淺析數控加工中網閘的應用

徐琛

摘 要： Internet的使用已經普及全球，網絡安全問題日益成為我們關注的焦點，網絡隔離設備是網絡安全主要防護設備。單向物理隔離網閘是一種由專用硬件在電路上切斷網絡之間的鏈路層連接，能夠在物理隔離的網絡之間進行適度的安全數據交換的網絡安全設備。本文主要介紹了隔離技術在DNC網絡中的應用，單向物理隔離網閘系統的原理，并分析了傳統的物理隔離技術與單向物理隔離技術的區別，以及單向物理隔離網閘與防火墻的區別。

關鍵詞： 網閘；DNC；網絡化；數控加工

前言

隨著互聯網上黑客病毒泛濫、信息恐怖、計算機犯罪等威脅日益嚴重，防火墻的攻破率不斷上升，在政府、軍隊、企業等領域，由于核心部門的信息安全關系著國家安全、社會穩定，因此迫切需要比傳統產品更為可靠的技術防護措施。物理隔離網閘最早出現在美國、以色列等國家的軍方，用以解決涉密網絡與公共網絡連接時的安全。在企業信息化建設中，我們會遇到安全域的問題，安全域是以信息涉密程度劃分的網絡空間。涉密域就是涉及國家秘密的網絡空間。非涉密域就是不涉及國家的秘密，但是涉及到本單位，本部門或者本系統的工作秘密的網絡空間。公共服務域是指不涉及國家秘密也不涉及工作秘密，是一個向互聯網絡完全開放的公共信息交換空間。國家有關文件就嚴格規定，企業的內網和企業的外網要實行嚴格的物理隔離。企業的外網和互聯網絡要實行邏輯隔離，按照安全域的劃分，企業的內網就是涉密域，企業的外網就是非涉密域，互聯網就是公共服務域。國家有關研究機構已經研究了安全網閘技術，以后根據需求，還會有更好的網閘技術出現。通過安全網閘，把內網和外網聯系起來；因此網閘成為企業信息系統必須配置的設備，由此開始，網閘產品與技術在我國快速興起，成為我國信息安全產業發展的一個新的增長點。

一、網閘概念

傳統網閘是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。由于物理隔離網閘所連接的兩個獨立主機系統之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議，不存在依據協議的信息包轉發，只有數據文件的無協議"擺渡"，且對固態存儲介質只有"讀"和"寫"兩個命令。所以，物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使"黑客"無法入侵、無法攻擊、無法破壞，實現了真正的安全。安全隔離與信息交換系統，即網閘，是新一代高安全度的企業級信息安全防護設備，它依托安全隔離技術為信息網絡提供了更高層次的安全防護能力，不僅使得信息網絡的抗攻擊能力大大增強，而且有效地防范了信息外泄事件的發生。第一代網閘的技術原理是利用單刀雙擲開關使得內外網的處理單元分時存取共享存儲設備來完成數據交換的，實現了在空氣縫隙隔離（AirGap）情況下的數據交換，安全原理是通過應用層數據提取與安全審查達到杜絕基于協議層的攻擊和增強應用層安全的效果。第二代網閘正是在吸取了第一代網閘優點的基礎上，創造性地利用全新理念的專用交換通道PET（PrivateExchangeTunnel）技術，在不降低安全性的前提下能夠完成內外網之間高速的數據交換，有效地克服了第一代網閘的弊端，第二代網閘的安全數據交換過程是通過專用硬件通信卡、私有通信協議和加密簽名機制來實現的，雖然仍是通過應用層數據提取與安全審查達到杜絕基于協議層的攻擊和增強應用層安全效果的，但卻提供了比第一代網閘更多的網絡應用支持，并且由于其采用的是專用高速硬件通信卡，使得處理能力大大提高，達到第一代網閘的幾十倍之多，而私有通信協議和加密簽名機制保證了內外處理單元之間數據交換的機密性、完整性和可信性，從而在保證安全性的同時，提供更好的處理性能，能夠適應復雜網絡對隔離應用的需求。

二、網閘技術

2.1 網閘的工作原理

網閘是一種由具有多種控制功能的專用硬件在電路上切斷網絡之間的鏈路層連接，能夠在網絡之間進行適度安全數據交換的網絡安全設備。網閘系統主要由內網處理、外網處理和安全檢測與控制處理3個模塊組成。其中，內網處理模塊負責內、外網信息獲取和協議分析；而安全檢測與控制處理模塊則根據安全策略完成信息的安全檢測、內外網絡隔離和安全交換。其主要性能指標有：系統數據交換速率（120 Mb/s）和硬件切換時間（5 ms）。其安全功能模塊具有安全隔離、內核防護、協議轉換、病毒查殺、訪問控制、安全審計、身份認證等功能。

由于互聯網是基于TCP/IP協議實現連接，因此入侵攻擊是依賴于OSI 7層數據通信模型的一層或多層，如果斷開OSI數據模型的所有層，則可消除來自網絡的潛在攻擊。網閘正是依照該原理實現信息安全傳遞的，而不是依靠網絡協議的數據包轉發，只有數據的無協議“擺渡”，阻斷了基于OSI協議的潛在攻擊，從而保證系統安全。因此，網閘真正實現網絡隔離，在阻斷各種網絡攻擊的基礎上，為用戶提供安全的網絡操作、郵件訪問以及基于文件和數據庫的數據交換。第二代網閘通過專用交換通道、高速硬件通信卡、私有通信協議和加密簽名機制可實現高速、安全的內外網數據交換，使得處理能力大大提高，能夠適應復雜網絡對隔離應用的需求：而私有通信協議和加密簽名機制保證內外處理單元間數據交換的機密性、完整性和可信性。因此，網閘具有更高的安全性和可靠性，通過內部控制系統連接兩個獨立網絡，利用內嵌軟件完成切換操作，并增加安全審查程序。作為數據傳遞“中介”，網閘在保證重要網絡與其他網絡隔離的同時能夠安全交換數據。

2.2 網閘主要功能

針對內外網信息共享的類型和共享速度的需求，網閘主要包括以下功能：

2.2.1 數據庫訪問提供客戶端安全訪問數據庫服務器功能；

2.2.2 文件交換文件交換模塊在內、外網服務器指定目錄或指定盤問進行單向或雙向的文件隔離交換，包括格式檢查、內容過濾、簽名校驗等；

2.2.3 安全瀏覽提供內網用戶安全上網功能。支持透明模式和非透明模式，即把網閘配置成網關設備和配置客戶端代理；

2.2.4 郵件交換在內、外網郵件服務器之間隔離交換郵件，內網用戶安全收發外網郵件；

2.2.5 數據庫同步在內外網數據庫之間進行數據同步。數據庫同步代理根據用戶設置定時啟動同步任務，并按一定周期重復執行。如果周期設置為秒級，則可實現實時同步；

2.2.6 ftp訪問客戶端可直接安全訪問FTP服務器；

2.2.7 郵件訪問 用戶直接安全訪問郵件服務器。

三、網閘在DNC系統的應用

DNC系統主要分兩部分，即通訊系統和管理系統。通訊系統是DNC系統實現的關鍵，這是建立DNC系統的基礎。雖然數控設備種類繁多，控制系統各異，但數控機床通訊方式有限，有串口通訊、以太網卡通訊和無線傳輸通訊。不同的DNC思想對于DNC通信要求也不完全一致，需要根據DNC的思想選擇合適的DNC通信方案或擴展DNC的通信功能。鑒于目前公司的數控機床提供的主要是串行通信接口，因此主要針對具有串行通信接口的數控機床。

對于應用串行通信的數控機床，網絡化DNC系統通信結構采用以下兩種實現方式：局域網結合點對點式DNC通信結構和局域網式結構。

早期的DNC系統通訊結構為局域網結合點對點式DNC通信結構，在局域網結合點對點式DNC通信結構中，每臺數控機床均配置一臺計算機，通過計算機把數控機床連接到網絡。這種系統存在大量計算機的維護工作和機床操作人員的培訓工作，而且DNC通信傳輸軟件大多為專用系統，一種通信軟件一般只能支持一種或有限的幾種的數控機床，理想情況應是以一種通用性的DNC通信軟件支持全部的數控機床，并增加機床狀態信息映射功能，把采集的信息實時網絡發布。

在應用現場總線實現的通信結構中，過多的協議層次導致了整個系統的復雜和開發的難度，如果不使用現場總線，把車間的以太網直接延伸到數控機床，車間的通信結構變成internet/intranet/serial，從而簡單了很多。具有以太網接口的串口服務器和具有以太網接口的可編程邏輯控制器的出現，以及以太網技術的發展使這項技術成為可能。局域網式DNC通信的結構與點對點式結構相比，是一種簡潔高效的解決方案；相對于現場總線式結構，減少了系統的復雜性，同時可實現車間辦公自動化網絡和自動化設備網絡的直接連接。使車間乃至整個企業的信息網與DNC通訊網絡得以統一，無須像現場總線那樣對DNC主控計算機作為信息整合的接口，實現了全車間信息的完整性、通透性、一致性。同時該結構可以實現嵌入式internet服務功能，使擁有權限的internet用戶可以在任何時候、任何地方監控機床的運行情況。針對不同類型的數控設備開發通訊程序，建立通訊協議庫，選擇合適的通訊協議下載到DNC控制器，從而在DNC服務器端用一個統一的信息平臺來管理全部的數控設備，實現異構數控設備的集成。

四、DNC系統管理模塊功能設計

DNC系統管理模塊的功能主要是管理數控設備信息和數控加工任務信息，實現數控資源的網絡共享。服務器平臺在功能上劃分為以下幾點。

4.1 機床信息管理

這里主要實現各類數控機床靜態信息管理，包括數控銑床、車床、電火花和線切割機床信息的錄入、修改和刪除，這些靜態信息包括機床名稱、所屬企業、工作臺面和數控系統等信息。各類機床的參數正確的錄入才能保證DNC系統的正常通訊。

4.2 數控程序管理

包括數控程序的審核、上傳、編輯、模擬和查詢功能。數控編程人員根據選擇的數控機床，生成數控程序，然后將數控程序相關信息錄入到數據庫中，并加入到機床任務隊列，這些信息包括對應機床、數控程序。數控程序模擬是提供對數控程序的在線模擬。數控程序的查詢可以按照機床編號或名稱以及加工狀態等方式進行。

4.3 機床任務管理

提供對每臺機床的加工任務管理。網內人員獲得權限的才可以對機床的加工任務進行添加、刪除和任務查詢，也可以把每日加工任務生成任務單下達給機床操作人員。

4.4 機床狀態分析

通過DNC控制器獲得機床的運行狀態日志，并提供對運行日志的各種分析報告。機床狀態比例是指用百分比的形式顯示各機床工作狀態比例圖。

4.5 機床狀態觀察

通過DNC控制器實時采集的機床狀態。如機床是加工、空閑、設置還是報警。

4.6 用戶和設備的管理

提供對內部人員的帳號和工作權限的管理，這部分工作由系統管理員完成，可對內部人員劃分角色以及分組管理。

五、結語

通過網絡化加工，實現數控設備資源的共享，進行數控資源的配置和重組，以網絡化模式進行新產品的制造和加工。也就是說，企業在缺乏數控加工能力的情況下，不是一味的增加數控設備的投入，而是從降低企業投資風險出發，在不需要投入大量資金的情況下，盡可能獲得所需要得數控加工資源，擴大企業得數控加工能力。提高企業快速響應市場，適應多樣化加工得能力，使合作各方得資源得到充分得利用，降低生產成本，爭取在局部最優得基礎上取得全局最優。

參考文獻

[1]王淑江.網絡安全[M].北京：機械工業出版社，2007.

[2]彭德明，喬月圓.計算機網絡安全[M].北京：電子工業出版社.2007.