如何构建数控机床网络安全体系？

数控机床网络安全体 系的构建需从安全基线管理、网络边界防护措施部署和数控机床内生 安全等方面进行考虑，来保证数控机床及网络的保密性、可用性和完 整性。

1.开展数控机床网络安全基线管理

根据生产环境场景建立数控机床网络安全基线。一方面，明确数 控机床网络安全基线具体内容，建立安全基线更新机制。企业梳理自 身数控机床应用场景及技术特点，根据安全基线实施安全防护，包括 消除弱密码、安全配置加固、去除不必要的介质接口等。另一方面， 开展数控机床网络安全风险评估和漏洞管理。定期对数控机床网络架 构、管理主机、控制协议等开展全方位安全评估，发现安全风险隐患， 一旦发现安全漏洞，及时选择安全补丁或升级组件。

2.加强数控网络边界防护

分析数控网络的组网特点，根据 IEC62443-3-3 等标准中的网络 区域划分原则，将数控网络划分为合理安全区域，采用分层分域，纵 深防御的策略进行网络安全防护。一方面，对企业信息 系统与 DNC 系统进行分层、分域，建立安全缓冲区，生产网络与管 理网络、研发网络连接采用网闸、光闸进行强隔离；生产网络进行内 部的分区分域，区域间应采用工业防火墙实现逻辑隔离，并建立白名 单，实现基于白名单的访问控制。另一方面，采用数据防泄漏、深度 协议数据包解析等边界安全防护技术针对数据采集和交换过程中的 数据泄露、病毒入侵以及异常行为进行告警，并对各类安全威胁进行 监控，从而为数控网络提供全方位的监测、过滤、报警和阻断能力。

3.加强数控主机安全防护

通过安装工业主机端点侧安全监测、防护软件，对数控主机进行 有效防护，包括操作系统加固、病毒防护、恶意行为监测等。一方面， 针对数控网络中 DNC、MES、PDM、CAM、CAPP 等服务器及终端 主机部署安全防护软件，从端点侧加强针对勒索病毒等安全防护，防 止病毒传播、对恶意代码进行有效地消除。另一方面，通过对数控主 机文件、目录、进程、注册表和服务的强制访问控制。 采用“三权分立”的管理机制，有效制约和分散原有系统管理员的权 限，并结合文件和服务的完整性检测、防缓冲区溢出等功能，将普通 操作系统透明提升为安全操作系统，增强数控主机的安全性。

4.完善数控机床网络资产管理和安全监测审计

建设数控机床网络资产管理机制，开展安全监测和审计，及时发 现异常资产及网络安全威胁。一是梳理数控机床生产环境的网络资产， 建立资产台账，定期探测梳理资产现状及数据流转和处理节点，识别 和发现异常资产，对未知设备接入等异常行为及时发现并处置。二是 采用入侵检测、全流量检测、安全审计等方式监测数控机床生产环境， 发现恶意行为和恶意代码，对数控机床生产环境行为进行审计，协助 事后分析取证溯源。三是通过态势感知等技术手段，汇集流量侧、端 点侧、日志侧等数据，进行关联分析和深度安全监测、研判和应急响 应，并实现数控机床网络安全集中管理。

5.可信计算技术提高数控机床内生安全

面对数控机床联网开放、互通互联可能带来的安全威胁，可以通 过可信计算技术实现数控机床的内生安全[3]。一方面，数控机床在主 机层面支持“硬件级部件（安全芯片或安全固件）”作为系统信任根，建立从系统到应用的信任链，实现从设备加电到应用加载过程的安全 启动和运行，从根本上解决工业互联网可信、可控、可靠等方面的问 题。另一方面，在系统运行过程中，实时监视数控系统内关键进程、 模块、可执行代码、关键数据结构等，对进程的资源访问行为进行实 时度量和控制，依据动态的可信性对发生变化的度量对象依据策略采 取报警、终止运行、更新度量预期值等措施，从而确保数控系统运行 状态的可信。

6.打造数控机床安全综合防护体系

针对数控机床所面临未知网络威胁的持续性、组合性、跨域性和 定向性等特点，逐一应对解决传统被动防护难以应对利用逻辑缺陷的 攻击等问题。一方面，对数控机床安全关键技术的联合攻关和创新， 打造集事前预警、事中感知防御、事后审查等功能于一体的“数控机 床安全增强防护设备”体系。实现防护思路由被动“封堵查杀”到主 动免疫防御的转变，建立了云、边、端的内生安全防护架构，确保设 备、系统、网络的可靠性、稳定性，有效提升制造企业生产网络的整 体安全性。另一方面，建设覆盖设备、主机、网络、数据的数控机床 综合防护体系，建立事前身份认证、加密，事中感知、防御，事后审 计、追溯等多路径闭环的安全防护体系，提升数控机床领域的整体安 全能力。