报告核心观点

1. 国内外针对数控机床等智能制造系统安全防护技术开展积极研究

美国国土安全部制定了专门的工业控制系统安全计划，形成了由国家职能部门协调管理、国家级专业队伍、实验室和科研机构提供技术支撑、用户及厂商共同参与的技术研究体系，并制定了国家SCADA测试床计划，针对数控机床等开展网络信息安全测评。日本大隈（Okuma）的OSP病毒防护系统在Okuma OSP-P控制系统中内置了病毒扫描应用接口来防止感染从网络或USB设备传播的病毒，在数控机床网络安全防护中得到广泛应用。国内高校提出一种数控加工网络信息安全防护方案，部署数控加工网络边界隔离设备和数控系统终端防护设备，保障数控网络安全。

2. 数控协议及传输链路存在安全风险，导致数据泄露

数控DNC网络采用TCP/IP协议将原独立运行的数控机床组成数控机床网络，数控机床通常采用工业Wi-Fi等无线通信方式。一方面，无线接入方式避免了有线接入物理环境限制和铺设线路的成本，但在网络安全层面上相较于有线网络更具风险性，无线Wi-Fi易发生会话劫持数据泄露的风险，利用对无线信号的监听窃取传输数据，通过伪造指令或者数据拦截进行恶意攻击。另一方面，多数数控机床控制系统使用明文方式传输和管理加工代码，这样容易导致未加密的加工代码被非法获取，并通过专用软件对加工物品进行还原，导致制造数据泄密。

3. 应打造数控机床安全综合防护体系，提升整体安全能力

针对数控机床所面临未知网络威胁的持续性、组合性、跨域性和定向性等特点，应逐一应对解决传统被动防护难以应对利用逻辑缺陷的攻击等问题。一方面，对数控机床开展安全关键技术的联合攻关和创新，打造集事前预警、事中感知防御、事后审查等功能于一体的“数控机床安全增强防护设备”体系。实现防护思路由被动“封堵查杀”到主动免疫防御的转变，建立云、边、端的内生安全防护架构，确保设备、系统、网络的可靠性、稳定性，有效提升制造企业生产网络的整体安全性。另一方面，建设覆盖设备、主机、网络、数据的数控机床综合防护体系，建立事前身份认证、加密，事中感知、防御，事后审计、追溯等多路径闭环的安全防护体系，提升数控机床领域的整体安全能力。

4. 建议推动数控机床相关安全产品应用及市场发展

应加快对数控机床核心关键技术攻关，推动相关安全产品和服务的开发应用。一方面，鼓励国内重点企业、科研机构、高校等加强合作，推动研制具备访问控制、数据安全防护、病毒防护与分析、NC文件语义分析与审计、链路加密、智能预警等能力的数控机床安全增强防护设备。另一方面，围绕数控机床安全产品的功能、性能及安全性等设计安全认证级别，开展数控机床相关安全产品及服务分类分级管理，为不同部门、行业企业提供安全级别选择，遴选达标安全产品目录清单，推动数控机床安全产品市场发展。

报告目录

一、工业互联网背景下数控机床的发展

（一）数控机床典型网络架构

（二）数控机床逐步从单点封闭走向开放互联

（三）数控机床智能化技术的发展逐渐成熟

二、数控机床网络安全防护现状

（一）国内外相关政策法规对数控机床网络安全提出要求

（二）国内外针对数控机床等智能制造系统安全防护技术开展积极研究

（三）数控机床的网络信息安全防护体系日渐完备

（四）数控机床相关安全标准和技术规范仍需完善

三、数控机床网络安全风险分析

（一）数控机床系统设计漏洞和预留后门存在安全隐患

（二）数控协议及传输链路存在安全风险，导致数据泄露

（三）对移动存储介质及数控机床串口缺乏技术管控，存在网络入侵安全风险

（四）用户身份认证能力不足，数控机床远程监测和维护存在风险

（五）网络边界扩大导致网络入侵安全风险

（六）数控机床缺乏内部安全防护机制

四、数控机床网络安全防护实施

（一）开展数控机床网络安全基线管理

（二）加强数控网络边界防护

（三）加强数控主机安全防护

（四）完善数控机床网络资产管理和安全监测审计

（五）可信计算技术提高数控机床内生安全

（六）打造数控机床安全综合防护体系

五、数控机床网络安全发展建议

（一）推进数控机床相关安全标准规范制定

（二）提升数控机床网络安全综合技术防护能力

（三）开展数控机床网络安全评估评测

（四）推动数控机床相关安全产品应用及市场发展

撰写团队联系方式：

中国信通院

安全研究所

董悦

15201326713

dongyue3@caict.ac.cn