中國信通院：數控機床網絡安全研究報告（2023年）（28頁）.pdf

《中國信通院：數控機床網絡安全研究報告（2023年）（28頁）.pdf》由會員分享，可在線閱讀，更多相關《中國信通院：數控機床網絡安全研究報告（2023年）（28頁）.pdf（28頁珍藏版）》請在三個皮匠報告上搜索。

1、 中國信息通信研究院安全研究所 工業互聯網安全技術試驗與測評工業和信息化部重點實驗室 北京神州綠盟科技有限公司 2023年4月 數控機床網絡安全研究報告數控機床網絡安全研究報告 (2022023 3 年年)版權聲明版權聲明 本報告本報告版權屬于版權屬于中國信息通信研究院中國信息通信研究院和和北京神州綠盟北京神州綠盟科技有限公司科技有限公司，并受法律保護，并受法律保護。轉載、摘編或利用其它方式轉載、摘編或利用其它方式使用使用本報告文字或者觀點的，應本報告文字或者觀點的，應注明注明“來源：中國信息通信“來源：中國信息通信研究院和北京神州綠盟科技有限公司”研究院和北京神州綠盟科技有限公司”。違反上述

2、聲明者，。違反上述聲明者，編編者者將追究其相關法律責任。將追究其相關法律責任。前前 言言 數控機床作為制造業的“工作母機”，是工業領域生產加工的關鍵設備，數控機床本身的安全性以及在應用過程中的網絡安全防護能力直接影響工業生產和業務，其存在的漏洞及后門程序將對整個工業領域形成巨大的威脅，這些威脅既包含其自身被入侵的威脅，也包含對網絡和云平臺的威脅。同時，隨著工業互聯網的快速發展，數控機床打破原有的封閉性，實現互聯互通已成為企業發展的必然要求，數控機床聯網運行已成為趨勢，管理機、服務器盜用權限登錄等都會帶來安全隱患，如何保證數控機床聯網運行的網絡與數據安全逐漸成為制約工業互聯網發展的關鍵問題之一。

3、對于海量、多種類的數控機床，傳統單一的安全防護技術手段無法解決數控機床網絡安全問題，需要從安全基線、主機安全、網絡邊界等各個層次提升數控機床的安全防護能力。本報告以工業互聯網背景下數控機床的發展為基礎，從數控機床國內外政策、安全技術研究、技術標準規范等方面分析了數控機床的網絡安全現狀。同時，詳細分析了數控機床存在的漏洞隱患、入侵攻擊等網絡安全風險及深層次原因，并給出安全防護實施方案建議。最后，從標準、技術研究、評估評測等方面提出數控機床網絡安全未來的工作方向。目目 錄錄 一、工業互聯網背景下數控機床的發展.1（一）數控機床典型網絡架構.1（二）數控機床逐步從單點封閉走向開放互聯.3（三）數控機

4、床智能化技術的發展逐漸成熟.4 二、數控機床網絡安全防護現狀.5（一）國內外相關政策法規對數控機床網絡安全提出要求.6（二）國內外針對數控機床等智能制造系統安全防護技術開展積極研究.6（三）數控機床的網絡信息安全防護體系日漸完備.7（四）數控機床相關安全標準和技術規范仍需完善.7 三、數控機床網絡安全風險分析.8（一）數控機床系統設計漏洞和預留后門存在安全隱患.9（二）數控協議及傳輸鏈路存在安全風險，導致數據泄露.10（三）對移動存儲介質及數控機床串口缺乏技術管控，存在網絡入侵安全風險.10（四）用戶身份認證能力不足，數控機床遠程監測和維護存在風險.11（五）網絡邊界擴大導致網絡入侵安全風險.

5、11（六）數控機床缺乏內部安全防護機制.12 四、數控機床網絡安全防護實施.13（一）開展數控機床網絡安全基線管理.14（二）加強數控網絡邊界防護.15（三）加強數控主機安全防護.16（四）完善數控機床網絡資產管理和安全監測審計.17（五）可信計算技術提高數控機床內生安全.17（六）打造數控機床安全綜合防護體系.18 五、數控機床網絡安全發展建議.18（一）推進數控機床相關安全標準規范制定.19（二）提升數控機床網絡安全綜合技術防護能力.19（三）開展數控機床網絡安全評估評測.20 （四）推動數控機床相關安全產品應用及市場發展.20 參考文獻.22 圖圖 目目 錄錄 圖 1 數控機床典型網絡架

6、構.3 圖 2 典型數控機床網絡安全風險.9 圖 3 數控機床網絡安全防護示意圖.14 圖 4 數控機床網絡邊界安全防護示例.14 圖 5 數控機床主機安全防護示例.14 表表 目目 錄錄 表 1 數控機床協議分布.13 數控機床網絡安全研究報告（2023 年）1 一、一、工業互聯網背景下數控機床的發展 數控機床是工業領域生產加工的關鍵設備，廣泛應用于航空航天、車輛制造、船舶制造等關系國防安全、經濟安全和社會安全的關鍵行業。隨著智能制造的深度推進和工業互聯網的發展，工控系統逐步從單機走向互聯、從封閉走向開放，我國數控加工行業也開始大力推進數控機床的網絡化，單點通信數控機床控制方式逐漸被淘汰，如

7、今數控機床多數采用的分布式數控系統，可以使用一臺計算機對多臺數控機床實現數字控制，并且能夠執行計劃調度、程序分配、遠程監控和控制管理等功能。數控機床等設備聯網程度及應用范圍不斷擴大，并且不斷發展以適應生產加工的需要。（一）數控機床典型網絡架構（一）數控機床典型網絡架構 工業互聯網背景下數控機床典型網絡架構如圖 1 所示，包括數控設備層、監督控制層和運營管理層。數控設備層中是通過有線通信或無線通信方式聯網的數控機床等設備。監督控制層中是各類數據采集服務器及 NC(Numerical Control,數字控制)服務器。運營管理層包括CAD（Computer Aided Drafting，計算機輔助

8、設計）、CAM(Computer Aided Manufacturing，計算機輔助制造）、CAPP(Computer Aided Process Planning,計算機輔助工藝過程設計)、PDM(Product Data Management,產品數據管理)、MES(Manufacturing Execution Systems，制造執行系統)等各類服務器。監督控制層中是各類數據采集服務器和 NC 服務器。根據生產規模的不同，NC 服務器、采集服務器可能會分級部署，如（廠級）NC 代碼服務器、（車間級）NC 代碼子服務數控機床網絡安全研究報告（2023 年）2 器，（廠級）采集服務器、（車

9、間級）采集子服務器。監督控制層的服務器和運營管理層的服務器進行信息交互。PDM 實現設計圖紙、工藝文件、加工程序的集中管理。企業的設計圖紙、工藝文件、加工程序可以分散在 CAD、CAM、CAPP 等不同的系統中進行管理。NC 服務器從運營管理層系統獲取設計圖紙、工藝文件以及定型的 NC 代碼并進行存儲，根據 MES 下達的生產任務向設備下發加工程序。采集服務器接收設備采集的加工狀態信息并將設備加工狀態信息反饋給MES 系統。設備根據預先編制的程序指令，控制生產過程的運行，采集設備運行狀態信息傳送給采集服務器。數控網絡通過交換機等設備與互聯網連接，在運行過程中，不斷地引入數值數據，從而實現設備工

10、作過程的自動化控制。數控網絡同時連接工業互聯網平臺及數控 APP（Application，應用軟件），查看業務流程數據、設備狀態信息、模型信息等。通過網絡可以實現 NC 代碼的集中管理、設備的啟?？刂埔约霸O備加工狀態的自動采集。數控機床網絡安全研究報告（2023 年）3 數控機床數控機床CAD服務器CAPP服務器PDM服務器MES服務器CAM服務器Internet客戶端數控設備層VPN數控機床交換機交換機采集服務器NC服務器遠程維護計算機監督控制層運營管理層 來源：中國信息通信研究院 圖 1 數控機床典型網絡架構（二）數控機床逐步從單點封閉走向開放互聯（二）數控機床逐步從單點封閉走向開放互聯

11、數控機床是一種高精度、高效率的自動化機床，配備多工位刀塔或動力刀塔，具有廣泛的加工工藝性能，在復雜零件的批量生產中發揮了良好的經濟效果。傳統數控機床多數采用工程師手動編輯控制程序的方式工作，此類傳統控制方式機械而繁瑣，消耗人工成本同時又不利于生產效率的擴張。雖然有些數控機床采用了計算機與數控機床進行單點通信，但所用的通信程序是基于 Windows 操作系統的單機通信程序，必須在機床端和計算機端交替操作才能完成通信，且通信距離十分有限，給操作帶來許多不便。隨著智能制造的深度推進和工數控機床網絡安全研究報告（2023 年）4 業互聯網的發展，手動編程和單點通信數控機床控制方式逐漸被淘汰，如今數控機

12、床多數采用的分布式數控（Distributed Numerical Control,DNC）系統，可以使用一臺計算機對多臺數控機床實現數字控制，并且能夠執行計劃調度、程序分配、遠程監控和控制管理等功能。DNC系統的出現使數控機床擺脫了單點站控方式并實現了基本的互聯。DNC 大致經歷了四個發展階段。第一階段使用串口通訊（多為RS232 和 RS485）進行分布式控制組網，可以進行控制程序的在線下裝和參數讀取以及指令控制，這也是 DNC 系統的雛形，但是串口通訊方式開放性比較差，通訊帶寬小。第二階段是采用以太網通訊方式，此類方式由于具備高帶寬，相較于串口組網場景能夠適應更多的DNC 系統功能，不過

13、通訊協議多為廠商私有協議，如 FANUC 的FOCAS、三菱的 EZSocket。第三階段仍是以太網通訊方式，為改變廠家私有協議的閉塞性，提高 DNC 系統應用的開放性，出現了 OPC UA 和 MTConnect 以及 NC-Link（國內制定）等面向互聯網應用的通訊標準，極大地提高了數控系統的開放性。（三）數控機床智能化技術的發展逐漸成熟（三）數控機床智能化技術的發展逐漸成熟 近年來，智能化數控機床在工業中的應用廣泛，為我國工業發展帶來了巨大的經濟效益。數控機床智能化在工業發展中的主要應用應該歸功于其全自動化的運行模式，自動化數控機床在每個工作環節中都采用自動工作的方式，減輕了工作人員的負

14、擔，并且降低了企業發展的成本。在數控系統智能加工方面，數控化系統的加工技術能夠提高機床數控機床網絡安全研究報告（2023 年）5 工業部件的加工水平，提高工業生產效率。運用優化“預判”功能的精細曲面控制技術可以利用前進后退的工作路徑，實現優化壓縮機的合理運用，確保其工作過程中的精準程度以及加工工作。在數控機床遠程控制方面，專業人員利用軟硬件實現對數控機床高級別的控制，包括設備的啟動、停止，設備狀態的查看、設備維護等，無須工作人員值守，通過對數控機床運行參數的收集和分析，可以及早地發現存在的隱性故障，降低機床的故障率。通過對網絡技術的應用，不斷優化數控機床生產加工流程，提升生產和工作效率。數控機

15、床在此背景之下也不斷地優化升級，開放網絡端口或遠程控制端口借助互聯網實現進程控制數控機床生產和操作，智能化水平越來越高。二、二、數控機床網絡安全防護現狀 隨著制造行業分布式數控系統逐步從封閉走向開放，數控機床聯網運行已成為趨勢，數控機床本身存在不可控的漏洞、后門等安全隱患。同時，互聯網安全威脅向工廠內逐漸滲透擴散，針對數控機床等設備的勒索病毒持續發酵，將會導致數控機床乃至整個生產線停機，造成企業重大損失。亟需開展數控機床安全防護技術研究，建立數控設備網絡信息安全防護體系，提升我國數控機床網絡安全防護供給側能力，為保障國家網絡安全、護航新基建夯實產業基礎。數控機床網絡安全研究報告（2023 年）

16、6（一）國內外相關政策法規對數控機床網絡安全提出（一）國內外相關政策法規對數控機床網絡安全提出要求要求 近年來，美國、歐盟等國家強化政策法規引導，將數控機床等工業設備網絡安全作為重要部署方向。美國在 2018 年美國先進制造業領導力戰略報告中將制造業的網絡安全作為發展的重點方向，提出實施制造系統中網絡安全的新興技術。2017 年，歐盟網絡空間安全局發布歐盟關鍵信息基礎設施環境中的物聯網安全基線指南，將設備安全作為物聯網系統安全的重要內容。我國工業和信息化部聯合國家能源局等十個部門出臺了加強工業互聯網安全工作的指導意見，要求“加強工業生產、主機、智能終端等設備安全接入和防護，強化控制網絡協議、裝

17、置裝備、工業軟件等安全保障，推動設備制造商、自動化集成商與安全企業加強合作，提升設備和控制系統的本質安全”。（二）國內外針對數控機床等智能制造系統安全防護（二）國內外針對數控機床等智能制造系統安全防護技術開展積極研究技術開展積極研究 在技術研究方面，美國國土安全部制定了專門的工業控制系統安全計劃，形成了由國家職能部門協調管理、國家級專業隊伍、實驗室和科研機構提供技術支撐、用戶及廠商共同參與的技術研究體系，并制定了國家 SCADA 測試床計劃，針對數控機床等開展網絡信息安全測評。日本大隈（Okuma）的 OSP 病毒防護系統在 Okuma OSP-P 控制系統中內置了病毒掃描應用接口來防止感染從

18、網絡或 USB 設備傳播的病毒，在數控機床網絡安全防護中得到廣泛應用。國內高校提出數控機床網絡安全研究報告（2023 年）7 一種數控加工網絡信息安全防護方案，部署數控加工網絡邊界隔離設備和數控系統終端防護設備，保障數控網絡安全1。（三）數控機床的網絡信息安全防護體系日漸完備（三）數控機床的網絡信息安全防護體系日漸完備 國內相關科研機構提出了 DNC 數控網絡系統安全防護架構，部署防火墻在辦公局域網和 DNC 數控網之間過濾數據，然而該方案對于內部信息泄露缺乏有效的防護2。劉杰等人提出一種數控網絡信息安全綜合防護方案，采用可信安全防護技術，融合基礎數據和系統安全防護技術，形成數控機床自動化網絡

19、安全綜合防護功能3。國內學者對數控機床控制系統的信息安全防護技術體系與評估機制開展了深入的研究，研發“數控系統終端信息安全防護設備”、“單向數據安全交換設備”及“邊界安全專用網關”等產品，該系列產品被廣泛應用于工控網絡、數控加工網絡、重點作業站點的數據安全防護。此外，國內已經擁有涵蓋西門子、發那科、海德漢以及國內一線數控品牌在內的綜合試驗環境，擁有針對智能制造基礎設施、網絡安全、功能安全等的攻防驗證平臺。（四）數控機床相關安全標準和技術規范仍需完善（四）數控機床相關安全標準和技術規范仍需完善 美國能源部國家 SCADA 測試床計劃(NSTB)發布了防護控制系統路線圖。歐洲網絡與信息安全局（EN

20、ISA)制定的防護控制系統的指導文件也于 2011 年發布。目前，我國相關標準技術委員會及聯盟組織推動數控機床安全相關標準制定發布，信息安全標準化委員會（TC260）在 2019 年發布的 GB/T 37955-2019信息安全技術 數控網絡安全技術要求標準針對數控網絡的設備安全、網絡安全、應用數控機床網絡安全研究報告（2023 年）8 安全、數據安全等方面提出明確的技術要求。中國通信標準化協會（CCSA）正在報批階段的行業標準 工業互聯網 數控加工制造系統信息安全風險評估指南 中規定了數控加工制造系統的信息安全風險評估的對象、內容及實施過程以及安全措施有效性測試流程。工業互聯網產業聯盟（AI

21、I）已發布 2 項關于數控系統密碼應用技術及測評要求。三、三、數控機床網絡安全風險分析 隨著工業互聯網的發展，數控機床網絡安全防護成為數控領域網絡化、智能化發展的關鍵問題。數控加工設備聯網進程的加快導致了傳統信息網絡的各種黑客攻擊和惡意代碼等安全威脅快速進入數控網絡，一旦被不法分子利用，后果極為嚴重。然而我國數控網絡安全防護體系建設相對于數控網絡的快速發展存在明顯滯后，工業企業沒有充分考慮數控網絡與其它網絡互聯互通帶來的網絡安全風險，相關標準體系建設也幾乎為空白，缺乏必要的安全防護措施。典型數控機床網絡安全風險如圖 2 所示，原本封閉可信的數控機床生產網絡接入企業管理網和互聯網后網絡安全風險增

22、加，機床設備本身可能存在系統設計漏洞和后門，數控協議及網絡傳輸安全風險導致加工代碼被非法獲取，存在機床遠程運維不可控等安全威脅。數控機床網絡安全研究報告（2023 年）9 數控機床數控機床數控機床采集服務器NC服務器CADCAPPPDMMESCAMInternet客戶端攻擊者遠程維護VPN系統存在漏洞后門協議安全風險遠程維護風險網絡入侵加工代碼竊取安全風險 來源：中國信息通信研究院 圖 2 典型數控機床網絡安全風險（一）數控機床系統設計漏洞和預留后門存在安全隱（一）數控機床系統設計漏洞和預留后門存在安全隱患患 由于運行在數控機床計算機中的工控軟件與其操作系統存在兼容性問題，數控機床計算機一般采

23、用專用系統或經精簡的 Windows 系統4。一方面，復雜的數控機床中所包含的軟件代碼量級巨大，其中可能存在系統設計漏洞和預留后門等安全隱患5，一些數控機床還開放了 SSH、HTTP、時鐘同步等服務，可能成為攻擊者的攻擊目標。另一方面，部分數控機床所采用的系統版本較為老舊，計算機操作系統平臺缺少補丁，導致系統發現漏洞后難以進行修復，極有可能存在數控機床網絡安全研究報告（2023 年）10 遠程代碼執行漏洞或拒絕服務漏洞，從而使攻擊者完全控制數控終端或使其宕機，在這種情況下，輕則嚴重影響工廠生產，重則對終端造成不可恢復的破壞。（二）數控協議及傳輸鏈路存在安全風險，導致數據（二）數控協議及傳輸鏈路

24、存在安全風險，導致數據泄露泄露 數控 DNC 網絡采用 TCP/IP 協議將原獨立運行的數控機床組成數控機床網絡，數控機床通常采用工業 WiFi 等無線通信方式。一方面，無線接入方式避免了有線接入物理環境限制和鋪設線路的成本，但在網絡安全層面上相較于有線網絡更具風險性，無線 WiFi 易發生會話劫持數據泄露的風險，利用對無線信號的監聽竊取傳輸數據，通過偽造指令或者數據攔截進行惡意攻擊。另一方面，多數數控機床控制系統使用明文方式傳輸和管理加工代碼，這樣容易導致未加密的加工代碼被非法獲取，并通過專用軟件對加工物品進行還原，導致制造數據泄密。2018 年，克萊斯勒、福特、特斯拉等全球 100 家車企

25、的47000 多個機密文件遭外泄，泄露的數據包括產品設計原理圖、裝配線原理圖等敏感信息。（三）對移動存儲介質及數控機床串口缺乏技術管（三）對移動存儲介質及數控機床串口缺乏技術管控，存在網絡入侵安全風險控，存在網絡入侵安全風險 一般數控設備中的控制系統計算機，無法安裝使用終端行為控制軟件，對外來的移動存儲介質及數據傳輸介質的使用進行監控。一方面，在數控機床網絡中隨意接入 U 盤、移動硬盤、光盤等移動存儲介質，對網絡中的關鍵生產數據任意訪問和操作，導致機密生產數據的數控機床網絡安全研究報告（2023 年）11 泄露。Honeywell 報告顯示，2020 年，其 USB 安全產品在客戶掃描的驅動器

26、上發現的惡意軟件中有 79%能夠中斷 OT(Operational Technology，運營技術）系統，相比 2019 年的 59%上升了近乎一半。另一方面，對于車間里沒有安全防范機制的終端，可以通過網口、串口及 USB 口等傳輸 NC 程序及其他數據到數控機床內，同時終端也會通過網絡接口上傳一些數據到 DNC 服務器，無技術監管手段，管理難度大，如果在終端上傳不安全的數據到 DNC 服務器也會危及其他設備安全。（四）用戶身份認證能力不足，數控機床遠程監測和（四）用戶身份認證能力不足，數控機床遠程監測和維護存在風險維護存在風險 對于數控系統的遠程監測和安全運維，運維人員通過采集數控系統中的溫

27、度、振動、轉速等數據，對數控機床的運動軸、刀具等進行故障預測性分析，對可能發生的故障提出預警信號，在此過程中存在維護人員身份仿冒以及系統賬號濫用風險。一方面，機床設備進行基礎數據采集及上報時，如果通信雙方沒有進行身份認證，可能會因為身份假冒出現數據泄露等安全問題。另一方面，數控設備的升級維護嚴重依賴生產和供應廠商，很多設備允許通過網絡遠程控制，系統缺少用戶身份認證和訪問控制等安全機制，設備的升級維護過程行為不可控，存在巨大的安全風險。（五）網絡邊界擴大導致網絡入侵安全風險（五）網絡邊界擴大導致網絡入侵安全風險 隨著工業互聯網的不斷發展，原本獨立封閉的數控生產網絡接入企業管理網和互聯網，網絡安全

28、風險向數控網絡滲透。一方面，數控數控機床網絡安全研究報告（2023 年）12 網絡中的主機易成為網絡入侵的主要攻擊點，傳統信息通信行業的殺毒軟件并不適用數控網絡主機的安全防護，或者會嚴重影響企業的生產效率，數控系統通常不安裝殺毒軟件，為病毒蔓延提供了入口。另一方面，對數控機床進行遠程監控的工程師站和遠程的 PLC 站之間是通過互聯網進行連接的，攻擊者可利用邊緣終端設備漏洞作為跳板對數控系統實施入侵或發起大規模網絡攻擊。（六）數控機床缺乏內部安全防護機制（六）數控機床缺乏內部安全防護機制 近年來，數控機床國產化市場規模逐年變大，根據工控網數據，2016 年，數控機床專項支持研發的高檔數控系統已累

29、計銷售 1000 余套，國內市場占有率較專項啟動前也有所提高，但目前國內使用的高端主流數控設備大部分仍是國外廠家產品。一方面，進口設備通常使用黑盒設計，內部結構不可知，硬件架構不明晰，數據通信行為不可控，存在設備內嵌后門的安全風險，容易遭受核心生產數據竊取和控制系統破壞攻擊。另一方面，不同數控機床廠商設計支持不同的控制協議，如表 1 所示，包括 OPC UA、MTConnect、umati、NC-Link 等協議，協議種類繁多且兼容性差，難以進行統一管控。數控機床網絡安全研究報告（2023 年）13 表 1：數控機床協議分布 OPC UA 協議協議 西門子、西門子、發那科、德國倍福、德國倍福、

30、ABB、羅克韋爾等。等。MTConnect 協議協議 西門子、發那科、山崎馬扎克、海德漢等。等。umati 協議協議 西門子西門子、德國德國倍福等。等。NC-Link 協議協議 華中數控、廣州數控等。等。FOCAS 協議協議 發那科發那科 來源：新一代智能化數控系統 四、四、數控機床網絡安全防護實施 數控系統作為數控設備的“大腦”成為工業控制系統的重要組成部分，正面臨工業病毒和網絡攻擊，網絡與信息安全問題日益凸顯。為幫助企業加強數控機床安全防護上的短板，本章針對以上數控機床安全風險提出安全防護實施思路，如圖 4 所示，數控機床網絡安全體系的構建需從安全基線管理、網絡邊界防護措施部署和數控機床內

31、生安全等方面進行考慮，來保證數控機床及網絡的保密性、可用性和完整性。數控機床網絡安全研究報告（2023 年）14 數控機床數控機床數控機床采集服務器NC服務器CADCAPPPDMMESCAMInternet客戶端攻擊者遠程維護VPN協議檢測入侵防御安全審計可信防護機制身份認證和授權管理惡意代碼檢測 來源：中國信息通信研究院 圖 3 數控機床網絡安全防護示意圖（一）開展數控機床網絡安全基線管理（一）開展數控機床網絡安全基線管理 根據生產環境場景建立數控機床網絡安全基線。一方面，明確數控機床網絡安全基線具體內容，建立安全基線更新機制。企業梳理自身數控機床應用場景及技術特點，根據安全基線實施安全防護

32、，包括消除弱密碼、安全配置加固、去除不必要的介質接口等。另一方面，開展數控機床網絡安全風險評估和漏洞管理。定期對數控機床網絡架構、管理主機、控制協議等開展全方位安全評估，發現安全風險隱患，一旦發現安全漏洞，及時選擇安全補丁或升級組件。數控機床網絡安全研究報告（2023 年）15（二）加強數控網絡邊界防護（二）加強數控網絡邊界防護 分析數控網絡的組網特點，根據 IEC62443-3-3 等標準中的網絡區域劃分原則，將數控網絡劃分為合理安全區域，采用分層分域，縱深防御的策略進行網絡安全防護，如圖 5 所示。一方面，對企業信息系統與 DNC 系統進行分層、分域，建立安全緩沖區，生產網絡與管理網絡、研

33、發網絡連接采用網閘、光閘進行強隔離；生產網絡進行內部的分區分域，區域間應采用工業防火墻實現邏輯隔離，并建立白名單，實現基于白名單的訪問控制。另一方面，采用數據防泄漏、深度協議數據包解析等邊界安全防護技術針對數據采集和交換過程中的數據泄露、病毒入侵以及異常行為進行告警，并對各類安全威脅進行監控，從而為數控網絡提供全方位的監測、過濾、報警和阻斷能力?，F場執行層生產控制層生產管理層數控機床數控機床A A數控機床數控機床N N二層交換機二層交換機核心交換機核心交換機互聯網互聯網二層交換機二層交換機上位機上位機機床數據采集與監控機床數據采集與監控數控機床防火墻數控機床防火墻流量流量分析流量防火墻防火墻防

34、火墻防火墻加密網關 來源：北京神州綠盟科技有限公司 圖 4 數控機床網絡邊界安全防護示例 數控機床網絡安全研究報告（2023 年）16（三）加強數控主機安全防護（三）加強數控主機安全防護通過安裝工業主機端點側安全監測、防護軟件，對數控主機進行有效防護，包括操作系統加固、病毒防護、惡意行為監測等。一方面，針對數控網絡中 DNC、MES、PDM、CAM、CAPP 等服務器及終端主機部署安全防護軟件，從端點側加強針對勒索病毒等安全防護，防止病毒傳播、對惡意代碼進行有效地消除。另一方面，通過對數控主機文件、目錄、進程、注冊表和服務的強制訪問控制,如圖 6 所示。采用“三權分立”的管理機制，有效制約和分

35、散原有系統管理員的權限，并結合文件和服務的完整性檢測、防緩沖區溢出等功能，將普通操作系統透明提升為安全操作系統，增強數控主機的安全性。數控機床網絡安全研究報告（2023 年）17 來源：北京神州綠盟科技有限公司 圖 5 數控機床主機安全防護實施示例（四）完善數控機床網絡資產管理和安全監測審計（四）完善數控機床網絡資產管理和安全監測審計 建設數控機床網絡資產管理機制，開展安全監測和審計，及時發現異常資產及網絡安全威脅。一是梳理數控機床生產環境的網絡資產，建立資產臺賬，定期探測梳理資產現狀及數據流轉和處理節點，識別和發現異常資產，對未知設備接入等異常行為及時發現并處置。二是采用入侵檢測、全流量檢測

36、、安全審計等方式監測數控機床生產環境，發現惡意行為和惡意代碼，對數控機床生產環境行為進行審計，協助事后分析取證溯源。三是通過態勢感知等技術手段，匯集流量側、端點側、日志側等數據，進行關聯分析和深度安全監測、研判和應急響應，并實現數控機床網絡安全集中管理。（五）可信計算技術提高數控機床內生安全（五）可信計算技術提高數控機床內生安全 面對數控機床聯網開放、互通互聯可能帶來的安全威脅，可以通過可信計算技術實現數控機床的內生安全3。一方面，數控機床在主機層面支持“硬件級部件（安全芯片或安全固件）”作為系統信任根，數控機床網絡安全研究報告（2023 年）18 建立從系統到應用的信任鏈，實現從設備加電到應

37、用加載過程的安全啟動和運行，從根本上解決工業互聯網可信、可控、可靠等方面的問題。另一方面，在系統運行過程中，實時監視數控系統內關鍵進程、模塊、可執行代碼、關鍵數據結構等，對進程的資源訪問行為進行實時度量和控制，依據動態的可信性對發生變化的度量對象依據策略采取報警、終止運行、更新度量預期值等措施，從而確保數控系統運行狀態的可信。（六）打造數控機床安全綜合防護體系（六）打造數控機床安全綜合防護體系 針對數控機床所面臨未知網絡威脅的持續性、組合性、跨域性和定向性等特點，逐一應對解決傳統被動防護難以應對利用邏輯缺陷的攻擊等問題。一方面，對數控機床安全關鍵技術的聯合攻關和創新，打造集事前預警、事中感知防

38、御、事后審查等功能于一體的“數控機床安全增強防護設備”體系。實現防護思路由被動“封堵查殺”到主動免疫防御的轉變，建立了云、邊、端的內生安全防護架構，確保設備、系統、網絡的可靠性、穩定性，有效提升制造企業生產網絡的整體安全性。另一方面，建設覆蓋設備、主機、網絡、數據的數控機床綜合防護體系，建立事前身份認證、加密，事中感知、防御，事后審計、追溯等多路徑閉環的安全防護體系，提升數控機床領域的整體安全能力。五、五、數控機床網絡安全發展建議 近年來，數控機床聯網運行已成為趨勢，同時也暴露出很多安全數控機床網絡安全研究報告（2023 年）19 問題?；谒崂淼臄悼貦C床安全現狀與安全風險，我們對數控機床網

39、絡安全提出如下建議：（一）推進數控機床相關安全標準規范制定（一）推進數控機床相關安全標準規范制定 目前針對數控機床網絡安全標準和技術規范儲備不足，需推動出臺數控機床相關網絡安全防護要求、安全評估評測規范、密碼應用等相關安全標準規范。一方面，面向數控機床邊界防護、入侵防范、安全審計等安全需求，制定亟需數控機床內生安全及評估測試等行業標準和企業標準，強化數控機床在設計、開發、實施、運行維護等全生命周期過程的網絡安全規范要求，為企業產品安全開發、第三方機構測試認證、設備部署運行提供可參考的依據。另一方面，研制數控系統密碼應用技術要求及測評要求等標準，規范和評估數控系統密碼應用的設計、實現和使用；鼓勵

40、安全設備制造商積極參與標準研制與貫標試點工作，以標準規范指導數控機床網絡安全防護部署。（二）提升數控機床網絡安全綜合技術防護能力（二）提升數控機床網絡安全綜合技術防護能力 數控機床作為工業控制系統的重要組成部分，網絡安全防護依然依賴傳統“外掛式”安全措施，需產業各方加強數控機床安全技術研究，提升網絡安全綜合防護能力。一方面，建立數控機床多重安全防護的縱深防御體系框架，采取事前身份認證、加密、預警、漏掃、評估機制，事中防御攻擊機制，事后審計、追溯等，以提升數控網絡的整體安全。另一方面，加強數控機床內生安全能力建設，通過自主可控加可信計算的總體思路，用主動免疫的思想對網絡空間尤其是數控數控機床網絡

41、安全研究報告（2023 年）20 機床等設施領域的安全防護思路進行研究和探索，基于國產密碼算法構建內生安全能力。（三）開展數控機床網絡安全評估評測（三）開展數控機床網絡安全評估評測 目前，數控設備的遠程維護需要通過互聯網進行，存在的漏洞容易被攻擊者利用進行惡意攻擊，導致數控設備直接面臨互聯網中的安全風險。應建立數控機床網絡安全評估評測體系，開展數控機床網絡安全評估評測。一方面，圍繞數控機床系統固件安全、網絡安全、應用安全、數據安全、接入安全等要求，建立數控機床網絡安全測試評估體系，建立安全能力評估模型。另一方面，針對數控機床抗滲透能力、惡意代碼防范、抗 DDoS 能力、漏洞隱患情況等漏洞隱患防

42、護能力等進行安全能力分析研究和攻擊防護測試，推動數控機床安全檢測認證和設備能力提升。（四）推動數控機床相關安全產品應用及市場發展（四）推動數控機床相關安全產品應用及市場發展 目前國內使用的主流數控設備，其核心系統大部分是國外廠家產品，特別是高端數控機床控制系統和數控機床整體聯網解決方案。因此，應加快對數控機床核心關鍵技術攻關，推動相關安全產品和服務的開發應用。一方面，鼓勵國內重點企業、科研機構、高校等加強合作，推動研制具備訪問控制、數據安全防護、病毒防護與分析、NC 文件語義分析與審計、鏈路加密、智能預警等能力的數控機床安全增強防護設備。另一方面，圍繞數控機床安全產品的功能、性能及安全性等設計

43、安全認證級別，開展數控機床相關安全產品及服務分類分級管數控機床網絡安全研究報告（2023 年）21 理，為不同部門、行業企業提供安全級別選擇，遴選達標安全產品目錄清單，推動數控機床安全產品市場發展。數控機床網絡安全研究報告（2023 年）22 參考文獻 1王琦魁,李昕,趙甫.工控系統信息安全與加工網絡防護方案研究J.信息網絡安全,2022(9)2王劍,郭照敏,王國營.DNC 數控網絡系統的安全防護J.保密科學技術,2012(8):4.3劉杰,汪京培,李丹,等.數控機床自動化網絡信息安全綜合防護方案J.組合機床與自動化加工技術,2016(3):82-85,89.4鐘誠,李凱斌,孟曦.智能制造聯網數控加工系統的網絡安全威脅與防護J.自動化博覽,2018,35(S2):44-49 5尚文利,佟國毓,尹隆,陳春雨.數控系統信息安全現狀與技術發展趨勢J.自動化博覽,2019(06):50-53.