一种工业防火墙及其防护方法与流程

1.本发明属于防火墙技术领域，尤其涉及一种工业防火墙及其防护方法。


背景技术：

2.工业防火墙是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障。工业防火墙的主要功能包括工业协议深度解析、包过滤、端口扫描防护、安全审计、恶意代码防护、漏洞防护、访问权限限定等。
3.在工业设计制造企业中，为了防止企业的技术、未上市的产品信息等泄露，通常设置工业防火墙，在公司的内网与外网之间设置权限，降低信息泄露的风险。然而现有的工业防火墙应用在企业中，通常是在一个科室或部门设置一台被工业防火墙部分限制权限的计算机，在权限设置之后，通常会使得该计算机的权限固定，不能够根据不同的企业员工的使用，进行不同的防护权限的调整，从而限制了权限需求较大的企业员工的使用，又容易造成权限需求较小的企业员工泄露信息的风险。


技术实现要素：

4.本发明实施例的目的在于提供一种工业防火墙及其防护方法，旨在解决背景技术中提出的问题。
5.为实现上述目的，本发明实施例提供如下技术方案：一种工业防火墙防护方法，所述方法具体包括以下步骤：接收工业用户的使用需求信息，并对工业用户进行身份验证与识别，在验证通过后，获取工业用户的用户身份信息；根据所述用户身份信息，确定工业用户的防护开放权限，根据所述防护开放权限，获取多个开放网站信息；综合所述使用需求信息和多个所述开放网站信息进行需求分析，判断防护开放权限是否满足工业用户的使用需求；若满足工业用户的使用需求，则根据所述使用需求信息，对多个所述开放网站信息进行筛选，标记多个需求网站进行指引展示；若不满足工业用户的使用需求，则进行上级权限申请，根据权限申请结果，进行相关使用处理。
6.作为本发明实施例技术方案进一步的限定，所述接收工业用户的使用需求信息，并对工业用户进行身份验证与识别，在验证通过后，获取工业用户的用户身份信息具体包括以下步骤：在工业用户使用过程中，展示需求接收界面，并进行面部拍摄，得到面部拍摄数据；在所述需求接收界面，获取工业用户的使用需求信息；根据所述面部拍摄数据，对工业用户进行身份验证；
在身份验证通过后，根据所述面部拍摄数据，配对获取工业用户的用户身份信息。
7.作为本发明实施例技术方案进一步的限定，所述根据所述用户身份信息，确定工业用户的防护开放权限，根据所述防护开放权限，获取多个开放网站信息具体包括以下步骤：根据所述用户身份信息，确定工业用户的防护开放权限；对所述防护开放权限进行分析，生成开放类别信息；根据所述开放类别信息，获取多个开放网站信息。
8.作为本发明实施例技术方案进一步的限定，所述综合所述使用需求信息和多个所述开放网站信息进行需求分析，判断防护开放权限是否满足工业用户的使用需求具体包括以下步骤：对所述使用需求信息进行分析，生成需求类别信息；根据所述需求类别信息，匹配多个需求网站信息；根据多个所述开放网站信息和多个所述需求网站信息，进行需求差异分析，生成差异分析结果；根据所述差异分析结果，判断对应的防护开放权限是否满足工业用户的使用需求。
9.作为本发明实施例技术方案进一步的限定，所述若满足工业用户的使用需求，则根据所述使用需求信息，对多个所述开放网站信息进行筛选，标记多个需求网站进行指引展示具体包括以下步骤：若满足工业用户的使用需求，则生成需求筛选信号；根据所述需求筛选信号，按照使用需求信息筛选标记多个需求网站；按照所述使用需求信息，分析确定多个所述需求网站的使用顺序；按照使用顺序，对多个所述需求网站排列布置，生成并展示需求使用界面。
10.作为本发明实施例技术方案进一步的限定，所述若不满足工业用户的使用需求，则进行上级权限申请，根据权限申请结果，进行相关使用处理具体包括以下步骤：若不满足工业用户的使用需求，则生成权限申请界面；接收工业用户在所述权限申请界面的申请选择；根据所述差异分析结果，进行上级权限申请，并接收权限申请结果；根据权限申请结果，进行临时开放权限或拒绝需求操作。
11.一种工业防火墙，所述防火墙包括验证识别单元、权限分析单元、需求分析单元、网站展示单元和权限处理单元，其中：验证识别单元，用于接收工业用户的使用需求信息，并对工业用户进行身份验证与识别，在验证通过后，获取工业用户的用户身份信息；权限分析单元，用于根据所述用户身份信息，确定工业用户的防护开放权限，根据所述防护开放权限，获取多个开放网站信息；需求分析单元，用于综合所述使用需求信息和多个所述开放网站信息进行需求分析，判断防护开放权限是否满足工业用户的使用需求；网站展示单元，用于在满足工业用户的使用需求时，根据所述使用需求信息，对多个所述开放网站信息进行筛选，标记多个需求网站进行指引展示；
权限处理单元，用于在不满足工业用户的使用需求时，进行上级权限申请，根据权限申请结果，进行相关使用处理。
12.作为本发明实施例技术方案进一步的限定，所述验证识别单元具体包括：界面拍摄模块，用于在工业用户使用过程中，展示需求接收界面，并进行面部拍摄，得到面部拍摄数据；需求获取模块，用于在所述需求接收界面，获取工业用户的使用需求信息；身份验证模块，用于根据所述面部拍摄数据，对工业用户进行身份验证；身份配对模块，用于在身份验证通过后，根据所述面部拍摄数据，配对获取工业用户的用户身份信息。
13.作为本发明实施例技术方案进一步的限定，所述权限分析单元具体包括：权限确定模块，用于根据所述用户身份信息，确定工业用户的防护开放权限；权限分析模块，用于对所述防护开放权限进行分析，生成开放类别信息；权限处理模块，用于根据所述开放类别信息，获取多个开放网站信息。
14.作为本发明实施例技术方案进一步的限定，所述需求分析单元具体包括：需求分析模块，用于对所述使用需求信息进行分析，生成需求类别信息；网站匹配模块，用于根据所述需求类别信息，匹配多个需求网站信息；差异分析模块，用于根据多个所述开放网站信息和多个所述需求网站信息，进行需求差异分析，生成差异分析结果；满足判断模块，用于根据所述差异分析结果，判断对应的防护开放权限是否满足工业用户的使用需求。
15.与现有技术相比，本发明的有益效果是：本发明实施例通过接收工业用户的使用需求信息，并对工业用户进行身份验证与识别；根据用户身份信息，确定工业用户的防护开放权限；综合使用需求信息和多个开放网站信息进行需求分析，判断防护开放权限是否满足工业用户的使用需求；若满足工业用户的使用需求，标记多个需求网站进行指引展示；若不满足工业用户的使用需求，则进行上级权限申请。能够对工业用户进行身份验证，按照工业用户的用户身份信息确定对应的防护开放权限，实现防护权限针对不同工业用户的适应性调整，从而既不会限制权限需求较大的企业员工的使用，又降低了权限需求较小的企业员工泄露信息的风险。
附图说明
16.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例。
17.图1示出了本发明实施例提供的方法的流程图图2示出了本发明实施例提供的方法中需求信息获取验证的流程图；图3示出了本发明实施例提供的方法中防护开放权限分析的流程图；图4示出了本发明实施例提供的方法中权限需求分析判断的流程图；图5示出了本发明实施例提供的方法中需求网站标记展示的流程图；图6示出了本发明实施例提供的方法中上级权限申请处理的流程图；
图7示出了本发明实施例提供的防火墙的应用架构图；图8示出了本发明实施例提供的防火墙中验证识别单元的结构框图；图9示出了本发明实施例提供的防火墙中权限分析单元的结构框图；图10示出了本发明实施例提供的防火墙中需求分析单元的结构框图。
具体实施方式
18.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
19.可以理解的是，现有技术的工业防火墙应用在企业中，通常是在一个科室或部门设置一台被工业防火墙部分限制权限的计算机，在权限设置之后，通常会使得该计算机的权限固定，不能够根据不同的企业员工的使用，进行不同的防护权限的调整，从而限制了权限需求较大的企业员工的使用，又容易造成权限需求较小的企业员工泄露信息的风险。
20.为解决上述问题，本发明实施例通过接收工业用户的使用需求信息，并对工业用户进行身份验证与识别；根据用户身份信息，确定工业用户的防护开放权限；综合使用需求信息和多个开放网站信息进行需求分析，判断防护开放权限是否满足工业用户的使用需求；若满足工业用户的使用需求，标记多个需求网站进行指引展示；若不满足工业用户的使用需求，则进行上级权限申请。能够对工业用户进行身份验证，按照工业用户的用户身份信息确定对应的防护开放权限，实现防护权限针对不同工业用户的适应性调整，从而既不会限制权限需求较大的企业员工的使用，又降低了权限需求较小的企业员工泄露信息的风险。
21.图1示出了本发明实施例提供的方法的流程图。
22.具体的，一种工业防火墙防护方法，所述方法具体包括以下步骤：步骤s101，接收工业用户的使用需求信息，并对工业用户进行身份验证与识别，在验证通过后，获取工业用户的用户身份信息。
23.在本发明实施例中，在企业相应的部门中设置有一个被工业防火墙部分限制权限的计算机，在工业用户开启该计算机进行使用时，生成并展示需求接收界面，工业用户可以在需求接收界面上输入自己的需求，并在工业用户进行需求的输入过程中，对工业用户进行拍摄，得到工业用户的面部拍摄数据，进而获取工业用户的使用需求信息，通过对工业用户的面部拍摄数据进行身份验证，并在身份验证通过之后，从数据库中配对获取工业用户的用户身份信息。
24.具体的，图2示出了本发明实施例提供的方法中需求信息获取验证的流程图。
25.其中，在本发明提供的优选实施方式中，所述接收工业用户的使用需求信息，并对工业用户进行身份验证与识别，在验证通过后，获取工业用户的用户身份信息具体包括以下步骤：步骤s1011，在工业用户使用过程中，展示需求接收界面，并进行面部拍摄，得到面部拍摄数据。
26.步骤s1012，在所述需求接收界面，获取工业用户的使用需求信息。
27.步骤s1013，根据所述面部拍摄数据，对工业用户进行身份验证。
28.步骤s1014，在身份验证通过后，根据所述面部拍摄数据，配对获取工业用户的用户身份信息。
29.进一步的，所述工业智能终端显示器调节方法还包括以下步骤：步骤s102，根据所述用户身份信息，确定工业用户的防护开放权限，根据所述防护开放权限，获取多个开放网站信息。
30.在本发明实施例中，按照工业用户的用户身份信息，确定工业防火墙中设置的该工业用户的防护开放权限，通过对防护开放权限进行分析，确定对该工业用户允许开放的网站类别，生成开放类别信息，进而按照开放类别信息，确定允许该工业用户访问的多个网站，从而得到多个开放网站信息。
31.具体的，图3示出了本发明实施例提供的方法中防护开放权限分析的流程图。
32.其中，在本发明提供的优选实施方式中，所述根据所述用户身份信息，确定工业用户的防护开放权限，根据所述防护开放权限，获取多个开放网站信息具体包括以下步骤：步骤s1021，根据所述用户身份信息，确定工业用户的防护开放权限。
33.步骤s1022，对所述防护开放权限进行分析，生成开放类别信息。
34.步骤s1023，根据所述开放类别信息，获取多个开放网站信息。
35.进一步的，所述工业智能终端显示器调节方法还包括以下步骤：步骤s103，综合所述使用需求信息和多个所述开放网站信息进行需求分析，判断防护开放权限是否满足工业用户的使用需求。
36.在本发明实施例中，通过对使用需求信息进行分析，确定该工业用户具有访问需求的网站类别，生成需求类别信息，并按照需求类别信息，对该计算机中能够访问的多个网站进行匹配，确定对应该工业用户访问需求的多个网站，生成多个需求网站信息，进而对多个开放网站信息和多个需求网站信息进行综合分析，判断多个开放网站信息中对应的多个网站与多个需求网站信息对应的多个网站的符合程度，生成差异分析结果，进而根据差异分析结果，判断对应的防护开放权限是否满足工业用户的使用需求。
37.具体的，图4示出了本发明实施例提供的方法中权限需求分析判断的流程图。
38.其中，在本发明提供的优选实施方式中，所述综合所述使用需求信息和多个所述开放网站信息进行需求分析，判断防护开放权限是否满足工业用户的使用需求具体包括以下步骤：步骤s1031，对所述使用需求信息进行分析，生成需求类别信息。
39.步骤s1032，根据所述需求类别信息，匹配多个需求网站信息。
40.步骤s1033，根据多个所述开放网站信息和多个所述需求网站信息，进行需求差异分析，生成差异分析结果。
41.步骤s1034，根据所述差异分析结果，判断对应的防护开放权限是否满足工业用户的使用需求。
42.进一步的，所述工业智能终端显示器调节方法还包括以下步骤：步骤s104，若满足工业用户的使用需求，则根据所述使用需求信息，对多个所述开放网站信息进行筛选，标记多个需求网站进行指引展示。
43.在本发明实施例中，在满足工业用户的使用需求的情况下，生成需求筛选信号，进而按照使用需求信息，从多个开放网站信息对应的多个网站中，筛选多个符合用户需求的
需求网站，并按照使用需求信息，对多个需求网站的需求使用顺序进行分析，进而按照分析确定的使用顺序，将多个需求网站进行排列，生成需求使用界面，将需求使用界面进行展示，从而方便工业用户通过需求使用界面快速访问多个需求网站。
44.具体的，图5示出了本发明实施例提供的方法中需求网站标记展示的流程图。
45.其中，在本发明提供的优选实施方式中，所述若满足工业用户的使用需求，则根据所述使用需求信息，对多个所述开放网站信息进行筛选，标记多个需求网站进行指引展示具体包括以下步骤：步骤s1041，若满足工业用户的使用需求，则生成需求筛选信号。
46.步骤s1042，根据所述需求筛选信号，按照使用需求信息筛选标记多个需求网站。
47.步骤s1043，按照所述使用需求信息，分析确定多个所述需求网站的使用顺序。
48.步骤s1044，按照使用顺序，对多个所述需求网站排列布置，生成并展示需求使用界面。
49.进一步的，所述工业智能终端显示器调节方法还包括以下步骤：步骤s105，若不满足工业用户的使用需求，则进行上级权限申请，根据权限申请结果，进行相关使用处理。
50.在本发明实施例中，在不满足工业用户的使用需求的情况下，生成权限申请界面，若工业用户想进行权限申请，则在权限申请界面点击相应的申请位置，此时按照差异分析结果，生成相应的上级权限申请，并将上级权限申请发送至上一级管理人员的计算机，并接收上一级管理人员的计算机反馈发送的权限申请结果，在权限申请结果为同意申请时，则临时开放权限，此时工业用户可以访问临时开放权限对应的其他网站；在权限申请结果为拒绝申请时，则拒绝需求操作，此时工业用户不能够完成相应的需求。
51.具体的，图6示出了本发明实施例提供的方法中上级权限申请处理的流程图。
52.其中，在本发明提供的优选实施方式中，所述若不满足工业用户的使用需求，则进行上级权限申请，根据权限申请结果，进行相关使用处理具体包括以下步骤：步骤s1051，若不满足工业用户的使用需求，则生成权限申请界面。
53.步骤s1052，接收工业用户在所述权限申请界面的申请选择。
54.步骤s1053，根据所述差异分析结果，进行上级权限申请，并接收权限申请结果。
55.步骤s1054，根据权限申请结果，进行临时开放权限或拒绝需求操作。
56.进一步的，图7示出了本发明实施例提供的防火墙的应用架构图。
57.其中，在本发明提供的又一个优选实施方式中，一种工业防火墙，包括：验证识别单元101，用于接收工业用户的使用需求信息，并对工业用户进行身份验证与识别，在验证通过后，获取工业用户的用户身份信息。
58.在本发明实施例中，在企业相应的部门中设置有一个被工业防火墙部分限制权限的计算机，验证识别单元101在工业用户开启该计算机进行使用时，生成并展示需求接收界面，工业用户可以在需求接收界面上输入自己的需求，并在工业用户进行需求的输入过程中，对工业用户进行拍摄，得到工业用户的面部拍摄数据，进而获取工业用户的使用需求信息，通过对工业用户的面部拍摄数据进行身份验证，并在身份验证通过之后，从数据库中配对获取工业用户的用户身份信息。
59.具体的，图8示出了本发明实施例提供的防火墙中验证识别单元101的结构框图。
60.其中，在本发明提供的优选实施方式中，所述验证识别单元101具体包括：界面拍摄模块1011，用于在工业用户使用过程中，展示需求接收界面，并进行面部拍摄，得到面部拍摄数据。
61.需求获取模块1012，用于在所述需求接收界面，获取工业用户的使用需求信息。
62.身份验证模块1013，用于根据所述面部拍摄数据，对工业用户进行身份验证。
63.身份配对模块1014，用于在身份验证通过后，根据所述面部拍摄数据，配对获取工业用户的用户身份信息。
64.进一步的，所述工业防火墙还包括：权限分析单元102，用于根据所述用户身份信息，确定工业用户的防护开放权限，根据所述防护开放权限，获取多个开放网站信息。
65.在本发明实施例中，权限分析单元102按照工业用户的用户身份信息，确定工业防火墙中设置的该工业用户的防护开放权限，通过对防护开放权限进行分析，确定对该工业用户允许开放的网站类别，生成开放类别信息，进而按照开放类别信息，确定允许该工业用户访问的多个网站，从而得到多个开放网站信息。
66.具体的，图9示出了本发明实施例提供的防火墙中权限分析单元102的结构框图。
67.其中，在本发明提供的优选实施方式中，所述权限分析单元102具体包括：权限确定模块1021，用于根据所述用户身份信息，确定工业用户的防护开放权限。
68.权限分析模块1022，用于对所述防护开放权限进行分析，生成开放类别信息。
69.权限处理模块1023，用于根据所述开放类别信息，获取多个开放网站信息。
70.进一步的，所述工业防火墙还包括：需求分析单元103，用于综合所述使用需求信息和多个所述开放网站信息进行需求分析，判断防护开放权限是否满足工业用户的使用需求。
71.在本发明实施例中，需求分析单元103通过对使用需求信息进行分析，确定该工业用户具有访问需求的网站类别，生成需求类别信息，并按照需求类别信息，对该计算机中能够访问的多个网站进行匹配，确定对应该工业用户访问需求的多个网站，生成多个需求网站信息，进而对多个开放网站信息和多个需求网站信息进行综合分析，判断多个开放网站信息中对应的多个网站与多个需求网站信息对应的多个网站的符合程度，生成差异分析结果，进而根据差异分析结果，判断对应的防护开放权限是否满足工业用户的使用需求。
72.具体的，图10示出了本发明实施例提供的防火墙中需求分析单元103的结构框图。
73.其中，在本发明提供的优选实施方式中，所述需求分析单元103具体包括：需求分析模块1031，用于对所述使用需求信息进行分析，生成需求类别信息。
74.网站匹配模块1032，用于根据所述需求类别信息，匹配多个需求网站信息。
75.差异分析模块1033，用于根据多个所述开放网站信息和多个所述需求网站信息，进行需求差异分析，生成差异分析结果。
76.满足判断模块1034，用于根据所述差异分析结果，判断对应的防护开放权限是否满足工业用户的使用需求。
77.进一步的，所述工业防火墙还包括：网站展示单元104，用于在满足工业用户的使用需求时，根据所述使用需求信息，对多个所述开放网站信息进行筛选，标记多个需求网站进行指引展示。
78.在本发明实施例中，在满足工业用户的使用需求的情况下，网站展示单元104生成需求筛选信号，进而按照使用需求信息，从多个开放网站信息对应的多个网站中，筛选多个符合用户需求的需求网站，并按照使用需求信息，对多个需求网站的需求使用顺序进行分析，进而按照分析确定的使用顺序，将多个需求网站进行排列，生成需求使用界面，将需求使用界面进行展示，从而方便工业用户通过需求使用界面快速访问多个需求网站。
79.权限处理单元105，用于在不满足工业用户的使用需求时，进行上级权限申请，根据权限申请结果，进行相关使用处理。
80.在本发明实施例中，在不满足工业用户的使用需求的情况下，权限处理单元105生成权限申请界面，若工业用户想进行权限申请，则在权限申请界面点击相应的申请位置，此时按照差异分析结果，生成相应的上级权限申请，并将上级权限申请发送至上一级管理人员的计算机，并接收上一级管理人员的计算机反馈发送的权限申请结果，在权限申请结果为同意申请时，则临时开放权限，此时工业用户可以访问临时开放权限对应的其他网站；在权限申请结果为拒绝申请时，则拒绝需求操作，此时工业用户不能够完成相应的需求。
81.应该理解的是，虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
82.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一非易失性计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器（rom）、可编程rom（prom）、电可编程rom（eprom）、电可擦除可编程rom（eeprom）或闪存。易失性存储器可包括随机存取存储器（ram）或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram（sram）、动态ram（dram）、同步dram（sdram）、双数据率sdram（ddrsdram）、增强型sdram（esdram）、同步链路（synchlink） dram（sldram）、存储器总线（rambus）直接ram（rdram）、直接存储器总线动态ram（drdram）、以及存储器总线动态ram（rdram）等。
83.以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
84.以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。
85.以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。