1　前言

數控加工系統是制造業(yè)核心裝備，廣泛應用于航空航天、車(chē)輛制造、船舶制造等關(guān)系國防安全、經(jīng)濟安全和社會(huì )安全的關(guān)鍵行業(yè)。隨著(zhù)兩化深度融合，數控網(wǎng)絡(luò )安全防護成為數控領(lǐng)域網(wǎng)絡(luò )化、智能化發(fā)展的關(guān)鍵問(wèn)題。智能制造企業(yè)的數控系統和網(wǎng)絡(luò )存在大量漏洞及風(fēng)險。高端數控機床的LAD（Ladder Diagram）、PMC（Programmable Machine Controller）等信息機密文件、進(jìn)口高端數控機床敏感地理信息存在泄露風(fēng)險，設備使用無(wú)線(xiàn)上網(wǎng)卡連接因特網(wǎng)形成泄密通路，進(jìn)口CNC（Computerized Numerical Control）控制系統存在嚴重遠程控制漏洞等，一旦被不法分子利用，后果極為嚴重。然而我國數控網(wǎng)絡(luò )安全發(fā)展嚴重滯后，數控加工系統的網(wǎng)絡(luò )安全防護長(cháng)期以來(lái)沒(méi)有得到足夠關(guān)注，相關(guān)標準體系建設也幾乎為空白，缺乏必要的防護措施。數控網(wǎng)絡(luò )安全防護存在迫切需求，且應成為智能制造產(chǎn)業(yè)發(fā)展的重要基礎。

2　智能制造背景下數控加工系統的發(fā)展

隨著(zhù)《中國制造2025》戰略的全面實(shí)施，越來(lái)越多的信息技術(shù)應用到了工業(yè)制造領(lǐng)域，生產(chǎn)模式得以改變，各種智能制造設備和系統進(jìn)行網(wǎng)絡(luò )互聯(lián)互通的趨勢越來(lái)越快，我國數控加工行業(yè)也開(kāi)始大力推進(jìn)數控機床的網(wǎng)絡(luò )化，加快數控網(wǎng)絡(luò )與企業(yè)辦公網(wǎng)和因特網(wǎng)的互聯(lián)互通。2013年德國在漢諾威機床展覽會(huì )上提出“工業(yè)4.0”概念的核心思想——“智能+網(wǎng)絡(luò )化”，其可以將裝備、存儲系統和生產(chǎn)設施融入到信息物理系統（CPS，Cyber Physical Systems ）中，同時(shí)將工業(yè)互聯(lián)網(wǎng)應用到制造業(yè)領(lǐng)域，從而實(shí)現生產(chǎn)型制造向服務(wù)型制造的轉變。網(wǎng)絡(luò )化的數控加工系統體系結構和運行模式都發(fā)生了巨大的變化，數控系統正從過(guò)去的封閉式走向開(kāi)放式，從過(guò)去的單機運行走向網(wǎng)絡(luò )化數控。數控系統的網(wǎng)絡(luò )化是實(shí)現虛擬制造、敏捷制造、全球制造等新制造模式的基礎單元，也是滿(mǎn)足制造企業(yè)對信息集成需求的技術(shù)途徑。近年來(lái)，國外著(zhù)名的數控機床和數控系統制造商都推出了有關(guān)網(wǎng)絡(luò )化的樣機和新概念，如MAZAK的智能生產(chǎn)控制中心、SIEMENS的開(kāi)放制造環(huán)境、三菱電機自動(dòng)化的工廠(chǎng)網(wǎng)絡(luò )集成制造系統（如圖1所示）等，均反映了數控加工向網(wǎng)絡(luò )化方向發(fā)展的趨勢。

圖1 三菱電機自動(dòng)化的工廠(chǎng)網(wǎng)絡(luò )集成制造系統

3　數控加工系統面臨的主要安全威脅

3.1　數控加工系統網(wǎng)絡(luò )安全面臨挑戰的原因

首先數控加工設備聯(lián)網(wǎng)進(jìn)程的加快導致了傳統信息網(wǎng)絡(luò )的各種黑客攻擊和惡意代碼等安全威脅快速進(jìn)入到數控網(wǎng)絡(luò )。另外，在大力發(fā)展數控網(wǎng)絡(luò )建設的同時(shí)，工業(yè)企業(yè)沒(méi)有充分考慮數控網(wǎng)絡(luò )與其它網(wǎng)絡(luò )互聯(lián)互通帶來(lái)的網(wǎng)絡(luò )安全風(fēng)險，網(wǎng)絡(luò )安全防護體系建設相對于數控網(wǎng)絡(luò )的快速發(fā)展存在明顯滯后。近年來(lái)針對數控網(wǎng)絡(luò )的安全攻擊事件陡增，嚴重影響企業(yè)生產(chǎn)秩序，危害生產(chǎn)人員人身安全和企業(yè)財產(chǎn)安全甚至國家安全。典型數控系統網(wǎng)絡(luò )結構如圖2所示。

圖2 典型數控系統網(wǎng)絡(luò )結構

3.2　數控加工系統安全面臨的主要安全問(wèn)題

獨立封閉的數控生產(chǎn)網(wǎng)絡(luò )接入企業(yè)管理網(wǎng)和互聯(lián)網(wǎng)后面臨的信息安全風(fēng)險增加，占據主導地位的進(jìn)口設備可能存在系統設計漏洞和預留后門(mén)，明文傳輸和管理加工代碼導致代碼易被非法獲取和制造數據泄密，設備的升級維護過(guò)程行為不可控，對移動(dòng)存儲介質(zhì)缺少有效的技術(shù)監管手段，主機防護能力弱等威脅。

（1）網(wǎng)絡(luò )邊界擴大導致更多的網(wǎng)絡(luò )攻擊：兩化融合的不斷發(fā)展，使得原本獨立封閉的數控生產(chǎn)網(wǎng)絡(luò )接入企業(yè)管理網(wǎng)和互聯(lián)網(wǎng)，網(wǎng)絡(luò )邊界擴大必然導致網(wǎng)絡(luò )攻擊事件不斷發(fā)生。

（2）數控領(lǐng)域進(jìn)口設備占據主導地位：目前國內使用的主流數控設備，其核心系統大部分是國外廠(chǎng)家產(chǎn)品，特別是高端CNC數控機床控制系統和DNC數控整體聯(lián)網(wǎng)解決方案，如我國高端數控機床控制系統基本由發(fā)那科FANUC（日本）、西門(mén)子Siemens（德國）、海德漢HEIDENHAIN（德國）等幾家國外廠(chǎng)商占據主導地位。進(jìn)口數控系統往往存在以下安全隱患，如表1所示。

表1 我國數控設備品牌市場(chǎng)占有率（中科物安整理）

（3）數控系統自身安全：國外廠(chǎng)家的核心技術(shù)不向我國公開(kāi)，復雜的數控系統所包含的軟件代碼量級巨大，其中可能存在系統設計漏洞和預留后門(mén)等安全隱患。

（4）數控協(xié)議安全：多數數控機床控制系統使用明文方式傳輸和管理加工代碼，這樣容易導致未加密的加工代碼被非法獲取，并通過(guò)專(zhuān)用軟件對加工物品進(jìn)行還原，導致制造數據泄密。

（5）數控設備運維升級安全：數控設備的升級維護嚴重依賴(lài)生產(chǎn)和供應廠(chǎng)商，很多設備允許通過(guò)網(wǎng)絡(luò )遠程控制，系統缺少用戶(hù)身份認證和訪(fǎng)問(wèn)授權等安全機制，設備的升級維護過(guò)程行為不可控，存在巨大的安全風(fēng)險。
（6）對移動(dòng)存儲介質(zhì)缺少有效技術(shù)監管手段：可以在網(wǎng)絡(luò )中隨意接入U盤(pán)、移動(dòng)硬盤(pán)、光盤(pán)等移動(dòng)存儲介質(zhì)，對網(wǎng)絡(luò )中的關(guān)鍵生產(chǎn)數據任意訪(fǎng)問(wèn)和操作，導致機密生產(chǎn)數據的泄露。

（7）主機防護能力弱：作為網(wǎng)絡(luò )入侵的主要被攻擊點(diǎn)，數控網(wǎng)絡(luò )中的主機防護力度不足，傳統IT行業(yè)的殺毒軟件并不適用數控網(wǎng)絡(luò )主機的安全防護，或者會(huì )嚴重影響企業(yè)的生產(chǎn)效率。

（8）數控網(wǎng)絡(luò )安全事件難以跟蹤溯源：網(wǎng)絡(luò )攻擊者大都使用偽造的IP地址，使被攻擊者很難確定攻擊源的位置，并且有經(jīng)驗的攻擊者往往會(huì )消除攻擊痕跡等記錄，使得企業(yè)不能實(shí)施有針對性的防護策略，防止類(lèi)似的安全事件重復發(fā)生。

3.3　現有防護手段不能解決數控加工系統的網(wǎng)絡(luò )安全問(wèn)題

由于智能制造系統與傳統信息系統的特點(diǎn)和安全需求的不同，現有的安全防護手段（防火墻、網(wǎng)閘、單向隔離設備、病毒查殺工具等）不足以對智能制造系統進(jìn)行有效防御，智能制造系統安全攻防技術(shù)研究工作亟待加強，智能制造系統特別是數控網(wǎng)絡(luò )安全防護技術(shù)亟需發(fā)展，產(chǎn)品亟需實(shí)現和驗證。

4　數控加工系統網(wǎng)絡(luò )安全防護探索

4.1　國內外發(fā)展情況

在智能制造系統安全防護技術(shù)方面，國內外廠(chǎng)家都在開(kāi)展積極研究。日本大隈（Okuma） 的OSP病毒防護系統在Okuma OSP-P控制系統中內置了病毒掃描應用接口來(lái)防止感染從網(wǎng)絡(luò )或USB設備傳播的病毒；中國航天科工集團公司二院706所開(kāi)發(fā)了HT706-CNCP數控系統終端信息安全防護設備及HT706-CISP邊界安全專(zhuān)用網(wǎng)關(guān)。但這些安全防護方案和產(chǎn)品往往只針對特定型號的數控系統，不具有普遍適用性。目前在我國已發(fā)布或在研的工業(yè)控制系統信息安全標準中提出的安全防護技術(shù)要求是適用于批量制造、連續制造、離散制造使用的安全防護技術(shù)手段，并不完全適用于數控網(wǎng)絡(luò )。

4.2　數控網(wǎng)絡(luò )安全防護原則

4.2.1　可用性

各類(lèi)安全防護措施的使用不應對數控網(wǎng)絡(luò )的正常運行以及數控網(wǎng)絡(luò )與外部網(wǎng)絡(luò )的交互造成影響。

4.2.2　網(wǎng)絡(luò )隔離

數控網(wǎng)絡(luò )應僅用于數控生產(chǎn)加工業(yè)務(wù)，應采用專(zhuān)用的物理網(wǎng)絡(luò )，與外部網(wǎng)絡(luò )的交互應采取有效的安全防護措施。

4.2.3　分區防御

將數控網(wǎng)絡(luò )劃分為數控網(wǎng)絡(luò )-監督控制區域和數控網(wǎng)絡(luò )-數控設備區域。數控網(wǎng)絡(luò )-數控設備區域按照完成的生產(chǎn)功能可進(jìn)一步劃分為不同的子區域。對不同的區域應采取相應的安全保護措施。在不影響各區域工作的前提下，于各區域邊界處采取相應的安全隔離措施，確保各個(gè)區域之間有清楚明晰的邊界設定，并保障各區域邊界安全。

4.2.4　全面保護

單一設備的防護、單一防護措施或單一防護產(chǎn)品都無(wú)法有效的保護數控網(wǎng)絡(luò )，所以數控網(wǎng)絡(luò )的防護需要采取多個(gè)不同機制的多層防護策略。

4.3　數控加工系統網(wǎng)絡(luò )安全的關(guān)鍵技術(shù)

4.3.1　數控協(xié)議分析與測試

數控協(xié)議深度解析，研究數據包的關(guān)鍵內容及有效負載，并覆蓋西門(mén)子、發(fā)那科、海德漢、通用公司、廣州數控、沈陽(yáng)機床等企業(yè)的數控系統協(xié)議等多種數控系統，支持主流數控網(wǎng)絡(luò )協(xié)議深度解析。目前數控設備廠(chǎng)商（特別是國外廠(chǎng)商）出于商業(yè)保護或設備安全的原因大都使用私有的數控協(xié)議。如果不了解網(wǎng)絡(luò )數據包中的有效信息就無(wú)法有效防御針對私有協(xié)議的攻擊。未知協(xié)議分析通過(guò)機器學(xué)習、數據挖掘等技術(shù)，在大量數據的基礎上，分析發(fā)現未知協(xié)議的關(guān)鍵字信息。與行業(yè)用戶(hù)合作，實(shí)現關(guān)鍵字和數控設備功能的映射關(guān)系分析。數控協(xié)議測試的對象主要是各類(lèi)私有或自定義數控協(xié)議的實(shí)現效果，通過(guò)全面測試可以有效發(fā)現協(xié)議實(shí)現的缺陷。

4.3.2　數控系統漏洞挖掘和分析

通過(guò)機器學(xué)習聚類(lèi)算法，結合目標對象的主動(dòng)和被動(dòng)響應行為，判定漏洞信息?；跈C器學(xué)習的漏洞檢測利用數控網(wǎng)絡(luò )中流量的周期性特點(diǎn)，以一定的頻率將網(wǎng)絡(luò )流量速度轉化為向量，再以不同的時(shí)間周期劃分向量組，利用余弦定理計算一個(gè)組內各向量的相似度，取相似度最高的周期，即認為是流量的周期模型。通過(guò)建立工控設備的流量周期模型，在工控設備被攻擊時(shí)，實(shí)時(shí)檢測出異常流量?；跈C器學(xué)習的網(wǎng)絡(luò )行為聚類(lèi)算法是基于大量的設備、系統、軟件等漏洞樣例和行為，通過(guò)機器學(xué)習聚類(lèi)算法，對漏洞表征行為學(xué)習和歸類(lèi)，針對目標對象進(jìn)行測試用例設計和構造，結合目標對象的主動(dòng)和被動(dòng)響應行為，判定漏洞信息。

4.3.3　入侵檢測

隨著(zhù)管理網(wǎng)和數控網(wǎng)絡(luò )的聯(lián)通，數控網(wǎng)絡(luò )面臨更多自?xún)榷獍l(fā)起的高可持續性攻擊。數控網(wǎng)絡(luò )安全入侵檢測技術(shù)與普通IT網(wǎng)絡(luò )的入侵檢測系統不同，是一套面向數控網(wǎng)絡(luò )入侵發(fā)現、分析和實(shí)時(shí)響應的具有自組織特性的分布式檢測技術(shù)?；谛袨榈膮f(xié)同感知模型，可以通過(guò)識別病毒或者惡意威脅軟件爆發(fā)前或者潛伏期的協(xié)同行為來(lái)預測網(wǎng)絡(luò )中的異常設備。利用預置協(xié)同行為漏洞庫和以IP地址、MAC地址、協(xié)議、連接建立頻率、連接持續時(shí)間、傳輸速度等6個(gè)維度建立的行為信息，通過(guò)滑動(dòng)窗口方差匹配算法將上述惡意威脅軟件的協(xié)同行為識別出來(lái)，可以有效地識別到感染惡意威脅軟件的網(wǎng)絡(luò )設備和電腦，在惡意行為爆發(fā)前進(jìn)行適時(shí)預警?；跈C器學(xué)習的網(wǎng)絡(luò )行為聚類(lèi)算法基于有限狀態(tài)機，提出了協(xié)議通信特征的推演算法，根據消息聚類(lèi)的結果，推演出該通信協(xié)議的全部狀態(tài)，并結合有限狀態(tài)機，對消息中高頻詞匯進(jìn)行去重和降噪，得到協(xié)議特有的通信特征，基于協(xié)議特征并應用機器學(xué)習聚類(lèi)方法，使用歐式或者拉氏測距對消息進(jìn)行分類(lèi)，并利用非負向量矩陣進(jìn)行降維，最終實(shí)現通信消息的聚類(lèi)和去重，從而實(shí)現智能化消息聚類(lèi)算法。

4.3.4　智能學(xué)習技術(shù)

智能機器學(xué)習的白名單技術(shù)的學(xué)習引擎是全新智能學(xué)習引擎，在學(xué)習模型建立的算法上綜合了國際最新的監督式學(xué)習（Supervised Learning）技術(shù)和非監督式學(xué)習（Unsupervised Learning）技術(shù)優(yōu)點(diǎn)，能夠自動(dòng)收集、分析和學(xué)習系統正常運行狀態(tài)下的數據行為，在此基礎上智能提取用戶(hù)節點(diǎn)的行為特征，并自動(dòng)生成容易理解的操作規則和白名單，實(shí)現自動(dòng)化特征規則的提取和生成，對規則以外的異常數據和操作行為進(jìn)行告警。智能機器學(xué)習引擎技術(shù)的優(yōu)勢包括深度數據包提取解析、自動(dòng)優(yōu)化規則和策略部署、自動(dòng)解決規則策略間的沖突異常、實(shí)現“一鍵式”的智能規則學(xué)習和部署、智能分析用戶(hù)行為等功能。

4.4　數控系統網(wǎng)絡(luò )安全防護方案

數控網(wǎng)絡(luò )防護的目的是保護網(wǎng)絡(luò )中各系統的硬件、軟件及數據不會(huì )因為偶然或者惡意侵犯而遭到破壞、更改及泄露，保證控制網(wǎng)絡(luò )系統能夠連續、正常、可靠運行。為數控網(wǎng)絡(luò )提供所需的安全防護，同時(shí)保證正常生產(chǎn)不受影響是需要重點(diǎn)解決的問(wèn)題。根據“網(wǎng)絡(luò )專(zhuān)用、安全分區、區域隔離和縱深防御”的原則，運用數控系統漏洞挖掘、數控審計、智能保護引擎等多種安全防護技術(shù)，設計包括分域保護、安全加固、安全監測、審計保護、數控主機防護等關(guān)鍵防護機制的數控網(wǎng)絡(luò )安全防護方案，來(lái)保證數控網(wǎng)絡(luò )的保密性、可用性和完整性。

4.4.1　數控網(wǎng)絡(luò )漏洞挖掘和風(fēng)險評估分析

通過(guò)對數控網(wǎng)絡(luò )進(jìn)行風(fēng)險評估，包括對網(wǎng)絡(luò )架構、數控制造設備、管理主機、數控網(wǎng)絡(luò )中的控制流和數據流、控制協(xié)議等進(jìn)行全方位的安全評估，發(fā)現安全隱患和風(fēng)險。

4.4.2　網(wǎng)絡(luò )架構及邊界防護

研究制造企業(yè)工藝流程及數控系統及其業(yè)務(wù)功能屬性，對高端數控加工及成型裝備、精密測量?jì)x器等設備進(jìn)行識別和分類(lèi)；參照IEC62443-3-3等標準中的區域劃分原則，對數控網(wǎng)絡(luò )劃分合理區域，在區域邊界確定安全防護基線(xiàn)。邊界安全防護技術(shù)是針對數據采集過(guò)程中和數據交換時(shí)遇到的數據泄露、病毒入侵等威脅，在機器智能學(xué)習、深度協(xié)議數據包解析和開(kāi)放式特征匹配三大功能之上，識別出由于惡意入侵、系統故障、人員誤操作所引起的異?？刂菩袨楹头欠〝祿?，及時(shí)進(jìn)行告警和阻斷，并能為后續的安全威脅排查提供依據，對異?？刂菩袨楹头欠〝祿M(jìn)行告警和阻斷，并對各類(lèi)安全威脅進(jìn)行監控，從而為數控網(wǎng)絡(luò )提供全方位的監測、過(guò)濾、報警和阻斷能力。針對數據采集過(guò)程中和數據交換時(shí)遇到的數據泄露、病毒入侵等威脅，在機器智能學(xué)習、深度協(xié)議數據包解析和開(kāi)放式特征匹配三大功能之上，識別出由于惡意入侵、系統故障、人員誤操作所引起的異?？刂菩袨楹头欠〝祿?，為數控網(wǎng)絡(luò )提供全方位的監測、過(guò)濾、報警和阻斷能力。典型聯(lián)網(wǎng)DNC防護網(wǎng)絡(luò )架構圖如圖3所示。

圖3 典型聯(lián)網(wǎng)DNC防護網(wǎng)絡(luò )架構圖

4.4.3　數控網(wǎng)絡(luò )綜合監測和安全審計

對數據泄密、未知設備接入、異?？刂浦噶詈头欠〝祿葦悼鼐W(wǎng)絡(luò )主要的安全風(fēng)險和漏洞進(jìn)行深度分析、過(guò)濾、告警、阻斷、追蹤，并對各類(lèi)安全威脅實(shí)施監測審計。針對數控網(wǎng)絡(luò )的在線(xiàn)全網(wǎng)監控審計，可以自動(dòng)識別網(wǎng)絡(luò )設備、實(shí)時(shí)顯示整個(gè)控制網(wǎng)絡(luò )的總體運行情況和網(wǎng)絡(luò )設備當前狀態(tài)，并對網(wǎng)絡(luò )安全態(tài)勢進(jìn)行綜合分析。利用面向數控網(wǎng)絡(luò )安全的人工智能技術(shù)和先進(jìn)的機器學(xué)習、模式識別、高性能算法設計和數據挖掘等技術(shù)，實(shí)現對數控控制網(wǎng)絡(luò )的自動(dòng)學(xué)習、自動(dòng)適應和自動(dòng)規則生成。

基于行為的協(xié)同感知模型，可以通過(guò)識別病毒或者惡意威脅軟件爆發(fā)前或者潛伏期的協(xié)同行為來(lái)預測網(wǎng)絡(luò )中的異常設備。利用預置協(xié)同行為漏洞庫和以IP地址、MAC地址、協(xié)議、連接建立頻率、連接持續時(shí)間、傳輸速度等6個(gè)維度建立的行為信息，通過(guò)滑動(dòng)窗口方差匹配算法將上述惡意威脅軟件的協(xié)同行為識別出來(lái)，可以有效地識別到感染惡意威脅軟件的網(wǎng)絡(luò )設備和電腦，在惡意行為爆發(fā)前進(jìn)行適時(shí)預警。高端數控機床網(wǎng)絡(luò )安全審計保護如圖4所示。

圖4 高端數控機床網(wǎng)絡(luò )安全審計保護

4.4.4　數控主機安全防護

數控主機防護宜采用適用于數控網(wǎng)絡(luò )主機防護的安全防護軟件。針對DNC、MES、PDM、CAM、CAPP等服務(wù)器及終端主機部署安全防護軟件。采用智能機器學(xué)習的白名單技術(shù)，能夠自動(dòng)收集、分析和學(xué)習系統正常運行狀態(tài)下的數據行為，在此基礎上智能提取用戶(hù)節點(diǎn)的行為特征，并自動(dòng)生成容易理解的操作規則和白名單，實(shí)現自動(dòng)化特征規則的提取和生成，對規則以外的異常數據和操作行為進(jìn)行告警。

4.4.5　USB接口防護

USB設備授權機制和白名單技術(shù)可以禁止隨意拷貝數控管理主機中的文件。當檢測到非法拷貝企圖時(shí)，安全防護軟件會(huì )阻止文件拷貝，顯示告警信息，記錄下安全事件，并且安全事件不可刪除、不可篡改。

5　數控網(wǎng)絡(luò )安全防護的重要意義

5.1　提升數控加工系統自身防護能力

通過(guò)實(shí)施數控加工系統網(wǎng)絡(luò )安全防護方案，可有效預防數控機床存在的漏洞和后門(mén)所帶來(lái)的影響和后患，且適用于常見(jiàn)的各種國內外品牌高端數控機床和精密測量?jì)x器的組網(wǎng)場(chǎng)景，可對目前國內企業(yè)常用的高端數控機床、精密測量?jì)x器自身的信息安全提供全方位防護。

5.2　深度防泄密保護核心數據

數控網(wǎng)絡(luò )作為智能制造中最為核心的部分，是生產(chǎn)高精密零部件和設備的基礎，其生產(chǎn)數據作為企業(yè)核心機密，甚至關(guān)系到國家安全。

部署整體防護技術(shù)，包括綜合采用數據加密、內容識別、網(wǎng)絡(luò )文件還原和命令還原技術(shù)、基于數控行業(yè)主流設備通信協(xié)議深度數據包提取解析的智能學(xué)習技術(shù)、詳細審計日志、智能應用識別等多種技術(shù)手段，為用戶(hù)提供針對性的防泄密措施，保障企業(yè)數控網(wǎng)絡(luò )中機密數據的安全。通過(guò)在數控主機安裝適應離散制造環(huán)境的安全保護程序，并在網(wǎng)絡(luò )中串接數控審計保護，可以有效識別移動(dòng)存儲設備接入、非法網(wǎng)絡(luò )連接、移動(dòng)筆記本和其他移動(dòng)智能終端接入、惡意木馬和病毒以及非授權軟件的安裝等非法行為。同時(shí)在數控機床和服務(wù)器上部署USB防護設備，對接入數控機床和服務(wù)器USB口的設備進(jìn)行有效的監督和審計，有效阻止通過(guò)USB接口的數據外泄。

5.3　縱深防御使病毒無(wú)所遁形

數控加工系統網(wǎng)絡(luò )內部病毒傳播擴散問(wèn)題可以通過(guò)從邊界到終端逐級部署縱深的安全保護措施來(lái)有效切斷。通過(guò)在數控網(wǎng)絡(luò )中部署安全保護審計設備，可以有效識別數控網(wǎng)絡(luò )中病毒的惡意行為，并進(jìn)行預警和阻斷，同時(shí)可以對數控網(wǎng)絡(luò )的上下行數據進(jìn)行記錄和監測。通過(guò)在邊界部署數據采集隔離平臺，提供全方位的監測、過(guò)濾、報警和阻斷，通過(guò)縱深的防御技術(shù)有效防止病毒在控制網(wǎng)內部傳播。

5.4　保障生產(chǎn)加工安全高效運行

通過(guò)建立深度防泄密和與之聯(lián)動(dòng)的保護體系，可以有效解決使用高端數據機床和精密測量?jì)x器進(jìn)行相關(guān)生產(chǎn)的行業(yè)亟待解決的數據泄密問(wèn)題和未知入侵安全威脅問(wèn)題。在此過(guò)程中不會(huì )影響企業(yè)的加工生產(chǎn)流程，由于規范了相關(guān)操作制度和提供的安全防護措施，企業(yè)的生產(chǎn)效率將會(huì )得到較大的保障和提高。

作者簡(jiǎn)介

鐘　誠（1972-），女，湖北人，現任北京中科物安科技有限公司戰略合作副總裁。北京大學(xué)信息管理系本科畢業(yè)，南開(kāi)大學(xué)產(chǎn)業(yè)經(jīng)濟碩士，曾先后服務(wù)于中遠集團、大唐電信集團、無(wú)線(xiàn)綠洲公司、匡恩網(wǎng)絡(luò )，歷任政府事務(wù)總監、市場(chǎng)部總經(jīng)理、戰略發(fā)展和戰略合作高管。研究方向為通信及信息安全，對工業(yè)控制網(wǎng)絡(luò )安全有著(zhù)深刻理解，是國內第一批工業(yè)控制網(wǎng)絡(luò )安全產(chǎn)業(yè)發(fā)展的推動(dòng)者。

李凱斌（1980-），男，湖北人，現任北京中科物安科技有限公司研發(fā)副總裁。武漢大學(xué)博士畢業(yè)，十五年信息安全產(chǎn)品軟硬件開(kāi)發(fā)經(jīng)驗，匡恩網(wǎng)絡(luò )聯(lián)合創(chuàng )始人，從無(wú)到有構建了公司研發(fā)體系，定義和設計了多款開(kāi)創(chuàng )性工控安全產(chǎn)品，并擁有多項專(zhuān)利。研究方向為信息安全、嵌入式系統。

孟　曦（1978-），女，山西清徐人，西安電子科技大學(xué)通信工程本科畢業(yè)，美國NYIT-MBA在讀，曾先后服務(wù)于美國安氏安全、大唐電信集團、浙江浙大網(wǎng)新集團、匡恩網(wǎng)絡(luò )，歷任市場(chǎng)發(fā)展部總監、政府事務(wù)總監、戰略發(fā)展和戰略合作總監。研究方向為通信及信息安全。

參考文獻：

[1] 李炳燃, 張輝, 葉佩青. 智能制造環(huán)境下的數控系統發(fā)展需求[J]. 航空制造技術(shù), 2017, 60 ( 6 ) : 24 – 30.

[2] 蔡銳龍, 李曉棟, 錢(qián)思思. 國內外數控系統技術(shù)研究現狀與發(fā)展趨勢[J]. 機械科學(xué)與技術(shù).  , 2016 ( 4 ) : 493 – 500.

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第五輯）》