一種數(shù)控系統(tǒng)防護(hù)設(shè)備的制作方法
【專利摘要】本發(fā)明公開(kāi)了一種數(shù)控系統(tǒng)防護(hù)設(shè)備�,該設(shè)備包括:串行通信防護(hù)模塊,用于對(duì)傳輸文件進(jìn)行監(jiān)控并利用可配置的關(guān)鍵字過(guò)濾文件對(duì)串口傳輸?shù)奈募?nèi)容實(shí)時(shí)進(jìn)行文件格式和關(guān)鍵字校驗(yàn)��,當(dāng)發(fā)現(xiàn)非法文件和字段時(shí)停止傳輸�;通用串行總線USB通信防護(hù)模塊����,用于將外部存儲(chǔ)設(shè)備空間映射到防護(hù)設(shè)備內(nèi)部���,實(shí)現(xiàn)數(shù)控系統(tǒng)能夠直接訪問(wèn)外部存儲(chǔ)設(shè)備中的內(nèi)容����;網(wǎng)絡(luò)通信防護(hù)模塊��,用于按照白名單機(jī)制只允許格式合法的文件進(jìn)行傳輸�;日志與配置管理模塊,用于對(duì)關(guān)鍵字過(guò)濾文件進(jìn)行管理配置�����,以及對(duì)串行通信防護(hù)模塊���、USB通信防護(hù)模塊與網(wǎng)絡(luò)通信防護(hù)模塊的日志進(jìn)行管理����。通過(guò)采用本發(fā)明公開(kāi)的設(shè)備極大的提高了數(shù)控系統(tǒng)的安全性�����。
【專利說(shuō)明】一種數(shù)控系統(tǒng)防護(hù)設(shè)備
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及數(shù)據(jù)信息安全【技術(shù)領(lǐng)域】,尤其涉及一種數(shù)控系統(tǒng)防護(hù)設(shè)備�����。
【背景技術(shù)】
[0002]目前�����,機(jī)械加工企業(yè)普遍引進(jìn)分布式數(shù)字控制(DNC)加工網(wǎng)絡(luò)技術(shù)���,將數(shù)控機(jī)床與中心控制計(jì)算機(jī)連接起來(lái),實(shí)現(xiàn)制造設(shè)備的集中管理和自動(dòng)化設(shè)計(jì)��、生產(chǎn)���。數(shù)控系統(tǒng)是數(shù)控機(jī)床的控制系統(tǒng)�,與普通計(jì)算機(jī)系統(tǒng)不同�����,作為DNC加工網(wǎng)絡(luò)終端的數(shù)控系統(tǒng)一般無(wú)法更新操作系統(tǒng)補(bǔ)丁�,缺少作為一臺(tái)網(wǎng)絡(luò)終端必需的安全防護(hù)措施,存在嚴(yán)重的信息安全隱患���。DNC加工網(wǎng)絡(luò)在大幅度提高生產(chǎn)效率的同時(shí)�����,也給企業(yè)的信息安全帶來(lái)新的防護(hù)要求����。
[0003]通過(guò)數(shù)控系統(tǒng)對(duì)DNC服務(wù)器或其他聯(lián)網(wǎng)的數(shù)控系統(tǒng)發(fā)起攻擊,可盜取重要加工文件����,造成重要數(shù)據(jù)流失。通過(guò)數(shù)控系統(tǒng)在加工網(wǎng)絡(luò)中進(jìn)行的惡意操作能夠造成整個(gè)加工網(wǎng)絡(luò)癱瘓��。目前��,由于數(shù)控系統(tǒng)在使用和維修過(guò)程中管理松散��,大量不明來(lái)源的文件流入數(shù)控系統(tǒng)��,直接影響數(shù)控系統(tǒng)的運(yùn)行效率�。數(shù)控機(jī)床聯(lián)網(wǎng)數(shù)量的快速增加,也使得工廠管理者和機(jī)床使用者對(duì)于加工過(guò)程的數(shù)據(jù)安全和數(shù)控系統(tǒng)的運(yùn)行安全表示出極大的擔(dān)憂�。所以,一種能夠?qū)?shù)控系統(tǒng)串口、USB接口和網(wǎng)口的輸入輸出數(shù)據(jù)進(jìn)行管控的信息安全防護(hù)設(shè)備��,就顯得極為重要���。
[0004]由于數(shù)控加工網(wǎng)絡(luò)的特殊性��,大部分?jǐn)?shù)控系統(tǒng)通過(guò)串口和網(wǎng)口接入DNC網(wǎng)絡(luò)��,維修中也使用串口、USB接口和網(wǎng)口進(jìn)行調(diào)試?����,F(xiàn)有的信息安全技術(shù)及產(chǎn)品并不能直接用于數(shù)控系統(tǒng)的信息管控�,對(duì)于串口和網(wǎng)口加工信息的過(guò)濾以及USB傳輸控制方面還存在問(wèn)題,產(chǎn)品功能不能滿足用戶的需要����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的是提供一種數(shù)控系統(tǒng)防護(hù)設(shè)備,極大提高了數(shù)控系統(tǒng)的安全性����。
[0006]本發(fā)明的目的是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的:
[0007]一種數(shù)控系統(tǒng)防護(hù)設(shè)備,包括:
[0008]串行通信防護(hù)模塊��,與數(shù)控系統(tǒng)的串口相連��,用于對(duì)傳輸文件進(jìn)行監(jiān)控并利用可配置的關(guān)鍵字過(guò)濾文件對(duì)串口傳輸?shù)奈募?nèi)容實(shí)時(shí)進(jìn)行文件格式和關(guān)鍵字校驗(yàn),當(dāng)發(fā)現(xiàn)非法文件和字段時(shí)停止傳輸�����;
[0009]通用串行總線USB通信防護(hù)模塊����,與數(shù)控系統(tǒng)的USB接口相連,用于將外部存儲(chǔ)設(shè)備空間映射到防護(hù)設(shè)備內(nèi)部��,實(shí)現(xiàn)數(shù)控系統(tǒng)能夠直接訪問(wèn)外部存儲(chǔ)設(shè)備中的內(nèi)容����;
[0010]網(wǎng)絡(luò)通信防護(hù)模塊,與數(shù)控系統(tǒng)的網(wǎng)絡(luò)接口相連��,用于按照白名單機(jī)制只允許格式合法的文件進(jìn)行傳輸��;
[0011]日志與配置管理模塊���,用于對(duì)關(guān)鍵字過(guò)濾文件進(jìn)行管理配置��,以及對(duì)串行通信防護(hù)模塊���、USB通信防護(hù)模塊與網(wǎng)絡(luò)通信防護(hù)模塊的日志進(jìn)行管理���。
[0012]由上述本發(fā)明提供的技術(shù)方案可以看出,可以防止通過(guò)串口��、網(wǎng)口對(duì)加工網(wǎng)絡(luò)進(jìn)行非法入侵�,對(duì)加工網(wǎng)絡(luò)實(shí)施監(jiān)控,實(shí)現(xiàn)傳輸數(shù)據(jù)過(guò)濾����,發(fā)現(xiàn)異常數(shù)據(jù)立即中斷傳輸�����;能夠有效保護(hù)數(shù)控系統(tǒng)的通信數(shù)據(jù)�,阻止異常數(shù)據(jù)通過(guò)加工網(wǎng)絡(luò)流入數(shù)控系統(tǒng);并通過(guò)對(duì)USB接口進(jìn)行防護(hù)��,可實(shí)現(xiàn)數(shù)控系統(tǒng)能夠直接安全的訪問(wèn)外部存儲(chǔ)設(shè)備中的內(nèi)容��。
【專利附圖】
【附圖說(shuō)明】
[0013]為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案�,下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地�����,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)講�����,在不付出創(chuàng)造性勞動(dòng)的前提下���,還可以根據(jù)這些附圖獲得其他附圖�。
[0014]圖1為本發(fā)明實(shí)施例提供的一種數(shù)控系統(tǒng)防護(hù)設(shè)備的示意圖���;
[0015]圖2為本發(fā)明實(shí)施例提供的一種數(shù)控系統(tǒng)防護(hù)設(shè)備的功能結(jié)構(gòu)示意圖���;
[0016]圖3為本發(fā)明實(shí)施例提供的一種數(shù)控系統(tǒng)防護(hù)設(shè)備的部署方式示意圖。
【具體實(shí)施方式】
[0017]下面結(jié)合本發(fā)明實(shí)施例中的附圖��,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚����、完整地描述,顯然����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例����,而不是全部的實(shí)施例����。基于本發(fā)明的實(shí)施例�,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明的保護(hù)范圍��。
[0018]本發(fā)明實(shí)施例所提供的方案可解決數(shù)控系統(tǒng)串口���、USB(通用串行總線)接口和網(wǎng)口輸入輸出數(shù)據(jù)的信息安全防護(hù)�。防護(hù)設(shè)備在硬件上直接與數(shù)控系統(tǒng)的串口�����、USB接口和網(wǎng)口連接����,使得所有利用這些接口與數(shù)控系統(tǒng)進(jìn)行通信的設(shè)備或網(wǎng)絡(luò)都必須與本防護(hù)設(shè)備所提供的接口相連����,通過(guò)本防護(hù)設(shè)備才能實(shí)現(xiàn)與數(shù)控系統(tǒng)的信息交互���。通過(guò)對(duì)數(shù)控系統(tǒng)輸入輸出接口的管控,實(shí)現(xiàn)使用和維修中數(shù)控系統(tǒng)與外部設(shè)備的安全通信�����,保證數(shù)控系統(tǒng)自身的數(shù)據(jù)安全�����。阻止對(duì)于數(shù)控加工網(wǎng)絡(luò)具有威脅的數(shù)據(jù)進(jìn)入數(shù)控系統(tǒng)��,保障數(shù)控加工網(wǎng)絡(luò)的安全���、穩(wěn)定��。防止加工網(wǎng)絡(luò)的非法入侵��,對(duì)加工網(wǎng)絡(luò)實(shí)施監(jiān)控����,實(shí)現(xiàn)數(shù)據(jù)過(guò)濾���。能夠有效保護(hù)數(shù)控系統(tǒng)的通信數(shù)據(jù)�,阻止異常數(shù)據(jù)流入數(shù)控系統(tǒng),同時(shí)能夠阻斷利用數(shù)控系統(tǒng)進(jìn)行的網(wǎng)絡(luò)攻擊和非法數(shù)據(jù)竊取�。構(gòu)建對(duì)USB接口的輸入輸出管控,實(shí)現(xiàn)數(shù)據(jù)操作過(guò)程記錄�。將數(shù)控系統(tǒng)防護(hù)設(shè)備與數(shù)控系統(tǒng)輸入輸出接口直接相連,所有與數(shù)控系統(tǒng)通信的設(shè)備與數(shù)控系統(tǒng)防護(hù)設(shè)備相連����,確保數(shù)控系統(tǒng)的輸入輸出數(shù)據(jù)受到防護(hù)設(shè)備的管控。
[0019]實(shí)施例
[0020]圖1為本發(fā)明實(shí)施例提供的一種數(shù)控系統(tǒng)防護(hù)設(shè)備的示意圖�。如圖1所示,該系統(tǒng)主要包括:
[0021]串行通信防護(hù)模塊11�����,與數(shù)控系統(tǒng)的串口相連��,用于對(duì)傳輸文件進(jìn)行監(jiān)控并利用可配置的關(guān)鍵字過(guò)濾文件對(duì)串口傳輸?shù)奈募?nèi)容實(shí)時(shí)進(jìn)行文件格式和關(guān)鍵字校驗(yàn)���,當(dāng)發(fā)現(xiàn)非法文件和字段時(shí)停止傳輸�����;
[0022]通用串行總線USB通信防護(hù)模塊12,與數(shù)控系統(tǒng)的USB接口相連���,用于將外部存儲(chǔ)設(shè)備空間映射到防護(hù)設(shè)備內(nèi)部��,實(shí)現(xiàn)數(shù)控系統(tǒng)能夠直接訪問(wèn)外部存儲(chǔ)設(shè)備中的內(nèi)容���,并能夠阻止數(shù)據(jù)從數(shù)控系統(tǒng)復(fù)制到外部存儲(chǔ)設(shè)備中��;
[0023]網(wǎng)絡(luò)通信防護(hù)模塊13�,與數(shù)控系統(tǒng)的網(wǎng)絡(luò)接口相連�����,用于按照白名單機(jī)制只允許格式合法的文件進(jìn)行傳輸��;
[0024]日志與配置管理模塊14�����,用于對(duì)關(guān)鍵字過(guò)濾文件進(jìn)行管理配置���,以及對(duì)串行通信防護(hù)模塊11�、USB通信防護(hù)模塊12與網(wǎng)絡(luò)通信防護(hù)模塊13的日志進(jìn)行管理���。
[0025]進(jìn)一步的����,如圖2所示,所述串行通信防護(hù)模塊11包括但不限于包括:
[0026]串口通信配置模塊111�����,用于設(shè)置串口通信速率����、數(shù)據(jù)位、停止位及校驗(yàn)位參數(shù)���,建立串口通信����,實(shí)現(xiàn)數(shù)據(jù)透明傳輸����;
[0027]傳輸文件監(jiān)控模塊112,用于監(jiān)測(cè)串口上發(fā)送和接收的數(shù)據(jù)�,根據(jù)數(shù)控系統(tǒng)串口傳輸數(shù)據(jù)格式,分析傳輸數(shù)據(jù)的內(nèi)容�����,提取傳輸數(shù)據(jù)的文件名稱����、文件類型、傳輸路徑���、傳輸時(shí)間及數(shù)據(jù)流向信息���,并記錄成日志;
[0028]文件類型過(guò)濾模塊113�,用于將傳輸文件監(jiān)控模塊監(jiān)控到的傳輸數(shù)據(jù)的文件類型與數(shù)控系統(tǒng)合法數(shù)據(jù)類型比較,發(fā)現(xiàn)傳輸數(shù)據(jù)中包含數(shù)控系統(tǒng)不可識(shí)別的非法文件類型時(shí)��,截?cái)啻跀?shù)據(jù)通信�,記入日志,并將對(duì)應(yīng)的傳輸數(shù)據(jù)保存����;
[0029]文件內(nèi)容關(guān)鍵字過(guò)濾模塊114,用于讀取可配置的關(guān)鍵字過(guò)濾文件���,獲得各關(guān)鍵字與其安全詞頻���,形成關(guān)鍵字安全頻率表�;對(duì)傳輸數(shù)據(jù)的內(nèi)容進(jìn)行實(shí)時(shí)檢測(cè)����,若有一個(gè)或多個(gè)關(guān)鍵字出現(xiàn)頻率超出其安全詞頻,則中斷串口通信���,并將對(duì)應(yīng)的傳輸數(shù)據(jù)保存�。
[0030]所述USB通信防護(hù)模塊12包括但不限于包括:
[0031]空間映射模塊121�����,用于將USB通信防護(hù)模塊中的部分存儲(chǔ)空間提供給所述外部存儲(chǔ)設(shè)備��,將所述外部存儲(chǔ)設(shè)備中的內(nèi)容映射到所述部分存儲(chǔ)空間內(nèi)�,使得數(shù)控系統(tǒng)能夠直接對(duì)所述外部存儲(chǔ)設(shè)備中的數(shù)據(jù)進(jìn)行訪問(wèn)和修改;
[0032]USB下行禁用模塊122��,用于在與所述外部存儲(chǔ)設(shè)備連接后�,將所述外部存儲(chǔ)設(shè)備進(jìn)行數(shù)據(jù)交換的空間設(shè)置為只讀方式,禁止將數(shù)控系統(tǒng)的文件復(fù)制到該外部存儲(chǔ)設(shè)備中�����。
[0033]傳輸日志記錄模塊123,用于記錄該USB通信防護(hù)模塊的傳輸日志���。
[0034]所述網(wǎng)絡(luò)通信防護(hù)模塊13包括但不限于包括:
[0035]應(yīng)用層協(xié)議控制模塊131�����,用于通過(guò)特征碼,來(lái)界定需要控制的協(xié)議��;
[0036]文件類型過(guò)濾模塊132����,用于基于特征的關(guān)鍵字匹配,在應(yīng)用層實(shí)現(xiàn)文件類型過(guò)濾的功能����;
[0037]地址綁定模塊133,用于將數(shù)控系統(tǒng)的介質(zhì)訪問(wèn)控制MAC地址與防護(hù)設(shè)備進(jìn)行靜態(tài)綁定�����;
[0038]網(wǎng)絡(luò)連接與傳輸文件記錄模塊134���,用于通過(guò)實(shí)時(shí)獲得的網(wǎng)絡(luò)數(shù)據(jù)包����,通過(guò)協(xié)議解析,獲得并記錄該防護(hù)設(shè)備的接入的設(shè)備信息和網(wǎng)絡(luò)文件傳輸?shù)男畔ⅲ?br>
[0039]報(bào)表日志生成模塊135,用于定期生成報(bào)表�����。
[0040]進(jìn)一步的����,所述日志與配置管理模塊,用于對(duì)關(guān)鍵字過(guò)濾文件進(jìn)行管理配置包括:
[0041]通過(guò)修改關(guān)鍵字過(guò)濾文件中關(guān)鍵字安全頻率表的內(nèi)容��,實(shí)現(xiàn)串口傳輸數(shù)據(jù)關(guān)鍵字過(guò)濾策略的改變�。
[0042]另一方面,本發(fā)明實(shí)施例所提供的防護(hù)設(shè)備提供了串口數(shù)控機(jī)床(CNC)接口和串口 DNC接口�,串口 CNC接口與數(shù)控系統(tǒng)相連,串口 DNC接口與加工網(wǎng)絡(luò)相連���。防護(hù)設(shè)備還提供了網(wǎng)口 CNC接口和網(wǎng)口 DNC接口����,網(wǎng)口 CNC接口與數(shù)控系統(tǒng)相連�����,網(wǎng)口 DNC接口與加工網(wǎng)絡(luò)相連。這使得數(shù)控機(jī)床在日常使用時(shí)��,數(shù)控系統(tǒng)與加工服務(wù)器之間的數(shù)據(jù)交換全部通過(guò)防護(hù)設(shè)備完成��。在對(duì)數(shù)控機(jī)床進(jìn)行維修時(shí)����,維修設(shè)備與串口 DNC接口和網(wǎng)口 DNC接口相連,維修設(shè)備通過(guò)防護(hù)設(shè)備與機(jī)床進(jìn)行通信�����,確保維修過(guò)程數(shù)據(jù)全部受到防護(hù)設(shè)備保護(hù)���,實(shí)現(xiàn)對(duì)維修過(guò)程的審計(jì)。
[0043]同時(shí)����,該防護(hù)設(shè)備還提供了 USB輸入接口和USB輸出接口,USB輸出接口與數(shù)控系統(tǒng)直接相連����,日常和維修中使用的外部存儲(chǔ)設(shè)備(例如,U盤)與USB輸入接口相連���,實(shí)現(xiàn)對(duì)數(shù)控系統(tǒng)使用U盤情況的審計(jì)����。以及,該防護(hù)設(shè)備還可將監(jiān)控日志文件通過(guò)網(wǎng)絡(luò)實(shí)時(shí)上傳至日志審計(jì)服務(wù)器�����,系統(tǒng)管理員通過(guò)日志對(duì)數(shù)控系統(tǒng)的數(shù)據(jù)傳輸情況進(jìn)行審計(jì)��。
[0044]以上為本發(fā)明實(shí)施例所提供的防護(hù)設(shè)備的主要構(gòu)成及其功能�,為了便于理解,下面針對(duì)每一模塊的技術(shù)原理做進(jìn)一步介紹�。
[0045]1、串行通信防護(hù)模塊��。
[0046]I)串口通信配置���。根據(jù)數(shù)控系統(tǒng)串口通信配置��,設(shè)置串口通信速率�、數(shù)據(jù)位��、停止位及校驗(yàn)位等參數(shù)�,建立串口通信����,實(shí)現(xiàn)數(shù)據(jù)透明傳輸�����。采用邊傳輸邊檢測(cè)的方式�,將通訊數(shù)據(jù)實(shí)時(shí)的轉(zhuǎn)發(fā)給目標(biāo)設(shè)備,保證串口通信的傳輸速度����,使用戶幾乎感覺(jué)不到數(shù)控系統(tǒng)終端防護(hù)設(shè)備的存在。
[0047]2)傳輸文件監(jiān)控�。實(shí)時(shí)監(jiān)測(cè)串口上發(fā)送和接收的數(shù)據(jù)����,根據(jù)數(shù)控系統(tǒng)串口傳輸數(shù)據(jù)格式,分析傳輸數(shù)據(jù)的內(nèi)容��,提取傳輸數(shù)據(jù)的文件名稱����、文件類型、傳輸路徑���、傳輸時(shí)間及數(shù)據(jù)流向信息����,并記錄成日志,由日志文件可復(fù)現(xiàn)串口操作過(guò)程��。
[0048]3)文件類型過(guò)濾���。將傳輸文件監(jiān)控模塊監(jiān)控到的傳輸數(shù)據(jù)的文件類型與數(shù)控系統(tǒng)合法數(shù)據(jù)類型比較�,發(fā)現(xiàn)傳輸數(shù)據(jù)中包含數(shù)控系統(tǒng)不可識(shí)別的非法文件類型時(shí)�����,截?cái)啻跀?shù)據(jù)通信���,記入日志��,并將對(duì)應(yīng)的傳輸數(shù)據(jù)保存至終端本地���,以供用戶下載分析。
[0049]4)文件內(nèi)容關(guān)鍵字過(guò)濾�����。讀取可配置的關(guān)鍵字過(guò)濾文件,獲得各關(guān)鍵字與其安全詞頻�����,形成關(guān)鍵字安全頻率表��;對(duì)傳輸數(shù)據(jù)的內(nèi)容進(jìn)行實(shí)時(shí)檢測(cè)�,若有一個(gè)或多個(gè)關(guān)鍵字出現(xiàn)頻率超出其安全詞頻,則中斷串口通信��,并將對(duì)應(yīng)的傳輸數(shù)據(jù)保存至終端本地�,以供用戶下載分析。
[0050]2��、USB通信防護(hù)模塊�。
[0051]由于數(shù)控系統(tǒng)本身軟件的限制,數(shù)控系統(tǒng)自身對(duì)于USB接口的防護(hù)能力較低����,需要添加對(duì)數(shù)控系統(tǒng)USB接口的防護(hù)�。
[0052]I)空間映射。將USB通信防護(hù)模塊中的部分存儲(chǔ)空間提供給所述外部存儲(chǔ)設(shè)備�����,將所述外部存儲(chǔ)設(shè)備中的內(nèi)容映射到所述部分存儲(chǔ)空間內(nèi),使得數(shù)控系統(tǒng)能夠直接對(duì)所述外部存儲(chǔ)設(shè)備中的數(shù)據(jù)進(jìn)行訪問(wèn)和修改�。
[0053]2)禁用USB下行。在與所述外部存儲(chǔ)設(shè)備連接后���,將所述外部存儲(chǔ)設(shè)備進(jìn)行數(shù)據(jù)交換的空間設(shè)置為只讀方式��,禁止將數(shù)控系統(tǒng)的文件復(fù)制到該外部存儲(chǔ)設(shè)備中����,以便保護(hù)數(shù)控系統(tǒng)文件的安全�,防止用戶隨意拷貝。
[0054]3)傳輸日志記錄�����。記錄該USB通信防護(hù)模塊的傳輸日志���。
[0055]3����、網(wǎng)絡(luò)通信防護(hù)模塊�����。
[0056]為了防止未授權(quán)的設(shè)備接入數(shù)控加工網(wǎng)絡(luò),防止通過(guò)網(wǎng)口對(duì)數(shù)控系統(tǒng)及其將網(wǎng)絡(luò)的攻擊����。
[0057]I)應(yīng)用層協(xié)議控制。用于通過(guò)特征碼���,來(lái)界定需要控制的協(xié)議�����,透明掃描各種數(shù)據(jù)流應(yīng)用���,阻止并記錄指定協(xié)議。
[0058]2)文件類型過(guò)濾���?����;谔卣鞯年P(guān)鍵字匹配,在應(yīng)用層實(shí)現(xiàn)文件類型過(guò)濾的功能���。示例性的��,利用正則表達(dá)式來(lái)進(jìn)行匹配�,使正則表達(dá)式作為一個(gè)模板,將某個(gè)字符模式與所搜索的字符串進(jìn)行匹配���;將數(shù)據(jù)包的內(nèi)容作為一段普通的文本�,用模板文件中的正則去搜索���,如果發(fā)現(xiàn)有正則匹配的內(nèi)容�����,就會(huì)將這幾個(gè)數(shù)據(jù)包丟掉�。
[0059]3)地址綁定����。將數(shù)控系統(tǒng)的介質(zhì)訪問(wèn)控制MAC地址與防護(hù)設(shè)備進(jìn)行靜態(tài)綁定,從而防止外來(lái)的����、未授權(quán)的設(shè)備接入加工網(wǎng)絡(luò)?��?梢栽O(shè)置只允許一臺(tái)數(shù)控系統(tǒng)訪問(wèn)數(shù)控系統(tǒng)終端防護(hù)設(shè)備��,并能根據(jù)MAC地址確定允許訪問(wèn)的設(shè)備���,且允許訪問(wèn)的設(shè)備的MAC地址能手工設(shè)置���。
[0060]4)網(wǎng)絡(luò)連接與傳輸文件記錄。通過(guò)實(shí)時(shí)獲得的網(wǎng)絡(luò)數(shù)據(jù)包��,通過(guò)協(xié)議解析�����,獲得并記錄該防護(hù)設(shè)備的接入的設(shè)備信息和網(wǎng)絡(luò)文件傳輸?shù)男畔ⅰ?br>
[0061]5)報(bào)表日志生成��。網(wǎng)絡(luò)模塊各功能形成報(bào)表日志���,可設(shè)計(jì)定期生成報(bào)表���,時(shí)間間隔日周月。
[0062]4����、日志與配置管理模塊���。
[0063]I)日志管理及上傳��?���?梢詫⒋型ㄐ欧雷o(hù)模塊、USB通信防護(hù)模塊與網(wǎng)絡(luò)通信防護(hù)模塊的日志統(tǒng)一存儲(chǔ)管理��,并上傳至日志審計(jì)服務(wù)器�����,以便系統(tǒng)管理員通過(guò)日志對(duì)數(shù)控系統(tǒng)的數(shù)據(jù)傳輸情況進(jìn)行審計(jì)�。
[0064]2)關(guān)鍵字過(guò)濾文件更新。為了便于修改對(duì)關(guān)鍵字過(guò)濾策略�,提供了串口數(shù)據(jù)關(guān)鍵字過(guò)濾文件。通過(guò)修改該文件中關(guān)鍵字安全頻率表的內(nèi)容��,實(shí)現(xiàn)串口傳輸數(shù)據(jù)關(guān)鍵字過(guò)濾策略的改變���。
[0065]如圖3所示�,為本發(fā)明實(shí)施例提供的防護(hù)設(shè)備的部署方式示意圖�����。防護(hù)設(shè)備在硬件上直接與數(shù)控系統(tǒng)的串口、USB接口和網(wǎng)口連接���,使得所有利用這些接口與數(shù)控系統(tǒng)進(jìn)行通信的設(shè)備或網(wǎng)絡(luò)都必須與本防護(hù)設(shè)備所提供的接口相連�����,通過(guò)本設(shè)備才能實(shí)現(xiàn)與數(shù)控系統(tǒng)的信息交互���。通過(guò)對(duì)數(shù)控機(jī)床輸入輸出接口的管控,實(shí)現(xiàn)使用和維修中數(shù)控系統(tǒng)與外部設(shè)備的安全通信��,保證數(shù)控系統(tǒng)自身的數(shù)據(jù)安全����。
[0066]本發(fā)明實(shí)施例提供的防護(hù)設(shè)備具有以下有點(diǎn):
[0067]I)能夠?qū)Υ跀?shù)據(jù)進(jìn)行文件類型和內(nèi)容過(guò)濾,保障輸入數(shù)控系統(tǒng)的數(shù)據(jù)安全�。
[0068]2)能夠?qū)W(wǎng)口傳輸文件的類型和內(nèi)容進(jìn)行過(guò)濾,防止不符合數(shù)控系統(tǒng)要求的文件進(jìn)入數(shù)控系統(tǒng)�����。
[0069]3)支持禁止將數(shù)控系統(tǒng)中的文件拷貝到外部存儲(chǔ)設(shè)備中��,只允許外部存儲(chǔ)設(shè)備中的文件傳輸?shù)綌?shù)控系統(tǒng)內(nèi)部。
[0070]3)能夠?qū)Υ跀?shù)據(jù)內(nèi)容過(guò)濾規(guī)則中的關(guān)鍵字進(jìn)行添加和修改�����,方便管理者使用���。
[0071]4)將監(jiān)控?cái)?shù)據(jù)實(shí)時(shí)上傳至審計(jì)服務(wù)器,方便用戶進(jìn)行監(jiān)控審計(jì)����。
[0072]所屬領(lǐng)域的技術(shù)人員可以清楚地了解到,為描述的方便和簡(jiǎn)潔��,僅以上述各功能模塊的劃分進(jìn)行舉例說(shuō)明�,實(shí)際應(yīng)用中,可以根據(jù)需要而將上述功能分配由不同的功能模塊完成��,即將裝置的內(nèi)部結(jié)構(gòu)劃分成不同的功能模塊���,以完成以上描述的全部或者部分功倉(cāng)泛���。
[0073]以上所述,僅為本發(fā)明較佳的【具體實(shí)施方式】����,但本發(fā)明的保護(hù)范圍并不局限于此�����,任何熟悉本【技術(shù)領(lǐng)域】的技術(shù)人員在本發(fā)明披露的技術(shù)范圍內(nèi)����,可輕易想到的變化或替換��,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)��。因此��,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求書(shū)的保護(hù)范圍為準(zhǔn)����。
【權(quán)利要求】
1.一種數(shù)控系統(tǒng)防護(hù)設(shè)備,其特征在于����,包括: 串行通信防護(hù)模塊,與數(shù)控系統(tǒng)的串口相連���,用于對(duì)傳輸文件進(jìn)行監(jiān)控并利用可配置的關(guān)鍵字過(guò)濾文件對(duì)串口傳輸?shù)奈募?nèi)容實(shí)時(shí)進(jìn)行文件格式和關(guān)鍵字校驗(yàn)�����,當(dāng)發(fā)現(xiàn)非法文件和字段時(shí)停止傳輸����; 通用串行總線USB通信防護(hù)模塊,與數(shù)控系統(tǒng)的USB接口相連��,用于將外部存儲(chǔ)設(shè)備空間映射到防護(hù)設(shè)備內(nèi)部�����,實(shí)現(xiàn)數(shù)控系統(tǒng)能夠直接訪問(wèn)外部存儲(chǔ)設(shè)備中的內(nèi)容�����; 網(wǎng)絡(luò)通信防護(hù)模塊��,與數(shù)控系統(tǒng)的網(wǎng)絡(luò)接口相連��,用于按照白名單機(jī)制只允許格式合法的文件進(jìn)行傳輸�����; 日志與配置管理模塊�����,用于對(duì)關(guān)鍵字過(guò)濾文件進(jìn)行管理配置��,以及對(duì)串行通信防護(hù)模塊���、USB通信防護(hù)模塊與網(wǎng)絡(luò)通信防護(hù)模塊的日志進(jìn)行管理��。
2.根據(jù)權(quán)利要求1所述的防護(hù)設(shè)備�����,其特征在于����,所述串行通信防護(hù)模塊包括: 串口通信配置模塊���,用于設(shè)置串口通信速率��、數(shù)據(jù)位�、停止位及校驗(yàn)位參數(shù),建立串口通信,實(shí)現(xiàn)數(shù)據(jù)透明傳輸�����; 傳輸文件監(jiān)控模塊����,用于實(shí)時(shí)監(jiān)測(cè)串口上發(fā)送和接收的數(shù)據(jù),根據(jù)數(shù)控系統(tǒng)串口傳輸數(shù)據(jù)格式�����,分析傳輸數(shù)據(jù)的內(nèi)容�����,提取傳輸數(shù)據(jù)的文件名稱��、文件類型��、傳輸路徑��、傳輸時(shí)間及數(shù)據(jù)流向信息����,并記錄成日志; 文件類型過(guò)濾模塊��,用于將傳輸文件監(jiān)控模塊監(jiān)控到的傳輸數(shù)據(jù)的文件類型與數(shù)控系統(tǒng)合法數(shù)據(jù)類型比較�����,發(fā)現(xiàn)傳輸數(shù)據(jù)中包含數(shù)控系統(tǒng)不可識(shí)別的非法文件類型時(shí)��,截?cái)啻跀?shù)據(jù)通信�����,記入日志����,并將對(duì)應(yīng)的傳輸數(shù)據(jù)保存; 文件內(nèi)容關(guān)鍵字過(guò)濾模塊�,用于讀取可配置的關(guān)鍵字過(guò)濾文件,獲得各關(guān)鍵字與其安全詞頻���,形成關(guān)鍵字安全頻率表�;對(duì)傳輸數(shù)據(jù)的內(nèi)容進(jìn)行實(shí)時(shí)檢測(cè)��,若有一個(gè)或多個(gè)關(guān)鍵字出現(xiàn)頻率超出其安全詞頻,則中斷串口通信�,并將對(duì)應(yīng)的傳輸數(shù)據(jù)保存。
3.根據(jù)權(quán)利要求1所述的防護(hù)設(shè)備��,其特征在于�����,所述USB通信防護(hù)模塊包括: 空間映射模塊�����,用于將USB通信防護(hù)模塊中的部分存儲(chǔ)空間提供給所述外部存儲(chǔ)設(shè)備����,將所述外部存儲(chǔ)設(shè)備中的內(nèi)容映射到所述部分存儲(chǔ)空間內(nèi),使得數(shù)控系統(tǒng)能夠直接對(duì)所述外部存儲(chǔ)設(shè)備中的數(shù)據(jù)進(jìn)行訪問(wèn)和修改��; USB下行禁用模塊�,用于在與所述外部存儲(chǔ)設(shè)備連接后��,將所述外部存儲(chǔ)設(shè)備進(jìn)行數(shù)據(jù)交換的空間設(shè)置為只讀方式��。 傳輸日志記錄模塊�,用于記錄該USB通信防護(hù)模塊的傳輸日志��。
4.根據(jù)權(quán)利要求1所述的防護(hù)設(shè)備�����,其特征在于�,所述網(wǎng)絡(luò)通信防護(hù)模塊包括: 應(yīng)用層協(xié)議控制模塊�,用于通過(guò)特征碼,來(lái)界定需要控制的協(xié)議���; 文件類型過(guò)濾模塊����,用于基于特征的關(guān)鍵字匹配���,在應(yīng)用層實(shí)現(xiàn)文件類型過(guò)濾的功倉(cāng)泛; 地址綁定模塊��,用于將數(shù)控系統(tǒng)的介質(zhì)訪問(wèn)控制MAC地址與防護(hù)設(shè)備進(jìn)行靜態(tài)綁定���; 網(wǎng)絡(luò)連接與傳輸文件記錄模塊,用于通過(guò)實(shí)時(shí)獲得的網(wǎng)絡(luò)數(shù)據(jù)包����,通過(guò)協(xié)議解析�,獲得并記錄該防護(hù)設(shè)備的接入的設(shè)備信息和網(wǎng)絡(luò)文件傳輸?shù)男畔ⅲ? 報(bào)表日志生成模塊�����,用于定期生成報(bào)表�����。
5.根據(jù)權(quán)利要求1所述的防護(hù)設(shè)備�����,其特征在于�����,所述日志與配置管理模塊���,用于對(duì)關(guān)鍵字過(guò)濾文件進(jìn)行管理配置包括: 通過(guò)修改關(guān)鍵字過(guò)濾文件中關(guān)鍵字安全頻率表的內(nèi)容��,實(shí)現(xiàn)串口傳輸數(shù)據(jù)關(guān)鍵字過(guò)濾策略的改變�。
【文檔編號(hào)】G06F21/00GK104268443SQ201410510481
【公開(kāi)日】2015年1月7日 申請(qǐng)日期:2014年9月28日 優(yōu)先權(quán)日:2014年9月28日
【發(fā)明者】王琦魁, 李昕, 趙甫 申請(qǐng)人:北京航天數(shù)控系統(tǒng)有限公司