本发明专利技术公开了一种针对数控系统的通信防护设备,所述防护设备包括访问控制与身份鉴别模块,将防护设备与数控系统进行一对一的绑定,只有符合匹配MAC、IP、端口号规则的通信端才能通过防护设备与数控系统建立连接,不符合规则的计算机等通信设备是无法与数控系统进行通信;通信数据防护模块,只允许符合白名单规则的传输数据内容通过并传输到所述数控系统;配置管理审计模块,用于进行安全防护策略的配置和解析,并对业务防护/维修/用户操作/攻击行为进行日志记录,同时进行安全管理和数据存储的设置。该设备能有效保护数控系统的通信数据安全,防止数控加工数据的非法外泄,阻止异常数据流入数控加工网络。
【技术实现步骤摘要】
本专利技术涉及数控加工网络
,尤其涉及一种针对数控系统的通信防护设备。
技术介绍
近年来,随着科研生产效率的提升及数字化和信息化融合的迫切需要,企业普遍利用分布式数字控制(DNC)系统将数控机床组成数控加工网络,实现了数控加工文件的集中管理与高效传输;DNC系统能够实现加工设备的有效整合,提高了设备的利用率,实现车间的资源与信息透明化,降低了管理成本及管理难度。数控加工网络由数控机床、交换机和DNC服务器组成,数控机床的控制单元称为数控系统,它是数控机床与外部进行数据交换的主要部件,高档的数控系统普遍采用了嵌入式或精简的操作系统,并提供了多种数据接口和大量的存储空间,这些系统一般无法更新操作系统补丁、安装查杀病毒软件和信息安全产品,缺少作为一台网络终端设备必需的安全防护措施;另外,黑客软件或木马病毒极易通过数控系统对数控加工网络服务器或其他联网设备发起攻击,盗取重要数据和文件,这些使得数控系统存在严重的安全隐患。
技术实现思路
本专利技术的目的是提供一种针对数控系统的通信防护设备,该设备能实现对数控系统的端口管控、访问控制、数据过滤和安全审计等功能,有效保护数控系统的通信数据安全,防止数控加工数据的非法外泄,阻止异常数据流入数控加工网络。一种针对数控系统的通信防护设备,所述防护设备包括:访问控制与身份鉴别模块,用于通过配置安全防护策略,以白名单的方式指定绑定的源/目的MAC地址、源/目的IP地址、源/目的端口号;利用该访问控制与身份鉴别模块将所述防护设备与数控系统进行一对一的绑定,只有符合匹配MAC、IP、端口号规则的通信端才能与所述数控系统建立连接,不符合规则的通信端无法与所述数控系统进行通信;通信数据防护模块,用于通过配置安全防护策略,以白名单的方式指定串口和网口
传输数据的协议、类型和NC代码格式,同时按照指定的协议、类型和NC代码格式对待传输数据的内容进行审查,只允许符合白名单规则的传输数据内容通过并传输到所述数控系统,同时阻断非法数据的传输;配置管理审计模块,用于进行安全防护策略的配置和解析,设置传输协议、类型和NC代码格式的白名单,设置USB为双向或单向通信,并对业务防护/维修/用户操作/攻击行为进行日志记录,同时进行安全管理和数据存储的设置。所述访问控制与身份鉴别模块进一步采用用户名、口令、USB-Key组合机制对用户身份进行鉴别,并对用户鉴别数据进行保密性和完整性保护。所述访问控制与身份鉴别模块进一步设置有空闲操作时间阈值,当已通过身份鉴别的管理员的空闲操作时间超过该空闲操作时间阈值时,所述访问控制与身份鉴别模块对所述管理员的登录权限进行注销并断开所述管理员的会话操作,并对登录超时事件进行记录。所述通信数据防护模块还用于通过配置安全策略,对通信协议类型、数据内容进行匹配审查,只有完全匹配预先设定的白名单时才能进行数据交换,对所述白名单外的通信设备的连接请求予以阻断。所述待传输数据包括串口数据、网口数据和USB数据,其中:所述串口数据为通信主/客体之间的RS232串行数据;所述网口数据为通信主/客体之间的以太网数据报文;所述USB数据为通信主/客体之间的通用串行总线数据。所述配置管理审计模块所记录的日志包括业务防护日志、维修日志、用户操作日志和攻击日志;并对传输的协议类型、数据类型、内容审查/过滤/交换/阻断、操作内容、维修情况进行记录;同时提供完善的日志属性,包括:事件发生时间、文件名称、协议内容、源/目的MAC、源/目的IP、源/目的端口号、检测结果和事件描述。所述防护设备为基于ARM处理器的嵌入式平台,具体包括用于与所述数控系统进行通信连接的串口、网口和USB接口,称为数控系统接入通信接口;以及用于与外部设备进行通信连接的串口、网口和USB口,称为外部设备通信接口。由上述本专利技术提供的技术方案可以看出,上述设备能实现对数控系统的端口管控、访问控制、数据过滤和安全审计等功能,有效保护数控系统的通信数据安全,防止数控
加工数据的非法外泄,阻止异常数据流入数控系统网络。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。图1为本专利技术实施例所提供针对数控系统的通信防护设备的结构示意图;图2为本专利技术实施例所提供防护设备的实现结构示意图;图3为本专利技术实施例所提供的该防护设备使用时的示意图。具体实施方式下面结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术的保护范围。下面将结合附图对本专利技术实施例作进一步地详细描述,如图1所示为本专利技术实施例所提供针对数控系统的通信防护设备的结构示意图,所述防护设备主要包括有访问控制与身份鉴别模块、通信数据防护模块和配置管理审计模块,其中各模块的具体功能及实现过程为:访问控制与身份鉴别模块,用于通过配置安全防护策略,以白名单的方式指定绑定的源/目的MAC地址、源/目的IP地址、源/目的端口号;利用该访问控制与身份鉴别模块将所述防护设备与数控系统进行一对一的绑定,只有符合匹配MAC、IP、端口号规则的通信端才能与所述数控系统建立连接,不符合规则的通信端无法与所述数控系统进行通信。在身份鉴别的过程中,该访问控制与身份鉴别模块可将进行管理的安全角色划分为系统管理员、安全保密管理员和安全审计管理员三种管理员角色,并进一步采用用户名、口令、USB-Key组合机制对用户身份进行鉴别,并对用户鉴别数据进行保密性和完整性保护,防护设备在执行任何与安全功能相关的操作之前都需要对操作者的身份进行鉴别,建立该防护设备与操作者的对应关系,只有授权用户身份合法,才能执行相关的操
作。另外,在所述访问控制与身份鉴别模块中还可以进一步设置空闲操作时间阈值,当已通过身份鉴别的管理员的空闲操作时间超过该空闲操作时间阈值时,所述访问控制与身份鉴别模块对所述管理员的登录权限进行注销并断开所述管理员的会话操作,并对登录超时事件进行记录,若该管理员需要继续访问操作,则需要重新进行身份鉴别并登录。所述通信数据防护模块可以通过配置安全策略,对通信协议类型、数据内容进行匹配审查,只有完全匹配预先设定的白名单时才能进行数据交换,对所述白名单外的通信设备的连接请求予以阻断。具体实现中,通过配置安全防护策略,以白名单的方式指定传输数据的协议、类型和NC代码格式。同时按照指定的协议、类型和NC代码格式对待传输数据的内容进行审查,只允许符合白名单规则的传输数据内容通过并传输到所述数控系统,同时阻断非法数据的传输,从而实现对受保护数控系统的数据传输内容过滤功能。所述待传输数据包括串口数据、网口数据和USB数据,其中,所述串口数据为通信主/客体之间的RS232串行数据;所述网口数据为通信主/客体之间的以太网数据报文;所述USB数据为通信主/客体之间的通用串行总线数据。所述配置本文档来自技高网...
【技术保护点】
一种针对数控系统的通信防护设备,其特征在于,所述防护设备包括:访问控制与身份鉴别模块,用于通过配置安全防护策略,以白名单的方式指定绑定的源/目的MAC地址、源/目的IP地址、源/目的端口号;利用该访问控制与身份鉴别模块将所述防护设备与数控系统进行一对一的绑定,只有符合匹配MAC、IP、端口号规则的通信端才能与所述数控系统建立连接,不符合规则的通信端无法与所述数控系统进行通信;通信数据防护模块,用于通过配置安全防护策略,以白名单的方式指定传输数据的协议、类型和NC代码格式,同时按照指定的协议、类型和NC代码格式对待传输数据的内容进行审查,只允许符合白名单规则的传输数据内容通过并传输到所述数控系统,同时阻断非法数据的传输;配置管理审计模块,用于进行安全防护策略的配置和解析,设置传输协议、类型和NC代码格式的白名单,设置USB为双向或单向通信;并对业务防护/维修/用户操作/攻击行为进行日志记录,同时进行安全管理和数据存储的设置。
【技术特征摘要】
1.一种针对数控系统的通信防护设备,其特征在于,所述防护设备包括:访问控制与身份鉴别模块,用于通过配置安全防护策略,以白名单的方式指定绑定的源/目的MAC地址、源/目的IP地址、源/目的端口号;利用该访问控制与身份鉴别模块将所述防护设备与数控系统进行一对一的绑定,只有符合匹配MAC、IP、端口号规则的通信端才能与所述数控系统建立连接,不符合规则的通信端无法与所述数控系统进行通信;通信数据防护模块,用于通过配置安全防护策略,以白名单的方式指定传输数据的协议、类型和NC代码格式,同时按照指定的协议、类型和NC代码格式对待传输数据的内容进行审查,只允许符合白名单规则的传输数据内容通过并传输到所述数控系统,同时阻断非法数据的传输;配置管理审计模块,用于进行安全防护策略的配置和解析,设置传输协议、类型和NC代码格式的白名单,设置USB为双向或单向通信;并对业务防护/维修/用户操作/攻击行为进行日志记录,同时进行安全管理和数据存储的设置。2.根据权利要求1所述针对数控系统的通信防护设备,其特征在于,所述通信数据防护模块还用于通过配置安全策略,对通信协议类型、数据内容进行匹配审查,只有完全匹配预先设定的白名单时才能进行数据交换,并对所述白名单外的通信设备的连接请求予以阻断。3.根据权利要求1或2所述针对数控系统的通信防护设备,其特征在于,所述访问控制与身份鉴别模块进一步采用用户名、口令、USB-Key组合机制对用户身份进行鉴别,并对用...
【专利技术属性】
技术研发人员:赵甫,王琦魁,宋永立,
申请(专利权)人:北京航天数控系统有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。