基于工業母機防火墻的數控網絡安全防護解決方案*

王曉鵬，張雄杰，陳毅真，周建偉，尹雅偉

(北京神州綠盟科技有限公司，北京 100089)

0 引言

數控機床作為當今智能制造領域的核心裝備，是生產加工行業的關鍵設備。2021年8月19日，國資委會議精神強調，加強針對工業母機、高端芯片、新材料、新能源汽車等關鍵核心領域的技術攻關。這次會議將工業母機(即機床)列于首位，足見其之于制造業的重要地位。

然而針對數控機床的網絡攻擊日益嚴重，多家國際知名制造業巨頭屢遭攻擊，如何保證數控機床網絡與數據安全逐漸成為保障數控行業發展的關鍵問題之一。國內外現有的數控機床防護設備普遍存在專業性不足的問題，并不完全適用于數控網絡。本文立足于行業痛點，解決數控機床安全緊迫問題，實現需求側安全保障；同時，立足供給側打造數控機床安全供給能力。安全問題是制造強國戰略的核心關切之一，因此，本文的研究設計及解決方案緊密服務國家戰略需求，對于保障制造強國、數字中國等戰略具有重要現實意義。

1 我國數控機床的發展現狀

機床作為“工業母機”，與國家制造業水平密切相關。經過多年發展，我國數控機床行業取得了長足進步，但“精度及穩定性差、故障多發”仍是國產數控機床亟需突破的技術難點，我國數控機床市場呈現出“國產中低端數控機床發展迅速，高端數控機床依靠進口，核心技術受制于人”的局面。

自2006年以來，國務院、發改委、工信部等部門陸續出臺了針對高端數控機床的發展指引，在我國自主創新能力不斷提升的背景下，廣州數控、華中數控等廠商在國產高端數控系統市場逐步突破，未來有望打破國外壟斷，實現進口替代。

2 我國數控機床網絡安全典型問題分析

隨著工業互聯網的發展，數控機床行業逐漸向復合化、網絡化、智能化發展，然而我國數控網絡安全防護建設相對于數控行業的發展明顯落后，安全防護的滯后成為其發展的制約因素，其中的典型問題如下：

(1)國產化不足：高端數控機床通常采用國外品牌，從而導致數控系統自身安全難以保證，可能存在系統設計漏洞和預留后門等安全隱患。

(2)網絡邊界無防護：數控網絡邊界無任何安全防護措施或安全措施失效，面臨著被病毒感染、惡性攻擊的風險。

(3)U口無管控：很多數控車間直接使用U盤進行NC文件導入導出，并無管控措施，極有可能導致惡意代碼的傳播、核心生產工藝泄密。

(4)運維無管控：數控設備的維護往往依賴供應商，通過在服務器上安裝向日葵、VNC等互聯網遠程運維工具，進行無管控運維，導致設備的運維行為不可控，存在巨大的安全風險。

(5)主機防護不到位：操作系統老舊，很少更新補丁；主機普遍存在未關閉默認共享、開啟高風險端口(80、135、443、445、3389)，不滿足系統最小安裝原則，未落實主機必要的安全配置。

(6)管理失位：工業企業針對數控系統安全防護意識淡薄險，缺乏相應的網絡安全管理策略，如：未落實安全責任人、供應商管理不嚴等。

3 我國數控機床安全防護建設需求分析

3.1 我國數控機床網絡組成

我國典型數控機床網絡[1]如圖1所示。圖中虛線框內的部分為數控機床網絡，由NC服務器、采集服務器、數控設備、網絡通信設備等組成。

圖1 典型數控網絡

數控機床網絡包括數控設備層和監督控制層。

(1)數控設備層：包含各類通過有線通信或無線通信方式聯網的數控設備。通過數控網絡可以實現NC代碼的集中管理、數控設備的啟停控制以及數控設備加工狀態的自動采集。

(2)監督控制層：包含各類數據采集服務器和NC服務器。監督控制層的服務器與運營管理層的服務器進行信息交互。

3.2 數控機床網絡安全風險分析

數控機床網絡安全風險主要體現在如下五方面：

(1)網絡安全風險：數控網絡與管理網邊界缺少必要的邊界防護措施，導致管理網安全風險容易橫向傳播到數控網絡；數控設備經常需要遠程維護，卻無專用的運維管理系統。

(2)設備安全風險：在數控網絡中MDC服務器、DNC服務器、數控機床等設備普遍存在弱口令、漏洞未修復、USB無管控、無病毒防范措施等問題。

(3)應用安全風險：MDC、DNC等應用系統普遍存在弱口令、無身份鑒別措施、自身安全措施較少等問題，易受到病毒或黑客的攻擊。

(4)數據安全風險：數控網絡中的網絡、設備和應用本身存在敏感數據泄露風險，數據的產生、使用、存儲等方面缺乏防護，特別是NC代碼，易造成數據的完整性和機密性受到破壞。

(5)安全管控風險：數控網絡中部署的各類安全設備缺乏統一的安全管控，缺乏動態發現數控網絡中的風險并預警能力。

3.3 現有數控機床安全防護技術分析

在數控機床安全防護技術領域，國內外廠商都在開展技術研究。日本大隈將OSP-VPS防病毒系統[2]內置在自家特定型號的數控機床中，側重對NC文件傳輸過程中的病毒查殺；中國航天科工集團公司HT706-CISP邊界安全網關[3]，用于實現DNC網絡與數控機床的邏輯隔離，側重對數控機床接口(網口/串口/USB口)的綜合管控。除了部署專用的防護設備外，目前，我國針對數控網絡的主流防護方案是，使用工業防火墻[4]或工業網閘[5]進行安全域邊界隔離，應對入侵活動和攻擊性行為。

現有技術中，針對邊界隔離、病毒查殺等方面都有探索及技術儲備，而數控網絡中最具防護價值的是加工文件“NC代碼”，因為NC代碼以文件特征為核心，需要解析文本中的字符串，用于發現內容篡改等安全隱患；現有產品，如工業防火墻，以解析網絡流量特征為核心，并不能解決“NC代碼”防護需求。

縱觀國內外現有的數控機床防護設備[6-9]，都存在專業性不足的問題，并不完全適用于數控網絡。所以，具備以解析“NC代碼”為核心，同時擁有綜合防護能力專用安全產品，成為我國數控機床安全防護的迫切需求。

4 工業母機防火墻研究及設計

4.1 工業母機防火墻功能設計

針對數控機床專用防護，應從防護效率、防護效力兩個維度進行設計，為此，本文設計了一種以《GB/T 37933-2019信息安全技術 工業控制系統專用防火墻技術要求》[4]為基礎要求，同時將“NC代碼異常檢測”“NC代碼病毒檢測”“防碰撞檢測”等安全機制結合起來的工業防火墻系統：工業母機防火墻。

工業母機防火墻由五部分組成：公共管理、安全引擎、高可用、數據通信引擎、國產化平臺，如圖2所示。其中安全引擎、高可用、數據通信引擎為設計核心。

圖2 工業母機防火墻模塊結構圖

(1)數據通信引擎：包含流轉發、IP/MAC綁定、ACL、雙向NAT、路由、VPN、串口透傳、U口透傳。

·訪問控制模塊：設置通信主客體的訪問控制規則。

·VPN：包含IPSEC、SSLVPN。

·路由：包含靜態、動態、策略路由。

·U口映射[10-11]：支持USB映射功能，用于U盤拷貝NC代碼。

·串口透傳[10-11]：串行接口方式串接在運維終端/采集終端與數控機床之間，實現遠程運維及采集。

(2)安全引擎：包括病毒檢測、NC代碼合規性檢測模塊、NC代碼異常檢測模塊、告警模塊、知識庫、文件代理模塊、數控協議深度解析、工業協議識別等。

·NC代碼合規檢測模塊：合規性檢測組件用于對NC代碼文件容量及擴展名格式檢測；異常檢測組件用于干涉檢測及敏感信息監測。

·NC代碼異常檢測模塊：包含詞法/語法檢測組件和防碰撞檢測組件，詞法/語法錯誤檢測組件用于發現相應的詞法/語法錯誤，防碰撞檢測組件是對于非語法錯誤但可以降低碰撞事件的程序語句進行優化，進行注釋行標記提醒。

·工業協議識別模塊：基于工業協議特征值的識別。

·數控協議深度解析模塊：基于數控協議(MT-Connect、NC-LINK、OPC UA、FOCAS等)及協議內容的解析及過濾。

·病毒檢測模塊：包含流式病毒檢測組件和啟發式病毒檢測組件，流式病毒檢測組件實現對通信流量的病毒查殺，啟發式病毒檢測組件實現對流量還原出的文件進行查殺。

·告警模塊：針對檢測過程中報警事件，進行告警。

·文件代理模塊：實現NC代碼文件的轉發。

·知識庫模塊：包含工業母機防碰撞規則庫和詞法/語法庫。

(3)高可用：包含雙機熱備、負載均衡、軟硬件看門狗、硬件Bypass等功能。

4.2 工業母機防火墻業務流程設計

本文僅對DNC服務器與工業母機網絡通信防護業務流程進行重點介紹，業務流程如圖3所示。

圖3 工業母機防火墻業務流程圖

(1)選擇數控機床型號，關聯相應NC代碼詞法/語法庫、NC代碼防碰撞規則庫。

(2)設置訪問控制規則，確定通信主客體(DNC服務器及工業母機)的IP五元組(源IP、源端口、目的IP、目的端口、傳輸層協議端口)信息，并完成通信主客體的IP/MAC綁定，進入步驟(3)。

(3)對通信主客體之間的流量完成L1～L3層報文解析，并進行ACL控制，如出現不符合ACL規則的流量，則進入步驟(9)，如符合則進入步驟(4)。

(4)通信流量進入病毒檢測模塊，病毒檢測模塊包含流式病毒檢測組件和啟發式病毒檢測組件，兩個組件同步檢測，用于過濾阻斷通信流量中存在的木馬程序、蠕蟲及勒索病毒、惡意郵件等威脅。流式病毒檢測，對主客體通信流量的載荷，與流式病毒特征庫進行比對，如命中病毒特征，將含病毒的流量留存為Pcap包，并進入步驟(8)。進行啟發式病毒檢測前，需要對流量中NC代碼進行文件還原，生成NC代碼文件，實現文件的病毒檢測，如命中病毒特征，對NC代碼文件進行留存，并進入步驟(8)。如同時通過啟發式和流式病毒檢測，進入步驟(5)。

(5)NC文件進入NC代碼合規性檢測模塊，NC代碼合規性檢測模塊包括文件后綴名驗證及文件容量驗證。文件后綴名驗證，檢查文件是否符合NC文件的格式要求，只允許合規的文件(如*.nc、*.mpf、*.h等，如表1所示)進行傳輸；如不符合，對NC代碼文件進行留存，進入步驟(8)。同時對NC文件容量進行檢查，防止導入病毒文件或超大配置文件，避免系統中毒或崩潰，如超過NC代碼規定的容量閾值，對NC代碼文件進行留存，進入步驟(8)。如同時通過文件后綴名驗證及文件容量驗證，進入步驟(6)。

表1 NC代碼常見擴展名

(6)NC文件進入NC代碼異常檢測模塊，NC代碼異常檢測模塊包括內容過濾組件、詞法/語法檢測組件、防碰撞組件。

首先，由內容過濾組件，實現NC代碼中涉密信息過濾，如刪除代碼注釋行或刪除注釋行中關鍵字，防止敏感數據通過NC代碼進行傳遞。

其次，同步進行詞法/語法錯誤檢測和防碰撞檢測，此時需要對NC代碼中的每個程序段進行逐行掃描，逐行檢測。其中詞法/語法檢測組件，目的在于識別NC代碼中的錯誤詞法或語法；防碰撞組件，目的在于運行NC代碼之前，自動檢查刀具和工件、夾具、機床單元之間的干涉，進行程序優化，提出修訂意見及標記注意事項，實現防碰撞。

詞法/語法錯誤檢測規則庫[12-15]包括：出現小寫字母，[]號不匹配；非法字地址；非法G代碼；非法M代碼；小數點錯誤；同組G代碼缺少G17/G18/G19；T代碼后無換刀M06；某些系統程序開始需要有無條件倒帶指令“%”，無此指令則出錯;某數控系統要求T指令范圍為1～99，超出該范圍，即出錯。

防碰撞檢測規則庫包括：如坐標系原點未設定，程序段結束時模態指令未取消；公制單位與英制單位換算等。此規則庫是實踐經驗集合，匯總了各類由編程間接引發的碰撞事故。

如命中詞法/語法規則或防碰撞規則，則對該行程序注釋行添加標記信息，如“非法G代碼”“刀補值未設定，有撞刀風險”，被編輯后的NC代碼進行本地留存并進入步驟(7)。如未命中詞法/語法規則或防碰撞規則，則直接進入步驟(7)。

(7)通信代理模塊將檢查后的NC代碼文件行通過文件共享協議(FTP、SMB等)完成文件發送，通信結束。

(8)截斷通信主客體之間的通信，錯誤警報模塊完成告警日志生成，且可上傳第三方應用及平臺。

4.3 工業母機防火墻效果分析

工業母機防火墻通過訪問控制模塊進行通信認證，通過防病毒模塊完成病毒查殺，通過NC代碼合規性檢測模塊實現NC代碼的后綴名及文件容量驗證，通過NC代碼異常檢測模塊實現NC代碼的詞法/語法錯誤檢測及防碰撞檢測，這些安全機制結合起來，不僅可解決NC代碼被篡改、敏感信息泄露等技術問題，而且有效降低了數控機床干涉事故的發生，實現業務安全與網絡安全的雙防護。

2022年1月份，工業母機防火墻正式部署在某大型汽車制造企業加工中心，自部署工業母機防火墻以來，已獲取日志數量：6 037 949條，觸發檢測規則：63條(包含永恒之藍漏洞利用(MS17-010)攻擊；瀏覽器插件導致內存耗盡的攻擊等)，有效地防止了網絡攻擊事件的發生。此外，部署工業母機防火墻還取得了明顯的經濟效果，至今一年時間未發生一起因操作不當造成的碰撞事故。按此加工中心2021年有記錄的碰撞事故計算，已避免損失近50萬元。經過近一年的效果檢測，完滿地完成了產品既定設計目標。

目前，本文研究內容獲得了“2021年工業互聯網高質量發展工程聯網數控數控機床安全項目”(項目號：TC210H02L)支持，研究成果已完成產品化。

5 基于工業母機防火墻的數控網絡安全防護方案

數控網絡安全防護方案設計思路基于《網絡安全法》和《關鍵信息基礎設施安全保護條例》規定，按照《GB/T 37955-2019信息安全技術 數控網絡安全技術要求》《信息安全技術網絡安全等級保護基本要求》[16]中通用要求和工業控制系統的擴展要求，同時結合了P2DR安全模型和IATF信息保障技術框架理念，分別建設安全技術體系和安全管理體系。通過構建一個中心(安全管理中心)三重防護(安全通信網絡、安全區域邊界、安全計算環境)，打造數控網絡安全縱深防護體系；再結合各種管理手段、安全策略，提供多維度、全方位的網絡安全防護能力，從而形成有效防護、及時響應的安全防御體系。基于安全現狀和安全設計思路，整體安全架構設計如圖4所示。

圖4 數控機床網絡安全防護拓撲圖

5.1 安全通信網絡建設

(1)安全域劃分：根據數控網絡的重要性、功能等因素劃分不同安全域，包括數控設備層、監督控制層、運營管理層，其中數控設備層根據車間不同進行安全域區分。

(2)帶寬管理：考慮到數控網絡的健壯性，需要通過流量管理實現控制指令、NC代碼的有效傳輸，須部署工業母機防火墻，根據業務實際需求智能分配業務帶寬，防止業務流量(NC代碼上傳/下載、數控監控數據上傳)搶占情況出現，保證了數控網絡的高可靠性、高可用性。

(3)通信傳輸：考慮到數控網絡數據機密性，需要通過加密數控網絡流量來保護傳輸的關鍵信息不會被竊取和篡改，此時須部署工業母機防火墻。工業母機防火墻采用專用硬件進行加密，支持SM2、SM3、SM4國密算法，具有更高的安全強度和網絡性能。

5.2 安全區域邊界建設

(1)邊界防護：根據安全域劃分，監督控制層與運營監控層間、數控機床前端，分別部署工業母機防火墻進行邏輯隔離，實現身份認證和授權、非法內外聯檢查等能力。

(2)訪問控制：在各個安全區域邊界部署工業母機防火墻，依據最小化原則配置訪問控制策略，實現基于五元組的訪問控制、白名單匹配、工業協議深度包檢測及過濾、NC代碼檢測及過濾等能力。訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級。

(3)入侵防范/惡意代碼防范/安全審計：工業母機防火墻作為數控網絡專用設備，實現了入侵防范、惡意代碼查殺、安全審計功能的集成，該產品符合《GB/T 37933-2019信息安全技術 工業控制系統專用防火墻技術要求》[16]《GA/T 1177-2014信息安全技術 第二代防火墻安全技術要求》[17]的雙標準測試認證要求，可以精簡安全設備的部署。

通過在各個安全區域邊界/數控機床前端部署工業母機防火墻，實現基于攻擊特征的網絡攻擊檢測，提供數控通信協議審計、程序異常行為檢測等事件的實時審計能力，實現基于通信流量的啟發式和流式惡意代碼查殺，阻止病毒傳播和惡意軟件入侵事件。

5.3 安全計算環境建設

(1)服務器計算環境安全

數控機床計算機一般采用專用系統或精簡的Windows系統，且無法為系統及時的更新補丁，所以更適合用主機白名單軟件做病毒防護和惡意軟件防護。通過部署主機白名單軟件，實現身份鑒別、訪問控制、惡意代碼防范等功能。

(2)數控機床計算環境安全

“應使用專用的設備及軟件對控制設備進行更新”作為等級保護制度對工控設備運維的最新要求，市場卻無專用的工控設備運維工具，堡壘機并不適用于工控設備運維，通過使用具備U口/串口/網口運維能力工業母機防火墻就顯得尤為重要。通過在數控機床前端部署工業母機防火墻，作為數控機床運維專用設備，實現控制設備固件更新及運維。

5.4 安全管理中心建設

為實現安全設備的統一管理、策略下發、日志收集，須部署安全管理平臺/廠級態勢感知系統，實現對數控網絡中的安全產品及安全事件進行統一管理。

為實現對運維操作行為的管控和審計，須部署安全運維管理系統(堡壘機)，用于用戶管理、授權管理、認證管理和綜合審計，實現安全設備的運維管理。

5.5 安全管理要求建設

應從組織機構、管理制度、人員管理、系統建設、運維管理多個維度落實安全管理要求。首先，明確網絡安全負責人和管理組織，企業主要負責人是網絡安全第一責任人，明確關鍵崗位和職責等。其次，進行管理制度建設，涵蓋一級文件(網絡安全方針、戰略)，二級文件(管理規定、辦法)，三級文件(操作流程、作業指導書、模板等)，四級文件(各類表單、報告等)。最后，對制度文件進行發布、執行等管理。

6 結論

隨著先進制造技術、人工智能技術的發展，數控機床的技術創新及產品換代也將加速，數控機床呈現出“高速化、高精度化、復合化、智能化、開放化、網絡化、綠色化”的技術趨勢，也要求網絡安全防護能力能同步適應行業技術發展。

本文通過對數控機床網絡安全現狀、數控機床發展趨勢、數控機床防護技術的分析，提出了一種基于工業母機防火墻的數控機床網絡安全防護體系建設思路，該安全防護體系主要從安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理要求、專用防護設備等方面給出了數控機床網絡安全的具體防護措施和建議，以期推進打造數控機床安全供給能力，護航制造強國、數字中國等戰略目標。