2023年數(shù)控機(jī)床網(wǎng)絡(luò)安全研究報告

   報告以工業(yè)互聯(lián)網(wǎng)背景下數(shù)控機(jī)床的發(fā)展為基礎(chǔ)，從數(shù)控機(jī)床國內(nèi)外政策、安全技術(shù)研究、技術(shù)標(biāo)準(zhǔn)規(guī)范等方面分析了數(shù)控機(jī)床的網(wǎng)絡(luò)安全現(xiàn)狀。報告詳細(xì)分析了數(shù)控機(jī)床存在的漏洞隱患、入侵攻擊等網(wǎng)絡(luò)安全風(fēng)險及深層次原因，并給出安全防護(hù)實施方案建議。最后，報告從標(biāo)準(zhǔn)、技術(shù)研究、評估評測等方面提出數(shù)控機(jī)床網(wǎng)絡(luò)安全未來的工作方向。

報告核心觀點

1. 國內(nèi)外針對數(shù)控機(jī)床等智能制造系統(tǒng)安全防護(hù)技術(shù)開展積極研究

   美國國土安全部制定了專門的工業(yè)控制系統(tǒng)安全計劃，形成了由國家職能部門協(xié)調(diào)管理、國家級專業(yè)隊伍、實驗室和科研機(jī)構(gòu)提供技術(shù)支撐、用戶及廠商共同參與的技術(shù)研究體系，并制定了國家SCADA測試床計劃，針對數(shù)控機(jī)床等開展網(wǎng)絡(luò)信息安全測評。日本大隈（Okuma）的OSP病毒防護(hù)系統(tǒng)在Okuma OSP-P控制系統(tǒng)中內(nèi)置了病毒掃描應(yīng)用接口來防止感染從網(wǎng)絡(luò)或USB設(shè)備傳播的病毒，在數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)中得到廣泛應(yīng)用。國內(nèi)高校提出一種數(shù)控加工網(wǎng)絡(luò)信息安全防護(hù)方案，部署數(shù)控加工網(wǎng)絡(luò)邊界隔離設(shè)備和數(shù)控系統(tǒng)終端防護(hù)設(shè)備，保障數(shù)控網(wǎng)絡(luò)安全。

2. 數(shù)控協(xié)議及傳輸鏈路存在安全風(fēng)險，導(dǎo)致數(shù)據(jù)泄露

     數(shù)控DNC網(wǎng)絡(luò)采用TCP/IP協(xié)議將原獨立運行的數(shù)控機(jī)床組成數(shù)控機(jī)床網(wǎng)絡(luò)，數(shù)控機(jī)床通常采用工業(yè)Wi-Fi等無線通信方式。一方面，無線接入方式避免了有線接入物理環(huán)境限制和鋪設(shè)線路的成本，但在網(wǎng)絡(luò)安全層面上相較于有線網(wǎng)絡(luò)更具風(fēng)險性，無線Wi-Fi易發(fā)生會話劫持?jǐn)?shù)據(jù)泄露的風(fēng)險，利用對無線信號的監(jiān)聽竊取傳輸數(shù)據(jù)，通過偽造指令或者數(shù)據(jù)攔截進(jìn)行惡意攻擊。另一方面，多數(shù)數(shù)控機(jī)床控制系統(tǒng)使用明文方式傳輸和管理加工代碼，這樣容易導(dǎo)致未加密的加工代碼被非法獲取，并通過專用軟件對加工物品進(jìn)行還原，導(dǎo)致制造數(shù)據(jù)泄密。

3. 應(yīng)打造數(shù)控機(jī)床安全綜合防護(hù)體系，提升整體安全能力

      針對數(shù)控機(jī)床所面臨未知網(wǎng)絡(luò)威脅的持續(xù)性、組合性、跨域性和定向性等特點，應(yīng)逐一應(yīng)對解決傳統(tǒng)被動防護(hù)難以應(yīng)對利用邏輯缺陷的攻擊等問題。一方面，對數(shù)控機(jī)床開展安全關(guān)鍵技術(shù)的聯(lián)合攻關(guān)和創(chuàng)新，打造集事前預(yù)警、事中感知防御、事后審查等功能于一體的“數(shù)控機(jī)床安全增強(qiáng)防護(hù)設(shè)備”體系。實現(xiàn)防護(hù)思路由被動“封堵查殺”到主動免疫防御的轉(zhuǎn)變，建立云、邊、端的內(nèi)生安全防護(hù)架構(gòu)，確保設(shè)備、系統(tǒng)、網(wǎng)絡(luò)的可靠性、穩(wěn)定性，有效提升制造企業(yè)生產(chǎn)網(wǎng)絡(luò)的整體安全性。另一方面，建設(shè)覆蓋設(shè)備、主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)的數(shù)控機(jī)床綜合防護(hù)體系，建立事前身份認(rèn)證、加密，事中感知、防御，事后審計、追溯等多路徑閉環(huán)的安全防護(hù)體系，提升數(shù)控機(jī)床領(lǐng)域的整體安全能力。

4. 建議推動數(shù)控機(jī)床相關(guān)安全產(chǎn)品應(yīng)用及市場發(fā)展

     應(yīng)加快對數(shù)控機(jī)床核心關(guān)鍵技術(shù)攻關(guān)，推動相關(guān)安全產(chǎn)品和服務(wù)的開發(fā)應(yīng)用。一方面，鼓勵國內(nèi)重點企業(yè)、科研機(jī)構(gòu)、高校等加強(qiáng)合作，推動研制具備訪問控制、數(shù)據(jù)安全防護(hù)、病毒防護(hù)與分析、NC文件語義分析與審計、鏈路加密、智能預(yù)警等能力的數(shù)控機(jī)床安全增強(qiáng)防護(hù)設(shè)備。另一方面，圍繞數(shù)控機(jī)床安全產(chǎn)品的功能、性能及安全性等設(shè)計安全認(rèn)證級別，開展數(shù)控機(jī)床相關(guān)安全產(chǎn)品及服務(wù)分類分級管理，為不同部門、行業(yè)企業(yè)提供安全級別選擇，遴選達(dá)標(biāo)安全產(chǎn)品目錄清單，推動數(shù)控機(jī)床安全產(chǎn)品市場發(fā)展。