摘要：數(shù)控機(jī)床作為智能制造的“工作母機(jī)”，是工業(yè)領(lǐng)域生產(chǎn)加工的關(guān)鍵設(shè)備，其重要性不言而喻。隨著智能制造的快速發(fā)展，智能機(jī)床、數(shù)控機(jī)床聯(lián)網(wǎng)運行已成為趨勢，如何保障機(jī)床聯(lián)網(wǎng)運行的網(wǎng)絡(luò)與數(shù)據(jù)安全就顯得尤為重要，本文從“工業(yè)母機(jī)”的基礎(chǔ)環(huán)境風(fēng)險、聯(lián)網(wǎng)安全風(fēng)險以及當(dāng)前常規(guī)防護(hù)方案進(jìn)行介紹，并針對當(dāng)前解決方案不足問題進(jìn)行說明，最后提出安盟信息在機(jī)床防護(hù)的“硬核技術(shù)”，為“工業(yè)母機(jī)”網(wǎng)絡(luò)與數(shù)據(jù)安全提供有力保障，助力中國實體經(jīng)濟(jì)高質(zhì)量發(fā)展！

關(guān)鍵詞：數(shù)控機(jī)床 智能智造 機(jī)甲衛(wèi)士 工控安全 DNC防護(hù) 全接口管理

一、引言

“工業(yè)母機(jī)”承擔(dān)著工業(yè)現(xiàn)代化的重要使命，是智能制造領(lǐng)域的關(guān)鍵設(shè)備，同時也是制造強(qiáng)國目標(biāo)的基礎(chǔ)。智能機(jī)床、數(shù)控機(jī)床廣泛應(yīng)用于十大軍工、汽車制造、3C制造等領(lǐng)域，它對國計民生的一些重要行業(yè)的發(fā)展起著越來越重要的作用。隨著兩化融合等政策的大力推動和發(fā)展，越來越多的信息技術(shù)應(yīng)用到工業(yè)制造領(lǐng)域，生產(chǎn)模式發(fā)生改變，數(shù)控機(jī)床和系統(tǒng)間網(wǎng)絡(luò)互聯(lián)互通的趨勢越來越明顯。我國數(shù)控加工行業(yè)也開始大力推進(jìn)數(shù)控機(jī)床的網(wǎng)絡(luò)化，加快數(shù)控網(wǎng)絡(luò)與企業(yè)辦公網(wǎng)和互聯(lián)網(wǎng)的互聯(lián)互通。

數(shù)控系統(tǒng)使用的是廠商定制的專用系統(tǒng)，在設(shè)計時沒有考慮信息安全問題。系統(tǒng)中運行的控制軟件、通信協(xié)議和管理系統(tǒng)在設(shè)計時就存在著漏洞和后門，利用數(shù)控系統(tǒng)的安全漏洞能夠直接完成對系統(tǒng)進(jìn)行控制，并且能夠獲得系統(tǒng)的最大控制權(quán)限。尤其是數(shù)控系統(tǒng)接入企業(yè)管理網(wǎng)和互聯(lián)網(wǎng)后，面臨的信息安全風(fēng)險更是急劇增加，亟須建立一套數(shù)控機(jī)床安全防護(hù)方案體系。

二、“工業(yè)母機(jī)”網(wǎng)絡(luò)安全風(fēng)險分析

隨著物聯(lián)網(wǎng)、移動互聯(lián)、大數(shù)據(jù)、5G等新一代信息技術(shù)的融合發(fā)展，數(shù)控機(jī)床逐漸與辦公網(wǎng)、互聯(lián)網(wǎng)以及第三方網(wǎng)絡(luò)進(jìn)行互聯(lián)互通，使得原本封閉可信的工業(yè)生產(chǎn)環(huán)境被打破，從而面臨著病毒、木馬、黑客、敵對勢力等威脅。尤其近幾年，勒索病毒對工業(yè)生產(chǎn)企業(yè)的攻擊更加頻繁，如2018年臺積電Wannacry勒索事件，以及2021年5月美國最大成品油管道運營商科洛尼爾公司遭受勒索攻擊，這些安全事件表明工業(yè)控制系統(tǒng)自身存在安全問題，使得黑客、敵對勢力等威脅利用這些問題對工業(yè)生產(chǎn)環(huán)境進(jìn)行攻擊。針對“工業(yè)母機(jī)”相關(guān)風(fēng)險總結(jié)如下。

（1）數(shù)控機(jī)床自身存在大量的安全漏洞

高精尖數(shù)控機(jī)床多以國外品牌為主，使用的是廠商定制的專用系統(tǒng)，在設(shè)計時沒有考慮安全問題。數(shù)控機(jī)床自身服務(wù)和通信協(xié)議和在設(shè)計時就存在著漏洞和后門，存在數(shù)控機(jī)床感染病毒或自帶某后門程序直接通過DNC控制網(wǎng)進(jìn)行關(guān)鍵數(shù)據(jù)外泄的風(fēng)險。

（2）數(shù)控機(jī)床、數(shù)控系統(tǒng)無法安裝常規(guī)信息安全防護(hù)產(chǎn)品

現(xiàn)有安全保密防護(hù)產(chǎn)品運行在通用操作系統(tǒng)的之上，無法在數(shù)控系統(tǒng)、數(shù)控機(jī)床上安裝，即便是可以安裝，這些安全軟件的運行會影響數(shù)控系統(tǒng)的實時性、兼容性，直接導(dǎo)致數(shù)控系統(tǒng)無法正常運行。

（3）數(shù)控機(jī)床傳輸內(nèi)容無法有效控制和審計

數(shù)控機(jī)床自身不具備身份鑒別、訪問控制等功能，而且無法安裝信息安全產(chǎn)品，所以對自身數(shù)據(jù)的輸入輸出無法進(jìn)行有效的管理?，F(xiàn)在DNC網(wǎng)絡(luò)缺乏對NC文件數(shù)據(jù)流轉(zhuǎn)的控制手段，下發(fā)至各數(shù)控機(jī)床的NC文件無法辨別是否合規(guī)。

（4）數(shù)控機(jī)床組成的DNC網(wǎng)絡(luò)互連風(fēng)險

數(shù)據(jù)機(jī)床引入了DNC網(wǎng)絡(luò)，用于程序傳輸與管理，在大大提高工作效率的同時，也給各個數(shù)控機(jī)床帶來了安全風(fēng)險。例如一臺數(shù)控機(jī)床感染病毒、木馬，由于其他數(shù)控機(jī)床均接入到DNC網(wǎng)絡(luò)，病毒、木馬極有可能快速擴(kuò)散到所有數(shù)控機(jī)床，造成設(shè)備損壞生產(chǎn)無法正常進(jìn)行，而且產(chǎn)生高昂的維修成本和人力成本。

三、常規(guī)“工業(yè)母機(jī)”防護(hù)措施分析

（1）基于DNC網(wǎng)絡(luò)的邊界防護(hù)

一些數(shù)控機(jī)床或DNC網(wǎng)絡(luò)，采用工業(yè)防火墻實現(xiàn)邏輯隔離，建立白名單策略，實現(xiàn)基于黑/白名單的訪問控制，從而為數(shù)控網(wǎng)絡(luò)提供基于IP及端口的阻斷能力。

優(yōu)劣分析：此解決方案優(yōu)勢在于快速部署；但劣勢明顯主要在于工業(yè)防火墻安全措施除了檢測工業(yè)協(xié)議外就是通過“五元組”實現(xiàn)安全控制，但DNC網(wǎng)絡(luò)非標(biāo)準(zhǔn)工控協(xié)議，同時“五元組”訪問控制屬性無法解決DNC文件的安全過濾能力。

（2）基于數(shù)控主機(jī)安全防護(hù)軟件

通過安裝工業(yè)主機(jī)防護(hù)軟件，如白名單軟件對數(shù)控主機(jī)進(jìn)行策略防護(hù)，包括操作系統(tǒng)加固、病毒防護(hù)、惡意行為監(jiān)測等，以增強(qiáng)數(shù)控主機(jī)的安全性。 

優(yōu)劣分析：此解決方案優(yōu)勢在于輕量化部署；但劣勢同樣明顯，工業(yè)主機(jī)防護(hù)軟件除了加固操作系統(tǒng)外，依然無法解決DNC文件的安全過濾能力和機(jī)床端的防護(hù)，且無法防止惡意用戶以生產(chǎn)線為目標(biāo)竊取知識產(chǎn)權(quán) （以生產(chǎn)代碼的形式） 或破壞生產(chǎn)的攻擊。

（3）基于DNC網(wǎng)絡(luò)工業(yè)審計監(jiān)測

部分DNC網(wǎng)絡(luò)部署工業(yè)安全審計系統(tǒng)，進(jìn)行安全監(jiān)測和審計，用于及時發(fā)現(xiàn)異常資產(chǎn)及網(wǎng)絡(luò)安全威脅。

優(yōu)劣分析：此解決方案的優(yōu)勢在于工業(yè)安全審計系統(tǒng)可以旁路部署，能夠識別和發(fā)現(xiàn)一定異常資產(chǎn)、監(jiān)測部分網(wǎng)絡(luò)攻擊的異常行為。但劣勢是依舊未解決數(shù)控機(jī)床防護(hù)的核心目的，無法對DNC文件類型、格式、協(xié)議進(jìn)行過濾。

四、安盟信息“工業(yè)母機(jī)”硬核防護(hù)技術(shù)

數(shù)控機(jī)床要做到真正安全防護(hù)的目標(biāo)，需要使用非常規(guī)的安全機(jī)制，除資源訪問控制和管理外，還要解決入侵控制（遠(yuǎn)程代碼執(zhí)行）、損壞（篡改工具測量值）、拒絕服務(wù) （DoS，包括勒索）、劫持（參數(shù)劫持）和知識產(chǎn)權(quán)盜竊等五類攻擊。

一些較為先進(jìn)的數(shù)控終端還開放了SSH、HTTP、時鐘同步等服務(wù)，這些都有可能成為攻擊者的攻擊目標(biāo)；部分?jǐn)?shù)控終端所采用的系統(tǒng)版本較為老舊，極有可能存在遠(yuǎn)程代碼執(zhí)行漏洞或拒絕服務(wù)漏洞，從而使攻擊者完全控制數(shù)控終端或使其宕機(jī)，在這種情況下，輕則嚴(yán)重影響工廠生產(chǎn)，重則對終端造成不可恢復(fù)的破壞。 

針對工控網(wǎng)絡(luò)中數(shù)控終端系統(tǒng)與外界信息交互越來越緊密，網(wǎng)絡(luò)威脅越多，另外一些關(guān)鍵文件（NC文件）通過數(shù)控機(jī)床USB接口、串口傳輸?shù)綌?shù)控終端系統(tǒng)，存在安全隱患。安盟信息推出了“機(jī)甲衛(wèi)士系統(tǒng)”（簡稱“機(jī)甲衛(wèi)士”），通過對網(wǎng)口、串口及USB口的多重安全防護(hù)，從內(nèi)到外防止此類威脅對數(shù)控終端系統(tǒng)的侵犯，保護(hù)數(shù)控終端系統(tǒng)正常運行。以下是安盟信息公司機(jī)甲衛(wèi)士在“工業(yè)母機(jī)”防護(hù)中的硬核防護(hù)技術(shù)。

（1）數(shù)控機(jī)床端口全方位防護(hù)

可對數(shù)控機(jī)床，如生產(chǎn)加工設(shè)備網(wǎng)口、串口、USB端口進(jìn)行全方位的安全防護(hù)，端口支持禁用、透傳及過濾三種模式，過濾模式下對所有經(jīng)過端口數(shù)據(jù)按策略規(guī)則進(jìn)行篩查防護(hù)，被攔截數(shù)據(jù)可進(jìn)行丟棄、修改（將數(shù)據(jù)包中不合法內(nèi)容屏蔽）兩種處理方式，同時將告警日志上傳到集中管理平臺。

（2）DNC協(xié)議安全過濾

自動識別DNC數(shù)控文件傳輸過程，對文件傳輸協(xié)議進(jìn)行深度解析，可根據(jù)策略規(guī)則對傳輸文件的類型、 大小、關(guān)鍵字等內(nèi)外部特征進(jìn)行篩查，攔截不符合策略規(guī)則的文件傳輸并報警。

縱觀國內(nèi)外針對數(shù)控機(jī)床的安全事件，DNC網(wǎng)絡(luò)及數(shù)控主機(jī)作成為攻擊的首要目標(biāo)，將然后把數(shù)控主機(jī)作為跳板機(jī)，再對控制設(shè)備、機(jī)床設(shè)備、工藝系統(tǒng)等進(jìn)行攻擊。分析其原因主要有兩點：一是，攻擊數(shù)控主機(jī)技術(shù)上比直接攻擊控制設(shè)備更加容易；二是，數(shù)控主機(jī)的安全問題更多，更容易被利用。

因此，安盟華御機(jī)甲衛(wèi)士能夠保證機(jī)床流量控制的通信控制過程，加強(qiáng)通訊ASCII控制命令，包含：

DC1(11H)啟動數(shù)據(jù)傳送；

DC2(12H)傳送參數(shù)；

DC3(93H)停止數(shù)據(jù)傳送；

DC4(14H)參數(shù)傳送完了。

（3）數(shù)控程序文件過濾

安盟華御機(jī)甲衛(wèi)士提供規(guī)則過濾功能，可對規(guī)則中所有類型的文件進(jìn)行阻斷或放行。如：“.NC” 可對所有不同品牌的機(jī)床類型的文件進(jìn)行阻斷或放行，從根源上防止一切不正當(dāng)文件的運行，如SIEMENS系統(tǒng)加工程序的后綴為*.mpf\*.spf，其中格式保護(hù)包含

%_N_VF1112_MPF ;

$PATH = /_N_MPF_DIR ；

N10 T1D1M03S100 ；

N30 G0X489.71Z60 ；

N40 M01；

N50 G0X210 N60 Z14；

N70 G1Z11.585F0.3 ；

N80 M30工。

（4）工業(yè)協(xié)議支持

安盟華御機(jī)甲衛(wèi)士支持OPC、Modbus、DNP3、IEC104、IEC61850、MMS、S7等工控協(xié)議。

因此，為了防止黑客惡意控制數(shù)控控制器，如改變刀具幾何形狀，從而導(dǎo)致所生產(chǎn)的零件出現(xiàn)微缺陷。安盟華御機(jī)甲衛(wèi)士對MODBUS應(yīng)用進(jìn)行配置時，進(jìn)行深度解析控制的配置，支持對功能碼、地址、數(shù)據(jù)類型、解析方式、值域進(jìn)行控制，如下圖所示。

（5）網(wǎng)絡(luò)數(shù)據(jù)防護(hù)

安盟華御機(jī)甲衛(wèi)士支持對工控協(xié)議數(shù)據(jù)包進(jìn)行過濾篩查，對工控數(shù)據(jù)完整性、功能碼、地址范圍和工藝參數(shù)范圍進(jìn)行深度解析，支持對工控非法指令、數(shù)據(jù)篡改等攻擊的防護(hù)，保障工控系統(tǒng)可靠運行。

（6）USB接口防護(hù)

安盟華御機(jī)甲衛(wèi)士可實現(xiàn)機(jī)甲衛(wèi)士與數(shù)控機(jī)床USB對接，如武漢重工機(jī)床、濟(jì)南第二機(jī)床廠及無錫華聯(lián)等機(jī)床廠商通過USB下發(fā)機(jī)床文件，因此，安盟華御機(jī)甲衛(wèi)士對U口相關(guān)NC文件進(jìn)行防護(hù)，既實現(xiàn)對網(wǎng)絡(luò)層側(cè)威脅攻擊安全防護(hù)，又可屏蔽內(nèi)部側(cè)的惡意泄露數(shù)據(jù)和病毒傳播風(fēng)險。同時，讓USB口和受控主機(jī)不直連，杜絕了USB炸彈以及USB端口損壞的風(fēng)險。 

具有USB接口設(shè)備的端口狀態(tài)顯示、權(quán)限設(shè)置、文件管控、黑白名單策略、病毒查殺等功能。文件管控主要對已連接存儲類USB外設(shè)上的文件進(jìn)行殺毒、手動傳輸、規(guī)則匹配、關(guān)鍵字過濾等管控，可以按照目錄層級查看文件，顯示每個文件的詳細(xì)信息及病毒查殺信息，將查殺出的威脅文件放置緩存區(qū)，便于追溯和管理，可以根據(jù)實際業(yè)務(wù)對威脅文件進(jìn)行刪除。

進(jìn)行查殺配置后，對已授權(quán)的USB設(shè)備進(jìn)行全盤查殺，查殺結(jié)束后會展示查殺列表，如下圖所示。

（7）USB串口防護(hù)

當(dāng)前，部分機(jī)床存在通過串口下發(fā)機(jī)床文件，如濟(jì)南第二機(jī)床廠部分機(jī)床型號、高鋒部分機(jī)床型號等使用串口，安盟華御機(jī)甲衛(wèi)士可對RS232串口數(shù)據(jù)進(jìn)行防護(hù)，根據(jù)數(shù)據(jù)包地址信息、指令類型及數(shù)據(jù)內(nèi)容進(jìn)行篩查過濾，可自行選擇端口傳輸數(shù)據(jù)的啟用或停用，保證在數(shù)據(jù)傳輸過程中的可靠性。

（8）數(shù)控機(jī)床集中管理

狀態(tài)監(jiān)測分為安盟華御機(jī)甲衛(wèi)士狀態(tài)監(jiān)測和工控設(shè)備狀態(tài)監(jiān)測兩部分。安盟華御機(jī)甲衛(wèi)士狀態(tài)監(jiān)測可對其運行狀態(tài)實時監(jiān)測，確保不間斷運行、異常斷線時自動報警。工控設(shè)備狀態(tài)監(jiān)測是通過安盟華御機(jī)甲衛(wèi)士將與其連接的工控設(shè)備的各個端口在線狀態(tài)及數(shù)據(jù)防護(hù)狀態(tài)上傳至安盟華御機(jī)甲衛(wèi)士集中管理平臺，發(fā)現(xiàn)異常時自動產(chǎn)生報警信息，達(dá)到集中管理平臺對全網(wǎng)設(shè)備的全局監(jiān)控。

五、“工業(yè)母機(jī)”一體化防護(hù)展望

若說制造業(yè)是國家命脈，那“工業(yè)母機(jī)”則是制造業(yè)的心臟（幾乎可以覆蓋制造業(yè)的全部領(lǐng)域），在政策的鼓勵下，國內(nèi)機(jī)床產(chǎn)業(yè)快速崛起，2012-2021年，裝備工業(yè)增加值年均增長8.2%，始終保持中高速，至2021年底，裝備工業(yè)規(guī)模以上企業(yè)達(dá)10.51萬家，比2012年增長近45.30%；資產(chǎn)總額、營業(yè)收入、利潤總額分別達(dá)到28.83萬億元、26.47萬億元和1.57萬億元，比2012年分別增長92.97%、47.76%、28.84%。在國家支撐數(shù)控機(jī)床行業(yè)頂層設(shè)計下，我國數(shù)控機(jī)床行業(yè)已形成完整的產(chǎn)業(yè)體系，整體處于世界第二梯隊，數(shù)控機(jī)床行業(yè)正在高質(zhì)量發(fā)展！

安盟信息形成融合密碼技術(shù)、邊界安全、工控安全為體系的工控安全防護(hù)能力，賦能工業(yè)互聯(lián)網(wǎng)安全，打造硬核自主核心技術(shù)，為數(shù)字化中國、制造強(qiáng)國構(gòu)建一個可信、可控、可管的安全動態(tài)防御體系，保障“工業(yè)母機(jī)”生產(chǎn)網(wǎng)絡(luò)安全穩(wěn)定運行！