CN106874802B - 一种基于驱动控制的工控设备病毒防护系统 - Google Patents
一种基于驱动控制的工控设备病毒防护系统 Download PDFInfo
- Publication number
- CN106874802B CN106874802B CN201710038975.7A CN201710038975A CN106874802B CN 106874802 B CN106874802 B CN 106874802B CN 201710038975 A CN201710038975 A CN 201710038975A CN 106874802 B CN106874802 B CN 106874802B
- Authority
- CN
- China
- Prior art keywords
- usb flash
- flash disk
- disk
- control equipment
- industrial control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于驱动控制的工控设备病毒防护系统,包括安装于安全U盘上的安全U盘固件、安装于杀毒主机和工控设备上的U盘驱动软件、安装于工控设备上的U盘访问控制软件、安装于杀毒主机上的U盘管理软件;U盘驱动软件与安全U盘固件之间实现双向认证,U盘管理软件用于初始化安全U盘、对安全U盘杀毒、设置安全U盘杀毒状态和有效期;U盘访问控制软件用于在杀毒有效期内对安全U盘内执行读/写操作。本发明结合操作系统底层驱动改造以及相关管理软件,来管控U盘的病毒查杀状态和是否可读取,降低了在工控设备上因使用状态不可控的普通移动存储介质带来的病毒交叉感染风险。
Description
技术领域
本发明属于信息安全技术,具体涉及一种基于驱动控制的工控设备病毒防护系统。
背景技术
近年来,信息安全形势越来越严峻,尤其对工控设备的病毒管理提出了很高的要求,但是国内军工企业对于工控设备的病毒防护还停留在管理上,技术上对于无法安装杀毒软件的工控设备防护有待加强。针对军工单位工控设备、设备和介质病毒防护专门研究较少,主要存在以下问题:
1)大多数企业由于工控设备、USB接口移动存储介质无法联网监控,工控设备病毒防护主要依靠责任人自身的安全保密意识和行政上的有管理手段,无法进行技术手段防护与跟踪;
2)跨单位研制阶段联合试验的介质和设备使用过程没有有效的管理措施和病毒防护措施,特别是在研制阶段反复进行产品创新设计,交接界面不清晰;
3)对于病毒库的升级,病毒查杀的管理方式,杀毒中间机的配备没有统一的要求,对介质的病毒查杀不及时且无法管控;
4)目前军工行业内没有试验专用的工控设备,设备病毒防护强制执行的技术手段;
5)未进行病毒查杀的介质接入到产品或查杀病毒的中间机病毒库版本太低,在试验过程中的设备和介质需要共同试验,介质与设备交叉接入,介质与设备存在互相传播病毒。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种基于驱动控制的工控设备病毒防护系统,其目的在于,通过移动存储介质安全改造,并结合操作系统底层驱动改造以及相关管理软件,来管控U盘的病毒查杀状态和是否可读取,降低了在工控设备上因使用状态不可控的普通移动存储介质带来的病毒交叉感染风险。
为实现上述目的,本发明提供了一种基于驱动控制的工控设备病毒防护系统,包括安装于安全U盘上的安全U盘固件、安装于杀毒主机和工控设备上的U盘驱动软件、安装于工控设备上的U盘访问控制软件、安装于杀毒主机上的U盘管理软件;
U盘驱动软件与安全U盘固件之间实现双向认证,认证通过后U盘驱动软件作为杀毒主机与安全U盘或者工控设备与安全U盘之间的通信通道;杀毒主机上的U盘管理软件用于初始化安全U盘、对安全U盘杀毒、设置安全U盘杀毒状态和有效期;工控设备上的U盘访问控制软件用于在杀毒有效期内对安全U盘内执行读/写操作。
进一步地,所述杀毒主机上的U盘管理软件对安全U盘进行杀毒操作,记录杀毒时间和杀毒结果,设置安全U盘的杀毒状态为安全以及设置有效期,安全U盘的安全U盘固件记录杀毒主机的访问日志。
进一步地,所述杀毒主机上的U盘管理软件读取安全U盘的访问日志。
进一步地,所述工控设备上的U盘访问控制软件向安全U盘固件发送读/写指令,安全U盘固件若在杀毒有效期内允许工控设备执行读/写操作,安全U盘固件记录此次访问日志;安全U盘固件若不在杀毒有效期内则拒绝工控设备访问。
进一步地,所述安全U盘包括处理模块、存储模块、LED指示灯、USB接口、按钮;处理模块上用于加载安全U盘固件,存储模块用于存储数据,LED指示灯用于显示杀毒状态;USB接口用于安全U盘与杀毒主机或工控设备的连接;按钮用于:在紧急情况下安全U盘插上普通设备,通过特定次序按压按钮,如果与预定按压次序相符,则将安全U盘的杀毒状态设置为安全,再将安全U盘插上工控设备,允许工控设备访问。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,本发明结合操作系统底层驱动改造以及相关管理软件,来管控U盘的病毒查杀状态和是否可读取,能从存储介质底层阻止非安全的访问,丰富了试验产品的病毒防护手段,降低了在工控设备上因使用状态不可控的普通移动存储介质带来的病毒交叉感染风险。进一步地,通过对安全U盘的改造,具备紧急状态下数据读出功能。通过安全U盘底部的按钮特定的按压序列,可以临时紧急开启数据读出功能。
附图说明
图1是安全U盘硬件逻辑连接图
图2是软件架构层次图
图3是安全U盘杀毒状态设置过程图;
图4是访问日志读取图;
图5是安全U盘杀毒后与工控设备连接读取数据图;
图6是安全U盘无效状态与主机连接图;
图7是安全U盘与未授权工控设备连接图;
图8是工控设备与普通U盘连接图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
U盘包括处理模块以及分别连接处理模块的存储模块、LED指示灯、USB接口和Button按钮。处理模块用于数据安全访问控制,根据自身安全状态允许或阻止主机访问存储模块的存储内容;LED指示灯显示U盘的安全状态,在紧急状态下,可通过特定按压序列按压Button按钮,开启紧急数据读出功能。
图1给出了本发明安全U盘的一种较佳实施方式。安全U盘的硬件组件为:
1)处理模块使用STM32F103C8T6主控芯片。使用ARM Cortex-M3内核,具有最高72MHz运行频率,20KB内存,64KBFLASH存储。
2)存储模块使用TF存储卡作为物理存储。与主控芯片之间采用SPI总线连接,运行频率18MHz。
3)LED指示灯使用红绿双色显示LED二级管,与主控芯片GPIO口相连。可以显示红、绿、黄三种颜色,断电则不亮。
4)Button按钮使用单触点开关,与主控芯片GPIO口相连。可以检测到边沿跳变。
5)提供USB接口。使用USB2.0全速(FS)接口,与主控芯片的DM、DP功能引脚相连,最高速度12Mbps。
配合运行于指定的杀毒主机Windows XP平台的安全U盘管理软件,在对安全U盘进行杀毒处理之后,设定U盘的安全状态为安全。配合运行于工控设备Windows XP平台的安全U盘访问控制软件,只对安全U盘允许访问。
如图2所示,本发明实施例所涉及的软件包括安全U盘固件、U盘驱动软件、U盘访问控制软件和U盘管理软件,其中,安全U盘固件安装于安全U盘的处理模块上,U盘驱动软件均安装于工控设备和杀毒主机上,U盘访问控制软件安装于工控设备上,U盘管理软件安装于杀毒主机上。下面分别详细说明:
(1)安全U盘固件,主要提供的软件功能:
a.实现与安全U盘双向认证,根据自身的状态判断是否放行后续的数据访问;
b.执行“获取安全U盘ID”命令并返回结果;
c.执行“设置安全U盘杀毒状态标志”命令并返回结果;
d.执行“初始化安全U盘”命令并返回结果;
e.执行“读取安全U盘日志”命令并返回结果;
f.执行“设置杀毒状态有效期”命令并返回结果;
g.针对放行状态,执行正常读/写命令并返回结果;
h.设定的事件发生时写入日志。
i.根据当前状态设置状态指示灯
j.监控按钮按压序列,匹配特定模式则开启紧急放行状态。
k.编程环境:Linux,GNU Toolchain,运行环境:STM32F103芯片
(2)安全U盘驱动软件,主要提供的软件功能:
a.阻止普通U盘被系统访问(特殊情况可关闭);
b.实现与安全U盘双向认证;
c.配合上层应用程序,发送“获取安全U盘ID”命令URB到安全U盘并返回结果;
d.配合上层应用程序,获取主机ID并返回结果;
e.配合上层应用程序,发送“设置安全U盘杀毒状态标志”命令URB到安全U盘并返回结果
f.配合上层应用程序,发送“初始化安全U盘”命令URB到安全U盘并返回结果;
g.配合上层应用程序,发送“读取安全U盘日志”命令URB到安全U盘并返回结果;
h.配合上层应用程序,发送“设置杀毒状态有效期”命令URB到安全U盘并返回结果;
i.针对认证通过的安全U盘,转发正常读/写URB到安全U盘;
j.编程环境:WDK.7600,运行环境:Windows XP 32位
(3)安全U盘访问控制软件,主要提供的软件功能:
主要提供特殊情况下,开启普通U盘访问功能。同时具备读取本机标识符,以及安全U盘标识符功能,方便日志比对。编程环境为Visual Studio 2013,Visual C++,运行环境为Windows XP 32位。
(4)安全U盘管理软件,主要提供的软件功能:
a.开启普通U盘访问;
b.获取安全U盘ID;
c.获取主机ID;
d.设置安全U盘杀毒完成标志;
e.初始化安全U盘
f.导出安全U盘日志
g.设置杀毒状态有效期
h.编程环境:Visual Studio 2013,Visual C++
i.运行环境:Windows XP 32位
请参见图3到图8,本发明工控设备病毒防护装置的交互流程设计如下:
1)安全U盘初始化。
安全U盘访问控制软件可以实施对U盘的初始化。在安全U盘启用前,均要进行初始化,否则不能被使用。在安全U盘处于异常状态时也可以使用初始化功能进行恢复。
a)步骤1进行访问授权认证。
b)步骤2认证成功回复。
c)步骤3发送设备初始化指令。
d)步骤4初始化状态回复。
2)安全U盘杀毒状态设置。
杀毒主机可以对安全U盘杀毒状态进行有效和超期设置,见图3。
a)步骤1进行访问授权认证。
b)步骤2认证成功回复,同时安全U盘记录此次访问到访问日志。
c)步骤3进行杀毒操作,记录经过病毒查杀时间和查杀结果。
d)步骤4设置安全U盘状态为0(安全),同时指示灯显示绿色。
e)步骤5状态设置成功回复。
3)安全U盘访问日志读取。
杀毒主机可以读取安全U盘的访问日志,见图4。
a)步骤1进行访问授权认证。
b)步骤2认证成功回复。
c)步骤3发送日志读取指令。
d)步骤4返回日志记录。
4)在有效杀毒周期内的安全U盘与工控设备连接读取数据。
工控设备可读取在有效杀毒周期内的安全U盘,见图5。
a)步骤1进行访问授权认证。安全U盘经过病毒查杀,且查杀周期在允许使用的时间范围内,允许正常访问,指示灯显示绿色,表示正常访问。
b)步骤2安全U盘返回允许访问状态,同时安全U盘记录此次访问到访问日志。
c)步骤3工控设备写入数据到安全区。
d)步骤4工控设备读取数据。
5)安全U盘病毒查杀超过允许使用时间范围与主机连接。
工控设备不可访问超过有效病毒查杀周期的安全U盘,见图6。
a)步骤1进行访问授权认证。检测安全U盘查杀时间超过7天未进行病毒查杀,于是拒绝访问,指示灯显示红色。
b)步骤2安全U盘返回拒绝访问状态,切断USB与存储芯片的连接,同时记录此次访问到访问日志。工控设备将不会识别到有U盘。
6)安全U盘与未授权工控设备连接。
未授权工控设备不可读取安全U盘,见图7。由于工控设备未安装“安全U盘控制程序”,安全U盘处于未认证状态,将拒绝主机的任何访问,同时指示灯显示红色.。
7)工控设备与普通U盘连接。
工控设备不可读取普通U盘。由于普通U盘没有内置认证功能,“安全U盘访问控制软件”认证不会通过,将会被拒绝访问,见图8。
8)普通设备对安全U盘紧急状态下的数据读取。
可实现在紧急情况下,普通设备读取安全U盘数据。将安全U盘插上普通设备,通过以特定次序按压安全U盘底部按钮,如果与内置的按压次序相符,则将杀毒状态重置为0,关闭认证,同时记录此次操作到日志。拔下U盘,再次插入主机,则安全U盘变成普通U盘的功能,不需要认证即可以直接使用。再次拔出后,U盘恢复为上次状态下的安全U盘。
9)病毒查杀超过允许使用时间范围的安全U盘紧急状态下的数据读取。
通过修改工控设备安全U盘控制程序功能,允许工控设备对病毒查杀超过允许使用时间范围的安全U盘的读取。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种基于驱动控制的工控设备病毒防护系统,其特征在于,包括安装于安全U盘上的安全U盘固件、安装于杀毒主机和工控设备上的U盘驱动软件、安装于工控设备上的U盘访问控制软件、安装于杀毒主机上的U盘管理软件;
U盘驱动软件与安全U盘固件之间实现双向认证,认证通过后U盘驱动软件作为杀毒主机与安全U盘或者工控设备与安全U盘之间的通信通道;杀毒主机上的U盘管理软件用于初始化安全U盘、对安全U盘杀毒、设置安全U盘杀毒状态和有效期;工控设备上的U盘访问控制软件用于在杀毒有效期内对安全U盘内执行读/写操作;安全U盘根据U盘管理软件设置的杀毒状态和有效期允许或拒绝工控设备的读/写操作请求。
2.根据权利要求1所述的基于驱动控制的工控设备病毒防护系统,其特征在于,所述杀毒主机上的U盘管理软件对安全U盘进行杀毒操作,记录杀毒时间和杀毒结果,设置安全U盘的杀毒状态为安全以及设置有效期,安全U盘的安全U盘固件记录杀毒主机的访问日志。
3.根据权利要求2所述的基于驱动控制的工控设备病毒防护系统,其特征在于,所述杀毒主机上的U盘管理软件读取安全U盘的访问日志。
4.根据权利要求1所述的基于驱动控制的工控设备病毒防护系统,其特征在于,所述工控设备上的U盘访问控制软件向安全U盘固件发送读/写指令,安全U盘固件若在杀毒有效期内允许工控设备执行读/写操作,安全U盘固件记录此次访问日志;安全U盘固件若不在杀毒有效期内则拒绝工控设备访问。
5.根据权利要求1所述的基于驱动控制的工控设备病毒防护系统,其特征在于,所述安全U盘包括处理模块、存储模块、LED指示灯、USB接口、按钮;处理模块用于加载安全U盘固件,存储模块用于存储数据,LED指示灯用于显示杀毒状态;USB接口用于安全U盘与杀毒主机或工控设备的连接;按钮用于:在紧急情况下安全U盘插上普通设备,通过特定次序按压按钮,如果与预定按压次序相符,则将安全U盘的杀毒状态设置为安全,再将安全U盘插上工控设备,允许工控设备访问。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710038975.7A CN106874802B (zh) | 2017-01-19 | 2017-01-19 | 一种基于驱动控制的工控设备病毒防护系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710038975.7A CN106874802B (zh) | 2017-01-19 | 2017-01-19 | 一种基于驱动控制的工控设备病毒防护系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106874802A CN106874802A (zh) | 2017-06-20 |
CN106874802B true CN106874802B (zh) | 2020-02-04 |
Family
ID=59158457
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710038975.7A Active CN106874802B (zh) | 2017-01-19 | 2017-01-19 | 一种基于驱动控制的工控设备病毒防护系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106874802B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108733997B (zh) * | 2018-04-04 | 2021-09-24 | 广东南方电力通信有限公司 | 一种基于指纹识别的移动电力数据监控系统及方法 |
CN115048062B (zh) * | 2022-07-25 | 2023-01-06 | 北京珞安科技有限责任公司 | 基于分级管控的移动存储设备管理系统 |
CN115185466B (zh) * | 2022-07-25 | 2023-02-28 | 北京珞安科技有限责任公司 | 一种移动存储设备的分级管控工具和方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101901315A (zh) * | 2010-07-12 | 2010-12-01 | 浪潮齐鲁软件产业有限公司 | 一种usb移动存储介质安全隔离与监控管理方法 |
CN102609367A (zh) * | 2011-11-25 | 2012-07-25 | 无锡华御信息技术有限公司 | 一种带安全控制与审计的u盘系统 |
CN102902635A (zh) * | 2012-09-29 | 2013-01-30 | 无锡华御信息技术有限公司 | 一种可供企业使用的安全u盘系统 |
CN104680055A (zh) * | 2015-03-02 | 2015-06-03 | 北京威努特技术有限公司 | 一种u盘接入工业控制系统网络后接受管理的控制方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160011810A1 (en) * | 2014-03-26 | 2016-01-14 | 2419265 Ontario Limited | Solid-state memory device with plurality of memory devices |
-
2017
- 2017-01-19 CN CN201710038975.7A patent/CN106874802B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101901315A (zh) * | 2010-07-12 | 2010-12-01 | 浪潮齐鲁软件产业有限公司 | 一种usb移动存储介质安全隔离与监控管理方法 |
CN102609367A (zh) * | 2011-11-25 | 2012-07-25 | 无锡华御信息技术有限公司 | 一种带安全控制与审计的u盘系统 |
CN102902635A (zh) * | 2012-09-29 | 2013-01-30 | 无锡华御信息技术有限公司 | 一种可供企业使用的安全u盘系统 |
CN104680055A (zh) * | 2015-03-02 | 2015-06-03 | 北京威努特技术有限公司 | 一种u盘接入工业控制系统网络后接受管理的控制方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106874802A (zh) | 2017-06-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101146153B1 (ko) | 컴퓨터 오퍼레이팅 시스템용 보안 시스템 및 그 방법 | |
CA2799932C (en) | Computer motherboard having peripheral security functions | |
AU2002315565B2 (en) | Security system and method for computers | |
US20070028292A1 (en) | Bus bridge security system and method for computers | |
RU2321055C2 (ru) | Устройство защиты информации от несанкционированного доступа для компьютеров информационно-вычислительных систем | |
CN106874802B (zh) | 一种基于驱动控制的工控设备病毒防护系统 | |
AU2002315565A1 (en) | Security system and method for computers | |
CN102567235B (zh) | 基于区域认证的智能主动防疫式u盘及其防疫方法 | |
CN113312676A (zh) | 数据访问方法、装置、计算机设备及可读存储介质 | |
CN105335197A (zh) | 终端中应用程序的启动控制方法和装置 | |
CN103473512B (zh) | 一种移动存储介质管理方法和装置 | |
EP4006758B1 (en) | Data storage apparatus with variable computer file system | |
CN112988630A (zh) | 一种基于微过滤器的移动存储设备的读写控制方法及系统 | |
US20220374534A1 (en) | File system protection apparatus and method in auxiliary storage device | |
TW201905704A (zh) | 儲存裝置管理方法以及儲存裝置管理系統 | |
CN102932372B (zh) | 一种网络安全隔离卡及实现方法 | |
CN103927492A (zh) | 一种数据处理设备及数据保护方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |