一种应用于数控机床的运维审计方法和装置与流程

本发明涉及数控机床领域，更具体地说，涉及一种应用于数控机床的运维审计方法和装置。

背景技术：

目前，在进行精密机械加的工生产制造行业缺乏对数控机床的网络安全防护，面临的安全问题主要有运维监控管理难。如工业防火墙只能解决串行安全防护的安全问题，不能对外来人员的运维进行监管；基于KVM的审计系统，是以录屏方式对运维电脑的鼠标、键盘和显示信号进行记录，这样将运维人员在自己电脑上的所有操作以录屏的方式记录下来，以供后续运维审计，但很多后台程序是通过运维电脑自动安装到数控机床中的，数据泄露不涉及到屏幕操作，因此，基于KVM的审计系统也无法很好的实现数控机床的安全防护。

技术实现要素：

有鉴于此，本发明提出一种应用于数控机床的运维审计方法和装置，欲实现现场运维的录屏和指令联动记录，以提高数控机床的安全防护能力的目的。

为了实现上述目的，现提出的方案如下：

一种应用于数控机床的运维审计设备，包括：处理器、以及分别与所述处理器连接的KVM接口、安全域网口和存储器，其中，

所述KVM接口用于连接运维电脑，所述安全域网口用于连接数控机床；

所述处理器用于在接收到所述运维电脑的鼠标和/或键盘输出的操作命令时，将所述运维电脑的显卡输出的视频数据存储在所述存储器，同时通过对报文进行解析得到所述操作命令对应的运行指令及与所述运行指令对应的寄存器读写信息，并将所述运行指令和所述寄存器读写信息存储在所述存储器。

优选的，所述设备还包括：与所述处理器连接的非安全域网口，其中，

所述非安全域网口用于连接外网；

所述处理器还用于允许流量从所述安全域网口到所述非安全域网口方向的主动访问，且不允许流量从所述非安全域网口到所述安全域网口方向的主动访问。

优选的，所述处理器还用于解析NC代码的格式，当发现NC代码时，将所述NC代码以及所述NC代码对应的操作类型存储在所述存储器。

优选的，所述NC代码对应的操作类型包括：上传、下载和修改。

优选的，所述设备还包括：与所述处理器连接的USB接口，所述处理器还用于对所述USB接口连接的U盘进行病毒查杀。

优选的，所述处理器还用于对访问所述数控机床的流量进行入侵检测。

优选的，所述处理器利用DPI技术对访问所述数控机床的流量进行入侵检测。

优选的，所述处理器用于基于FTP、SSH、RDP、FANUC和SIEMENS协议进行解析。

优选的，所述设备还包括：服务器接口，所述服务器接口与远端服务器连接，所述处理器还用于在接收到所述运维电脑的鼠标和/或键盘输出的操作命令时，将所述运维电脑的显卡输出的视频数据发送至所述远端服务器进行存储，并将所述运行指令和所述寄存器读写信息发送至所述远端服务器进行存储

与现有技术相比，本发明的技术方案具有以下优点：

上述技术方案提供的一种应用于数控机床的运维审计设备，包括：处理器、以及分别与处理器连接的KVM接口、安全域网口和存储器。KVM接口模块连接运维电脑，安全域网口用于连接数控机床；处理器在接收到运维电脑的鼠标和/或键盘输出的操作命令时，将运维电脑的显卡输出的视频数据存储在存储器，同时通过对报文进行解析得到操作命令对应的运行指令及与运行指令对应的寄存器读写信息，并将运行指令和寄存器读写信息存储在存储器。这样通过同一时间内的运行指令和寄存器读写信息，加上录屏演示，实现现场运维的全操作审计，提高了数控机床的安全防护能力。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种应用于数控机床的运维审计设备的示意图；

图2为本发明实施例提供的另一种应用于数控机床的运维审计设备的示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

现对本发明设计的名词进行解释，以便于对本发明方案的理解：

数控机床：是数字控制机床(Computer numerical control machine tools)的简称，是一种装有程序控制系统的自动化机床。该控制系统能够逻辑地处理具有控制编码或其他符号指令规定的程序，并将其译码，用代码化的数字表示，通过信息载体输入数控装置。经运算处理由数控装置发出各种控制信号，控制机床的动作，按图纸要求的形状和尺寸，自动地将零件加工出来。

KVM：就是Keyboard Video Mouse的缩写，KVM技术无需目标服务器修改软件，可以在Windows的BIOS环境下，随时访问目标计算机。KVM提供真正的主板级别访问，并支持多平台服务器和串行设备。

本发明实施例提供了一种应用于数控机床的运维审计设备，请参阅图1，该设备包括：处理器1、以及分别与处理器1连接的KVM接口2、安全域网口3和存储器4，其中，KVM接口2用于连接运维电脑，安全域网口3用于连接数控机床；

处理器1用于在接收到所述运维电脑的鼠标和/或键盘输出的操作命令时，将所述运维电脑的显卡输出的视频数据存储在所述存储器4，同时通过对报文进行解析得到所述操作命令对应的运行指令及与所述运行指令对应的寄存器读写信息，并将所述运行指令和所述寄存器读写信息存储在所述存储器4。

例如，当运维人员在运维电脑启动了某数控机床的运维软件之后，点击诊断按钮时，不但可以点击诊断按钮的操作录屏下来，还通过对报文的解析，实现了点击诊断按钮对应的运行指令，以及与运行指令对应的寄存器读写信息，按照时间轴同步记录下来。真正实现了录屏和指令的联动记录，极大提高了审计能力，当发生安全事件时，可以很好的回归溯源。

本发明实施例提供了一种应用于数控机床的运维审计设备，请参阅图1，该设备包括：处理器1、以及分别与处理器1连接的KVM接口2、安全域网口3、存储器4、非安全域网口5、USB接口6和服务器接口7，其中，

非安全域网口7用于连接外网；处理器1还用于允许流量从安全域网口3到非安全域网口4方向的主动访问，且不允许流量从非安全域网口7到安全域网口3方向的主动访问。当从安全域网口3到非安全域网口4有主动访问时，保存这个连接信息，回应数据从非安全域网口4到安全域网口3方向会放行；但是不会允许非安全域网口7到安全域网口3的主动访问。实现对访问数控机床的流量进行访问控制，提高了数控机床的安全性。

处理器1用于对USB接口6连接的U盘进行病毒查杀。当运维人员需要利用U盘传输数据至数控机床时，处理器1对USB接口6连接的U盘进行病毒查杀，以保障数控机床的安全性。

服务器接口7与远端服务器连接，所述处理器1还用于在接收到所述运维电脑的鼠标和/或键盘输出的操作命令时，将所述运维电脑的显卡输出的视频数据发送至所述远端服务器进行存储，并将所述运行指令和所述寄存器读写信息发送至所述远端服务器进行存储。存储器4的存储空间有限，通过远端服务器实现对审计信息的集中存储。

目前没有NC代码防泄漏的技术。NC代码就是数字信息控制机械控制器能识别的代码，例如数控切割设备上就有G代码、ESSI码、EIA码等，NC代码根据不同品牌的控制器所构成的结构也不相同。本发明通过解析NC代码的格式，当通过本发明提供的设备传输NC代码时，通过分析引擎对代码进行分析，如果是NC代码则将NC代码和NC代码对应的操作类型存储下来。NC代码的操作类型包括：上传、下载以及修改。

处理器1还用于对访问所述数控机床的流量进行入侵检测。具体的，利用DPI(Deep Packet Inspection，深度报文检测)技术对访问所述数控机床的流量进行入侵检测。所谓的深度报文检测是相对于传统报文检测技术而言。传统报文检测只是检测L2～L4层的内容，也就是进对报文的五元组信息进行检测，包括源地址、目的地址、源端口、目的端口以及协议类型。而DPI技术对整个L2～L7上的信息都进行检测，对报文的分析扩充到了应用层，对报文实际内容都有分析。通过采用DPI技术进行流量监控，提高了流量的识别率和准确度。

处理器1基于FTP、SSH、RDP、FANUC和SIEMENS协议进行解析。FTP协议为文件传输协议，RDP协议为图形终端操作协议，SSH协议为字符型远程操作协议。FTP协议、RDP协议和SSH协议均为通用协议。FANUC协议和SIEMENS协议为第三方运维厂商采用的专有运维协议。处理器1通过以Focas软件包为基础的FANUC协议，解析应用层，实现机床状态查询、刀具寿命查询、机床模式设置、加工文件设置(加工文件的上传、下载、查询)、机床的实时控制等；以及通过以OPC-UA协议为基础的SIEMENS协议，解析包括对象、方法以及数据点位。实现了基于FANUC协议、SIEMENS协议等机床运维协议的解析。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

对本发明所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。