摘要：數(shù)控機(jī)床作為智能制造的“工作母機(jī)”，是工業(yè)領(lǐng)域生產(chǎn)加工的關(guān)鍵設(shè)備，其重要性不言而喻。隨著智能制造的快速發(fā)展，智能機(jī)床、數(shù)控機(jī)床聯(lián)網(wǎng)運(yùn)行已成為趨勢(shì)，如何保障機(jī)床聯(lián)網(wǎng)運(yùn)行的網(wǎng)絡(luò)與數(shù)據(jù)安全就顯得尤為重要，本文從“工業(yè)母機(jī)”的基礎(chǔ)環(huán)境風(fēng)險(xiǎn)、聯(lián)網(wǎng)安全風(fēng)險(xiǎn)以及當(dāng)前常規(guī)防護(hù)方案進(jìn)行介紹，并針對(duì)當(dāng)前解決方案不足問(wèn)題進(jìn)行說(shuō)明，最后提出安盟信息在機(jī)床防護(hù)的“硬核技術(shù)”，為“工業(yè)母機(jī)”網(wǎng)絡(luò)與數(shù)據(jù)安全提供有力保障，助力中國(guó)實(shí)體經(jīng)濟(jì)高質(zhì)量發(fā)展！

關(guān)鍵詞：數(shù)控機(jī)床 智能智造 機(jī)甲衛(wèi)士 工控安全 DNC防護(hù) 全接口管理

一、引言

“工業(yè)母機(jī)”承擔(dān)著工業(yè)現(xiàn)代化的重要使命，是智能制造領(lǐng)域的關(guān)鍵設(shè)備，同時(shí)也是制造強(qiáng)國(guó)目標(biāo)的基礎(chǔ)。智能機(jī)床、數(shù)控機(jī)床廣泛應(yīng)用于十大軍工、汽車(chē)制造、3C制造等領(lǐng)域，它對(duì)國(guó)計(jì)民生的一些重要行業(yè)的發(fā)展起著越來(lái)越重要的作用。隨著兩化融合等政策的大力推動(dòng)和發(fā)展，越來(lái)越多的信息技術(shù)應(yīng)用到工業(yè)制造領(lǐng)域，生產(chǎn)模式發(fā)生改變，數(shù)控機(jī)床和系統(tǒng)間網(wǎng)絡(luò)互聯(lián)互通的趨勢(shì)越來(lái)越明顯。我國(guó)數(shù)控加工行業(yè)也開(kāi)始大力推進(jìn)數(shù)控機(jī)床的網(wǎng)絡(luò)化，加快數(shù)控網(wǎng)絡(luò)與企業(yè)辦公網(wǎng)和互聯(lián)網(wǎng)的互聯(lián)互通。

數(shù)控系統(tǒng)使用的是廠(chǎng)商定制的專(zhuān)用系統(tǒng)，在設(shè)計(jì)時(shí)沒(méi)有考慮信息安全問(wèn)題。系統(tǒng)中運(yùn)行的控制軟件、通信協(xié)議和管理系統(tǒng)在設(shè)計(jì)時(shí)就存在著漏洞和后門(mén)，利用數(shù)控系統(tǒng)的安全漏洞能夠直接完成對(duì)系統(tǒng)進(jìn)行控制，并且能夠獲得系統(tǒng)的最大控制權(quán)限。尤其是數(shù)控系統(tǒng)接入企業(yè)管理網(wǎng)和互聯(lián)網(wǎng)后，面臨的信息安全風(fēng)險(xiǎn)更是急劇增加，亟須建立一套數(shù)控機(jī)床安全防護(hù)方案體系。

二、“工業(yè)母機(jī)”網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

隨著物聯(lián)網(wǎng)、移動(dòng)互聯(lián)、大數(shù)據(jù)、5G等新一代信息技術(shù)的融合發(fā)展，數(shù)控機(jī)床逐漸與辦公網(wǎng)、互聯(lián)網(wǎng)以及第三方網(wǎng)絡(luò)進(jìn)行互聯(lián)互通，使得原本封閉可信的工業(yè)生產(chǎn)環(huán)境被打破，從而面臨著病毒、木馬、黑客、敵對(duì)勢(shì)力等威脅。尤其近幾年，勒索病毒對(duì)工業(yè)生產(chǎn)企業(yè)的攻擊更加頻繁，如2018年臺(tái)積電Wannacry勒索事件，以及2021年5月美國(guó)最大成品油管道運(yùn)營(yíng)商科洛尼爾公司遭受勒索攻擊，這些安全事件表明工業(yè)控制系統(tǒng)自身存在安全問(wèn)題，使得黑客、敵對(duì)勢(shì)力等威脅利用這些問(wèn)題對(duì)工業(yè)生產(chǎn)環(huán)境進(jìn)行攻擊。針對(duì)“工業(yè)母機(jī)”相關(guān)風(fēng)險(xiǎn)總結(jié)如下。

（1）數(shù)控機(jī)床自身存在大量的安全漏洞

高精尖數(shù)控機(jī)床多以國(guó)外品牌為主，使用的是廠(chǎng)商定制的專(zhuān)用系統(tǒng)，在設(shè)計(jì)時(shí)沒(méi)有考慮安全問(wèn)題。數(shù)控機(jī)床自身服務(wù)和通信協(xié)議和在設(shè)計(jì)時(shí)就存在著漏洞和后門(mén)，存在數(shù)控機(jī)床感染病毒或自帶某后門(mén)程序直接通過(guò)DNC控制網(wǎng)進(jìn)行關(guān)鍵數(shù)據(jù)外泄的風(fēng)險(xiǎn)。

（2）數(shù)控機(jī)床、數(shù)控系統(tǒng)無(wú)法安裝常規(guī)信息安全防護(hù)產(chǎn)品

現(xiàn)有安全保密防護(hù)產(chǎn)品運(yùn)行在通用操作系統(tǒng)的之上，無(wú)法在數(shù)控系統(tǒng)、數(shù)控機(jī)床上安裝，即便是可以安裝，這些安全軟件的運(yùn)行會(huì)影響數(shù)控系統(tǒng)的實(shí)時(shí)性、兼容性，直接導(dǎo)致數(shù)控系統(tǒng)無(wú)法正常運(yùn)行。

（3）數(shù)控機(jī)床傳輸內(nèi)容無(wú)法有效控制和審計(jì)

數(shù)控機(jī)床自身不具備身份鑒別、訪(fǎng)問(wèn)控制等功能，而且無(wú)法安裝信息安全產(chǎn)品，所以對(duì)自身數(shù)據(jù)的輸入輸出無(wú)法進(jìn)行有效的管理。現(xiàn)在DNC網(wǎng)絡(luò)缺乏對(duì)NC文件數(shù)據(jù)流轉(zhuǎn)的控制手段，下發(fā)至各數(shù)控機(jī)床的NC文件無(wú)法辨別是否合規(guī)。

（4）數(shù)控機(jī)床組成的DNC網(wǎng)絡(luò)互連風(fēng)險(xiǎn)

數(shù)據(jù)機(jī)床引入了DNC網(wǎng)絡(luò)，用于程序傳輸與管理，在大大提高工作效率的同時(shí)，也給各個(gè)數(shù)控機(jī)床帶來(lái)了安全風(fēng)險(xiǎn)。例如一臺(tái)數(shù)控機(jī)床感染病毒、木馬，由于其他數(shù)控機(jī)床均接入到DNC網(wǎng)絡(luò)，病毒、木馬極有可能快速擴(kuò)散到所有數(shù)控機(jī)床，造成設(shè)備損壞生產(chǎn)無(wú)法正常進(jìn)行，而且產(chǎn)生高昂的維修成本和人力成本。

三、常規(guī)“工業(yè)母機(jī)”防護(hù)措施分析

（1）基于DNC網(wǎng)絡(luò)的邊界防護(hù)

一些數(shù)控機(jī)床或DNC網(wǎng)絡(luò)，采用工業(yè)防火墻實(shí)現(xiàn)邏輯隔離，建立白名單策略，實(shí)現(xiàn)基于黑/白名單的訪(fǎng)問(wèn)控制，從而為數(shù)控網(wǎng)絡(luò)提供基于IP及端口的阻斷能力。

優(yōu)劣分析：此解決方案優(yōu)勢(shì)在于快速部署；但劣勢(shì)明顯主要在于工業(yè)防火墻安全措施除了檢測(cè)工業(yè)協(xié)議外就是通過(guò)“五元組”實(shí)現(xiàn)安全控制，但DNC網(wǎng)絡(luò)非標(biāo)準(zhǔn)工控協(xié)議，同時(shí)“五元組”訪(fǎng)問(wèn)控制屬性無(wú)法解決DNC文件的安全過(guò)濾能力。

（2）基于數(shù)控主機(jī)安全防護(hù)軟件

通過(guò)安裝工業(yè)主機(jī)防護(hù)軟件，如白名單軟件對(duì)數(shù)控主機(jī)進(jìn)行策略防護(hù)，包括操作系統(tǒng)加固、病毒防護(hù)、惡意行為監(jiān)測(cè)等，以增強(qiáng)數(shù)控主機(jī)的安全性。 

優(yōu)劣分析：此解決方案優(yōu)勢(shì)在于輕量化部署；但劣勢(shì)同樣明顯，工業(yè)主機(jī)防護(hù)軟件除了加固操作系統(tǒng)外，依然無(wú)法解決DNC文件的安全過(guò)濾能力和機(jī)床端的防護(hù)，且無(wú)法防止惡意用戶(hù)以生產(chǎn)線(xiàn)為目標(biāo)竊取知識(shí)產(chǎn)權(quán) （以生產(chǎn)代碼的形式） 或破壞生產(chǎn)的攻擊。

（3）基于DNC網(wǎng)絡(luò)工業(yè)審計(jì)監(jiān)測(cè)

部分DNC網(wǎng)絡(luò)部署工業(yè)安全審計(jì)系統(tǒng)，進(jìn)行安全監(jiān)測(cè)和審計(jì)，用于及時(shí)發(fā)現(xiàn)異常資產(chǎn)及網(wǎng)絡(luò)安全威脅。

優(yōu)劣分析：此解決方案的優(yōu)勢(shì)在于工業(yè)安全審計(jì)系統(tǒng)可以旁路部署，能夠識(shí)別和發(fā)現(xiàn)一定異常資產(chǎn)、監(jiān)測(cè)部分網(wǎng)絡(luò)攻擊的異常行為。但劣勢(shì)是依舊未解決數(shù)控機(jī)床防護(hù)的核心目的，無(wú)法對(duì)DNC文件類(lèi)型、格式、協(xié)議進(jìn)行過(guò)濾。

四、安盟信息“工業(yè)母機(jī)”硬核防護(hù)技術(shù)

數(shù)控機(jī)床要做到真正安全防護(hù)的目標(biāo)，需要使用非常規(guī)的安全機(jī)制，除資源訪(fǎng)問(wèn)控制和管理外，還要解決入侵控制（遠(yuǎn)程代碼執(zhí)行）、損壞（篡改工具測(cè)量值）、拒絕服務(wù) （DoS，包括勒索）、劫持（參數(shù)劫持）和知識(shí)產(chǎn)權(quán)盜竊等五類(lèi)攻擊。

一些較為先進(jìn)的數(shù)控終端還開(kāi)放了SSH、HTTP、時(shí)鐘同步等服務(wù)，這些都有可能成為攻擊者的攻擊目標(biāo)；部分?jǐn)?shù)控終端所采用的系統(tǒng)版本較為老舊，極有可能存在遠(yuǎn)程代碼執(zhí)行漏洞或拒絕服務(wù)漏洞，從而使攻擊者完全控制數(shù)控終端或使其宕機(jī)，在這種情況下，輕則嚴(yán)重影響工廠(chǎng)生產(chǎn)，重則對(duì)終端造成不可恢復(fù)的破壞。 

針對(duì)工控網(wǎng)絡(luò)中數(shù)控終端系統(tǒng)與外界信息交互越來(lái)越緊密，網(wǎng)絡(luò)威脅越多，另外一些關(guān)鍵文件（NC文件）通過(guò)數(shù)控機(jī)床USB接口、串口傳輸?shù)綌?shù)控終端系統(tǒng)，存在安全隱患。安盟信息推出了“機(jī)甲衛(wèi)士系統(tǒng)”（簡(jiǎn)稱(chēng)“機(jī)甲衛(wèi)士”），通過(guò)對(duì)網(wǎng)口、串口及USB口的多重安全防護(hù)，從內(nèi)到外防止此類(lèi)威脅對(duì)數(shù)控終端系統(tǒng)的侵犯，保護(hù)數(shù)控終端系統(tǒng)正常運(yùn)行。以下是安盟信息公司機(jī)甲衛(wèi)士在“工業(yè)母機(jī)”防護(hù)中的硬核防護(hù)技術(shù)。

（1）數(shù)控機(jī)床端口全方位防護(hù)

可對(duì)數(shù)控機(jī)床，如生產(chǎn)加工設(shè)備網(wǎng)口、串口、USB端口進(jìn)行全方位的安全防護(hù)，端口支持禁用、透?jìng)骷斑^(guò)濾三種模式，過(guò)濾模式下對(duì)所有經(jīng)過(guò)端口數(shù)據(jù)按策略規(guī)則進(jìn)行篩查防護(hù)，被攔截?cái)?shù)據(jù)可進(jìn)行丟棄、修改（將數(shù)據(jù)包中不合法內(nèi)容屏蔽）兩種處理方式，同時(shí)將告警日志上傳到集中管理平臺(tái)。

（2）DNC協(xié)議安全過(guò)濾

自動(dòng)識(shí)別DNC數(shù)控文件傳輸過(guò)程，對(duì)文件傳輸協(xié)議進(jìn)行深度解析，可根據(jù)策略規(guī)則對(duì)傳輸文件的類(lèi)型、 大小、關(guān)鍵字等內(nèi)外部特征進(jìn)行篩查，攔截不符合策略規(guī)則的文件傳輸并報(bào)警。

縱觀(guān)國(guó)內(nèi)外針對(duì)數(shù)控機(jī)床的安全事件，DNC網(wǎng)絡(luò)及數(shù)控主機(jī)作成為攻擊的首要目標(biāo)，將然后把數(shù)控主機(jī)作為跳板機(jī)，再對(duì)控制設(shè)備、機(jī)床設(shè)備、工藝系統(tǒng)等進(jìn)行攻擊。分析其原因主要有兩點(diǎn)：一是，攻擊數(shù)控主機(jī)技術(shù)上比直接攻擊控制設(shè)備更加容易；二是，數(shù)控主機(jī)的安全問(wèn)題更多，更容易被利用。

因此，安盟華御機(jī)甲衛(wèi)士能夠保證機(jī)床流量控制的通信控制過(guò)程，加強(qiáng)通訊ASCII控制命令，包含：

DC1(11H)啟動(dòng)數(shù)據(jù)傳送；

DC2(12H)傳送參數(shù)；

DC3(93H)停止數(shù)據(jù)傳送；

DC4(14H)參數(shù)傳送完了。

（3）數(shù)控程序文件過(guò)濾

安盟華御機(jī)甲衛(wèi)士提供規(guī)則過(guò)濾功能，可對(duì)規(guī)則中所有類(lèi)型的文件進(jìn)行阻斷或放行。如：“.NC” 可對(duì)所有不同品牌的機(jī)床類(lèi)型的文件進(jìn)行阻斷或放行，從根源上防止一切不正當(dāng)文件的運(yùn)行，如SIEMENS系統(tǒng)加工程序的后綴為*.mpf\*.spf，其中格式保護(hù)包含

%_N_VF1112_MPF ;

$PATH = /_N_MPF_DIR ；

N10 T1D1M03S100 ；

N30 G0X489.71Z60 ；

N40 M01；

N50 G0X210 N60 Z14；

N70 G1Z11.585F0.3 ；

N80 M30工。

（4）工業(yè)協(xié)議支持

安盟華御機(jī)甲衛(wèi)士支持OPC、Modbus、DNP3、IEC104、IEC61850、MMS、S7等工控協(xié)議。

因此，為了防止黑客惡意控制數(shù)控控制器，如改變刀具幾何形狀，從而導(dǎo)致所生產(chǎn)的零件出現(xiàn)微缺陷。安盟華御機(jī)甲衛(wèi)士對(duì)MODBUS應(yīng)用進(jìn)行配置時(shí)，進(jìn)行深度解析控制的配置，支持對(duì)功能碼、地址、數(shù)據(jù)類(lèi)型、解析方式、值域進(jìn)行控制，如下圖所示。

（5）網(wǎng)絡(luò)數(shù)據(jù)防護(hù)

安盟華御機(jī)甲衛(wèi)士支持對(duì)工控協(xié)議數(shù)據(jù)包進(jìn)行過(guò)濾篩查，對(duì)工控?cái)?shù)據(jù)完整性、功能碼、地址范圍和工藝參數(shù)范圍進(jìn)行深度解析，支持對(duì)工控非法指令、數(shù)據(jù)篡改等攻擊的防護(hù)，保障工控系統(tǒng)可靠運(yùn)行。

（6）USB接口防護(hù)

安盟華御機(jī)甲衛(wèi)士可實(shí)現(xiàn)機(jī)甲衛(wèi)士與數(shù)控機(jī)床USB對(duì)接，如武漢重工機(jī)床、濟(jì)南第二機(jī)床廠(chǎng)及無(wú)錫華聯(lián)等機(jī)床廠(chǎng)商通過(guò)USB下發(fā)機(jī)床文件，因此，安盟華御機(jī)甲衛(wèi)士對(duì)U口相關(guān)NC文件進(jìn)行防護(hù)，既實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層側(cè)威脅攻擊安全防護(hù)，又可屏蔽內(nèi)部側(cè)的惡意泄露數(shù)據(jù)和病毒傳播風(fēng)險(xiǎn)。同時(shí)，讓USB口和受控主機(jī)不直連，杜絕了USB炸彈以及USB端口損壞的風(fēng)險(xiǎn)。 

具有USB接口設(shè)備的端口狀態(tài)顯示、權(quán)限設(shè)置、文件管控、黑白名單策略、病毒查殺等功能。文件管控主要對(duì)已連接存儲(chǔ)類(lèi)USB外設(shè)上的文件進(jìn)行殺毒、手動(dòng)傳輸、規(guī)則匹配、關(guān)鍵字過(guò)濾等管控，可以按照目錄層級(jí)查看文件，顯示每個(gè)文件的詳細(xì)信息及病毒查殺信息，將查殺出的威脅文件放置緩存區(qū)，便于追溯和管理，可以根據(jù)實(shí)際業(yè)務(wù)對(duì)威脅文件進(jìn)行刪除。

進(jìn)行查殺配置后，對(duì)已授權(quán)的USB設(shè)備進(jìn)行全盤(pán)查殺，查殺結(jié)束后會(huì)展示查殺列表，如下圖所示。

（7）USB串口防護(hù)

當(dāng)前，部分機(jī)床存在通過(guò)串口下發(fā)機(jī)床文件，如濟(jì)南第二機(jī)床廠(chǎng)部分機(jī)床型號(hào)、高鋒部分機(jī)床型號(hào)等使用串口，安盟華御機(jī)甲衛(wèi)士可對(duì)RS232串口數(shù)據(jù)進(jìn)行防護(hù)，根據(jù)數(shù)據(jù)包地址信息、指令類(lèi)型及數(shù)據(jù)內(nèi)容進(jìn)行篩查過(guò)濾，可自行選擇端口傳輸數(shù)據(jù)的啟用或停用，保證在數(shù)據(jù)傳輸過(guò)程中的可靠性。

（8）數(shù)控機(jī)床集中管理

狀態(tài)監(jiān)測(cè)分為安盟華御機(jī)甲衛(wèi)士狀態(tài)監(jiān)測(cè)和工控設(shè)備狀態(tài)監(jiān)測(cè)兩部分。安盟華御機(jī)甲衛(wèi)士狀態(tài)監(jiān)測(cè)可對(duì)其運(yùn)行狀態(tài)實(shí)時(shí)監(jiān)測(cè)，確保不間斷運(yùn)行、異常斷線(xiàn)時(shí)自動(dòng)報(bào)警。工控設(shè)備狀態(tài)監(jiān)測(cè)是通過(guò)安盟華御機(jī)甲衛(wèi)士將與其連接的工控設(shè)備的各個(gè)端口在線(xiàn)狀態(tài)及數(shù)據(jù)防護(hù)狀態(tài)上傳至安盟華御機(jī)甲衛(wèi)士集中管理平臺(tái)，發(fā)現(xiàn)異常時(shí)自動(dòng)產(chǎn)生報(bào)警信息，達(dá)到集中管理平臺(tái)對(duì)全網(wǎng)設(shè)備的全局監(jiān)控。

五、“工業(yè)母機(jī)”一體化防護(hù)展望

若說(shuō)制造業(yè)是國(guó)家命脈，那“工業(yè)母機(jī)”則是制造業(yè)的心臟（幾乎可以覆蓋制造業(yè)的全部領(lǐng)域），在政策的鼓勵(lì)下，國(guó)內(nèi)機(jī)床產(chǎn)業(yè)快速崛起，2012-2021年，裝備工業(yè)增加值年均增長(zhǎng)8.2%，始終保持中高速，至2021年底，裝備工業(yè)規(guī)模以上企業(yè)達(dá)10.51萬(wàn)家，比2012年增長(zhǎng)近45.30%；資產(chǎn)總額、營(yíng)業(yè)收入、利潤(rùn)總額分別達(dá)到28.83萬(wàn)億元、26.47萬(wàn)億元和1.57萬(wàn)億元，比2012年分別增長(zhǎng)92.97%、47.76%、28.84%。在國(guó)家支撐數(shù)控機(jī)床行業(yè)頂層設(shè)計(jì)下，我國(guó)數(shù)控機(jī)床行業(yè)已形成完整的產(chǎn)業(yè)體系，整體處于世界第二梯隊(duì)，數(shù)控機(jī)床行業(yè)正在高質(zhì)量發(fā)展！

安盟信息形成融合密碼技術(shù)、邊界安全、工控安全為體系的工控安全防護(hù)能力，賦能工業(yè)互聯(lián)網(wǎng)安全，打造硬核自主核心技術(shù)，為數(shù)字化中國(guó)、制造強(qiáng)國(guó)構(gòu)建一個(gè)可信、可控、可管的安全動(dòng)態(tài)防御體系，保障“工業(yè)母機(jī)”生產(chǎn)網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行！