★中國信息通信研究院，工業(yè)互聯(lián)網(wǎng)安全技術(shù)試驗與測評工業(yè)和信息化部重點(diǎn)實(shí)驗室董悅，王吉，李藝

1 引言

數控機床是工業(yè)領(lǐng)域生產(chǎn)加工的關(guān)鍵設備，廣泛應用于航空航天、車(chē)輛制造、船舶制造等關(guān)系國防、經(jīng)濟、社會(huì )安全的關(guān)鍵行業(yè)^[1]。隨著(zhù)智能制造的深度推進(jìn)和工業(yè)互聯(lián)網(wǎng)的發(fā)展，單點(diǎn)通信數控機床控制方式逐漸被淘汰，如今數控機床多數采用的分布式數控系統，可以使用一臺計算機對多臺數控機床實(shí)現數字控制，并且能夠執行計劃調度、程序分配、遠程監控和控制管理等功能。制造行業(yè)分布式數控系統逐步從封閉走向開(kāi)放，數控機床聯(lián)網(wǎng)運行已成為趨勢，數控系統本身存在不可控的漏洞、后門(mén)等安全隱患。同時(shí)，針對工業(yè)控制系統的網(wǎng)絡(luò )安全攻擊事件持續發(fā)生，數控系統一旦遭到破壞，將會(huì )導致數控機床乃至整個(gè)生產(chǎn)線(xiàn)停機，造成企業(yè)重大損失。亟需開(kāi)展數控機床安全防護技術(shù)研究，建立數控設備網(wǎng)絡(luò )安全防護體系，提升我國數控機床網(wǎng)絡(luò )安全防護供給側能力，為保障國家網(wǎng)絡(luò )安全、護航新基建夯實(shí)產(chǎn)業(yè)基礎。

2 數控機床網(wǎng)絡(luò )安全風(fēng)險分析

隨著(zhù)工業(yè)互聯(lián)網(wǎng)的發(fā)展，數控網(wǎng)絡(luò )安全防護成為數控領(lǐng)域網(wǎng)絡(luò )化、智能化發(fā)展的關(guān)鍵問(wèn)題。數控加工設備聯(lián)網(wǎng)進(jìn)程的加快導致了傳統信息網(wǎng)絡(luò )的各種黑客攻擊和惡意代碼等安全威脅快速進(jìn)入到數控網(wǎng)絡(luò )，一旦被不法分子利用，后果極為嚴重。然而我國數控網(wǎng)絡(luò )安全防護體系建設相對于數控網(wǎng)絡(luò )的快速發(fā)展存在明顯滯后，工業(yè)企業(yè)沒(méi)有充分考慮數控網(wǎng)絡(luò )與其它網(wǎng)絡(luò )互聯(lián)互通帶來(lái)的網(wǎng)絡(luò )安全風(fēng)險，相關(guān)標準體系建設也幾乎為空白，缺乏必要的安全防護措施。

典型數控機床網(wǎng)絡(luò )結構如圖1所示，原本封閉可信的數控機床生產(chǎn)網(wǎng)絡(luò )接入企業(yè)管理網(wǎng)和互聯(lián)網(wǎng)后網(wǎng)絡(luò )安全風(fēng)險增加，機床設備本身可能存在系統設計漏洞和后門(mén)，數控協(xié)議及網(wǎng)絡(luò )傳輸安全風(fēng)險導致加工代碼被非法獲取，存在機床遠程運維不可控等安全威脅。

圖1典型數控機床網(wǎng)絡(luò )結構及安全風(fēng)險

（1）數控機床系統設計漏洞和預留后門(mén)存在安全隱患

由于運行在數控機床計算機中的工控軟件與其操作系統存在兼容性問(wèn)題，數控機床計算機一般采用專(zhuān)用系統或經(jīng)精簡(jiǎn)的windows系統^[3]。一方面，目前國內使用的主流數控設備，其核心系統大部分是國外廠(chǎng)家產(chǎn)品，國外廠(chǎng)家的核心技術(shù)不向我國公開(kāi)，復雜的數控系統所包含的軟件代碼量級巨大，其中可能存在系統設計漏洞和預留后門(mén)等安全隱患^[2]。另一方面，部分數控終端所采用的系統版本較為老舊，計算機操作系統平臺缺少補丁，導致系統發(fā)現漏洞后難以進(jìn)行修復，極有可能存在遠程代碼執行漏洞或拒絕服務(wù)漏洞，從而使攻擊者完全控制數控終端或使其宕機，在這種情況下，輕則嚴重影響工廠(chǎng)生產(chǎn)，重則對終端造成不可恢復的破壞。

（2）數控協(xié)議及傳輸鏈路存在安全風(fēng)險，導致數據泄露

數控DNC（Distributed Numerical Control，分布式數控）網(wǎng)絡(luò )采用TCP/IP協(xié)議將原獨立運行的數控機床組成數控機床網(wǎng)絡(luò )，在數控機床無(wú)線(xiàn)通訊中是比較常見(jiàn)的是工業(yè)Wi-Fi。一方面，無(wú)線(xiàn)接入方式避免了有線(xiàn)接入物理環(huán)境限制和鋪設線(xiàn)路的成本，但在網(wǎng)絡(luò )安全層面上相較于有線(xiàn)網(wǎng)絡(luò )更具風(fēng)險性，無(wú)線(xiàn)Wi-Fi易發(fā)生會(huì )話(huà)劫持數據泄露的風(fēng)險，利用對無(wú)線(xiàn)信號的監聽(tīng)竊取傳輸數據，通過(guò)偽造指令或者數據攔截進(jìn)行惡意攻擊。另一方面，多數數控機床控制系統使用明文方式傳輸和管理加工代碼，這樣容易導致未加密的加工代碼被非法獲取，并通過(guò)專(zhuān)用軟件對加工物品進(jìn)行還原，導致制造數據泄密。

（3）對移動(dòng)存儲介質(zhì)及數控機床串口缺乏技術(shù)管控，存在網(wǎng)絡(luò )入侵安全風(fēng)險

一般數控設備中的控制系統計算機，無(wú)法安裝使用終端行為控制軟件，對外來(lái)的移動(dòng)存儲介質(zhì)及數據傳輸介質(zhì)的使用進(jìn)行監控。一方面，在數控機床網(wǎng)絡(luò )中隨意接入U盤(pán)、移動(dòng)硬盤(pán)、光盤(pán)等移動(dòng)存儲介質(zhì)，對網(wǎng)絡(luò )中的關(guān)鍵生產(chǎn)數據任意訪(fǎng)問(wèn)和操作，導致機密生產(chǎn)數據的泄露。另一方面，對于車(chē)間里沒(méi)有安全防范機制的終端，可以通過(guò)網(wǎng)口、串口及USB口等傳輸NC（Numerical Control，數字控制）程序及其他數據到數控機床內，同時(shí)終端也會(huì )通過(guò)網(wǎng)絡(luò )接口上傳一些數據到DNC服務(wù)器，無(wú)技術(shù)監管手段，管理難度大，如果在終端上傳不安全的數據到DNC服務(wù)器也會(huì )危及其他設備安全。

（4）用戶(hù)身份認證能力不足，數控機床遠程監測和維護存在風(fēng)險

對于數控系統的遠程監測和安全運維，運維人員通過(guò)采集數控系統中的溫度、振動(dòng)、轉速等數據，對數控機床的運動(dòng)軸、刀具等進(jìn)行故障預測性分析，對可能發(fā)生的故障提出預警信號，在此過(guò)程中存在維護人員身份仿冒以及系統賬號濫用風(fēng)險。一方面，機床設備進(jìn)行基礎數據采集及上報時(shí)，如果通信雙方?jīng)]有進(jìn)行身份認證，可能會(huì )因為身份假冒出現數據泄露等安全問(wèn)題。另一方面，數控設備的升級維護嚴重依賴(lài)生產(chǎn)和供應廠(chǎng)商，很多設備允許通過(guò)網(wǎng)絡(luò )遠程控制，系統缺少用戶(hù)身份認證和訪(fǎng)問(wèn)控制等安全機制，設備的升級維護過(guò)程行為不可控，存在巨大的安全風(fēng)險。

（5）網(wǎng)絡(luò )邊界擴大導致網(wǎng)絡(luò )入侵安全風(fēng)險

隨著(zhù)工業(yè)互聯(lián)網(wǎng)的不斷發(fā)展使得原本獨立封閉的數控生產(chǎn)網(wǎng)絡(luò )接入企業(yè)管理網(wǎng)和互聯(lián)網(wǎng)，網(wǎng)絡(luò )安全風(fēng)險向數控系統滲透。一方面，數控網(wǎng)絡(luò )中的主機易成為網(wǎng)絡(luò )入侵的主要攻擊點(diǎn)，傳統IT行業(yè)的殺毒軟件并不適用數控網(wǎng)絡(luò )主機的安全防護，或者會(huì )嚴重影響企業(yè)的生產(chǎn)效率，數控系統通常不安裝殺毒軟件，為病毒蔓延提供了入口。另一方面，對數控機床進(jìn)行遠程監控的工程師站和遠程的PLC站之間是通過(guò)互聯(lián)網(wǎng)進(jìn)行連接的，攻擊者可利用邊緣終端設備漏洞作為跳板對數控系統實(shí)施入侵或發(fā)起大規模網(wǎng)絡(luò )攻擊。

3 數控機床網(wǎng)絡(luò )安全防護實(shí)施

（1）開(kāi)展數控機床網(wǎng)絡(luò )安全基線(xiàn)管理

根據生產(chǎn)環(huán)境場(chǎng)景建立數控機床網(wǎng)絡(luò )安全基線(xiàn)。一方面，明確數控機床網(wǎng)絡(luò )安全基線(xiàn)具體內容，建立安全基線(xiàn)更新機制。企業(yè)梳理自身數控機床應用場(chǎng)景及技術(shù)特點(diǎn)，根據安全基線(xiàn)實(shí)施安全防護，包括消除弱密碼、安全配置加固、去除不必要的介質(zhì)接口等。另一方面，開(kāi)展數控機床網(wǎng)絡(luò )安全風(fēng)險評估和漏洞管理。定期對數控機床網(wǎng)絡(luò )架構、管理主機、控制協(xié)議等開(kāi)展全方位安全評估，發(fā)現安全風(fēng)險隱患，一旦發(fā)現安全漏洞，及時(shí)選擇安全補丁或升級組件。

（2）加強數控系統網(wǎng)絡(luò )邊界防護

分析數控系統網(wǎng)絡(luò )的組網(wǎng)特點(diǎn)，根據IEC62443-3-3等標準中的網(wǎng)絡(luò )區域劃分原則，將數控網(wǎng)絡(luò )劃分為合理安全區域，采用分層分域，縱深防御的策略進(jìn)行網(wǎng)絡(luò )安全防護。一方面，對企業(yè)信息系統與DNC系統進(jìn)行分層、分域，建立安全緩沖區，生產(chǎn)網(wǎng)絡(luò )與管理網(wǎng)絡(luò )、研發(fā)網(wǎng)絡(luò )連接采用網(wǎng)閘、光閘進(jìn)行強隔離；生產(chǎn)網(wǎng)絡(luò )進(jìn)行內部的分區分域，區域間應采用工業(yè)防火墻實(shí)現邏輯隔離，并建立白名單，實(shí)現基于白名單的訪(fǎng)問(wèn)控制。另一方面，采用數據防泄漏、深度協(xié)議數據包解析等邊界安全防護技術(shù)針對數據采集和交換過(guò)程中的數據泄露、病毒入侵以及異常行為進(jìn)行告警，并對各類(lèi)安全威脅進(jìn)行監控，從而為數控網(wǎng)絡(luò )提供全方位的監測、過(guò)濾、報警和阻斷能力。

（3）加強數控主機安全防護

通過(guò)安裝工業(yè)主機端點(diǎn)側安全監測、防護軟件，對數控主機進(jìn)行有效防護，包括操作系統加固、病毒防護、惡意行為監測等。一方面，針對數控網(wǎng)絡(luò )中DNC、MES（Manufacturing Execution Systems，制造執行系統)、PDM(Product Data Management，產(chǎn)品數據管理）、CAM（Computer Aided Manufacturing，計算機輔助制造）、CAPP（Computer Aided Process Planning，計算機輔助工藝過(guò)程設計）等服務(wù)器及終端主機部署安全防護軟件，從端點(diǎn)測加強針對勒索病毒等安全防護，防止病毒傳播、對惡意代碼進(jìn)行有效的消除。另一方面，通過(guò)對數控主機文件、目錄、進(jìn)程、注冊表和服務(wù)的強制訪(fǎng)問(wèn)控制，采用“三權分立”的管理機制，有效制約和分散原有系統管理員的權限，并結合文件和服務(wù)的完整性檢測、防緩沖區溢出等功能，將普通操作系統透明提升為安全操作系統，增強數控主機的安全性。

（4）完善數控網(wǎng)絡(luò )資產(chǎn)管理和安全監測審計

建設數控網(wǎng)絡(luò )資產(chǎn)管理機制，開(kāi)展安全監測和審計，及時(shí)發(fā)現異常資產(chǎn)及網(wǎng)絡(luò )安全威脅。一是梳理數控機床生產(chǎn)環(huán)境的網(wǎng)絡(luò )資產(chǎn)，建立資產(chǎn)臺賬，定期探測梳理資產(chǎn)現狀及數據流轉和處理節點(diǎn)，識別和發(fā)現異常資產(chǎn)，對未知設備接入等異常行為及時(shí)發(fā)現并處置。二是采用入侵檢測、全流量檢測、安全審計等方式監測數控機床生產(chǎn)環(huán)境，發(fā)現惡意行為和惡意代碼，對數控機床生產(chǎn)環(huán)境行為進(jìn)行審計，協(xié)助事后分析取證溯源。三是通過(guò)態(tài)勢感知等技術(shù)手段，匯集流量側、端點(diǎn)側、日志側等數據，進(jìn)行關(guān)聯(lián)分析和深度安全監測、研判和應急響應，并實(shí)現數控機床網(wǎng)絡(luò )安全集中管理。

（5）實(shí)現數控機床內生安全及增強防護

面對數控機床聯(lián)網(wǎng)開(kāi)放、互通互聯(lián)可能帶來(lái)的安全威脅，可以通過(guò)可信計算技術(shù)實(shí)現數控機床的內生安全及增強防護^[4]。一方面，數控機床在主機層面支持“硬件級部件（安全芯片或安全固件）作為系統信任根，建立從系統到應用的信任鏈，實(shí)現從設備加電到應用加載過(guò)程的安全啟動(dòng)和運行，從根本上解決工業(yè)互聯(lián)網(wǎng)可信、可控、可靠等方面的問(wèn)題。另一方面，在系統運行過(guò)程中，實(shí)時(shí)監視數控系統內關(guān)鍵進(jìn)程、模塊、可執行代碼、關(guān)鍵數據結構等，對進(jìn)程的資源訪(fǎng)問(wèn)行為進(jìn)行實(shí)時(shí)度量和控制，依據動(dòng)態(tài)的可信性對發(fā)生變化的度量對象依據策略采取報警、終止運行、更新度量預期值等措施，從而確保數控系統運行狀態(tài)的可信。

4 數控機床網(wǎng)絡(luò )安全發(fā)展建議

近年來(lái)，數控機床聯(lián)網(wǎng)運行已成為趨勢，同時(shí)也暴露出很多安全問(wèn)題?；谒崂淼臄悼貦C床安全現狀與安全風(fēng)險，我們對數控機床安全發(fā)展提出如下建議：

（1）推進(jìn)數控機床相關(guān)安全標準規范制定

目前針對數控機床網(wǎng)絡(luò )安全標準和技術(shù)規范儲備不足，需推動(dòng)出臺數控機床相關(guān)網(wǎng)絡(luò )安全防護要求、安全評估評測規范、密碼應用等相關(guān)安全標準規范。一方面，面向數控機床邊界防護、入侵防范、安全審計等安全需求，制定亟需數控機床內生安全及評估測試等行業(yè)標準和企業(yè)標準，強化數控機床在設計、開(kāi)發(fā)、實(shí)施、運行維護等全生命周期過(guò)程的網(wǎng)絡(luò )安全規范要求，為企業(yè)產(chǎn)品安全開(kāi)發(fā)、第三方機構測試認證、設備部署運行提供可參考的依據。另一方面，研制數控系統密碼應用技術(shù)要求及測評要求等標準，規范和評估數控系統密碼應用的設計、實(shí)現和使用；鼓勵安全設備制造商積極參與標準研制與貫標試點(diǎn)工作，以標準規范指導數控機床網(wǎng)絡(luò )安全防護部署。

（2）提升數控機床網(wǎng)絡(luò )安全綜合技術(shù)防護能力

數控機床作為工業(yè)控制系統的重要組成部分，網(wǎng)絡(luò )安全防護依然依賴(lài)傳統“外掛式”安全措施，需產(chǎn)業(yè)各方加強數控機床安全技術(shù)研究，提升網(wǎng)絡(luò )安全綜合防護能力。一方面，建立數控機床多重安全防護的縱深防御體系框架，采取事前身份認證、加密、預警、漏掃、評估機制，事中防御攻擊機制，事后審計、追溯等，以提升數控系統的整體安全。另一方面，加強數控機床內生安全能力建設，通過(guò)自主可控加可信計算的總體思路，用主動(dòng)免疫的思想對網(wǎng)絡(luò )空間尤其是數控機床等設施領(lǐng)域的安全防護思路進(jìn)行研究和探索，基于國產(chǎn)密碼算法構建內生安全能力。

（3）開(kāi)展數控機床網(wǎng)絡(luò )安全評估評測

目前，數控設備的遠程維護需要通過(guò)互聯(lián)網(wǎng)進(jìn)行，存在的漏洞容易被攻擊者利用進(jìn)行惡意攻擊，導致數控設備直接面臨互聯(lián)網(wǎng)中的安全風(fēng)險。應建立數控機床網(wǎng)絡(luò )安全評估評測體系，開(kāi)展數控機床網(wǎng)絡(luò )安全評估評測。一方面，圍繞數控機床系統/固件安全、網(wǎng)絡(luò )安全、應用安全、數據安全、接入安全等要求，建立數控機床網(wǎng)絡(luò )安全測試評估體系，建立安全能力評估模型。另一方面，針對數控機床抗滲透能力、惡意代碼防范、抗DDoS能力、漏洞隱患情況等漏洞隱患防護能力等進(jìn)行安全能力分析研究和攻擊防護測試，推動(dòng)數控機床安全檢測認證和設備能力提升。

（4）推動(dòng)數控機床相關(guān)安全產(chǎn)品應用及市場(chǎng)發(fā)展

目前國內使用的主流數控設備，其核心系統大部分是國外廠(chǎng)家產(chǎn)品，特別是高端CNC數控機床控制系統和DNC數控整體聯(lián)網(wǎng)解決方案。因此，應加快對數控機床核心關(guān)鍵技術(shù)攻關(guān)，推動(dòng)相關(guān)安全產(chǎn)品和服務(wù)的開(kāi)發(fā)應用。一方面，鼓勵國內重點(diǎn)企業(yè)、科研機構、高校等加強合作，推動(dòng)研制具備訪(fǎng)問(wèn)控制、數據安全防護、病毒防護與分析、NC文件語(yǔ)義分析與審計、鏈路加密、智能預警等能力的數控機床安全增強防護設備。另一方面，圍繞數控機床安全產(chǎn)品的功能、性能及安全性等設計安全認證級別，開(kāi)展數控機床相關(guān)安全產(chǎn)品及服務(wù)分類(lèi)分級管理，為不同部門(mén)、行業(yè)企業(yè)提供安全級別選擇，遴選達標安全產(chǎn)品目錄清單，推動(dòng)數控機床安全產(chǎn)品市場(chǎng)發(fā)展。

作者簡(jiǎn)介：

董悅 （1992-），女，遼寧錦州人，工程師，博士，現就職于中國信息通信研究院，從事工業(yè)互聯(lián)網(wǎng)安全、車(chē)聯(lián)網(wǎng)安全等方面研究工作。

王吉 （1993-），男，北京人，助理工程師，學(xué)士，現就職于中國信息通信研究院，主要從事工業(yè)互聯(lián)網(wǎng)安全、設備安全等方面的研究工作。

李藝 （1988-），男，山東濰坊人，高級工程師，博士，現就職于中國信息通信研究院，從事工業(yè)互聯(lián)網(wǎng)安全、車(chē)聯(lián)網(wǎng)安全等方面研究工作。

參考文獻：

[1]鐘誠,李凱斌,孟曦.智能制造聯(lián)網(wǎng)數控加工系統的網(wǎng)絡(luò )安全威脅與防護[J].自動(dòng)化博覽,2018,35(S2):44-49.

[2]尚文利,佟國毓,尹隆,陳春雨.數控系統信息安全現狀與技術(shù)發(fā)展趨勢[J].自動(dòng)化博覽,2019(06):50-53.

[3]張霞.企業(yè)數控機床DNC系統構建及安全防護的研究[D].哈爾濱:哈爾濱工業(yè)大學(xué),2015.

[4]劉杰,汪京培,李丹,云雷,陳晶晶.數控機床自動(dòng)化網(wǎng)絡(luò )信息安全綜合防護方案[J].組合機床與自動(dòng)化加工技術(shù),2016(03):82-85,89.

摘自《自動(dòng)化博覽》2022年9月刊