分かっている制御システムの脆弱性に対応するために、UTMS設定ファイアウォール、ネットワークアクセス装置及び設定されたコントローラ又はフィールド装置に積極的にルールセットを提供する恒久的なサービスと通信し得る。それらの更新は、UTMS全般及びUTMS設定ファイアウォール、ネットワークアクセス装置及びフィールド装置が、他のどの制御システム素子又はエンティティとも何ら変わらないように、プラントの標準制御ユーザーインターフェイス内(例えば、DeltaV(登録商標)環境)から管理される。UTMSイベント及びUTMS設定ファイアウォール及び装置それ自体(例えば、警報、許可、脅威状況、イベント、設定、状態など)は、DeltaV(登録商標)環境内からも管理され得る。
【0023】
UTMSの各構成要素のオペレータディスプレイは、オペレータが、接続の現在の状態を表示することに加えて、設定、ルールセット及び他のパラメータ又はUTMS変数(その様に設定される場合、そのファイアウォール、ネットワークアクセス装置、及びフィールド装置も)を更新し、どの様な他のプロセス制御システムセキュリティタスクもオペレータディスプレイ又は他のワークステーションから実行することができるように、DeltaV(登録商標)環境又は別のグラフィックプロセス制御環境内で表示することができる。幾つかの実施形態では、ルールセットは、確認された脅威からの即時的なシステム保護を提供するために、プロセス制御システムそれ自体の連続的又は周期的な評価に基づいて作成され得る。UTMS及びその様々なネットワークアクセス装置は、従って、プロセス制御ネットワークを、存在が知られている脆弱性だけではなく、存在すると予測される脆弱性からも保護し得る。
【0024】
1つの実施形態では、プロセス制御システムでネットワークトラヒックを守る方法は、特定のプロセス制御システム装置と通信するプログラム可能なインターフェイスを有するオブジェクトのインスタンスを作成する工程を備え得る。オブジェクトは、装置で受信されるネットワークトラヒックを受け入れる又は拒否する条件を定義する1つ以上のルールを含むルールセットにアクセスすることができる。ネットワークトラヒックは、プロセス制御システムの外部から発生し、更に、プロセス制御システム、プロセス制御システムのネットワーク装置及びプロセス制御システムのフィールド装置のうちの1つ以上へのアクセスを探し求める。オブジェクトは、その後、ルールセットの1つ以上のどのルールを装置に適用するのかを決定し、1つ以上の決定されたルールを装置に適用することによって装置を守る。オブジェクトは、その後、守られる装置で受信されるネットワークトラヒックを監視し、ネットワークトラヒックが受信されると、守られる装置で受信されたネットワークトラヒックが守られる装置に適用されるルールの1つ以上を違反するか否かを判定する。守られる装置で受信されたネットワークトラヒックがルールの1つ以上に違反する場合、オブジェクトは、ネットワークトラヒックアクセスを拒否し、警報をプロセス制御システムのオペレータインターフェイスに表示する。或いは、守られる装置で受信されたネットワークトラヒックがルールの1つ以上に違反しない場合、オブジェクトは、ネットワークトラヒックアクセスを許可する。
【0025】
更なる実施形態では、プロセス制御システムのネットワークトラヒックを守るネットワーク装置は、ネットワーク装置へ入る及びネットワーク装置から出るネットワークトラヒックをつなげる第1のネットワークコネクタと、プロセス制御システムの制御アプライアンスへネットワークトラヒックをつなげる第2のネットワークコネクタと、を備え得る。ネットワーク装置のルールセットは、プロセス制御システムの外部から発生し、プロセス制御システムへのアクセスを探し求める、ネットワーク装置で受信されるネットワークトラヒックを受け入れる又は拒否する条件を定義する1つ以上のルールを含み得る。ネットワーク装置は、更に、ネットワーク装置の中へつなげられるネットワークトラヒックがルールセットの1つ以上に違反するか否かを判別する比較ルーチンと、加えて、第1のネットワークコネクタで受信されたネットワークトラヒックがルールの1つ以上に違反する場合には、制御アプライアンス又はプロセス制御システムの別の装置へのネットワークトラヒックのアクセスを拒否し、警報をプロセス制御システムのオペレータインターフェイスに表示させる、若しくはネットワーク装置で受信されたネットワークトラヒックがルールの1つ以上に違反しない場合には、ネットワークトラヒックを第2のネットワークコネクタを通して制御アプライアンスへつなぐ、セキュリティルーチンと、を含み得る。
【0026】
更に別の実施形態では、プロセス制御システムのネットワークトラヒックを守るための統合脅威管理システム(UTMS)は、プロセス制御システムに関するネットワークトラヒックを受信するように設定された複数のネットワーク装置を備えており、ネットワーク装置の少なくとも1つは、プロセス制御システムの外部にあるソースからルールセットを受信するように設定され得る。ルールセットは、ネットワーク装置で受信されるネットワークトラヒックを受け入れる又は拒否する条件を定義する1つ以上のルールを含み得る。UTMSは、(複数のネットワーク装置を含む)プロセス制御システムの素子及び複数のネットワーク装置のそれぞれとのネットワークトラヒック接続の状態をグラフィカルに表現するグラフィックプロセス制御環境を更に含み得る。グラフィックプロセス制御環境は、複数のネットワーク装置のそれぞれにオブジェクトのインスタンスを作成するように設定され得、各オブジェクトは、複数のネットワーク装置の異なるネットワーク装置をグラフィカルに表現するために、各UTMS装置と通信するプログラム可能なインターフェイスを含む。更に、複数のネットワーク装置のパラメータは、グラフィックプロセス制御環境の中で表示され且つ設定することが可能であり得る。パラメータは、複数のネットワーク装置のそれぞれとの接続の状態、ルールセット及びルールセット更新を含み得る。
【図面の簡単な説明】
【0027】
【図1a】インターネット上に分散された素子を含むプロセス制御システムの例示的なブロック図であり、各素子は、1つ以上のオペレータ及び保守ワークステーション、コントローラ、フィールド装置、本明細書で示すようなプロセス制御システムネットワークセキュリティ機能(統合脅威管理システム即ちUTMS)を実施するように設定されたネットワーク装置、一般的なネットワーク装置及びプロセス制御システムに関する外部のデータを送信及び受信する支援機器を含む。
【図1b】インターネット上に分散された素子を含むプロセス制御システムの別の例示的なブロック図であり、各素子は、1つ以上のオペレータ及び保守ワークステーション、コントローラ、フィールド装置、本明細書で示すようなプロセス制御システムネットワークセキュリティ機能(統合脅威管理システム即ちUTMS)を実施するように構成された周辺ネットワーク装置(ファイアウォール)及びネットワークアクセス装置、一般的なネットワーク装置及びプロセス制御システムに関する外部のデータを送信及び受信する支援機器を含む。
【図2】UTMS設定プロセスオブジェクト及びプロセスモジュールを含み、図1a及び図1bのオペレータワークステーションに記憶され、UTMS方法及び技法を実施するために使用され得る、一連のアプリケーション及び他のエンティティの論理ブロック図である。
【図3】UTMSのルールセットを更新する方法の論理ブロック図である。
【図4】プロセス制御システムの外部の通信のためのUTMS設定ネットワーク装置の簡略化したブロック図である。
【図5】クロスシステム通信接続のためのUTMS設定ネットワーク装置の簡略化したブロック図である。
【図6】システム内通信接続のためのUTMS設定ネットワーク装置の簡略化したブロック図である。
【図7】プロセス制御システムのファイアウォール又は他のネットワーク装置をバイパスする一体化UTMS設定ネットワーク装置の簡略化したブロック図である。
【図8】バイパス機能を実行するためのUTMS設定ネットワーク装置の論理ブロック図である。
【図9】I/O装置経由で制御アプライアンス又はフィールド装置へ接続されるUTMS設定ネットワーク装置を含むプロセス制御システムの論理ブロック図である。
【図10】光コネクタ又は他の電動コネクタを含むネットワーク内でバイパス機能を行うためのUTMS設定ネットワーク装置の論理ブロック図である。
【図11】UTMS機能を含むI/O装置を含むプロセス制御システムの一部の論理ブロック図である。
【図12】制御アプライアンス又はフィールド装置へ接続されるUTMS適応I/O装置を含むプロセス制御システムの論理ブロック図である。
【図13】プロセス制御システムのネットワークトラヒックを管理するルールを設定するルールセットユーザーインターフェイスである。
【図14】プロセス制御システムのネットワークトラヒックを設定するプロセス制御システムのユーザーへ質問を提示する設定ウィザードユーザーインターフェイスである。
【図15】プロセス制御システムのUTMSセキュリティ情報を表示するシステムセキュリティユーザーインターフェイスである。
【図16】特定の型のネットワークトラヒックを管理するUTMS設定装置に通信可能に接続される通信ユーザーインターフェイスである。
【図17】各UTMS設定装置に通信可能に接続されるUTMS装置コマンドセンターユーザーインターフェイスである。
【図18】受命/閉鎖ウィンドウを含むUTMS装置コマンドセンターユーザーインターフェイスである。
【図19】保守支援ウィンドウを含むUTMS装置コマンドセンターユーザーインターフェイスである。
【図20】動作ウィンドウを含むUTMS装置コマンドセンターユーザーインターフェイスである。
【図21】ルールセット又はネットワークセキュリティ違反を示すUTMS装置コマンドセンターユーザーインターフェイスである。
【図22】選択されたUTMS設定装置のポート統計値ウィンドウを含むUTMS装置コマンドセンターユーザーインターフェイスである。
【図23】警報を含むUTMS装置コマンドセンターユーザーインターフェイスである。
【発明を実施するための形態】
【0028】
図1aは、例えば、インターネット又は他の外部ソースを経由する各サブシステム間の外部通信が、本明細書で示すように、1つ以上のUTMS設定ネットワーク装置(例えば、ファイアウォール)146a、146b、ネットワーク装置152、フィールド装置134、スマート装置、モジュール、コントローラ、構成部品などを含む「統合脅威管理システム」(UTMS)によって保護され得る1つ以上のプロセスプラント内部の1つ以上のプロセス制御サブシステム105a、105bを含むプロセス制御システム100の概略図である。図1bは、下記の装置134、146、152に加えて、ファイアウォール146の下流に位置するネットワークアクセス装置149を含むUTMSによって保護され得る1つ以上のプロセス制御サブシステム105a、105bを含むプロセス制御システム100の別の実施形態の概略図である。図1bのネットワークアクセス装置149は、装置146の周辺UTMS機能を補うことができる、又は下記のバイパス機能のような特殊化したUTMS機能を果たすことができる。それぞれのファイアウォール146又は装置134、149、152は、UTMS設定装置によって受信又は処理され得る通信を定義するルールセット、例えば、147a、148a、147b、148b、151a、151b、153を含み得る。UTMS設定装置が、周辺装置(即ち、プロセス制御ネットワーク150a又は150bの外側)である場合、ルールセット147及び151は、サブシステム105a、105b内部の任意の装置へアクセスするためのルールのグローバルセットを含み得る。UTMS設定装置が、内部装置134、152(即ち、プロセス制御ネットワーク150a又は150bの内部)である場合、ルールセット148、153は、特定の内部装置へのアクセスだけを定義しているグローバルセットのルールのサブセットを含み得る。ルールセット147、148、151、153は、ポリシー又は署名に基づくもの、又はシステムを内部又は外部のネットワーク脅威から保護するために(下記のように)UTMS設定ファイアウォール146a、146b、UTMS設定ネットワークアクセス装置149a、149b及びUTMS設定フィールド装置134に設定可能な指針を提供する何らかの他の型のルールセットであり得る。図1bは、本明細書で示すようにルールセット151cのようなルールセットを含み得る又は含み得ず、且つ下記で示すように異なる型のプロセス制御ネットワーク接続を制御し得るUTMS設定ネットワークアクセス装置149cを含むサブシステム105a及び105bの間のクロスシステム接続を図示している代替的な実施形態である。
【0029】
一般には、UTMSは、ネットワーク侵入検出システム(NIDS)、ホスト侵入検出システム(HIDS)、それらの型のシステムの組み合わせ、又は他の周知の又は将来のネットワークセキュリティパラダイムであり得る。例えば、プロセス制御システム100内部のNIDS設定、UTMS設定ファイアウォール146a、146b及び/又はUTMS設定ネットワークアクセス装置149a、149b、149c又は他のUTMS設定素子は、悪意のあるパケットがプロセス制御システム内部のそれらの目的とする目標に達し、不具合を引き起こすことが可能になる前に、ネットワークからの悪意のあるパケットを検査して破棄するために1つ以上のルールセットを使用し得る。更に又は或いは、下記で更に説明するように、プロセス制御システム100内部のUTMS設定ファイアウォール146a、146b及び/又はUTMS設定ネットワークアクセス装置149a、149b、149c又は他のUTMS設定素子134、152は、プロセス制御システムの状態を監視し、何らかの内部又は外部通信がプロセス制御システムのセキュリティポリシーを侵害したか否かを検出するHIDSとして設定され得る。例えば、HIDSの構成要素、ルールセット又は設定を含むUTMSは、プロセス制御システムの現在の状態(即ち、装置、モジュール又はRAM、ファイルシステム、ログファイル又は他の場所に記憶される構成要素情報)を使用して、現在の状態を1つ以上のルールセット147、148、151、153に記載される期待状態と比較し、システムが正常に又は期待されるように作動していることを確実にすることができる。UTMS設定ファイアウォール146a、146b、ネットワークアクセス装置149a、149b、149c及びUTMS設定フィールド装置134のそれぞれは、1つ以上のルールセット又はシステム100のセキュリティポリシーを定義する他のファイルを含み得る。下記で更に示すように、周辺装置は、更に、各内部UTMS設定装置又は様々な群の装置の個別のルールセットをアルゴリズムで導き出し、ルールセットのサブセットを内部装置へ送信する又はサブセットへの内部装置のアクセスを認め得る。
【0030】
UTMSの各構成要素は、ネットワークセキュリティを強化し、ネットワーク管理及び保守を容易にするために、下記で更に説明するように、プロセス制御システムの制御環境に組み込まれる。プロセス制御システム100は、1つ以上のサブシステム105a、105b、1つ以上のプロセス制御ネットワーク150a、150b及びプロセス制御ネットワーク150を通じて1つ以上のネットワーク装置146を経由して、少なくとも1つはディスプレイスクリーンを有する、(任意の型のパーソナルコンピュータ、ワークステーションなどであり得る)1つ以上のホストワークステーション又はコンピュータ120から122に通信可能に接続される1つ以上のプロセスコントローラ110を含み得る。図1aのプロセス制御システム100は、WANとしてインターネット155を通じて通信する2つのプロセス制御サブシステム105a及び105bしか示していないが、また図1bのプロセス制御システム100は、LANを通じて通信する2つのプロセス制御サブシステム105a及び105bしか示していないが、プロセス制御システム100は、装置、モジュール及び、幾つかを挙げると、インターネット、LAN、無線、ツイストペアケーブル、光ファイバー等を含む任意の型の接続を通して互いに通信可能に接続される構成要素に加えて、任意の数のサブシステムを含み得る。
【0031】
コントローラ110は、1つ以上のネットワークインターフェイスカードを含み得、更に、入出力(I/O)カード140を介してフィールド装置130に接続される。データヒストリアン145は、データを記憶するために任意の所望の型のメモリ及び任意の所望の又は既知のソフトウェア、ハードウェア又はファームウェアを有する任意の所望の型のデータ収集ユニットであり得、且つワークステーション120から122の1つから分離することができる又はその一部であり得る。一例として、Emerson Process Management, Inc.によって販売されるDeltaV(登録商標)コントローラでもよいコントローラ110は、例えばイーサネット(登録商標)接続又は何らかの他の所望の通信ネットワーク150a、150bを経由して1つ以上のネットワーク装置146によってホストコンピュータ120から122に通信可能に接続される。ネットワーク装置146は、1つ以上のネットワークインターフェイスカード、ネットワークスイッチ、ルータ、ファイアウォール、UTMS設定ファイアウォール、ネットワークアクセス装置、UTMS設定装置又はネットワーク、例えば、ネットワーク150a、150bの何れかの部分を通じて通信される基礎的なデータを変えずにネットワーク150a、150bを通じてデータ伝送を円滑にさせる何らかの他の構成要素を含む。通信ネットワーク150a、150bは、ローカルネットワーク(LAN)、広域ネットワーク(WAN)、電気通信網などであってもよく、有線又は無線技術を使用して実装し得、その如何なる部分でもインターネット接続を用いて実装することができる。コントローラ110は、例えば標準4 20mA装置、イーサネット(登録商標)、ARP、IP、ICMP、UDPなどのような標準プロトコルに関連付けられる任意の所望のハードウェア及びソフトウェア、及び/又はFOUNDATIONフィールドバスプロトコル(フィールドバス)、HARTプロトコルなどを用いて任意のスマート通信プロトコルを使用してフィールド装置130、133、134に通信可能に接続される。
【0032】
フィールド装置130、133、134は、センサー、バルブ、送信器、ポジショナなどのどのような型のハードウェア構成要素であってもよく、一方でI/Oカード140は、任意の所望の通信又はコントローラプロトコルに適合するどの様な型のI/O装置であってもよい。図1に示す実施形態では、フィールド装置130は、HARTモデム140を用いて標準アナログ4 20mAライン131を通じて通信するHART装置であり、一方でフィールド装置133は、フィールドバスプロトコル通信を使用して、デジタルバス135又はI/Oネットワーク155を通じてI/Oカード140と通信するフィールドバスフィールド装置のようなスマート装置であり、フィールド装置134は、HART、フィールドバス又はUTMS設定である他のフィールド装置であり得るので、上記の指定されたプロセス機能の遂行に加えて、装置134は、装置それ自体(特定のネットワーク通信脆弱性を有すると知られる、例えば、特定のセンサー、バルブ、送信器、ポジショナなど)の既知の脆弱性と一致し、既知の脅迫的なペイロードを含み、既知の脅威ロケーションから発生し、及び悪意のあるネットワーク活動の既知のパターンに一致する、如何なるデータパケットも破棄するように設定されることになる。勿論、フィールド装置130、133、134は、将来に開発される何らかの規格又はプロトコルを含む如何なる他の所望の基準又はプロトコルにも準拠し得る。ネットワーク150及び装置は、更に、標準的なイーサネット(登録商標)通信及び何らかの通信プロトコル(例えば、TCP/IP、ModbusIPなど)を支援するネットワーク装置であってもよい。コントローラ110に接続されるフィールド装置130、133、134は、コントローラ110で実装される制御戦略と関連付けられる、機能ブロックのようなモジュール又はサブモジュールを記憶及び実行することができる。フィールドバスフィールド装置130、134のうちの2つの異なるものに設置されるように図1a、図1b及び図3で示される機能ブロック132は、よく知られるように、プロセス制御を実施するために、コントローラ110内部の制御モジュール136の実行と連動して実行され得る。先に述べたように、フィールド装置130、133、134は、センサー、バルブ、送信器、ポジショナなどのようなどの様な型の装置であってもよく、I/O装置140は、任意の所望の通信又はHART、フィールドバス、プロフィバスなどのようなコントローラプロトコルに準拠するどの様な型の装置であってもよい。
【0033】
更に、フィールド装置142は、特殊化したネットワーク装置143、例えば、UTMS設定ネットワーク装置、ゲートウェイ、ルータ、ファイアウォールなどを介してデジタルバス135に接続され得る。例えば、フィールド装置142は、HRATコマンドだけを理解し得、I/Oネットワーク135は、プロフィバスプロトコルを実装し得る。このため、ゲートウェイ143は、本明細書で示すようなUTMS設定性能に加えて、双方向プロフィバス/HART翻訳を提供し得る。或いは又は更に、ネットワーク装置は、ゲートウェイ143に又はその付近に設置してもよい。ゲートウェイ143及び装置142の一方又は両方は、UTMS設定であってもよい。
【0034】
1つ以上のプロセッサをその中に有するプラント内部の多数の分散されたコントローラのうちの1つであり得るコントローラ110は、1つ以上のプロセス制御ルーチン又はモジュール136を実施又は監視する。ルーチンは、コントローラに記憶される又はコントローラと関連付けられる1つ以上の制御ループを含み得る。コントローラ110は、更に、任意の所望の方法でプロセスを制御するために、ネットワーク150及び他のネットワーク装置を通じてフィールド装置130、133、134、142、ホストコンピュータ120から122、(単数又は複数の)ファイアウォール146a、146b及び(単数又は複数の)データヒストリアン145と通信し得る。如何なる制御モジュール又はルーチン136又は本明細書で示すような素子も、必要に応じて異なるコントローラ又は他の装置によって実装又は実行される部分をその中に有し得るものと留意されたい。
【0035】
同様に、プロセス制御システム100の内部で実装されるように本明細書で示している制御ルーチン136、UTMS設定ネットワーク装置の管理、フィールド装置134及び他の素子は、ソフトウェア、ファームウェア、ハードウェアなどを含む如何なる形態でもとり得る。これを考察するために、プロセス制御素子は、例えば、任意のコンピュータ可読媒体に記憶されたルーチン、ブロック又はモジュールを含むプロセス制御システムの何らかの部分又は一部である可能性もある。モジュール又はサブルーチン、サブルーチンの一部分(コードのラインのような)などの制御手順の何らかの部分であり得る制御ルーチン及びUTMS管理ルーチンは、はしご論理、連続的機能チャート、機能ブロック図、オブジェクト指向プログラミング言語又は任意の他のソフトウェアプログラミング言語又は設計パラダイムを使用するような、任意の所望のソフトウェアフォーマットで実装され得る。同様に、制御ルーチン及びUTMS管理ルーチンは、例えば、1つ以上のEPROM、EEPROM、特定用途向け集積回路(ASIC)又は任意の他のハードウェア又はファームウェア素子にハードコード化され得る。その上更に、制御ルーチン及びUTMS管理ルーチンは、グラフィック設計ツール又は任意の他の型のソフトウェア/ハードウェア/ファームウェアプログラミングツール又は設計ツールを含む任意の設計ツールを使用して設計され得る。従って、コントローラ110は、任意の所望の方法で制御戦略又は制御ルーチンを実装するように設定され得、本明細書で示すようにUTMS管理ルーチンを一体化することができる。
【0036】
UTMS内部のファイアウォール146及び何らかのUTMS設定ネットワークアクセス装置149及びフィールド装置134は、システムオペレータ又は他の人員による直接的な介在がなくても多くのネットワークセキュリティ機能を果たすように設定され得るので、「賢い」UTMS装置と表現することもできる。UTMS設定ネットワークアクセス装置は、更に、下記のように、IT人員の介在がなくても、オペレータワークステーションのグラフィックディスプレイから全面的に監視及び設定することができるプロセス変数としてプロセス制御システム100とインターフェイス接続し得る。UTMS設定ファイアウォール146、ネットワークアクセス装置149、UTMSフィールド装置134、ネットワーク装置152、及び関連付けられるルールセット147、148、151、153は、プロセス制御システム100を、1つ以上のネットワーク装置、フィールド装置又はプロセス制御システムの他の部分に不具合を引き起こし得るウイルス、ワーム又は何らかの他の攻撃などの内部及び外部のネットワーク脅威から保護するように設定される。UTMS装置は、他のシステムに接続される場合及び異なるシステムとの接続の際にシステムを保護するために、制御システム100の階層内部の異なるレベルで配備することができる。
【0037】
各ワークステーション120、122は、プロセス制御システム100内部で接続される装置、ユニットなどに関する機能性を観察及び提供する目的で、許可されたユーザーであれば(本明細書では時には設定エンジニア、また時にはオペレータと称されているが、ユーザータイプによってカスタマイズされたディスプレイ層に関連して本明細書で下記に示すように、他の型のユーザーも存在する)誰でもアクセスすることができる一連のオペレータインターフェイスアプリケーション及び他のデータ構造123を含む。一連のオペレータインターフェイスアプリケーション123は、ワークステーション120、122のメモリ124に記憶され、それぞれのアプリケーション又は一連のアプリケーション123内部のエンティティは、ワークステーション120、122と関連付けられるプロセッサ125で実行されるように作られる。一連のアプリケーション123の全てがワークステーション120、122に記憶されるように図示されているが、それらのアプリケーション又は他のエンティティの幾つかは、システム100の内部の又はそれに関連付けられる他のワークステーション又はコンピュータ装置に記憶及び実行されることも可能である。更に、一連のアプリケーションは、ワークステーション120と関連付けられるディスプレイスクリーン126又は任意の他の所望のディスプレイスクリーン又は可搬型装置、ラップトップ型コンピュータ、他のワークステーション、プリンターなどを含むディスプレイ装置、へのディスプレイ出力を提供することが可能である。同様に、一連のアプリケーション123内のアプリケーションは、2つ又はそれ以上のコンピュータ又は機械で分割して実行することができ、互いに関連して作動するように設定することができる。
【0038】
一般的に言えば、一連のアプリケーション123は、幾つかの異なる型のエンティティのためにグラフィックディスプレイの作成及び使用を提供する又はそれらを可能にし、そのエンティティの動作は、プロセス制御システム100内部で強化された制御、シミュレーション、ネットワークセキュリティ及びディスプレイ機能を提供するためにまとめて一体化することができる。一連のアプリケーション123は、プロセスグラフィックディスプレイ127(一般には、プロセスプラントの一部に関係するオペレータディスプレイを提供する)、プロセスモジュール128(一般には、プロセスプラントの一部のシミュレーションを提供する)及び一般には、プロセスのオンライン制御を提供する又は行う制御ルーチン136のようなプロセス制御モジュールを作成及び実装するために使用され得る。プロセス制御モジュール128は、当業者には概ね良く知られており、機能ブロック制御モジュールなどのような何れかの型の制御モジュールを含み得る。下記でより詳細に説明される、プロセスグラフィックディスプレイ素子127は、標準的には、操作、設定、ネットワークセキュリティ又はプロセスプラント及びその中の素子の設定に関してオペレータのようなユーザーに情報を提供するためにオペレータ、エンジニア用又は他のディスプレイ内で表示される素子である。プロセスモジュール128は、標準的には、プロセスグラフィックディスプレイ素子127と密接に関係し、プロセスプラントの、又はプロセスグラフィックディスプレイ129に描写される方法でその中に接続される異なる素子の、幾つかの動作のシミュレーションを行うために使用し得る。プロセスグラフィックディスプレイ129及びプロセスモジュール128は、ワークステーション120及び122に記憶及び実行されるように図示されているが、プロセスグラフィックディスプレイ129及びプロセスモジュール128は、プロセス制御システム100に関連付けられる、ラップトップ型コンピュータ、可搬型装置などを含む、どの様な他のコンピュータにもダウンロード及び実行することが可能である。
【0039】
図2は、ワークステーション120、122(図1)の一連のアプリケーション123の中のアプリケーション及びデータ構造又は他のエンティティの幾つかを図示する。具体的には、一連のアプリケーション123は、制御モジュール、プロセスモジュール、及び制御モジュール、プロセスモジュール(工程モジュールとも呼ばれる)及び関連付けられるグラフィックディスプレイを作成するために設定エンジニアによって使用されるグラフィックディスプレイ設定アプリケーション200を含む。例えば、設定エンジニアは、UTMS設定ファイアウォール146、ネットワークアクセス装置149、ネットワーク装置152又はグラフィックディスプレイへ一体化するためのフィールド装置134の制御モジュールを作成し得る。制御モジュール設定アプリケーション200は、何らかの標準的な又は周知の制御モジュール設定アプリケーションであり得るが、プロセスモジュール及び(単数又は複数の)グラフィックディスプレイ設定アプリケーションは、プロセスモジュールと、その特質が米国特許出願第10/574,824号に記載される1つ以上のスマートプロセスオブジェクトを使用する、グラフィックディスプレイと、を作成し得る。更にその上、プロセスモジュール及びプロセスグラフィック設定アプリケーション200は別々に示されているが、1つの設定アプリケーションが、その様な型の素子を両方作成することも可能である。
【0040】
プロセスグラフィックオブジェクト204のライブラリ202は、プロセスモジュール128(図1a)及びグラフィックディスプレイ129を作成するために設定アプリケーション200によってアクセス、コピー及び使用され得る、例示の又はテンプレートプロセスオブジェクト204を含む。理解されるように、設定アプリケーション200は、それぞれが1つ以上のプロセスオブジェクト204で構成される又は1つ以上のプロセスオブジェクト204から作成される、1つ以上のプロセスモジュール128を作成するために使用され得、プロセスモジュールメモリ208に記憶される1つ以上の工程又はシミュレーションアルゴリズム206を含み得る。更に、設定アプリケーション200は、それぞれが1つ以上のプロセスオブジェクト204で構成される又は1つ以上のプロセスオブジェクト204から作成される、1つ以上のグラフィックディスプレイ129を作成するために使用され得、まとめて接続される任意の数のディスプレイ素子を含み得る。グラフィックディスプレイ129bの1つが、拡大された形態で図2に図示され、パイプ、コンジット、電力ケーブル、コンベヤーなどであり得る接続素子によって相互に接続される、バルブ、タンク、センサー、UTMS設定装置及びフロートランスミッタのようなプロセス素子一式の描写を含んでいる。
【0041】
実行エンジン210は、グラフィックディスプレイ129によって定義されるオペレータ用の1つ以上のプロセスディスプレイを作成し、プロセスモジュール128と関連付けられるシミュレーション機能性を実施するランタイムの間にグラフィックディスプレイ129及びプロセスモジュール128のそれぞれを作動又は実施する。実行エンジン210は、一般にはプロセスモジュール128で、また厳密にはそれらのモジュール内のプロセスオブジェクトで実施される論理を定義するルールデータベース212を使用し得る。実行エンジン210は、更に、プロセスモジュール128の機能性を実施するために、システム100内部そして勿論プロセスモジュール128内部のプロセス素子間の接続を定義する接続マトリクス214を使用し得る。
【0042】
図2は、より詳細なプロセスオブジェクトの1つ、例えば、UTMS設定プロセスオブジェクト204eを図示する。UTMS設定プロセスオブジェクト204eは、オブジェクト指向のプログラミング環境の中のオブジェクトであり得るので、データ記憶、入力及び出力及びそこで関連付けられる方法を含み得るが、このプロセスオブジェクトは、任意の他の所望のプログラミングパラダイム又はプロトコルによって作成され、任意の他の所望のプログラミングパラダイム又はプロトコルの中で実施され得る。理解されるように、UTMS設定プロセスオブジェクト204eは、インスタンス化される前は、図1のプロセス制御システム100の中のUTMS設定装置134、146、149、152と関連付けられるオブジェクトである。しかしながら、コピー及びインスタンス化された後は、UTMS設定プロセスオブジェクト204eは、プロセス制御システムの中の特定のUTMS設定装置と関係し得る。UTMS設定プロセスオブジェクト204eは、特定の装置に接続する、プログラム可能なインターフェイスによって特定のUTMS設定装置と関係し得る。ユーザーは、ユーザーのワークステーションで表示されるグラフィックディスプレイの中の装置のグラフィック表現ながらも、プログラム可能インターフェイスにアクセスし得る。アクセスすれば、ユーザーは、装置の様々な特性を表示及び設定することができる。更に、プログラム可能インターフェイスは、UTMS設定装置についての様々なパラメータをユーザーのグラフィックディスプレイへ通信し得る。
【0043】
何れにしても、UTMS設定プロセスオブジェクト204eは、UTMS設定プロセスオブジェクト204eが関連付けられるUTMS設定エンティティから受信した、又はUTMS設定エンティティに関係があるデータを記憶するために使用されるデータ記憶220を含む。データ記憶220は、標準的には、UTMS設定プロセスオブジェクト204eが関係があるUTMS設定エンティティについての、製造業者、改訂、名称、型などのような一般的又は永久的な情報、を記憶するデータ記憶220aを含む。データ記憶220bは、過去に存在していたような又は現在プロセス制御システム100の内部に存在しているようなエンティティと関連付けられるデータを含む、UTMS設定プロセスオブジェクト204eが関係するUTMS設定エンティティについての状態データ、パラメータデータ、状況データ、入力及び出力データ、ルールセットデータ、コスト又は他のデータのような可変的な又は変化するデータを記憶し得る。UTMS設定装置又はエンティティは、ルールセットデータを受信することができ、UTMS設定プロセスオブジェクト204eは、装置又は第三者ソース(下文で図3に関して示すようなサイバーセキュリティ危機管理会社305など)とつながる任意の所望の通信リンクを介して、ネットワークk150又はインターネット接続を介して、ルールセットデータをプロセス制御システム100の中の他のUTMS設定プロセスオブジェクトへ配信する別のUTMS設定装置を介して、又は何らかの他の所望の方法で、ルールセットデータ147、148、151、153(図1a)及び周期的又は非周期的な原則に基づく他の更新データにアクセスするように設定又はプログラムされ得る。データ記憶220cは、UTMS設定プロセスオブジェクト204eが関係し、且つ図1aのワークステーション120と関連付けられるスクリーン126のような、オペレータインターフェイスを介してオペレータへの実際のディスプレイに使用されるUTMS設定エンティティ134、146、149、152のグラフィック表現を記憶し得る。グラフィック表現は、パラメータによって定義される情報又はデータ記憶220bに記憶されるようなエンティティ134、146、149、152についての他の変数データのようなエンティティ134、146、149、152についての情報に対する場所ホルダー(データ記憶220cの中で下線が付けられた)を含み得る。このパラメータデータは、グラフィック表現がグラフィックディスプレイ129の1つの一部としてディスプレイ装置128でオペレータに提示される時に、グラフィック場所ホルダーで表示され得る。グラフィック表現(及びUTMS設定プロセスオブジェクト204e)は、更に、グラフィック表現によって描写されるように、オペレータ又は設定エンジニアがアップストリーム又はダウンストリーム構成要素をプロセス素子に取り付けることができるようにする所定の接続点(データ記憶220cの中で「X」が付けられた)を含み得る。勿論、それらの接続点は、更に、UTMS設定プロセスオブジェクト220eがプロセスモジュールの中で設定されるようなそのUTMS設定オブジェクトに接続されるUTMS設定オブジェクトプロセス制御システム素子を認識することを可能にし、パイプ、ダクト、その素子に関連付けられるストリーム、データ接続などのような使用されなければならない接続素子の型を指定し得る。
【0044】
UTMS設定プロセスオブジェクト204eは、更に、UTMS設定プロセスオブジェクト204eが使用されるプロセスモジュール内部又は外部で他のUTMS設定プロセスオブジェクト又は非UTMS設定プロセスオブジェクトとの通信を可能するために、1つ以上の入力222及び出力224を含み得る。他のプロセスオブジェクトへの入力222及び出力224の接続は、(UTMS設定又はそれ以外の)他のプロセスオブジェクトをそれらの入力及び出力に接続するだけによって、又はプロセスオブジェクト間で行われる特定の通信を識別することによって、プロセスモジュールの設定を行う間に設定エンジニアによって設定され得る。それらの入力及び出力の幾つかは、上記のようなUTMS設定プロセスオブジェクトのための所定の接続点で接続されるプロセスオブジェクトに接続されるように定義され得る。それらの入力222及び出力224は、更に、ルールデータベース212及びプロセス制御システム100の中の異なる装置又はエンティティの間の接続を定義する接続マトリックス214の中の設定ルール一式(ルールセット147、148、151、153とは対照的に、ネットワーク通信が行われ得る又は行われ得ない状態を定義する)によって決定又は定義され得る。入力222及び出力224は、データ記憶又はそこに関連付けられるバッファーを含んでいて、一般的に言えば、他のプロセスオブジェクトからUTMS設定プロセスオブジェクト204eへデータの通信を提供するために又はUTMS設定プロセスオブジェクト204eの内部に記憶された又はUTMS設定プロセスオブジェクト204eから生成されるデータ通信を他のプロセスオブジェクトへ提供するために使用されるであろう。それらの入力及び出力は、コントローラ110、フィールド装置130、133、134などの内部の制御モジュールのような、プロセス制御システム100の中のプロセスオブジェクト204eと他のオブジェクトとの間の通信を提供するためにも使用され得る。
【0045】
図2に示すように、プロセスオブジェクト204eは、UTMS設定プロセスオブジェクト204eが使用されるプロセスモジュール(例えば、本明細書で示すような様々なUTMS及びバイパス機能を実行するためのセキュリティモジュール、バイパスモジュールなど)を実行する間にUTMS設定プロセスオブジェクト204eによって実施されるアルゴリズム又はモジュールを含み得る、ゼロ、1つ以上の方法228(図2では方法228a、228b及び228cと図示される)を記憶するために使用される方法記憶226を更に含む。概括的には、方法記憶226に記憶された方法228は、ネットワークセキュリティのためのルールを実施し、ネットワーク150、ネットワークセキュリティの状況及びシステム内のプロセス制御システム100又はエンティティの設定についての情報を決定するために、データ記憶部分220a及び220bの中に記憶されたデータ、他のUTMS設定プロセスオブジェクト、他のプロセスオブジェクトから取得されたデータ又は設定データベース、ヒストリアン145(図1a及び図1b)などの他のソースからのデータ、及び入力222及び出力224を経由したルールセット147、148、151、153、を使用するであろう。例えば、方法228は、UTMS設定プロセスオブジェクト204eによって定義されるエンティティに関連付けられるネットワーク接続の数及び型、ネットワーク装置又はプロセス制御システム100の中で他のネットワーク装置に関連付けられるエラー、ルールセット147、148、151、153などの1つ以上と比較して、システム100の中の潜在的な又は実際のネットワークセキュリティの不具合を決定することができる。方法228は、プロセス制御システムの設定の間に事前設定又は修正さすることができ、UTMS設定プロセスオブジェクト204eが、ランタイムの間にエンジン210内で実行されるたびに標準的には実行されるであろう。
【0046】
UTMS設定プロセスオブジェクト204eの中で提供され得る幾つかの例示的な方法228は、1)ルールセット147、148、151、153の1つ以上の有効期限が切れる前又は切れた時に警報を処理する工程(加えて、警報を誘発する有効期限までの時間を設定する工程)、2)ルールセット147、148、151、153のルールが対応するUTMS設定装置で受信されたネットワークトラヒック又は装置から送信されたネットワークトラヒックによって違反された時に警報を処理する工程、3)コンテンツ、ソース、宛先、タイムアウトなどを含むネットワークトラヒックについての動態統計値を追跡する工程、4)ルールセット違反、又は概括的にはネットワークトラヒックに、厳密にはUTMS設定プロセスオブジェクト204eに関する他の異常な状態、を示す何らかの警報を処理する工程、5)ネットワーク150への内部及び外部データ接続の数及び型を含む、UTMS設定ネットワーク装置146、149の1つ以上の状況を決定する工程、6)プラントそれ自体の外部との接続、プラント内部の接続、及びプロセス制御システム全般(例えば、DeltaV(登録商標)システム)への何らかの接続、を監視及び検出する工程、7)選択されたサブシステム、特定の装置又はプロセス制御システム100の中の区域のためにセキュリティプロファイル(下記のような)を決定又は選択する工程を、これらに限定するわけではないが含む。これらの方法は、オペレータが、ネットワーク150がプロセス制御システム100全般に関連する際のネットワーク150についての情報に加えて、詳細なネットワーク及び脅威の統計値にアクセスすることを可能にし得る。
【0047】
方法228は、更に、プロセス制御システム100のプロセスエンティティの何れかを通るネットワークトラヒック流れを含む、UTMS設定プロセスオブジェクト204eに関連付けられるUTMS設定ネットワークアクセス装置134、146、149、152の動作のシミュレーションを補足することができる。従って、方法228は、提供された入力などに基づいて予想ネットワークトラヒック出力を計算するために、素子までのネットワークトラヒックをシミュレートするべく、プロセス制御システム100の材料に関連付けられるマスバランス、エネルギーバランス、フロー、温度、組成、蒸気状態、及び他のシステムレベル又はストリームレベルパラメータに関するネットワーク関連の統計値を計算する目的で提供され得る。勿論、それらは、UTMS設定プロセスオブジェクト204eの中に記憶され、UTMS設定プロセスオブジェクト204eによって実行されることが可能なほんの数例の方法であり、その様な方法が概ねUTMS設定ネットワーク装置134、146、149、152の型によって決定される場合、又はプロセス制御エンティティが、装置又はエンティティを他の因子と同様にプロセスプラントに接続して使用する方法で表される場合、に使用することができる多数の他の方法が存在する。UTMS設定プロセスオブジェクト204eは、システムレベルネットワーク状態、エラーなどを検出する方法を記憶及び実行し得るが、それらの方法は、装置、論理素子(例えば、プロセス制御モジュール及びループ)及び他の非システムレベルエンティティについての他の情報を決定するためにも使用し得るものと留意することは重要である。必要に応じて、方法228は、C、C++、C#などのような任意の所望のプログラミング言語でプログラム化される又は提供されることができる、又はルールデータベース212又は実行時にプロセスオブジェクト204eに対して実行されるべきルールセット147、148、151、153の中の適用ルールとして参照される又はその様な適用ルールを定義し得る。
【0048】
必要に応じて、各UTMS設定プロセスオブジェクトは、プロセスモジュールの中で接続される時のUTMS設定プロセスオブジェクトの動作を定義するために使用され得る適用アルゴリズム又は方法のライブラリを含み得る。当該ライブラリは、図2のUTMS設定プロセスオブジェクト204eのプルダウンメニュー230に図示され、同様のメニューは、それぞれの他のUTMS設定プロセスオブジェクトに関連付けられ得る。設定エンジニアは、このオブジェクトが、例えばプルダウンメニュー230を用いてアルゴリズムのライブラリ(方法1、方法2などと呼ばれる)の1つを選択することによってプロセスモジュール208に入れられる時、UTMS設定プロセスオブジェクトの動作を定義し得る。この方法では、設定エンジニアは、プロセスオブジェクトがモデルになって使用されているプロセスの型又は特質に応じてプロセスオブジェクトの異なる動作を(シミュレーション時又はランタイム時を問わず)定義し得る。
【0049】
UTMSの独自の機能は、更に、プロセスモジュールの中で接続される時に、UTMS設定プロセスオブジェクトのシミュレーション動作を定義するために使用され得るアルゴリズム又は方法に加えてプルダウンメニュー230に一体化することができる。例えば、プルダウンメニュー230は、ユーザーが、UTMS設定プロセスオブジェクト204eによって代表される特定のUTMS設定装置を保護するために、1つ以上のサブシステム(例えば、サブシステム105a、105b)又はシステム100の異なる部分を選択することも可能にし得る。更に、メニュー230は、ユーザーが、UTMS設定装置(例えば、Modbus TCP、EtherNet IP、ProfiNet、OPCなど)へのアクセスを認められる通信ネットワークの型を特定することも可能にし得る。ドロップダウンメニュー又は他のメニュー又はユーザーが選択可能な項目は、更に、ユーザー又はオペレータがルールセットバージョン、ルールセット147、148、151、153の最新更新からの経過時間又は次の更新までの時間、装置状態、システム100の中の他のUTMS設定装置についての情報、ネットワーク統計値などを特定することも可能にし得る。
【0050】
必要に応じて、設定エンジニアは、プロセスブロックによって定義される、UTMS設定ネットワーク装置134、146、149、152のシミュレーション動作を定義するために、所有権又は他のユーザーに供給されたアルゴリズムを更に提供し得る。その様なユーザー定義アルゴリズム(プルダウンメニュー230において「ユーザー定義」エントリと図示)は、そのようなオブジェクトがプロセスモジュール208の中に入れられる又は中で使用される時、UTMS設定プロセスオブジェクト204eに提供され、且つUTMS設定プロセスオブジェクト204eに記憶され得る。この機能性は、シミュレーション動作がユーザーによってカスタマイズされることを可能にし、それによって、特定のプロセス又はプロセスのステップに沿った選択点の間に、ネットワーク脅威及びプロセス制御ネットワーク150のセキュリティのより優れた又はより正確な可能性のシミュレーションを提供する。必要に応じて(及びこれよりより詳細に述べるように)、UTMS設定プロセスオブジェクト204又は各プロセスモジュール208は、UTMS設定プロセスオブジェクトの中でシミュレーションアルゴリズムの使用を無効にする、及び代わりに、HYSYSによって提供されるもののような、高忠実度シミュレーションパッケージ又はプログラムによって決定されるプロセスモジュールの動作を引き起こす、オペレータが作動可能なスイッチ(電子スイッチ又はフラグのような)を含み得る。この場合、UTMS設定プロセスオブジェクト204e又はプロセスモジュールは、UTMS設定プロセスオブジェクト自体の中でシミュレーションアルゴリズムを使用することとは異なり、高忠実度シミュレーションからシミュレーションパラメータデータを取得する。
【0051】
実行エンジン210によるグラフィックディスプレイ129又はプロセスモジュール208の実行の間、エンジン210は、入力222及び出力224によって定義される、グラフィックディスプレイ129又はプロセスモジュール208のUTMS設定プロセスオブジェクトのそれぞれとの通信を実施し、方法228によって提供される機能性を果たすためにそれらのオブジェクトのそれぞれに対して方法228を実施し得る。先に述べたように、方法228の機能性は、UTMS設定プロセスオブジェクトの中のプログラミングに位置してもよく、又はエンジン210が実行するルールデータベース212の中のルール一式によって又はルールによって定義される機能性を実施するUTMS設定プロセスオブジェクト204eの型、クラス、アイデンティフィケーション、タグ名などに基づくルールセット147、148、151、153の1つ以上のルールに基づいて定義されてもよい。
【0052】
UTMS設定プロセスモジュールに関連付けられるUTMS設定プロセスオブジェクト204eの例は、UTMS設定プロセスオブジェクト204eが関連付けられるUTMS設定プロセスモジュールの文脈内部にタグ又は固有名を有するものと、気付かれるであろう。このタグ又は固有名は、プロセスオブジェクト204eへ向かう及びから離れる通信を提供するために使用され得、ランタイムの間、実行エンジン210によって参照され得る。プロセスモジュールタグは、制御システム設定の中では固有でなければならない。このタグ規則は、プロセスモジュール208内部の素子がプロセスグラフィックディスプレイ129の他のもの、プロセスモジュール128及び更に制御モジュール136の内部の素子によって参照されることを可能にする。更にその上、UTMS設定プロセスオブジェクト204eのパラメータは、単純な値、構造化パラメータ又は予想ユニット及びそこに関連付けられる属性を識別するスマートパラメータのような単純なパラメータであり得る。スマートパラメータは、全ての信号が同じユニットで送信されている又は適切に変換されていることを確実にするために、プロセスルールエンジン又は実行エンジン210によって翻訳及び使用されることが可能である。ルールは、更に、スマート警報戦略及び/又はオペレータのインターフェイスを作り出すために、UTMS設定スマートプロセスオブジェクト(又はプロセスモジュール)のための警報の群をオン及びオフにするためにも使用することができる。更にその上、UTMS設定プロセスオブジェクトクラスは、UTMS設定プロセスオブジェクトと翻訳又はアクセスする必要があるであろうプロセス変数との間に周知のリンクを提供するために、プラント並びにプロセス制御システム100のプロセス制御戦略内部の機器及びモジュールクラスと関連付けることができる。
【0053】
UTMS設定プロセスオブジェクトは、プロセス制御グラフィックディスプレイ又はプロセスモジュールで使用される場合、動作、状況及び警報動作のモードを含むことができるので、それらのUTMS設定オブジェクトを、ランタイム時には、オフ、起動及び通常のモードのような異なるモードに入れ、現在の動作状態に基づいてオブジェクトと関連付けられる状況を提供することができる。更に、UTMS設定プロセスオブジェクトは、検出されたネットワーク状態(例えば、ネットワークトラヒックの予期せぬ増加又はUTMS設定オブジェクトでのトラヒックの型)に基づいて警報を提供し、ルールセット147、148、151、153の更新が必要となる可能性がある、UTMS設定オブジェクトと通信する別の素子のソフトウェア更新を検出し、システム100を完全に守り、ネットワーク上の既知の不具合を引き起こす攻撃及びルールセット147、148、151、153などの有効期限切れを検出するために、1つ以上のルールセット147、148、151、153にアクセスして、検出された現在のネットワーク状態をルールセット147、148、151、153の中の1つ以上のルールと比較することができる。UTMS設定プロセスオブジェクトは、更に、クラスライブラリにカテゴライズし、複合構造などにまとめて集めることができるようになるクラス/サブクラス階層を有し得る。更にその上、UTMS設定プロセスオブジェクトが、その関連付けられたエンティティがいつ使用中であるのか、又は例えばプロセス制御システム100の中のバッチ制御プロセスによっていつ取得されているのか、を認識できるようにするために、UTMS設定プロセスオブジェクトは、制御モジュール及び他のオブジェクトのような他の素子からの情報を利用することができる。
【0054】
UTMS設定プロセスオブジェクトを、更に、ポンプ、タンク、バルブなどの物理的な装置のような任意の所望のプロセスエンティティ、プロセス区域、測定又はアクチュエータ、制御戦略などのような論理エンティティ及びネットワークインターフェイスカード、ネットワークスイッチ、ルータ、ファイアウォール、コントローラ、オペレータワークステーションなどのようなネットワーク装置に関連付けることができる。幾つかの場合では、UTMS設定プロセスオブジェクトを、通信用有線及び無線データリンクのようなネットワークコネクタ、又はプロセス内でネットワークトラヒックを1つの点から別の点へ移動させる何らかの他の装置又はエンティティ、に関連付けることができる。コネクタに関連付けられ、本明細書では時としてUTMS設定リンク又はコネクタ素子として称されるUTMS設定プロセスオブジェクトは、更に、タグを付与される。
【0055】
UTMS設定プロセスオブジェクトの文脈において、UTMS設定リンクは、標準的には、プロセス制御システム100の中で様々なネットワーク接続を通過するネットワークトラヒックフローを定義する特性又はパラメータを含むであろう。それらのパラメータは、リンクを通過するネットワークトラヒックフローの型及び特質を示し得る。UTMS設定リンクは、トラヒックを評価するために、モデル又はアルゴリズムを使用してリンクを通過するネットワークトラヒックフローをモデル化する方法を更に含み得る。UTMS設定プロセスオブジェクトのために記憶されたパラメータは、それらの方法でも使用することができる。従って、本質的には、リンク又はコネクタ素子は、UTMS設定プロセスオブジェクトが他のアップストリーム及びダウンストリームオブジェクト又はエンティティを認識することができるようにする。1つの実施形態では、マトリックス214は、プロセスフローモジュールの実行より前に生成され、リンク用に、プラント内部の異なる装置間の相互接続を、ひいては、異なるUTMS設定及び非UTMS設定プロセスオブジェクト間の相互接続を定義することができる。実際、実行エンジン210は、アップストリーム及びダウンストリームエンティティを確認するためにマトリックス214を使用し得、それによって、UTMS設定プロセスオブジェクト間の通信及びUTMS設定プロセスオブジェクトと関連付けられる方法を定義する。更にその上、ルールの1つ以上のセットは、互いに情報をやり取りし、UTMS設定プロセスオブジェクトの中の方法の必要性に応じて相互からデータを取得し、出力接続と関連付けられるUTMS設定及び非UTMS設定の影響を解決するべく、UTMS設定プロセスオブジェクトによって使用されるために提供され得る。
【0056】
必要に応じて、UTMS設定プロセスオブジェクト204eは、オブジェクトの型に適用できる又はUTMS設定プロセスオブジェクト204eが関連する装置のインスタンス(クリティカリティ及びアプリケーションに応じた)によって特定され得る重要ドキュメンテーションへの、URLのような、ホットリンクを更に含み得る。ドキュメンテーションは、ベンダーから供給され、更に、ユーザー特有である。ドキュメンテーションの幾つかの実例は、設定、起動及び終了手順、操作及び保守に関するドキュメンテーションを含む。必要に応じて、オペレータは、オペレータディスプレイに表示されるオブジェクトをクリックして、オブジェクト又は関連付けられる装置用のインスタンス仕様書(ある場合には)及び一般的ドキュメンテーションを呼び出すことができる。更に、オペレータは、保守要求、作動問題の記録などのようなシステムソフトウェアのドキュメンテーションを独立して追加/削除/変更することが可能であり得る。更に、それらのホットリンクは、オペレータのインターフェイスで知識リンクをオブジェクトに追加する能力を提供するために、オブジェクトに関連付けられる適切な情報まで迅速なナビゲーションを提供するために、更に、顧客に特有の作業指示を、特定のオブジェクトタイプに、又はオブジェクトの特定のインスタンスにさえも追加する能力を提供するために、ユーザーによる設定又は変更が可能であり得る。
【0057】
プロセスモジュール及びプロセスグラフィックは、異なるUTMS設定プロセスオブジェクトの相互接続によってまとめて作成されると先に述べたが、それらは、別々に生成されてもよい。例えば、プロセスグラフィックは、UTMS設定プロセスオブジェクトを使用して作成され、完成すると、そのグラフィックのプロセスモジュールは、グラフィック素子及びグラフィックディスプレイ内の相互接続に基づいて生成され得る。或いは、プロセスモジュールは、UTMS設定プロセスオブジェクトを使用して最初に作成され、作成された時点で、プロセスモジュールのためのグラフィックディスプレイは、プロセスモジュールを作成するために使用されるUTMS設定プロセスオブジェクトのグラフィックディスプレイ素子を使用して、設定アプリケーション38によって自動的に生成され得る。更にその上、プロセスモジュール及びグラフィックディスプレイは、別々に作成されてもよく、それら2つのエンティティ内部の個別の素子は、互いに参照しあう(例えば、グラフィックディスプレイ及びプロセスモジュール内部の素子のタグ特性を使用する)ことによって手動でまとめて結び付けられ得る。このメカニズムを経て、UTMS設定プロセスオブジェクトは、複数のディスプレイで参照することができるようになる。いずれにしても、作成されると、グラフィックディスプレイ及び関連付けられるプロセスモジュールは、要望又は必要に応じてあちこちへと標準的にはパラメータ及び情報を通信するであろうが、それらは、独立して又は単独で作動され得る。
【0058】
UTMS設定装置及びルールセット147、148、151、153の設定は、先に述べたプルダウンメニュー230又はプルダウンメニュー232のような他の類似の選択インターフェイスからより大きいプロセス制御システム100の中で接続される特定のサブシステムを指定することに基づき得る。そのような設定の容易さは、1つ以上のルールセット147、148、151、153内部に詳細なパケットフィルター設定を提供する必要性を無くすことができる。例えば、1つ以上のUTMS設定装置を含むグラフィックディスプレイにおいて、UTMS設定装置の設定は、周辺ファイアウォールが遮断/許可するポート及びTCP又はUDPプロトコルを定義するのではなく、ドロップダウンメニュー232から保護するサブシステムを選択するだけで遂行することができる。許可する通信ネットワークを選択する能力(上記のような)に加えて、ユーザーは、誤設定及びセキュリティの低下の危険を減らしながら、各UTMS設定装置を容易に設定することができる。更に、ユーザーは、UTMS設定プロセスオブジェクト204eを使用して保護するプロセス制御システム100の区域を定義することができる。1つの実施形態では、ユーザーは、特定のUTMS設定ネットワーク装置146、149、152によって保護及び監視される区域又はサブシステムを定義するために、グラフィックディスプレイから1つ以上のプロセス制御装置及びエンティティを選択することができる。更に、セキュリティ選択肢は、選択されたサブシステム、エンティティ又はプロセス制御システムの区域に利用できる監視又は保護の型を含むUTMS設定プロセスオブジェクト204eからUTMS設定ネットワーク装置146、149、152も設定することができ、そのルールは、ユーザーが定義した区域、1つ以上の警報などを引き起こす検出された条件に対して利用することができる。勿論、上記のドロップダウンメニュー230、232以外の他の型のユーザーインターフェイスでも、各UTMS設定プロセス制御オブジェクトの設定でユーザーを支援し得る。ドロップダウンメニュー230、232又はUTMS設定オブジェクトの他の設定インターフェイスは、保護システム100に緊密に組み込まれてもよく、又は安全なウェブページ(又はUTMS設定オブジェクト204eの中で利用可能な類似した固有のページ)を介して利用されてもよい。
【0059】
UTMS設定装置に関する設定、更新、受容ルールセット更新などを目的とした上記の1つ以上のユーザーインターフェイスへのアクセス(又は関連付けられるUTMS設定プロセス制御オブジェクトを用いて保護システムへの、装置を通るアクセス)は、装置の固有の部分である内蔵された2因子認証モジュールを用いて保護され得る(即ち、方法228などの1つとして、UTMS設定装置内部の機密EEPROM又は機密IC内部のコンピュータ実行可能命令として記憶された認証方法)。或いは、2因子認証方法は、先に述べたように、設定装置アプリケーション200であってもよい。認証方法は、更に、オペレータ及び他のユーザーアクセスのために、システム100から生まれたユーザー認証に組み込むことができる。例えば、UTMS設定装置及びプロセス制御システム100は、共に、共通の、ユーザーサービスにおける遠隔認証ダイアル(RADIUS)認証サーバーを利用し得る。幾つかの実施形態では、RADIUSサーバーは、UTMS設定装置に組み込まれる。他の実施形態では、認証方法は、トークン、スマートカード、及び他の既知の2因子方法を含んでもよい。
【0060】
概括的に述べれば、一式の所定のグラフィック素子は、ユーザーが、プロセスプラント及びプロセス制御システム100を概括的に映し、先に述べたように、UTMS設定装置の視覚的な表現を含む、プロセスグラフィックディスプレイを構築することを可能にするために、設定アプリケーションに提供され得る。それらのディスプレイは、オンライン測定及び制御システムと連動するアクチュエータを動的に示すように設計されたグラフィックディスプレイ素子を有しているので、結果的に、オペレータ又はオンライン作業に従事する他の人員によって標準的に監視及び利用される情報を提示することができる。UTMS設定素子を表現するグラフィックディスプレイ素子は、オンラインネットワークセキュリティ測定を動的に示し得る。各グラフィックディスプレイ内部のUTMS設定素子は、例えばUTMS設定素子の現在の作業状態、検出されたネットワーク状況(例えば、ネットワークトラヒックの予期せぬ増加又はUTMS設定オブジェクトでのトラヒックの型、ネットワーク上の既知の不具合を引き起こす攻撃の検出など)に基づく警報、UTMS設定オブジェクトなどと通信するプロセス制御システム100の別の素子又は装置の更新(例えば、ソフトウェア、ファームウェア、既存の設定など)の検出を動的に示し得る。或る種のネットワーク条件を検出すると、更に、ルールセット147、148、151、153の自動更新又はユーザーにルールセットの手動更新又はシステム100を完全に守るために別の動作を促す警報を引き起こし得る。
【0061】
オンライン測定及び制御システム100及びシステム100のUTMS設定素子のネットワークパラメータと連動するアクチュエータに加えて、プロセス動作を反映する制限の無いパラメータ及びネットワーク健康を反映する制限の無いパラメータ又はセキュリティは、UTMS設定プロセスモジュールに提供されるオンラインプロセスシミュレーションを使用して計算され得、関連付けられるグラフィックディスプレイの一体化部分として示され得る。それらの及び他の方法では、プロセスグラフィックディスプレイは、技術人員、管理者及びプロセス制御ネットワーク専門家のようなオペレータ以外のプラント人員によって標準的には監視及び利用される情報を提供し得る。
【0062】
更に、技術又は訓練シミュレーション目的で使用され得るオフライン環境において、UTMS設定プロセスモジュールによって提供されるプロセスシミュレーション値は、実際のプロセス、及びグラフィック素子及び関連付けられる制御モジュールによって他の方法で提供されるネットワーク測定値、の代わりに使用され得る及び/又は表示され得る。関連付けられるプロセスモジュール又は第三者シミュレーションアプリケーション(例えば、HYSYS)によって計算され得るそれらのシミュレーション値は、ユーザー固有の外乱設定又はプロセスグラフィックディスプレイ及びそれらの個別のグラフィックディスプレイ素子を用いて確立される及びプロセスグラフィックディスプレイ及びそれらの個別のグラフィックディスプレイ素子で描かれる値に加えて、実際のプラント設定(例えば、アクチュエータ場所又は状態、ネットワーク設定又は状態、ルールセットなど)に基づき得る。そのために、プロセスグラフィックディスプレイのオフライン表示用にカスタマイズされたプロセスグラフィックディスプレイのコンテンツ層は、生成され、例えば訓練文脈で利用可能となり得る。
【0063】
より一般には、プロセスグラフィックディスプレイは、複数の異なる型の人員によってオンライン又は制御状況、及びオフライン又は訓練状況、の両方を含む様々な文脈で使用され得る。このために、各プロセスグラフィックディスプレイは、それらの異なる文脈、状況及び人員に専用の複数のコンテンツ層を有し得る。それらの専用コンテンツ層は、同じ1つのオブジェクト又は複数のオブジェクトが全ての異なるコンテンツ層を生成するために必要な情報にそれをもって関連付けられるという意味では、それらを定義するために使用されるオブジェクトの組み込まれた一部である。結果的に、1つのプロセスグラフィックディスプレイのコンテンツ層は、設定エンジニア、ITネットワークセキュリティ専門家又はそれぞれの表示に別々のディスプレイを作成する他の設計人員を必要とせずにカスタマイズされた表示を提供する。
【0064】
概括的にいえば、グラフィックディスプレイは、プロセス制御システム及びプロセスプラントを反映する。各ディスプレイ内部のグラフィックディスプレイ素子は、オンライン測定及び制御システムと連動するアクチュエータを動的に示すように設計されるので、結果的にはオペレータ又はオンライン作業に従事する他の人員によって標準的に監視及び利用される情報を提示することができる。更に、プロセス動作を反映する測定されないパラメータは、プロセスモジュールで提供されるオンラインプロセスシミュレーションを使用して計算され得、関連付けられるグラフィックディスプレイの不可欠な部分として示され得る。その様な及び他の方法では、プロセスグラフィックディスプレイは、技術人員又は管理者のような、オペレータ以外のプラント人員によって標準的に監視及び利用される情報を提供し得る。UTMS設定ネットワーク装置134、146、149、152を示すディスプレイ内部のグラフィック素子は、プロセス制御システム100のネットワークセキュリティを監視及び保守するために、ネットワークパラメータ及びセキュリティデーを(先に述べたように)オペレータ及び他のプラント人員に提供する。
【0065】
先に述べたように、UTMS設定ネットワーク装置146、134、149、152に関連付けられる様々なルールセット(例えば、ルールセット147、148、151、153)は、ネットワーク脅威に対して実行的であり続けるために更新を必要とする。図3に示すように、カナダ ブリティッシュコロンビア州 VancouverのWurldtech Security,Inc.のような第三者の、サイバーセキュリティ危険管理会社305、又は他のエンティティは、様々なルールセット147、148、151、153を構築し、ルールセットを有効にし、ルールセットを検証し、UTMS設定ファイアウォール146a、146b、UTMS設定ネットワークアクセス装置149c、他のUTMS設定ネットワーク装置146及び/又はUTMSフィールド装置134に配布するために、複数の様々なソース315から脅威データ310を集め得る。ルールセットの収集、構築、有効化及び配布は、電子データを使用するそのような動作を実行するのに適切な何らかの型の情報技術方法を使用して実行され得る。例えば、その方法のいくつかは、様々なデータ収集技法(例えば、ロボット、クローリング、データフィード、協調フォーラムなど)を使用し、ワールドワイドウェブから脅威データ310を集める工程と、ルールセットを装置に準拠した方法でそれらの宛先装置へ運ぶためにデータファイルを構築する工程と、ルールセットが所望の方法(例えば、シミュレーション又は他の試験方法)でプロセス制御システムを有効的に守っているか否かを判定するためにコンピュータ実装アルゴリズムを実行する工程と、ルールセットを安全なインターネットインターフェイス又は他の適切な方法を介してUTMS設定エンティティに配布する工程と、を含み得る。
【0066】
既知の脅威データ310を集める工程に加えて、プロセス制御システム100は、領域固有情報320を元の会社305へ送信し得る。例えば、領域固有情報は、システム100の微細構成(即ち、ポンプ、タンク、バルブなどを含むシステム100の物理的装置の型の製造業者、モデル、状態、ソフトウェア/ハードウェアバージョンなど)、プロトコル及び他のネットワーク150インフラストラクチュア情報、各物理的装置のソフトウェアバージョン、ネットワーク装置及びUTMS設定装置などに関係情報を示すデータを含み得る。会社305は、その後、プロセス制御システム100から送信された領域固有情報を使用して、(可能性のある特定可能な脆弱性のほんの数例を挙げると)何らかの装置、サブシステム又はソフトウェアプログラムにおけるネットワーク脆弱性を連続的に特定するべく、領域固有ロバスト性試験ツールを構築するために様々な分析技法を使用してもよい。会社305は、その後、試験ツールによって実行された分析結果を特定のシステム脆弱性を識別する収集に統合してもよい。収集は、特定の脆弱性のセキュリティの危険性、起きる可能性のある脆弱性に起因するネットワークセキュリティの侵入の危険、度重なるネットワーク侵入の可能性を含む幾つかの因子に基づいてカテゴライズ化及びソートされ、優先順位が付与され得る。それらの既知の脆弱性のそれぞれは、その後、軽減又は様々なルールセット147、148、151、153のルールに翻訳され得、会社305は、UTMS装置更新の形態で、継続した修復更新サービスをシステム100に提供し得る。この方法では、新しい装置又はコードアプリケーションがシステム100に導入される毎に、何らかのバグ又は他の脆弱性にさらされることが減少する又は無くなる。
【0067】
各ルールセットは、既知の署名、ポリシー又はプロセス制御システム100に対するネットワークに根差す脅威の特性を表現する他のルールを含むデータファイルであり得る。ルールセットは、プロセス制御システム100の各部分に対してネットワーク150への内部及び外部アクセスの両方を制御するように設定され得る。UTMS設定ネットワーク装置134、146、149、152は、(先に述べたような)プロセス変数として設定されるので、ルールセット148、147、151、153は、オペレータ又はワークステーション120のグラフィックディスプレイ129からの他の人員によって設定変更することが可能であり得る。例えば、プロセス制御システム100の様々な特性(例えば、プロセス制御システム100内部のUTMS設定装置の数及び型、ルールセットによって保護されるシステム100の特定のサブシステム、エンティティ又は他の部分に対するネットワークセキュリティの重要性又は「感度」、外部ネットワーク攻撃の尤度など)に基づいて、ユーザーは、プロセス制御システム100の何らかの部分のネットワークセキュリティを個別に設定及び管理することができる。幾つかの実施形態では、ユーザーのグラフィックディスプレイは、システム100に配布されるルールのサブセットを採用する複数の事前設定された「ネットワークセキュリティプロファイル」を含み得る。プロセス制御システム100の又は他の因子によって実行されるプロセスの感度に応じて、ユーザーは、ネットワークセキュリティの必要性及びシステム100の連続的な動作を最良に調和させるプロファイルを選択することができる。ルールセットが、周辺UTMS設定ネットワーク装置によって受信される場合、装置は、受信したルールセットの中でどのルールがプロセス制御システムのどのサブシステムに適しているのかを判定する。周辺装置は、その後、決定されたルールをサブシステム内部の適切な装置へ配布し得る。それらのサブシステムは、今度は、ルールのより小さいセットを更に決定し、サブシステム内部に配布し得る。よって、選択されたプロファイル又はポリシーは、プロセス制御システムのネットワークセキュリティの必要性に従って、1つ以上のルールセット147、148、151、153内部の全ルール数のサブセットを実行する。警報は、更に、特定の選択されたプロファイルが、検出されたトラヒック、システム100の状態、プロファイルが作動する時間の長さなどを、これらに限定するわけではないが、含むネットワークの静的及び動的状態に照らしてセキュリティに適しているか否かをユーザーに示し得る。実施される選択されたプロファイルの時間を制限するために、警報に関連付けられるタイマーが、初期設定で設定され得る、又はユーザーによって設定され得る。それぞれのタイマーは、選択されたプロファイルの剛性及び保護エンティティ又は装置の感度に応じた初期設定を含み得る。例えば、ユーザーが緩やかなセキュリティポリシーを選択する、特に敏感に反応するプロセスは、警報が示される前の短期間だけ有効であり得、一方で、ユーザーが厳格なセキュリティポリシーを選択する、特に安全なプロセスは、中間的な期間有効であり得る。
【0068】
ルールセット147、148、151、153のそれぞれは、検出された場合、疑わしい悪意のある通信を遮断する又は先に述べたように、1つ以上のグラフィックディスプレイの中で表示する警報を通じてオペレータ又は他のプラント人員に警告する、いくつかの組み合わせを実施する状態を定義し得る。更に、各オペレータは、それぞれのオペレータディスプレイから直接的に、ルールセット更新の統合制御を有し得る。管理の許可を有さないオペレータに対しては、第2の又は管理の認証が、ルールセットの更新(例えば、上記の2つの因子認証プロセス)を実施することができるようにされ得る。
【0069】
幾つかの実施形態では、UTMS設定ファイアウォール146a、146b、UTMS設定ネットワークアクセス装置149c、他のUTMS設定ネットワーク装置146及び/又はUTMSフィールド装置134は、更に、様々なルールセットを構築、有効化及び検証するために(図3の脅威データ310を配信するための点線の通信回線によって示されるように)、会社305又は複数のソース315から直接的に脅威データ310を集め及び統合するように設定され得る。更に、周辺UTMS設定装置146、149(即ち、プロセス制御ネットワーク150の外側に置かれるそれらのUTMSエンティティ)は、プロセス制御システム100の中の全ての様々な内部UTMS設定装置に対するルールを含む第三者ソース305からルールセットを受信し得る。単数又は複数の周辺装置は、その後、先に述べたように、内部UTMS設定装置又は装置の様々な群に対する個別のルールセットをアルゴリズム的に得て、より小さいルールセットを単数又は複数の周辺装置146、149aから内部装置134、152へ送信する又は得たルールセットをネットワークプロファイルへ配置し得る。ソース315は、単数又は複数のプロセス制御ネットワーク150のセキュリティに対する潜在的な及び既知の脅威を監視、定義及び分析することによって脅威データ310を作成し得る。例えば、(ファイアウォールルールセットデータのソースをほんの数例挙げると)Assurent Secure TechnologiesのVulnerability Research Service(VRS)、Carnegie Mellon UniversityのComputer Emergency Response Team(CERT)、Secunia、エンドユーザー調査及び監視からのデータ、及びAchilles(登録商標)認定製品ユーザーからのデータを集約し得る。
【0070】
或いは又は上記の様々なルールセットの実装に加えて、システム100外部のネットワークトラヒックは、適切なセキュリティを保証するために、特に高感度なプロセス(例えば、原子力発電所、地方自治体のサービス、公衆通信システムなど)の間には、選択的に有効化及び無効化される必要があり得る。例えば、1つ以上のネットワークセキュリティのプロファイルは、上記のように、プロセス制御システム100エンティティの何れかの間の通信を選択的に有効化又は無効化するソフトウェア方法を提供するために実装され得る。更に、図4から図12に示すように、UTMS設定ネットワークアクセス装置149(図1a及び図1b)のようなネットワークアクセス装置は、機能していない、不調の又は柔軟性に欠けた設定のネットワーク装置周辺のネットワークトラヒックの経路を変更するために、バイパス制御が選択的にプロセス制御ネットワークの内部又は外部のエンティティへのネットワーク接続をオン及びオフにするための解決策をオペレータに提供し得る。オペレータのワークステーション及びバイパス選択された制限的装置の中のグラフィックディスプレイから様々なネットワーク接続を選択的にオフ及びオンにするために、当該UTMS設定ネットワークアクセス装置149及びUTMS設定プロセスオブジェクト204eが関連するUTMS設定ネットワークアクセス装置149の表示に関連付けられるユーザーインターフェイスを用いる。
【0071】
先に述べたように、UTMS設定ネットワークアクセス装置149は、制御システム100の固有部分であり、ユーザーは、装置149の表現を含むプロセス制御システム100のグラフィックディスプレイを使用して装置149を設定することができる。図4に示すように、この装置149は、サイトとインターネットの、及び図5に示すようにサイト間の、又は図6に示すようにサイト内部で(即ち、プラントの区域又はユニット間の)ネットワークアクセスを制御するために、オペレータ又は他の認証された人員によって使用され得る。更に、図7に示すように、UTMS設定ネットワークアクセス装置149は、ファイアウォールルール147を修正する又は先に選択されたネットワークセキュリティプロファイルを変更する必要無く、安全性の低いアクセス(即ち、技術的な支援、保守など)を受け入れるために装置149のアップストリームにあるファイアウォール146を一時的にバイパスする目的で使用され得る。例えば、DeltaV(登録商標)SISのような、プロセス制御システムの一体型安全システムの中で、UTMS設定ネットワークアクセス装置149は、安全システムを制御システム100から切断する(図6のように)ためにも使用することができる。
【0072】
プロセス制御システム100の中で選択された他の装置をバイパスするように設定されたUTMS設定ネットワークアクセス装置149は、制御システム100の固有の部分であり、UTMS設定ネットワークアクセス装置149及び他の接続された装置の状態は、プロセス制御システムに組み込まれ得る(即ち、UTMS設定ネットワークアクセス装置の状態は、プロセス変数になる)。よって、装置の状態は、作業用ディスプレイから見ることができ、制御システムの履歴収集部145に履歴が残され、プロセス警報の中で使用され得る。ネットワーク接続がオン状態のままである、又は設定された期間より長く有効な状態が続くプロファイルである場合、警報が発せられ得るので、UTMS設定ネットワークアクセス装置149のそのような状態及び他のパラメータを警報と一体化して使用すれば、ネットワーク150の監視能力を高めることができる。UTMS設定ネットワークアクセス装置149は、更に、開放接続、プロファイル又は他のパラメータに設定された期間に達すると、接続又は他のパラメータを自動的に切断するように設定され得る。従って、オペレータは、時間枠、選択した異なるプロファイル又は他のパラメータを再設定する機会をオペレータに与える目的で、接続が切断される前に警告を受けることができる。更に、危険防止設定は、プロセス制御システムとの通信が喪失している又は他の状態の間、外部接続を解除することができる。
【0073】
UTMS設定ネットワークアクセス装置149が、プロセス制御システム100の中で使用される時に用いることのできる異なる型のネットワーク接続が存在し得る。例えば、一時的な接続、通常有効な接続及びバイパス接続は、UTMS設定ネットワークアクセス装置149と共に使用し得るが、プロセス制御システム100の中の他の型の接続をそのように設定してもよい。一時的な接続は、サイト又はシステムとインターネット間の接続(例えば、顧客サポート)、サイト又はシステムと企業本部間の接続(例えば、バックアップ、履歴、アーカイビング)、及びサイト又は様々なシステム間でのデータ又は製品移動時に必要とされる複数のサイト間の接続を、これらに限定するわけではないが含む。通常有効な接続は、複数のシステム(例えば、サブシステム105及び105b)に広がる又は制御システム100の中の個別の素子、ユニット又は装置間(プロセス制御システム100と関連する安全システム間の接続)の制御戦略を、これらに限定するわけではないが含む。
【0074】
バイパス接続では、UTMS設定ネットワークアクセス装置149は、ファイアウォール146を通過する通信を続ける目的でファイアウォール146又は他のネットワーク装置を一時的にバイパスするために使用され得る。バイパス接続は、ネットワーク装置又はファイアウォールルール147に不具合が存在する、又は選択されたルールセットプロファイルが既知の安全な通信にとって過度に制限的であるように設定される時に必要とされ得る。商業的に入手可能なバイパス装置は、バイパスを実行することを決定するために、バイパスされたリンク又はネットワーク装置の健康を監視し得るが、UTMS設定ネットワークアクセス装置149は、監視以外の機能を果たし得る。特に、UTMS設定ネットワークアクセス装置149は、プロセス制御システム100に組み込まれ、(上記のように)オペレータのグラフィックディスプレイの中に示されるので、警報は、バイパス機能を自動的に制御するように設定され得、オペレータはオペレータディスプレイからバイパス機能を直接的に制御し得る。
【0075】
図8に示すように、バイパスUTMS設定ネットワークアクセス装置800の1つの実施形態は、ネットワークコネクタ(例えば、銅、光又は他のコネクタ)の第1の型及びネットワークトラヒックを直接的にフィールド装置130、133、134へ又は制御アプライアンスへ送るためのネットワークコネクタの第2の型を含む。IN1接続802a及びOUT1接続802bは、バイパスUTMS設定ネットワーク装置800から通常有効な接続のためのコネクタを表わす。IN2接続804a及びOUT2接続804bは、一時的な接続のためのコネクタを表わす。バイパスUTMS設定ネットワークアクセス装置800の作動は、通常有効な接続を解除するためにIN1/OUT1接続802a/802bを中断させ得る。バイパスUTMS設定ネットワークアクセス装置800の作動は、更に、別のネットワーク装置(例えば、先に述べたようなファイアウォール146)をバイパスするべく一時的な接続を作るためにIN2/OUT2接続804a/804bを係合させ得る。幾つかの実施形態では、マイクロコントローラ812の中のバイパスモジュール813は、本明細書で示すように、バイパス機能を実行する一連のコンピュータ実行可能命令を含むコンピュータ可読メモリを含み得る。他の実施形態では、バイパス機能は、ユーザーによって手動で実行され得る。OUT1/IN2802b、804aのセットを、バイパスされるネットワーク装置に接続することによって、IN1接続802a及びOUT1接続802bの接続のセットは、ネットワーク装置を通る通信を送ることができる又はバイパスUTMS設定ネットワークアクセス装置800が作動する時、同じネットワーク装置の周辺でネットワーク通信をバイパスすることができる。第2の型のコネクタ、例えばCTRLコネクタ806は、一対のワイヤ又は他の型のコネクタを、UTMS設定ネットワークアクセス装置149から直接的にフィールド装置130、133、134へ又は制御アプライアンス808を通ってフィールド装置へ接続し得る。制御アプライアンス808は、フィールド装置130、133及び134をプロセス制御システム100のコントローラ110と通信可能に結合する。幾つかの実施形態では、制御アプライアンス808は、I/Oモジュール又はI/Oカード140のようなI/O装置、別個の出力キャラクタリゼーションモジュール(CHARM)又はAustin TexasのFisher−Rosemount Systems, Inc.によって生産される終了モジュールである。そのようなI/O装置及び終了モジュールは、Burr他による米国特許出願番号第11/533,259号「フィールド装置をプロセス制御システムのコントローラへ通信可能に結合する装置及び方法」に記載され、同特許の全体を参考文献としてここに援用する。図9で示すように、I/O装置808は、米国特許出願第11/533,259号で記載されるように、I/O装置内部の回線異常検出機構を介して別個の信号を装置へ送信し、状態情報を受信するために使用され得る。或いは、インテリジェント通信方法は、I/O装置及びフィールド装置の間で利用され得る。例えば、インテリジェント通信方法は、バイパスUTMS設定ネットワークアクセス装置800を所望の状態(即ち、接続された又は接続されない)にするために使用される信号のレベルを用いて状況(例えば、通信状況は、通信中又は通信中ではないか否か)を通知するHART信号であり得る。
【0076】
更に、バイパスUTMS設定ネットワークアクセス装置800は、図9で示すように、I/O装置及び808に接続され得、I/O装置808は、心拍の役割を果たすべく、パルス出力を刻々とバイパスUTMS設定ネットワークアクセス装置800へ送信し得る。バイパスUTMS設定ネットワークアクセス装置800が或る期間心拍を受信しない場合、設定された安全装置値(例えば、一時的な接続の解除、全ての接続の解除、警報の作動など)へ自動的にデフォルト設定され得る。この心拍は、別個のI/O装置808から開始され得る又はオペレータワークステーション120及びI/O装置808の間のリンクがまだ変わることなく有効であることを保証するために、オペレータワークステーション120から自動的に開始され得る
【0077】
図8及び図10に示すように、バイパスUTMS設定ネットワークアクセス装置800は、銅又は他の型のアナログコネクタ用のリレー810(図8)又は光ファイバーコネクタの送信器及び受信機1010への電力制御リレー(図10)によって有効にされる又は直接的に無効にされる通信を有し得る。例えば、バイパスUTMS設定ネットワークアクセス装置800は、2つのネットワークポート及び制御回路構成812、1012だけ(又はバイパスの機能性が必要でない場合には4つのポート、2つに対して1つの装置)を含み得る。2つのネットワークポートを用いて、接続は、光ファイバー接続用の光リンク回路構成1010への電力供給をオフにすることによって有効又は無効にされ得る。光ファイバー送信器1010は、マイクロコントローラ1012のピンから直接的に電源遮断され得る、又は通常のソースから電源を供給され得、マイクロコントローラ1012は、図8に示すものと同様に、リレーを使用して電源をオン又はオフにすることが可能である。どちらの場合でも、バイパスUTMS設定ネットワークアクセス装置800は、I/O装置を通って制御アプライアンス902へ接続され得る。
【0078】
別の実施形態では、バイパスUTMS設定ネットワークアクセス装置は、それ自体がI/O装置であり得る。図11及び図12に示すように、UTMS設定I/O装置又はネットワーク制御I/O装置(NCC)1108は、イーサネット(登録商標)、シリアル又は他の型のリンクに物理的に接続する又は接続を切るためにオンーオフスイッチを含み得る。それらの1つ以上は、制御アプライアンス902の下で従来式のI/O装置808に隣接して取り付けることが可能である。NCC1108は、従来式のI/O装置808のように同じ通信バスで制御アプライアンス902へ通信し得る。
【0079】
周辺UTMS設定装置146、149、内部UTMS設定装置134、152及びバイパスUTMS設定ネットワークアクセス装置800は、制御システム100を好ましくないアクセス及び/又は悪意のある攻撃から監視及び/又は保護するために任意の数の追加のルール表を含み得る。例えば、UTMS設定プロセスオブジェクト204e(図2)は、ルールセット147、148、151、152及びプロセス制御システムのネットワークセキュリティ内部の任意のルールを設定及び制御するために、ユーザーが1つ以上のユーザーインターフェイスにアクセスすることを可能にする。図13に示すように、プロトコルルール表1300のようなルールセットユーザーインターフェイスは、UTMS設定プロセスオブジェクト204eを介してアクセスされ得、プロトコル型カラム1302、フロムアドレスカラム1304、閾値パラメータカラム1305、トゥアドレスカラム1306、ポート番号カラム1308、動作カラム1310、説明カラム1312及びログカラム1314を含む。例示のプロトコル型カラム1302のプロトコル型は、UDP、TCP、ICMP、HART及び/又はSCPIを、これらに限定するわけではないが、含み得る。フロムアドレスカラム1304及び/又はトゥアドレスカラム1306のアドレスは、所与のプロトコル型に関連付けられる1つ以上のアドレスに対応し得る。例えば、TCP、UDP及びICMPプロトコルは、IPアドレス(例えば、IP v.4、IP v. 6など)を標準的には採用し、SCPI及び/又はGPIBに関連するプロトコルは、異なる書式の1つ以上の装置アドレスを含む。
【0080】
UTMS設定プロセスオブジェクト204eは、更に、カスタマイズされたルールプロファイル232(図2)及びプロセス制御装置の製造業者によって生成されたアクセスルールプロファイルを作り出すために、ルールセット147、148、151、152へのアクセスを許可する。その様なプロファイル232は、プロセス制御及び特定の製造業者による試験、測定装置を採用するユーザーにとって標準的に共通である、ファイアウォール設定を反映するために生成され得る。ユーザーは、プロファイルドロップダウンセレクタ232(UTMS設定オブジェクト240eに対するユーザーインターフェイスにアクセスする場合)又はプロファイルドロップダウンセレクタ1316(ルールセットインターフェイス又は表1300にアクセスする場合)を介してプロファイルを読み込むことを許可され得る。セレクタ232又は1316の何れかは、ロードボタン1318を含み得る。しかしながら、ユーザーが例えば特定の制御システムトポロジー、プロセス制御システムによって制御されるプロセス(例えば、原子炉、公共施設、危険又は有害なプロセスなど)の感度に基づいて、1つ以上のプロファイルをカスタマイズすることを望む場合には、プロトコルルール表UI1300内の1つ以上のユーザーによる選択可能な選択肢が、所望のカスタマイズ化を可能にし得る。カスタマイズされたプロファイル設定は、例示のプロファイル名フィールド1320及び対応する保存ボタン1322に入力される独自のプロファイル名で保存され得る。
【0081】
動作中、例示の列選択カラム1324によって示されるように、対応する列セレクタが働いている場合、例示の表1300の各列は、ルールを実行する。第1の例示の列1326は、対応する列セレクタ1328によって作動される場合、アドレス10.4.0.0に関連付けられる装置から、ポート番号1815を含むアドレス232.108.116.118に関連付けられる装置へのUDPプロトコルパケットを監視するルールの実施をもたらす。その様に検出された通信に対して、例示の第1の列1326は、その様な通信の活動を受け入れるが、その様な通信の活動のロギングを必要としない。第1の列1326の例示ルールがIPバージョン4アドレスを採用する間、IPバージョン6、ハードウェア固有のアドレス(例えば、GPIBデバイスアドレス)、及び/又はドメイン名サーバーに対して参照され得る人間可読アドレスを、これらに限定するわけではないが、含む任意のアドレススキームが採用され得る。例示の第1のルール1326が「受け入れ」動作を指定する間、他の動作は、遮断、通知及び/又は経路変更を、これらに限定するわけではないが含み得る。
【0082】
図13の図解される実例では、第1の列1326は、閾値カラム1305によって課せられる制限無しでフロムアドレス及びトゥアドレスの通信を許可する。言い換えれば、第1の列1326の閾値フィールド1329は、「N/A」に設定されるので、列1326に残存するエントリに従うネットワークトラヒックは、量、大きさ又はカラムエントリによって課すことができる他の閾値によって制約されない。第2の実例の列1330は、ポート番号18519を有し、IPアドレス「A」(例えば、10.4.0.0)からIPアドレス「B」(例えば、232.108.116.118)までのTCP通信を監視するように設定される。ポート番号18519のネットワークトラヒックの量が1時間当たりxメガバイトより少ない限り、ネットワークトラヒックは、受け入れ可能である。しかしながら、閾値を上回ると、ログが生成され、通信は閾値を違反するために停止される。他方では、アドレス「A」からアドレス「B」への通信は、例示の第2の列1330に示される設定(即ち、「n/a」以外の閾値設定)によって制限されるが、第3の例示のルール列1332は、同じ2つのアドレスの間に、逆方向であるが、別のルールを規定する。言い換えれば、アドレス「A」から始まりアドレス「B」までに関連付けられる通信は、相対的に制約されるが、アドレス「B」から始まりアドレス「A」までに関連付けられる通信は、制限なしに発生し得る。
【0083】
例示の表1300は、特定のルールを設定する際に比較的に大きい柔軟性を提供するが、図14の例示の設定ウィザード1400GUIは、周囲のUTMS設定装置146、149、内部UTMS設定装置134、152及びバイパスUTMS設定ネットワークアクセス装置800の簡易化した設定を可能にする。例示の設定ウィザード1300は、ユーザーが、質問に答える及び/又はユーザーに対する簡単な質問に関連付けられたチェックボックスを選択することで、改良された実効性を備えた制御システムを設定する機会を、標準的なネットワーク保護についての限定的な知識しか有していないユーザーに提供することになる。更に、制御システム100、システム100内部の特定の装置、機器製造業者などである質問スクリプトが生成され得る。図14の図解される実例では、第1のチェックボックス1402は、製造業者Alphaに関連付けられ、第2のチェックボックス1404は、製造業者Betaに関連付けられる。顧客/ユーザーが製造業者Alphaに関連付けられるチェックボックスを選択すると、製造業者Alpha製機器を使用するプロセス制御システムに特有のプロンプト及び質問を生成することができる。
【0084】
ユーザーは、更に、周辺UTMS設定装置146、149、内部UTMS設定装置134、152及びバイパスUTMS設定ネットワークアクセス装置800のそれぞれを通過するネットワークトラヒックを操作することによって、プロセス制御システム100のネットワークセキュリティを設定することが可能である。幾つかの実施形態では、ユーザーは、受信される又はUTMS設定装置から送信されるトラヒックの型を制限する1つ以上のGUIを通るシステム100のネットワークセキュリティを操作することができる。更に、ユーザーは、プロセス制御システム100の様々な区域又はサブシステムによってネットワークトラヒックを制限することもできる。
【0085】
図15に示すように、ユーザーは、プロセス制御システム100に対するUTMSセキュリティ情報を表示するシステムセキュリティUI1500にアクセスし得る。例えば、システムセキュリティUI1500は、UTMS設定ファイアウォール、装置146、149に関連する情報を表示し得る。表示される情報は、ファイアウォールに関連する異なる型の通信1506用の活動のインジケータ1502及び状況のインジケータ1504を含み得る。活動のインジケータ1502は、何らかの種類の値、グラフ、グラフィック及び通信1506の型に対応するUTMS設定装置1508(例えば、ファイアウォール146、149、内部UTMS設定装置134、152及びバイパスUTMS設定ネットワークアクセス装置800)でのネットワークトラヒックの量をユーザーに示す同等のものを含み得る。幾つかの実施形態では、活動インジケータ1502は、左から右へ1つの色から別の色へ(例えば緑から赤へ)推移する色分けされたバーを含み得る。色分けされたバー型活動インジケータ1502の長さは、通信型1506に対応するネットワークトラヒックの量に対応する。活動インジケータの許容長は、対応する型1506のネットワークトラヒックの量に対する許容閾値1510に対応するように設定され得る。許容閾値1510は、特定のUTMS設定装置1510に対応するルールセット147、148、151、152内部のルールの1つ以上によって設定され得る又はユーザーによって設定され得る。例えば、ルールは、所与の時間に亘るネットワークトラヒックの特定の量だけを許可し得る。許容閾値1510は、その後、その特定の量を自動的に示すように設定されるであろう。システム作動中、左から右へ短い距離だけ伸張する活動インジケータ1502は、緑であり得、ファイアウォール146、149でのネットワークトラヒックの低い値の量を示し得、ディスプレイ内で許可される距離のほとんど全部だけ伸張する長い活動インジケータ1502は、赤であり得、ルールセット147、148、151、152内部のルール又はユーザーによって主導で自動的に設定される許容閾値に近いネットワークトラヒックの高い値の量を示し得る。状況インジケータ1504は、装置1508の対応する通信型1506は、機能するか機能しないかを示し得る。追加的状況情報は、システムセキュリティUI1500から状況インジケータ1504又は他の項目を選択することによって通信1506の対応する型に対して利用することができる。
【0086】
更に、システムセキュリティUI1500は、一般にはネットワーク150、135、厳密には1つ以上のUTMS設定装置についての情報を含み得る。例えば、システム100は、第1のネットワーク及び単数又は複数の第1のネットワークに対するバックアップとしての機能を果たす1つ以上の第2のネットワークを含み得る。各ネットワークは、ネットワーク内部の様々な区域へ入る及びそこから出るネットワークトラヒックを制御するUTMS設定スイッチを含み得る。システムセキュリティUI1500は、UTMSスイッチがロックされている1512であるか又はロックされていない1512であるかを示すことができるので、かくして、デフォルト設定又はユーザー定義設定に準じてネットワークの各部分を守る。システムセキュリティUI1500は、トラヒックの量及び許可されたネットワークトラヒックの量に対する閾値レベルを使用して、全体としてネットワークの通信レベル1514の表示を示し得る。幾つかの実施形態では、グラフィック表示は、先に述べたような色つきバーである。通信レベルに加えて、システムセキュリティUI1500は、状況1518のログ又は様々な型のシステムユーザー(例えば、オペレータ、エンジニア、管理者、遠隔ユーザーなど)用の他の情報を含み得るシステム100のための通信状況1516を表示し得る。システムセキュリティUI1500は、ワークステーションアンチウイルス及び作業システムセキュリティ更新1520、最新のルールセット更新の表示又は他のネットワークセキュリティ情報を含む他の型のネットワーク情報を表示し得る。
【0087】
ネットワークトラヒックは、トラヒックの特有の特性によって分類され得、ユーザーは、ユーザーインターフェイスにアクセスし、分類によってシステム通信を設定することができる。例えば、ユーザーは、システム100の中の様々な型の通信を選択的にオフ及びオンにすることができる。幾つかの実施形態では、ネットワークトラヒックは、感度又はセキュリティ懸案事項の増加に伴って1つ以上の「レベル」で分類され得る。図16に示すように、ネットワークトラヒックの型は、「レベル3」(又は他のレベル)で分類され得、ユーザーは、その様な「レベル3」に分類されたネットワークトラヒックを管理するために装置に通信可能に接続されるレベル3通信UI1600を用いてシステム100のUTMS設定装置を選択的に設定し得る。例えば、レベル1のネットワークトラヒックは、ネットワーク150へのローカルクライアント接続と表現され得るが、レベル3のネットワークトラヒックは、端末サーバー通信を使用する、ネットワーク150への遠隔クライアント接続と表現され得る。ユーザーは、グラフィックディスプレイからユーザーワークステーションの中のUI1600まで、又はシステムセキュリティステータスUI1500からの詳細なディスプレイとして、UTMS設定装置を選択することができる。「パニックボタン」1602は、ユーザーが、選択された型(例えば、全てのレベル3通信)に対する全ての通信をオフにし、UTMS設定装置への内向き1604及び外向き1606であるネットワークトラヒックの様々な特性を制御することを可能にし得る。「レベル3」1608と分類されるネットワークトラヒックのそれぞれの型は、UI1600を使用して有効又は無効に個別に設定することができる。更に、UI1600内部に表示されるレベル3ネットワークトラヒック1608は、図15に関連して先に述べられたネットワーク活動の表示(例えば、色分けされたバー、グラフなど)を含み得る。
【0088】
図17から図23までに示すように、ユーザーは、システム100内部の各個別のUTMS設定装置を観察し、各装置に様々な変更を行い、装置の保守を支援するために、プロセス制御システムエクスプローラーアプリケーション(例えば、DeltaV(登録商標))からの表示を更に選択することができる。図17は、システム100内部の各UTMS設定装置(周辺UTMS設定装置146、149、内部UTMS設定装置134、152及びバイパスUTMS設定ネットワークアクセス装置800など)に通信可能に接続されるUTMS装置コマンドセンターUI1700の1つの実例を図解する。UTMS装置コマンドセンターUI1700の第1のエクスプローラーペイン1702は、システム100内部の各UTMS設定装置の階層リストを含み得、様々な類似の特性(例えば、サブシステム、第1の又は第2のネットワーク、プロセスタスクなど)によってグループ分けされ得る。システム100は、先に述べたように、第1の1708ネットワーク及び第2の1710ネットワークのそれぞれの内部に1つ以上の閉鎖1704UTMS装置及び受命1706UTMS装置を含み得る。閉鎖されたUTMS設定装置1704は、物理的にはネットワーク150内部に設置されてはいるものの、システム100内部では使用可能ではない又は必要ではない装置であり得る。例えば、プロセス制御システムの一部は、廃止された又は旧式になるので、それらの旧式の部分は、選択的に閉鎖され、「オフライン」化されるので、それらは、システム100の機能部分ではないが、システム100内部に物理的にはなおも存在する。エクスプローラーペイン1702に載っているUTMS設定装置(例えば、UTMS設定装置1714)の何れかのうちの選択は、システム100内部の状態を含む第2のエクスプローラーペイン1716内部の装置1714についての幾つかの地区制を表示し得る。例えば、ペイン1716内に表示される特性は、MACアドレス、IPアドレス、ソフトウェアバージョン、装置モデル及び装置名を含む、その前の時間1718(例えば、直前の60秒間、直前の30分など)の間に評価された特性を含み得る。特性の各値1720は、各特性1718の説明1722と共に特性1718に視覚的に隣接して表示され得る。
【0089】
図18に示すように、閉鎖UTMS設定装置1704の何れかのうちの選択は、ユーザーが装置の様々な特性を見ることができ、「受命」ボタン1804を使用して、選択された閉鎖UTMS設定装置を選択的にオンラインに復帰させることができるように受命ウィンドウ1802を表示する。オンラインになると、再受命UTMS設定装置は、自動的にそのルールセットの更新を実行する又は接続されたUTMS設定装置又はインターネットからの最新のルールセットを要求し、最新のルールセットに従ってネットワークトラヒック通信を行い得る。
【0090】
図19に示すように、通信装置からUTMS設定装置1902を選択すると、ユーザーは、保守人員が選択された装置1902の位置を物理的に突き止めることができるように選択された装置1902の物理的特性を変更することによって、選択された装置1902の保守を支援することができる。幾つかの実施形態では、保守支援ウィンドウ1904は、ユーザーが装置のLEDを点滅させることによって選択された装置の物理的な位置を表示する及び表示しないことを選択できるようにし得る。他の選択可能な表示は、音、振動又は選択された装置の他の目立った物理的な変化を含み得る。
【0091】
図20に示すように、ユーザーは、選択された部分におけるセキュリティ関係の動作を開始するために、エクスプローラーペイン1702からシステム100の任意の部分を選択することができる。例えば、ユーザーは、第1のネットワーク1708をペイン1702から選択し、ネットワークのその部分の「封鎖」を開始するための選択肢を選ぶことができる。幾つかの実施形態では、封鎖動作は、システム100の選択された部分へ入る通信及びその部分から出る通信を停止させる。ペイン1702からシステムの或る部分における動作(例えば、封鎖動作)を開始すると、システム100のどの部分で動作が進行しているのか及び開始動作の経過を表示する動作ウィンドウ2002を表示し得る。
【0092】
図21に示すように、UTMS装置コマンドセンターUI1700は、更に、セキュリティ侵害又は他のルール違反を示すことができる。例えば、UTMS設定装置が、対応するルールセット147、148、151、152のルールを違反する(例えば、装置がデフォルトの又は設定された閾値の時間を過ぎても解除状態である)場合、ルール違反の表示2102が、装置の名前及び装置が属する各カテゴリーの名前の隣に出現する。更に、UTMS設定装置が対応するルールセット147、148、151、152のルールを違反する寸前であるとシステムが判別した場合には、予測されるルール違反の表示2104が、先ほど同様に、装置の名前及び装置が属する各カテゴリーの名前の隣に出現し得る。親カテゴリー内の1つより以上の装置がルール違反表示を含むところでは、より重度の違反であることが、2つの装置の親カテゴリーの隣に表示され得る。例えば、第1のネットワークが、ルールを違反すると予測される第1のUTMS装置及び実際にルールを違反した第2のUTMS装置を含む時には、実際のルール違反の表示だけが表示され得る。
【0093】
図22に示すように、UTMS装置コマンドセンターUI1700のペイン1702からUTMS設定装置を選択した後で、選択されたUTMS設定装置の様々なポート統計値2202も、表示され得る。ウィンドウに表示されるポート統計値2202は、或る期間に亘る様々なポート固有性を含み得る。例えば、受信及び送信バイトのポート固有性は、UTMS設定装置の起動以後、それ以前の60秒間又は幾らかの他の設定可能な時間及び表示される値の間追跡され得る。勿論、二重モード選択、リンク利用、CRC廃棄、小さいパケット廃棄、大きいパケット廃棄、断片化パケット廃棄、ジャバーパケット廃棄、コリジョン及びレイトコリジョン、ほんの数例のポート固有性を含む他のポート固有性も、追跡及び表示され得る。
【0094】
図23に示すように、図21に関して説明されたルール違反及びネットワークセキュリティ違反に加えて、警報情報2302も第2のペイン1716内で表示及び記載され得る。UTMS設定装置(例えば、UTMS設定装置2304)が作動上の問題又は先に述べたルール及びネットワークセキュリティ違反を経験すると、警報表示2306が、第1のエクスプローラーペイン1702内に表示される装置名の視覚的に近い範囲に表示され得る。警報情報は、その後、第2のエクスプローラーペイン1716の特性1718、値1720及び説明1722カラムのそれぞれで表示され得る。警報情報2302は、通信警報、警報の失敗、保守警報又は警報表示2306を引き起こす助言警報のうちの1つ以上を表示し得る。警報情報2302に加えて、第2のペイン1716は、状況2308及び選択された装置2304に関連付けられる装置情報2310も表示し得る。現在の状況は、警報に関係しそうな特定の装置特性の状況を一覧表にする。更に、装置情報2310は、図17に関して先に述べた特性と同じように、選択された装置2304についての概略的な情報を表示し得る。
【0095】
(上記のグラフィックディスプレイの1つ以上の中で表示されるような)UTMS設定プロセスオブジェクト204e用のユーザーインターフェイス(図13から図23)を用いれば、ユーザーは、プロセス、何らかの生成される警報及び他のUTMS事象のセキュリティの必要性に応えてオペレータワークステーション又は他のワークステーション120から122を通してプロセス制御システムのネットワークセキュリティの設定及び監視の両方を行うことができる。UTMS設定ネットワーク装置134、146、149、152及び全般的にUTMSを採用する技法を、フィールドバス及び標準4 20ma装置に関連して使用されるように本明細書では説明してきたが、勿論、それらは、何らかの他のプロセス制御通信プロトコル又はプログラミング環境を使用して実施することが可能であり、何らかの他の型の装置、機能ブロック又はコントローラと共に使用することができる。本明細書に記載するUTMS装置及びルーチンは、ソフトウェアに実装されるのが望ましいが、ハードウェア、ファームウェアなどに実装してもよく、プロセス制御システムに関連付けられる何らかの他のプロセッサによって実行されてもよい。従って、本明細書に記載する方法は、標準多目的CPUで、又は例えば、必要に応じて、ASICなどの特別に設計されたハードウェア又はファームウェア上で実施されてもよい。ソフトウェアに実装される場合、ソフトウェアは、磁気ディスク、レーザーディスク、光ディスク又はコンピュータ又はプロセッサのRAM又はROMなどの他の記憶媒体のような何らかのコンピュータ可読メモリに記憶されてもよい。同様に、このソフトウェアは、例えば、コンピュータ可読ディスクに載せる又は他の可搬型コンピュータ記憶機構に載せる方法を含む何らかの周知の又は所望の配送方法を用いてユーザー又はプロセス制御システムに配送されてもよく、又は(その様なソフトウェアを可搬型記憶媒体を用いて提供することと同じ又は代替的であると見なされる)電話線、インターネットなどのような通信チャネル上で転調されてもよい。よって、本発明は、特定の実例を参照しながら説明してきたが、それらの実例は、一例に過ぎず、本発明に制限を課すものではないと意図されており、当業者には明白となるように、本発明の精神及び範囲から逸脱すること無く、変更、追加又は削除を開示される実施形態に行うことができる。
【技術分野】
【0001】
本出願は、2009年9月24日出願の米国仮特許出願第61/245,496号「プロセス制御システムのための一体型統合脅威管理」の恩恵を請求し、その全体を参考文献としてここに援用する。
【0002】
本出願は、一般には、プロセスプラント制御システムに、より厳密には、プロセス制御又はプラント環境におけるネットワーク脅威管理の方法及び装置に関する。
【背景技術】
【0003】
プロセス制御システム、例えば、発電、化学、石油又は他のプロセスで使用されるような分散型又は拡張可能なプロセス制御システムは、標準的には、プロセス制御ネットワークを介して少なくとも1つのホスト又はオペレータワークステーションと、アナログ、デジタル又はアナログ/デジタルの複合バスを介して1つ以上のフィールド装置と、互いに通信可能に連結される1つ以上のコントローラを含んでいる。例えば、バルブ、バルブポジショナ、スイッチ、送信器などのようなフィールド装置(例えば、温度、圧力及び流量センサー)は、プロセス又はプラント内部で開又は閉バルブ、オン、オフのスイッチ装置、測定プロセスパラメータのような機能を果たす。コントローラは、フィールド装置によって行われるプロセス又はプラント測定を示す信号、及び/又はフィールド装置に関連する他の情報を受信し、制御ルーチンを実施するためにこの情報を使用し、更にはプロセス又はプラントの動作を制御するためにバスを通じてフィールド装置へ送信される制御信号を生成する。フィールド装置及びコントローラからの情報は、オペレータがプロセス又はプラントに関する任意の所望の機能、例えば、プラントの現況観察、プラントの工程修正などを行うことができるように、標準的には、オペレータワークステーションによって実行される1つ以上のアプリケーションで利用できるようになっている。同時に、フィールド装置情報及びオペレータワークステーションアプリケーションは、オペレータ制御環境を構成する。
【0004】
プロセスプラント環境の内部に標準的には設置されるプロセスコントローラは、フィールド装置及び/又はフィールド装置に関連する他の情報によって行われる又はそれらに関連付けられるプロセス測定又はプロセス変数を示す信号を受信し、コントローラアプリケーションを実行する。コントローラアプリケーションは、例えば、プロセス制御決定をする、受信情報に基づいて制御信号を生成する、及びHART(登録商標)及びFOUNDATIONフィールドバス(登録商標)のフィールド装置のようなフィールド装置の制御モジュールまたはブロックと調整する、異なる制御モジュールを実施する。プロセスコントローラの制御モジュールは、通信回線又は信号経路を通じてフィールド装置に制御信号を送信し、それによって、プロセスの動作を制御する。
【0005】
フィールド装置及びプロセスコントローラからの情報は、標準的には、プロセス制御ネットワークを介して、例えば、オペレータワークステーション、保守ワークステーション、パーソナルコンピュータ、可搬型装置、データヒストリアン、報告書作成プログラム、集中型データベースなどの1つ以上の他のハードウェア装置で利用できる。ネットワークを通じて交換される情報は、オペレータ、保守人員、又は他のユーザーが、プロセスに関する所望の機能を行うことを可能にする。例えば、このような情報によって、オペレータは、プロセス制御ルーチンの設定変更、プロセスコントローラ又はスマートフィールド装置内部の制御モジュールの動作の修正、プロセスプラント内部の特定の装置のプロセス又は状況の現在の状態の観察、フィールド装置及びプロセスコントローラから生成される警報の観察、人材育成又はプロセス制御ソフトウェアの検査のためのプロセスの動作のシミュレーション、プロセスプラント内部の問題又はハードウェア不具合の診断、などができるようになる。
【0006】
例証として、Emerson Process Managementが販売するDeltaV(登録商標)制御システムは、プロセスプラント内部の様々な場所に位置する異なる装置の内部に記憶され、それらの装置によって実行される複数のアプリケーションを含んでいる。1つ以上のオペレータワークステーションに存在する設定アプリケーションは、ユーザーが、プロセス制御モジュールを作成又は変更し、それらのプロセス制御モジュールをデータハイウェイを経由して専用分散コントローラにダウンロードすることを可能にする。標準的には、それらの制御モジュールは、オブジェクト指向のプログラミングプロトコルのオブジェクトである、通信可能に相互接続される機能ブロックで構成される。それらの機能ブロックは、そこへ行われた入力に基づいて制御スキーム内部で機能を遂行し、更に、制御スキーム内部で他の機能ブロックへの出力を提供する。設定アプリケーションは、更に、設計者が、データをオペレータへ表示する表示アプリケーションによって使用されるオペレータインターフェイスを作成又は変更すること、及びオペレータがプロセス制御ルーチン内のセットポイントなどの設定を変更することをできるようにさせること、を可能にし得る。それぞれの専用コントローラ及び、幾つかの事例ではフィールド装置は、実際のプロセス制御機能性を実施するためにそこへ割り当てられ、ダウンロードされる制御モジュールを起動するコントローラアプリケーションを記憶及び実行する。1つ以上のオペレータワークステーションで起動され得る表示アプリケーションは、データハイウェイを経由してコントローラアプリケーションからデータを受信し、ユーザーインターフェイスを使用してこのデータをプロセス制御システム設計者、オペレータ又はユーザーに表示し、オペレータの表示、エンジニアの表示、技術者の表示、などのようなプロセス制御ルーチン又はモジュールの複数の異なる表示の何れかを提供し得る。データヒストリアンアプリケーションは、標準的には、データハイウェイを超えて提供されるデータの幾らか又は全てを集める及び記憶する、データヒストリアン装置の中に記憶され、またこの装置によって実行されるが、その一方、設定データベースアプリケーションは、現在のプロセス制御ルーチン設定及びそれに関連付けられるデータを記憶するためにデータハイウェイに取り付けられた更に別のコンピュータで起動し得る。或いは、設定データベースは、設定アプリケーションと同じワークステーションに設置されてもよい。
【0007】
プロセス制御環境で使用する制御及びサポートアプリケーションの数及び型が増えてきたのにつれて、ユーザーが、それらのアプリケーションを効果的に設定及び使用することが可能な異なるグラフィックディスプレイアプリケーションが、提供されるようになった。例えば、グラフィカルディスプレイアプリケーションは、設定エンジニアがプロセスプラント内部の制御装置にダウンロードされる制御プログラムをグラフィカルに作成できるようにするための制御設定アプリケーションを支援するために使用されてきた。更に、グラフィカルディスプレイアプリケーションは、その開示全体を明示的に参考文献としてここに援用する、米国特許出願第10/574,824号「統合環境においてカスタマイズされたプロセスグラフィックディスプレイ層を有するプロセスプラントユーザーインターフェイスシステム」に記載されるように、オペレータが、プロセスプラント又はプロセスプラントの区域の現在の機能性を観察することを可能にすることと、保守人員がプロセスプラント内部のハードウェア装置の状況を観察することを可能にすることと、プロセスプラントのシミュレーション又は管理を可能にすることと、などの目的で使用されてきた。
【0008】
DeltaV(登録商標)制御システムは、更に、ユーザーインターフェイスシステム、又はコンピュータ可読媒体と、ディスプレイ装置と、プロセスプラント素子、装置などの動作に関してコンピュータ可読媒体に記憶される情報を有するオブジェクトと、を備える環境、を含み得る。ユーザーインターフェイスシステムの実行エンジンは、プロセスグラフィックディスプレイの複数のコンテンツ層のコンテンツを生成するために、ルーチン環境でオブジェクト情報を利用する。ディスプレイ装置は、それから、複数のコンテンツ層の特定のコンテンツ層を描写する。オブジェクト情報は、プロセスプラント素子又は装置のオンライン動作に関連するプロセスプラントからのランタイムデータを含む。それぞれのユーザーのプロファイルは、職務記述(例えば、オペレータ、保守人員、監督者、訓練者、ゲストなど)に基づくアクセスに関する表示を含み、ユーザーインターフェイスのコンテンツ層は、各ユーザーのコンテンツ層にランタイムデータのカスタマイズされた描写を表示する。
【0009】
プロセス制御システムの中のフィールド装置は、プロセス制御システムネットワーク、例えばイーサネット(登録商標)設定LANを通じてハードウェア装置と通信する。ネットワークは、プロセスパラメータ、ネットワーク情報及び他のプロセス制御データを、素子及び装置から様々なネットワーク装置を通じてプロセス制御システムの様々なエンティティまで中継する。典型的なネットワーク装置は、ネットワークインターフェイスカード、ネットワークスイッチ、ルータ、ファイアウォール、コントローラ、及びオペレータワークステーションを含む。ネットワーク装置は、標準的には、ルーティング、フレームレート、タイムアウト、及び他のネットワークパラメータを制御することによって、プロセスデータ自体を変えずに、ネットワークを通るデータの流れを円滑化する。フィールド装置及びプロセスコントローラからの情報は、ワークステーションで実行する制御環境において、オペレータワークステーション及び保守ワークステーションで利用できるようにされているが、ネットワーク装置からの情報(例えば、設定、状況、状態など)は、プロセス変数としてプロセス制御システムに組み込まれていないので、制御環境においては利用できない。ネットワーク装置の管理及び制御は、フィールド装置及びプロセス変数の管理から切り離されている。
【0010】
プロセス制御ネットワークの大きさ及び複雑さが増すにつれて、ネットワーク装置の数及び型も適宜増す。更に、プロセスシステム及びプラントは、それら自体がますます分散型化していくにつれ(例えば、プロセスの異なる工程が、物理的に離れた場所で実行、監視、制御などを行われる)、プロセス制御ネットワークは、一般的には広域ネットワークを使用する、またそれぞれのプロセス制御場所又は更にばらばらな場所の個々のオペレータワークステーションでの様々なLANを包含するような特殊な場合にはインターネットプロトコルスイートを使用する、より多くの通信を取り込む。システム及びネットワークが成長した結果、そのような複雑で分散型のプロセス制御システムのネットワークセキュリティ及び管理は、ますます困難になってきた。プロセス制御システムネットワークの中へ入るどの様な外部接続も、システムの中へ攻撃の起こり得る点を提示する。
【0011】
ファイアウォールのようなネットワーク装置は、標準的には、プロセス制御ネットワークにセキュリティを提供し、ネットワーク攻撃の危険性を軽減する。ファイアウォールは、ネットワークの1つ以上の部分にアクセスすることが許可されないネットワークトラヒックを遮断するように設計される。ファイアウォールは、標準的には、様々な他のネットワーク装置又はネットワークの場所からの不正な通信にフィルターをかける1つ以上のルールセットを含んでいる。ルールセットの2つの一般的なカテゴリーは、ポリシーに基づくルールセット及び署名に基づくルールセットを含む。ポリシーに基づくルールセットは、IPアドレス、ポート、通信比率、及び通信の一般的な型が許可される他の状態に基づいてネットワーク通信に関する様々な規制を定義する。ポリシーに基づくルールセットは、更に、ネットワークが、ネットワークノード間に通信を提供することを許可するであろう機能及びサービスを定義する。ポリシーに基づくルールセットファイアウォールは、更に、無作為のIPアドレスへの通信を動的に許可する。ポリシーに基づくシステムは、標準的には、ルールセットとの一致を確証し、それぞれの一致したパケットを破棄するために各パケットのソース及び宛先ポートだけを調べる。署名に基づくルールセットは、特定の悪意のあるパターンを含み、各パケットのコンテンツを署名ルールセットと比較して検査することによってそれらのパターンと一致する如何なるトラヒックも遮断する。例えば、署名に基づくシステムは、受信パケットペイロードを既知の脅威(ウィルス、ワーム等)、不正形式プロトコルペイロードなどと比較するルールセットを含んでいてもよい、又はネットワーク内部の特定の装置の既知の脆弱性に基づいてパケットを破棄するように設定されていてもよい。
【0012】
標準的なファイアウォールは、先述のルールセットの詳細な設定を必要とする。幾つかのファイアウォールは、ファイアウォールが許可する唯一の接続は、ルールセットによって明確に許可された接続だけである「デフォルト拒否」型のファイアウォールルールセットを実装する。デフォルト拒否型のルールセットは、ネットワークアプリケーションの詳細な理解及びプロセス制御システムの日常的な動作に必要なエンドポイントを必要とする。勿論、ネットワーク構成要素の追加又は除去によるシステムのどの様な変更も、デフォルト拒否型ルールセットの変更を更に必要とするであろう。別の選択肢は、限定的に遮断される場合を除いて、全てのトラヒックは許可される「デフォルト許可」型のルールセットである。デフォルト許可設定のルールセットは、容易に実装することができるが、不注意によるネットワーク接続及び好ましくないシステムセキュリティ侵害をかなり起こしやすい。
【0013】
プロセス制御システム及び様々なサブシステムが進化するにつれて、ファイアウォールルールセットも、新しい装置、ソフトウェア更新及び何らかの他のネットワーク変更の追加的なセキュリティ要件に適合するために変化せざるを得ない。フィールド装置及びプロセス制御システムソフトウェアは、何らかの他のソフトウェアと同様に、パッチ及び他の修正のインストールを必要とするエラーを含み得る。システムが変更されるたびに(例えば、新しい装置又はソフトウェアの追加、古いソフトウェアを修正するパッチ、ネットワーク設定の変更、更新など)、その様な変更は、ネットワークを危険に曝す可能性がある。
【0014】
通常のIT環境では、ネットワークのダウンタイムを伴う定期的及び恒常的なパッチングは、ネットワークを安全に保つことを可能にする。しかしながら、産業界の事情では、システム又はプラントのダウンタイムは、実用的ではなく、標準的にはかなりの損失が発生する。予定されたダウンタイムの間に定期的なパッチをスケジュール化することは、1つの解決策ではあるが、スケジュールされたダウンタイムより前の非常に早い時期に脅威が認識される場合には、多くの場合、システムを危険に曝すことになる。而して、エンドユーザーは、ネットワーク脅威に継続的に曝される、もしくはプラントを中断する、の間で選択を余儀なくされる。新しい脅威が確認されるにつれ、ファイアウォールを更新するために継続的にパッチングを行えば、幾らかの保護を提供するが、実際に起こるまでは脅威は未知である、「ゼロデイ」アプリケーション層攻撃に対する保護は標準的には不可能である。更に、ネットワーク装置はプロセス制御システムの中に一体化されていないので、ファイアウォールからの情報は、プラントオペレータ及び他のプラント人員には利用できない。設定、ルールセットパッチング、及び定期的な保守のようなファイアウォールタスクは、IT人員だけに委ねられる。
【0015】
幾つかの特別にハイリスクな又は細心の注意を払うべきプロセス制御システム(例えば、原子炉、高エネルギー処理過程、大規模な大都市域電力網、軍隊及び政府のアプリケーションなど)では、制限的接続ポリシーは、全ての外部ネットワーク接続が完全に安全でなければならないものと要求する場合がある。実際には、それらの細心の注意を払うべきプロセス制御システムは、使用時ではない時には、ネットワークから全ての外部接続を物理的に切断する措置をとってきた。しかしながら、外部接続の物理的な切断は、先に述べたようにグラフィカルインターフェイスの中で表現され得るオブジェクトとしてプロセス制御システムに組み込まれないので、オペレータが接続の状態を制御すること(即ち、オペレータが制御する装置又はシステムが物理的に外部エンティティに接続されているかどうかということ)、又は接続がそれらのオペレータワークステーションからアクセスできる状態になっているか否かを知ることさえ、不可能ではないにしても、困難である。
【0016】
幾つかの民生品のファイアウォールシステム及び他のネットワーク装置は、ネットワークセキュリティに対する部分的な解決策を提供することができるが、いまだに、オペレータ環境の外で管理されなければならない。COTSファイアウォールは、ファイアウォールをプロセス制御システムの必需品に組み込み、先述のような様々なルールセットを設定するために特別に訓練されたIT人員によって管理される。そうであっても、COTSファイアウォールシステムは、多くの欠点を有している。例えば、予期せぬ製品取り替え、製造者のサポート不足、及びプラントのダウンタイムを招く可能性がある、ファイアウォールの「耐用年数」は、ユーザーではなく製造業者によって、またはプラントのフロア人員によって制御される。その上、新しい脅威が発見される又はシステムのソフトウェア構成要素にアップグレードが実施される時には、IT人員は、更にルールセットを更新する必要がある。プロセス制御システムでは、各ルールセットは、ルールセットが保護するシステムに固有のものであり、システムに対する変更は、ルールセットに対する変更を要求する。プロセス制御システム及びそのアップグレードを理解する訓練を標準的には受けないIT人員は、ルールセットも変更される必要があるということに関する方法又は理由を理解し得ない。IT人員によって管理される独立型アプリケーションとして任せられる場合には、ルールセットは、システムに所望されるよりも低い保護を不注意で提供する可能性がある。例えば、ファイアウォールの管理、設定及び操作は、標準的には、保護されるべきネットワークアーキテクチャについての詳細な知識を有するIT人員を必要とする。プロセス制御ネットワークのIT人員は、標準的にはネットワーク微細構成を理解する必要があり、ネットワークビジネスは、ネットワーク、ビジネスがローカルネットワーク内部及びそれらの間で必要とする許可される装置及びサービス、及びローカルネットワークにアクセスすることが許可されるべき様々な外部エンティティ、を理解する必要がある。例示の内部エンティティは、共用ファイルサーバー及びアプリケーションへのアクセスを有するビジネス内部に複数のワークステーションを含み得る。例示の外部エンティティは、ラップトップ型コンピュータ、ワークステーション及び1つ以上のローカルネットワークに物理的に接続されない他の通信装置を含み得る。当該外部エンティティは、例えば、自分たちのビジネスネットワークの機密事項を扱う又は専有的なノードへの接続性を必要とする移動中の販売員に関連付けられてもよい。
【0017】
IT人員が制御システムと関連付けられるネットワークを保護する責任がある環境では、人員は、標準的には、どの制御システム装置が外部ネットワークリソースにアクセスすることを許可されているのか、及びどの外部ネットワークリソースが制御システム装置にアクセスすることを許可されているのかを理解する必要がある。幾つかの制御システム(例えば、製造プラントのプロセス制御システム、試験及び測定アプリケーション/機器など)は、Fisher−Rosemount Systems, Inc.、Emerson Process Management(登録商標)会社によって販売されるDeltaV(登録商標)コントローラのような1つ以上のコントローラを含む。コントローラは、ネットワークに繋がり、指定されたIPアドレス、1つ以上の通信ポート、入出力(I/O)装置及び/又はフィールド装置を受け入れる1つ以上のスロット、及び/又は1つ以上のI/Oチャネルを有し得る。幾つかの制御システムでは、それぞれが対応するポート、スロット及び/又はI/Oチャネルと共に独自のIPアドレスを有する複数のコントローラが採用され得る。そのようなものとして、IT人員は、標準的には、各コントローラ及び/又はフィールド装置(例えば、スマートフィールド装置)、熱電対及び/又は他の装置(例えば、遮光体、圧力計、圧力トランスデューサ、電流トランスデューサなど)のような、コントローラに接続される各装置のIPアドレスを知る必要がある。
【0018】
制御システムトポロジー及び/又は各制御システム装置のアドレスを理解する責任を有するIT人員に加えて、IT人員は、標準的には、ルール及び/又は1つ以上の制御システムを備えるそれぞれの装置のアクセス権を設定しなければならない。ルールは、制御システム内部で確認される装置間で内部ネットワーク通信を許可する工程と、制御システム内部で1つ以上の制御システム装置からの通信を遮断する工程と、外部宛先IPアドレスを有する1つ以上の制御システム装置から発信される通信を遮断する工程と、1つ以上の通信量閾値を設定する工程と、通信プロトコルルール(例えば、スマートフィールド装置は、マスター装置から最初に要求されない限り、制御システムネットワーク内部で通信を開始することが許可されない)を設定する工程とを、これらに限定するわけではないが、含んでいてもよい。
【0019】
更に、制御システム装置及び当該装置によって使用される関連付けられる通信プロトコルは、独自の及び装置固有の特徴を含み得るので、IT人員は、標準的には、その様な特長に基づいて許可又は遮断されるべき制御システム通信に関連する詳細部を理解する必要がある。例えば、幾つかの制御システムは、Highway Addressable Remote Transducer(HART)として周知の通信プロトコルを採用する。HART通信は、インテリジェント分野機器及び/又はホストシステムの間で通信を実施するために標準的に使用される双方向性産業分野通信プロトコルを採用する。DeltaV(登録商標)コントローラのようなホストシステムは、装置設定、装置診断、装置故障修理、装置プロセス測定値の受信及び装置健康状況情報の判定を含む多数の理由でフィールド装置と通信する。HART装置は、通常では、ホスト(DeltaV(登録商標)コントローラのような)から最初に問い合わされるまではHART通信ネットワークで通信することは許可されない。HART通信プロトコルの別の通信特徴は、第2のホスト(例えば、それぞれがフィールド装置と通信し得る、第1のマスター及び第2のマスター)を補助する能力を含む。ファイアウォールを設定するIT人員がその様な装置及びプロトコル固有の特徴に気付いていない場合、ファイアウォールは、受け入れ可能である又は特に危険傾向であると判断されるその様な通信活動に対して対応できない可能性がある。例えば、幾つかのフィールド装置は、トランデューサからの測定データを受信し、集められた測定値を特定のポートを有する特定のIPアドレスを介して特定のコントローラに報告するように制御システムの中で設定され得る。フィールド装置が更に代替的な宛先(例えば、ネットワークノード、インターネット、制御システム内の代替的なコントローラなど)へ通信を開始する場合には、その後、その様な活動は、プロセス制御システムのオペレータが完全には理解していない可能性があるセキュリティの危険と見なされ得る。
【0020】
他の状況では、IT人員は、制御システム詳細部及び制御システムが制御目的(例えば、コントローラと装置の間で許可される制御通信、装置間で許可されるデータ通信、装置に対する許可されるファームウェア更新、遠隔ユーザーによる制御システムへの許可される外部アクセスなど)を満足させ適切に機能する方法について限定的な又は詳細ではない理解しか有していない。そのようなものとして、IT人員は、適切なアクセス制御、許可設定、及び/又はシステムの適切なファイアウォールルール設定に関して極めて不利である。例えば、IT専門家は、制御システムネットワーク境界とイントラネット及び/又はインターネット境界の間で作動する、1つ以上のファイアウォール装置及び/又はファイアウォールソフトウェアアプリケーションをインストールし得る。しかしながら、その様なファイアウォールは、ネットワークセキュリティの所望の程度を維持しながら、標準的には、制御システムの最適な機能性をもたらす制御システムの独自の必要性への責任があるルール及びアクセス許可を備えて設定されない。結果的には、IT専門家は、通信不具合及び不適切な制御システム動作の事例に関して制御システム管理者からのクレームに繰り返し応えてファイアウォールを複雑ではないように設定する場合がある。ファイアウォールを設定するためにそのように繰り返して行われる作業は、労働効率の低下、不具合、利益損失及び安全性の危険をもたらす。
【0021】
ネットワークセキュリティの1つの可能性のある解決策は、Byres他による米国特許出願第2007019906号「ネットワークセキュリティアプライアンス」及びBC、LantzvilleのByres Security Inc.によって製造されたTofino(登録商標)システムに記載される。これらの解決策は、ネットワーク装置を発見及び識別し、自動的に装置の場所を探し出し、ネットワーク上のトラヒックを受動的に分析することからルールを生成することによってそれらの装置へのトラヒック通信量を制御するファイアウォールルールを作成する。解決策が新しい装置を発見すると、解決策は、システム管理者に演繹を受け入れ新しい装置をネットワークインベントリダイヤグラムに入れる、或いは潜在的な侵入者として警告を発する、ように指示する。この方法では、IT人員及びネットワーク制御エンジニアは、常時現在のネットワークマップを有している。この解決策は、IT人員が、ネットワークを瞬時に的確に管理することができることを保証するが、しかしながら、この解決策は、全面的に個別の訓練を受けたIT人員の専門技能及び制御に委ねられるものである。プロセス制御システム内部のオペレータは、オペレータワークステーションからプロセス制御ネットワークセキュリティを監視及び管理する能力を持ち得ないであろう。
【発明の概要】
【課題を解決するための手段】
【0022】
プロセス制御システムネットワークのセキュリティ及び管理は、統合脅威管理システム(UTMS)を提供することによって強化することができ、統合脅威管理システム(UTMS)は、UTMS設定ファイアウォール、UTMS設定ネットワークアクセス装置、及び既知の及び「ゼロデイ」の脆弱性と、埋め込み型の専有的な装置及び標準型の一般的に使用される装置の両方のための制御システムに対する脅威と、の両方に対して防御することができるUTMS設定フィールド装置を含む。UTMS設定ファイアウォール及び/又はネットワークアクセス装置は、プロセス制御ネットワークの周辺に設置される独立型のネットワーク装置、又は装置あるいはプロセス制御システムのコントローラ又は他の内部部品で作動するソフトウェアを含み得る。UTMS設定ファイアウォール及び装置の状態は、プロセスオブジェクト又は変数としてプロセス制御システムに組み込まれ、従って、状態及び他のUTMS及び構成要素ネットワークアクセス装置パラメータ及び変数がオペレータ又は他のワークステーションから観察することができるようになる。UTMSファイアウォール及び装置は、最新型のセキュリティ脅威、脅威パターン及びネットワーク内に存在することが分かっている制御システムの脆弱性に対応するために、UTMS設定ファイアウォール、ネットワークアクセス装置及び設定されたコントローラ又はフィールド装置に積極的にルールセットを提供する恒久的なサービスと通信し得る。それらの更新は、UTMS全般及びUTMS設定ファイアウォール、ネットワークアクセス装置及びフィールド装置が、他のどの制御システム素子又はエンティティとも何ら変わらないように、プラントの標準制御ユーザーインターフェイス内(例えば、DeltaV(登録商標)環境)から管理される。UTMSイベント及びUTMS設定ファイアウォール及び装置それ自体(例えば、警報、許可、脅威状況、イベント、設定、状態など)は、DeltaV(登録商標)環境内からも管理され得る。
【0023】
UTMSの各構成要素のオペレータディスプレイは、オペレータが、接続の現在の状態を表示することに加えて、設定、ルールセット及び他のパラメータ又はUTMS変数(その様に設定される場合、そのファイアウォール、ネットワークアクセス装置、及びフィールド装置も)を更新し、どの様な他のプロセス制御システムセキュリティタスクもオペレータディスプレイ又は他のワークステーションから実行することができるように、DeltaV(登録商標)環境又は別のグラフィックプロセス制御環境内で表示することができる。幾つかの実施形態では、ルールセットは、確認された脅威からの即時的なシステム保護を提供するために、プロセス制御システムそれ自体の連続的又は周期的な評価に基づいて作成され得る。UTMS及びその様々なネットワークアクセス装置は、従って、プロセス制御ネットワークを、存在が知られている脆弱性だけではなく、存在すると予測される脆弱性からも保護し得る。
【0024】
1つの実施形態では、プロセス制御システムでネットワークトラヒックを守る方法は、特定のプロセス制御システム装置と通信するプログラム可能なインターフェイスを有するオブジェクトのインスタンスを作成する工程を備え得る。オブジェクトは、装置で受信されるネットワークトラヒックを受け入れる又は拒否する条件を定義する1つ以上のルールを含むルールセットにアクセスすることができる。ネットワークトラヒックは、プロセス制御システムの外部から発生し、更に、プロセス制御システム、プロセス制御システムのネットワーク装置及びプロセス制御システムのフィールド装置のうちの1つ以上へのアクセスを探し求める。オブジェクトは、その後、ルールセットの1つ以上のどのルールを装置に適用するのかを決定し、1つ以上の決定されたルールを装置に適用することによって装置を守る。オブジェクトは、その後、守られる装置で受信されるネットワークトラヒックを監視し、ネットワークトラヒックが受信されると、守られる装置で受信されたネットワークトラヒックが守られる装置に適用されるルールの1つ以上を違反するか否かを判定する。守られる装置で受信されたネットワークトラヒックがルールの1つ以上に違反する場合、オブジェクトは、ネットワークトラヒックアクセスを拒否し、警報をプロセス制御システムのオペレータインターフェイスに表示する。或いは、守られる装置で受信されたネットワークトラヒックがルールの1つ以上に違反しない場合、オブジェクトは、ネットワークトラヒックアクセスを許可する。
【0025】
更なる実施形態では、プロセス制御システムのネットワークトラヒックを守るネットワーク装置は、ネットワーク装置へ入る及びネットワーク装置から出るネットワークトラヒックをつなげる第1のネットワークコネクタと、プロセス制御システムの制御アプライアンスへネットワークトラヒックをつなげる第2のネットワークコネクタと、を備え得る。ネットワーク装置のルールセットは、プロセス制御システムの外部から発生し、プロセス制御システムへのアクセスを探し求める、ネットワーク装置で受信されるネットワークトラヒックを受け入れる又は拒否する条件を定義する1つ以上のルールを含み得る。ネットワーク装置は、更に、ネットワーク装置の中へつなげられるネットワークトラヒックがルールセットの1つ以上に違反するか否かを判別する比較ルーチンと、加えて、第1のネットワークコネクタで受信されたネットワークトラヒックがルールの1つ以上に違反する場合には、制御アプライアンス又はプロセス制御システムの別の装置へのネットワークトラヒックのアクセスを拒否し、警報をプロセス制御システムのオペレータインターフェイスに表示させる、若しくはネットワーク装置で受信されたネットワークトラヒックがルールの1つ以上に違反しない場合には、ネットワークトラヒックを第2のネットワークコネクタを通して制御アプライアンスへつなぐ、セキュリティルーチンと、を含み得る。
【0026】
更に別の実施形態では、プロセス制御システムのネットワークトラヒックを守るための統合脅威管理システム(UTMS)は、プロセス制御システムに関するネットワークトラヒックを受信するように設定された複数のネットワーク装置を備えており、ネットワーク装置の少なくとも1つは、プロセス制御システムの外部にあるソースからルールセットを受信するように設定され得る。ルールセットは、ネットワーク装置で受信されるネットワークトラヒックを受け入れる又は拒否する条件を定義する1つ以上のルールを含み得る。UTMSは、(複数のネットワーク装置を含む)プロセス制御システムの素子及び複数のネットワーク装置のそれぞれとのネットワークトラヒック接続の状態をグラフィカルに表現するグラフィックプロセス制御環境を更に含み得る。グラフィックプロセス制御環境は、複数のネットワーク装置のそれぞれにオブジェクトのインスタンスを作成するように設定され得、各オブジェクトは、複数のネットワーク装置の異なるネットワーク装置をグラフィカルに表現するために、各UTMS装置と通信するプログラム可能なインターフェイスを含む。更に、複数のネットワーク装置のパラメータは、グラフィックプロセス制御環境の中で表示され且つ設定することが可能であり得る。パラメータは、複数のネットワーク装置のそれぞれとの接続の状態、ルールセット及びルールセット更新を含み得る。
【図面の簡単な説明】
【0027】
【図1a】インターネット上に分散された素子を含むプロセス制御システムの例示的なブロック図であり、各素子は、1つ以上のオペレータ及び保守ワークステーション、コントローラ、フィールド装置、本明細書で示すようなプロセス制御システムネットワークセキュリティ機能(統合脅威管理システム即ちUTMS)を実施するように設定されたネットワーク装置、一般的なネットワーク装置及びプロセス制御システムに関する外部のデータを送信及び受信する支援機器を含む。
【図1b】インターネット上に分散された素子を含むプロセス制御システムの別の例示的なブロック図であり、各素子は、1つ以上のオペレータ及び保守ワークステーション、コントローラ、フィールド装置、本明細書で示すようなプロセス制御システムネットワークセキュリティ機能(統合脅威管理システム即ちUTMS)を実施するように構成された周辺ネットワーク装置(ファイアウォール)及びネットワークアクセス装置、一般的なネットワーク装置及びプロセス制御システムに関する外部のデータを送信及び受信する支援機器を含む。
【図2】UTMS設定プロセスオブジェクト及びプロセスモジュールを含み、図1a及び図1bのオペレータワークステーションに記憶され、UTMS方法及び技法を実施するために使用され得る、一連のアプリケーション及び他のエンティティの論理ブロック図である。
【図3】UTMSのルールセットを更新する方法の論理ブロック図である。
【図4】プロセス制御システムの外部の通信のためのUTMS設定ネットワーク装置の簡略化したブロック図である。
【図5】クロスシステム通信接続のためのUTMS設定ネットワーク装置の簡略化したブロック図である。
【図6】システム内通信接続のためのUTMS設定ネットワーク装置の簡略化したブロック図である。
【図7】プロセス制御システムのファイアウォール又は他のネットワーク装置をバイパスする一体化UTMS設定ネットワーク装置の簡略化したブロック図である。
【図8】バイパス機能を実行するためのUTMS設定ネットワーク装置の論理ブロック図である。
【図9】I/O装置経由で制御アプライアンス又はフィールド装置へ接続されるUTMS設定ネットワーク装置を含むプロセス制御システムの論理ブロック図である。
【図10】光コネクタ又は他の電動コネクタを含むネットワーク内でバイパス機能を行うためのUTMS設定ネットワーク装置の論理ブロック図である。
【図11】UTMS機能を含むI/O装置を含むプロセス制御システムの一部の論理ブロック図である。
【図12】制御アプライアンス又はフィールド装置へ接続されるUTMS適応I/O装置を含むプロセス制御システムの論理ブロック図である。
【図13】プロセス制御システムのネットワークトラヒックを管理するルールを設定するルールセットユーザーインターフェイスである。
【図14】プロセス制御システムのネットワークトラヒックを設定するプロセス制御システムのユーザーへ質問を提示する設定ウィザードユーザーインターフェイスである。
【図15】プロセス制御システムのUTMSセキュリティ情報を表示するシステムセキュリティユーザーインターフェイスである。
【図16】特定の型のネットワークトラヒックを管理するUTMS設定装置に通信可能に接続される通信ユーザーインターフェイスである。
【図17】各UTMS設定装置に通信可能に接続されるUTMS装置コマンドセンターユーザーインターフェイスである。
【図18】受命/閉鎖ウィンドウを含むUTMS装置コマンドセンターユーザーインターフェイスである。
【図19】保守支援ウィンドウを含むUTMS装置コマンドセンターユーザーインターフェイスである。
【図20】動作ウィンドウを含むUTMS装置コマンドセンターユーザーインターフェイスである。
【図21】ルールセット又はネットワークセキュリティ違反を示すUTMS装置コマンドセンターユーザーインターフェイスである。
【図22】選択されたUTMS設定装置のポート統計値ウィンドウを含むUTMS装置コマンドセンターユーザーインターフェイスである。
【図23】警報を含むUTMS装置コマンドセンターユーザーインターフェイスである。
【発明を実施するための形態】
【0028】
図1aは、例えば、インターネット又は他の外部ソースを経由する各サブシステム間の外部通信が、本明細書で示すように、1つ以上のUTMS設定ネットワーク装置(例えば、ファイアウォール)146a、146b、ネットワーク装置152、フィールド装置134、スマート装置、モジュール、コントローラ、構成部品などを含む「統合脅威管理システム」(UTMS)によって保護され得る1つ以上のプロセスプラント内部の1つ以上のプロセス制御サブシステム105a、105bを含むプロセス制御システム100の概略図である。図1bは、下記の装置134、146、152に加えて、ファイアウォール146の下流に位置するネットワークアクセス装置149を含むUTMSによって保護され得る1つ以上のプロセス制御サブシステム105a、105bを含むプロセス制御システム100の別の実施形態の概略図である。図1bのネットワークアクセス装置149は、装置146の周辺UTMS機能を補うことができる、又は下記のバイパス機能のような特殊化したUTMS機能を果たすことができる。それぞれのファイアウォール146又は装置134、149、152は、UTMS設定装置によって受信又は処理され得る通信を定義するルールセット、例えば、147a、148a、147b、148b、151a、151b、153を含み得る。UTMS設定装置が、周辺装置(即ち、プロセス制御ネットワーク150a又は150bの外側)である場合、ルールセット147及び151は、サブシステム105a、105b内部の任意の装置へアクセスするためのルールのグローバルセットを含み得る。UTMS設定装置が、内部装置134、152(即ち、プロセス制御ネットワーク150a又は150bの内部)である場合、ルールセット148、153は、特定の内部装置へのアクセスだけを定義しているグローバルセットのルールのサブセットを含み得る。ルールセット147、148、151、153は、ポリシー又は署名に基づくもの、又はシステムを内部又は外部のネットワーク脅威から保護するために(下記のように)UTMS設定ファイアウォール146a、146b、UTMS設定ネットワークアクセス装置149a、149b及びUTMS設定フィールド装置134に設定可能な指針を提供する何らかの他の型のルールセットであり得る。図1bは、本明細書で示すようにルールセット151cのようなルールセットを含み得る又は含み得ず、且つ下記で示すように異なる型のプロセス制御ネットワーク接続を制御し得るUTMS設定ネットワークアクセス装置149cを含むサブシステム105a及び105bの間のクロスシステム接続を図示している代替的な実施形態である。
【0029】
一般には、UTMSは、ネットワーク侵入検出システム(NIDS)、ホスト侵入検出システム(HIDS)、それらの型のシステムの組み合わせ、又は他の周知の又は将来のネットワークセキュリティパラダイムであり得る。例えば、プロセス制御システム100内部のNIDS設定、UTMS設定ファイアウォール146a、146b及び/又はUTMS設定ネットワークアクセス装置149a、149b、149c又は他のUTMS設定素子は、悪意のあるパケットがプロセス制御システム内部のそれらの目的とする目標に達し、不具合を引き起こすことが可能になる前に、ネットワークからの悪意のあるパケットを検査して破棄するために1つ以上のルールセットを使用し得る。更に又は或いは、下記で更に説明するように、プロセス制御システム100内部のUTMS設定ファイアウォール146a、146b及び/又はUTMS設定ネットワークアクセス装置149a、149b、149c又は他のUTMS設定素子134、152は、プロセス制御システムの状態を監視し、何らかの内部又は外部通信がプロセス制御システムのセキュリティポリシーを侵害したか否かを検出するHIDSとして設定され得る。例えば、HIDSの構成要素、ルールセット又は設定を含むUTMSは、プロセス制御システムの現在の状態(即ち、装置、モジュール又はRAM、ファイルシステム、ログファイル又は他の場所に記憶される構成要素情報)を使用して、現在の状態を1つ以上のルールセット147、148、151、153に記載される期待状態と比較し、システムが正常に又は期待されるように作動していることを確実にすることができる。UTMS設定ファイアウォール146a、146b、ネットワークアクセス装置149a、149b、149c及びUTMS設定フィールド装置134のそれぞれは、1つ以上のルールセット又はシステム100のセキュリティポリシーを定義する他のファイルを含み得る。下記で更に示すように、周辺装置は、更に、各内部UTMS設定装置又は様々な群の装置の個別のルールセットをアルゴリズムで導き出し、ルールセットのサブセットを内部装置へ送信する又はサブセットへの内部装置のアクセスを認め得る。
【0030】
UTMSの各構成要素は、ネットワークセキュリティを強化し、ネットワーク管理及び保守を容易にするために、下記で更に説明するように、プロセス制御システムの制御環境に組み込まれる。プロセス制御システム100は、1つ以上のサブシステム105a、105b、1つ以上のプロセス制御ネットワーク150a、150b及びプロセス制御ネットワーク150を通じて1つ以上のネットワーク装置146を経由して、少なくとも1つはディスプレイスクリーンを有する、(任意の型のパーソナルコンピュータ、ワークステーションなどであり得る)1つ以上のホストワークステーション又はコンピュータ120から122に通信可能に接続される1つ以上のプロセスコントローラ110を含み得る。図1aのプロセス制御システム100は、WANとしてインターネット155を通じて通信する2つのプロセス制御サブシステム105a及び105bしか示していないが、また図1bのプロセス制御システム100は、LANを通じて通信する2つのプロセス制御サブシステム105a及び105bしか示していないが、プロセス制御システム100は、装置、モジュール及び、幾つかを挙げると、インターネット、LAN、無線、ツイストペアケーブル、光ファイバー等を含む任意の型の接続を通して互いに通信可能に接続される構成要素に加えて、任意の数のサブシステムを含み得る。
【0031】
コントローラ110は、1つ以上のネットワークインターフェイスカードを含み得、更に、入出力(I/O)カード140を介してフィールド装置130に接続される。データヒストリアン145は、データを記憶するために任意の所望の型のメモリ及び任意の所望の又は既知のソフトウェア、ハードウェア又はファームウェアを有する任意の所望の型のデータ収集ユニットであり得、且つワークステーション120から122の1つから分離することができる又はその一部であり得る。一例として、Emerson Process Management, Inc.によって販売されるDeltaV(登録商標)コントローラでもよいコントローラ110は、例えばイーサネット(登録商標)接続又は何らかの他の所望の通信ネットワーク150a、150bを経由して1つ以上のネットワーク装置146によってホストコンピュータ120から122に通信可能に接続される。ネットワーク装置146は、1つ以上のネットワークインターフェイスカード、ネットワークスイッチ、ルータ、ファイアウォール、UTMS設定ファイアウォール、ネットワークアクセス装置、UTMS設定装置又はネットワーク、例えば、ネットワーク150a、150bの何れかの部分を通じて通信される基礎的なデータを変えずにネットワーク150a、150bを通じてデータ伝送を円滑にさせる何らかの他の構成要素を含む。通信ネットワーク150a、150bは、ローカルネットワーク(LAN)、広域ネットワーク(WAN)、電気通信網などであってもよく、有線又は無線技術を使用して実装し得、その如何なる部分でもインターネット接続を用いて実装することができる。コントローラ110は、例えば標準4 20mA装置、イーサネット(登録商標)、ARP、IP、ICMP、UDPなどのような標準プロトコルに関連付けられる任意の所望のハードウェア及びソフトウェア、及び/又はFOUNDATIONフィールドバスプロトコル(フィールドバス)、HARTプロトコルなどを用いて任意のスマート通信プロトコルを使用してフィールド装置130、133、134に通信可能に接続される。
【0032】
フィールド装置130、133、134は、センサー、バルブ、送信器、ポジショナなどのどのような型のハードウェア構成要素であってもよく、一方でI/Oカード140は、任意の所望の通信又はコントローラプロトコルに適合するどの様な型のI/O装置であってもよい。図1に示す実施形態では、フィールド装置130は、HARTモデム140を用いて標準アナログ4 20mAライン131を通じて通信するHART装置であり、一方でフィールド装置133は、フィールドバスプロトコル通信を使用して、デジタルバス135又はI/Oネットワーク155を通じてI/Oカード140と通信するフィールドバスフィールド装置のようなスマート装置であり、フィールド装置134は、HART、フィールドバス又はUTMS設定である他のフィールド装置であり得るので、上記の指定されたプロセス機能の遂行に加えて、装置134は、装置それ自体(特定のネットワーク通信脆弱性を有すると知られる、例えば、特定のセンサー、バルブ、送信器、ポジショナなど)の既知の脆弱性と一致し、既知の脅迫的なペイロードを含み、既知の脅威ロケーションから発生し、及び悪意のあるネットワーク活動の既知のパターンに一致する、如何なるデータパケットも破棄するように設定されることになる。勿論、フィールド装置130、133、134は、将来に開発される何らかの規格又はプロトコルを含む如何なる他の所望の基準又はプロトコルにも準拠し得る。ネットワーク150及び装置は、更に、標準的なイーサネット(登録商標)通信及び何らかの通信プロトコル(例えば、TCP/IP、ModbusIPなど)を支援するネットワーク装置であってもよい。コントローラ110に接続されるフィールド装置130、133、134は、コントローラ110で実装される制御戦略と関連付けられる、機能ブロックのようなモジュール又はサブモジュールを記憶及び実行することができる。フィールドバスフィールド装置130、134のうちの2つの異なるものに設置されるように図1a、図1b及び図3で示される機能ブロック132は、よく知られるように、プロセス制御を実施するために、コントローラ110内部の制御モジュール136の実行と連動して実行され得る。先に述べたように、フィールド装置130、133、134は、センサー、バルブ、送信器、ポジショナなどのようなどの様な型の装置であってもよく、I/O装置140は、任意の所望の通信又はHART、フィールドバス、プロフィバスなどのようなコントローラプロトコルに準拠するどの様な型の装置であってもよい。
【0033】
更に、フィールド装置142は、特殊化したネットワーク装置143、例えば、UTMS設定ネットワーク装置、ゲートウェイ、ルータ、ファイアウォールなどを介してデジタルバス135に接続され得る。例えば、フィールド装置142は、HRATコマンドだけを理解し得、I/Oネットワーク135は、プロフィバスプロトコルを実装し得る。このため、ゲートウェイ143は、本明細書で示すようなUTMS設定性能に加えて、双方向プロフィバス/HART翻訳を提供し得る。或いは又は更に、ネットワーク装置は、ゲートウェイ143に又はその付近に設置してもよい。ゲートウェイ143及び装置142の一方又は両方は、UTMS設定であってもよい。
【0034】
1つ以上のプロセッサをその中に有するプラント内部の多数の分散されたコントローラのうちの1つであり得るコントローラ110は、1つ以上のプロセス制御ルーチン又はモジュール136を実施又は監視する。ルーチンは、コントローラに記憶される又はコントローラと関連付けられる1つ以上の制御ループを含み得る。コントローラ110は、更に、任意の所望の方法でプロセスを制御するために、ネットワーク150及び他のネットワーク装置を通じてフィールド装置130、133、134、142、ホストコンピュータ120から122、(単数又は複数の)ファイアウォール146a、146b及び(単数又は複数の)データヒストリアン145と通信し得る。如何なる制御モジュール又はルーチン136又は本明細書で示すような素子も、必要に応じて異なるコントローラ又は他の装置によって実装又は実行される部分をその中に有し得るものと留意されたい。
【0035】
同様に、プロセス制御システム100の内部で実装されるように本明細書で示している制御ルーチン136、UTMS設定ネットワーク装置の管理、フィールド装置134及び他の素子は、ソフトウェア、ファームウェア、ハードウェアなどを含む如何なる形態でもとり得る。これを考察するために、プロセス制御素子は、例えば、任意のコンピュータ可読媒体に記憶されたルーチン、ブロック又はモジュールを含むプロセス制御システムの何らかの部分又は一部である可能性もある。モジュール又はサブルーチン、サブルーチンの一部分(コードのラインのような)などの制御手順の何らかの部分であり得る制御ルーチン及びUTMS管理ルーチンは、はしご論理、連続的機能チャート、機能ブロック図、オブジェクト指向プログラミング言語又は任意の他のソフトウェアプログラミング言語又は設計パラダイムを使用するような、任意の所望のソフトウェアフォーマットで実装され得る。同様に、制御ルーチン及びUTMS管理ルーチンは、例えば、1つ以上のEPROM、EEPROM、特定用途向け集積回路(ASIC)又は任意の他のハードウェア又はファームウェア素子にハードコード化され得る。その上更に、制御ルーチン及びUTMS管理ルーチンは、グラフィック設計ツール又は任意の他の型のソフトウェア/ハードウェア/ファームウェアプログラミングツール又は設計ツールを含む任意の設計ツールを使用して設計され得る。従って、コントローラ110は、任意の所望の方法で制御戦略又は制御ルーチンを実装するように設定され得、本明細書で示すようにUTMS管理ルーチンを一体化することができる。
【0036】
UTMS内部のファイアウォール146及び何らかのUTMS設定ネットワークアクセス装置149及びフィールド装置134は、システムオペレータ又は他の人員による直接的な介在がなくても多くのネットワークセキュリティ機能を果たすように設定され得るので、「賢い」UTMS装置と表現することもできる。UTMS設定ネットワークアクセス装置は、更に、下記のように、IT人員の介在がなくても、オペレータワークステーションのグラフィックディスプレイから全面的に監視及び設定することができるプロセス変数としてプロセス制御システム100とインターフェイス接続し得る。UTMS設定ファイアウォール146、ネットワークアクセス装置149、UTMSフィールド装置134、ネットワーク装置152、及び関連付けられるルールセット147、148、151、153は、プロセス制御システム100を、1つ以上のネットワーク装置、フィールド装置又はプロセス制御システムの他の部分に不具合を引き起こし得るウイルス、ワーム又は何らかの他の攻撃などの内部及び外部のネットワーク脅威から保護するように設定される。UTMS装置は、他のシステムに接続される場合及び異なるシステムとの接続の際にシステムを保護するために、制御システム100の階層内部の異なるレベルで配備することができる。
【0037】
各ワークステーション120、122は、プロセス制御システム100内部で接続される装置、ユニットなどに関する機能性を観察及び提供する目的で、許可されたユーザーであれば(本明細書では時には設定エンジニア、また時にはオペレータと称されているが、ユーザータイプによってカスタマイズされたディスプレイ層に関連して本明細書で下記に示すように、他の型のユーザーも存在する)誰でもアクセスすることができる一連のオペレータインターフェイスアプリケーション及び他のデータ構造123を含む。一連のオペレータインターフェイスアプリケーション123は、ワークステーション120、122のメモリ124に記憶され、それぞれのアプリケーション又は一連のアプリケーション123内部のエンティティは、ワークステーション120、122と関連付けられるプロセッサ125で実行されるように作られる。一連のアプリケーション123の全てがワークステーション120、122に記憶されるように図示されているが、それらのアプリケーション又は他のエンティティの幾つかは、システム100の内部の又はそれに関連付けられる他のワークステーション又はコンピュータ装置に記憶及び実行されることも可能である。更に、一連のアプリケーションは、ワークステーション120と関連付けられるディスプレイスクリーン126又は任意の他の所望のディスプレイスクリーン又は可搬型装置、ラップトップ型コンピュータ、他のワークステーション、プリンターなどを含むディスプレイ装置、へのディスプレイ出力を提供することが可能である。同様に、一連のアプリケーション123内のアプリケーションは、2つ又はそれ以上のコンピュータ又は機械で分割して実行することができ、互いに関連して作動するように設定することができる。
【0038】
一般的に言えば、一連のアプリケーション123は、幾つかの異なる型のエンティティのためにグラフィックディスプレイの作成及び使用を提供する又はそれらを可能にし、そのエンティティの動作は、プロセス制御システム100内部で強化された制御、シミュレーション、ネットワークセキュリティ及びディスプレイ機能を提供するためにまとめて一体化することができる。一連のアプリケーション123は、プロセスグラフィックディスプレイ127(一般には、プロセスプラントの一部に関係するオペレータディスプレイを提供する)、プロセスモジュール128(一般には、プロセスプラントの一部のシミュレーションを提供する)及び一般には、プロセスのオンライン制御を提供する又は行う制御ルーチン136のようなプロセス制御モジュールを作成及び実装するために使用され得る。プロセス制御モジュール128は、当業者には概ね良く知られており、機能ブロック制御モジュールなどのような何れかの型の制御モジュールを含み得る。下記でより詳細に説明される、プロセスグラフィックディスプレイ素子127は、標準的には、操作、設定、ネットワークセキュリティ又はプロセスプラント及びその中の素子の設定に関してオペレータのようなユーザーに情報を提供するためにオペレータ、エンジニア用又は他のディスプレイ内で表示される素子である。プロセスモジュール128は、標準的には、プロセスグラフィックディスプレイ素子127と密接に関係し、プロセスプラントの、又はプロセスグラフィックディスプレイ129に描写される方法でその中に接続される異なる素子の、幾つかの動作のシミュレーションを行うために使用し得る。プロセスグラフィックディスプレイ129及びプロセスモジュール128は、ワークステーション120及び122に記憶及び実行されるように図示されているが、プロセスグラフィックディスプレイ129及びプロセスモジュール128は、プロセス制御システム100に関連付けられる、ラップトップ型コンピュータ、可搬型装置などを含む、どの様な他のコンピュータにもダウンロード及び実行することが可能である。
【0039】
図2は、ワークステーション120、122(図1)の一連のアプリケーション123の中のアプリケーション及びデータ構造又は他のエンティティの幾つかを図示する。具体的には、一連のアプリケーション123は、制御モジュール、プロセスモジュール、及び制御モジュール、プロセスモジュール(工程モジュールとも呼ばれる)及び関連付けられるグラフィックディスプレイを作成するために設定エンジニアによって使用されるグラフィックディスプレイ設定アプリケーション200を含む。例えば、設定エンジニアは、UTMS設定ファイアウォール146、ネットワークアクセス装置149、ネットワーク装置152又はグラフィックディスプレイへ一体化するためのフィールド装置134の制御モジュールを作成し得る。制御モジュール設定アプリケーション200は、何らかの標準的な又は周知の制御モジュール設定アプリケーションであり得るが、プロセスモジュール及び(単数又は複数の)グラフィックディスプレイ設定アプリケーションは、プロセスモジュールと、その特質が米国特許出願第10/574,824号に記載される1つ以上のスマートプロセスオブジェクトを使用する、グラフィックディスプレイと、を作成し得る。更にその上、プロセスモジュール及びプロセスグラフィック設定アプリケーション200は別々に示されているが、1つの設定アプリケーションが、その様な型の素子を両方作成することも可能である。
【0040】
プロセスグラフィックオブジェクト204のライブラリ202は、プロセスモジュール128(図1a)及びグラフィックディスプレイ129を作成するために設定アプリケーション200によってアクセス、コピー及び使用され得る、例示の又はテンプレートプロセスオブジェクト204を含む。理解されるように、設定アプリケーション200は、それぞれが1つ以上のプロセスオブジェクト204で構成される又は1つ以上のプロセスオブジェクト204から作成される、1つ以上のプロセスモジュール128を作成するために使用され得、プロセスモジュールメモリ208に記憶される1つ以上の工程又はシミュレーションアルゴリズム206を含み得る。更に、設定アプリケーション200は、それぞれが1つ以上のプロセスオブジェクト204で構成される又は1つ以上のプロセスオブジェクト204から作成される、1つ以上のグラフィックディスプレイ129を作成するために使用され得、まとめて接続される任意の数のディスプレイ素子を含み得る。グラフィックディスプレイ129bの1つが、拡大された形態で図2に図示され、パイプ、コンジット、電力ケーブル、コンベヤーなどであり得る接続素子によって相互に接続される、バルブ、タンク、センサー、UTMS設定装置及びフロートランスミッタのようなプロセス素子一式の描写を含んでいる。
【0041】
実行エンジン210は、グラフィックディスプレイ129によって定義されるオペレータ用の1つ以上のプロセスディスプレイを作成し、プロセスモジュール128と関連付けられるシミュレーション機能性を実施するランタイムの間にグラフィックディスプレイ129及びプロセスモジュール128のそれぞれを作動又は実施する。実行エンジン210は、一般にはプロセスモジュール128で、また厳密にはそれらのモジュール内のプロセスオブジェクトで実施される論理を定義するルールデータベース212を使用し得る。実行エンジン210は、更に、プロセスモジュール128の機能性を実施するために、システム100内部そして勿論プロセスモジュール128内部のプロセス素子間の接続を定義する接続マトリクス214を使用し得る。
【0042】
図2は、より詳細なプロセスオブジェクトの1つ、例えば、UTMS設定プロセスオブジェクト204eを図示する。UTMS設定プロセスオブジェクト204eは、オブジェクト指向のプログラミング環境の中のオブジェクトであり得るので、データ記憶、入力及び出力及びそこで関連付けられる方法を含み得るが、このプロセスオブジェクトは、任意の他の所望のプログラミングパラダイム又はプロトコルによって作成され、任意の他の所望のプログラミングパラダイム又はプロトコルの中で実施され得る。理解されるように、UTMS設定プロセスオブジェクト204eは、インスタンス化される前は、図1のプロセス制御システム100の中のUTMS設定装置134、146、149、152と関連付けられるオブジェクトである。しかしながら、コピー及びインスタンス化された後は、UTMS設定プロセスオブジェクト204eは、プロセス制御システムの中の特定のUTMS設定装置と関係し得る。UTMS設定プロセスオブジェクト204eは、特定の装置に接続する、プログラム可能なインターフェイスによって特定のUTMS設定装置と関係し得る。ユーザーは、ユーザーのワークステーションで表示されるグラフィックディスプレイの中の装置のグラフィック表現ながらも、プログラム可能インターフェイスにアクセスし得る。アクセスすれば、ユーザーは、装置の様々な特性を表示及び設定することができる。更に、プログラム可能インターフェイスは、UTMS設定装置についての様々なパラメータをユーザーのグラフィックディスプレイへ通信し得る。
【0043】
何れにしても、UTMS設定プロセスオブジェクト204eは、UTMS設定プロセスオブジェクト204eが関連付けられるUTMS設定エンティティから受信した、又はUTMS設定エンティティに関係があるデータを記憶するために使用されるデータ記憶220を含む。データ記憶220は、標準的には、UTMS設定プロセスオブジェクト204eが関係があるUTMS設定エンティティについての、製造業者、改訂、名称、型などのような一般的又は永久的な情報、を記憶するデータ記憶220aを含む。データ記憶220bは、過去に存在していたような又は現在プロセス制御システム100の内部に存在しているようなエンティティと関連付けられるデータを含む、UTMS設定プロセスオブジェクト204eが関係するUTMS設定エンティティについての状態データ、パラメータデータ、状況データ、入力及び出力データ、ルールセットデータ、コスト又は他のデータのような可変的な又は変化するデータを記憶し得る。UTMS設定装置又はエンティティは、ルールセットデータを受信することができ、UTMS設定プロセスオブジェクト204eは、装置又は第三者ソース(下文で図3に関して示すようなサイバーセキュリティ危機管理会社305など)とつながる任意の所望の通信リンクを介して、ネットワークk150又はインターネット接続を介して、ルールセットデータをプロセス制御システム100の中の他のUTMS設定プロセスオブジェクトへ配信する別のUTMS設定装置を介して、又は何らかの他の所望の方法で、ルールセットデータ147、148、151、153(図1a)及び周期的又は非周期的な原則に基づく他の更新データにアクセスするように設定又はプログラムされ得る。データ記憶220cは、UTMS設定プロセスオブジェクト204eが関係し、且つ図1aのワークステーション120と関連付けられるスクリーン126のような、オペレータインターフェイスを介してオペレータへの実際のディスプレイに使用されるUTMS設定エンティティ134、146、149、152のグラフィック表現を記憶し得る。グラフィック表現は、パラメータによって定義される情報又はデータ記憶220bに記憶されるようなエンティティ134、146、149、152についての他の変数データのようなエンティティ134、146、149、152についての情報に対する場所ホルダー(データ記憶220cの中で下線が付けられた)を含み得る。このパラメータデータは、グラフィック表現がグラフィックディスプレイ129の1つの一部としてディスプレイ装置128でオペレータに提示される時に、グラフィック場所ホルダーで表示され得る。グラフィック表現(及びUTMS設定プロセスオブジェクト204e)は、更に、グラフィック表現によって描写されるように、オペレータ又は設定エンジニアがアップストリーム又はダウンストリーム構成要素をプロセス素子に取り付けることができるようにする所定の接続点(データ記憶220cの中で「X」が付けられた)を含み得る。勿論、それらの接続点は、更に、UTMS設定プロセスオブジェクト220eがプロセスモジュールの中で設定されるようなそのUTMS設定オブジェクトに接続されるUTMS設定オブジェクトプロセス制御システム素子を認識することを可能にし、パイプ、ダクト、その素子に関連付けられるストリーム、データ接続などのような使用されなければならない接続素子の型を指定し得る。
【0044】
UTMS設定プロセスオブジェクト204eは、更に、UTMS設定プロセスオブジェクト204eが使用されるプロセスモジュール内部又は外部で他のUTMS設定プロセスオブジェクト又は非UTMS設定プロセスオブジェクトとの通信を可能するために、1つ以上の入力222及び出力224を含み得る。他のプロセスオブジェクトへの入力222及び出力224の接続は、(UTMS設定又はそれ以外の)他のプロセスオブジェクトをそれらの入力及び出力に接続するだけによって、又はプロセスオブジェクト間で行われる特定の通信を識別することによって、プロセスモジュールの設定を行う間に設定エンジニアによって設定され得る。それらの入力及び出力の幾つかは、上記のようなUTMS設定プロセスオブジェクトのための所定の接続点で接続されるプロセスオブジェクトに接続されるように定義され得る。それらの入力222及び出力224は、更に、ルールデータベース212及びプロセス制御システム100の中の異なる装置又はエンティティの間の接続を定義する接続マトリックス214の中の設定ルール一式(ルールセット147、148、151、153とは対照的に、ネットワーク通信が行われ得る又は行われ得ない状態を定義する)によって決定又は定義され得る。入力222及び出力224は、データ記憶又はそこに関連付けられるバッファーを含んでいて、一般的に言えば、他のプロセスオブジェクトからUTMS設定プロセスオブジェクト204eへデータの通信を提供するために又はUTMS設定プロセスオブジェクト204eの内部に記憶された又はUTMS設定プロセスオブジェクト204eから生成されるデータ通信を他のプロセスオブジェクトへ提供するために使用されるであろう。それらの入力及び出力は、コントローラ110、フィールド装置130、133、134などの内部の制御モジュールのような、プロセス制御システム100の中のプロセスオブジェクト204eと他のオブジェクトとの間の通信を提供するためにも使用され得る。
【0045】
図2に示すように、プロセスオブジェクト204eは、UTMS設定プロセスオブジェクト204eが使用されるプロセスモジュール(例えば、本明細書で示すような様々なUTMS及びバイパス機能を実行するためのセキュリティモジュール、バイパスモジュールなど)を実行する間にUTMS設定プロセスオブジェクト204eによって実施されるアルゴリズム又はモジュールを含み得る、ゼロ、1つ以上の方法228(図2では方法228a、228b及び228cと図示される)を記憶するために使用される方法記憶226を更に含む。概括的には、方法記憶226に記憶された方法228は、ネットワークセキュリティのためのルールを実施し、ネットワーク150、ネットワークセキュリティの状況及びシステム内のプロセス制御システム100又はエンティティの設定についての情報を決定するために、データ記憶部分220a及び220bの中に記憶されたデータ、他のUTMS設定プロセスオブジェクト、他のプロセスオブジェクトから取得されたデータ又は設定データベース、ヒストリアン145(図1a及び図1b)などの他のソースからのデータ、及び入力222及び出力224を経由したルールセット147、148、151、153、を使用するであろう。例えば、方法228は、UTMS設定プロセスオブジェクト204eによって定義されるエンティティに関連付けられるネットワーク接続の数及び型、ネットワーク装置又はプロセス制御システム100の中で他のネットワーク装置に関連付けられるエラー、ルールセット147、148、151、153などの1つ以上と比較して、システム100の中の潜在的な又は実際のネットワークセキュリティの不具合を決定することができる。方法228は、プロセス制御システムの設定の間に事前設定又は修正さすることができ、UTMS設定プロセスオブジェクト204eが、ランタイムの間にエンジン210内で実行されるたびに標準的には実行されるであろう。
【0046】
UTMS設定プロセスオブジェクト204eの中で提供され得る幾つかの例示的な方法228は、1)ルールセット147、148、151、153の1つ以上の有効期限が切れる前又は切れた時に警報を処理する工程(加えて、警報を誘発する有効期限までの時間を設定する工程)、2)ルールセット147、148、151、153のルールが対応するUTMS設定装置で受信されたネットワークトラヒック又は装置から送信されたネットワークトラヒックによって違反された時に警報を処理する工程、3)コンテンツ、ソース、宛先、タイムアウトなどを含むネットワークトラヒックについての動態統計値を追跡する工程、4)ルールセット違反、又は概括的にはネットワークトラヒックに、厳密にはUTMS設定プロセスオブジェクト204eに関する他の異常な状態、を示す何らかの警報を処理する工程、5)ネットワーク150への内部及び外部データ接続の数及び型を含む、UTMS設定ネットワーク装置146、149の1つ以上の状況を決定する工程、6)プラントそれ自体の外部との接続、プラント内部の接続、及びプロセス制御システム全般(例えば、DeltaV(登録商標)システム)への何らかの接続、を監視及び検出する工程、7)選択されたサブシステム、特定の装置又はプロセス制御システム100の中の区域のためにセキュリティプロファイル(下記のような)を決定又は選択する工程を、これらに限定するわけではないが含む。これらの方法は、オペレータが、ネットワーク150がプロセス制御システム100全般に関連する際のネットワーク150についての情報に加えて、詳細なネットワーク及び脅威の統計値にアクセスすることを可能にし得る。
【0047】
方法228は、更に、プロセス制御システム100のプロセスエンティティの何れかを通るネットワークトラヒック流れを含む、UTMS設定プロセスオブジェクト204eに関連付けられるUTMS設定ネットワークアクセス装置134、146、149、152の動作のシミュレーションを補足することができる。従って、方法228は、提供された入力などに基づいて予想ネットワークトラヒック出力を計算するために、素子までのネットワークトラヒックをシミュレートするべく、プロセス制御システム100の材料に関連付けられるマスバランス、エネルギーバランス、フロー、温度、組成、蒸気状態、及び他のシステムレベル又はストリームレベルパラメータに関するネットワーク関連の統計値を計算する目的で提供され得る。勿論、それらは、UTMS設定プロセスオブジェクト204eの中に記憶され、UTMS設定プロセスオブジェクト204eによって実行されることが可能なほんの数例の方法であり、その様な方法が概ねUTMS設定ネットワーク装置134、146、149、152の型によって決定される場合、又はプロセス制御エンティティが、装置又はエンティティを他の因子と同様にプロセスプラントに接続して使用する方法で表される場合、に使用することができる多数の他の方法が存在する。UTMS設定プロセスオブジェクト204eは、システムレベルネットワーク状態、エラーなどを検出する方法を記憶及び実行し得るが、それらの方法は、装置、論理素子(例えば、プロセス制御モジュール及びループ)及び他の非システムレベルエンティティについての他の情報を決定するためにも使用し得るものと留意することは重要である。必要に応じて、方法228は、C、C++、C#などのような任意の所望のプログラミング言語でプログラム化される又は提供されることができる、又はルールデータベース212又は実行時にプロセスオブジェクト204eに対して実行されるべきルールセット147、148、151、153の中の適用ルールとして参照される又はその様な適用ルールを定義し得る。
【0048】
必要に応じて、各UTMS設定プロセスオブジェクトは、プロセスモジュールの中で接続される時のUTMS設定プロセスオブジェクトの動作を定義するために使用され得る適用アルゴリズム又は方法のライブラリを含み得る。当該ライブラリは、図2のUTMS設定プロセスオブジェクト204eのプルダウンメニュー230に図示され、同様のメニューは、それぞれの他のUTMS設定プロセスオブジェクトに関連付けられ得る。設定エンジニアは、このオブジェクトが、例えばプルダウンメニュー230を用いてアルゴリズムのライブラリ(方法1、方法2などと呼ばれる)の1つを選択することによってプロセスモジュール208に入れられる時、UTMS設定プロセスオブジェクトの動作を定義し得る。この方法では、設定エンジニアは、プロセスオブジェクトがモデルになって使用されているプロセスの型又は特質に応じてプロセスオブジェクトの異なる動作を(シミュレーション時又はランタイム時を問わず)定義し得る。
【0049】
UTMSの独自の機能は、更に、プロセスモジュールの中で接続される時に、UTMS設定プロセスオブジェクトのシミュレーション動作を定義するために使用され得るアルゴリズム又は方法に加えてプルダウンメニュー230に一体化することができる。例えば、プルダウンメニュー230は、ユーザーが、UTMS設定プロセスオブジェクト204eによって代表される特定のUTMS設定装置を保護するために、1つ以上のサブシステム(例えば、サブシステム105a、105b)又はシステム100の異なる部分を選択することも可能にし得る。更に、メニュー230は、ユーザーが、UTMS設定装置(例えば、Modbus TCP、EtherNet IP、ProfiNet、OPCなど)へのアクセスを認められる通信ネットワークの型を特定することも可能にし得る。ドロップダウンメニュー又は他のメニュー又はユーザーが選択可能な項目は、更に、ユーザー又はオペレータがルールセットバージョン、ルールセット147、148、151、153の最新更新からの経過時間又は次の更新までの時間、装置状態、システム100の中の他のUTMS設定装置についての情報、ネットワーク統計値などを特定することも可能にし得る。
【0050】
必要に応じて、設定エンジニアは、プロセスブロックによって定義される、UTMS設定ネットワーク装置134、146、149、152のシミュレーション動作を定義するために、所有権又は他のユーザーに供給されたアルゴリズムを更に提供し得る。その様なユーザー定義アルゴリズム(プルダウンメニュー230において「ユーザー定義」エントリと図示)は、そのようなオブジェクトがプロセスモジュール208の中に入れられる又は中で使用される時、UTMS設定プロセスオブジェクト204eに提供され、且つUTMS設定プロセスオブジェクト204eに記憶され得る。この機能性は、シミュレーション動作がユーザーによってカスタマイズされることを可能にし、それによって、特定のプロセス又はプロセスのステップに沿った選択点の間に、ネットワーク脅威及びプロセス制御ネットワーク150のセキュリティのより優れた又はより正確な可能性のシミュレーションを提供する。必要に応じて(及びこれよりより詳細に述べるように)、UTMS設定プロセスオブジェクト204又は各プロセスモジュール208は、UTMS設定プロセスオブジェクトの中でシミュレーションアルゴリズムの使用を無効にする、及び代わりに、HYSYSによって提供されるもののような、高忠実度シミュレーションパッケージ又はプログラムによって決定されるプロセスモジュールの動作を引き起こす、オペレータが作動可能なスイッチ(電子スイッチ又はフラグのような)を含み得る。この場合、UTMS設定プロセスオブジェクト204e又はプロセスモジュールは、UTMS設定プロセスオブジェクト自体の中でシミュレーションアルゴリズムを使用することとは異なり、高忠実度シミュレーションからシミュレーションパラメータデータを取得する。
【0051】
実行エンジン210によるグラフィックディスプレイ129又はプロセスモジュール208の実行の間、エンジン210は、入力222及び出力224によって定義される、グラフィックディスプレイ129又はプロセスモジュール208のUTMS設定プロセスオブジェクトのそれぞれとの通信を実施し、方法228によって提供される機能性を果たすためにそれらのオブジェクトのそれぞれに対して方法228を実施し得る。先に述べたように、方法228の機能性は、UTMS設定プロセスオブジェクトの中のプログラミングに位置してもよく、又はエンジン210が実行するルールデータベース212の中のルール一式によって又はルールによって定義される機能性を実施するUTMS設定プロセスオブジェクト204eの型、クラス、アイデンティフィケーション、タグ名などに基づくルールセット147、148、151、153の1つ以上のルールに基づいて定義されてもよい。
【0052】
UTMS設定プロセスモジュールに関連付けられるUTMS設定プロセスオブジェクト204eの例は、UTMS設定プロセスオブジェクト204eが関連付けられるUTMS設定プロセスモジュールの文脈内部にタグ又は固有名を有するものと、気付かれるであろう。このタグ又は固有名は、プロセスオブジェクト204eへ向かう及びから離れる通信を提供するために使用され得、ランタイムの間、実行エンジン210によって参照され得る。プロセスモジュールタグは、制御システム設定の中では固有でなければならない。このタグ規則は、プロセスモジュール208内部の素子がプロセスグラフィックディスプレイ129の他のもの、プロセスモジュール128及び更に制御モジュール136の内部の素子によって参照されることを可能にする。更にその上、UTMS設定プロセスオブジェクト204eのパラメータは、単純な値、構造化パラメータ又は予想ユニット及びそこに関連付けられる属性を識別するスマートパラメータのような単純なパラメータであり得る。スマートパラメータは、全ての信号が同じユニットで送信されている又は適切に変換されていることを確実にするために、プロセスルールエンジン又は実行エンジン210によって翻訳及び使用されることが可能である。ルールは、更に、スマート警報戦略及び/又はオペレータのインターフェイスを作り出すために、UTMS設定スマートプロセスオブジェクト(又はプロセスモジュール)のための警報の群をオン及びオフにするためにも使用することができる。更にその上、UTMS設定プロセスオブジェクトクラスは、UTMS設定プロセスオブジェクトと翻訳又はアクセスする必要があるであろうプロセス変数との間に周知のリンクを提供するために、プラント並びにプロセス制御システム100のプロセス制御戦略内部の機器及びモジュールクラスと関連付けることができる。
【0053】
UTMS設定プロセスオブジェクトは、プロセス制御グラフィックディスプレイ又はプロセスモジュールで使用される場合、動作、状況及び警報動作のモードを含むことができるので、それらのUTMS設定オブジェクトを、ランタイム時には、オフ、起動及び通常のモードのような異なるモードに入れ、現在の動作状態に基づいてオブジェクトと関連付けられる状況を提供することができる。更に、UTMS設定プロセスオブジェクトは、検出されたネットワーク状態(例えば、ネットワークトラヒックの予期せぬ増加又はUTMS設定オブジェクトでのトラヒックの型)に基づいて警報を提供し、ルールセット147、148、151、153の更新が必要となる可能性がある、UTMS設定オブジェクトと通信する別の素子のソフトウェア更新を検出し、システム100を完全に守り、ネットワーク上の既知の不具合を引き起こす攻撃及びルールセット147、148、151、153などの有効期限切れを検出するために、1つ以上のルールセット147、148、151、153にアクセスして、検出された現在のネットワーク状態をルールセット147、148、151、153の中の1つ以上のルールと比較することができる。UTMS設定プロセスオブジェクトは、更に、クラスライブラリにカテゴライズし、複合構造などにまとめて集めることができるようになるクラス/サブクラス階層を有し得る。更にその上、UTMS設定プロセスオブジェクトが、その関連付けられたエンティティがいつ使用中であるのか、又は例えばプロセス制御システム100の中のバッチ制御プロセスによっていつ取得されているのか、を認識できるようにするために、UTMS設定プロセスオブジェクトは、制御モジュール及び他のオブジェクトのような他の素子からの情報を利用することができる。
【0054】
UTMS設定プロセスオブジェクトを、更に、ポンプ、タンク、バルブなどの物理的な装置のような任意の所望のプロセスエンティティ、プロセス区域、測定又はアクチュエータ、制御戦略などのような論理エンティティ及びネットワークインターフェイスカード、ネットワークスイッチ、ルータ、ファイアウォール、コントローラ、オペレータワークステーションなどのようなネットワーク装置に関連付けることができる。幾つかの場合では、UTMS設定プロセスオブジェクトを、通信用有線及び無線データリンクのようなネットワークコネクタ、又はプロセス内でネットワークトラヒックを1つの点から別の点へ移動させる何らかの他の装置又はエンティティ、に関連付けることができる。コネクタに関連付けられ、本明細書では時としてUTMS設定リンク又はコネクタ素子として称されるUTMS設定プロセスオブジェクトは、更に、タグを付与される。
【0055】
UTMS設定プロセスオブジェクトの文脈において、UTMS設定リンクは、標準的には、プロセス制御システム100の中で様々なネットワーク接続を通過するネットワークトラヒックフローを定義する特性又はパラメータを含むであろう。それらのパラメータは、リンクを通過するネットワークトラヒックフローの型及び特質を示し得る。UTMS設定リンクは、トラヒックを評価するために、モデル又はアルゴリズムを使用してリンクを通過するネットワークトラヒックフローをモデル化する方法を更に含み得る。UTMS設定プロセスオブジェクトのために記憶されたパラメータは、それらの方法でも使用することができる。従って、本質的には、リンク又はコネクタ素子は、UTMS設定プロセスオブジェクトが他のアップストリーム及びダウンストリームオブジェクト又はエンティティを認識することができるようにする。1つの実施形態では、マトリックス214は、プロセスフローモジュールの実行より前に生成され、リンク用に、プラント内部の異なる装置間の相互接続を、ひいては、異なるUTMS設定及び非UTMS設定プロセスオブジェクト間の相互接続を定義することができる。実際、実行エンジン210は、アップストリーム及びダウンストリームエンティティを確認するためにマトリックス214を使用し得、それによって、UTMS設定プロセスオブジェクト間の通信及びUTMS設定プロセスオブジェクトと関連付けられる方法を定義する。更にその上、ルールの1つ以上のセットは、互いに情報をやり取りし、UTMS設定プロセスオブジェクトの中の方法の必要性に応じて相互からデータを取得し、出力接続と関連付けられるUTMS設定及び非UTMS設定の影響を解決するべく、UTMS設定プロセスオブジェクトによって使用されるために提供され得る。
【0056】
必要に応じて、UTMS設定プロセスオブジェクト204eは、オブジェクトの型に適用できる又はUTMS設定プロセスオブジェクト204eが関連する装置のインスタンス(クリティカリティ及びアプリケーションに応じた)によって特定され得る重要ドキュメンテーションへの、URLのような、ホットリンクを更に含み得る。ドキュメンテーションは、ベンダーから供給され、更に、ユーザー特有である。ドキュメンテーションの幾つかの実例は、設定、起動及び終了手順、操作及び保守に関するドキュメンテーションを含む。必要に応じて、オペレータは、オペレータディスプレイに表示されるオブジェクトをクリックして、オブジェクト又は関連付けられる装置用のインスタンス仕様書(ある場合には)及び一般的ドキュメンテーションを呼び出すことができる。更に、オペレータは、保守要求、作動問題の記録などのようなシステムソフトウェアのドキュメンテーションを独立して追加/削除/変更することが可能であり得る。更に、それらのホットリンクは、オペレータのインターフェイスで知識リンクをオブジェクトに追加する能力を提供するために、オブジェクトに関連付けられる適切な情報まで迅速なナビゲーションを提供するために、更に、顧客に特有の作業指示を、特定のオブジェクトタイプに、又はオブジェクトの特定のインスタンスにさえも追加する能力を提供するために、ユーザーによる設定又は変更が可能であり得る。
【0057】
プロセスモジュール及びプロセスグラフィックは、異なるUTMS設定プロセスオブジェクトの相互接続によってまとめて作成されると先に述べたが、それらは、別々に生成されてもよい。例えば、プロセスグラフィックは、UTMS設定プロセスオブジェクトを使用して作成され、完成すると、そのグラフィックのプロセスモジュールは、グラフィック素子及びグラフィックディスプレイ内の相互接続に基づいて生成され得る。或いは、プロセスモジュールは、UTMS設定プロセスオブジェクトを使用して最初に作成され、作成された時点で、プロセスモジュールのためのグラフィックディスプレイは、プロセスモジュールを作成するために使用されるUTMS設定プロセスオブジェクトのグラフィックディスプレイ素子を使用して、設定アプリケーション38によって自動的に生成され得る。更にその上、プロセスモジュール及びグラフィックディスプレイは、別々に作成されてもよく、それら2つのエンティティ内部の個別の素子は、互いに参照しあう(例えば、グラフィックディスプレイ及びプロセスモジュール内部の素子のタグ特性を使用する)ことによって手動でまとめて結び付けられ得る。このメカニズムを経て、UTMS設定プロセスオブジェクトは、複数のディスプレイで参照することができるようになる。いずれにしても、作成されると、グラフィックディスプレイ及び関連付けられるプロセスモジュールは、要望又は必要に応じてあちこちへと標準的にはパラメータ及び情報を通信するであろうが、それらは、独立して又は単独で作動され得る。
【0058】
UTMS設定装置及びルールセット147、148、151、153の設定は、先に述べたプルダウンメニュー230又はプルダウンメニュー232のような他の類似の選択インターフェイスからより大きいプロセス制御システム100の中で接続される特定のサブシステムを指定することに基づき得る。そのような設定の容易さは、1つ以上のルールセット147、148、151、153内部に詳細なパケットフィルター設定を提供する必要性を無くすことができる。例えば、1つ以上のUTMS設定装置を含むグラフィックディスプレイにおいて、UTMS設定装置の設定は、周辺ファイアウォールが遮断/許可するポート及びTCP又はUDPプロトコルを定義するのではなく、ドロップダウンメニュー232から保護するサブシステムを選択するだけで遂行することができる。許可する通信ネットワークを選択する能力(上記のような)に加えて、ユーザーは、誤設定及びセキュリティの低下の危険を減らしながら、各UTMS設定装置を容易に設定することができる。更に、ユーザーは、UTMS設定プロセスオブジェクト204eを使用して保護するプロセス制御システム100の区域を定義することができる。1つの実施形態では、ユーザーは、特定のUTMS設定ネットワーク装置146、149、152によって保護及び監視される区域又はサブシステムを定義するために、グラフィックディスプレイから1つ以上のプロセス制御装置及びエンティティを選択することができる。更に、セキュリティ選択肢は、選択されたサブシステム、エンティティ又はプロセス制御システムの区域に利用できる監視又は保護の型を含むUTMS設定プロセスオブジェクト204eからUTMS設定ネットワーク装置146、149、152も設定することができ、そのルールは、ユーザーが定義した区域、1つ以上の警報などを引き起こす検出された条件に対して利用することができる。勿論、上記のドロップダウンメニュー230、232以外の他の型のユーザーインターフェイスでも、各UTMS設定プロセス制御オブジェクトの設定でユーザーを支援し得る。ドロップダウンメニュー230、232又はUTMS設定オブジェクトの他の設定インターフェイスは、保護システム100に緊密に組み込まれてもよく、又は安全なウェブページ(又はUTMS設定オブジェクト204eの中で利用可能な類似した固有のページ)を介して利用されてもよい。
【0059】
UTMS設定装置に関する設定、更新、受容ルールセット更新などを目的とした上記の1つ以上のユーザーインターフェイスへのアクセス(又は関連付けられるUTMS設定プロセス制御オブジェクトを用いて保護システムへの、装置を通るアクセス)は、装置の固有の部分である内蔵された2因子認証モジュールを用いて保護され得る(即ち、方法228などの1つとして、UTMS設定装置内部の機密EEPROM又は機密IC内部のコンピュータ実行可能命令として記憶された認証方法)。或いは、2因子認証方法は、先に述べたように、設定装置アプリケーション200であってもよい。認証方法は、更に、オペレータ及び他のユーザーアクセスのために、システム100から生まれたユーザー認証に組み込むことができる。例えば、UTMS設定装置及びプロセス制御システム100は、共に、共通の、ユーザーサービスにおける遠隔認証ダイアル(RADIUS)認証サーバーを利用し得る。幾つかの実施形態では、RADIUSサーバーは、UTMS設定装置に組み込まれる。他の実施形態では、認証方法は、トークン、スマートカード、及び他の既知の2因子方法を含んでもよい。
【0060】
概括的に述べれば、一式の所定のグラフィック素子は、ユーザーが、プロセスプラント及びプロセス制御システム100を概括的に映し、先に述べたように、UTMS設定装置の視覚的な表現を含む、プロセスグラフィックディスプレイを構築することを可能にするために、設定アプリケーションに提供され得る。それらのディスプレイは、オンライン測定及び制御システムと連動するアクチュエータを動的に示すように設計されたグラフィックディスプレイ素子を有しているので、結果的に、オペレータ又はオンライン作業に従事する他の人員によって標準的に監視及び利用される情報を提示することができる。UTMS設定素子を表現するグラフィックディスプレイ素子は、オンラインネットワークセキュリティ測定を動的に示し得る。各グラフィックディスプレイ内部のUTMS設定素子は、例えばUTMS設定素子の現在の作業状態、検出されたネットワーク状況(例えば、ネットワークトラヒックの予期せぬ増加又はUTMS設定オブジェクトでのトラヒックの型、ネットワーク上の既知の不具合を引き起こす攻撃の検出など)に基づく警報、UTMS設定オブジェクトなどと通信するプロセス制御システム100の別の素子又は装置の更新(例えば、ソフトウェア、ファームウェア、既存の設定など)の検出を動的に示し得る。或る種のネットワーク条件を検出すると、更に、ルールセット147、148、151、153の自動更新又はユーザーにルールセットの手動更新又はシステム100を完全に守るために別の動作を促す警報を引き起こし得る。
【0061】
オンライン測定及び制御システム100及びシステム100のUTMS設定素子のネットワークパラメータと連動するアクチュエータに加えて、プロセス動作を反映する制限の無いパラメータ及びネットワーク健康を反映する制限の無いパラメータ又はセキュリティは、UTMS設定プロセスモジュールに提供されるオンラインプロセスシミュレーションを使用して計算され得、関連付けられるグラフィックディスプレイの一体化部分として示され得る。それらの及び他の方法では、プロセスグラフィックディスプレイは、技術人員、管理者及びプロセス制御ネットワーク専門家のようなオペレータ以外のプラント人員によって標準的には監視及び利用される情報を提供し得る。
【0062】
更に、技術又は訓練シミュレーション目的で使用され得るオフライン環境において、UTMS設定プロセスモジュールによって提供されるプロセスシミュレーション値は、実際のプロセス、及びグラフィック素子及び関連付けられる制御モジュールによって他の方法で提供されるネットワーク測定値、の代わりに使用され得る及び/又は表示され得る。関連付けられるプロセスモジュール又は第三者シミュレーションアプリケーション(例えば、HYSYS)によって計算され得るそれらのシミュレーション値は、ユーザー固有の外乱設定又はプロセスグラフィックディスプレイ及びそれらの個別のグラフィックディスプレイ素子を用いて確立される及びプロセスグラフィックディスプレイ及びそれらの個別のグラフィックディスプレイ素子で描かれる値に加えて、実際のプラント設定(例えば、アクチュエータ場所又は状態、ネットワーク設定又は状態、ルールセットなど)に基づき得る。そのために、プロセスグラフィックディスプレイのオフライン表示用にカスタマイズされたプロセスグラフィックディスプレイのコンテンツ層は、生成され、例えば訓練文脈で利用可能となり得る。
【0063】
より一般には、プロセスグラフィックディスプレイは、複数の異なる型の人員によってオンライン又は制御状況、及びオフライン又は訓練状況、の両方を含む様々な文脈で使用され得る。このために、各プロセスグラフィックディスプレイは、それらの異なる文脈、状況及び人員に専用の複数のコンテンツ層を有し得る。それらの専用コンテンツ層は、同じ1つのオブジェクト又は複数のオブジェクトが全ての異なるコンテンツ層を生成するために必要な情報にそれをもって関連付けられるという意味では、それらを定義するために使用されるオブジェクトの組み込まれた一部である。結果的に、1つのプロセスグラフィックディスプレイのコンテンツ層は、設定エンジニア、ITネットワークセキュリティ専門家又はそれぞれの表示に別々のディスプレイを作成する他の設計人員を必要とせずにカスタマイズされた表示を提供する。
【0064】
概括的にいえば、グラフィックディスプレイは、プロセス制御システム及びプロセスプラントを反映する。各ディスプレイ内部のグラフィックディスプレイ素子は、オンライン測定及び制御システムと連動するアクチュエータを動的に示すように設計されるので、結果的にはオペレータ又はオンライン作業に従事する他の人員によって標準的に監視及び利用される情報を提示することができる。更に、プロセス動作を反映する測定されないパラメータは、プロセスモジュールで提供されるオンラインプロセスシミュレーションを使用して計算され得、関連付けられるグラフィックディスプレイの不可欠な部分として示され得る。その様な及び他の方法では、プロセスグラフィックディスプレイは、技術人員又は管理者のような、オペレータ以外のプラント人員によって標準的に監視及び利用される情報を提供し得る。UTMS設定ネットワーク装置134、146、149、152を示すディスプレイ内部のグラフィック素子は、プロセス制御システム100のネットワークセキュリティを監視及び保守するために、ネットワークパラメータ及びセキュリティデーを(先に述べたように)オペレータ及び他のプラント人員に提供する。
【0065】
先に述べたように、UTMS設定ネットワーク装置146、134、149、152に関連付けられる様々なルールセット(例えば、ルールセット147、148、151、153)は、ネットワーク脅威に対して実行的であり続けるために更新を必要とする。図3に示すように、カナダ ブリティッシュコロンビア州 VancouverのWurldtech Security,Inc.のような第三者の、サイバーセキュリティ危険管理会社305、又は他のエンティティは、様々なルールセット147、148、151、153を構築し、ルールセットを有効にし、ルールセットを検証し、UTMS設定ファイアウォール146a、146b、UTMS設定ネットワークアクセス装置149c、他のUTMS設定ネットワーク装置146及び/又はUTMSフィールド装置134に配布するために、複数の様々なソース315から脅威データ310を集め得る。ルールセットの収集、構築、有効化及び配布は、電子データを使用するそのような動作を実行するのに適切な何らかの型の情報技術方法を使用して実行され得る。例えば、その方法のいくつかは、様々なデータ収集技法(例えば、ロボット、クローリング、データフィード、協調フォーラムなど)を使用し、ワールドワイドウェブから脅威データ310を集める工程と、ルールセットを装置に準拠した方法でそれらの宛先装置へ運ぶためにデータファイルを構築する工程と、ルールセットが所望の方法(例えば、シミュレーション又は他の試験方法)でプロセス制御システムを有効的に守っているか否かを判定するためにコンピュータ実装アルゴリズムを実行する工程と、ルールセットを安全なインターネットインターフェイス又は他の適切な方法を介してUTMS設定エンティティに配布する工程と、を含み得る。
【0066】
既知の脅威データ310を集める工程に加えて、プロセス制御システム100は、領域固有情報320を元の会社305へ送信し得る。例えば、領域固有情報は、システム100の微細構成(即ち、ポンプ、タンク、バルブなどを含むシステム100の物理的装置の型の製造業者、モデル、状態、ソフトウェア/ハードウェアバージョンなど)、プロトコル及び他のネットワーク150インフラストラクチュア情報、各物理的装置のソフトウェアバージョン、ネットワーク装置及びUTMS設定装置などに関係情報を示すデータを含み得る。会社305は、その後、プロセス制御システム100から送信された領域固有情報を使用して、(可能性のある特定可能な脆弱性のほんの数例を挙げると)何らかの装置、サブシステム又はソフトウェアプログラムにおけるネットワーク脆弱性を連続的に特定するべく、領域固有ロバスト性試験ツールを構築するために様々な分析技法を使用してもよい。会社305は、その後、試験ツールによって実行された分析結果を特定のシステム脆弱性を識別する収集に統合してもよい。収集は、特定の脆弱性のセキュリティの危険性、起きる可能性のある脆弱性に起因するネットワークセキュリティの侵入の危険、度重なるネットワーク侵入の可能性を含む幾つかの因子に基づいてカテゴライズ化及びソートされ、優先順位が付与され得る。それらの既知の脆弱性のそれぞれは、その後、軽減又は様々なルールセット147、148、151、153のルールに翻訳され得、会社305は、UTMS装置更新の形態で、継続した修復更新サービスをシステム100に提供し得る。この方法では、新しい装置又はコードアプリケーションがシステム100に導入される毎に、何らかのバグ又は他の脆弱性にさらされることが減少する又は無くなる。
【0067】
各ルールセットは、既知の署名、ポリシー又はプロセス制御システム100に対するネットワークに根差す脅威の特性を表現する他のルールを含むデータファイルであり得る。ルールセットは、プロセス制御システム100の各部分に対してネットワーク150への内部及び外部アクセスの両方を制御するように設定され得る。UTMS設定ネットワーク装置134、146、149、152は、(先に述べたような)プロセス変数として設定されるので、ルールセット148、147、151、153は、オペレータ又はワークステーション120のグラフィックディスプレイ129からの他の人員によって設定変更することが可能であり得る。例えば、プロセス制御システム100の様々な特性(例えば、プロセス制御システム100内部のUTMS設定装置の数及び型、ルールセットによって保護されるシステム100の特定のサブシステム、エンティティ又は他の部分に対するネットワークセキュリティの重要性又は「感度」、外部ネットワーク攻撃の尤度など)に基づいて、ユーザーは、プロセス制御システム100の何らかの部分のネットワークセキュリティを個別に設定及び管理することができる。幾つかの実施形態では、ユーザーのグラフィックディスプレイは、システム100に配布されるルールのサブセットを採用する複数の事前設定された「ネットワークセキュリティプロファイル」を含み得る。プロセス制御システム100の又は他の因子によって実行されるプロセスの感度に応じて、ユーザーは、ネットワークセキュリティの必要性及びシステム100の連続的な動作を最良に調和させるプロファイルを選択することができる。ルールセットが、周辺UTMS設定ネットワーク装置によって受信される場合、装置は、受信したルールセットの中でどのルールがプロセス制御システムのどのサブシステムに適しているのかを判定する。周辺装置は、その後、決定されたルールをサブシステム内部の適切な装置へ配布し得る。それらのサブシステムは、今度は、ルールのより小さいセットを更に決定し、サブシステム内部に配布し得る。よって、選択されたプロファイル又はポリシーは、プロセス制御システムのネットワークセキュリティの必要性に従って、1つ以上のルールセット147、148、151、153内部の全ルール数のサブセットを実行する。警報は、更に、特定の選択されたプロファイルが、検出されたトラヒック、システム100の状態、プロファイルが作動する時間の長さなどを、これらに限定するわけではないが、含むネットワークの静的及び動的状態に照らしてセキュリティに適しているか否かをユーザーに示し得る。実施される選択されたプロファイルの時間を制限するために、警報に関連付けられるタイマーが、初期設定で設定され得る、又はユーザーによって設定され得る。それぞれのタイマーは、選択されたプロファイルの剛性及び保護エンティティ又は装置の感度に応じた初期設定を含み得る。例えば、ユーザーが緩やかなセキュリティポリシーを選択する、特に敏感に反応するプロセスは、警報が示される前の短期間だけ有効であり得、一方で、ユーザーが厳格なセキュリティポリシーを選択する、特に安全なプロセスは、中間的な期間有効であり得る。
【0068】
ルールセット147、148、151、153のそれぞれは、検出された場合、疑わしい悪意のある通信を遮断する又は先に述べたように、1つ以上のグラフィックディスプレイの中で表示する警報を通じてオペレータ又は他のプラント人員に警告する、いくつかの組み合わせを実施する状態を定義し得る。更に、各オペレータは、それぞれのオペレータディスプレイから直接的に、ルールセット更新の統合制御を有し得る。管理の許可を有さないオペレータに対しては、第2の又は管理の認証が、ルールセットの更新(例えば、上記の2つの因子認証プロセス)を実施することができるようにされ得る。
【0069】
幾つかの実施形態では、UTMS設定ファイアウォール146a、146b、UTMS設定ネットワークアクセス装置149c、他のUTMS設定ネットワーク装置146及び/又はUTMSフィールド装置134は、更に、様々なルールセットを構築、有効化及び検証するために(図3の脅威データ310を配信するための点線の通信回線によって示されるように)、会社305又は複数のソース315から直接的に脅威データ310を集め及び統合するように設定され得る。更に、周辺UTMS設定装置146、149(即ち、プロセス制御ネットワーク150の外側に置かれるそれらのUTMSエンティティ)は、プロセス制御システム100の中の全ての様々な内部UTMS設定装置に対するルールを含む第三者ソース305からルールセットを受信し得る。単数又は複数の周辺装置は、その後、先に述べたように、内部UTMS設定装置又は装置の様々な群に対する個別のルールセットをアルゴリズム的に得て、より小さいルールセットを単数又は複数の周辺装置146、149aから内部装置134、152へ送信する又は得たルールセットをネットワークプロファイルへ配置し得る。ソース315は、単数又は複数のプロセス制御ネットワーク150のセキュリティに対する潜在的な及び既知の脅威を監視、定義及び分析することによって脅威データ310を作成し得る。例えば、(ファイアウォールルールセットデータのソースをほんの数例挙げると)Assurent Secure TechnologiesのVulnerability Research Service(VRS)、Carnegie Mellon UniversityのComputer Emergency Response Team(CERT)、Secunia、エンドユーザー調査及び監視からのデータ、及びAchilles(登録商標)認定製品ユーザーからのデータを集約し得る。
【0070】
或いは又は上記の様々なルールセットの実装に加えて、システム100外部のネットワークトラヒックは、適切なセキュリティを保証するために、特に高感度なプロセス(例えば、原子力発電所、地方自治体のサービス、公衆通信システムなど)の間には、選択的に有効化及び無効化される必要があり得る。例えば、1つ以上のネットワークセキュリティのプロファイルは、上記のように、プロセス制御システム100エンティティの何れかの間の通信を選択的に有効化又は無効化するソフトウェア方法を提供するために実装され得る。更に、図4から図12に示すように、UTMS設定ネットワークアクセス装置149(図1a及び図1b)のようなネットワークアクセス装置は、機能していない、不調の又は柔軟性に欠けた設定のネットワーク装置周辺のネットワークトラヒックの経路を変更するために、バイパス制御が選択的にプロセス制御ネットワークの内部又は外部のエンティティへのネットワーク接続をオン及びオフにするための解決策をオペレータに提供し得る。オペレータのワークステーション及びバイパス選択された制限的装置の中のグラフィックディスプレイから様々なネットワーク接続を選択的にオフ及びオンにするために、当該UTMS設定ネットワークアクセス装置149及びUTMS設定プロセスオブジェクト204eが関連するUTMS設定ネットワークアクセス装置149の表示に関連付けられるユーザーインターフェイスを用いる。
【0071】
先に述べたように、UTMS設定ネットワークアクセス装置149は、制御システム100の固有部分であり、ユーザーは、装置149の表現を含むプロセス制御システム100のグラフィックディスプレイを使用して装置149を設定することができる。図4に示すように、この装置149は、サイトとインターネットの、及び図5に示すようにサイト間の、又は図6に示すようにサイト内部で(即ち、プラントの区域又はユニット間の)ネットワークアクセスを制御するために、オペレータ又は他の認証された人員によって使用され得る。更に、図7に示すように、UTMS設定ネットワークアクセス装置149は、ファイアウォールルール147を修正する又は先に選択されたネットワークセキュリティプロファイルを変更する必要無く、安全性の低いアクセス(即ち、技術的な支援、保守など)を受け入れるために装置149のアップストリームにあるファイアウォール146を一時的にバイパスする目的で使用され得る。例えば、DeltaV(登録商標)SISのような、プロセス制御システムの一体型安全システムの中で、UTMS設定ネットワークアクセス装置149は、安全システムを制御システム100から切断する(図6のように)ためにも使用することができる。
【0072】
プロセス制御システム100の中で選択された他の装置をバイパスするように設定されたUTMS設定ネットワークアクセス装置149は、制御システム100の固有の部分であり、UTMS設定ネットワークアクセス装置149及び他の接続された装置の状態は、プロセス制御システムに組み込まれ得る(即ち、UTMS設定ネットワークアクセス装置の状態は、プロセス変数になる)。よって、装置の状態は、作業用ディスプレイから見ることができ、制御システムの履歴収集部145に履歴が残され、プロセス警報の中で使用され得る。ネットワーク接続がオン状態のままである、又は設定された期間より長く有効な状態が続くプロファイルである場合、警報が発せられ得るので、UTMS設定ネットワークアクセス装置149のそのような状態及び他のパラメータを警報と一体化して使用すれば、ネットワーク150の監視能力を高めることができる。UTMS設定ネットワークアクセス装置149は、更に、開放接続、プロファイル又は他のパラメータに設定された期間に達すると、接続又は他のパラメータを自動的に切断するように設定され得る。従って、オペレータは、時間枠、選択した異なるプロファイル又は他のパラメータを再設定する機会をオペレータに与える目的で、接続が切断される前に警告を受けることができる。更に、危険防止設定は、プロセス制御システムとの通信が喪失している又は他の状態の間、外部接続を解除することができる。
【0073】
UTMS設定ネットワークアクセス装置149が、プロセス制御システム100の中で使用される時に用いることのできる異なる型のネットワーク接続が存在し得る。例えば、一時的な接続、通常有効な接続及びバイパス接続は、UTMS設定ネットワークアクセス装置149と共に使用し得るが、プロセス制御システム100の中の他の型の接続をそのように設定してもよい。一時的な接続は、サイト又はシステムとインターネット間の接続(例えば、顧客サポート)、サイト又はシステムと企業本部間の接続(例えば、バックアップ、履歴、アーカイビング)、及びサイト又は様々なシステム間でのデータ又は製品移動時に必要とされる複数のサイト間の接続を、これらに限定するわけではないが含む。通常有効な接続は、複数のシステム(例えば、サブシステム105及び105b)に広がる又は制御システム100の中の個別の素子、ユニット又は装置間(プロセス制御システム100と関連する安全システム間の接続)の制御戦略を、これらに限定するわけではないが含む。
【0074】
バイパス接続では、UTMS設定ネットワークアクセス装置149は、ファイアウォール146を通過する通信を続ける目的でファイアウォール146又は他のネットワーク装置を一時的にバイパスするために使用され得る。バイパス接続は、ネットワーク装置又はファイアウォールルール147に不具合が存在する、又は選択されたルールセットプロファイルが既知の安全な通信にとって過度に制限的であるように設定される時に必要とされ得る。商業的に入手可能なバイパス装置は、バイパスを実行することを決定するために、バイパスされたリンク又はネットワーク装置の健康を監視し得るが、UTMS設定ネットワークアクセス装置149は、監視以外の機能を果たし得る。特に、UTMS設定ネットワークアクセス装置149は、プロセス制御システム100に組み込まれ、(上記のように)オペレータのグラフィックディスプレイの中に示されるので、警報は、バイパス機能を自動的に制御するように設定され得、オペレータはオペレータディスプレイからバイパス機能を直接的に制御し得る。
【0075】
図8に示すように、バイパスUTMS設定ネットワークアクセス装置800の1つの実施形態は、ネットワークコネクタ(例えば、銅、光又は他のコネクタ)の第1の型及びネットワークトラヒックを直接的にフィールド装置130、133、134へ又は制御アプライアンスへ送るためのネットワークコネクタの第2の型を含む。IN1接続802a及びOUT1接続802bは、バイパスUTMS設定ネットワーク装置800から通常有効な接続のためのコネクタを表わす。IN2接続804a及びOUT2接続804bは、一時的な接続のためのコネクタを表わす。バイパスUTMS設定ネットワークアクセス装置800の作動は、通常有効な接続を解除するためにIN1/OUT1接続802a/802bを中断させ得る。バイパスUTMS設定ネットワークアクセス装置800の作動は、更に、別のネットワーク装置(例えば、先に述べたようなファイアウォール146)をバイパスするべく一時的な接続を作るためにIN2/OUT2接続804a/804bを係合させ得る。幾つかの実施形態では、マイクロコントローラ812の中のバイパスモジュール813は、本明細書で示すように、バイパス機能を実行する一連のコンピュータ実行可能命令を含むコンピュータ可読メモリを含み得る。他の実施形態では、バイパス機能は、ユーザーによって手動で実行され得る。OUT1/IN2802b、804aのセットを、バイパスされるネットワーク装置に接続することによって、IN1接続802a及びOUT1接続802bの接続のセットは、ネットワーク装置を通る通信を送ることができる又はバイパスUTMS設定ネットワークアクセス装置800が作動する時、同じネットワーク装置の周辺でネットワーク通信をバイパスすることができる。第2の型のコネクタ、例えばCTRLコネクタ806は、一対のワイヤ又は他の型のコネクタを、UTMS設定ネットワークアクセス装置149から直接的にフィールド装置130、133、134へ又は制御アプライアンス808を通ってフィールド装置へ接続し得る。制御アプライアンス808は、フィールド装置130、133及び134をプロセス制御システム100のコントローラ110と通信可能に結合する。幾つかの実施形態では、制御アプライアンス808は、I/Oモジュール又はI/Oカード140のようなI/O装置、別個の出力キャラクタリゼーションモジュール(CHARM)又はAustin TexasのFisher−Rosemount Systems, Inc.によって生産される終了モジュールである。そのようなI/O装置及び終了モジュールは、Burr他による米国特許出願番号第11/533,259号「フィールド装置をプロセス制御システムのコントローラへ通信可能に結合する装置及び方法」に記載され、同特許の全体を参考文献としてここに援用する。図9で示すように、I/O装置808は、米国特許出願第11/533,259号で記載されるように、I/O装置内部の回線異常検出機構を介して別個の信号を装置へ送信し、状態情報を受信するために使用され得る。或いは、インテリジェント通信方法は、I/O装置及びフィールド装置の間で利用され得る。例えば、インテリジェント通信方法は、バイパスUTMS設定ネットワークアクセス装置800を所望の状態(即ち、接続された又は接続されない)にするために使用される信号のレベルを用いて状況(例えば、通信状況は、通信中又は通信中ではないか否か)を通知するHART信号であり得る。
【0076】
更に、バイパスUTMS設定ネットワークアクセス装置800は、図9で示すように、I/O装置及び808に接続され得、I/O装置808は、心拍の役割を果たすべく、パルス出力を刻々とバイパスUTMS設定ネットワークアクセス装置800へ送信し得る。バイパスUTMS設定ネットワークアクセス装置800が或る期間心拍を受信しない場合、設定された安全装置値(例えば、一時的な接続の解除、全ての接続の解除、警報の作動など)へ自動的にデフォルト設定され得る。この心拍は、別個のI/O装置808から開始され得る又はオペレータワークステーション120及びI/O装置808の間のリンクがまだ変わることなく有効であることを保証するために、オペレータワークステーション120から自動的に開始され得る
【0077】
図8及び図10に示すように、バイパスUTMS設定ネットワークアクセス装置800は、銅又は他の型のアナログコネクタ用のリレー810(図8)又は光ファイバーコネクタの送信器及び受信機1010への電力制御リレー(図10)によって有効にされる又は直接的に無効にされる通信を有し得る。例えば、バイパスUTMS設定ネットワークアクセス装置800は、2つのネットワークポート及び制御回路構成812、1012だけ(又はバイパスの機能性が必要でない場合には4つのポート、2つに対して1つの装置)を含み得る。2つのネットワークポートを用いて、接続は、光ファイバー接続用の光リンク回路構成1010への電力供給をオフにすることによって有効又は無効にされ得る。光ファイバー送信器1010は、マイクロコントローラ1012のピンから直接的に電源遮断され得る、又は通常のソースから電源を供給され得、マイクロコントローラ1012は、図8に示すものと同様に、リレーを使用して電源をオン又はオフにすることが可能である。どちらの場合でも、バイパスUTMS設定ネットワークアクセス装置800は、I/O装置を通って制御アプライアンス902へ接続され得る。
【0078】
別の実施形態では、バイパスUTMS設定ネットワークアクセス装置は、それ自体がI/O装置であり得る。図11及び図12に示すように、UTMS設定I/O装置又はネットワーク制御I/O装置(NCC)1108は、イーサネット(登録商標)、シリアル又は他の型のリンクに物理的に接続する又は接続を切るためにオンーオフスイッチを含み得る。それらの1つ以上は、制御アプライアンス902の下で従来式のI/O装置808に隣接して取り付けることが可能である。NCC1108は、従来式のI/O装置808のように同じ通信バスで制御アプライアンス902へ通信し得る。
【0079】
周辺UTMS設定装置146、149、内部UTMS設定装置134、152及びバイパスUTMS設定ネットワークアクセス装置800は、制御システム100を好ましくないアクセス及び/又は悪意のある攻撃から監視及び/又は保護するために任意の数の追加のルール表を含み得る。例えば、UTMS設定プロセスオブジェクト204e(図2)は、ルールセット147、148、151、152及びプロセス制御システムのネットワークセキュリティ内部の任意のルールを設定及び制御するために、ユーザーが1つ以上のユーザーインターフェイスにアクセスすることを可能にする。図13に示すように、プロトコルルール表1300のようなルールセットユーザーインターフェイスは、UTMS設定プロセスオブジェクト204eを介してアクセスされ得、プロトコル型カラム1302、フロムアドレスカラム1304、閾値パラメータカラム1305、トゥアドレスカラム1306、ポート番号カラム1308、動作カラム1310、説明カラム1312及びログカラム1314を含む。例示のプロトコル型カラム1302のプロトコル型は、UDP、TCP、ICMP、HART及び/又はSCPIを、これらに限定するわけではないが、含み得る。フロムアドレスカラム1304及び/又はトゥアドレスカラム1306のアドレスは、所与のプロトコル型に関連付けられる1つ以上のアドレスに対応し得る。例えば、TCP、UDP及びICMPプロトコルは、IPアドレス(例えば、IP v.4、IP v. 6など)を標準的には採用し、SCPI及び/又はGPIBに関連するプロトコルは、異なる書式の1つ以上の装置アドレスを含む。
【0080】
UTMS設定プロセスオブジェクト204eは、更に、カスタマイズされたルールプロファイル232(図2)及びプロセス制御装置の製造業者によって生成されたアクセスルールプロファイルを作り出すために、ルールセット147、148、151、152へのアクセスを許可する。その様なプロファイル232は、プロセス制御及び特定の製造業者による試験、測定装置を採用するユーザーにとって標準的に共通である、ファイアウォール設定を反映するために生成され得る。ユーザーは、プロファイルドロップダウンセレクタ232(UTMS設定オブジェクト240eに対するユーザーインターフェイスにアクセスする場合)又はプロファイルドロップダウンセレクタ1316(ルールセットインターフェイス又は表1300にアクセスする場合)を介してプロファイルを読み込むことを許可され得る。セレクタ232又は1316の何れかは、ロードボタン1318を含み得る。しかしながら、ユーザーが例えば特定の制御システムトポロジー、プロセス制御システムによって制御されるプロセス(例えば、原子炉、公共施設、危険又は有害なプロセスなど)の感度に基づいて、1つ以上のプロファイルをカスタマイズすることを望む場合には、プロトコルルール表UI1300内の1つ以上のユーザーによる選択可能な選択肢が、所望のカスタマイズ化を可能にし得る。カスタマイズされたプロファイル設定は、例示のプロファイル名フィールド1320及び対応する保存ボタン1322に入力される独自のプロファイル名で保存され得る。
【0081】
動作中、例示の列選択カラム1324によって示されるように、対応する列セレクタが働いている場合、例示の表1300の各列は、ルールを実行する。第1の例示の列1326は、対応する列セレクタ1328によって作動される場合、アドレス10.4.0.0に関連付けられる装置から、ポート番号1815を含むアドレス232.108.116.118に関連付けられる装置へのUDPプロトコルパケットを監視するルールの実施をもたらす。その様に検出された通信に対して、例示の第1の列1326は、その様な通信の活動を受け入れるが、その様な通信の活動のロギングを必要としない。第1の列1326の例示ルールがIPバージョン4アドレスを採用する間、IPバージョン6、ハードウェア固有のアドレス(例えば、GPIBデバイスアドレス)、及び/又はドメイン名サーバーに対して参照され得る人間可読アドレスを、これらに限定するわけではないが、含む任意のアドレススキームが採用され得る。例示の第1のルール1326が「受け入れ」動作を指定する間、他の動作は、遮断、通知及び/又は経路変更を、これらに限定するわけではないが含み得る。
【0082】
図13の図解される実例では、第1の列1326は、閾値カラム1305によって課せられる制限無しでフロムアドレス及びトゥアドレスの通信を許可する。言い換えれば、第1の列1326の閾値フィールド1329は、「N/A」に設定されるので、列1326に残存するエントリに従うネットワークトラヒックは、量、大きさ又はカラムエントリによって課すことができる他の閾値によって制約されない。第2の実例の列1330は、ポート番号18519を有し、IPアドレス「A」(例えば、10.4.0.0)からIPアドレス「B」(例えば、232.108.116.118)までのTCP通信を監視するように設定される。ポート番号18519のネットワークトラヒックの量が1時間当たりxメガバイトより少ない限り、ネットワークトラヒックは、受け入れ可能である。しかしながら、閾値を上回ると、ログが生成され、通信は閾値を違反するために停止される。他方では、アドレス「A」からアドレス「B」への通信は、例示の第2の列1330に示される設定(即ち、「n/a」以外の閾値設定)によって制限されるが、第3の例示のルール列1332は、同じ2つのアドレスの間に、逆方向であるが、別のルールを規定する。言い換えれば、アドレス「A」から始まりアドレス「B」までに関連付けられる通信は、相対的に制約されるが、アドレス「B」から始まりアドレス「A」までに関連付けられる通信は、制限なしに発生し得る。
【0083】
例示の表1300は、特定のルールを設定する際に比較的に大きい柔軟性を提供するが、図14の例示の設定ウィザード1400GUIは、周囲のUTMS設定装置146、149、内部UTMS設定装置134、152及びバイパスUTMS設定ネットワークアクセス装置800の簡易化した設定を可能にする。例示の設定ウィザード1300は、ユーザーが、質問に答える及び/又はユーザーに対する簡単な質問に関連付けられたチェックボックスを選択することで、改良された実効性を備えた制御システムを設定する機会を、標準的なネットワーク保護についての限定的な知識しか有していないユーザーに提供することになる。更に、制御システム100、システム100内部の特定の装置、機器製造業者などである質問スクリプトが生成され得る。図14の図解される実例では、第1のチェックボックス1402は、製造業者Alphaに関連付けられ、第2のチェックボックス1404は、製造業者Betaに関連付けられる。顧客/ユーザーが製造業者Alphaに関連付けられるチェックボックスを選択すると、製造業者Alpha製機器を使用するプロセス制御システムに特有のプロンプト及び質問を生成することができる。
【0084】
ユーザーは、更に、周辺UTMS設定装置146、149、内部UTMS設定装置134、152及びバイパスUTMS設定ネットワークアクセス装置800のそれぞれを通過するネットワークトラヒックを操作することによって、プロセス制御システム100のネットワークセキュリティを設定することが可能である。幾つかの実施形態では、ユーザーは、受信される又はUTMS設定装置から送信されるトラヒックの型を制限する1つ以上のGUIを通るシステム100のネットワークセキュリティを操作することができる。更に、ユーザーは、プロセス制御システム100の様々な区域又はサブシステムによってネットワークトラヒックを制限することもできる。
【0085】
図15に示すように、ユーザーは、プロセス制御システム100に対するUTMSセキュリティ情報を表示するシステムセキュリティUI1500にアクセスし得る。例えば、システムセキュリティUI1500は、UTMS設定ファイアウォール、装置146、149に関連する情報を表示し得る。表示される情報は、ファイアウォールに関連する異なる型の通信1506用の活動のインジケータ1502及び状況のインジケータ1504を含み得る。活動のインジケータ1502は、何らかの種類の値、グラフ、グラフィック及び通信1506の型に対応するUTMS設定装置1508(例えば、ファイアウォール146、149、内部UTMS設定装置134、152及びバイパスUTMS設定ネットワークアクセス装置800)でのネットワークトラヒックの量をユーザーに示す同等のものを含み得る。幾つかの実施形態では、活動インジケータ1502は、左から右へ1つの色から別の色へ(例えば緑から赤へ)推移する色分けされたバーを含み得る。色分けされたバー型活動インジケータ1502の長さは、通信型1506に対応するネットワークトラヒックの量に対応する。活動インジケータの許容長は、対応する型1506のネットワークトラヒックの量に対する許容閾値1510に対応するように設定され得る。許容閾値1510は、特定のUTMS設定装置1510に対応するルールセット147、148、151、152内部のルールの1つ以上によって設定され得る又はユーザーによって設定され得る。例えば、ルールは、所与の時間に亘るネットワークトラヒックの特定の量だけを許可し得る。許容閾値1510は、その後、その特定の量を自動的に示すように設定されるであろう。システム作動中、左から右へ短い距離だけ伸張する活動インジケータ1502は、緑であり得、ファイアウォール146、149でのネットワークトラヒックの低い値の量を示し得、ディスプレイ内で許可される距離のほとんど全部だけ伸張する長い活動インジケータ1502は、赤であり得、ルールセット147、148、151、152内部のルール又はユーザーによって主導で自動的に設定される許容閾値に近いネットワークトラヒックの高い値の量を示し得る。状況インジケータ1504は、装置1508の対応する通信型1506は、機能するか機能しないかを示し得る。追加的状況情報は、システムセキュリティUI1500から状況インジケータ1504又は他の項目を選択することによって通信1506の対応する型に対して利用することができる。
【0086】
更に、システムセキュリティUI1500は、一般にはネットワーク150、135、厳密には1つ以上のUTMS設定装置についての情報を含み得る。例えば、システム100は、第1のネットワーク及び単数又は複数の第1のネットワークに対するバックアップとしての機能を果たす1つ以上の第2のネットワークを含み得る。各ネットワークは、ネットワーク内部の様々な区域へ入る及びそこから出るネットワークトラヒックを制御するUTMS設定スイッチを含み得る。システムセキュリティUI1500は、UTMSスイッチがロックされている1512であるか又はロックされていない1512であるかを示すことができるので、かくして、デフォルト設定又はユーザー定義設定に準じてネットワークの各部分を守る。システムセキュリティUI1500は、トラヒックの量及び許可されたネットワークトラヒックの量に対する閾値レベルを使用して、全体としてネットワークの通信レベル1514の表示を示し得る。幾つかの実施形態では、グラフィック表示は、先に述べたような色つきバーである。通信レベルに加えて、システムセキュリティUI1500は、状況1518のログ又は様々な型のシステムユーザー(例えば、オペレータ、エンジニア、管理者、遠隔ユーザーなど)用の他の情報を含み得るシステム100のための通信状況1516を表示し得る。システムセキュリティUI1500は、ワークステーションアンチウイルス及び作業システムセキュリティ更新1520、最新のルールセット更新の表示又は他のネットワークセキュリティ情報を含む他の型のネットワーク情報を表示し得る。
【0087】
ネットワークトラヒックは、トラヒックの特有の特性によって分類され得、ユーザーは、ユーザーインターフェイスにアクセスし、分類によってシステム通信を設定することができる。例えば、ユーザーは、システム100の中の様々な型の通信を選択的にオフ及びオンにすることができる。幾つかの実施形態では、ネットワークトラヒックは、感度又はセキュリティ懸案事項の増加に伴って1つ以上の「レベル」で分類され得る。図16に示すように、ネットワークトラヒックの型は、「レベル3」(又は他のレベル)で分類され得、ユーザーは、その様な「レベル3」に分類されたネットワークトラヒックを管理するために装置に通信可能に接続されるレベル3通信UI1600を用いてシステム100のUTMS設定装置を選択的に設定し得る。例えば、レベル1のネットワークトラヒックは、ネットワーク150へのローカルクライアント接続と表現され得るが、レベル3のネットワークトラヒックは、端末サーバー通信を使用する、ネットワーク150への遠隔クライアント接続と表現され得る。ユーザーは、グラフィックディスプレイからユーザーワークステーションの中のUI1600まで、又はシステムセキュリティステータスUI1500からの詳細なディスプレイとして、UTMS設定装置を選択することができる。「パニックボタン」1602は、ユーザーが、選択された型(例えば、全てのレベル3通信)に対する全ての通信をオフにし、UTMS設定装置への内向き1604及び外向き1606であるネットワークトラヒックの様々な特性を制御することを可能にし得る。「レベル3」1608と分類されるネットワークトラヒックのそれぞれの型は、UI1600を使用して有効又は無効に個別に設定することができる。更に、UI1600内部に表示されるレベル3ネットワークトラヒック1608は、図15に関連して先に述べられたネットワーク活動の表示(例えば、色分けされたバー、グラフなど)を含み得る。
【0088】
図17から図23までに示すように、ユーザーは、システム100内部の各個別のUTMS設定装置を観察し、各装置に様々な変更を行い、装置の保守を支援するために、プロセス制御システムエクスプローラーアプリケーション(例えば、DeltaV(登録商標))からの表示を更に選択することができる。図17は、システム100内部の各UTMS設定装置(周辺UTMS設定装置146、149、内部UTMS設定装置134、152及びバイパスUTMS設定ネットワークアクセス装置800など)に通信可能に接続されるUTMS装置コマンドセンターUI1700の1つの実例を図解する。UTMS装置コマンドセンターUI1700の第1のエクスプローラーペイン1702は、システム100内部の各UTMS設定装置の階層リストを含み得、様々な類似の特性(例えば、サブシステム、第1の又は第2のネットワーク、プロセスタスクなど)によってグループ分けされ得る。システム100は、先に述べたように、第1の1708ネットワーク及び第2の1710ネットワークのそれぞれの内部に1つ以上の閉鎖1704UTMS装置及び受命1706UTMS装置を含み得る。閉鎖されたUTMS設定装置1704は、物理的にはネットワーク150内部に設置されてはいるものの、システム100内部では使用可能ではない又は必要ではない装置であり得る。例えば、プロセス制御システムの一部は、廃止された又は旧式になるので、それらの旧式の部分は、選択的に閉鎖され、「オフライン」化されるので、それらは、システム100の機能部分ではないが、システム100内部に物理的にはなおも存在する。エクスプローラーペイン1702に載っているUTMS設定装置(例えば、UTMS設定装置1714)の何れかのうちの選択は、システム100内部の状態を含む第2のエクスプローラーペイン1716内部の装置1714についての幾つかの地区制を表示し得る。例えば、ペイン1716内に表示される特性は、MACアドレス、IPアドレス、ソフトウェアバージョン、装置モデル及び装置名を含む、その前の時間1718(例えば、直前の60秒間、直前の30分など)の間に評価された特性を含み得る。特性の各値1720は、各特性1718の説明1722と共に特性1718に視覚的に隣接して表示され得る。
【0089】
図18に示すように、閉鎖UTMS設定装置1704の何れかのうちの選択は、ユーザーが装置の様々な特性を見ることができ、「受命」ボタン1804を使用して、選択された閉鎖UTMS設定装置を選択的にオンラインに復帰させることができるように受命ウィンドウ1802を表示する。オンラインになると、再受命UTMS設定装置は、自動的にそのルールセットの更新を実行する又は接続されたUTMS設定装置又はインターネットからの最新のルールセットを要求し、最新のルールセットに従ってネットワークトラヒック通信を行い得る。
【0090】
図19に示すように、通信装置からUTMS設定装置1902を選択すると、ユーザーは、保守人員が選択された装置1902の位置を物理的に突き止めることができるように選択された装置1902の物理的特性を変更することによって、選択された装置1902の保守を支援することができる。幾つかの実施形態では、保守支援ウィンドウ1904は、ユーザーが装置のLEDを点滅させることによって選択された装置の物理的な位置を表示する及び表示しないことを選択できるようにし得る。他の選択可能な表示は、音、振動又は選択された装置の他の目立った物理的な変化を含み得る。
【0091】
図20に示すように、ユーザーは、選択された部分におけるセキュリティ関係の動作を開始するために、エクスプローラーペイン1702からシステム100の任意の部分を選択することができる。例えば、ユーザーは、第1のネットワーク1708をペイン1702から選択し、ネットワークのその部分の「封鎖」を開始するための選択肢を選ぶことができる。幾つかの実施形態では、封鎖動作は、システム100の選択された部分へ入る通信及びその部分から出る通信を停止させる。ペイン1702からシステムの或る部分における動作(例えば、封鎖動作)を開始すると、システム100のどの部分で動作が進行しているのか及び開始動作の経過を表示する動作ウィンドウ2002を表示し得る。
【0092】
図21に示すように、UTMS装置コマンドセンターUI1700は、更に、セキュリティ侵害又は他のルール違反を示すことができる。例えば、UTMS設定装置が、対応するルールセット147、148、151、152のルールを違反する(例えば、装置がデフォルトの又は設定された閾値の時間を過ぎても解除状態である)場合、ルール違反の表示2102が、装置の名前及び装置が属する各カテゴリーの名前の隣に出現する。更に、UTMS設定装置が対応するルールセット147、148、151、152のルールを違反する寸前であるとシステムが判別した場合には、予測されるルール違反の表示2104が、先ほど同様に、装置の名前及び装置が属する各カテゴリーの名前の隣に出現し得る。親カテゴリー内の1つより以上の装置がルール違反表示を含むところでは、より重度の違反であることが、2つの装置の親カテゴリーの隣に表示され得る。例えば、第1のネットワークが、ルールを違反すると予測される第1のUTMS装置及び実際にルールを違反した第2のUTMS装置を含む時には、実際のルール違反の表示だけが表示され得る。
【0093】
図22に示すように、UTMS装置コマンドセンターUI1700のペイン1702からUTMS設定装置を選択した後で、選択されたUTMS設定装置の様々なポート統計値2202も、表示され得る。ウィンドウに表示されるポート統計値2202は、或る期間に亘る様々なポート固有性を含み得る。例えば、受信及び送信バイトのポート固有性は、UTMS設定装置の起動以後、それ以前の60秒間又は幾らかの他の設定可能な時間及び表示される値の間追跡され得る。勿論、二重モード選択、リンク利用、CRC廃棄、小さいパケット廃棄、大きいパケット廃棄、断片化パケット廃棄、ジャバーパケット廃棄、コリジョン及びレイトコリジョン、ほんの数例のポート固有性を含む他のポート固有性も、追跡及び表示され得る。
【0094】
図23に示すように、図21に関して説明されたルール違反及びネットワークセキュリティ違反に加えて、警報情報2302も第2のペイン1716内で表示及び記載され得る。UTMS設定装置(例えば、UTMS設定装置2304)が作動上の問題又は先に述べたルール及びネットワークセキュリティ違反を経験すると、警報表示2306が、第1のエクスプローラーペイン1702内に表示される装置名の視覚的に近い範囲に表示され得る。警報情報は、その後、第2のエクスプローラーペイン1716の特性1718、値1720及び説明1722カラムのそれぞれで表示され得る。警報情報2302は、通信警報、警報の失敗、保守警報又は警報表示2306を引き起こす助言警報のうちの1つ以上を表示し得る。警報情報2302に加えて、第2のペイン1716は、状況2308及び選択された装置2304に関連付けられる装置情報2310も表示し得る。現在の状況は、警報に関係しそうな特定の装置特性の状況を一覧表にする。更に、装置情報2310は、図17に関して先に述べた特性と同じように、選択された装置2304についての概略的な情報を表示し得る。
【0095】
(上記のグラフィックディスプレイの1つ以上の中で表示されるような)UTMS設定プロセスオブジェクト204e用のユーザーインターフェイス(図13から図23)を用いれば、ユーザーは、プロセス、何らかの生成される警報及び他のUTMS事象のセキュリティの必要性に応えてオペレータワークステーション又は他のワークステーション120から122を通してプロセス制御システムのネットワークセキュリティの設定及び監視の両方を行うことができる。UTMS設定ネットワーク装置134、146、149、152及び全般的にUTMSを採用する技法を、フィールドバス及び標準4 20ma装置に関連して使用されるように本明細書では説明してきたが、勿論、それらは、何らかの他のプロセス制御通信プロトコル又はプログラミング環境を使用して実施することが可能であり、何らかの他の型の装置、機能ブロック又はコントローラと共に使用することができる。本明細書に記載するUTMS装置及びルーチンは、ソフトウェアに実装されるのが望ましいが、ハードウェア、ファームウェアなどに実装してもよく、プロセス制御システムに関連付けられる何らかの他のプロセッサによって実行されてもよい。従って、本明細書に記載する方法は、標準多目的CPUで、又は例えば、必要に応じて、ASICなどの特別に設計されたハードウェア又はファームウェア上で実施されてもよい。ソフトウェアに実装される場合、ソフトウェアは、磁気ディスク、レーザーディスク、光ディスク又はコンピュータ又はプロセッサのRAM又はROMなどの他の記憶媒体のような何らかのコンピュータ可読メモリに記憶されてもよい。同様に、このソフトウェアは、例えば、コンピュータ可読ディスクに載せる又は他の可搬型コンピュータ記憶機構に載せる方法を含む何らかの周知の又は所望の配送方法を用いてユーザー又はプロセス制御システムに配送されてもよく、又は(その様なソフトウェアを可搬型記憶媒体を用いて提供することと同じ又は代替的であると見なされる)電話線、インターネットなどのような通信チャネル上で転調されてもよい。よって、本発明は、特定の実例を参照しながら説明してきたが、それらの実例は、一例に過ぎず、本発明に制限を課すものではないと意図されており、当業者には明白となるように、本発明の精神及び範囲から逸脱すること無く、変更、追加又は削除を開示される実施形態に行うことができる。
【特許請求の範囲】
【請求項1】
プロセス制御システムでネットワークトラヒックを守るための方法において、
特定のプロセス制御システム装置に対しプログラム可能なインターフェイスを有するオブジェクトのインスタンスを作成する工程であって、前記オブジェクトは、前記装置で受信されるネットワークトラヒックを受け入れる又は拒否する条件を定義する1つ以上のルールを含むルールセットにアクセスし、前記ネットワークトラヒックは、前記プロセス制御システムの外部から発生し、前記プロセス制御システム又は前記プロセス制御システムの別の装置へのアクセスを探し求める、オブジェクトのインスタンスを作成する工程と、
前記ルールセットの前記1つ以上のルールのどれを前記装置に適用するのかを決定する工程ことと、
前記1つ以上の決定されたルールを前記装置に適用することによって前記装置を守る工程と、
前記オブジェクトを使用して、前記守られる装置で受信される前記ネットワークトラヒックを監視する工程と、
前記守られる装置で受信された前記ネットワークトラヒックが前記守られる装置に適用される前記ルールの1つ以上を違反するか否かを判定する工程と、
前記守られる装置で受信された前記ネットワークトラヒックが、前記ルールの1つ以上に違反する場合、前記プロセス制御システムへの前記ネットワークトラヒックアクセスを拒否し、警報を前記プロセス制御システムのオペレータインターフェイスに表示する工程、あるいは
前記守られる装置で受信された前記ネットワークトラヒックが、前記ルールの1つ以上に違反しない場合、前記プロセス制御システムへの前記ネットワークトラヒックアクセスを許可する工程と、から成る方法。
【請求項2】
前記オブジェクトは、プロセス変数として前記プロセス制御システムのプロセス制御環境に組み込まれる、請求項1に記載の方法。
【請求項3】
前記オブジェクトは、統合脅威管理システム(UTMS)オブジェクトを含み、前記装置は、統合脅威管理システム(UTMS)装置を含んでいる、請求項1に記載の方法。
【請求項4】
前記UTMSは、ネットワーク侵入検出システム(NIDS)又はホスト侵入検出システム(HIDS)のうちの1つである、請求項3に記載の方法。
【請求項5】
前記装置に前記ルールセットを記憶する工程と、別の装置に前記ルールセットのサブセットを記憶する工程と、を更に備えている、請求項1に記載の方法。
【請求項6】
前記装置は、ファイアウォール、ネットワーク装置又はフィールド装置の1つ以上を含んでいる、請求項1に記載の方法。
【請求項7】
前記オブジェクトは、変数を記憶する又は前記装置を表現するデータを変更するためのデータ記憶を含んでおり、前記データは、状態データ、パラメータデータ、状況データ、入力データ、出力データ、ルールセットデータ及びコストデータの1つ以上を含んでいる、請求項1に記載の方法。
【請求項8】
前記装置で前記ルールセットを受信する工程を更に備えている、請求項1に記載の方法。
【請求項9】
前記オブジェクトは、前記ルールセットの前記1つ以上のルールのどれを前記プロセス制御システムの別の装置に適用するのかを前記オブジェクトアルゴリズムで決定する工程を更に備えており、前記他の装置は、前記プロセス制御システムのサブシステムにネットワークトラヒックへアクセスを提供する、請求項8に記載の方法。
【請求項10】
前記プロセス制御システムの前記サブシステムを守るために前記他の装置において前記アルゴリズムで決定された1つ以上のルールを受信する工程を更に備えている、請求項9に記載の方法。
【請求項11】
前記守られる装置で受信された前記ネットワークトラヒックが前記守られる装置に適用された前記ルールの1つ以上に違反するか否かを判定する工程は、前記流入ネットワークトラヒックを前記ルールセットの前記決定されたルールと比較することを含んでいる、請求項1に記載の方法。
【請求項12】
前記1つ以上の決定されたルールを前記装置に適用することによって前記装置を守る工程は、前記装置を守るためにユーザーが前記プロセス制御システムのグラフィックディスプレイの中で前記オブジェクトを設定することと、前記装置を守るために自動的に前記オブジェクトを設定することと、のうちの1つを備えている、請求項1に記載の方法。
【請求項13】
前記ユーザーが前記プロセス制御システムのグラフィックディスプレイの中で前記オブジェクトを設定する場合、前記ユーザーは、前記オブジェクトを設定する能力を認証し、前記ユーザーの認証は、前記守られる装置の内蔵された2因子認証方法を含んでいる、請求項12に記載の方法。
【請求項14】
前記装置で受信した前記ネットワークトラヒックに関連する統計値を追跡するために前記オブジェクトを使用する工程を更に備えている、請求項1に記載の方法。
【請求項15】
前記プロセス制御システムとの内部及び外部のデータ接続の数及び型を含む前記装置の状況を決定する工程を更に備えている、請求項1に記載の方法。
【請求項16】
前記ルールセットの前記1つ以上のルールのどれを前記装置に適用するのかを決定する工程は、前記装置のためにセキュリティプロファイルを決定することを備え、前記セキュリティプロファイルは、前記プロセス制御システムのサブシステムを守る、請求項1に記載の方法。
【請求項17】
前記プロセス制御システムの中で別の装置の更新を検出する工程と、前記オペレータインターフェイスに警報を表示する工程を更に備え、前記警報は、前記更新を表示し、ユーザーが前記ルールセットの更新を求めるように勧める、請求項1に記載の方法。
【請求項18】
前記守られる装置で受信される前記ネットワークトラヒックが前記守られる装置に適用される前記ルールの1つ以上に違反するか否かを判定する工程は、前記装置の現在の動作状態を決定することと、加えて、前記現在の動作状態が前記装置におけるネットワークトラヒックの予期せぬ増加又はネットワークトラヒックの予期せぬ型を含むか否かを判定することと、前記現在の動作状態が前記プロセス制御システムで既知の不具合を引き起こす攻撃を含むか否かを判定することと、前記現在の動作状態が前記プロセス制御システムの別の装置のソフトウェア、ファームウェア又は設定変更を含むか否かを判定することと、のうちの1つ以上と、を含んでいる、請求項1に記載の方法。
【請求項19】
複数のソースから脅威データを集めることと、前記ルールセットを構築することと、前記ルールセットを有効化することと、前記ルールセットを前記装置へ配布することと、によって前記ルールセットを更新する工程を更に備えている、請求項1に記載の方法。
【請求項20】
前記装置は、前記ルールセットのどのルールがサブシステムの1つ以上及び前記プロセス制御システムの他の装置に適切であるのかを決定し、前記装置は、前記決定されたルールを前記適切なサブシステム及び他の装置へ配布する、請求項19に記載の方法。
【請求項21】
前記装置への安全性の低いデータアクセスを許可するために、前記装置は、前記装置のアップストリームにある前記プロセス制御システムの別の装置をバイパスするように設定される、請求項1に記載の方法。
【請求項22】
前記装置は、ユーザーによって設定される又はデフォルトで設定される時間の間、前記プロセス制御システムの別の装置をバイパスするように設定される、請求項21に記載の方法。
【請求項23】
前記装置は、I/O装置である、請求項22に記載の方法。
【請求項24】
プロセス制御システムでネットワークトラヒックを守るためのネットワーク装置において、
ネットワークトラヒックを前記ネットワーク装置の中へ及び外へつなげる第1のネットワークコネクタと、
ネットワークトラヒックを前記プロセス制御システムの制御アプライアンスへつなげる第2のネットワークコネクタと、
前記ネットワーク装置で受信されるネットワークトラヒックを受け入れる又は拒否する条件を定義する、1つ以上のルールを含むルールセットと、
前記ネットワーク装置につなげられるネットワークトラヒックが前記ルールセットの1つ以上のルールに違反するか否かを判定する比較ルーチンと、
前記第1のネットワークコネクタで受信された前記ネットワークトラヒックが前記ルールの1つ以上に違反する場合、前記プロセス制御システムの前記制御アプライアンス又は別の装置への前記ネットワークトラヒックのアクセスを拒否し、前記プロセス制御システムのオペレータインターフェイスに警報を表示させる、或いは、前記ネットワーク装置で受信された前記ネットワークトラヒックが前記ルールの1つ以上に違反しない場合、前記ネットワークトラヒックを前記第2のネットワークコネクタを通して前記制御アプライアンスへつなげる、セキュリティルーチンと、を備えるネットワーク装置。
【請求項25】
前記ネットワークは、前記プロセス制御システムの外部から発生し、前記プロセス制御システムへのアクセスを探し求める、請求項24に記載のネットワーク装置。
【請求項26】
前記ルールセットの前記1つ以上のうちのどれを前記ネットワーク装置に適用するのかを決定するルーチンを決定するルールセットを更に備えている、請求項24に記載のネットワーク装置。
【請求項27】
前記第1のネットワークコネクタで受信された前記ネットワークトラヒックが前記ルールの1つ以上に違反する場合、前記セキュリティルーチンは、前記プロセス制御システムの前記制御アプライアンス又は別の装置への前記ネットワークトラヒックアクセスを拒否するように更に設定され、前記バイパスルーチンは、前記制御アプライアンスへの一時的な接続を解除する、前記制御アプライアンスへの全ての接続を解除する、及び警報を作動させる、のうちの1つ以上を行うように設定される、請求項24に記載のネットワーク装置。
【請求項28】
前記バイパスルーチンが或る期間心拍信号を受信しない場合、前記バイパスルーチンは、前記制御アプライアンスから前記心拍信号を受信するように更に設定され、一時的な接続を解除する、全ての接続を解除する、及び警報を作動させる、のうちの1つ以上を行う、請求項27に記載のネットワーク装置。
【請求項29】
前記バイパスルーチンは、前記ネットワーク装置への安全性の低いデータアクセスを許可するために、前記ネットワーク装置のアップストリームにある前記プロセス制御システムの別の装置をバイパスするように更に設定される、請求項27に記載のネットワーク装置。
【請求項30】
前記バイパスルーチンは、前記第1又は第2のネットワークコネクタへの動力又は信号の伝達の何れかを中断するために、1つ以上のリレーを有効又は無効にするように更に設定される、請求項27に記載のネットワーク装置。
【請求項31】
前記制御アプライアンスは、I/O装置である、請求項24に記載のネットワーク装置。
【請求項32】
前記ネットワーク装置は、ネットワーク侵入検出システム(NIDS)又はホスト侵入検出システム(HIDS)のうちの1つである、請求項24に記載のネットワーク装置。
【請求項33】
前記ルールセットは、前記装置に記憶され、前記ルールセットのサブセットは別の装置に記憶される、請求項24に記載のネットワーク装置。
【請求項34】
前記ネットワーク装置は、ファイアウォール、又はフィールド装置の1つ以上を含んでいる、請求項24に記載のネットワーク装置。
【請求項35】
変数を記憶する又は前記ネットワーク装置を表現するデータを変更するためのデータ記憶を更に備え、前記データは、状態データ、パラメータデータ、状況データ、入力データ、出力データ、ルールセットデータ及びコストデータのうちの1つ以上を含んでいる、請求項24に記載のネットワーク装置。
【請求項36】
前記セキュリティルーチンは、前記ルールセットの前記1つ以上のどれを前記プロセス制御システムの別のネットワーク装置に適用するのかをアルゴリズムで決定するように更に設定され、前記他のネットワーク装置は、前記プロセス制御システムのサブシステムにネットワークトラヒックへアクセスを提供する、請求項24に記載のネットワーク装置。
【請求項37】
内蔵された2因子認証ルーチンを更に備えている、請求項24に記載のネットワーク装置。
【請求項38】
前記プロセス制御システムの中で別の装置の更新を検出する更新検出ルーチンと、前記オペレータインターフェイスに警報を表示することと、を更に備えており、前記警報は、前記更新を表示し、ユーザーが前記ルールセットの更新を求めるように勧める、請求項24に記載のネットワーク装置。
【請求項39】
前記セキュリティルーチンは、前記ネットワーク装置の現在の動作状態を決定するように、加えて、前記現在の動作状態が前記装置におけるネットワークトラヒックの予期せぬ増加又はネットワークトラヒックの予期せぬ前記型を含むか否かを判定することと、前記現在の動作状態が前記プロセス制御システムで既知の不具合を引き起こす攻撃を含むか否かを判定することと、前記現在の動作状態が前記プロセス制御システムの別の装置のソフトウェア、ファームウェア又は設定変更を含むか否かを判定することと、のうちの1つ以上を行うように更に設定される、請求項24に記載のネットワーク装置。
【請求項40】
前記セキュリティルーチンは、複数のソースから脅威データを集めることと、前記ルールセットを構築することと、前記ルールセットを有効化することと、前記ルールセットを前記ネットワーク装置へ配布することと、によって前記ルールセットを更新し、前記ルールセットのどのルールが前記プロセス制御システムのサブシステムには適切であるのかを決定し、更に前記決定されたルールを前記適切なサブシステムへ配布する、ように更に設定される、請求項24に記載のネットワーク装置。
【請求項41】
プロセス制御システムのネットワークトラヒックを守るための統合脅威管理システムにおいて、
前記プロセス制御システムに関するネットワークトラヒックを受信するように設定された複数のネットワーク装置であって、前記ネットワーク装置の少なくとも1つは、前記プロセス制御システムの外部にあるソースからルールセットを受信するように更に設定され、前記ルールセットは、前記ネットワーク装置で受信された前記ネットワークトラヒックを受け入れる又は拒否する条件を定義する1つ以上のルールを含む、複数のネットワーク装置と、
前記複数のネットワーク装置を含む前記プロセス制御システムの素子と、前記複数のネットワーク装置のそれぞれとのネットワークトラヒック接続の状態をグラフィカルに表現するグラフィックプロセス制御環境と、を備え、
前記グラフィックプロセス制御環境は、前記複数のネットワーク装置のそれぞれにオブジェクトのインスタンスを作成するように設定され、各オブジェクトは、前記複数のネットワーク装置の異なるネットワーク装置をグラフィカルに表現し、前記オブジェクトが表現する前記ネットワーク装置の1つ以上のパラメータを設定するためにプログラム可能なインターフェイスを有しており、前記パラメータは、前記複数のネットワーク装置のそれぞれとのネットワークトラヒックの接続の状態、前記ルールセット及びルールセット更新のうちの1つ以上を含んでいる、統合脅威管理システム。
【請求項42】
前記ルールセットを受信する前記ネットワーク装置は、他のネットワーク装置の1つ以上の個別のルールセットをアルゴリズムで導き出すように更に設定され、前記個別のルールセットは、それぞれが前記ルールセットのサブセットであり、前記グラフィカルプロセス制御環境を使用して設定することができる、請求項41に記載の統合脅威管理システム。
【請求項43】
前記ネットワーク装置で受信された前記ネットワークトラヒックを受け入れる又は拒否する前記条件は、前記ネットワークトラヒックが前記プロセス制御システムの内部或いは外部の何れから発生したのかを含んでいる、請求項41に記載の統合脅威管理システム。
【請求項44】
前記複数のネットワーク装置のそれぞれとの前記接続の前記状態は、前記ネットワーク装置との複数の接続の1つ以上、及び前記接続が動作中である又は動作中でない、の何れか、並びにつながっている又はつながっていない、の何れかを含んでいる、請求項41に記載の統合脅威管理システム。
【請求項45】
前記グラフィックプロセス制御環境は、DeltaV(登録商標)グラフィックプロセス制御環境である、請求項41に記載の統合脅威管理システム。
【請求項46】
前記オブジェクトは、プロセス変数として前記グラフィックプロセス制御環境に組み込まれる、請求項41に記載の統合脅威管理システム。
【請求項47】
前記統合脅威管理システムは、ネットワーク侵入検出システム(NIDS)又はホスト侵入検出システム(HIDS)のうちの1つである、請求項41に記載の統合脅威管理システム。
【請求項48】
前記ネットワーク装置は、ファイアウォール及びフィールド装置の1つ以上を含んでいる、請求項41に記載の統合脅威管理システム。
【請求項49】
前記オブジェクトは、変数を記憶する又は前記ネットワーク装置を表現するデータを変更するためのデータ記憶を含んでおり、前記データは、状態データ、パラメータデータ、状況データ、入力データ、出力データ、ルールセットデータ及びコストデータのうちの1つ以上を含んでいる、請求項41に記載の統合脅威管理システム。
【請求項50】
前記オブジェクトは、ネットワークトラヒックを前記ルールセットと比較し、前記ネットワーク装置で受信された前記ネットワークトラヒックが前記ルールの1つ以上に違反する場合、前記ネットワーク装置で受信された前記ネットワークトラヒックを拒否し、警報を前記グラフィックプロセス制御環境のオペレータインターフェイスに表示させるように設定され、前記ネットワークトラヒックは、前記ネットワーク装置によって受信される、請求項41に記載の統合脅威管理システム。
【請求項51】
前記オブジェクトは、ユーザーが前記グラフィックプロセス制御環境のグラフィックディスプレイの中で前記オブジェクトを設定することと、前記ネットワーク装置を自動的に守るために前記オブジェクトを設定することと、のうちの1つによって、前記ネットワーク装置を守るように設定される、請求項41に記載の統合脅威管理システム。
【請求項52】
前記グラフィックプロセス制御環境のグラフィックディスプレイの中で前記オブジェクトを設定する前記ユーザーは、前記プロセス制御システムの内蔵された2因子認証方法を用いてユーザー認証を必要とする、請求項51に記載の統合脅威管理システム。
【請求項53】
前記オブジェクトは、前記ネットワーク装置で受信された前記ネットワークトラヒックに関連する統計値を追跡するように設定される、請求項41に記載の統合脅威管理システム。
【請求項54】
前記オブジェクトは、前記ネットワーク装置のためのセキュリティプロファイルと、前記プロセス制御システムのサブシステムを守るための前記セキュリティプロファイルとを決定するように設定される、請求項41に記載の統合脅威管理システム。
【請求項55】
前記オブジェクトは、前記プロセス制御システムの中で別のネットワーク装置の更新を検出し、警報を前記グラフィックプロセス制御環境のグラフィックディスプレイで表示するように設定され、前記警報は、前記更新と、ユーザーが前記ルールセットの更新を求めるように勧めることとを示す、請求項41に記載の統合脅威管理システム。
【請求項56】
前記オブジェクトは、前記ネットワーク装置で受信された前記ネットワークトラヒックが前記ルールの1つ以上に違反するか否かを判定するように設定される、請求項41に記載の統合脅威管理システム。
【請求項57】
前記オブジェクトは、複数のソースから脅威データを集めることと、前記ルールセットを構築することと、前記ルールセットを有効化することと、前記ルールセットのサブセットを他のネットワーク装置へ配布することとによって前記ルールセットを更新するように設定され、互いのネットワーク装置は、前記プロセス制御システムのサブシステムに対応する、請求項41に記載の統合脅威管理システム。
【請求項58】
前記1つ以上のパラメータは、設定可能な時間の間前記プロセス制御システムの別のネットワーク装置をバイパスする機能を含んでいる、請求項41に記載の統合脅威管理システム。
【請求項59】
前記ネットワーク装置は、I/O装置である、請求項41に記載の統合脅威管理システム。
【請求項1】
プロセス制御システムでネットワークトラヒックを守るための方法において、
特定のプロセス制御システム装置に対しプログラム可能なインターフェイスを有するオブジェクトのインスタンスを作成する工程であって、前記オブジェクトは、前記装置で受信されるネットワークトラヒックを受け入れる又は拒否する条件を定義する1つ以上のルールを含むルールセットにアクセスし、前記ネットワークトラヒックは、前記プロセス制御システムの外部から発生し、前記プロセス制御システム又は前記プロセス制御システムの別の装置へのアクセスを探し求める、オブジェクトのインスタンスを作成する工程と、
前記ルールセットの前記1つ以上のルールのどれを前記装置に適用するのかを決定する工程ことと、
前記1つ以上の決定されたルールを前記装置に適用することによって前記装置を守る工程と、
前記オブジェクトを使用して、前記守られる装置で受信される前記ネットワークトラヒックを監視する工程と、
前記守られる装置で受信された前記ネットワークトラヒックが前記守られる装置に適用される前記ルールの1つ以上を違反するか否かを判定する工程と、
前記守られる装置で受信された前記ネットワークトラヒックが、前記ルールの1つ以上に違反する場合、前記プロセス制御システムへの前記ネットワークトラヒックアクセスを拒否し、警報を前記プロセス制御システムのオペレータインターフェイスに表示する工程、あるいは
前記守られる装置で受信された前記ネットワークトラヒックが、前記ルールの1つ以上に違反しない場合、前記プロセス制御システムへの前記ネットワークトラヒックアクセスを許可する工程と、から成る方法。
【請求項2】
前記オブジェクトは、プロセス変数として前記プロセス制御システムのプロセス制御環境に組み込まれる、請求項1に記載の方法。
【請求項3】
前記オブジェクトは、統合脅威管理システム(UTMS)オブジェクトを含み、前記装置は、統合脅威管理システム(UTMS)装置を含んでいる、請求項1に記載の方法。
【請求項4】
前記UTMSは、ネットワーク侵入検出システム(NIDS)又はホスト侵入検出システム(HIDS)のうちの1つである、請求項3に記載の方法。
【請求項5】
前記装置に前記ルールセットを記憶する工程と、別の装置に前記ルールセットのサブセットを記憶する工程と、を更に備えている、請求項1に記載の方法。
【請求項6】
前記装置は、ファイアウォール、ネットワーク装置又はフィールド装置の1つ以上を含んでいる、請求項1に記載の方法。
【請求項7】
前記オブジェクトは、変数を記憶する又は前記装置を表現するデータを変更するためのデータ記憶を含んでおり、前記データは、状態データ、パラメータデータ、状況データ、入力データ、出力データ、ルールセットデータ及びコストデータの1つ以上を含んでいる、請求項1に記載の方法。
【請求項8】
前記装置で前記ルールセットを受信する工程を更に備えている、請求項1に記載の方法。
【請求項9】
前記オブジェクトは、前記ルールセットの前記1つ以上のルールのどれを前記プロセス制御システムの別の装置に適用するのかを前記オブジェクトアルゴリズムで決定する工程を更に備えており、前記他の装置は、前記プロセス制御システムのサブシステムにネットワークトラヒックへアクセスを提供する、請求項8に記載の方法。
【請求項10】
前記プロセス制御システムの前記サブシステムを守るために前記他の装置において前記アルゴリズムで決定された1つ以上のルールを受信する工程を更に備えている、請求項9に記載の方法。
【請求項11】
前記守られる装置で受信された前記ネットワークトラヒックが前記守られる装置に適用された前記ルールの1つ以上に違反するか否かを判定する工程は、前記流入ネットワークトラヒックを前記ルールセットの前記決定されたルールと比較することを含んでいる、請求項1に記載の方法。
【請求項12】
前記1つ以上の決定されたルールを前記装置に適用することによって前記装置を守る工程は、前記装置を守るためにユーザーが前記プロセス制御システムのグラフィックディスプレイの中で前記オブジェクトを設定することと、前記装置を守るために自動的に前記オブジェクトを設定することと、のうちの1つを備えている、請求項1に記載の方法。
【請求項13】
前記ユーザーが前記プロセス制御システムのグラフィックディスプレイの中で前記オブジェクトを設定する場合、前記ユーザーは、前記オブジェクトを設定する能力を認証し、前記ユーザーの認証は、前記守られる装置の内蔵された2因子認証方法を含んでいる、請求項12に記載の方法。
【請求項14】
前記装置で受信した前記ネットワークトラヒックに関連する統計値を追跡するために前記オブジェクトを使用する工程を更に備えている、請求項1に記載の方法。
【請求項15】
前記プロセス制御システムとの内部及び外部のデータ接続の数及び型を含む前記装置の状況を決定する工程を更に備えている、請求項1に記載の方法。
【請求項16】
前記ルールセットの前記1つ以上のルールのどれを前記装置に適用するのかを決定する工程は、前記装置のためにセキュリティプロファイルを決定することを備え、前記セキュリティプロファイルは、前記プロセス制御システムのサブシステムを守る、請求項1に記載の方法。
【請求項17】
前記プロセス制御システムの中で別の装置の更新を検出する工程と、前記オペレータインターフェイスに警報を表示する工程を更に備え、前記警報は、前記更新を表示し、ユーザーが前記ルールセットの更新を求めるように勧める、請求項1に記載の方法。
【請求項18】
前記守られる装置で受信される前記ネットワークトラヒックが前記守られる装置に適用される前記ルールの1つ以上に違反するか否かを判定する工程は、前記装置の現在の動作状態を決定することと、加えて、前記現在の動作状態が前記装置におけるネットワークトラヒックの予期せぬ増加又はネットワークトラヒックの予期せぬ型を含むか否かを判定することと、前記現在の動作状態が前記プロセス制御システムで既知の不具合を引き起こす攻撃を含むか否かを判定することと、前記現在の動作状態が前記プロセス制御システムの別の装置のソフトウェア、ファームウェア又は設定変更を含むか否かを判定することと、のうちの1つ以上と、を含んでいる、請求項1に記載の方法。
【請求項19】
複数のソースから脅威データを集めることと、前記ルールセットを構築することと、前記ルールセットを有効化することと、前記ルールセットを前記装置へ配布することと、によって前記ルールセットを更新する工程を更に備えている、請求項1に記載の方法。
【請求項20】
前記装置は、前記ルールセットのどのルールがサブシステムの1つ以上及び前記プロセス制御システムの他の装置に適切であるのかを決定し、前記装置は、前記決定されたルールを前記適切なサブシステム及び他の装置へ配布する、請求項19に記載の方法。
【請求項21】
前記装置への安全性の低いデータアクセスを許可するために、前記装置は、前記装置のアップストリームにある前記プロセス制御システムの別の装置をバイパスするように設定される、請求項1に記載の方法。
【請求項22】
前記装置は、ユーザーによって設定される又はデフォルトで設定される時間の間、前記プロセス制御システムの別の装置をバイパスするように設定される、請求項21に記載の方法。
【請求項23】
前記装置は、I/O装置である、請求項22に記載の方法。
【請求項24】
プロセス制御システムでネットワークトラヒックを守るためのネットワーク装置において、
ネットワークトラヒックを前記ネットワーク装置の中へ及び外へつなげる第1のネットワークコネクタと、
ネットワークトラヒックを前記プロセス制御システムの制御アプライアンスへつなげる第2のネットワークコネクタと、
前記ネットワーク装置で受信されるネットワークトラヒックを受け入れる又は拒否する条件を定義する、1つ以上のルールを含むルールセットと、
前記ネットワーク装置につなげられるネットワークトラヒックが前記ルールセットの1つ以上のルールに違反するか否かを判定する比較ルーチンと、
前記第1のネットワークコネクタで受信された前記ネットワークトラヒックが前記ルールの1つ以上に違反する場合、前記プロセス制御システムの前記制御アプライアンス又は別の装置への前記ネットワークトラヒックのアクセスを拒否し、前記プロセス制御システムのオペレータインターフェイスに警報を表示させる、或いは、前記ネットワーク装置で受信された前記ネットワークトラヒックが前記ルールの1つ以上に違反しない場合、前記ネットワークトラヒックを前記第2のネットワークコネクタを通して前記制御アプライアンスへつなげる、セキュリティルーチンと、を備えるネットワーク装置。
【請求項25】
前記ネットワークは、前記プロセス制御システムの外部から発生し、前記プロセス制御システムへのアクセスを探し求める、請求項24に記載のネットワーク装置。
【請求項26】
前記ルールセットの前記1つ以上のうちのどれを前記ネットワーク装置に適用するのかを決定するルーチンを決定するルールセットを更に備えている、請求項24に記載のネットワーク装置。
【請求項27】
前記第1のネットワークコネクタで受信された前記ネットワークトラヒックが前記ルールの1つ以上に違反する場合、前記セキュリティルーチンは、前記プロセス制御システムの前記制御アプライアンス又は別の装置への前記ネットワークトラヒックアクセスを拒否するように更に設定され、前記バイパスルーチンは、前記制御アプライアンスへの一時的な接続を解除する、前記制御アプライアンスへの全ての接続を解除する、及び警報を作動させる、のうちの1つ以上を行うように設定される、請求項24に記載のネットワーク装置。
【請求項28】
前記バイパスルーチンが或る期間心拍信号を受信しない場合、前記バイパスルーチンは、前記制御アプライアンスから前記心拍信号を受信するように更に設定され、一時的な接続を解除する、全ての接続を解除する、及び警報を作動させる、のうちの1つ以上を行う、請求項27に記載のネットワーク装置。
【請求項29】
前記バイパスルーチンは、前記ネットワーク装置への安全性の低いデータアクセスを許可するために、前記ネットワーク装置のアップストリームにある前記プロセス制御システムの別の装置をバイパスするように更に設定される、請求項27に記載のネットワーク装置。
【請求項30】
前記バイパスルーチンは、前記第1又は第2のネットワークコネクタへの動力又は信号の伝達の何れかを中断するために、1つ以上のリレーを有効又は無効にするように更に設定される、請求項27に記載のネットワーク装置。
【請求項31】
前記制御アプライアンスは、I/O装置である、請求項24に記載のネットワーク装置。
【請求項32】
前記ネットワーク装置は、ネットワーク侵入検出システム(NIDS)又はホスト侵入検出システム(HIDS)のうちの1つである、請求項24に記載のネットワーク装置。
【請求項33】
前記ルールセットは、前記装置に記憶され、前記ルールセットのサブセットは別の装置に記憶される、請求項24に記載のネットワーク装置。
【請求項34】
前記ネットワーク装置は、ファイアウォール、又はフィールド装置の1つ以上を含んでいる、請求項24に記載のネットワーク装置。
【請求項35】
変数を記憶する又は前記ネットワーク装置を表現するデータを変更するためのデータ記憶を更に備え、前記データは、状態データ、パラメータデータ、状況データ、入力データ、出力データ、ルールセットデータ及びコストデータのうちの1つ以上を含んでいる、請求項24に記載のネットワーク装置。
【請求項36】
前記セキュリティルーチンは、前記ルールセットの前記1つ以上のどれを前記プロセス制御システムの別のネットワーク装置に適用するのかをアルゴリズムで決定するように更に設定され、前記他のネットワーク装置は、前記プロセス制御システムのサブシステムにネットワークトラヒックへアクセスを提供する、請求項24に記載のネットワーク装置。
【請求項37】
内蔵された2因子認証ルーチンを更に備えている、請求項24に記載のネットワーク装置。
【請求項38】
前記プロセス制御システムの中で別の装置の更新を検出する更新検出ルーチンと、前記オペレータインターフェイスに警報を表示することと、を更に備えており、前記警報は、前記更新を表示し、ユーザーが前記ルールセットの更新を求めるように勧める、請求項24に記載のネットワーク装置。
【請求項39】
前記セキュリティルーチンは、前記ネットワーク装置の現在の動作状態を決定するように、加えて、前記現在の動作状態が前記装置におけるネットワークトラヒックの予期せぬ増加又はネットワークトラヒックの予期せぬ前記型を含むか否かを判定することと、前記現在の動作状態が前記プロセス制御システムで既知の不具合を引き起こす攻撃を含むか否かを判定することと、前記現在の動作状態が前記プロセス制御システムの別の装置のソフトウェア、ファームウェア又は設定変更を含むか否かを判定することと、のうちの1つ以上を行うように更に設定される、請求項24に記載のネットワーク装置。
【請求項40】
前記セキュリティルーチンは、複数のソースから脅威データを集めることと、前記ルールセットを構築することと、前記ルールセットを有効化することと、前記ルールセットを前記ネットワーク装置へ配布することと、によって前記ルールセットを更新し、前記ルールセットのどのルールが前記プロセス制御システムのサブシステムには適切であるのかを決定し、更に前記決定されたルールを前記適切なサブシステムへ配布する、ように更に設定される、請求項24に記載のネットワーク装置。
【請求項41】
プロセス制御システムのネットワークトラヒックを守るための統合脅威管理システムにおいて、
前記プロセス制御システムに関するネットワークトラヒックを受信するように設定された複数のネットワーク装置であって、前記ネットワーク装置の少なくとも1つは、前記プロセス制御システムの外部にあるソースからルールセットを受信するように更に設定され、前記ルールセットは、前記ネットワーク装置で受信された前記ネットワークトラヒックを受け入れる又は拒否する条件を定義する1つ以上のルールを含む、複数のネットワーク装置と、
前記複数のネットワーク装置を含む前記プロセス制御システムの素子と、前記複数のネットワーク装置のそれぞれとのネットワークトラヒック接続の状態をグラフィカルに表現するグラフィックプロセス制御環境と、を備え、
前記グラフィックプロセス制御環境は、前記複数のネットワーク装置のそれぞれにオブジェクトのインスタンスを作成するように設定され、各オブジェクトは、前記複数のネットワーク装置の異なるネットワーク装置をグラフィカルに表現し、前記オブジェクトが表現する前記ネットワーク装置の1つ以上のパラメータを設定するためにプログラム可能なインターフェイスを有しており、前記パラメータは、前記複数のネットワーク装置のそれぞれとのネットワークトラヒックの接続の状態、前記ルールセット及びルールセット更新のうちの1つ以上を含んでいる、統合脅威管理システム。
【請求項42】
前記ルールセットを受信する前記ネットワーク装置は、他のネットワーク装置の1つ以上の個別のルールセットをアルゴリズムで導き出すように更に設定され、前記個別のルールセットは、それぞれが前記ルールセットのサブセットであり、前記グラフィカルプロセス制御環境を使用して設定することができる、請求項41に記載の統合脅威管理システム。
【請求項43】
前記ネットワーク装置で受信された前記ネットワークトラヒックを受け入れる又は拒否する前記条件は、前記ネットワークトラヒックが前記プロセス制御システムの内部或いは外部の何れから発生したのかを含んでいる、請求項41に記載の統合脅威管理システム。
【請求項44】
前記複数のネットワーク装置のそれぞれとの前記接続の前記状態は、前記ネットワーク装置との複数の接続の1つ以上、及び前記接続が動作中である又は動作中でない、の何れか、並びにつながっている又はつながっていない、の何れかを含んでいる、請求項41に記載の統合脅威管理システム。
【請求項45】
前記グラフィックプロセス制御環境は、DeltaV(登録商標)グラフィックプロセス制御環境である、請求項41に記載の統合脅威管理システム。
【請求項46】
前記オブジェクトは、プロセス変数として前記グラフィックプロセス制御環境に組み込まれる、請求項41に記載の統合脅威管理システム。
【請求項47】
前記統合脅威管理システムは、ネットワーク侵入検出システム(NIDS)又はホスト侵入検出システム(HIDS)のうちの1つである、請求項41に記載の統合脅威管理システム。
【請求項48】
前記ネットワーク装置は、ファイアウォール及びフィールド装置の1つ以上を含んでいる、請求項41に記載の統合脅威管理システム。
【請求項49】
前記オブジェクトは、変数を記憶する又は前記ネットワーク装置を表現するデータを変更するためのデータ記憶を含んでおり、前記データは、状態データ、パラメータデータ、状況データ、入力データ、出力データ、ルールセットデータ及びコストデータのうちの1つ以上を含んでいる、請求項41に記載の統合脅威管理システム。
【請求項50】
前記オブジェクトは、ネットワークトラヒックを前記ルールセットと比較し、前記ネットワーク装置で受信された前記ネットワークトラヒックが前記ルールの1つ以上に違反する場合、前記ネットワーク装置で受信された前記ネットワークトラヒックを拒否し、警報を前記グラフィックプロセス制御環境のオペレータインターフェイスに表示させるように設定され、前記ネットワークトラヒックは、前記ネットワーク装置によって受信される、請求項41に記載の統合脅威管理システム。
【請求項51】
前記オブジェクトは、ユーザーが前記グラフィックプロセス制御環境のグラフィックディスプレイの中で前記オブジェクトを設定することと、前記ネットワーク装置を自動的に守るために前記オブジェクトを設定することと、のうちの1つによって、前記ネットワーク装置を守るように設定される、請求項41に記載の統合脅威管理システム。
【請求項52】
前記グラフィックプロセス制御環境のグラフィックディスプレイの中で前記オブジェクトを設定する前記ユーザーは、前記プロセス制御システムの内蔵された2因子認証方法を用いてユーザー認証を必要とする、請求項51に記載の統合脅威管理システム。
【請求項53】
前記オブジェクトは、前記ネットワーク装置で受信された前記ネットワークトラヒックに関連する統計値を追跡するように設定される、請求項41に記載の統合脅威管理システム。
【請求項54】
前記オブジェクトは、前記ネットワーク装置のためのセキュリティプロファイルと、前記プロセス制御システムのサブシステムを守るための前記セキュリティプロファイルとを決定するように設定される、請求項41に記載の統合脅威管理システム。
【請求項55】
前記オブジェクトは、前記プロセス制御システムの中で別のネットワーク装置の更新を検出し、警報を前記グラフィックプロセス制御環境のグラフィックディスプレイで表示するように設定され、前記警報は、前記更新と、ユーザーが前記ルールセットの更新を求めるように勧めることとを示す、請求項41に記載の統合脅威管理システム。
【請求項56】
前記オブジェクトは、前記ネットワーク装置で受信された前記ネットワークトラヒックが前記ルールの1つ以上に違反するか否かを判定するように設定される、請求項41に記載の統合脅威管理システム。
【請求項57】
前記オブジェクトは、複数のソースから脅威データを集めることと、前記ルールセットを構築することと、前記ルールセットを有効化することと、前記ルールセットのサブセットを他のネットワーク装置へ配布することとによって前記ルールセットを更新するように設定され、互いのネットワーク装置は、前記プロセス制御システムのサブシステムに対応する、請求項41に記載の統合脅威管理システム。
【請求項58】
前記1つ以上のパラメータは、設定可能な時間の間前記プロセス制御システムの別のネットワーク装置をバイパスする機能を含んでいる、請求項41に記載の統合脅威管理システム。
【請求項59】
前記ネットワーク装置は、I/O装置である、請求項41に記載の統合脅威管理システム。
【図1a】
【図1b】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図1b】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【公開番号】特開2011−100443(P2011−100443A)
【公開日】平成23年5月19日(2011.5.19)
【国際特許分類】
【外国語出願】
【出願番号】特願2010−213661(P2010−213661)
【出願日】平成22年9月24日(2010.9.24)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ETHERNET
2.レーザーディスク
【出願人】(594120847)フィッシャー−ローズマウント システムズ, インコーポレイテッド (231)
【Fターム(参考)】
【公開日】平成23年5月19日(2011.5.19)
【国際特許分類】
【出願番号】特願2010−213661(P2010−213661)
【出願日】平成22年9月24日(2010.9.24)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ETHERNET
2.レーザーディスク
【出願人】(594120847)フィッシャー−ローズマウント システムズ, インコーポレイテッド (231)
【Fターム(参考)】
[ Back to top ]