近年来，我国数控机床产业规模持续扩大，2022年我国数控机床产业规模约为3825亿元，预计2023年我国数控机床产业规模将达4090亿元。数控机床作为制造业的“工作母机”，是工业领域生产加工的关键设备。随着工业4.0范式所指示的强大推动，以卡奥斯、忽米网、广域铭岛等头部工业互联网平台企业的快速发展，数控机床联网运行、监控上云已成为必然趋势，如何保证数控机床联网运行的网络与数据安全逐渐成为制约工业互联网发展的关键问题之一。

当前企业的数控终端存在很多安全隐患，如一些较为先进的数控终端还开放了SSH、HTTP、时钟同步等服务，这些都有可能成为攻击者的攻击目标。部分数控终端所采用的系统版本较为老旧，极有可能存在远程代码执行漏洞或拒绝服务漏洞，从而使攻击者完全控制数控终端或使其宕机，在这种情况下，轻则严重影响工厂生产，重则对终端造成不可恢复的破坏。另外，对于车间里没有安全防范机制的数控终端，可以通过网口、串口及USB口下载任何形式的数据到终端内，直接导致很多安全问题，同时终端也会通过网络接口上传一些数据到 DNC 服务器。

本文将介绍数控机床在工业互联网环境下的安全态势，安全风险现状，并针对存在的安全风险提出安全防护六项措施。

针对数控机床的网络安全防护，国家陆续出台了多项政策进行建设指导：

《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)

《信息安全技术 数控网络安全技术要求》(GB/T 37955-2019)

《工业控制系统信息安全防护指南》（工信部信软〔2016〕338号）

《工业互联网企业网络安全分类分级指南（试行）》（工信部2021年发布）

针对数控机床的网络安全事件近年来也时有报道，并对企业的正常生产活动带来了严重的影响，如：

• 德国风机制造商在遭受网络攻击后关闭生产网络

2022年3月31日德国风力涡轮机制造商遭受网络攻击后，被迫关闭多地业务部门的生产与办公系统。攻击背后的组织最终威胁要泄露窃取大量的高端数控机床与精密测量仪器机密信息数据。该公司不得不关闭其跨多个业务部门和生产系统，以阻止问题蔓延。

• 伊朗最大的钢铁生产商遭遇网络攻击数控机床受影响

2022年6月据外媒报道，伊朗最大的钢铁生产商Khouzestan Steel Company(KSC）已承认遭遇严重网络攻击而被迫停产，这也是近年来针对该国战略工业部门的最大规模此类攻击之一。KSC对此表示，由于在“网络攻击”后“存在技术问题”，该工厂数控网络也受到较大影响，必须进行停工处理。此事件对企业造成了严重的经济与名誉损失。

现代化数控机床相比机械机床有着更成熟的系统，他们为智能连接和网络集成提供了大量的网络服务，但在设计时几乎没有考虑传统网络常用的安全机制。联网工作后放大并暴露出了严重的安全隐患。

• 数控设备自身安全防护机制缺失

对于工业控制软件在开发阶段缺少安全设计，导致此类软件存在大量安全漏洞，另外，进口设备通常使用黑盒设计，存在设备内嵌后门的风险。如西门子的SIMATIC WinCC数据采集与监控系统存在信息泄露的安全漏洞（CNNVD-201607-905），远程攻击者可通过发送特制的数据包利用该漏洞读取任意WinCC工作站文件，这样一些工作站的重要文件就可能会被窃取或篡改，对系统的安全运行造成影响。

• 数控机床远程监测和维护存在风险

对于数控系统的远程监测和安全运维，运维人员通过采集数控系统中的温度、振动、转速等数据，对数控机床的运动轴、刀具等进行故障预测性分析，对可能发生的故障提出预警信号，在此过程中存在维护人员身份仿冒以及系统账号滥用风险。一方面，机床设备进行基础数据采集及上报时，如果通信过程缺乏身份认证，可能会因为身份假冒出现数据泄露等安全问题。另一方面，数控设备的升级维护严重依赖生产和供应厂商，很多设备允许通过网络远程控制，系统缺少用户身份认证和访问控制等安全机制，设备的升级维护过程行为不可控，存在巨大的安全风险。  

• 网络边界扩大导致网络入侵安全风险

随着工业互联网的不断发展使得原本独立封闭的数控生产网络接入企业管理网和互联网，网络安全风险向数控系统渗透。一方面，数控网络中的主机易成为网络入侵的主要攻击点，传统IT行业的杀毒软件并不适用数控网络主机的安全防护，或者会严重影响企业的生产效率，数控系统因可用性要求高通常不安装杀毒软件，为病毒蔓延提供了入口。另一方面，对数控机床进行远程监控的工程师站和远程的PLC站之间是通过互联网进行连接的，攻击者可利用边缘终端设备漏洞作为跳板对数控系统实施入侵或发起大规模网络攻击。

• 数控协议及指令下发存在安全风险

数控机床运行过程中需要进行精准化控制业务，时常涉及工程师站组态变更、操控指令变更。但在指令变更与下发过程中存在指令篡改以及非法指令的情况。若攻击者能够获取数据通信过程中的相关流量，即可存在指令篡改以及被非法利用的风险。

• 滥用USB等外设设备导致病毒肆虐

众多企业在生产和维护过程中，对于数控机床和测量仪器的管理主机均存在滥用USB设备的情况，其中包括各种类型的智能手机、非密U盘，部分主机甚至非法连接无线上网卡。智能手机可通过3G/4G移动网络连接外网，智能手机连接电脑后，只需进行对应的设置即可将智能手机的网络共享给管理主机；无线上网卡更是可以直接为电脑提供连接外网的途径。这些情况对于不应联网的现场数控生产环境而言，会导致对网络边界安全防护的失控，是巨大的安全及泄密隐患。   

数控机床联网远程监控场景下的网络安全防护防护措施主要从以下六个方面进行展开安全防护建设，数控机床互联网络逻辑架构示意图如下所示：

根据生产环境场景开展数控机床网络安全风险评估工作。从资产评估、威胁评估、脆弱性评估等方面明确数控机床网络安全风险范围，依据风险评估结果设计全面的安全防护方案。企业梳理自身数控机床应用场景及技术特点，根据风险评估情况对安全基线、安全脆弱性实施安全防护，包括消除弱密码、漏洞规避、安全配置加固、去除不必要的介质接口等。

注：对于部署在工业互联网云平台上的监控主机环境，以及移动管理终端等关联资产也需要被列入风险评估的范畴内。

通过部署工控主机卫士等终端类防护产品，对数控主机进行防护，包括操作系统加固、病毒防护、高危端口封闭、外设管控等。一方面，针对数控网络中DNC、MES、PDM、CAM、CAPP等服务器及终端主机部署安全防护软件，从端点侧加强针对勒索病毒等安全防护，防止病毒感染和传播。另一方面，通过对数控主机文件、目录、进程、注册表和服务的强制访问控制，采用“三权分立”的管理机制，有效制约和分散原有系统管理员的权限，并结合文件和服务的完整性检测、虚拟补丁、强制访问控制等功能，将普通操作系统透明提升为安全操作系统，增强数控主机的安全性。最后，可分别针对单个主机实现U盘等外设的“只读、读写、执行”及组合的权限控制，有效避免因外设不规范使用而引入威胁。

安全运维平台能帮助工业互联网企业做到对身份的鉴别和授权的管控，避免远程维护带来的安全风险。通过在安全管理区域部署集用户管理、授权管理、认证管理和综合审计于一体的集中安全运维管理系统，能够为数控网络日常运维提供集中的管理平台，减少系统维护工作量；能够为数控网络提供全面的用户和资源管理，减少企业维护成本；能够帮助企业制定严格的资源访问策略，并且采用强身份认证手段，全面保障系统资源访问的安全。

对于企业数控系统内部网络，将数控网络按照“横向分区”“纵向分层”的网络划分原则构建安全可靠的网络安全结构。一方面，对企业信息系统与DNC系统进行分层、分域，建立安全缓冲区，生产网络与办公网络和云平台连接采用安全隔离与信息交换系统进行物理隔离；生产网络进行内部的分区分域，区域间采用工业防火墙实现逻辑隔离，建立白名单，实现基于白名单的访问控制。另一方面，深度协议数据包解析等边界安全防护技术针对数据交换过程中的数据泄露、病毒入侵以及异常行为进行告警，并对各类安全威胁进行监控，从而为数控网络提供全方位的监测、过滤、报警和阻断能力。

对于托管到工业互联网云平台的相关资产防护，由云平台厂商采取边界隔离、终端微隔离等手段进行防护强化。

建设数控网络资产管理机制，开展安全监测和审计，及时发现异常资产及网络安全威胁。

一是，梳理数控机床生产环境的网络资产，建立资产台账，定期探测梳理资产现状及数据流转和处理节点，识别和发现异常资产，对未知设备接入等异常行为及时发现并处置。 

二是，采用工控安全监测审计系统监测数控机床生产环境，发现恶意行为和高危操作，对数控机床生产环境行为进行审计，协助事后分析取证溯源。针对需要精准化控制业务，对偏离业务的微小行为都要进行识别和控制的应用场景，工控安全监测与审计系统支持对通用协议、工业协议和用户私有协议进行周期、工艺序列、协议字段、序列号、协议长度字段、包长度进行检测，对于偏离规则的异常行为及时进行识别和检测，及时发现隐藏在合法报文中的异常工艺行为。

三是，通过态势分析与安全运营管理平台汇集流量侧、端点侧、日志侧等数据，进行关联分析和深度安全监测、研判和应急响应，并实现数控机床网络安全集中管理。

通过在数控机床部署USB综合保护装置（以下简称“UIG”），UIG系统可以在物理上实现USB移动存储介质和内部主机的隔离，数控机床可通过UIG设备来访问U盘等外设。在数控机床访问移动介质前，移动介质预先在USB综合保护装置上进行病毒查杀，确保UIG设备可根据访问策略控制移动介质跟数控机床连接的通断，包括移动介质的认证、读写权限控制、文件黑、白名单控制、移动介质使用时间控制，并记录使用者对移动介质内文件的操作。此外，UIG对目前新型的高级USB攻击如USB炸弹、BadUSB、LNK攻击、死亡蓝屏等也具备有效的防护能力。

随着工业4.0的强势推动，工业互联网平台建设日渐兴起，数控机床联网运行已成为趋势，同时也暴露出很多安全问题。目前针对数控机床网络安全标准和技术规范储备不足,急需加强企业数控机床网络安全建设。建立数控机床多重安全防护的纵深防御体系，采取事前身份认证、事件预警、安全评估，事中动态防御，事后审计、追溯等，以提升数控系统的整体安全防护能力。

作为国内工控安全领军者，威努特结合在智能制造企业数控网络安全丰富的防护经验，目前已帮助上千家企业完成工业互联网安全建设，打造硬核自主核心技术，为工业4.0时代、制造强国构建一个“可防御、可检测、可响应、可预测”的全生命周期动态防御体系，保障国家智能制造网络安全稳定运行!    

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121