中国信息通信研究院安全研究所 工业互联网安全技术试验与测评工业和信息化部重点实验室 北京神州绿盟科技有限公司 2023年4月 数控机床网络安全研究报告 (2023年) 版权声明 本报告版权属于 中国信息通信研究院 和北京神州绿盟 科技有限公司 ，并受法律保护 。转载、摘编或利用其它方式 使用本报告文字或者观点的，应 注明“来源：中国信息通信 研究院和北京神州绿盟科技有限公司” 。 违反上述声明者， 编 者将追究其相关法律责任。 前 言 数控机床作为制造业的“工作母机” ，是工业领域生产加工的关 键设备， 数控机床本身的安全性以及在应用过程中的网络 安全防护能 力直接影响工业生产和业务， 其存在的漏洞及后门程序将对整个工业 领域形成巨大的威胁，这些威胁既包含其自身被入侵的威胁，也包含对网络和云平台的威胁。同时，随着工业互联网的快速发展，数控机床打破原有的封闭性，实现互联互通已成为企业发展的必然要求，数控机床联网运行已成为趋势，管理机、服务器盗用权限登录等都会带来安全隐患， 如何保证数控机床联网运行的网络与数据安全逐渐成为制约工业互联网发展的关键问题之一。 对于海量、多种类的数控机床，传统单一的安全防护技术手段无 法解决数控机床网络安全问题，需要从安全基线、主机安全、网络边界等各个层次提升数控机床的安全防护能力。 本报告以工业互联网背景下数控机床的发展为基础， 从数控机床国内外政策、 安全技术研究、技术标准规范等方面分析了数控机床的网络安全现状。同时，详细分析了数控机床存在的漏洞隐患、 入侵攻击等网络安全风险及深层次原因，并给出安全防护实施方案建议。最后，从标准、技术研究、评估评测等方面提出数控机床网络安全未来的工作方向。 目 录 一、 工业互联网背景下数控机床的发展 ................................. 1 （一）数控机床典型网络架构 ...................................... 1 （二）数控机床逐步从单点封闭走向开放互联 ........................ 3 （三）数控机床智能化技术的发展逐渐成熟 .......................... 4 二、 数控机床网络安全防护现状 ....................................... 5 （一）国内外相关政策法规对数控机床网络安全提出要求 .............. 6 （二）国内外针对数控机床等智能制造系统安全防护技术开展积极研究 .. 6 （三）数控机床的网络信息安全防护体系日渐完备 .................... 7 （四）数控机床相关安全标准和技术规范仍需完善 .................... 7 三、 数控机床网络安全风险分析 ....................................... 8 （一）数控机床系统设计漏洞和预留后门存在安全隐患 ................ 9 （二）数控协议及传输链路存在安全风险，导致数据泄露 ............. 10 （三）对移动存储介质及数控机床串口缺乏技术管控，存在网络入侵安全风 险 ............................................................. 10 （四）用户身份认证能力不足，数控机床远程监测和维护存在风险 ..... 11 （五）网络边界扩大导致网络入侵安全风险 ......................... 11 （六）数控机床缺乏内部安全防护机制 ............................. 12 四、 数控机床网络安全防护实施 ...................................... 13 （一）开展数控机床网络安全基线管理 ............................. 14 （二）加强数控网络边界防护 ..................................... 15 （三）加强数控主机安全防护 ..................................... 16 （四）完善数控机床网络资产管理和安全监测审计 ................... 17 （五）可信计算技术提高数控机床内生安全 ......................... 17 （六）打造数控机床安全综合防护体系 ............................. 18 五、 数控机床网络安全发展建议 ...................................... 18 （一）推进数控机床相关安全标准规范制定 ......................... 19 （二）提升数控机床网络安全综合技术防护能力 ..................... 19 （三）开展数控机床网络安全评估评测 ............................. 20 （四）推动数控机床相关安全产品应用及市场发展 ................... 20 参考文献 ........................................................... 22 图 目 录 图 1 数控机床典型网络架构 ........................................... 3 图 2 典型数控机床网络安全风险 ...................................... 9 图 3 数控机床网络安全防护示意图 ................................... 14 图 4 数控机床网络边界安全防护示例 ................................. 14 图 5 数控机床主机安全防护示例 ..................................... 14 表 目 录 表1 数控机床协议分布 .............................................. 13 数控机床网络安全研究报告（202 3年） 1 一、工业互联网背景下数控机床的发展 数控机床是工业领域生产加工的关键设备， 广泛应用于航空航天、 车辆制造、船舶制造等关系国防安全、经济安全和社会安全的关键行 业。随着智能制造的深度推进和工业互联网的发展，工控系统逐步从单机走向互联、从封闭走向开放，我国数控加工行业也开始大力推进数控机床的网络化，单点通信数控机床控制方式逐渐被淘汰，如今数控机床多数采用的分布式数控系统， 可以使用一台计算机对多台数控机床实现数字控制，并且能够执行计划调度、程序分配、远程监控和控制管理等功能。数控机床等设备联网程度及应用范围不断扩大，并且不断发展以适应生产加工的需要。 （一）数控机床典型网络架构 工业互联网背景下数控机床典型网络架构如图 1所示， 包括数控 设备层、监督控制层和运营管理层。数控设备层中是通过有线通信或无线通信方式联网的数控机床等设备。 监督控制层中是各类数据采集服务器及 NC(Numerical Control ,数字控制 )服务器。运营管理层包括 CAD（Computer Aided Drafting ，计算机辅助设计） 、CAM (Computer Aided Manufacturing ，计算机辅助制造） 、 CAPP (Computer Aided Process Planning, 计算机辅助工艺过程设计) 、PDM(Product Data Management, 产品数据管理 )、MES (Manufacturing Execution Systems， 制造执行系统) 等各类服务器。监督控制层中是各类数据采集服务器 和NC服务器。根据生产规模的不同，NC 服务器、采集服务器可能 会分级部署，如（厂级） NC代码服务器、 （车间级） NC代码子服务 数控机床网络安全研究报告（202 3年） 2 器， （厂级）采集服务器、 （车间级）采集子服务器。监督控制层的服 务器和运营管理层的服务器进行信息交互。PDM 实现设计图纸、工 艺文件、加工程序的集中管理。企业的设计图纸、工艺文件、加工程序可以分散在 CAD、 CAM、CAPP等不同的系统中进行管理。 NC服 务器从运营管理层系统获取设计图纸、工艺文件以及定型的 NC代码 并进行存储，根据 MES下达的生产任务向设备下发加工程序。采集 服务器接收设备采集的加工状态信息并将设备加工状态信息反馈给MES系统。设备根据预先编制的程序指令，控制生产过程的运行，采 集设备运行状态信息传送给采集服务器。 数控网络通过交换机等设备与互联网连接，在运行过程中，不断 地引入数值数据，从而实现设备工作过程的自动化控制。数控网络同时连接工业互联网平台及数控 APP（Application，应用软件） ，查看业 务流程数据、设备状态信息、模型信息等。通过网络可以实现 NC代 码的集中管理、设备的启停控制以及设备加工状态的自动采集。