本实用新型涉及工控设备安全防护
技术领域:
:,尤其涉及一种工控设备接口防护装置及系统。
背景技术:
::工控环境中的生产加工设备存在有多个通信接口,而实际应用中通常使用其中部分接口传输数据:若数据接口的传输数据不经过安全检查,存在被恶意攻击、感染病毒的风险,且出现问题后无法追踪;而其他闲置接口暴露在外,同样存在重大安全隐患,尤其是在军工单位中,轻则严重影响工厂生产,重则造成核心型号数据泄漏,造成巨大财产损失,且严重威胁到国家安全。目前已有的仪器存在以下方面的不足:不能有效的对工控设备数据接口、闲置接口进行全面防护,不能从物理上保护闲置接口的安全,阻止入侵,不能在危险发生时进行报警。不能在对数据接口收、发的全部数据进行筛查、拦截非法数据同时,实时监测闲置接口状态。技术实现要素:本实用新型的主要目的在于克服上述现有技术的缺陷,提供了一种工控设备接口防护装置及系统,以解决现有技术不能从物理上有效的对工控设备数据接口、闲置接口进行全面安全防护的问题。一种工控设备接口防护装置,包括:控制模块、第一接口模块、接口在线监测模块,控制模块与接口在线监测模块相连,接口在线监测模块与第一接口模块相连,所述控制模块接收所述接口在线监测模块反馈的第一接口模块各接口的状态。更优地,第一接口模块包括多个接口接线端子,多个接口接线端子一端与接口在线监测模块,另一端与接入设备的闲置接口连接。更优地,所述闲置接口为网口,所述接口接线端子与接入设备的闲置网口通过双绞线连接,所述接口接线端子的两个接口分别与所述双绞线的两条线连接。更优地,所述闲置接口为串口,所述接口接线端子与接入设备的闲置串口通过串口线连接,所述接口接线端子的两个接口分别与所述串口线的gnd线和tx信号线连接。更优地,所述闲置接口为usb接口,所述接口接线端子与接入设备的闲置usb接口连接,所述接口接线端子的两个接口分别与所述usb线的gnd线和vcc线连接。更优地,所述接口在线监测模块包括用于监测网口的第一监测电路,所述第一监测电路包括光耦和电阻,所述光耦中的光电二极管的输入端与电阻r4串联后,再与接线端子的一个接口相连,光耦中的光电二极管的输出端接地;光耦中的光敏晶体管的输入端与上拉电阻r2串联后连接第一电源,同时光耦中的光敏晶体管的输入端与主控芯片连接,光耦中的光敏晶体管的输出端接地;所述接线端子的另一个接口与电阻r1串联后连接第二电源。更优地,所述接口在线监测模块包括用于监测串口或usb接口的第二监测电路,所述第二监测电路包括光耦和电阻,所述光耦中的光电二极管的输入端与电阻r5串联后与接线端子的一个接口相连;光耦中的光电二极管的输出端与接线端子的另一个接口相连;光耦中的光敏晶体管的输入端与上拉电阻r3串联后连接第一电源,同时光耦中的光敏晶体管的输入端与主控芯片连接,光耦中的光敏晶体管的输出端接地。更优地,还包括报警模块,与控制模块连接,当控制模块判断出接口在线监测模块监测的端口出现异常时报警模块发生报警。更优地,还包括第二接口模块,所述第二接口模块包括成对出现的网口、串口、usb口中的一种或多种接口;每对接口的一端与控制模块连接,另一端与上行或下行设备连接;控制模块控制每对接口的上下行数据转发或丢弃。更优地,第一接口模块和/或第二接口模块的接线端子置于接口防护装置外壳内部,接口防护装置外壳上设有出线孔。更优地,接口防护装置外壳使用非标准螺丝封装,用与非标准螺丝配套的工具打开或封装接口防护装置外壳。本实用新型还包括一种接口防护系统,包括上文所述的一种工控设备接口防护装置,还包括下行接入设备、上位机、上行控制设备或usb设备;下行接入设备为工控设备,上位机为接口防护装置下发配置文件,上行控制设备或usb设备与工控设备通讯。本实用新型的方案有益效果如下:(1)通过第一接口模块、接口在线监测模块对工控设备闲置接口物理防护的方式,达到工控设备接口全防护效果。(2)通过接口防护装置专用电路,对被防护闲置接口进行在线监测,实时获知被防护接口状态:接口在线监测模块中包含多个监测电路及接线端子,可同时防护多个闲置接口,根据现场工控设备接口实际情况连接;被防护接口通过专用线缆与接线端子相连,接线端子置于防护终端内部;其中网口在线监测通过网线的第一对双绞线(即1、2两根线,通常为橙白色、橙色),串口在线监测通过串口线的gnd及tx信号线,usb在线监测通过usb线的vcc及gnd。(3)本装置通过将接线端子置于防护终端内部,并使用异型螺丝封装的方式,防止监测线缆被违规拔出,对被防护的接口具有防插拔功能(4)本装置的接口在线监测模块实时监测被防护接口在线状态并上报控制模块,控制模块根据上位机下发的接口防护规则判断接口状态是否正常,如异常通知报警模块进行现场报警并将异常信息报告给上位机。(5)一种接口防护系统,将防护装置串行接入在工控设备数据接口与管理端(或usb设备)之间,可截取到数据接口收、发的全部数据,并根据上位机策略规则进行判别,符合规则数据包进行转发,否则丢弃并上报上位机。(6)通过对数据接口、闲置接口的共同防护,全方位保障控工设备网口、串口及usb接口的数据及物理安全。附图说明此处所说明的附图用来提供对本实用新型的进一步理解,构成本实用新型的一部分,本实用新型的示意性实施例及其说明用于解释本实用新型,并不构成对本实用新型的不当限定。在附图中:图1防插拔结构示意图;图2一种工控设备接口防护装置示意图;图3接口在线监测模块电路图;图4一种工控设备接口防护装置外部结构及接口示意图。具体实施方式为使本实用新型的目的、技术方案和优点更加清楚,下面将结合本实用新型具体实施例及相应的附图对本实用新型技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本实用新型一部分实施例,而不是全部的实施例。基于本实用新型中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本实用新型保护的范围。需要说明的是,本实用新型的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本实用新型的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。实施例中的各技术特征均可相互组合。实施例一一种工控设备接口防护装置,如图1、图2所示,包括:控制模块、第一接口模块、接口在线监测模块,控制模块与接口在线监测模块相连,接口在线监测模块与第一接口模块相连,所述控制模块接收所述接口在线监测模块反馈的第一接口模块各接口的状态。接入设备包括工控环境中的设备等,简称工控设备。接口在线监测模块包括检测模块,用于检测第一接口模块接入的闲置端口的在线状态。控制模块,包括主控芯片,主控芯片与接口在线监测模块通信,实时接收被防护闲置接口状态,判断第一接口模块接入的闲置端口是否处于危险状态,从而采取报警或截断数据等防护措施。工控设备接口防护装置,通过控制模块、第一接口模块、接口在线监测模块对工控环境中设备闲置的网口、串口、usb接口起到全面监管防护及危险预警作用。闲置接口防护的基本原理在于针对工控设备闲置的网口、串口、usb接口,通过接口在线监控、接口防插拔、异常报警结合的方法,对闲置接口起到监管防护作用,确保工控设备安全。实施例二以下各个技术特征都可以与实施例一单独结合构成独立技术方案,或者以下任几个技术特征均可组合与实施例一相结合构成独立技术方案。如图2所示,进一步的,第一接口模块包括多个接口接线端子,多个接口接线端子一端与接口在线监测模块,另一端与接入设备的闲置接口连接。接口接线端子为通用接口,可直接与接入设备的闲置网口、串口、usb口相连。被防护的接入设备的闲置接口通过与通用接口匹配的线缆与接线端子相连,如图3所示,为所采用接线端子及接口在线监测电路图,其中p1为接线端子,自上而下定义为p1.1,p1.2,p1.3,p1.4;接口在线监测模块中包含多个监测电路及接线端子,可同时防护多个闲置接口,根据现场工控设备接口实际情况连接。进一步的,所述闲置接口为网口,所述接口接线端子与接入设备的闲置网口连接通过双绞线连接,所述接口接线端子的两个接口分别与所述双绞线的两条线连接。闲置网口在线监测通过网线的第一对双绞线(即1、2两根线,通常为橙白色、橙色),网线不自带电压,因此通过外部电路提供5v电压,当p1.1与p1.2接上外部网线时,r4所处电路导通,u1光耦右边电路导通,从而使得det1变为低电平(det1默认情况为上拉高电平),主控芯片检测到该低电平后即认为网口在线。进一步的,所述闲置接口为串口,接口接线端子与接入设备的闲置串口通过串口线连接,所述接口接线端子的两个接口分别与所述串口线的gnd线和tx信号线连接。闲置串口在线监测通过串口线的gnd及tx信号线,分别与p1.3、p1.4相接,当接上串口线时,r5所处电路导通,u2光耦右边电路导通,从而使得det2变为低电平(det2默认情况为上拉高电平),主控芯片检测到该低电平后即认为串口在线。进一步的,所述闲置接口为usb接口,接口接线端子与接入设备的闲置usb接口连接,所述接口接线端子的两个接口分别与所述usb线的gnd线和vcc线连接。闲置usb接口在线监测通过usb线的vcc及gnd,分别与p1.3、p1.4相接,当接上usb线时,r5所处电路导通,u2光耦右边电路导通,从而使得det2变为低电平(det2默认情况为上拉高电平),主控芯片检测到该低电平后即认为usb在线。进一步的,所述接口在线监测模块包括用于监测网口的第一监测电路,所述第一监测电路包括光耦和电阻,所述光耦中的光电二极管的输入端与电阻r4串联后,再与接线端子的一个接口相连,光耦中的光电二极管的输出端接地;光耦中的光敏晶体管的输入端与上拉电阻r2串联后连接第一电源,同时光耦中的光敏晶体管的输入端与所述控制模块连接,光耦中的光敏晶体管的输出端接地;所述接线端子的另一个接口与电阻r1串联后连接第二电源。进一步的,所述接口在线监测模块包括用于监测串口或usb接口的第二监测电路,所述第二监测电路包括光耦和电阻,所述光耦中的光电二极管的输入端与电阻r5串联后与接线端子的一个接口相连;光耦中的光电二极管的输出端与接线端子的另一个接口相连;光耦中的光敏晶体管的输入端与上拉电阻r3串联后连接第一电源,同时光耦中的光敏晶体管的输入端与控制模块连接,光耦中的光敏晶体管的输出端接地。进一步的,还包括报警模块,与控制模块连接,当控制模块判断出接口在线监测模块监测的端口出现异常时报警模块发生报警。接口在线监测模块实时监测被防护接口在线状态并上报主控芯片,主控芯片根据防护规则判断接口状态是否正常,如异常通知报警模块进行现场报警并将异常信息报告给上位机。本方法中报警模块采用有源蜂鸣器,电压范围3-24v,最大可达90分贝,由主控芯片给出报警信号。也可以采用其它设备报警,只要能达到提醒效果即可。工控设备接口防护装置通过接口在线监控、接口防插拔、异常报警结合的方法,对工控环境中设备闲置的网口、串口、usb接口起到全面监管防护及危险预警作用。实施例三以下各个技术特征都可以与实施例一和/或二单独结合,构成独立技术方案,或者以下任几个技术特征均可组合与实施例一和/或二单独结合,构成独立技术方案。进一步的,还包括第二接口模块,所述第二接口模块包括成对出现的网口、串口、usb口中的一种或多种接口;每对接口的一端与控制模块连接,另一端与上行或下行设备连接;控制模块控制每对接口的上下行数据转发或丢弃。防护装置中主控芯片串行接入在工控设备数据接口与管理端(或usb设备)之间,系统可获取到数据接口收、发全部数据包。网口数据防护,防护装置系统内核中将网口1、网口2对应网卡桥接,工控设备数据网口所有收发的数据包由内核截取到用户空间并进行解析,根据上位机策略规则进行判别,符合规则数据包进行转发,否则丢弃并上报上位机。具体为,将工控设备数据网口与防护装置网口1连接,工控设备管理端网口与防护装置网口2连接;创建网桥:brctladdbrbr0,并将网口1、网口2对应网卡添加到br0;设置iptables的过滤规则,将所有forward链数据包与nfqueue队列绑定,此时所有经过网口1、网口2的数据包都会被nfqueue从内核截取到用户空间控制程序,控制程序根据上位机策略规则判别数据包是否合规,符合规则的数据包通过nf_accept转发,否则通过nf_drop丢弃。串口数据防护,将工控设备数据串口与防护装置串口1连接,工控设备管理端串口与防护装置串口2连接;将防护装置串口1、串口2设置成与工控设备数据串口相同参数,串口1/串口2可获取到数据串口收、发全部数据包,与上位机策略规则比对,若符合规则将数据包原本全部内容转发到串口2/串口1,相当于数据串口与控制端正常通信,否则对数据包不做转发操作,相当于丢弃该数据包。usb数据防护,防护装置系统内核中将usb设备进行识别,读取设备相关信息,然后在内核端usb1接口处进行该usb设备的模拟映射,使工控设备通过usb1读取到usb设备中的信息,防护装置内核起到类似桥接的作用,同时内核在读写数据流过程中,对工控设备通过usb1接口映射读写usb设备的所有数据进行截取并解析,根据上位机策略规则进行判别,符合规则数据包进行转发,否则丢弃并上报上位机。具体为,将工控设备数据usb口与防护装置的usb1口连接,usb设备直接接入到防护装置的usb接口;在系统内核中,将usb接口配置为usbhost模式,通过fatfs文件系统模块对usb设备的读写等操作;将usb1接口设置为usbslave模式,通过fmc(可变存储控制器)模块实现将某一存储介质映射为模拟usb存储设备,通过usbslave可模拟usb存储设备进行读写。本专利技术通过运用usbhost、usbslave两种技术手段,先将usb设备数据在主控芯片中进行识别,然后以模拟usb存储设备的方式,将真实usb设备数据映射到usbslave接口,使得工控设备可以读取到真实usb设备中的数据,整个内核过程可认为对usb设备的桥接;所有usb设备数据通过usbhost模式可从内核截取到用户空间控制程序,控制程序根据上位机策略规则判别读写文件是否合规,符合规则的文件通过usbslave接口转发,否则丢弃。实施例四以下各个技术特征都可以与实施例一、二、三单独或组合结合,构成独立技术方案。进一步的,第一接口模块和/或第二接口模块的接线端子置于接口防护装置外壳内部,接口防护装置外壳上设有出线孔。如图4所示,1为异性螺丝,异性螺丝为多个,2为出线孔,出线孔为多个,3为下面板,4为上面板。接口防插拔采用将接线端子置于工控设备接口防护装置内部,并使用异型螺丝封装的方式实现,封装方法如图4所示,工控设备接口防护装置外壳为立方体或长方体,前面板开口;前面板分为上、下两部分;防护线缆一端与被防护工控设备接口连接,另一端与防护终端内部的接线端子连接,线缆接好后用异形螺丝固定上、下面板,将防护线缆从出线孔引出,不用的出线孔用堵头固定,usb设备接口从防护装置内部引出到下前面板。进一步的,如图4所示,接口防护装置外壳使用非标准螺丝封装,用与非标准螺丝配套的工具打开或封装。将接线端子置于工控设备接口防护装置内部,并使用异形螺丝封装的方式实现接口防插拔。非标准螺丝,简称非标准螺丝。实施例五接口在线监测模块实时监测被防护接口在线状态并上报主控芯片,主控芯片根据上位机的接口防护规则判断接口状态是否正常,如异常通知报警模块进行现场报警并将异常信息报告给上位机。主控芯片与接口在线监测模块通信,实时接收被防护闲置接口状态;与上位机通信,获得被防护接入设备接口配置并判断当前接口状态是都正常,如异常则通知报警模块进行现场报警,并将异常信息报告给上位机。本发明说明书中未作详细描述的内容属本领域技术人员的公知技术。在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述模块的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为控制模块的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。以上所述仅为本实用新型的实施例而已,并不用于限制本实用新型,对于本领域的技术人员来说,本实用新型可以有各种更改和变化。凡在本实用新型的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本实用新型的权利要求范围之内。当前第1页12当前第1页12