★中国信息通信研究院，工业互联网安全技术试验与测评工业和信息化部重点实验室董悦，王吉，李艺

1 引言

数控机床是工业领域生产加工的关键设备，广泛应用于航空航天、车辆制造、船舶制造等关系国防、经济、社会安全的关键行业^[1]。随着智能制造的深度推进和工业互联网的发展，单点通信数控机床控制方式逐渐被淘汰，如今数控机床多数采用的分布式数控系统，可以使用一台计算机对多台数控机床实现数字控制，并且能够执行计划调度、程序分配、远程监控和控制管理等功能。制造行业分布式数控系统逐步从封闭走向开放，数控机床联网运行已成为趋势，数控系统本身存在不可控的漏洞、后门等安全隐患。同时，针对工业控制系统的网络安全攻击事件持续发生，数控系统一旦遭到破坏，将会导致数控机床乃至整个生产线停机，造成企业重大损失。亟需开展数控机床安全防护技术研究，建立数控设备网络安全防护体系，提升我国数控机床网络安全防护供给侧能力，为保障国家网络安全、护航新基建夯实产业基础。

2 数控机床网络安全风险分析

随着工业互联网的发展，数控网络安全防护成为数控领域网络化、智能化发展的关键问题。数控加工设备联网进程的加快导致了传统信息网络的各种黑客攻击和恶意代码等安全威胁快速进入到数控网络，一旦被不法分子利用，后果极为严重。然而我国数控网络安全防护体系建设相对于数控网络的快速发展存在明显滞后，工业企业没有充分考虑数控网络与其它网络互联互通带来的网络安全风险，相关标准体系建设也几乎为空白，缺乏必要的安全防护措施。

典型数控机床网络结构如图1所示，原本封闭可信的数控机床生产网络接入企业管理网和互联网后网络安全风险增加，机床设备本身可能存在系统设计漏洞和后门，数控协议及网络传输安全风险导致加工代码被非法获取，存在机床远程运维不可控等安全威胁。

图1典型数控机床网络结构及安全风险

（1）数控机床系统设计漏洞和预留后门存在安全隐患

由于运行在数控机床计算机中的工控软件与其操作系统存在兼容性问题，数控机床计算机一般采用专用系统或经精简的windows系统^[3]。一方面，目前国内使用的主流数控设备，其核心系统大部分是国外厂家产品，国外厂家的核心技术不向我国公开，复杂的数控系统所包含的软件代码量级巨大，其中可能存在系统设计漏洞和预留后门等安全隐患^[2]。另一方面，部分数控终端所采用的系统版本较为老旧，计算机操作系统平台缺少补丁，导致系统发现漏洞后难以进行修复，极有可能存在远程代码执行漏洞或拒绝服务漏洞，从而使攻击者完全控制数控终端或使其宕机，在这种情况下，轻则严重影响工厂生产，重则对终端造成不可恢复的破坏。

（2）数控协议及传输链路存在安全风险，导致数据泄露

数控DNC（Distributed Numerical Control，分布式数控）网络采用TCP/IP协议将原独立运行的数控机床组成数控机床网络，在数控机床无线通讯中是比较常见的是工业Wi-Fi。一方面，无线接入方式避免了有线接入物理环境限制和铺设线路的成本，但在网络安全层面上相较于有线网络更具风险性，无线Wi-Fi易发生会话劫持数据泄露的风险，利用对无线信号的监听窃取传输数据，通过伪造指令或者数据拦截进行恶意攻击。另一方面，多数数控机床控制系统使用明文方式传输和管理加工代码，这样容易导致未加密的加工代码被非法获取，并通过专用软件对加工物品进行还原，导致制造数据泄密。

（3）对移动存储介质及数控机床串口缺乏技术管控，存在网络入侵安全风险

一般数控设备中的控制系统计算机，无法安装使用终端行为控制软件，对外来的移动存储介质及数据传输介质的使用进行监控。一方面，在数控机床网络中随意接入U盘、移动硬盘、光盘等移动存储介质，对网络中的关键生产数据任意访问和操作，导致机密生产数据的泄露。另一方面，对于车间里没有安全防范机制的终端，可以通过网口、串口及USB口等传输NC（Numerical Control，数字控制）程序及其他数据到数控机床内，同时终端也会通过网络接口上传一些数据到DNC服务器，无技术监管手段，管理难度大，如果在终端上传不安全的数据到DNC服务器也会危及其他设备安全。

（4）用户身份认证能力不足，数控机床远程监测和维护存在风险

对于数控系统的远程监测和安全运维，运维人员通过采集数控系统中的温度、振动、转速等数据，对数控机床的运动轴、刀具等进行故障预测性分析，对可能发生的故障提出预警信号，在此过程中存在维护人员身份仿冒以及系统账号滥用风险。一方面，机床设备进行基础数据采集及上报时，如果通信双方没有进行身份认证，可能会因为身份假冒出现数据泄露等安全问题。另一方面，数控设备的升级维护严重依赖生产和供应厂商，很多设备允许通过网络远程控制，系统缺少用户身份认证和访问控制等安全机制，设备的升级维护过程行为不可控，存在巨大的安全风险。

（5）网络边界扩大导致网络入侵安全风险

随着工业互联网的不断发展使得原本独立封闭的数控生产网络接入企业管理网和互联网，网络安全风险向数控系统渗透。一方面，数控网络中的主机易成为网络入侵的主要攻击点，传统IT行业的杀毒软件并不适用数控网络主机的安全防护，或者会严重影响企业的生产效率，数控系统通常不安装杀毒软件，为病毒蔓延提供了入口。另一方面，对数控机床进行远程监控的工程师站和远程的PLC站之间是通过互联网进行连接的，攻击者可利用边缘终端设备漏洞作为跳板对数控系统实施入侵或发起大规模网络攻击。

3 数控机床网络安全防护实施

（1）开展数控机床网络安全基线管理

根据生产环境场景建立数控机床网络安全基线。一方面，明确数控机床网络安全基线具体内容，建立安全基线更新机制。企业梳理自身数控机床应用场景及技术特点，根据安全基线实施安全防护，包括消除弱密码、安全配置加固、去除不必要的介质接口等。另一方面，开展数控机床网络安全风险评估和漏洞管理。定期对数控机床网络架构、管理主机、控制协议等开展全方位安全评估，发现安全风险隐患，一旦发现安全漏洞，及时选择安全补丁或升级组件。

（2）加强数控系统网络边界防护

分析数控系统网络的组网特点，根据IEC62443-3-3等标准中的网络区域划分原则，将数控网络划分为合理安全区域，采用分层分域，纵深防御的策略进行网络安全防护。一方面，对企业信息系统与DNC系统进行分层、分域，建立安全缓冲区，生产网络与管理网络、研发网络连接采用网闸、光闸进行强隔离；生产网络进行内部的分区分域，区域间应采用工业防火墙实现逻辑隔离，并建立白名单，实现基于白名单的访问控制。另一方面，采用数据防泄漏、深度协议数据包解析等边界安全防护技术针对数据采集和交换过程中的数据泄露、病毒入侵以及异常行为进行告警，并对各类安全威胁进行监控，从而为数控网络提供全方位的监测、过滤、报警和阻断能力。

（3）加强数控主机安全防护

通过安装工业主机端点侧安全监测、防护软件，对数控主机进行有效防护，包括操作系统加固、病毒防护、恶意行为监测等。一方面，针对数控网络中DNC、MES（Manufacturing Execution Systems，制造执行系统)、PDM(Product Data Management，产品数据管理）、CAM（Computer Aided Manufacturing，计算机辅助制造）、CAPP（Computer Aided Process Planning，计算机辅助工艺过程设计）等服务器及终端主机部署安全防护软件，从端点测加强针对勒索病毒等安全防护，防止病毒传播、对恶意代码进行有效的消除。另一方面，通过对数控主机文件、目录、进程、注册表和服务的强制访问控制，采用“三权分立”的管理机制，有效制约和分散原有系统管理员的权限，并结合文件和服务的完整性检测、防缓冲区溢出等功能，将普通操作系统透明提升为安全操作系统，增强数控主机的安全性。

（4）完善数控网络资产管理和安全监测审计

建设数控网络资产管理机制，开展安全监测和审计，及时发现异常资产及网络安全威胁。一是梳理数控机床生产环境的网络资产，建立资产台账，定期探测梳理资产现状及数据流转和处理节点，识别和发现异常资产，对未知设备接入等异常行为及时发现并处置。二是采用入侵检测、全流量检测、安全审计等方式监测数控机床生产环境，发现恶意行为和恶意代码，对数控机床生产环境行为进行审计，协助事后分析取证溯源。三是通过态势感知等技术手段，汇集流量侧、端点侧、日志侧等数据，进行关联分析和深度安全监测、研判和应急响应，并实现数控机床网络安全集中管理。

（5）实现数控机床内生安全及增强防护

面对数控机床联网开放、互通互联可能带来的安全威胁，可以通过可信计算技术实现数控机床的内生安全及增强防护^[4]。一方面，数控机床在主机层面支持“硬件级部件（安全芯片或安全固件）作为系统信任根，建立从系统到应用的信任链，实现从设备加电到应用加载过程的安全启动和运行，从根本上解决工业互联网可信、可控、可靠等方面的问题。另一方面，在系统运行过程中，实时监视数控系统内关键进程、模块、可执行代码、关键数据结构等，对进程的资源访问行为进行实时度量和控制，依据动态的可信性对发生变化的度量对象依据策略采取报警、终止运行、更新度量预期值等措施，从而确保数控系统运行状态的可信。

4 数控机床网络安全发展建议

近年来，数控机床联网运行已成为趋势，同时也暴露出很多安全问题。基于所梳理的数控机床安全现状与安全风险，我们对数控机床安全发展提出如下建议：

（1）推进数控机床相关安全标准规范制定

目前针对数控机床网络安全标准和技术规范储备不足，需推动出台数控机床相关网络安全防护要求、安全评估评测规范、密码应用等相关安全标准规范。一方面，面向数控机床边界防护、入侵防范、安全审计等安全需求，制定亟需数控机床内生安全及评估测试等行业标准和企业标准，强化数控机床在设计、开发、实施、运行维护等全生命周期过程的网络安全规范要求，为企业产品安全开发、第三方机构测试认证、设备部署运行提供可参考的依据。另一方面，研制数控系统密码应用技术要求及测评要求等标准，规范和评估数控系统密码应用的设计、实现和使用；鼓励安全设备制造商积极参与标准研制与贯标试点工作，以标准规范指导数控机床网络安全防护部署。

（2）提升数控机床网络安全综合技术防护能力

数控机床作为工业控制系统的重要组成部分，网络安全防护依然依赖传统“外挂式”安全措施，需产业各方加强数控机床安全技术研究，提升网络安全综合防护能力。一方面，建立数控机床多重安全防护的纵深防御体系框架，采取事前身份认证、加密、预警、漏扫、评估机制，事中防御攻击机制，事后审计、追溯等，以提升数控系统的整体安全。另一方面，加强数控机床内生安全能力建设，通过自主可控加可信计算的总体思路，用主动免疫的思想对网络空间尤其是数控机床等设施领域的安全防护思路进行研究和探索，基于国产密码算法构建内生安全能力。

（3）开展数控机床网络安全评估评测

目前，数控设备的远程维护需要通过互联网进行，存在的漏洞容易被攻击者利用进行恶意攻击，导致数控设备直接面临互联网中的安全风险。应建立数控机床网络安全评估评测体系，开展数控机床网络安全评估评测。一方面，围绕数控机床系统/固件安全、网络安全、应用安全、数据安全、接入安全等要求，建立数控机床网络安全测试评估体系，建立安全能力评估模型。另一方面，针对数控机床抗渗透能力、恶意代码防范、抗DDoS能力、漏洞隐患情况等漏洞隐患防护能力等进行安全能力分析研究和攻击防护测试，推动数控机床安全检测认证和设备能力提升。

（4）推动数控机床相关安全产品应用及市场发展

目前国内使用的主流数控设备，其核心系统大部分是国外厂家产品，特别是高端CNC数控机床控制系统和DNC数控整体联网解决方案。因此，应加快对数控机床核心关键技术攻关，推动相关安全产品和服务的开发应用。一方面，鼓励国内重点企业、科研机构、高校等加强合作，推动研制具备访问控制、数据安全防护、病毒防护与分析、NC文件语义分析与审计、链路加密、智能预警等能力的数控机床安全增强防护设备。另一方面，围绕数控机床安全产品的功能、性能及安全性等设计安全认证级别，开展数控机床相关安全产品及服务分类分级管理，为不同部门、行业企业提供安全级别选择，遴选达标安全产品目录清单，推动数控机床安全产品市场发展。

作者简介：

董悦 （1992-），女，辽宁锦州人，工程师，博士，现就职于中国信息通信研究院，从事工业互联网安全、车联网安全等方面研究工作。

王吉 （1993-），男，北京人，助理工程师，学士，现就职于中国信息通信研究院，主要从事工业互联网安全、设备安全等方面的研究工作。

李艺 （1988-），男，山东潍坊人，高级工程师，博士，现就职于中国信息通信研究院，从事工业互联网安全、车联网安全等方面研究工作。

参考文献：

[1]钟诚,李凯斌,孟曦.智能制造联网数控加工系统的网络安全威胁与防护[J].自动化博览,2018,35(S2):44-49.

[2]尚文利,佟国毓,尹隆,陈春雨.数控系统信息安全现状与技术发展趋势[J].自动化博览,2019(06):50-53.

[3]张霞.企业数控机床DNC系统构建及安全防护的研究[D].哈尔滨:哈尔滨工业大学,2015.

[4]刘杰,汪京培,李丹,云雷,陈晶晶.数控机床自动化网络信息安全综合防护方案[J].组合机床与自动化加工技术,2016(03):82-85,89.

摘自《自动化博览》2022年9月刊