本發(fā)明涉及數(shù)控機(jī)床領(lǐng)域，更具體地說(shuō)，涉及一種應(yīng)用于數(shù)控機(jī)床的運(yùn)維審計(jì)方法和裝置。

背景技術(shù)：

目前，在進(jìn)行精密機(jī)械加的工生產(chǎn)制造行業(yè)缺乏對(duì)數(shù)控機(jī)床的網(wǎng)絡(luò)安全防護(hù)，面臨的安全問(wèn)題主要有運(yùn)維監(jiān)控管理難。如工業(yè)防火墻只能解決串行安全防護(hù)的安全問(wèn)題，不能對(duì)外來(lái)人員的運(yùn)維進(jìn)行監(jiān)管；基于KVM的審計(jì)系統(tǒng)，是以錄屏方式對(duì)運(yùn)維電腦的鼠標(biāo)、鍵盤和顯示信號(hào)進(jìn)行記錄，這樣將運(yùn)維人員在自己電腦上的所有操作以錄屏的方式記錄下來(lái)，以供后續(xù)運(yùn)維審計(jì)，但很多后臺(tái)程序是通過(guò)運(yùn)維電腦自動(dòng)安裝到數(shù)控機(jī)床中的，數(shù)據(jù)泄露不涉及到屏幕操作，因此，基于KVM的審計(jì)系統(tǒng)也無(wú)法很好的實(shí)現(xiàn)數(shù)控機(jī)床的安全防護(hù)。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明提出一種應(yīng)用于數(shù)控機(jī)床的運(yùn)維審計(jì)方法和裝置，欲實(shí)現(xiàn)現(xiàn)場(chǎng)運(yùn)維的錄屏和指令聯(lián)動(dòng)記錄，以提高數(shù)控機(jī)床的安全防護(hù)能力的目的。

為了實(shí)現(xiàn)上述目的，現(xiàn)提出的方案如下：

一種應(yīng)用于數(shù)控機(jī)床的運(yùn)維審計(jì)設(shè)備，包括：處理器、以及分別與所述處理器連接的KVM接口、安全域網(wǎng)口和存儲(chǔ)器，其中，

所述KVM接口用于連接運(yùn)維電腦，所述安全域網(wǎng)口用于連接數(shù)控機(jī)床；

所述處理器用于在接收到所述運(yùn)維電腦的鼠標(biāo)和/或鍵盤輸出的操作命令時(shí)，將所述運(yùn)維電腦的顯卡輸出的視頻數(shù)據(jù)存儲(chǔ)在所述存儲(chǔ)器，同時(shí)通過(guò)對(duì)報(bào)文進(jìn)行解析得到所述操作命令對(duì)應(yīng)的運(yùn)行指令及與所述運(yùn)行指令對(duì)應(yīng)的寄存器讀寫信息，并將所述運(yùn)行指令和所述寄存器讀寫信息存儲(chǔ)在所述存儲(chǔ)器。

優(yōu)選的，所述設(shè)備還包括：與所述處理器連接的非安全域網(wǎng)口，其中，

所述非安全域網(wǎng)口用于連接外網(wǎng)；

所述處理器還用于允許流量從所述安全域網(wǎng)口到所述非安全域網(wǎng)口方向的主動(dòng)訪問(wèn)，且不允許流量從所述非安全域網(wǎng)口到所述安全域網(wǎng)口方向的主動(dòng)訪問(wèn)。

優(yōu)選的，所述處理器還用于解析NC代碼的格式，當(dāng)發(fā)現(xiàn)NC代碼時(shí)，將所述NC代碼以及所述NC代碼對(duì)應(yīng)的操作類型存儲(chǔ)在所述存儲(chǔ)器。

優(yōu)選的，所述NC代碼對(duì)應(yīng)的操作類型包括：上傳、下載和修改。

優(yōu)選的，所述設(shè)備還包括：與所述處理器連接的USB接口，所述處理器還用于對(duì)所述USB接口連接的U盤進(jìn)行病毒查殺。

優(yōu)選的，所述處理器還用于對(duì)訪問(wèn)所述數(shù)控機(jī)床的流量進(jìn)行入侵檢測(cè)。

優(yōu)選的，所述處理器利用DPI技術(shù)對(duì)訪問(wèn)所述數(shù)控機(jī)床的流量進(jìn)行入侵檢測(cè)。

優(yōu)選的，所述處理器用于基于FTP、SSH、RDP、FANUC和SIEMENS協(xié)議進(jìn)行解析。

優(yōu)選的，所述設(shè)備還包括：服務(wù)器接口，所述服務(wù)器接口與遠(yuǎn)端服務(wù)器連接，所述處理器還用于在接收到所述運(yùn)維電腦的鼠標(biāo)和/或鍵盤輸出的操作命令時(shí)，將所述運(yùn)維電腦的顯卡輸出的視頻數(shù)據(jù)發(fā)送至所述遠(yuǎn)端服務(wù)器進(jìn)行存儲(chǔ)，并將所述運(yùn)行指令和所述寄存器讀寫信息發(fā)送至所述遠(yuǎn)端服務(wù)器進(jìn)行存儲(chǔ)

與現(xiàn)有技術(shù)相比，本發(fā)明的技術(shù)方案具有以下優(yōu)點(diǎn)：

上述技術(shù)方案提供的一種應(yīng)用于數(shù)控機(jī)床的運(yùn)維審計(jì)設(shè)備，包括：處理器、以及分別與處理器連接的KVM接口、安全域網(wǎng)口和存儲(chǔ)器。KVM接口模塊連接運(yùn)維電腦，安全域網(wǎng)口用于連接數(shù)控機(jī)床；處理器在接收到運(yùn)維電腦的鼠標(biāo)和/或鍵盤輸出的操作命令時(shí)，將運(yùn)維電腦的顯卡輸出的視頻數(shù)據(jù)存儲(chǔ)在存儲(chǔ)器，同時(shí)通過(guò)對(duì)報(bào)文進(jìn)行解析得到操作命令對(duì)應(yīng)的運(yùn)行指令及與運(yùn)行指令對(duì)應(yīng)的寄存器讀寫信息，并將運(yùn)行指令和寄存器讀寫信息存儲(chǔ)在存儲(chǔ)器。這樣通過(guò)同一時(shí)間內(nèi)的運(yùn)行指令和寄存器讀寫信息，加上錄屏演示，實(shí)現(xiàn)現(xiàn)場(chǎng)運(yùn)維的全操作審計(jì)，提高了數(shù)控機(jī)床的安全防護(hù)能力。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實(shí)施例提供的一種應(yīng)用于數(shù)控機(jī)床的運(yùn)維審計(jì)設(shè)備的示意圖；

圖2為本發(fā)明實(shí)施例提供的另一種應(yīng)用于數(shù)控機(jī)床的運(yùn)維審計(jì)設(shè)備的示意圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

現(xiàn)對(duì)本發(fā)明設(shè)計(jì)的名詞進(jìn)行解釋，以便于對(duì)本發(fā)明方案的理解：

數(shù)控機(jī)床：是數(shù)字控制機(jī)床(Computer numerical control machine tools)的簡(jiǎn)稱，是一種裝有程序控制系統(tǒng)的自動(dòng)化機(jī)床。該控制系統(tǒng)能夠邏輯地處理具有控制編碼或其他符號(hào)指令規(guī)定的程序，并將其譯碼，用代碼化的數(shù)字表示，通過(guò)信息載體輸入數(shù)控裝置。經(jīng)運(yùn)算處理由數(shù)控裝置發(fā)出各種控制信號(hào)，控制機(jī)床的動(dòng)作，按圖紙要求的形狀和尺寸，自動(dòng)地將零件加工出來(lái)。

KVM：就是Keyboard Video Mouse的縮寫，KVM技術(shù)無(wú)需目標(biāo)服務(wù)器修改軟件，可以在Windows的BIOS環(huán)境下，隨時(shí)訪問(wèn)目標(biāo)計(jì)算機(jī)。KVM提供真正的主板級(jí)別訪問(wèn)，并支持多平臺(tái)服務(wù)器和串行設(shè)備。

本發(fā)明實(shí)施例提供了一種應(yīng)用于數(shù)控機(jī)床的運(yùn)維審計(jì)設(shè)備，請(qǐng)參閱圖1，該設(shè)備包括：處理器1、以及分別與處理器1連接的KVM接口2、安全域網(wǎng)口3和存儲(chǔ)器4，其中，KVM接口2用于連接運(yùn)維電腦，安全域網(wǎng)口3用于連接數(shù)控機(jī)床；

處理器1用于在接收到所述運(yùn)維電腦的鼠標(biāo)和/或鍵盤輸出的操作命令時(shí)，將所述運(yùn)維電腦的顯卡輸出的視頻數(shù)據(jù)存儲(chǔ)在所述存儲(chǔ)器4，同時(shí)通過(guò)對(duì)報(bào)文進(jìn)行解析得到所述操作命令對(duì)應(yīng)的運(yùn)行指令及與所述運(yùn)行指令對(duì)應(yīng)的寄存器讀寫信息，并將所述運(yùn)行指令和所述寄存器讀寫信息存儲(chǔ)在所述存儲(chǔ)器4。

例如，當(dāng)運(yùn)維人員在運(yùn)維電腦啟動(dòng)了某數(shù)控機(jī)床的運(yùn)維軟件之后，點(diǎn)擊診斷按鈕時(shí)，不但可以點(diǎn)擊診斷按鈕的操作錄屏下來(lái)，還通過(guò)對(duì)報(bào)文的解析，實(shí)現(xiàn)了點(diǎn)擊診斷按鈕對(duì)應(yīng)的運(yùn)行指令，以及與運(yùn)行指令對(duì)應(yīng)的寄存器讀寫信息，按照時(shí)間軸同步記錄下來(lái)。真正實(shí)現(xiàn)了錄屏和指令的聯(lián)動(dòng)記錄，極大提高了審計(jì)能力，當(dāng)發(fā)生安全事件時(shí)，可以很好的回歸溯源。

本發(fā)明實(shí)施例提供了一種應(yīng)用于數(shù)控機(jī)床的運(yùn)維審計(jì)設(shè)備，請(qǐng)參閱圖1，該設(shè)備包括：處理器1、以及分別與處理器1連接的KVM接口2、安全域網(wǎng)口3、存儲(chǔ)器4、非安全域網(wǎng)口5、USB接口6和服務(wù)器接口7，其中，

非安全域網(wǎng)口7用于連接外網(wǎng)；處理器1還用于允許流量從安全域網(wǎng)口3到非安全域網(wǎng)口4方向的主動(dòng)訪問(wèn)，且不允許流量從非安全域網(wǎng)口7到安全域網(wǎng)口3方向的主動(dòng)訪問(wèn)。當(dāng)從安全域網(wǎng)口3到非安全域網(wǎng)口4有主動(dòng)訪問(wèn)時(shí)，保存這個(gè)連接信息，回應(yīng)數(shù)據(jù)從非安全域網(wǎng)口4到安全域網(wǎng)口3方向會(huì)放行；但是不會(huì)允許非安全域網(wǎng)口7到安全域網(wǎng)口3的主動(dòng)訪問(wèn)。實(shí)現(xiàn)對(duì)訪問(wèn)數(shù)控機(jī)床的流量進(jìn)行訪問(wèn)控制，提高了數(shù)控機(jī)床的安全性。

處理器1用于對(duì)USB接口6連接的U盤進(jìn)行病毒查殺。當(dāng)運(yùn)維人員需要利用U盤傳輸數(shù)據(jù)至數(shù)控機(jī)床時(shí)，處理器1對(duì)USB接口6連接的U盤進(jìn)行病毒查殺，以保障數(shù)控機(jī)床的安全性。

服務(wù)器接口7與遠(yuǎn)端服務(wù)器連接，所述處理器1還用于在接收到所述運(yùn)維電腦的鼠標(biāo)和/或鍵盤輸出的操作命令時(shí)，將所述運(yùn)維電腦的顯卡輸出的視頻數(shù)據(jù)發(fā)送至所述遠(yuǎn)端服務(wù)器進(jìn)行存儲(chǔ)，并將所述運(yùn)行指令和所述寄存器讀寫信息發(fā)送至所述遠(yuǎn)端服務(wù)器進(jìn)行存儲(chǔ)。存儲(chǔ)器4的存儲(chǔ)空間有限，通過(guò)遠(yuǎn)端服務(wù)器實(shí)現(xiàn)對(duì)審計(jì)信息的集中存儲(chǔ)。

目前沒(méi)有NC代碼防泄漏的技術(shù)。NC代碼就是數(shù)字信息控制機(jī)械控制器能識(shí)別的代碼，例如數(shù)控切割設(shè)備上就有G代碼、ESSI碼、EIA碼等，NC代碼根據(jù)不同品牌的控制器所構(gòu)成的結(jié)構(gòu)也不相同。本發(fā)明通過(guò)解析NC代碼的格式，當(dāng)通過(guò)本發(fā)明提供的設(shè)備傳輸NC代碼時(shí)，通過(guò)分析引擎對(duì)代碼進(jìn)行分析，如果是NC代碼則將NC代碼和NC代碼對(duì)應(yīng)的操作類型存儲(chǔ)下來(lái)。NC代碼的操作類型包括：上傳、下載以及修改。

處理器1還用于對(duì)訪問(wèn)所述數(shù)控機(jī)床的流量進(jìn)行入侵檢測(cè)。具體的，利用DPI(Deep Packet Inspection，深度報(bào)文檢測(cè))技術(shù)對(duì)訪問(wèn)所述數(shù)控機(jī)床的流量進(jìn)行入侵檢測(cè)。所謂的深度報(bào)文檢測(cè)是相對(duì)于傳統(tǒng)報(bào)文檢測(cè)技術(shù)而言。傳統(tǒng)報(bào)文檢測(cè)只是檢測(cè)L2～L4層的內(nèi)容，也就是進(jìn)對(duì)報(bào)文的五元組信息進(jìn)行檢測(cè)，包括源地址、目的地址、源端口、目的端口以及協(xié)議類型。而DPI技術(shù)對(duì)整個(gè)L2～L7上的信息都進(jìn)行檢測(cè)，對(duì)報(bào)文的分析擴(kuò)充到了應(yīng)用層，對(duì)報(bào)文實(shí)際內(nèi)容都有分析。通過(guò)采用DPI技術(shù)進(jìn)行流量監(jiān)控，提高了流量的識(shí)別率和準(zhǔn)確度。

處理器1基于FTP、SSH、RDP、FANUC和SIEMENS協(xié)議進(jìn)行解析。FTP協(xié)議為文件傳輸協(xié)議，RDP協(xié)議為圖形終端操作協(xié)議，SSH協(xié)議為字符型遠(yuǎn)程操作協(xié)議。FTP協(xié)議、RDP協(xié)議和SSH協(xié)議均為通用協(xié)議。FANUC協(xié)議和SIEMENS協(xié)議為第三方運(yùn)維廠商采用的專有運(yùn)維協(xié)議。處理器1通過(guò)以Focas軟件包為基礎(chǔ)的FANUC協(xié)議，解析應(yīng)用層，實(shí)現(xiàn)機(jī)床狀態(tài)查詢、刀具壽命查詢、機(jī)床模式設(shè)置、加工文件設(shè)置(加工文件的上傳、下載、查詢)、機(jī)床的實(shí)時(shí)控制等；以及通過(guò)以O(shè)PC-UA協(xié)議為基礎(chǔ)的SIEMENS協(xié)議，解析包括對(duì)象、方法以及數(shù)據(jù)點(diǎn)位。實(shí)現(xiàn)了基于FANUC協(xié)議、SIEMENS協(xié)議等機(jī)床運(yùn)維協(xié)議的解析。

本說(shuō)明書中各個(gè)實(shí)施例采用遞進(jìn)的方式描述，每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處，各個(gè)實(shí)施例之間相同相似部分互相參見(jiàn)即可。

對(duì)本發(fā)明所公開(kāi)的實(shí)施例的上述說(shuō)明，使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。對(duì)這些實(shí)施例的多種修改對(duì)本領(lǐng)域的專業(yè)技術(shù)人員來(lái)說(shuō)將是顯而易見(jiàn)的，本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下，在其它實(shí)施例中實(shí)現(xiàn)。因此，本發(fā)明將不會(huì)被限制于本文所示的這些實(shí)施例，而是要符合與本文所公開(kāi)的原理和新穎特點(diǎn)相一致的最寬的范圍。