[go: up one dir, main page]

JP5586551B2 - Computer system and job control method - Google Patents

Computer system and job control method Download PDF

Info

Publication number
JP5586551B2
JP5586551B2 JP2011206497A JP2011206497A JP5586551B2 JP 5586551 B2 JP5586551 B2 JP 5586551B2 JP 2011206497 A JP2011206497 A JP 2011206497A JP 2011206497 A JP2011206497 A JP 2011206497A JP 5586551 B2 JP5586551 B2 JP 5586551B2
Authority
JP
Japan
Prior art keywords
job
server device
processing
transfer
quarantine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011206497A
Other languages
Japanese (ja)
Other versions
JP2013069075A (en
Inventor
雄一 木場
靖則 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Tec Corp
Original Assignee
Toshiba Tec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Tec Corp filed Critical Toshiba Tec Corp
Priority to JP2011206497A priority Critical patent/JP5586551B2/en
Publication of JP2013069075A publication Critical patent/JP2013069075A/en
Application granted granted Critical
Publication of JP5586551B2 publication Critical patent/JP5586551B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明の実施形態は、検疫ネットワークを含むコンピュータシステム、同ネットワークに接続されたサーバ装置のジョブ制御方法に関する。   Embodiments described herein relate generally to a computer system including a quarantine network and a job control method for a server device connected to the network.

近年、ウイルスやワームに感染したパーソナルコンピュータを、例えば社員が自覚のないまま社内ネットワークに持ち込んでしまうことを想定して、検疫ネットワークの運用が考えられている。検疫ネットワークは、社内ネットワークにアクセスしようとする全てのパーソナルコンピュータを、セキュリティの状態を確認するために用意した特別なネットワーク領域(例えば隔離ゾーン)に接続させる。隔離ゾーンのパーソナルコンピュータは、社内ネットワークとは論理的に切り離されている。この状態において、パーソナルコンピュータに対してセキュリティポリシーに合っているかどうかが確認される。例えば、ファイアウォール(ソフトウェア)が導入されているか、その検出用パターンファイルは最新か、禁止されているソフトウェアをインストールしていないか、またOSの最新修正プログラム(パッチ)を適用しているか、といった内容が確認される。また、パーソナルコンピュータがワームやウイルスに感染しているか調べ、必要があれば駆除する。そして、ワームやウイルスの駆除及び対処が完了したパーソナルコンピュータのみを社内ネットワークに接続できるようにする。   In recent years, it has been considered to operate a quarantine network on the assumption that a personal computer infected with a virus or worm is brought into an in-house network without an awareness of the employee. The quarantine network connects all personal computers attempting to access the corporate network to a special network area (for example, a quarantine zone) prepared for checking the security status. The personal computer in the isolation zone is logically separated from the corporate network. In this state, it is confirmed whether the personal computer meets the security policy. For example, whether the firewall (software) is installed, whether the detection pattern file is the latest, whether prohibited software is installed, and whether the latest OS modification program (patch) is applied Is confirmed. Also, check if your personal computer is infected with a worm or virus and remove it if necessary. Only personal computers for which worms and viruses have been removed and dealt with can be connected to the corporate network.

特開2010−287932号公報JP 2010-287932 A

このように、検疫ネットワークを用いることにより、外部から持ち込まれるパーソナルコンピュータについては、安全な状態にあることを確認した後に、社内ネットワークに接続させることが可能となる。   In this way, by using the quarantine network, it is possible to connect a personal computer brought in from the outside to the in-house network after confirming that it is in a safe state.

ところで、コンピュータシステムには、クライアントPCからの処理要求に対して、各種サービスを提供するサーバ機器が存在するものがある。サーバ機器については、例えば定期的に検査が行われて、セキュリティ上、正常な状態にあるかチェックされる。正常な状態にない場合には、前述したパーソナルコンピュータと同様に、例えば最新修正プログラム(パッチ)を適用するなどの検疫処理により正常な状態に修復される。また、想定外の異常設定が発覚した場合についても適切な検疫処理により修復される。   Some computer systems include server devices that provide various services in response to processing requests from client PCs. For example, the server device is periodically inspected to check whether it is in a normal state in terms of security. If it is not in a normal state, it is restored to a normal state by a quarantine process such as applying the latest correction program (patch), as in the personal computer described above. In addition, when an unexpected abnormal setting is detected, it is repaired by an appropriate quarantine process.

サーバ機器の場合には、個人が使用するパーソナルコンピュータと異なり、クライアントPCからの処理要求に応じたジョブをキューに貯めている場合がある。従って、ジョブをキューに貯めている状態の場合に、修正処理が必要になるとサービスの提供に影響を及ぼしてしまう。   In the case of a server device, unlike a personal computer used by an individual, a job corresponding to a processing request from a client PC may be stored in a queue. Therefore, in the state where jobs are stored in the queue, if correction processing is required, service provision is affected.

特に、ゼロデイアタックに関わる緊急パッチの場合には、直ちに修正を施す必要があるため、サービスの提供を即時に停止して修正処理を実行する、あるいは修正処理が完了するまでサービスの提供を待機させるといった対応をとらなければならなかった。   In particular, in the case of an emergency patch related to zero-day attack, it is necessary to make corrections immediately. Therefore, stop providing the service immediately and execute the correction process, or wait for the service to be provided until the correction process is completed. I had to take such a response.

本発明が解決しようとする課題は、サービスを提供するサーバ機器に異常が発生した場合であっても、適切に異常を排除する対応を進めながら、許容できる範囲でサービスを提供することができるコンピュータシステム及びジョブ制御方法を提供することである。   The problem to be solved by the present invention is a computer capable of providing a service within an allowable range while proceeding with a countermeasure for appropriately removing the abnormality even when an abnormality occurs in a server device that provides the service. A system and a job control method are provided.

実施形態によれば、論理的な正常ネットワークと制限ネットワークとを設けて、前記制限ネットワークに接続したサーバ機器に対して検疫処理を実行する検疫ネットワークを有するコンピュータシステムであって、検疫ネット管理装置は、第1のサーバ機器と第2のサーバ機器におけるキューに関するデータを取得する取得手段と、前記第1のサーバ機器に障害がある場合に、前記第1のサーバ機器のキューのジョブを前記第2のサーバ機器に転送するか否かを判断する転送可否判断手段と、前記転送可否判断手段による判断結果に応じて、前記ジョブが前記第2のサーバ機器に転送された場合に、前記第1のサーバ機器に対する修復を実行させる修復実行指示手段とを有し、前記第1のサーバ機器は、前記転送可否判断手段により前記ジョブを前記第2のサーバ機器に転送すると判断された場合に、前記ジョブを前記第2のサーバ機器に転送する転送手段と、前記転送手段による前記ジョブの転送後に、前記修復実行指示手段からの指示に応じて修復を実行する修復実行指示手段とを有する。   According to the embodiment, there is provided a computer system including a quarantine network that provides a logical normal network and a restricted network and executes a quarantine process on a server device connected to the restricted network. , An acquisition means for acquiring data relating to a queue in the first server device and the second server device, and when there is a failure in the first server device, a queue job of the first server device is sent to the second server device. Transfer enable / disable determining means for determining whether to transfer to the server device, and when the job is transferred to the second server device in accordance with a determination result by the transfer enable / disable determining means, Repair execution instructing means for executing repair on the server device, and the first server device is configured to transfer the job by the transfer permission / inhibition determining means. Is transferred to the second server device, a transfer unit that transfers the job to the second server device, and an instruction from the repair execution instruction unit after the transfer of the job by the transfer unit And a repair execution instructing means for executing repair according to the operation.

本実施形態のコンピュータシステムの構成を示すブロック図。The block diagram which shows the structure of the computer system of this embodiment. 本実施形態における検疫ネットワークを説明するための図。The figure for demonstrating the quarantine network in this embodiment. 本実施形態のコンピュータシステム(検疫ネットワーク)における各装置の機能構成を示すブロック図。The block diagram which shows the function structure of each apparatus in the computer system (quarantine network) of this embodiment. 本実施形態におけるMFP処理決定を示すフローチャート。6 is a flowchart showing MFP processing determination in the present embodiment. 本実施形態における転送可否判断処理を説明するための図。The figure for demonstrating the transfer permission judgment processing in this embodiment. 本実施形態における処理続行判定処理を説明するための図。The figure for demonstrating the process continuation determination process in this embodiment. 本実施形態における処理続行判定処理を説明するための図。The figure for demonstrating the process continuation determination process in this embodiment. 本実施形態におけるPOS処理決定を示すフローチャート。The flowchart which shows the POS process determination in this embodiment. 本実施形態における転送可否判断処理を説明するための図。The figure for demonstrating the transfer permission judgment processing in this embodiment.

以下、本実施形態について、図面を参照しながら説明する。
図1は、本実施形態のコンピュータシステムの構成を示すブロック図である。図1に示すコンピュータシステムは、例えばオフィス内に構築されたシステムであり、複数のパーソナルコンピュータ14(14−1,…,14−m)、サーバ機器20,23(23−1,23−2,…,23−n)がネットワーク25を介して接続されている。また、検疫ネットワーク16を構成する検疫処理境界装置30、検疫ネット管理装置32、及び隔離機器修復装置34がネットワーク25を介して接続されている。 Hereinafter, the present embodiment will be described with reference to the drawings.
FIG. 1 is a block diagram showing the configuration of the computer system of this embodiment. The computer system shown in FIG. 1 is a system constructed in an office, for example, and includes a plurality of personal computers 14 (14-1,..., 14-m) and server devices 20, 23 (23-1, 23-2, 23-1). ..., 23-n) are connected via the network 25. In addition, a quarantine processing boundary device 30, a quarantine network management device 32, and a quarantine device repair device 34 constituting the quarantine network 16 are connected via the network 25.

パーソナルコンピュータ14(14−1,…,14−m)は、ネットワーク25を介して、サーバ機器20,23に対して、サーバ機器20,23が提供するサービスに対する処理要求を出力する。   The personal computer 14 (14-1,..., 14-m) outputs a processing request for the service provided by the server devices 20 and 23 to the server devices 20 and 23 via the network 25.

サーバ機器20,23(23−1,23−2,…,23−n)は、パーソナルコンピュータ14あるいは機器本体に設けられた操作部からの処理要求に応じたサービスを提供する。サーバ機器20,23は、複数のパーソナルコンピュータ14や操作部からの処理要求を受け付け、各処理要求に応じたジョブをキューにより管理して順次処理する。   The server devices 20 and 23 (23-1, 23-2,..., 23-n) provide services according to processing requests from the personal computer 14 or an operation unit provided in the device main body. The server devices 20 and 23 receive processing requests from a plurality of personal computers 14 and operation units, manage jobs according to the processing requests using a queue, and sequentially process the jobs.

なお、本実施形態におけるサーバ機器20,23は、例えばMFP(Multi Function Peripheral)として説明する。サーバ機器(MFP)20,23は、データの制御や演算などの処理を行うプロセッサ(CPU:Central Processing Unit)と、プロセッサが処理するためのデータを一時的に記憶するRAM(Random Access Memory)と、処理プログラムなどを記憶するROM(Read Only Memory)と、ネットワーク25を介してデータを入出力するネットワークインタフェース(I/F)等を有している。   The server devices 20 and 23 in the present embodiment will be described as, for example, an MFP (Multi Function Peripheral). Server devices (MFPs) 20 and 23 include a processor (CPU: Central Processing Unit) that performs processing such as data control and calculation, and a RAM (Random Access Memory) that temporarily stores data to be processed by the processor. A ROM (Read Only Memory) for storing processing programs, a network interface (I / F) for inputting / outputting data via the network 25, and the like.

サーバ機器20,23は、画像読み取りユニット、印刷ユニット、FAXユニットが設けられ、パーソナルコンピュータ14からの処理要求に応じて、プロセッサの制御のもとで、スキャナ機能、プリンタ機能、FAX機能によるサービスを提供する。例えば、サーバ機器20,23は、パーソナルコンピュータ14からの指示に応じて、スキャナ機能によって文書等が記録された紙媒体をスキャンして画像データ(スキャン画像)を読み取って出力したり、プリンタ機能により文書を印刷したりすることができる。また、FAX機能により文書をFAXにより送信することができる。   The server devices 20 and 23 are provided with an image reading unit, a printing unit, and a FAX unit. In response to a processing request from the personal computer 14, the server devices 20 and 23 provide services based on a scanner function, a printer function, and a FAX function under the control of the processor. provide. For example, in response to an instruction from the personal computer 14, the server devices 20 and 23 scan a paper medium on which a document or the like is recorded by a scanner function, read and output image data (scanned image), or use a printer function. Documents can be printed. A document can be transmitted by FAX by the FAX function.

サーバ機器20,23は、例えばオフィスの部署毎、フロア毎などに分散して配置されている。通常、社員は、パーソナルコンピュータ14から自分の席に近い場所に設置されたサーバ機器20,23の何れかを指定して処理要求を出力する。   The server devices 20 and 23 are arranged in a distributed manner, for example, for each office department or floor. Usually, the employee designates one of the server devices 20 and 23 installed near the user's seat from the personal computer 14 and outputs a processing request.

検疫処理境界装置30は、例えば無線AP、有線スイッチ、ゲートウェイサーバ等によって実現されるもので、検疫ネット管理装置32の制御のもとで、ネットワーク25に接続された機器(パーソナルコンピュータ14やサーバ機器20,23)を、論理的な正常ネットワーク(以下、セキュアゾーンとも称する)と制限ネットワーク(以下、隔離ゾーンとも称する)の何れかに接続する。検疫処理境界装置30は、隔離ゾーンに接続(隔離)された機器と検疫処理のための他の機器(検疫ネット管理装置32、隔離機器修復装置34、他の機器)との通信経路の切り替えを行なう。検疫処理境界装置30は、隔離ゾーンに接続(隔離)された機器について、検疫処理に必要なデータのみを他の機器と通信するよう制御する。   The quarantine processing boundary device 30 is realized by, for example, a wireless AP, a wired switch, a gateway server, and the like, and is connected to a device (personal computer 14 or server device) connected to the network 25 under the control of the quarantine network management device 32. 20, 23) are connected to either a logical normal network (hereinafter also referred to as a secure zone) or a restricted network (hereinafter also referred to as an isolation zone). The quarantine processing boundary device 30 switches the communication path between the device connected (isolated) to the quarantine zone and other devices for quarantine processing (quarantine network management device 32, quarantine device repair device 34, other devices). Do. The quarantine processing boundary device 30 controls only the data necessary for the quarantine processing of the devices connected (isolated) to the quarantine zone so as to communicate with other devices.

検疫ネット管理装置32は、例えばNAP(Network Access Protection)サーバやActiveDirectory等により実現されるもので、検疫処理境界装置30及び隔離機器修復装置34を制御して検疫ネットワーク16を管理する。検疫ネット管理装置32は、ネットワーク25に接続されたサーバ機器20,23の検疫処理の対象とする状態検出、検疫処理の対象とする機器のセキュアゾーンから隔離ゾーンへの接続の切り替え、隔離ゾーンに接続(隔離)された機器に対する隔離機器修復装置34を介した修復等を制御する。また、本実施形態における検疫ネット管理装置32は、ネットワーク25に接続されたサーバ機器20,23からそれぞれのキュー(処理待ちのジョブ)に関するデータを取得する。検疫ネット管理装置32は、サーバ機器20,23のキューの状態をもとに、隔離ゾーンに接続(隔離)されたサーバ機器のジョブを他のサーバ機器に転送するための制御を行なう。   The quarantine network management device 32 is realized by, for example, a NAP (Network Access Protection) server or Active Directory, and manages the quarantine network 16 by controlling the quarantine processing boundary device 30 and the quarantine device repair device 34. The quarantine network management device 32 detects the status of the server devices 20 and 23 connected to the network 25 as a target of quarantine processing, switches the connection of the target device of the quarantine processing from the secure zone to the quarantine zone, and enters the quarantine zone. It controls the repair or the like of the connected (isolated) device via the isolated device repair device 34. In addition, the quarantine network management device 32 according to the present embodiment acquires data related to each queue (job waiting for processing) from the server devices 20 and 23 connected to the network 25. The quarantine network management device 32 performs control for transferring the job of the server device connected (isolated) to the quarantine zone based on the queue state of the server devices 20 and 23 to another server device.

隔離機器修復装置34は、隔離ゾーンに隔離された機器に対して、検疫ネット管理装置32からの指示に応じて検疫処理を実行し、セキュリティ上の異常を修復するための処理を実行する。隔離機器修復装置34は、検疫ネット管理装置32によって機器から検出された異常に応じた修復、例えば最新修正プログラム(パッチ)を適用する、ファイアウォールの検出用パターンファイルを最新にするといった対応をする。   The quarantine device repair device 34 executes quarantine processing on the device quarantined in the quarantine zone in accordance with an instruction from the quarantine network management device 32, and executes processing for repairing a security abnormality. The quarantine device repair device 34 performs repairs according to the abnormality detected from the device by the quarantine network management device 32, for example, applying the latest correction program (patch), or updating the firewall detection pattern file.

図2は、本実施形態における検疫ネットワーク16を説明するための図である。
検疫ネットワーク16は、検疫処理境界装置30と検疫ネット管理装置32によって、セキュアゾーン10と隔離ゾーン12とを構築する。なお、以下の説明では、サーバ機器20にセキュリティ上の脅威となる異常設定が検出され、検疫処理(修復)の対象となるものとする。以下、隔離対象サーバ機器20として説明する。 FIG. 2 is a diagram for explaining the quarantine network 16 in the present embodiment.
The quarantine network 16 constructs the secure zone 10 and the isolation zone 12 by the quarantine processing boundary device 30 and the quarantine network management device 32. In the following description, it is assumed that an abnormal setting that is a security threat is detected in the server device 20 and is subject to quarantine processing (repair). Hereinafter, the server device 20 to be isolated will be described.

検疫ネット管理装置32は、隔離対象サーバ機器20に異常が検出されたことにより、隔離対象サーバ機器20に対して検疫処理をするためにセキュアゾーン10から隔離ゾーン12へ接続を切り替えて、パーソナルコンピュータ14やサーバ機器23から隔離する。本実施形態の検疫ネットワーク16では、隔離対象サーバ機器20に対して検疫処理により修復をする際に、隔離対象サーバ機器20のキュー(処理待ちのジョブ)に対する処理のタイミングと修復するタイミングを調整する。ジョブの処理を優先する場合、隔離対象サーバ機器20のジョブは、セキュアゾーン10にあるサーバ機器群22から選択された何れかのサーバ機器23に転送され、転送先において実行される。その後、隔離機器修復装置34により隔離対象サーバ機器20に対する検疫処理(修復)が実行される。   The quarantine network management device 32 switches the connection from the secure zone 10 to the quarantine zone 12 in order to perform the quarantine process on the quarantine target server device 20 when an abnormality is detected in the quarantine target server device 20. 14 and server device 23. In the quarantine network 16 of the present embodiment, when the quarantine target server device 20 is repaired by quarantine processing, the processing timing for the queue (processing waiting job) of the quarantine target server device 20 and the repair timing are adjusted. . When giving priority to job processing, the job of the server device 20 to be isolated is transferred to one of the server devices 23 selected from the server device group 22 in the secure zone 10 and executed at the transfer destination. Thereafter, the quarantine process (repair) for the quarantine target server device 20 is executed by the quarantine device repair device 34.

図3は、本実施形態のコンピュータシステム(検疫ネットワーク16)における各装置の機能構成を示すブロック図である。
図3に示すように、隔離対象サーバ機器20には、通常時ジョブ処理管理部40、ジョブ処理実行部41、緊急時ジョブ処理管理部42、緊急時ジョブ処理判定部43、及び修復実行処理部44の機能が設けられる。隔離対象サーバ機器20のプロセッサによりメモリに記録されたジョブ制御プログラムを実行することにより、通常時ジョブ処理管理部40、ジョブ処理実行部41、緊急時ジョブ処理管理部42、緊急時ジョブ処理判定部43が実現される。また、検疫プログラムを実行することで修復実行処理部44が実現される。 FIG. 3 is a block diagram showing a functional configuration of each device in the computer system (quarantine network 16) of the present embodiment.
As shown in FIG. 3, the isolation target server device 20 includes a normal job processing management unit 40, a job processing execution unit 41, an emergency job processing management unit 42, an emergency job processing determination unit 43, and a repair execution processing unit. 44 functions are provided. By executing the job control program recorded in the memory by the processor of the isolation target server device 20, the normal job processing management unit 40, the job processing execution unit 41, the emergency job processing management unit 42, and the emergency job processing determination unit 43 is realized. Further, the repair execution processing unit 44 is realized by executing the quarantine program.

通常時ジョブ処理管理部40は、通常時のパーソナルコンピュータ14から入力された処理要求に応じたジョブの処理を管理する。通常時ジョブ処理管理部40は、複数のパーソナルコンピュータ14からの処理要求をキューにより管理する。   The normal job processing management unit 40 manages job processing in response to a processing request input from the normal personal computer 14. The normal time job processing management unit 40 manages processing requests from a plurality of personal computers 14 in a queue.

ジョブ処理実行部41は、通常時ジョブ処理管理部40の管理のもとで、パーソナルコンピュータ14から入力された処理要求に応じたジョブ(例えば、プリンタ機能による文書の印刷、スキャナ機能による文書のスキャン等)を実行する。   The job processing execution unit 41 is under the management of the normal time job processing management unit 40 and responds to a processing request input from the personal computer 14 (for example, printing a document using a printer function, scanning a document using a scanner function). Etc.).

緊急時ジョブ処理管理部42は、検疫ネット管理装置32により隔離対象サーバ機器20からセキュリティ上の異常が検出された場合に、緊急時ジョブ処理判定部43による処理判定に応じて、通常時ジョブ処理管理部40により管理されているジョブについて、検疫処理(修復)前にジョブを実行する、検疫処理(修復)後にジョブを実行する、あるいはジョブの実行を中止するかを制御する。   The emergency job processing management unit 42 performs normal job processing according to the processing determination by the emergency job processing determination unit 43 when the quarantine network management device 32 detects a security abnormality from the isolation target server device 20. Controls whether a job managed by the management unit 40 is executed before quarantine processing (repair), executed after quarantine processing (repair), or job execution is stopped.

緊急時ジョブ処理判定部43は、隔離対象サーバ機器20が隔離ゾーン12に隔離された場合に、通常時ジョブ処理管理部40により管理されたジョブの内容(例えば、処理データの機密度など)や検疫ネット管理装置32の転送判断処理部52による判断結果(例えば、ジョブ転送先機器の有無、ジョブ転送先の負荷状況)に応じて、通常時ジョブ処理管理部40により管理されたジョブに対する処理を判定する。すなわち検疫処理(修復)前にジョブを実行する、検疫処理(修復)後にジョブを実行する、あるいはジョブの実行を中止するかを判定する。   The emergency job processing determination unit 43, when the server device 20 to be isolated is isolated in the isolation zone 12, the job contents managed by the normal job processing management unit 40 (for example, sensitivity of processing data) Depending on the determination result by the transfer determination processing unit 52 of the quarantine network management device 32 (for example, the presence or absence of a job transfer destination device, the load status of the job transfer destination), processing for a job managed by the normal job processing management unit 40 is performed. judge. That is, it is determined whether to execute the job before the quarantine process (repair), to execute the job after the quarantine process (repair), or to cancel the job execution.

修復実行処理部44は、通常時ジョブ処理管理部40により管理されたジョブに対する取り扱いが決定された後、隔離機器修復装置34から指示される修復処理を実行する。 Repair execution unit 44 after handling for a job which is managed by the normal job processing management unit 40 is determined, it executes a restoration processing instructed from quarantine equipment repair apparatus 34.

また、検疫ネット管理装置32には、サービス中央制御管理部50、転送判断情報管理部51、転送判断処理部52、及び修復実行指示部53の機能が設けられる。   In addition, the quarantine network management device 32 is provided with functions of a service central control management unit 50, a transfer determination information management unit 51, a transfer determination processing unit 52, and a repair execution instruction unit 53.

サービス中央制御管理部50は、検疫処理の対象とする異常が検出された隔離対象サーバ機器20に対して、キュー(処理待ちのジョブ)に対する処理のタイミングと修復するタイミングを調整するための制御を行なう。サービス中央制御管理部50は、転送判断情報管理部51と転送判断処理部52により、隔離対象サーバ機器20のジョブ転送を制御し、修復実行指示部53により隔離対象サーバ機器20の修復を制御する。サービス中央制御管理部50は、ネットワーク25を介して接続された隔離対象サーバ機器20及びサーバ機器23(通常時ジョブ処理管理部)のそれぞれからキュー(処理待ちのジョブ)に関するデータを取得して、転送判断情報管理部51に提供する。キュー(処理待ちのジョブ)に関するデータには、処理待ちのジョブの処理内容やデータサイズが含まれる。   The service central control management unit 50 performs control for adjusting the processing timing for the queue (job waiting for processing) and the repair timing for the isolation target server device 20 in which an abnormality to be quarantined is detected. Do. The service central control management unit 50 controls the job transfer of the isolation target server device 20 by the transfer determination information management unit 51 and the transfer determination processing unit 52, and controls the repair of the isolation target server device 20 by the repair execution instruction unit 53. . The service central control management unit 50 acquires data related to queues (jobs waiting for processing) from each of the isolation target server device 20 and the server device 23 (normal job processing management unit) connected via the network 25, and This is provided to the transfer determination information management unit 51. The data related to the queue (job waiting for processing) includes the processing content and data size of the job waiting for processing.

転送判断情報管理部51は、サービス中央制御管理部50により隔離対象サーバ機器20及びサーバ機器23から取得されたキュー(処理待ちのジョブ)に関するデータを管理する。   The transfer determination information management unit 51 manages data related to queues (jobs waiting to be processed) acquired from the server device 20 to be isolated and the server device 23 by the service central control management unit 50.

転送判断処理部52は、転送判断情報管理部51により管理されたデータをもとに、隔離対象サーバ機器20が管理するキューのジョブを他のサーバ機器23に転送するタイミングを判断し、隔離対象サーバ機器20の緊急時ジョブ処理判定部43を通じてジョブの転送処理を実行させる。   Based on the data managed by the transfer determination information management unit 51, the transfer determination processing unit 52 determines the timing of transferring a queue job managed by the isolation target server device 20 to another server device 23, and The job transfer process is executed through the emergency job process determination unit 43 of the server device 20.

修復実行指示部53は、サービス中央制御管理部50の制御のもとで、隔離機器修復装置34に対して隔離対象サーバ機器20の修復実行を指示する。   The repair execution instructing unit 53 instructs the isolation device repairing device 34 to execute repair of the isolation target server device 20 under the control of the service central control management unit 50.

また、サーバ機器23は、隔離対象サーバ機器20のジョブの転送先として検疫ネット管理装置32により選択されたもので、通常時ジョブ処理管理部60、ジョブ処理実行部61が設けられる。
なお、通常時ジョブ処理管理部60とジョブ処理実行部61は、それぞれ隔離対象サーバ機器20の通常時ジョブ処理管理部40、ジョブ処理実行部41に相当し、基本的に同様の機能を有している。ただし、通常時ジョブ処理管理部60は、隔離対象サーバ機器20の通常時ジョブ処理管理部40からジョブが転送されると、他のパーソナルコンピュータ14等から入力された処理要求に応じたジョブと同様にキューにより管理して、ジョブ処理実行部61により処理させる。 The server device 23 is selected by the quarantine network management device 32 as a job transfer destination of the server device 20 to be quarantined, and includes a normal time job processing management unit 60 and a job processing execution unit 61.
The normal time job processing management unit 60 and the job processing execution unit 61 correspond to the normal time job processing management unit 40 and the job processing execution unit 41 of the server device 20 to be isolated, respectively, and basically have the same functions. ing. However, when the job is transferred from the normal time job processing management unit 40 of the server device 20 to be isolated, the normal time job processing management unit 60 is the same as the job according to the processing request input from the other personal computer 14 or the like. Are managed by the queue and processed by the job processing execution unit 61.

次に、本実施形態におけるコンピュータシステムの動作について説明する。
図4は、本実施形態における隔離対象サーバ機器20(MFP)のキュー(処理待ちのジョブ)に対する処理のタイミングと修復するタイミングを調整するためのMFP処理決定を示すフローチャートである。隔離対象サーバ機器20は、前述したようにMFPであり、ネットワーク25を介して接続された複数のパーソナルコンピュータ14(14−1,…,14−m)から、文書の印刷等の処理要求(ジョブ)が入力される。 Next, the operation of the computer system in this embodiment will be described.
FIG. 4 is a flowchart showing determination of MFP processing for adjusting the processing timing and restoration timing for the queue (job waiting for processing) of the server device 20 to be isolated (MFP) in this embodiment. The server device 20 to be isolated is an MFP as described above, and requests for processing such as document printing (jobs) from a plurality of personal computers 14 (14-1,..., 14-m) connected via the network 25. ) Is entered.

検疫ネット管理装置32は、ネットワーク25に接続された隔離対象サーバ機器20、サーバ機器23を監視し、セキュリティ上の異常が発生していないかチェックしている。ここで、検疫ネット管理装置32は、隔離対象サーバ機器20の異常を検出すると、検疫処理境界装置30及び検疫ネット管理装置32に、隔離対象サーバ機器20の修復指示を送信する(ステップB1)。   The quarantine network management device 32 monitors the isolation target server device 20 and the server device 23 connected to the network 25 and checks whether a security abnormality has occurred. When the quarantine network management device 32 detects an abnormality in the quarantine target server device 20, the quarantine network management device 32 transmits a repair instruction for the quarantine target server device 20 to the quarantine processing boundary device 30 and the quarantine network management device 32 (step B1).

また、検疫ネット管理装置32は、隔離対象サーバ機器20に対して、対象処理(ジョブ)が制御下にあるかをチェックするよう指示する(ステップB2)。緊急時ジョブ処理判定部43は、検疫ネット管理装置32からの指示に応じて、通常時ジョブ処理管理部40によりキューのジョブが制御されているかを判別する。   Further, the quarantine network management apparatus 32 instructs the isolation target server device 20 to check whether the target process (job) is under control (step B2). In response to an instruction from the quarantine network management device 32, the emergency job processing determination unit 43 determines whether the queue job is controlled by the normal job processing management unit 40.

ここで、制御不能であると判別された場合(ステップB3、No)、緊急時ジョブ処理判定部43は、隔離対象サーバ機器20を再起動するようMFP処理決定処理を中止する(ステップB4)。これにより、通常時ジョブ処理管理部40により管理されていたキューは全てフラッシュ(無効)される。すなわち、検疫ネット管理装置32により異常が検出され、制御不能となった状態においては、予測不能の障害発生を回避するため、ジョブの実行を断念して強制的に処理を終了する。   If it is determined that control is impossible (No in Step B3), the emergency job process determination unit 43 stops the MFP process determination process so as to restart the isolation target server device 20 (Step B4). As a result, all the queues managed by the normal job processing management unit 40 are flushed (invalidated). In other words, in the state where an abnormality is detected by the quarantine network management device 32 and control becomes impossible, the execution of the job is abandoned and the process is forcibly terminated in order to avoid an unpredictable failure.

一方、制御可能であると判別された場合(ステップB3、Yes)、緊急時ジョブ処理判定部43は、検疫ネット管理装置32に通知する。検疫ネット管理装置32は、検疫処理境界装置30に対して、隔離対象サーバ機器20を隔離ゾーン12に隔離するよう指示する。また、検疫ネット管理装置32は、隔離対象サーバ機器20(緊急時ジョブ処理判定部43)に対して、隔離対象サーバ機器20のジョブの転送先候補となるサーバ機器23に関するデータを送信する。   On the other hand, when it is determined that the control is possible (step B3, Yes), the emergency job processing determination unit 43 notifies the quarantine network management device 32. The quarantine network management device 32 instructs the quarantine processing boundary device 30 to isolate the isolation target server device 20 into the isolation zone 12. In addition, the quarantine network management device 32 transmits data related to the server device 23 that is a job transfer destination candidate of the isolation target server device 20 to the isolation target server device 20 (emergency job processing determination unit 43).

検疫処理境界装置30は、検疫ネット管理装置32からの指示に応じて、隔離対象サーバ機器20を論理的なセキュアゾーン10から隔離ゾーン12に接続を切り替える。   The quarantine processing boundary device 30 switches the connection of the quarantine target server device 20 from the logical secure zone 10 to the quarantine zone 12 in response to an instruction from the quarantine network management device 32.

隔離対象サーバ機器20の緊急時ジョブ処理判定部43は、隔離ゾーン12に接続が切り替えられると、通常時ジョブ処理管理部40のキューにあるジョブが対象とするデータの機密度(重要度)をチェックして、予め決められた基準値より高いかを判定する(ステップB6)。   When the connection to the quarantine zone 12 is switched, the emergency job processing determination unit 43 of the quarantine target server device 20 determines the confidentiality (importance) of the data targeted by the job in the queue of the normal time job processing management unit 40. A check is made to determine whether it is higher than a predetermined reference value (step B6).

例えば、隔離対象サーバ機器20のプリンタ機能によって文書を印刷するジョブの場合、印刷対象とする文書の機密度をチェックする。文書の機密度は、例えば文書中に文字列やすかしデータなどによって5段階で示されているものとする。あるいは、文書印刷の処理要求時に利用者が機密度(例えば5段階)を指定するようにしても良い。緊急時ジョブ処理判定部43は、例えば機密度が4以上であった場合に機密度が高いと判定する。   For example, in the case of a job for printing a document by the printer function of the server device 20 to be quarantined, the confidentiality of the document to be printed is checked. It is assumed that the confidentiality of a document is indicated in five stages by, for example, a character string or watermark data in the document. Alternatively, the user may specify the confidentiality (for example, five levels) when requesting a document printing process. The emergency job processing determination unit 43 determines that the confidentiality is high, for example, when the confidentiality is 4 or more.

ここで、ジョブの対象とするデータの機密度が高いと判定された場合(ステップB7、No)、緊急時ジョブ処理判定部43は、ジョブを他のサーバ機器23に転送できないものとしてMFP処理決定処理を中止する(ステップB4)。すなわち、隔離対象サーバ機器20にセキュリティ上の問題がある状態でジョブを他のサーバ機器23に転送した場合、このサーバ機器23において実行されたジョブが正常に実行されず、例えば機密度の高い文書が転送先で記録されたり、外部に出力されるといった不正な処理が実行されることを回避する。また、隔離対象サーバ機器20においても正常ではないため機密度が高い文書に対するジョブを実行しない。   Here, when it is determined that the confidentiality of the data targeted for the job is high (No in step B7), the emergency job processing determination unit 43 determines that the job cannot be transferred to another server device 23 and determines the MFP processing. Processing is stopped (step B4). In other words, when a job is transferred to another server device 23 in a state where there is a security problem in the server device 20 to be quarantined, the job executed in this server device 23 is not executed normally, for example, a highly sensitive document Is prevented from being executed illegally, such as being recorded at the transfer destination or output to the outside. Further, since the server device 20 to be isolated is not normal, a job for a highly confidential document is not executed.

一方、ジョブの対象とするデータの機密度が低いと判定された場合(ステップB7、Yes)、緊急時ジョブ処理判定部43は、検疫ネット管理装置32から受信したジョブの転送先候補となるサーバ機器23に関するデータをもとに、転送先候補が存在するか判別する。すなわち、セキュアゾーン10に隔離対象サーバ機器20のジョブを代替して実行可能なサーバ機器23が存在しているかを判別する。ここで、隔離対象サーバ機器20と同一のサーバ機器23である必要はなく、ジョブを代替して実行可能であれば良い。   On the other hand, when it is determined that the confidentiality of the data to be processed by the job is low (Yes in Step B7), the emergency job processing determination unit 43 is a server that is a transfer destination candidate for the job received from the quarantine network management device 32. Based on the data related to the device 23, it is determined whether there is a transfer destination candidate. That is, it is determined whether there is a server device 23 that can be executed instead of the job of the server device 20 to be isolated in the secure zone 10. Here, it is not necessary that the server device 23 is the same as the server device 20 to be isolated, as long as it can be executed instead of the job.

ここで、ジョブの転送先候補が複数存在する場合には、緊急時ジョブ処理判定部43は、所定の条件に従って転送先とするサーバ機器23を選択する。例えば、隔離対象サーバ機器20に対して予め決められたサーバ機器23(設置場所が近いなど)や、複数のサーバ機器23に対して予め決められた順番(ローテーション)のサーバ機器23、あるいは負荷が少ない(キューのジョブが少ない)状態にあるサーバ機器23などを選択する。   Here, when there are a plurality of job transfer destination candidates, the emergency job processing determination unit 43 selects the server device 23 as the transfer destination according to a predetermined condition. For example, a server device 23 that is predetermined with respect to the server device 20 to be quarantined (eg, the installation location is close), a server device 23 in a predetermined order (rotation) with respect to the plurality of server devices 23, or a load The server device 23 or the like that is in a small state (the number of jobs in the queue is small) is selected.

転送先候補が存在する場合には(ステップB9、Yes)、検疫ネット管理装置32の転送判断処理部52は、緊急時ジョブ処理判定部43により選択されたサーバ機器23を対象として転送可否判断処理を実行する(ステップB10)。転送可否判断処理では、通常時ジョブ処理管理部40によりキューで管理されているジョブを、サーバ機器23に転送して実行させるか、あるいはジョブの転送をしないでそのまま隔離対象サーバ機器20において実行させるかを判断する。ここでは、ジョブの処理が完了するまでに要する時間に基づいて判断する。   When there is a transfer destination candidate (step B9, Yes), the transfer determination processing unit 52 of the quarantine network management device 32 performs transfer permission determination processing for the server device 23 selected by the emergency job processing determination unit 43. Is executed (step B10). In the transfer permission / inhibition determination process, the job managed in the queue by the normal time job processing management unit 40 is transferred to the server device 23 and executed, or is executed as it is in the isolation target server device 20 without transferring the job. Determine whether. Here, the determination is made based on the time required to complete the job processing.

例えば、転送判断処理部52は、対象とするジョブについて、図5(a)に示すように、隔離対象サーバ機器20において実行した場合に要する時間と、図5(b)に示すように、サーバ機器23に転送して実行した場合に要する時間とを比較する。   For example, as shown in FIG. 5A, the transfer determination processing unit 52 determines the time required for execution in the isolation target server device 20 as shown in FIG. 5A and the server as shown in FIG. The time required for execution by transferring to the device 23 is compared.

図5(a)では、隔離対象サーバ機器20において実行した場合に要する時間として、例えば、対象とするジョブの前にあるキュー(他のジョブ)の処理に要する推定処理時間と、対象とするジョブ単体の実行に要する単体処理時間と、予め設定された許容時間パラメータ(パラメータk(単位:時間))とを加算して求める。ジョブ単体の実行に要する単体処理時間は、処理内容とデータサイズに基づいて算出される。許容時間パラメータは、ジョブを転送することで増大する処理時間に対する許容可能な時間が設定される。ここで、推定処理時間と単体処理時間の合計をT1、許容時間パラメータが示す時間をkとする。   In FIG. 5A, as the time required for execution in the isolation target server device 20, for example, the estimated processing time required for processing of a queue (other job) before the target job, and the target job It is obtained by adding a single processing time required for single execution and a preset allowable time parameter (parameter k (unit: time)). The single processing time required for executing a single job is calculated based on the processing content and the data size. The allowable time parameter is set to an allowable time for a processing time that is increased by transferring a job. Here, the total of the estimated processing time and the single processing time is T1, and the time indicated by the allowable time parameter is k.

図5(b)では、サーバ機器23に転送して実行した場合に要する時間として、例えば、転送先のサーバ機器23で管理されている転送したジョブの前に処理待ちとなっているキュー(他のジョブ)の処理に要する推定処理時間と、隔離対象サーバ機器20からサーバ機器23へのジョブ転送に要する推定転送時間と、対象とするジョブ単体の実行に要する単体処理時間とを加算して求める。推定転送時間は、転送先としてサーバ機器23が選択された際にスループット情報を収集しておき、この情報をもとに算出することができる。ここで、推定処理時間と推定転送時間と単体処理時間の合計をT2とする。   In FIG. 5B, as the time required for transfer to the server device 23 and execution, for example, a queue (others) waiting for processing before the transferred job managed by the transfer destination server device 23 The estimated processing time required for processing the job), the estimated transfer time required for job transfer from the server device 20 to be isolated to the server device 23, and the single processing time required for executing the target job alone are obtained. . The estimated transfer time can be calculated based on the throughput information collected when the server device 23 is selected as the transfer destination. Here, the total of the estimated processing time, the estimated transfer time, and the single processing time is T2.

転送判断処理部52は、(T1+k)<T2である場合には、ジョブを転送しないで隔離対象サーバ機器20で実行するものと判断し、(T1+k)>=T2である場合には、ジョブを転送してサーバ機器23で実行するものと判断する。   If (T1 + k) <T2, the transfer determination processing unit 52 determines that the job is to be executed by the server 20 to be isolated without transferring the job. If (T1 + k)> = T2, the transfer determination processing unit 52 determines that the job is to be executed. It is determined that the data is transferred and executed by the server device 23.

本来、隔離対象サーバ機器20に異常が発生しているために直ちに検疫処理(修復)に移行すべきであるため、許容時間を考慮した時間内で転送先でジョブを実行可能であればジョブを転送するものと判断する。   Originally, because an abnormality has occurred in the server device 20 to be quarantined, it should be immediately transferred to the quarantine process (repair). Therefore, if the job can be executed at the transfer destination within a time that takes into account the allowable time, Judge that it is to be transferred.

転送判断処理部52は、ジョブを転送すると判断した場合(ステップB11、Yes)、緊急時ジョブ処理判定部43に通知する。緊急時ジョブ処理管理部42は、通常時ジョブ処理管理部40により管理されている対象とするジョブを、転送先として選択しているサーバ機器23(通常時ジョブ処理管理部60)に転送する(ステップB12)。   When it is determined that the job is to be transferred (Yes in step B11), the transfer determination processing unit 52 notifies the emergency job processing determination unit 43. The emergency job processing management unit 42 transfers the target job managed by the normal job processing management unit 40 to the server device 23 (normal job processing management unit 60) selected as the transfer destination ( Step B12).

サービス中央制御管理部50は、隔離対象サーバ機器20によりジョブの転送が終了した後、修復実行指示部53を通じて、隔離対象サーバ機器20に対する異常に応じた検疫処理(修復)を指示する。隔離機器修復装置34は、修復実行指示部53からの指示に応じて、隔離対象サーバ機器20に生じている異常に応じた修復、例えば最新修正プログラム(パッチ)を適用するなどの処理を修復実行処理部44により実行させる。修復実行処理部44は、隔離機器修復装置34の制御のもとで修復を実行する。   The service central control management unit 50 instructs the quarantine process (repair) according to the abnormality to the quarantine target server device 20 through the repair execution instructing unit 53 after the job transfer is completed by the quarantine target server device 20. In response to an instruction from the repair execution instructing unit 53, the isolated device repair device 34 performs repair according to an abnormality occurring in the isolation target server device 20, for example, applying a latest correction program (patch). It is executed by the processing unit 44. The repair execution processing unit 44 executes the repair under the control of the isolation device repair device 34.

一方、転送判断処理部52は、ジョブを転送しないと判断した場合(ステップB11、No)、処理続行判定処理を実行する(ステップB13)。処理続行判定処理では、通常時ジョブ処理管理部40によりキューで管理されているジョブを、修復前に処理するか、修復後に処理するか、あるいは処理を中止するかを、ジョブの処理にかかる予想時間とジョブに対して設定されている隔離処理時専用(緊急時)処理時間期待限度値(以下、期待限度値)及び処理続行フラグに基づいて判定する。期待限度値と処理続行フラグは、例えばジョブの処理対象とする処理データに含めるようにしても良いし、予め検疫ネット管理装置32の管理者が予め設定しておくようにしても良い。   On the other hand, when determining that the job is not to be transferred (step B11, No), the transfer determination processing unit 52 executes a process continuation determination process (step B13). In the process continuation determination process, whether the job managed in the queue by the normal time job process management unit 40 is processed before the repair, processed after the repair, or the process is predicted is to be processed. Judgment is made on the basis of the processing time expectation limit value (hereinafter referred to as the expectation limit value) and the processing continuation flag that are set for the time and the job and are used exclusively for isolation processing (emergency). The expected limit value and the processing continuation flag may be included in, for example, processing data to be processed by the job, or may be set in advance by the administrator of the quarantine network management device 32.

期待限度値は、ジョブ処理に要する時間の許容限度を示すものである。期待限度値は、処理要求時に利用者が指定しても良いし、通常時の処理時間期待値Tなどのデータを既に記録している場合には、この処理時間期待値Tに固定値を加算した値(T+600(sec)など)により代替させても良い。また、処理続行フラグは、ジョブの処理を続行すると期待限度値が示す時間を越える場合に、ジョブの処理を続行させるか、あるいは処理中止とするかを示す。   The expected limit value indicates an allowable limit of time required for job processing. The expected limit value may be specified by the user at the time of processing request, or when data such as the normal processing time expected value T has already been recorded, a fixed value is added to the processing time expected value T. The value may be replaced by a value (T + 600 (sec) or the like). The processing continuation flag indicates whether the job processing is to be continued or the processing is to be stopped when the time indicated by the expected limit value exceeds when the job processing is continued.

例えば、通常時ジョブ処理管理部40には、図6に示すように、ジョブが管理されているものとする。すなわち、キューにはジョブA,B,C,D,E,F,Gが存在している。転送判断処理部52は、ジョブA,B,C,D,E,F,Gのそれぞれの単体処理時間ta,tb,tc,td,te,tf,tgをもとに、各ジョブA〜Gの処理に掛かる予想時間を算出する。   For example, it is assumed that the normal job processing management unit 40 manages jobs as shown in FIG. That is, jobs A, B, C, D, E, F, and G exist in the queue. The transfer determination processing unit 52 uses the jobs A to G based on the single processing times ta, tb, tc, td, te, tf, and tg of the jobs A, B, C, D, E, F, and G, respectively. The expected time required for the process is calculated.

図7(a)に示すように、ジョブEを対象とした場合、ジョブEを処理するまでに要する予想時間Tは、キューのジョブEまでの各ジョブの単体処理時間ta,tb,tc,td,teの合計となる。転送判断処理部52は、予想時間Tと、ジョブEに対して設定されている期待限度値Teとを比較する。   As shown in FIG. 7A, when job E is targeted, the expected time T required to process job E is the single processing time ta, tb, tc, td of each job up to job E in the queue. , Te. The transfer determination processing unit 52 compares the expected time T with the expected limit value Te set for the job E.

その結果、T<Teである場合には、期待限度値Teが示す時間が経過する前にジョブの処理が完了すると予想されるため、修復前にジョブの処理を実行するものと判定する(ステップB14(Yes)、ステップB15、(ステップB16(Yes))。   As a result, if T <Te, the job processing is expected to be completed before the time indicated by the expected limit value Te elapses, so it is determined that the job processing is executed before the repair (step B14 (Yes), Step B15, (Step B16 (Yes)).

また、T>=Teであり、処理続行フラグがジョブの処理を続行を示す場合、修復後にジョブの処理を実行するものと判定する(ステップB14(Yes)、ステップB15、(ステップB16(No))。図7(b)では、ジョブEについての処理続行フラグが「○」である(ジョブの処理を続行を示す)ため、ジョブEについては修復後にジョブEを実行する。   When T> = Te and the processing continuation flag indicates that the job processing is continued, it is determined that the job processing is to be executed after the repair (step B14 (Yes), step B15, (step B16 (No)). 7B, since the processing continuation flag for job E is “◯” (indicating continuation of job processing), for job E, job E is executed after repair.

また、T>=Teであり、処理続行フラグがジョブの処理中止を示す場合、ジョブの処理を中止するものと判定する(ステップB14、No)。   If T> = Te and the processing continuation flag indicates that the job processing is to be stopped, it is determined that the job processing is to be stopped (No in step B14).

修復前にジョブの処理を実行するものと判定した場合(ステップB16、Yes)、緊急時ジョブ処理管理部42は、通常時ジョブ処理管理部40により該当するジョブをジョブ処理実行部41により実行させる(ステップB19)。ジョブの処理が完了すると、緊急時ジョブ処理判定部43から検疫ネット管理装置32に通知される。   When it is determined that the job processing is to be executed before the repair (Yes in Step B16), the emergency job processing management unit 42 causes the job processing execution unit 41 to execute the corresponding job by the normal job processing management unit 40. (Step B19). When the job processing is completed, the emergency job processing determination unit 43 notifies the quarantine network management device 32 of the job processing.

検疫ネット管理装置32(サービス中央制御管理部50)は、隔離対象サーバ機器20によりジョブの処理が終了した後、修復実行指示部53を通じて、隔離対象サーバ機器20に対する異常に応じた検疫処理(修復)を隔離機器修復装置34に指示する。隔離機器修復装置34は、修復実行指示部53からの指示に応じて、隔離対象サーバ機器20に生じている異常に応じた修復を修復実行処理部44により実行させる(ステップB20)。修復実行処理部44は、隔離機器修復装置34の制御のもとで修復を実行する。   The quarantine network management device 32 (service central control management unit 50) performs a quarantine process (repair) according to an abnormality to the quarantine target server device 20 through the repair execution instruction unit 53 after the job processing by the quarantine target server device 20 is completed. ) To the isolation device repair device 34. In response to an instruction from the repair execution instructing unit 53, the isolation device repairing apparatus 34 causes the repair execution processing unit 44 to perform repair according to the abnormality occurring in the isolation target server device 20 (step B20). The repair execution processing unit 44 executes the repair under the control of the isolation device repair device 34.

また、修復後にジョブの処理を実行するものと判定した場合(ステップB16、No)、緊急時ジョブ処理管理部42は、通常時ジョブ処理管理部40により該当するジョブを一時保存させる。ジョブは、信頼のおけるところ(セキュア)に保存されるものとする。例えば、TPM機構やセキュリティHDD等を用いることができる。   If it is determined that the job processing is to be executed after the restoration (step B16, No), the emergency job processing management unit 42 causes the normal job processing management unit 40 to temporarily store the corresponding job. The job is stored in a reliable place (secure). For example, a TPM mechanism or a security HDD can be used.

検疫ネット管理装置32(サービス中央制御管理部50)は、隔離対象サーバ機器20によりジョブが保存されると、修復実行指示部53を通じて、隔離対象サーバ機器20に対する異常に応じた検疫処理(修復)を隔離機器修復装置34に指示する。隔離機器修復装置34は、修復実行指示部53からの指示に応じて、隔離対象サーバ機器20に生じている異常に応じた修復を修復実行処理部44により実行させる(ステップB17)。   When the job is stored by the quarantine target server device 20, the quarantine network management device 32 (service central control management unit 50) performs a quarantine process (repair) according to an abnormality to the quarantine target server device 20 through the repair execution instruction unit 53. To the isolation device repair device 34. In response to the instruction from the repair execution instructing unit 53, the isolation device repairing apparatus 34 causes the repair execution processing unit 44 to perform repair according to the abnormality occurring in the isolation target server device 20 (step B17).

修復実行処理部44による修復が完了すると、通常時ジョブ処理管理部40により、一時保存したジョブを元の状態に戻した(正常化)後、このジョブの処理をジョブ処理実行部41により実行させる。   When the repair execution processing unit 44 completes the repair, the normal job processing management unit 40 returns the temporarily stored job to the original state (normalization), and then the job processing execution unit 41 executes the job processing. .

このようにして、転送可否判断処理と処理続行判定処理の結果に応じて、隔離対象サーバ機器20のキュー(処理待ちのジョブ)に対する処理のタイミングと修復するタイミングを調整することで、セキュリティ上の異常を排除する対応を進めながら、許容できる範囲でジョブの処理を実行してサービス提供を継続することができる。   In this way, by adjusting the processing timing and the restoration timing for the queue (job waiting for processing) of the server device 20 to be isolated according to the results of the transfer permission determination processing and the processing continuation determination processing, While proceeding with measures to eliminate abnormalities, job processing can be executed within an allowable range and service provision can be continued.

なお、前述した説明では、転送可否判断処理、処理続行判定処理を検疫ネット管理装置32(転送判断処理部52)において実行するものとして説明しているが、これらの処理を隔離対象サーバ機器20(緊急時ジョブ処理判定部43)によって実行するものとしても良い。隔離対象サーバ機器20の緊急時ジョブ処理判定部43は、処理に必要な他のサーバ機器23のジョブに関するデータ等を検疫ネット管理装置32から取得して、前述と同様の処理を実行すれば良い。   In the above description, the transfer permission determination process and the process continuation determination process are described as being executed in the quarantine network management device 32 (transfer determination processing unit 52). It may be executed by the emergency job processing determination unit 43). The emergency job processing determination unit 43 of the server device 20 to be quarantined may acquire the data related to the job of the other server device 23 necessary for the processing from the quarantine network management device 32 and execute the same processing as described above. .

また、前述した説明では、サーバ機器20,23をMFPとして説明しており、ジョブの処理内容や処理対象とするデータサイズがジョブ毎に異なるため、前述した単体処理時間や期待限度値などがジョブ毎に異なっている。これに対して、ジョブの処理対象とするデータのサイズが均一で即応性が求められるコンピュータシステムでは、前述した処理を簡略化して実行することができる。例えば、POS(Point of Sales)システムでは、処理データが同一サイズであり、即応性が重視されるシステムである。以下、POSシステムを対象とした場合について説明する。   In the above description, the server devices 20 and 23 are described as MFPs. Since the job processing content and the data size to be processed differ for each job, the above-described single processing time, expected limit value, etc. Every one is different. In contrast, in a computer system in which the size of data to be processed by a job is uniform and quick response is required, the above-described processing can be simplified and executed. For example, in a POS (Point of Sales) system, processing data is the same size, and responsiveness is important. Hereinafter, a case where the POS system is targeted will be described.

図8は、本実施形態におけるPOSシステムを対象とした場合の隔離対象サーバ機器20のキューに対する処理のタイミングと修復するタイミングを調整するためのPOS処理決定を示すフローチャートである。例えば、隔離対象サーバ機器20は、店舗サーバであり、ネットワーク25を介して接続された複数のPOS端末(パーソナルコンピュータ14(14−1,…,14−m))から売り上げ情報などを含むPOSデータが入力される。   FIG. 8 is a flowchart showing POS processing determination for adjusting the processing timing for the queue of the server device 20 to be isolated and the repair timing when the POS system in this embodiment is targeted. For example, the server device 20 to be isolated is a store server, and POS data including sales information from a plurality of POS terminals (personal computers 14 (14-1,..., 14-m)) connected via the network 25. Is entered.

図8に示すステップA1〜A5の処理は、図4に示すMFP処理決定処理のステップB1〜B5と同様にして実行される(詳細な説明を省略する)。POSシステムでは、データが均一であり重要度(機密度)にも違いがないため、図4のフローチャートにおける機密度に関する処理は省略できる。   The processing of steps A1 to A5 shown in FIG. 8 is executed in the same manner as steps B1 to B5 of the MFP processing determination processing shown in FIG. 4 (detailed description is omitted). In the POS system, the data is uniform and there is no difference in the importance (sensitivity), so the processing related to the confidentiality in the flowchart of FIG. 4 can be omitted.

また、ステップA6〜A7,A10〜A12の処理は、図4に示すMFP処理決定処理のステップB8〜B12と同様にして実行される(詳細な説明を省略する)。ただし、POSシステムでは、ジョブのデータが均一(同セル化、同サイズ)であるため、転送可否判断処理における判断を簡略化することができる。すなわち、キューの順番に対して固定の閾値kを設定し、この閾値kと対象とするジョブのキューの順番とを単純に比較して判断する。   Further, the processes of steps A6 to A7 and A10 to A12 are executed in the same manner as steps B8 to B12 of the MFP process determination process shown in FIG. 4 (detailed description is omitted). However, in the POS system, the job data is uniform (the same cell size and the same size), so the determination in the transfer availability determination process can be simplified. That is, a fixed threshold value k is set for the queue order, and this threshold value k is simply compared with the target job queue order for determination.

例えば、通常時ジョブ処理管理部40には、図9に示すように、キューにはジョブA,B,C,D,E,F,Gが存在している。ここで、図9に示すように、閾値kが設定されているものとすると、この閾値kと対象とするジョブ(例えば、ジョブE)とを比較し、対象ジョブのキュー(先頭から j番目) j < k ならば隔離対象サーバ機器20においてジョブを処理し(ステップA11、No)、j >= k ならば(ステップA11、Yes)、他のPOSシステムへジョブを転送すると判定する。   For example, as shown in FIG. 9, in the normal job processing management unit 40, jobs A, B, C, D, E, F, and G exist in the queue. Here, as shown in FIG. 9, if a threshold value k is set, the threshold value k is compared with the target job (for example, job E), and the target job queue (jth from the head) is compared. If j <k, the job is processed in the isolation target server device 20 (step A11, No), and if j> = k (step A11, Yes), it is determined that the job is transferred to another POS system.

ステップA8,A9の処理は、図4に示すMFP処理決定処理のステップB17,B18と同様にして実行される(詳細な説明を省略する)。   Steps A8 and A9 are executed in the same manner as steps B17 and B18 of the MFP process determination process shown in FIG. 4 (detailed description is omitted).

なお、POSシステムでは、即応性が重視されるため修復処理が完了した後にジョブの処理を続行することはしないものとして、転送先候補が存在しない場合(ステップA7、Yes)、及び転送可否判断処理によって転送不可と判断された場合には(ステップA11、No)、ジョブの処理を終了させるようにしても良い。   In the POS system, since the responsiveness is emphasized, it is assumed that the job process is not continued after the repair process is completed. If there is no transfer destination candidate (Yes in step A7), and the transfer availability determination process If it is determined that transfer is impossible (No in step A11), the job processing may be terminated.

このようにして、POSシステムのようなデータを扱うシステムでは、より簡略化した処理によって、セキュリティ上の異常を排除する対応を進めながら、許容できる範囲でジョブの処理を実行してサービス提供を継続することができる。   In this way, a system that handles data, such as a POS system, continues to provide services by executing job processing within an allowable range while proceeding with countermeasures to eliminate security abnormalities through simplified processing. can do.

また、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組み合せてもよい。   Further, the present invention is not limited to the above-described embodiments as they are, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. Further, various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the embodiment. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, you may combine suitably the component covering different embodiment.

また、前述した実施の形態において記載した処理は、コンピュータに実行させることのできるプログラムとして、例えば磁気ディスク(フレキシブルディスク、ハードディスク等)、光ディスク(CD−ROM、DVD等)、半導体メモリなどの記録媒体に書き込んで各種装置に提供することができる。また、通信媒体により伝送して各種装置に提供することも可能である。コンピュータは、記録媒体に記録されたプログラムを読み込み、または通信媒体を介してプログラムを受信し、このプログラムによって動作が制御されることにより、上述した処理を実行する。   Further, the processing described in the above-described embodiment is a recording medium such as a magnetic disk (flexible disk, hard disk, etc.), optical disk (CD-ROM, DVD, etc.), semiconductor memory, etc., as a program that can be executed by a computer. And can be provided to various devices. It is also possible to transmit to a variety of devices by transmitting via a communication medium. The computer reads the program recorded on the recording medium or receives the program via the communication medium, and the operation is controlled by this program, thereby executing the above-described processing.

10…セキュアゾーン、12…隔離ゾーン、20…隔離対象サーバ機器、23(23−1,23−2,…,23−n)…サーバ機器、30…検疫処理境界装置、32…検疫ネット管理装置、34…隔離機器修復装置、40…通常時ジョブ処理管理部、41…ジョブ処理実行部、42…緊急時ジョブ処理管理部、43…緊急時ジョブ処理判定部、44…修復実行処理部、50…サービス中央制御管理部、51…転送判断情報管理部、52…転送判断処理部、53…修復実行指示部、60…通常時ジョブ処理管理部、61…ジョブ処理実行部。   DESCRIPTION OF SYMBOLS 10 ... Secure zone, 12 ... Isolation zone, 20 ... Isolation object server apparatus, 23 (23-1, 23-2, ..., 23-n) ... Server apparatus, 30 ... Quarantine processing boundary device, 32 ... Quarantine network management device 34 ... Isolated device repair device, 40 ... Normal job processing management unit, 41 ... Job processing execution unit, 42 ... Emergency job processing management unit, 43 ... Emergency job processing determination unit, 44 ... Repair execution processing unit, 50 ... Service central control manager 51 ... Transfer judgment information manager 52 ... Transfer judgment processor 53 ... Repair execution instruction part 60 ... Normal job process manager 61 ... Job process execution part

Claims (6)

論理的な正常ネットワークと制限ネットワークとを設けて、前記制限ネットワークに接続したサーバ機器に対して検疫処理を実行する検疫ネットワークを有するコンピュータシステムであって、
検疫ネット管理装置は、
第1のサーバ機器と第2のサーバ機器におけるキューに関するデータを取得する取得手段と、
前記第1のサーバ機器に障害がある場合に、前記第1のサーバ機器のキューのジョブを前記第2のサーバ機器に転送するか否かを判断する転送可否判断手段と、
前記転送可否判断手段による判断結果に応じて、前記ジョブが前記第2のサーバ機器に転送された場合に、前記第1のサーバ機器に対する修復を実行させる修復実行指示手段とを有し、
前記第1のサーバ機器は、
前記転送可否判断手段により前記ジョブを前記第2のサーバ機器に転送すると判断された場合に、前記ジョブを前記第2のサーバ機器に転送する転送手段と、
前記転送手段による前記ジョブの転送後に、前記修復実行指示手段からの指示に応じて修復を実行する修復実行指示手段とを有したコンピュータシステム。 A computer system having a quarantine network for providing a logical normal network and a restricted network and executing a quarantine process on a server device connected to the restricted network,
Quarantine network management device
An acquisition means for acquiring data relating to a queue in the first server device and the second server device;
Transferability determination means for determining whether to transfer a job of the queue of the first server device to the second server device when there is a failure in the first server device;
According to a determination result by the transfer enable / disable determining unit, a repair execution instructing unit that executes a repair on the first server device when the job is transferred to the second server device;
The first server device is:
Transfer means for transferring the job to the second server device when the transfer permission determination means determines that the job is transferred to the second server device;
A computer system comprising: a repair execution instructing unit that executes a repair in accordance with an instruction from the repair execution instructing unit after the transfer of the job by the transfer unit. 前記転送可否判断手段は、
前記ジョブを前記第1のサーバ機器で実行した場合に要する第1時間を、前記ジョブの前にあるキューの推定処理時間、前記ジョブの実行に要する単体処理時間、及び予め設定された許容時間をもとに算出し、
前記第2のサーバ機器に前記ジョブを転送して実行する場合に要する第2時間を、前記第2のサーバ機器のキューの推定処理時間と、前記ジョブを転送するために要する推定転送時間と、前記単体処理時間をもとに算出し、
前記第1時間と前記第2時間の比較によって判断する請求項1記載のコンピュータシステム。 The transfer permission / inhibition determining means includes:
The first time required when the job is executed by the first server device is the estimated processing time of the queue before the job, the single processing time required for execution of the job, and a preset allowable time. Calculated based on
A second time required to transfer and execute the job to the second server device, an estimated processing time of the queue of the second server device, an estimated transfer time required to transfer the job, Calculate based on the single processing time,
The computer system according to claim 1, wherein the determination is made by comparing the first time and the second time. 前記検疫ネット管理装置は、前記転送可否判断手段により前記ジョブを前記第2のサーバ機器に転送しないと判断された場合に、前記ジョブを実行するまでに要する時間と、前記ジョブに対して予め設定された処理が完了するまでの期待限度値とに基づいて、前記ジョブを修復前に実行するか修復後に実行するかを判定する処理続行判定手段をさらに有する請求項2記載のコンピュータシステム。   The quarantine network management apparatus sets in advance a time required to execute the job and the job in advance when the transfer permission determination unit determines that the job is not transferred to the second server device. The computer system according to claim 2, further comprising a process continuation determining unit that determines whether to execute the job before or after the repair based on an expected limit value until the completed process is completed. 前記転送可否判断手段は、前記キューの順番に対して設定された閾値と、前記ジョブの前記キューの順番との比較結果に基づいて判断する請求項1記載のコンピュータシステム。 The computer system according to claim 1, wherein the transfer enable / disable determining unit determines based on a comparison result between a threshold set for the queue order and the queue order of the job. 前記検疫ネット管理装置は、前記ジョブの対象となるデータの機密度に基づいて、前記ジョブを前記第2のサーバ機器に転送するか否かを判定する機密度チェック手段をさらに有し、
前記転送可否判断手段は、前記機密度チェック手段により転送すると判断された場合に、前記ジョブを前記第2のサーバ機器に転送するか否かを判断する請求項1記載のコンピュータシステム。 The quarantine network management device further includes a confidentiality check unit that determines whether or not to transfer the job to the second server device based on the confidentiality of the data to be processed by the job.
2. The computer system according to claim 1, wherein the transfer enable / disable determining unit determines whether to transfer the job to the second server device when it is determined to be transferred by the confidentiality checking unit. 論理的な正常ネットワークと制限ネットワークとを設けて、前記制限ネットワークに接続したサーバ機器に対して検疫処理を実行する検疫ネットワークを有するコンピュータシステムにおけるジョブ制御方法であって、
検疫ネット管理装置は、
第1のサーバ機器と第2のサーバ機器におけるキューに関するデータを取得し、
前記第1のサーバ機器に障害がある場合に、前記第1のサーバ機器のキューのジョブを前記第2のサーバ機器に転送するか否かの転送可否判断をし
前記転送可否判断に応じて、前記ジョブが前記第2のサーバ機器に転送された場合に、前記第1のサーバ機器に対する修復を実行させ、
前記第1のサーバ機器は、
前記転送可否判断により前記ジョブを前記第2のサーバ機器に転送すると判断された場合に、前記ジョブを前記第2のサーバ機器に転送し、
前記ジョブの転送後に、修復を実行するジョブ制御方法。 A job control method in a computer system having a quarantine network that performs a quarantine process on a server device connected to the restricted network by providing a logical normal network and a restricted network,
Quarantine network management device
Obtaining data relating to queues in the first server device and the second server device;
If there is a failure in the first server device, a to whether the transfer possibility determination transfer job in the queue of the first server device to the second server device,
If the job is transferred to the second server device in response to the transfer permission determination, the repair for the first server device is executed,
The first server device is:
If it is determined by the transfer permission determination that the job is transferred to the second server device, the job is transferred to the second server device;
A job control method for executing repair after transferring the job.
JP2011206497A 2011-09-21 2011-09-21 Computer system and job control method Expired - Fee Related JP5586551B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011206497A JP5586551B2 (en) 2011-09-21 2011-09-21 Computer system and job control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011206497A JP5586551B2 (en) 2011-09-21 2011-09-21 Computer system and job control method

Publications (2)

Publication Number Publication Date
JP2013069075A JP2013069075A (en) 2013-04-18
JP5586551B2 true JP5586551B2 (en) 2014-09-10

Family

ID=48474730

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011206497A Expired - Fee Related JP5586551B2 (en) 2011-09-21 2011-09-21 Computer system and job control method

Country Status (1)

Country Link
JP (1) JP5586551B2 (en)

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003256222A (en) * 2002-03-04 2003-09-10 Matsushita Electric Ind Co Ltd Distributed processing system, distributed job processing method and program
JP3951835B2 (en) * 2002-07-03 2007-08-01 株式会社日立製作所 Business management method and business processing system
JP2005031771A (en) * 2003-07-08 2005-02-03 Hitachi Ltd Job scheduling management method, system, and program
JP4944369B2 (en) * 2004-08-05 2012-05-30 キヤノン株式会社 Information processing apparatus and control method thereof
JP2008009852A (en) * 2006-06-30 2008-01-17 Nec Corp Load distribution control system and method, and server device
JP2009181498A (en) * 2008-01-31 2009-08-13 Nomura Research Institute Ltd Job processing system and job processing method
JP2010176465A (en) * 2009-01-30 2010-08-12 Seiko Epson Corp Job control device
JP5371095B2 (en) * 2009-04-20 2013-12-18 株式会社日立ソリューションズ Patch application system
JP5515810B2 (en) * 2010-02-05 2014-06-11 日本電気株式会社 Load control device

Also Published As

Publication number Publication date
JP2013069075A (en) 2013-04-18

Similar Documents

Publication Publication Date Title
JP4788808B2 (en) Job processing system, image processing apparatus, virus detection method, and virus detection program
US9244635B2 (en) Printing apparatus, printing apparatus control method, and program
JP4710966B2 (en) Image processing apparatus, image processing apparatus control method, and image processing apparatus control program
EP3255863B1 (en) Apparatus for switching between multiple servers in a web-based system
US8667593B1 (en) Methods and apparatuses for protecting against malicious software
US11930035B2 (en) Communication control system, information processing apparatus, and communication control method
JP2007310722A (en) Print controller, authentication printing system, and print control program
JP5246238B2 (en) Printing system, printing control apparatus, and printing management system
US9372647B2 (en) Image forming apparatus capable of printing image data associated with print right, method of controlling the same, and storage medium
US11991336B2 (en) Information processing apparatus capable of preventing damage and loss of audit log when attack due to unauthorized access is detected, control method for information processing apparatus, and storage medium
US20160044062A1 (en) Information processing system, information processing apparatus, and method for controlling information processing system
US20250298899A1 (en) Information processing apparatus and information processing method
JP5586551B2 (en) Computer system and job control method
JP4944140B2 (en) Network interface device, control method, program, and image forming apparatus
EP1564624A2 (en) Virus protection for multi-function peripherals
US20220342616A1 (en) Image forming apparatus capable of notifying user of error caused due to zt mode, method of controlling image forming apparatus, and storage medium
US20220358207A1 (en) Information processing apparatus, information processing method, and storage medium
US9838433B2 (en) Information processing apparatus and control method for information processing apparatus
US20050177720A1 (en) Virus protection for multi-function peripherals
JP2010271916A (en) Controller, image forming system and program
US12294682B2 (en) Image processing apparatus and method of controlling image processing apparatus for restricting operation to notification information
JP2016179594A (en) Image formation apparatus and program
US11829652B2 (en) Information processing apparatus, information processing method, system, and non-transitory computer-readable storage medium with remote operation and local network
JP6179529B2 (en) File management apparatus, image forming apparatus, file management method, and file management program
US20250280012A1 (en) Information processing apparatus, control method for information processing apparatus, and storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130516

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20131205

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20131212

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20131219

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20131226

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20140109

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140131

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140225

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140414

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140624

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140722

R150 Certificate of patent or registration of utility model

Ref document number: 5586551

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees