信通院聯(lián)合發(fā)布《數(shù)控機(jī)床網(wǎng)絡(luò)安全研究報(bào)告（2023年）》

（CWW）數(shù)控機(jī)床作為制造業(yè)的“工作母機(jī)”，是工業(yè)領(lǐng)域生產(chǎn)加工的關(guān)鍵設(shè)備，數(shù)控機(jī)床本身的安全性以及在應(yīng)用過程中的網(wǎng)絡(luò)安全防護(hù)能力直接影響工業(yè)生產(chǎn)和業(yè)務(wù)。隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，數(shù)控機(jī)床打破原有的封閉性，實(shí)現(xiàn)互聯(lián)互通已成為企業(yè)發(fā)展的必然要求，數(shù)控機(jī)床聯(lián)網(wǎng)運(yùn)行已成為趨勢(shì)，如何保證數(shù)控機(jī)床聯(lián)網(wǎng)運(yùn)行的網(wǎng)絡(luò)與數(shù)據(jù)安全逐漸成為制約工業(yè)互聯(lián)網(wǎng)發(fā)展的關(guān)鍵問題之一。

對(duì)于海量、多種類的數(shù)控機(jī)床，傳統(tǒng)單一的安全防護(hù)技術(shù)手段無法解決數(shù)控機(jī)床網(wǎng)絡(luò)安全問題，需要從安全基線、主機(jī)安全、網(wǎng)絡(luò)邊界等各個(gè)層次提升數(shù)控機(jī)床的安全防護(hù)能力。近期，中國(guó)信息通信研究院（簡(jiǎn)稱“中國(guó)信通院”）依托工業(yè)互聯(lián)網(wǎng)安全技術(shù)試驗(yàn)與測(cè)評(píng)工業(yè)和信息化部重點(diǎn)實(shí)驗(yàn)室聯(lián)合北京神州綠盟科技有限公司編寫了《數(shù)控機(jī)床網(wǎng)絡(luò)安全研究報(bào)告（2023年）》，現(xiàn)正式發(fā)布。

報(bào)告以工業(yè)互聯(lián)網(wǎng)背景下數(shù)控機(jī)床的發(fā)展為基礎(chǔ)，從數(shù)控機(jī)床國(guó)內(nèi)外政策、安全技術(shù)研究、技術(shù)標(biāo)準(zhǔn)規(guī)范等方面分析了數(shù)控機(jī)床的網(wǎng)絡(luò)安全現(xiàn)狀。報(bào)告詳細(xì)分析了數(shù)控機(jī)床存在的漏洞隱患、入侵攻擊等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及深層次原因，并給出安全防護(hù)實(shí)施方案建議。最后，報(bào)告從標(biāo)準(zhǔn)、技術(shù)研究、評(píng)估評(píng)測(cè)等方面提出數(shù)控機(jī)床網(wǎng)絡(luò)安全未來的工作方向。

(資料圖)

報(bào)告核心觀點(diǎn)

1. 國(guó)內(nèi)外針對(duì)數(shù)控機(jī)床等智能制造系統(tǒng)安全防護(hù)技術(shù)開展積極研究

美國(guó)國(guó)土安全部制定了專門的工業(yè)控制系統(tǒng)安全計(jì)劃，形成了由國(guó)家職能部門協(xié)調(diào)管理、國(guó)家級(jí)專業(yè)隊(duì)伍、實(shí)驗(yàn)室和科研機(jī)構(gòu)提供技術(shù)支撐、用戶及廠商共同參與的技術(shù)研究體系，并制定了國(guó)家SCADA測(cè)試床計(jì)劃，針對(duì)數(shù)控機(jī)床等開展網(wǎng)絡(luò)信息安全測(cè)評(píng)。日本大隈（Okuma）的OSP病毒防護(hù)系統(tǒng)在Okuma OSP-P控制系統(tǒng)中內(nèi)置了病毒掃描應(yīng)用接口來防止感染從網(wǎng)絡(luò)或USB設(shè)備傳播的病毒，在數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)中得到廣泛應(yīng)用。國(guó)內(nèi)高校提出一種數(shù)控加工網(wǎng)絡(luò)信息安全防護(hù)方案，部署數(shù)控加工網(wǎng)絡(luò)邊界隔離設(shè)備和數(shù)控系統(tǒng)終端防護(hù)設(shè)備，保障數(shù)控網(wǎng)絡(luò)安全。

2. 數(shù)控協(xié)議及傳輸鏈路存在安全風(fēng)險(xiǎn)，導(dǎo)致數(shù)據(jù)泄露

數(shù)控DNC網(wǎng)絡(luò)采用TCP/IP協(xié)議將原獨(dú)立運(yùn)行的數(shù)控機(jī)床組成數(shù)控機(jī)床網(wǎng)絡(luò)，數(shù)控機(jī)床通常采用工業(yè)Wi-Fi等無線通信方式。一方面，無線接入方式避免了有線接入物理環(huán)境限制和鋪設(shè)線路的成本，但在網(wǎng)絡(luò)安全層面上相較于有線網(wǎng)絡(luò)更具風(fēng)險(xiǎn)性，無線Wi-Fi易發(fā)生會(huì)話劫持?jǐn)?shù)據(jù)泄露的風(fēng)險(xiǎn)，利用對(duì)無線信號(hào)的監(jiān)聽竊取傳輸數(shù)據(jù)，通過偽造指令或者數(shù)據(jù)攔截進(jìn)行惡意攻擊。另一方面，多數(shù)數(shù)控機(jī)床控制系統(tǒng)使用明文方式傳輸和管理加工代碼，這樣容易導(dǎo)致未加密的加工代碼被非法獲取，并通過專用軟件對(duì)加工物品進(jìn)行還原，導(dǎo)致制造數(shù)據(jù)泄密。

3. 應(yīng)打造數(shù)控機(jī)床安全綜合防護(hù)體系，提升整體安全能力

針對(duì)數(shù)控機(jī)床所面臨未知網(wǎng)絡(luò)威脅的持續(xù)性、組合性、跨域性和定向性等特點(diǎn)，應(yīng)逐一應(yīng)對(duì)解決傳統(tǒng)被動(dòng)防護(hù)難以應(yīng)對(duì)利用邏輯缺陷的攻擊等問題。一方面，對(duì)數(shù)控機(jī)床開展安全關(guān)鍵技術(shù)的聯(lián)合攻關(guān)和創(chuàng)新，打造集事前預(yù)警、事中感知防御、事后審查等功能于一體的“數(shù)控機(jī)床安全增強(qiáng)防護(hù)設(shè)備”體系。實(shí)現(xiàn)防護(hù)思路由被動(dòng)“封堵查殺”到主動(dòng)免疫防御的轉(zhuǎn)變，建立云、邊、端的內(nèi)生安全防護(hù)架構(gòu)，確保設(shè)備、系統(tǒng)、網(wǎng)絡(luò)的可靠性、穩(wěn)定性，有效提升制造企業(yè)生產(chǎn)網(wǎng)絡(luò)的整體安全性。另一方面，建設(shè)覆蓋設(shè)備、主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)的數(shù)控機(jī)床綜合防護(hù)體系，建立事前身份認(rèn)證、加密，事中感知、防御，事后審計(jì)、追溯等多路徑閉環(huán)的安全防護(hù)體系，提升數(shù)控機(jī)床領(lǐng)域的整體安全能力。

4. 建議推動(dòng)數(shù)控機(jī)床相關(guān)安全產(chǎn)品應(yīng)用及市場(chǎng)發(fā)展

應(yīng)加快對(duì)數(shù)控機(jī)床核心關(guān)鍵技術(shù)攻關(guān)，推動(dòng)相關(guān)安全產(chǎn)品和服務(wù)的開發(fā)應(yīng)用。一方面，鼓勵(lì)國(guó)內(nèi)重點(diǎn)企業(yè)、科研機(jī)構(gòu)、高校等加強(qiáng)合作，推動(dòng)研制具備訪問控制、數(shù)據(jù)安全防護(hù)、病毒防護(hù)與分析、NC文件語(yǔ)義分析與審計(jì)、鏈路加密、智能預(yù)警等能力的數(shù)控機(jī)床安全增強(qiáng)防護(hù)設(shè)備。另一方面，圍繞數(shù)控機(jī)床安全產(chǎn)品的功能、性能及安全性等設(shè)計(jì)安全認(rèn)證級(jí)別，開展數(shù)控機(jī)床相關(guān)安全產(chǎn)品及服務(wù)分類分級(jí)管理，為不同部門、行業(yè)企業(yè)提供安全級(jí)別選擇，遴選達(dá)標(biāo)安全產(chǎn)品目錄清單，推動(dòng)數(shù)控機(jī)床安全產(chǎn)品市場(chǎng)發(fā)展。

關(guān)鍵詞：