2025數(shù)控機(jī)床網(wǎng)絡(luò)安全

數(shù)控機(jī)床網(wǎng)絡(luò)安全2023目錄一、工業(yè)互聯(lián)網(wǎng)背景下數(shù)控機(jī)床的發(fā)展 1（一）數(shù)控機(jī)床典型網(wǎng)絡(luò)架構(gòu) 1（二）數(shù)控機(jī)床逐步從單點(diǎn)封閉走向開放互聯(lián) 3（三）數(shù)控機(jī)床智能化技術(shù)的發(fā)展逐漸成熟 4二、數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀 5（一）國內(nèi)外相關(guān)政策法規(guī)對數(shù)控機(jī)床網(wǎng)絡(luò)安全提出要求 6（二）國內(nèi)外針對數(shù)控機(jī)床等智能制造系統(tǒng)安全防護(hù)技術(shù)開展積極研究 6（三）數(shù)控機(jī)床的網(wǎng)絡(luò)信息安全防護(hù)體系日漸完備 7（四）數(shù)控機(jī)床相關(guān)安全標(biāo)準(zhǔn)和技術(shù)規(guī)范仍需完善 7三、數(shù)控機(jī)床網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 8（一）數(shù)控機(jī)床系統(tǒng)設(shè)計(jì)漏洞和預(yù)留后門存在安全隱患 9（二）數(shù)控協(xié)議及傳輸鏈路存在安全風(fēng)險(xiǎn)，導(dǎo)致數(shù)據(jù)泄露 10（三對移動(dòng)存儲介質(zhì)及數(shù)控機(jī)床串口缺乏技術(shù)管控存在網(wǎng)絡(luò)入侵安全險(xiǎn) 10（四）用戶身份認(rèn)證能力不足，數(shù)控機(jī)床遠(yuǎn)程監(jiān)測和維護(hù)存在風(fēng)險(xiǎn) （五）網(wǎng)絡(luò)邊界擴(kuò)大導(dǎo)致網(wǎng)絡(luò)入侵安全風(fēng)險(xiǎn) （六）數(shù)控機(jī)床缺乏內(nèi)部安全防護(hù)機(jī)制 12四、數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)實(shí)施 13（一）開展數(shù)控機(jī)床網(wǎng)絡(luò)安全基線管理 14（二）加強(qiáng)數(shù)控網(wǎng)絡(luò)邊界防護(hù) 15（三）加強(qiáng)數(shù)控主機(jī)安全防護(hù) 16（四）完善數(shù)控機(jī)床網(wǎng)絡(luò)資產(chǎn)管理和安全監(jiān)測審計(jì) 17（五）可信計(jì)算技術(shù)提高數(shù)控機(jī)床內(nèi)生安全 17（六）打造數(shù)控機(jī)床安全綜合防護(hù)體系 18五、數(shù)控機(jī)床網(wǎng)絡(luò)安全發(fā)展建議 18（一）推進(jìn)數(shù)控機(jī)床相關(guān)安全標(biāo)準(zhǔn)規(guī)范制定 19（二）提升數(shù)控機(jī)床網(wǎng)絡(luò)安全綜合技術(shù)防護(hù)能力 19（三）開展數(shù)控機(jī)床網(wǎng)絡(luò)安全評估評測 20（四）推動(dòng)數(shù)控機(jī)床相關(guān)安全產(chǎn)品應(yīng)用及市場發(fā)展 20參考文獻(xiàn) 22圖目錄圖1數(shù)控機(jī)床典型網(wǎng)絡(luò)架構(gòu) 3圖2典型數(shù)控機(jī)床網(wǎng)絡(luò)安全風(fēng)險(xiǎn) 9圖3數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)示意圖 14圖4數(shù)控機(jī)床網(wǎng)絡(luò)邊界安全防護(hù)示例 14圖5數(shù)控機(jī)床主機(jī)安全防護(hù)示例 14表目錄表1數(shù)控機(jī)床協(xié)議分布 13數(shù)控機(jī)床網(wǎng)絡(luò)安全研究報(bào)告（2023數(shù)控機(jī)床網(wǎng)絡(luò)安全研究報(bào)告（2023年）PAGEPAGE10一、工業(yè)互聯(lián)網(wǎng)背景下數(shù)控機(jī)床的發(fā)展（一）數(shù)控機(jī)床典型網(wǎng)絡(luò)架構(gòu)工業(yè)互網(wǎng)背數(shù)控機(jī)典型架構(gòu)如圖1所示括數(shù)控設(shè)備層督控層和運(yùn)管理層數(shù)控設(shè)層中過有線信或無線通方式的數(shù)控床等備監(jiān)督控層中類數(shù)據(jù)集服務(wù)器及NC(NumericalControl,字制)務(wù)器運(yùn)營理層包括CAD（ComputerAidedDrafting，計(jì)機(jī)輔助計(jì)、CAM(ComputerAidedManufacturing，計(jì)算機(jī)輔助制造、CAPP(ComputerAidedProcessPlanning, 計(jì)算機(jī)輔助工藝過程設(shè)計(jì))、PDM(ProductDataManagement,產(chǎn)數(shù)據(jù)管)MES(ManufacturingExecutionSystems，制造執(zhí)行系統(tǒng))等各類服務(wù)器。監(jiān)督控制層中是各類數(shù)據(jù)采集服務(wù)器和NC服務(wù)器。據(jù)生產(chǎn)模的，NC服務(wù)器、服務(wù)器能會分級署廠級代碼器（間級代碼子務(wù)（PDM序可以分散在CADCAMCAPPNC服NC代碼MES服務(wù)器接收設(shè)備采集的加工狀態(tài)信息并將設(shè)備加工狀態(tài)信息反饋給MESNCInternet……Internet…………數(shù)控機(jī)床數(shù)控機(jī)床數(shù)控機(jī)床VPNNC服務(wù)器采集服務(wù)器交換機(jī)遠(yuǎn)程維護(hù)計(jì)算機(jī)MES服務(wù)器PDM服務(wù)器CAPP服務(wù)器CAM服務(wù)器CAD服務(wù)器交換機(jī)客戶端監(jiān)督控制層數(shù)控設(shè)備層圖1數(shù)控機(jī)床典型網(wǎng)絡(luò)架構(gòu)

來源：中國信息通信研究院（二）數(shù)控機(jī)床逐步從單點(diǎn)封閉走向開放互聯(lián)（DistributedNumericalControl,DNC（多為RS232和DNC此類方式由于具備高帶寬，相較于串口組網(wǎng)場景能夠適應(yīng)更多的DNC系統(tǒng)功能，不過通訊協(xié)議多為廠商私有協(xié)議，如的FOCAS、三菱的EZSocketDNCOPCUA和MTConnect（三）數(shù)控機(jī)床智能化技術(shù)的發(fā)展逐漸成熟在數(shù)控系統(tǒng)智能加工方面，數(shù)控化系統(tǒng)的加工技術(shù)能夠提高機(jī)床絡(luò)端口或遠(yuǎn)程控制端口借助互聯(lián)網(wǎng)實(shí)現(xiàn)進(jìn)程控制數(shù)控機(jī)床生產(chǎn)和操二、數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀（一）國內(nèi)外相關(guān)政策法規(guī)對數(shù)控機(jī)床網(wǎng)絡(luò)安全提出要求20182017國家能源局等十個(gè)部門出臺了《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意（二）國內(nèi)外針對數(shù)控機(jī)床等智能制造系統(tǒng)安全防護(hù)技術(shù)開展積極研究制定了國家SCADA（Okuma）OSP病毒防護(hù)系統(tǒng)在OkumaOSP-P控USB設(shè)備傳[1]。（三）數(shù)控機(jī)床的網(wǎng)絡(luò)信息安全防護(hù)體系日漸完備DNCDNC[2][3]者對數(shù)控機(jī)床控制系統(tǒng)的信息安全防護(hù)技術(shù)體系與評估機(jī)制開展了（四）數(shù)控機(jī)床相關(guān)安全標(biāo)準(zhǔn)和技術(shù)規(guī)范仍需完善美國能源部國家SCADA測試床計(jì)劃(NSTB)（ENISA)織推動(dòng)數(shù)控機(jī)床安全相關(guān)標(biāo)準(zhǔn)制定發(fā)布，信息安全標(biāo)準(zhǔn)化委員會（TC260）2019GB/T37955-2019安全、數(shù)據(jù)安全等方面提出明確的技術(shù)要求。中國通信標(biāo)準(zhǔn)化協(xié)會（AII）2要求。三、數(shù)控機(jī)床網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析傳統(tǒng)信息網(wǎng)絡(luò)的各種黑客攻擊和惡意代碼等安全威脅快速進(jìn)入數(shù)控2攻擊者Internet攻擊者InternetCAD CAM CAPP PDMMES……采集服務(wù)器NC服務(wù)器遠(yuǎn)程維護(hù)……VPN客戶端網(wǎng)絡(luò)入侵網(wǎng)絡(luò)入侵加工代碼竊取加工代碼竊取協(xié)議安全風(fēng)險(xiǎn)協(xié)議安全風(fēng)險(xiǎn)遠(yuǎn)程維護(hù)風(fēng)險(xiǎn)遠(yuǎn)程維護(hù)風(fēng)險(xiǎn)系統(tǒng)存在漏洞后門系統(tǒng)存在漏洞后門數(shù)控機(jī)床 數(shù)控機(jī)床 數(shù)控機(jī)床 ……來源：中國信息通信研究院圖2典型數(shù)控機(jī)床網(wǎng)絡(luò)安全風(fēng)險(xiǎn)（一）數(shù)控機(jī)床系統(tǒng)設(shè)計(jì)漏洞和預(yù)留后門存在安全隱患由于運(yùn)行在數(shù)控機(jī)床計(jì)算機(jī)中的工控軟件與其操作系統(tǒng)存在兼WindowsSSH、HTTP（二）數(shù)控協(xié)議及傳輸鏈路存在安全風(fēng)險(xiǎn)，導(dǎo)致數(shù)據(jù)泄露DNCTCP/IP2018100（三）對移動(dòng)存儲介質(zhì)及數(shù)控機(jī)床串口缺乏技術(shù)管控，存在網(wǎng)絡(luò)入侵安全風(fēng)險(xiǎn)U泄露。Honeywell2020USB的驅(qū)動(dòng)器上發(fā)現(xiàn)的惡意軟件中有79能夠中斷OT(Operational201959%USBNCDNCDNC（四）用戶身份認(rèn)證能力不足，數(shù)控機(jī)床遠(yuǎn)程監(jiān)測和維護(hù)存在風(fēng)險(xiǎn)另一方面（五）網(wǎng)絡(luò)邊界擴(kuò)大導(dǎo)致網(wǎng)絡(luò)入侵安全風(fēng)險(xiǎn)一方面另一方面PLC站之間（六）數(shù)控機(jī)床缺乏內(nèi)部安全防護(hù)機(jī)制20161000余1OPCUAMTConnectumatiNC-Link等表1：數(shù)控機(jī)床協(xié)議分布OPCUA協(xié)議西門子、發(fā)那科、德國倍福、ABB、羅克韋爾等。MTConnect協(xié)議西門子、發(fā)那科、山崎馬扎克、海德漢等。umati協(xié)議西門子、德國倍福等。NC-Link協(xié)議華中數(shù)控、廣州數(shù)控等。FOCAS協(xié)議發(fā)那科來源：《新一代智能化數(shù)控系統(tǒng)》四、數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)實(shí)施4攻擊者攻擊者Internet惡意代碼檢測入侵防御CADCAM CAPPPDMMES……安全審計(jì)采集服務(wù)器NC服務(wù)器可信防護(hù)機(jī)制遠(yuǎn)程維護(hù)協(xié)議檢測身份認(rèn)證和 授權(quán)管理……VPN客戶端數(shù)控機(jī)床 數(shù)控機(jī)床 數(shù)控機(jī)床來源：中國信息通信研究院圖3數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)示意圖（一）開展數(shù)控機(jī)床網(wǎng)絡(luò)安全基線管理一方面（二）加強(qiáng)數(shù)控網(wǎng)絡(luò)邊界防護(hù)IEC62443-3-35DNC協(xié)議數(shù)據(jù)包解析等邊界安全防護(hù)技術(shù)針對數(shù)據(jù)采集和交換過程中的互聯(lián)網(wǎng)互聯(lián)網(wǎng)生產(chǎn)管理層生產(chǎn)控制層現(xiàn)場執(zhí)行層圖4數(shù)控機(jī)床網(wǎng)絡(luò)邊界安全防護(hù)示例（三）加強(qiáng)數(shù)控主機(jī)安全防護(hù)一方面、MES、PDMCAM、CAPP6所示。來源：北京神州綠盟科技有限公司圖5數(shù)控機(jī)床主機(jī)安全防護(hù)實(shí)施示例（四）完善數(shù)控機(jī)床網(wǎng)絡(luò)資產(chǎn)管理和安全監(jiān)測審計(jì)三是（五）可信