數控機床作為製造業的“工作母機”


，是(shi)工(gong)業(ye)領(ling)域(yu)生(sheng)產(chan)加(jia)工(gong)的(de)關(guan)鍵(jian)設(she)備(bei)，數(shu)控(kong)機(ji)床(chuang)本(ben)身(shen)的(de)安(an)全(quan)性(xing)以(yi)及(ji)在(zai)應(ying)用(yong)過(guo)程(cheng)中(zhong)的(de)網(wang)絡(luo)安(an)全(quan)防(fang)護(hu)能(neng)力(li)直(zhi)接(jie)影(ying)響(xiang)工(gong)業(ye)生(sheng)產(chan)和(he)業(ye)務(wu)。隨(sui)著(zhe)工(gong)業(ye)互(hu)聯(lian)網(wang)的(de)快(kuai)速(su)發(fa)展(zhan)，數(shu)控(kong)機(ji)床(chuang)打(da)破(po)原(yuan)有(you)的(de)封(feng)閉(bi)性(xing)，實(shi)現(xian)互(hu)聯(lian)互(hu)通(tong)已(yi)成(cheng)為(wei)企(qi)業(ye)發(fa)展(zhan)的(de)必(bi)然(ran)要(yao)求(qiu)，數(shu)控(kong)機(ji)床(chuang)聯(lian)網(wang)運(yun)行(xing)已(yi)成(cheng)為(wei)趨(qu)勢(shi)，如(ru)何(he)保(bao)證(zheng)數(shu)控(kong)機(ji)床(chuang)聯(lian)網(wang)運(yun)行(xing)的(de)網(wang)絡(luo)與(yu)數(shu)據(ju)安(an)全(quan)逐(zhu)漸(jian)成(cheng)為(wei)製(zhi)約(yue)工(gong)業(ye)互(hu)聯(lian)網(wang)發(fa)展(zhan)的(de)關(guan)鍵(jian)問(wen)題(ti)之(zhi)一(yi)。

對於海量
、多種類的數控機床
，傳統單一的安全防護技術手段無法解決數控機床網絡安全問題
，需要從安全基線
、主機安全、網絡邊界等各個層次提升數控機床的安全防護能力。近期，中國信息通信研究院（簡稱“中國信通院”）依托工業互聯網安全技術試驗與測評工業和信息化部重點實驗室聯合北京神州綠盟科技有限公司編寫了《數控機床網絡安全研究報告（2023年）》

，現正式發布。

報告以工業互聯網背景下數控機床的發展為基礎
，從數控機床國內外政策

、安全技術研究、技術標準規範等方麵分析了數控機床的網絡安全現狀。報告詳細分析了數控機床存在的漏洞隱患、入侵攻擊等網絡安全風險及深層次原因，並給出安全防護實施方案建議。最後
，報告從標準、技術研究、評估評測等方麵提出數控機床網絡安全未來的工作方向。

報告核心觀點

1. 國內外針對數控機床等智能製造係統安全防護技術開展積極研究

美國國土安全部製定了專門的工業控製係統安全計劃

，形成了由國家職能部門協調管理、國家級專業隊伍、實驗室和科研機構提供技術支撐、用戶及廠商共同參與的技術研究體係
，並製定了國家SCADA測試床計劃，針對數控機床等開展網絡信息安全測評。日本大隈（Okuma）的OSP病毒防護係統在Okuma OSP-P控製係統中內置了病毒掃描應用接口來防止感染從網絡或USB設she備bei傳chuan播bo的de病bing毒du，在zai數shu控kong機ji床chuang網wang絡luo安an全quan防fang護hu中zhong得de到dao廣guang泛fan應ying用yong。國guo內nei高gao校xiao提ti出chu一yi種zhong數shu控kong加jia工gong網wang絡luo信xin息xi安an全quan防fang護hu方fang案an，部bu署shu數shu控kong加jia工gong網wang絡luo邊bian界jie隔ge離li設she備bei和he數shu控kong係xi統tong終zhong端duan防fang護hu設she備bei，保bao障zhang數shu控kong網wang絡luo安an全quan。

2. 數控協議及傳輸鏈路存在安全風險，導致數據泄露

數控DNC網絡采用TCP/IP協議將原獨立運行的數控機床組成數控機床網絡，數控機床通常采用工業Wi-Fi等deng無wu線xian通tong信xin方fang式shi。一yi方fang麵mian，無wu線xian接jie入ru方fang式shi避bi免mian了le有you線xian接jie入ru物wu理li環huan境jing限xian製zhi和he鋪pu設she線xian路lu的de成cheng本ben，但dan在zai網wang絡luo安an全quan層ceng麵mian上shang相xiang較jiao於yu有you線xian網wang絡luo更geng具ju風feng險xian性xing，無wu線xianWi-Fi易yi發fa生sheng會hui話hua劫jie持chi數shu據ju泄xie露lu的de風feng險xian
，利li用yong對dui無wu線xian信xin號hao的de監jian聽ting竊qie取qu傳chuan輸shu數shu據ju
，通tong過guo偽wei造zao指zhi令ling或huo者zhe數shu據ju攔lan截jie進jin行xing惡e意yi攻gong擊ji。另ling一yi方fang麵mian，多duo數shu數shu控kong機ji床chuang控kong製zhi係xi統tong使shi用yong明ming文wen方fang式shi傳chuan輸shu和he管guan理li加jia工gong代dai碼ma，這zhe樣yang容rong易yi導dao致zhi未wei加jia密mi的de加jia工gong代dai碼ma被bei非fei法fa獲huo取qu
，並bing通tong過guo專zhuan用yong軟ruan件jian對dui加jia工gong物wu品pin進jin行xing還hai原yuan，導dao致zhi製zhi造zao數shu據ju泄xie密mi。

3. 應打造數控機床安全綜合防護體係
，提升整體安全能力

針對數控機床所麵臨未知網絡威脅的持續性、組合性

、跨(kua)域(yu)性(xing)和(he)定(ding)向(xiang)性(xing)等(deng)特(te)點(dian)

，應(ying)逐(zhu)一(yi)應(ying)對(dui)解(jie)決(jue)傳(chuan)統(tong)被(bei)動(dong)防(fang)護(hu)難(nan)以(yi)應(ying)對(dui)利(li)用(yong)邏(luo)輯(ji)缺(que)陷(xian)的(de)攻(gong)擊(ji)等(deng)問(wen)題(ti)。一(yi)方(fang)麵(mian)
，對(dui)數(shu)控(kong)機(ji)床(chuang)開(kai)展(zhan)安(an)全(quan)關(guan)鍵(jian)技(ji)術(shu)的(de)聯(lian)合(he)攻(gong)關(guan)和(he)創(chuang)新(xin)，打(da)造(zao)集(ji)事(shi)前(qian)預(yu)警(jing)
、事中感知防禦、事後審查等功能於一體的“數控機床安全增強防護設備”體係。實現防護思路由被動“封堵查殺”到主動免疫防禦的轉變，建立雲、邊、端的內生安全防護架構
，確保設備
、係統、網絡的可靠性
、穩定性
，有效提升製造企業生產網絡的整體安全性。另一方麵，建設覆蓋設備、主機
、網絡
、數據的數控機床綜合防護體係，建立事前身份認證、加密
，事中感知、防禦
，事後審計、追溯等多路徑閉環的安全防護體係，提升數控機床領域的整體安全能力。

4. 建議推動數控機床相關安全產品應用及市場發展

應加快對數控機床核心關鍵技術攻關，推動相關安全產品和服務的開發應用。一方麵，鼓勵國內重點企業、科研機構、高校等加強合作
，推動研製具備訪問控製、數據安全防護
、病毒防護與分析、NC文件語義分析與審計、鏈路加密
、智能預警等能力的數控機床安全增強防護設備。另一方麵，圍繞數控機床安全產品的功能、性能及安全性等設計安全認證級別，開展數控機床相關安全產品及服務分類分級管理，為不同部門
、行業企業提供安全級別選擇
，遴選達標安全產品目錄清單，推動數控機床安全產品市場發展。