1　數控機床網(wǎng)絡(luò )安全防護實(shí)施

數控系統作為數控設備的“大腦”成為工業(yè)控制系統的重要組成部分，正面臨工業(yè)病毒和網(wǎng)絡(luò )攻擊，網(wǎng)絡(luò )與信息安全問(wèn)題日益凸顯。為幫助企業(yè)加強數控機床安全防護上的短板，本章針對以上數控機床安全風(fēng)險提出安全防護實(shí)施思路，如圖1所示，數控機床網(wǎng)絡(luò )安全體系的構建需從安全基線(xiàn)管理、網(wǎng)絡(luò )邊界防護措施部署和數控機床內生安全等方面進(jìn)行考慮，來(lái)保證數控機床及網(wǎng)絡(luò )的保密性、可用性和完整性。

來(lái)源：中國信息通信研究院

圖1 數控機床網(wǎng)絡(luò )安全防護示意圖

（1）開(kāi)展數控機床網(wǎng)絡(luò )安全基線(xiàn)管理

根據生產(chǎn)環(huán)境場(chǎng)景建立數控機床網(wǎng)絡(luò )安全基線(xiàn)。一方面，明確數控機床網(wǎng)絡(luò )安全基線(xiàn)具體內容，建立安全基線(xiàn)更新機制。企業(yè)梳理自身數控機床應用場(chǎng)景及技術(shù)特點(diǎn)，根據安全基線(xiàn)實(shí)施安全防護，包括消除弱密碼、安全配置加固、去除不必要的介質(zhì)接口等。另一方面，開(kāi)展數控機床網(wǎng)絡(luò )安全風(fēng)險評估和漏洞管理。定期對數控機床網(wǎng)絡(luò )架構、管理主機、控制協(xié)議等開(kāi)展全方位安全評估，發(fā)現安全風(fēng)險隱患，一旦發(fā)現安全漏洞，及時(shí)選擇安全補丁或升級組件。

（2）加強數控網(wǎng)絡(luò )邊界防護

分析數控網(wǎng)絡(luò )的組網(wǎng)特點(diǎn)，根據IEC62443-3-3等標準中的網(wǎng)絡(luò )區域劃分原則，將數控網(wǎng)絡(luò )劃分為合理安全區域，采用分層分域，縱深防御的策略進(jìn)行網(wǎng)絡(luò )安全防護，如圖2所示。一方面，對企業(yè)信息系統與DNC系統進(jìn)行分層、分域，建立安全緩沖區，生產(chǎn)網(wǎng)絡(luò )與管理網(wǎng)絡(luò )、研發(fā)網(wǎng)絡(luò )連接采用網(wǎng)閘、光閘進(jìn)行強隔離；生產(chǎn)網(wǎng)絡(luò )進(jìn)行內部的分區分域，區域間應采用工業(yè)防火墻實(shí)現邏輯隔離，并建立白名單，實(shí)現基于白名單的訪(fǎng)問(wèn)控制。另一方面，采用數據防泄漏、深度協(xié)議數據包解析等邊界安全防護技術(shù)針對數據采集和交換過(guò)程中的數據泄露、病毒入侵以及異常行為進(jìn)行告警，并對各類(lèi)安全威脅進(jìn)行監控，從而為數控網(wǎng)絡(luò )提供全方位的監測、過(guò)濾、報警和阻斷能力。

來(lái)源：北京神州綠盟科技有限公司

圖2 數控機床網(wǎng)絡(luò )邊界安全防護示例

（3）加強數控主機安全防護

通過(guò)安裝工業(yè)主機端點(diǎn)側安全監測、防護軟件，對數控主機進(jìn)行有效防護，包括操作系統加固、病毒防護、惡意行為監測等。一方面，針對數控網(wǎng)絡(luò )中DNC、MES、PDM、CAM、CAPP等服務(wù)器及終端主機部署安全防護軟件，從端點(diǎn)側加強針對勒索病毒等安全防護，防止病毒傳播、對惡意代碼進(jìn)行有效地消除。另一方面，通過(guò)對數控主機文件、目錄、進(jìn)程、注冊表和服務(wù)的強制訪(fǎng)問(wèn)控制，如圖3所示。采用“三權分立”的管理機制，有效制約和分散原有系統管理員的權限，并結合文件和服務(wù)的完整性檢測、防緩沖區溢出等功能，將普通操作系統透明提升為安全操作系統，增強數控主機的安全性。

來(lái)源：北京神州綠盟科技有限公司

圖3 數控機床主機安全防護實(shí)施示例

（4）完善數控機床網(wǎng)絡(luò )資產(chǎn)管理和安全監測審計

建設數控機床網(wǎng)絡(luò )資產(chǎn)管理機制，開(kāi)展安全監測和審計，及時(shí)發(fā)現異常資產(chǎn)及網(wǎng)絡(luò )安全威脅。一是梳理數控機床生產(chǎn)環(huán)境的網(wǎng)絡(luò )資產(chǎn)，建立資產(chǎn)臺賬，定期探測梳理資產(chǎn)現狀及數據流轉和處理節點(diǎn)，識別和發(fā)現異常資產(chǎn)，對未知設備接入等異常行為及時(shí)發(fā)現并處置。二是采用入侵檢測、全流量檢測、安全審計等方式監測數控機床生產(chǎn)環(huán)境，發(fā)現惡意行為和惡意代碼，對數控機床生產(chǎn)環(huán)境行為進(jìn)行審計，協(xié)助事后分析取證溯源。三是通過(guò)態(tài)勢感知等技術(shù)手段，匯集流量側、端點(diǎn)側、日志側等數據，進(jìn)行關(guān)聯(lián)分析和深度安全監測、研判和應急響應，并實(shí)現數控機床網(wǎng)絡(luò )安全集中管理。

（5）可信計算技術(shù)提高數控機床內生安全

面對數控機床聯(lián)網(wǎng)開(kāi)放、互通互聯(lián)可能帶來(lái)的安全威脅，可以通過(guò)可信計算技術(shù)實(shí)現數控機床的內生安全。一方面，數控機床在主機層面支持“硬件級部件（安全芯片或安全固件）”作為系統信任根，建立從系統到應用的信任鏈，實(shí)現從設備加電到應用加載過(guò)程的安全啟動(dòng)和運行，從根本上解決工業(yè)互聯(lián)網(wǎng)可信、可控、可靠等方面的問(wèn)題。另一方面，在系統運行過(guò)程中，實(shí)時(shí)監視數控系統內關(guān)鍵進(jìn)程、模塊、可執行代碼、關(guān)鍵數據結構等，對進(jìn)程的資源訪(fǎng)問(wèn)行為進(jìn)行實(shí)時(shí)度量和控制，依據動(dòng)態(tài)的可信性對發(fā)生變化的度量對象依據策略采取報警、終止運行、更新度量預期值等措施，從而確保數控系統運行狀態(tài)的可信。

（6）打造數控機床安全綜合防護體系

針對數控機床所面臨未知網(wǎng)絡(luò )威脅的持續性、組合性、跨域性和定向性等特點(diǎn)，逐一應對解決傳統被動(dòng)防護難以應對利用邏輯缺陷的攻擊等問(wèn)題。一方面，對數控機床安全關(guān)鍵技術(shù)的聯(lián)合攻關(guān)和創(chuàng )新，打造集事前預警、事中感知防御、事后審查等功能于一體的“數控機床安全增強防護設備”體系。實(shí)現防護思路由被動(dòng)“封堵查殺”到主動(dòng)免疫防御的轉變，建立了云、邊、端的內生安全防護架構，確保設備、系統、網(wǎng)絡(luò )的可靠性、穩定性，有效提升制造企業(yè)生產(chǎn)網(wǎng)絡(luò )的整體安全性。另一方面，建設覆蓋設備、主機、網(wǎng)絡(luò )、數據的數控機床綜合防護體系，建立事前身份認證、加密，事中感知、防御，事后審計、追溯等多路徑閉環(huán)的安全防護體系，提升數控機床領(lǐng)域的整體安全能力。

2　數控機床網(wǎng)絡(luò )安全發(fā)展建議

近年來(lái)，數控機床聯(lián)網(wǎng)運行已成為趨勢，同時(shí)也暴露出很多安全問(wèn)題?；谒崂淼臄悼貦C床安全現狀與安全風(fēng)險，我們對數控機床網(wǎng)絡(luò )安全提出如下建議：

（1）推進(jìn)數控機床相關(guān)安全標準規范制定

目前針對數控機床網(wǎng)絡(luò )安全標準和技術(shù)規范儲備不足，需推動(dòng)出臺數控機床相關(guān)網(wǎng)絡(luò )安全防護要求、安全評估評測規范、密碼應用等相關(guān)安全標準規范。一方面，面向數控機床邊界防護、入侵防范、安全審計等安全需求，制定亟需數控機床內生安全及評估測試等行業(yè)標準和企業(yè)標準，強化數控機床在設計、開(kāi)發(fā)、實(shí)施、運行維護等全生命周期過(guò)程的網(wǎng)絡(luò )安全規范要求，為企業(yè)產(chǎn)品安全開(kāi)發(fā)、第三方機構測試認證、設備部署運行提供可參考的依據。另一方面，研制數控系統密碼應用技術(shù)要求及測評要求等標準，規范和評估數控系統密碼應用的設計、實(shí)現和使用；鼓勵安全設備制造商積極參與標準研制與貫標試點(diǎn)工作，以標準規范指導數控機床網(wǎng)絡(luò )安全防護部署。

（2）提升數控機床網(wǎng)絡(luò )安全綜合技術(shù)防護能力

數控機床作為工業(yè)控制系統的重要組成部分，網(wǎng)絡(luò )安全防護依然依賴(lài)傳統“外掛式”安全措施，需產(chǎn)業(yè)各方加強數控機床安全技術(shù)研究，提升網(wǎng)絡(luò )安全綜合防護能力。一方面，建立數控機床多重安全防護的縱深防御體系框架，采取事前身份認證、加密、預警、漏掃、評估機制，事中防御攻擊機制，事后審計、追溯等，以提升數控網(wǎng)絡(luò )的整體安全。另一方面，加強數控機床內生安全能力建設，通過(guò)自主可控加可信計算的總體思路，用主動(dòng)免疫的思想對網(wǎng)絡(luò )空間尤其是數控機床等設施領(lǐng)域的安全防護思路進(jìn)行研究和探索，基于國產(chǎn)密碼算法構建內生安全能力。

（3）開(kāi)展數控機床網(wǎng)絡(luò )安全評估評測

目前，數控設備的遠程維護需要通過(guò)互聯(lián)網(wǎng)進(jìn)行，存在的漏洞容易被攻擊者利用進(jìn)行惡意攻擊，導致數控設備直接面臨互聯(lián)網(wǎng)中的安全風(fēng)險。應建立數控機床網(wǎng)絡(luò )安全評估評測體系，開(kāi)展數控機床網(wǎng)絡(luò )安全評估評測。一方面，圍繞數控機床系統固件安全、網(wǎng)絡(luò )安全、應用安全、數據安全、接入安全等要求，建立數控機床網(wǎng)絡(luò )安全測試評估體系，建立安全能力評估模型。另一方面，針對數控機床抗滲透能力、惡意代碼防范、抗DDoS能力、漏洞隱患情況等漏洞隱患防護能力等進(jìn)行安全能力分析研究和攻擊防護測試，推動(dòng)數控機床安全檢測認證和設備能力提升。

（4）推動(dòng)數控機床相關(guān)安全產(chǎn)品應用及市場(chǎng)發(fā)展

目前國內使用的主流數控設備，其核心系統大部分是國外廠(chǎng)家產(chǎn)品，特別是高端數控機床控制系統和數控機床整體聯(lián)網(wǎng)解決方案。因此，應加快對數控機床核心關(guān)鍵技術(shù)攻關(guān)，推動(dòng)相關(guān)安全產(chǎn)品和服務(wù)的開(kāi)發(fā)應用。一方面，鼓勵國內重點(diǎn)企業(yè)、科研機構、高校等加強合作，推動(dòng)研制具備訪(fǎng)問(wèn)控制、數據安全防護、病毒防護與分析、NC文件語(yǔ)義分析與審計、鏈路加密、智能預警等能力的數控機床安全增強防護設備。另一方面，圍繞數控機床安全產(chǎn)品的功能、性能及安全性等設計安全認證級別，開(kāi)展數控機床相關(guān)安全產(chǎn)品及服務(wù)分類(lèi)分級管理，為不同部門(mén)、行業(yè)企業(yè)提供安全級別選擇，遴選達標安全產(chǎn)品目錄清單，推動(dòng)數控機床安全產(chǎn)品市場(chǎng)發(fā)展。

摘自《數控機床網(wǎng)絡(luò )安全研究報告（2023年）》

來(lái)源：中國信息通信研究院和北京神州綠盟科技有限公司

摘自《自動(dòng)化博覽》2024年3月刊