摘要：數(shù)控機床作為智能制造的“工作母機”，是工業(yè)領域生產(chǎn)加工的關鍵設備，其重要性不言而喻。隨著智能制造的快速發(fā)展，智能機床、數(shù)控機床聯(lián)網(wǎng)運行已成為趨勢，如何保障機床聯(lián)網(wǎng)運行的網(wǎng)絡與數(shù)據(jù)安全就顯得尤為重要，本文從“工業(yè)母機”的基礎環(huán)境風險、聯(lián)網(wǎng)安全風險以及當前常規(guī)防護方案進行介紹，并針對當前解決方案不足問題進行說明，最后提出安盟信息在機床防護的“硬核技術”，為“工業(yè)母機”網(wǎng)絡與數(shù)據(jù)安全提供有力保障，助力中國實體經(jīng)濟高質(zhì)量發(fā)展！

關鍵詞：數(shù)控機床 智能智造 機甲衛(wèi)士 工控安全 DNC防護 全接口管理

一、引言

“工業(yè)母機”承擔著工業(yè)現(xiàn)代化的重要使命，是智能制造領域的關鍵設備，同時也是制造強國目標的基礎。智能機床、數(shù)控機床廣泛應用于十大軍工、汽車制造、3C制造等領域，它對國計民生的一些重要行業(yè)的發(fā)展起著越來越重要的作用。隨著兩化融合等政策的大力推動和發(fā)展，越來越多的信息技術應用到工業(yè)制造領域，生產(chǎn)模式發(fā)生改變，數(shù)控機床和系統(tǒng)間網(wǎng)絡互聯(lián)互通的趨勢越來越明顯。我國數(shù)控加工行業(yè)也開始大力推進數(shù)控機床的網(wǎng)絡化，加快數(shù)控網(wǎng)絡與企業(yè)辦公網(wǎng)和互聯(lián)網(wǎng)的互聯(lián)互通。

數(shù)控系統(tǒng)使用的是廠商定制的專用系統(tǒng)，在設計時沒有考慮信息安全問題。系統(tǒng)中運行的控制軟件、通信協(xié)議和管理系統(tǒng)在設計時就存在著漏洞和后門，利用數(shù)控系統(tǒng)的安全漏洞能夠直接完成對系統(tǒng)進行控制，并且能夠獲得系統(tǒng)的最大控制權限。尤其是數(shù)控系統(tǒng)接入企業(yè)管理網(wǎng)和互聯(lián)網(wǎng)后，面臨的信息安全風險更是急劇增加，亟須建立一套數(shù)控機床安全防護方案體系。

二、“工業(yè)母機”網(wǎng)絡安全風險分析

隨著物聯(lián)網(wǎng)、移動互聯(lián)、大數(shù)據(jù)、5G等新一代信息技術的融合發(fā)展，數(shù)控機床逐漸與辦公網(wǎng)、互聯(lián)網(wǎng)以及第三方網(wǎng)絡進行互聯(lián)互通，使得原本封閉可信的工業(yè)生產(chǎn)環(huán)境被打破，從而面臨著病毒、木馬、黑客、敵對勢力等威脅。尤其近幾年，勒索病毒對工業(yè)生產(chǎn)企業(yè)的攻擊更加頻繁，如2018年臺積電Wannacry勒索事件，以及2021年5月美國最大成品油管道運營商科洛尼爾公司遭受勒索攻擊，這些安全事件表明工業(yè)控制系統(tǒng)自身存在安全問題，使得黑客、敵對勢力等威脅利用這些問題對工業(yè)生產(chǎn)環(huán)境進行攻擊。針對“工業(yè)母機”相關風險總結(jié)如下。

（1）數(shù)控機床自身存在大量的安全漏洞

高精尖數(shù)控機床多以國外品牌為主，使用的是廠商定制的專用系統(tǒng)，在設計時沒有考慮安全問題。數(shù)控機床自身服務和通信協(xié)議和在設計時就存在著漏洞和后門，存在數(shù)控機床感染病毒或自帶某后門程序直接通過DNC控制網(wǎng)進行關鍵數(shù)據(jù)外泄的風險。

（2）數(shù)控機床、數(shù)控系統(tǒng)無法安裝常規(guī)信息安全防護產(chǎn)品

現(xiàn)有安全保密防護產(chǎn)品運行在通用操作系統(tǒng)的之上，無法在數(shù)控系統(tǒng)、數(shù)控機床上安裝，即便是可以安裝，這些安全軟件的運行會影響數(shù)控系統(tǒng)的實時性、兼容性，直接導致數(shù)控系統(tǒng)無法正常運行。

（3）數(shù)控機床傳輸內(nèi)容無法有效控制和審計

數(shù)控機床自身不具備身份鑒別、訪問控制等功能，而且無法安裝信息安全產(chǎn)品，所以對自身數(shù)據(jù)的輸入輸出無法進行有效的管理?，F(xiàn)在DNC網(wǎng)絡缺乏對NC文件數(shù)據(jù)流轉(zhuǎn)的控制手段，下發(fā)至各數(shù)控機床的NC文件無法辨別是否合規(guī)。

（4）數(shù)控機床組成的DNC網(wǎng)絡互連風險

數(shù)據(jù)機床引入了DNC網(wǎng)絡，用于程序傳輸與管理，在大大提高工作效率的同時，也給各個數(shù)控機床帶來了安全風險。例如一臺數(shù)控機床感染病毒、木馬，由于其他數(shù)控機床均接入到DNC網(wǎng)絡，病毒、木馬極有可能快速擴散到所有數(shù)控機床，造成設備損壞生產(chǎn)無法正常進行，而且產(chǎn)生高昂的維修成本和人力成本。

三、常規(guī)“工業(yè)母機”防護措施分析

（1）基于DNC網(wǎng)絡的邊界防護

一些數(shù)控機床或DNC網(wǎng)絡，采用工業(yè)防火墻實現(xiàn)邏輯隔離，建立白名單策略，實現(xiàn)基于黑/白名單的訪問控制，從而為數(shù)控網(wǎng)絡提供基于IP及端口的阻斷能力。

優(yōu)劣分析：此解決方案優(yōu)勢在于快速部署；但劣勢明顯主要在于工業(yè)防火墻安全措施除了檢測工業(yè)協(xié)議外就是通過“五元組”實現(xiàn)安全控制，但DNC網(wǎng)絡非標準工控協(xié)議，同時“五元組”訪問控制屬性無法解決DNC文件的安全過濾能力。

（2）基于數(shù)控主機安全防護軟件

通過安裝工業(yè)主機防護軟件，如白名單軟件對數(shù)控主機進行策略防護，包括操作系統(tǒng)加固、病毒防護、惡意行為監(jiān)測等，以增強數(shù)控主機的安全性。 

優(yōu)劣分析：此解決方案優(yōu)勢在于輕量化部署；但劣勢同樣明顯，工業(yè)主機防護軟件除了加固操作系統(tǒng)外，依然無法解決DNC文件的安全過濾能力和機床端的防護，且無法防止惡意用戶以生產(chǎn)線為目標竊取知識產(chǎn)權 （以生產(chǎn)代碼的形式） 或破壞生產(chǎn)的攻擊。

（3）基于DNC網(wǎng)絡工業(yè)審計監(jiān)測

部分DNC網(wǎng)絡部署工業(yè)安全審計系統(tǒng)，進行安全監(jiān)測和審計，用于及時發(fā)現(xiàn)異常資產(chǎn)及網(wǎng)絡安全威脅。

優(yōu)劣分析：此解決方案的優(yōu)勢在于工業(yè)安全審計系統(tǒng)可以旁路部署，能夠識別和發(fā)現(xiàn)一定異常資產(chǎn)、監(jiān)測部分網(wǎng)絡攻擊的異常行為。但劣勢是依舊未解決數(shù)控機床防護的核心目的，無法對DNC文件類型、格式、協(xié)議進行過濾。

四、安盟信息“工業(yè)母機”硬核防護技術

數(shù)控機床要做到真正安全防護的目標，需要使用非常規(guī)的安全機制，除資源訪問控制和管理外，還要解決入侵控制（遠程代碼執(zhí)行）、損壞（篡改工具測量值）、拒絕服務 （DoS，包括勒索）、劫持（參數(shù)劫持）和知識產(chǎn)權盜竊等五類攻擊。

一些較為先進的數(shù)控終端還開放了SSH、HTTP、時鐘同步等服務，這些都有可能成為攻擊者的攻擊目標；部分數(shù)控終端所采用的系統(tǒng)版本較為老舊，極有可能存在遠程代碼執(zhí)行漏洞或拒絕服務漏洞，從而使攻擊者完全控制數(shù)控終端或使其宕機，在這種情況下，輕則嚴重影響工廠生產(chǎn)，重則對終端造成不可恢復的破壞。 

針對工控網(wǎng)絡中數(shù)控終端系統(tǒng)與外界信息交互越來越緊密，網(wǎng)絡威脅越多，另外一些關鍵文件（NC文件）通過數(shù)控機床USB接口、串口傳輸?shù)綌?shù)控終端系統(tǒng)，存在安全隱患。安盟信息推出了“機甲衛(wèi)士系統(tǒng)”（簡稱“機甲衛(wèi)士”），通過對網(wǎng)口、串口及USB口的多重安全防護，從內(nèi)到外防止此類威脅對數(shù)控終端系統(tǒng)的侵犯，保護數(shù)控終端系統(tǒng)正常運行。以下是安盟信息公司機甲衛(wèi)士在“工業(yè)母機”防護中的硬核防護技術。

（1）數(shù)控機床端口全方位防護

可對數(shù)控機床，如生產(chǎn)加工設備網(wǎng)口、串口、USB端口進行全方位的安全防護，端口支持禁用、透傳及過濾三種模式，過濾模式下對所有經(jīng)過端口數(shù)據(jù)按策略規(guī)則進行篩查防護，被攔截數(shù)據(jù)可進行丟棄、修改（將數(shù)據(jù)包中不合法內(nèi)容屏蔽）兩種處理方式，同時將告警日志上傳到集中管理平臺。

（2）DNC協(xié)議安全過濾

自動識別DNC數(shù)控文件傳輸過程，對文件傳輸協(xié)議進行深度解析，可根據(jù)策略規(guī)則對傳輸文件的類型、 大小、關鍵字等內(nèi)外部特征進行篩查，攔截不符合策略規(guī)則的文件傳輸并報警。

縱觀國內(nèi)外針對數(shù)控機床的安全事件，DNC網(wǎng)絡及數(shù)控主機作成為攻擊的首要目標，將然后把數(shù)控主機作為跳板機，再對控制設備、機床設備、工藝系統(tǒng)等進行攻擊。分析其原因主要有兩點：一是，攻擊數(shù)控主機技術上比直接攻擊控制設備更加容易；二是，數(shù)控主機的安全問題更多，更容易被利用。

因此，安盟華御機甲衛(wèi)士能夠保證機床流量控制的通信控制過程，加強通訊ASCII控制命令，包含：

DC1(11H)啟動數(shù)據(jù)傳送；

DC2(12H)傳送參數(shù)；

DC3(93H)停止數(shù)據(jù)傳送；

DC4(14H)參數(shù)傳送完了。

（3）數(shù)控程序文件過濾

安盟華御機甲衛(wèi)士提供規(guī)則過濾功能，可對規(guī)則中所有類型的文件進行阻斷或放行。如：“.NC” 可對所有不同品牌的機床類型的文件進行阻斷或放行，從根源上防止一切不正當文件的運行，如SIEMENS系統(tǒng)加工程序的后綴為*.mpf\*.spf，其中格式保護包含

%_N_VF1112_MPF ;

$PATH = /_N_MPF_DIR ；

N10 T1D1M03S100 ；

N30 G0X489.71Z60 ；

N40 M01；

N50 G0X210 N60 Z14；

N70 G1Z11.585F0.3 ；

N80 M30工。

（4）工業(yè)協(xié)議支持

安盟華御機甲衛(wèi)士支持OPC、Modbus、DNP3、IEC104、IEC61850、MMS、S7等工控協(xié)議。

因此，為了防止黑客惡意控制數(shù)控控制器，如改變刀具幾何形狀，從而導致所生產(chǎn)的零件出現(xiàn)微缺陷。安盟華御機甲衛(wèi)士對MODBUS應用進行配置時，進行深度解析控制的配置，支持對功能碼、地址、數(shù)據(jù)類型、解析方式、值域進行控制，如下圖所示。

（5）網(wǎng)絡數(shù)據(jù)防護

安盟華御機甲衛(wèi)士支持對工控協(xié)議數(shù)據(jù)包進行過濾篩查，對工控數(shù)據(jù)完整性、功能碼、地址范圍和工藝參數(shù)范圍進行深度解析，支持對工控非法指令、數(shù)據(jù)篡改等攻擊的防護，保障工控系統(tǒng)可靠運行。

（6）USB接口防護

安盟華御機甲衛(wèi)士可實現(xiàn)機甲衛(wèi)士與數(shù)控機床USB對接，如武漢重工機床、濟南第二機床廠及無錫華聯(lián)等機床廠商通過USB下發(fā)機床文件，因此，安盟華御機甲衛(wèi)士對U口相關NC文件進行防護，既實現(xiàn)對網(wǎng)絡層側(cè)威脅攻擊安全防護，又可屏蔽內(nèi)部側(cè)的惡意泄露數(shù)據(jù)和病毒傳播風險。同時，讓USB口和受控主機不直連，杜絕了USB炸彈以及USB端口損壞的風險。 

具有USB接口設備的端口狀態(tài)顯示、權限設置、文件管控、黑白名單策略、病毒查殺等功能。文件管控主要對已連接存儲類USB外設上的文件進行殺毒、手動傳輸、規(guī)則匹配、關鍵字過濾等管控，可以按照目錄層級查看文件，顯示每個文件的詳細信息及病毒查殺信息，將查殺出的威脅文件放置緩存區(qū)，便于追溯和管理，可以根據(jù)實際業(yè)務對威脅文件進行刪除。

進行查殺配置后，對已授權的USB設備進行全盤查殺，查殺結(jié)束后會展示查殺列表，如下圖所示。

（7）USB串口防護

當前，部分機床存在通過串口下發(fā)機床文件，如濟南第二機床廠部分機床型號、高鋒部分機床型號等使用串口，安盟華御機甲衛(wèi)士可對RS232串口數(shù)據(jù)進行防護，根據(jù)數(shù)據(jù)包地址信息、指令類型及數(shù)據(jù)內(nèi)容進行篩查過濾，可自行選擇端口傳輸數(shù)據(jù)的啟用或停用，保證在數(shù)據(jù)傳輸過程中的可靠性。

（8）數(shù)控機床集中管理

狀態(tài)監(jiān)測分為安盟華御機甲衛(wèi)士狀態(tài)監(jiān)測和工控設備狀態(tài)監(jiān)測兩部分。安盟華御機甲衛(wèi)士狀態(tài)監(jiān)測可對其運行狀態(tài)實時監(jiān)測，確保不間斷運行、異常斷線時自動報警。工控設備狀態(tài)監(jiān)測是通過安盟華御機甲衛(wèi)士將與其連接的工控設備的各個端口在線狀態(tài)及數(shù)據(jù)防護狀態(tài)上傳至安盟華御機甲衛(wèi)士集中管理平臺，發(fā)現(xiàn)異常時自動產(chǎn)生報警信息，達到集中管理平臺對全網(wǎng)設備的全局監(jiān)控。

五、“工業(yè)母機”一體化防護展望

若說制造業(yè)是國家命脈，那“工業(yè)母機”則是制造業(yè)的心臟（幾乎可以覆蓋制造業(yè)的全部領域），在政策的鼓勵下，國內(nèi)機床產(chǎn)業(yè)快速崛起，2012-2021年，裝備工業(yè)增加值年均增長8.2%，始終保持中高速，至2021年底，裝備工業(yè)規(guī)模以上企業(yè)達10.51萬家，比2012年增長近45.30%；資產(chǎn)總額、營業(yè)收入、利潤總額分別達到28.83萬億元、26.47萬億元和1.57萬億元，比2012年分別增長92.97%、47.76%、28.84%。在國家支撐數(shù)控機床行業(yè)頂層設計下，我國數(shù)控機床行業(yè)已形成完整的產(chǎn)業(yè)體系，整體處于世界第二梯隊，數(shù)控機床行業(yè)正在高質(zhì)量發(fā)展！

安盟信息形成融合密碼技術、邊界安全、工控安全為體系的工控安全防護能力，賦能工業(yè)互聯(lián)網(wǎng)安全，打造硬核自主核心技術，為數(shù)字化中國、制造強國構建一個可信、可控、可管的安全動態(tài)防御體系，保障“工業(yè)母機”生產(chǎn)網(wǎng)絡安全穩(wěn)定運行！