本发明涉及一种通信安全领域的数控机床通信接口安全防护装置及方法。
背景技术:
随着“两化融合”的不断推进,越来越多的网络技术、控制技术应用于智能制造中,工业控制系统在智能制造业得到了十分广泛的应用,它对于提升智能制造业研发、生产制造能力起到了十分重要的作用。但目前国内绝大多数工业控制系统均采用国外产品和技术,对国内用户采用封闭措施,导致关键基础设施安全问题受制于人;而另一方面,以“震网”为代表的工业网络攻击和入侵屡见不鲜,带来巨大损失的同时也给智能制造业敲响了警钟,因此,对智能制造中最为关键的数控机床的防护就变得尤为重要。现有的数控系统存在以下安全问题:
缺乏对数控机床usb等接口的监控,存在滥用移动存储介质和nc加工文件、日志文件外泄的安全隐患;
数控机床在维修过程中存在较大的安全隐患,没有维修审计技术手段;
在数控机床上部署信息安全产品存在较大难度;
现在dnc系统缺乏对文件流转的控制手段,存在涉密文档资料等可以通过dnc系统直接流转到数控机床的安全隐患;
dnc加工网络内部通信没有监管和审计,dnc网络安全存在安全隐患;
尽管问题已经暴露,但目前并没有一种对数控机床的各种外设接口,特别是通用串行接口(usb)进行有效的安全防护的方法。
技术实现要素:
本发明要解决的技术问题是提供一种有效保护数控系统的通信数据安全,阻止异常数据流入数控系统,并阻断利用数控系统进行的一切网络攻击和非法数据窃取行为的数控机床通信接口安全防护装置及方法。
本发明采用的技术方案如下:一种数控机床通信接口安全防护方法,具体方法为:对数控机床中需要进行访问控制的外设接口访问监控;要对数控机床进行访问的设备,均通过所述访问监控进行访问;访问监控的具体控制方法包括,对访问设备的身份进行验证,通过身份验证,才允许访问;上传文件通过访问监控的缓存提供给数控机床使用;下载文件通过访问监控的web页面获取;对访问设备的所有操作进行记录。
所述控制方法还包括以下的一种、两种或两种以上的组合及任意组合顺序:
对访问设备的访问操作权限进行识别;对访问设备的访问时效进行验证;对访问设备的访问文件关键字黑名单识别;对访问操作的文件类型权限进行识别;所述访问时效是指允许该身份用户进行访问的时效,和/或某种访问权限的时效。
对访问设备进行身份验证的具体方法为:通过登录访问控制的web认证页面,进行身份认证,且使用指定的身份认证介质进行身份认证。
所述身份认证介质为usbkey。
所述方法还包括,对设置访问监控外的其余接口,进行物理封存。
一种数控机床通信接口安全防护装置,其特征在于,所述防护装置与数控机床中需要进行访问控制的外设接口对接;要对数控机床进行访问的设备,均通过所述防护装置进行访问;所述防护装置包括身份验证模块,对访问设备的身份进行验证;所述防护装置还包括缓存模块,缓存访问设备上传的供数控机床使用的文件;所述防护装置还包括web页面控制模块,控制访问设备从控制的web页面获取要下载的文件;所述防护装置还包括记录模块,记录访问设备的所有操作。
所述防护装置还包括以下的一种、两种或两种以上的组合及任意组合顺序:
访问操作权限识别模块,对访问设备的访问操作权限进行识别;访问时效验证模块,对访问设备的访问时效进行验证;关键词识别模块,对访问设备的访问文件关键字黑名单识别;文件类型权限识别模块,对访问操作的文件类型权限进行识别;所述访问时效是指允许该身份用户进行访问的时效,和/或某种访问权限的时效。
还包括身份认证介质,通过登录访问控制的web认证页面,进行身份认证。
所述身份认证介质为usbkey。
所述安全防护装置与数控机床一一对应。
与现有技术相比,本发明的有益效果是:通过对数控系统网口、串口、usb等接口的全面监控和接管,有效保护数控系统的通信数据安全,阻止异常数据流入数控系统,并阻断利用数控系统进行的一切网络攻击和非法数据窃取行为,保证数控系统与数控加工网络的正常安全运转。
附图说明
图1为本发明其中一实施例的流程示意图。
图2为本发明的典型应用示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本说明书(包括摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或者具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
具体实施例1
一种数控机床通信接口安全防护方法,具体方法为:对数控机床中需要进行访问控制的外设接口访问监控;要对数控机床进行访问的设备,均通过所述访问监控进行访问;访问监控的具体控制方法包括,对访问设备的身份进行验证,通过身份验证,才允许访问;上传文件通过访问监控的缓存提供给数控机床使用;下载文件通过访问监控的web页面获取;对访问设备的所有操作进行记录,支持对usb操作记录的审计。
任何与数控机床交互数据的装置或主机都需要进行完成身份认证后才可在权限范围内对数据进行操作,且基于国产密码算法的身份认证。
访问监控作为数控机床的安全屏障,针对数控机床任意外设接口的任意数据交互都需要访问监控进行转发和监控。
具体实施例2
在具体实施例1的基础上,所述控制方法还包括以下的一种、两种或两种以上的组合及任意组合顺序:
对访问设备的访问操作权限进行识别;对访问设备的访问时效进行验证;对访问设备的访问文件关键字黑名单识别;对访问操作的文件类型权限进行识别;所述访问时效是指允许该身份用户进行访问的时效,和/或某种访问权限的时效。
如图1所示,为本发明其中一实施例的方面流程示意图。
根据用户划分权限,用户的权限具有失效性;支持对文件类型的控制,支持对文件的上传、下载和删除的控制,支持对文件内容关键词的控制。
具体实施例3
在具体实施例1或2的基础上,对访问设备进行身份验证的具体方法为:通过登录访问控制的web认证页面,进行身份认证,且使用指定的身份认证介质进行身份认证。
具体实施例4
在具体实施例3的基础上,所述身份认证介质为usbkey。
具体实施例5
在具体实施例1到4之一的基础上,在本具体实施例中,对设置访问监控外的其余接口,进行物理封存。
具体实施例6
一种数控机床通信接口安全防护装置,所述防护装置与数控机床中需要进行访问控制的外设接口对接;要对数控机床进行访问的设备,均通过所述防护装置进行访问;所述防护装置包括身份验证模块,对访问设备的身份进行验证;所述防护装置还包括缓存模块,缓存访问设备上传的供数控机床使用的文件;所述防护装置还包括web页面控制模块,控制访问设备从控制的web页面获取要下载的文件;所述防护装置还包括记录模块,记录访问设备的所有操作。
数控网络管理员对防护装置的配置管理、操作员交互数控机床加工数据、维修人员上传下载维护数据都需要通过身份认证后才能进行。访问设备上的web浏览器将需要交互的文件上传至防护装置,然后数控机床才能读取此文件。反过来,需要从数控机床上拷贝文件至usb存储介质,首先也需要通过防护装置的认证,在防护装置的web页面上将文件下载至本地。
本发明的防护装置通过对数控系统网口、串口、usb等接口的全面监控和接管,有效保护数控系统的通信数据安全,阻止异常数据流入数控系统,并阻断利用数控系统进行的一切网络攻击和非法数据窃取行为,保证数控系统与数控加工网络的正常安全运转。数控机床所有的外设接口都与防护装置对接。
具体实施例7
在具体实施例6的基础上,所述防护装置还包括以下的一种、两种或两种以上的组合及任意组合顺序:
访问操作权限识别模块,对访问设备的访问操作权限进行识别;访问时效验证模块,对访问设备的访问时效进行验证;关键词识别模块,对访问设备的访问文件关键字黑名单识别;文件类型权限识别模块,对访问操作的文件类型权限进行识别;所述访问时效是指允许该身份用户进行访问的时效,和/或某种访问权限的时效。
根据管理员的配置,文件的上传、下载、删除,文件的类型都进行了权限的控制,甚至文件内容也进行了监控,只有特定的通过认证的用户才能够处理自己权限内的事务。并且,用户的权限也是有时效性的,超过时间范围,就算认证通过,也不能进行任何操作。以上所有的操作都进行了详细的记录,用于事后审计。
具体实施例8
在具体实施例6或7的基础上,还包括身份认证介质,通过登录访问控制的web认证页面,进行身份认证。在本具体实施例中,身份认证时不仅需要输入用户名和密码,还必须同时在接入的访问设备上设置身份认证介质。
具体实施例9
在具体实施例8的基础上,所述身份认证介质为usbkey,将相应的usbkey作为身份认证介质安插在接入的访问设备上。只有使用加载了sm2证书的usbkey才能通过防护装置的身份认证,整个认证过程采用的是国产加密算法。
具体实施例10
在具体实施例6到9之一的基础上,所述安全防护装置与数控机床一一对应,每台数控机床均配置有一个安全防护装置。在本具体实施例中,数控机床所有的外设接口都与防护装置对接,多余接口进行物理封存,两者一对一部署于数控网络中,防护装置对数控机床重要数据进行安全保护、对业务数据进行访问控制、对操作行为进行认证管控。
部分数控机床没有接口或者不能联入工业以太网中,这类数控机床使用的加工文件主要就靠通用串行总线(usb)接口导入导出。接入防护装置后,通过与防护装置的usb接口互联,由防护装置联入工业以太网(图2中虚线连接)。