數控機床的安全

現狀

目前國內使用的主流數控生產設備核心系統大部分是國外廠家，特別是專機和精機主要為國外廠家全套引進 ，如國內大量使用Siemens、FANUC等國外數控系統，核心技術受制于人，大大增加了不可控因素，而數控系統一旦遭到破壞和入侵，將直接導致生產的中斷和產量的降低，更重要的是由廠商提供遠程維護升級，這直接導致生產數據及工藝等機密信息的泄露從而影響到我國家戰略安全。因此，數控系統安全不容忽視，進行數控機床的安全防護是迫切和必要的。?

數控機床應用存在以下安全隱患：

（1）、上位機、服務器外接USB存儲設備，致使其被病毒感染，USB外接手機、PDA等智能上網設備，致使其直接暴露在互聯網上，給安全生產與加工數據安全帶來重大安全隱患。

（2）、遠程運維操作、日常生產操作中存在非法操作行為直接影響安全生產與加工數據的安全性，如：非法篡改加工指令、盜取加工數據等行為。

（3）、數控機床的DNC聯網，以及隨著國家兩化融合、中國制造2025國家戰略的推進，工業控制網絡的開放性必然會帶各種網絡攻擊風險。

解決方案

面對數控機床應用的安全現狀，三中網安做了深入的調查與研究，對不同的應用場景，提供全生命周期的安全解決方案，為數控機床安全生產構建安全防御體系。

1）數控機床風險評估：

風險評估是全面了解與驗證數據機床使用環境中存在的各種風險的一種必要手段，是安全防護體系建設的前提，三中網安將針對用戶數控機床運行環境與安全管理制度，借助專業的威脅評估平臺工具，生成權威的安全風險評估報告，為用戶全面了解數控機床安全風險提供依據。?

威脅感知平臺具備整套創新性的風險評估科學方法，包括項目管理、數據收集、全網攻擊路徑、結構安全性分析、流程審計、網絡行為審計、專業評分報告等。該工具搭載專業的可升級的工控安全漏洞庫，覆蓋當前工業控制網絡中存在的各種已知漏洞，并且提供漏洞防護安全策略。工具支持分階段、多人配合使用，方便用戶根據實際情況有計劃有步驟的完成風險評估以及后續安全數據收集分析工作。

圖1 數控機床風險評估典型部署

2）單機運行防護方案:

?圖2 數控機床單機運行安全防護部署

數控機床單機部署時，安全風險主要出現在管理主機上，如上圖所示，我們通過在數控機床與管理機間串行部署監測審計平臺，此產品具有數控審計與智能防護兩大功能，通過多種安全策略部署，可實現APT攻擊、異常控制和非法數據包進行深度分析、過濾、告警、阻斷并對各類安全威脅實施監測審計，實現對數控機床的有效安全防護。通過在管理主機上安裝安全衛士來實現管理主機防病毒與USB外設管理，進而保證數控機床單機環境運行安全。

3）DNC聯網運行防護方案：

?圖3 DNC聯網安全防v護部署圖

上圖為數控機床DNC聯網運行典型的組網拓撲圖，我們通過在各網絡分區邊界、數控機床邊界串行或旁路部署數控審計保護平臺實現對區域內及終端的有效保護，通過部署安全監管平臺實現對網內部署的若干數控監測審計平臺的統一配置與安全事件管理，實現全網安全風險管理、分析與呈現。網內的上位機、服務器上統一部署工控衛士安全軟件，實現主機運行進程的控制與管理、主機USB外接存儲設備的認證與管理以及文件操作行為審計。??

業務價值

三中網安憑借對國內數控機床應用的深入了解，提供以上數控機床應用的全生命周期的安全解決方案，為用戶安全生產，數據防泄密，為兩化融合、中國制造2025國家戰略實施進行安全保駕護航。