1、數(shù)據(jù)機床的安全現(xiàn)狀

目前國內使用的主流數(shù)控生產設備核心系統(tǒng)大部分是國外廠家，特別是專機和精機主要為國外廠家全套引進 ，如國內大量使用Siemens、FANUC等國外數(shù)控系統(tǒng)，核心技術受制于人，大大增加了不可控因素，而數(shù)控系統(tǒng)一旦遭到破壞和入侵，將直接導致生產的中斷和產量的降低，更重要的是由廠商提供遠程維護升級，這直接導致生產數(shù)據(jù)及工藝等機密信息的泄露從而影響到我國家戰(zhàn)略安全。因此，數(shù)控系統(tǒng)安全不容忽視，進行數(shù)控機床的安全防護是迫切和必要的。

數(shù)控機床應用存在以下安全隱患：

1、上位機、服務器外接USB存儲設備，致使其被病毒感染，USB外接手機、PDA等智能上網(wǎng)設備，致使其直接暴露在互聯(lián)網(wǎng)上，給安全生產與加工數(shù)據(jù)安全帶來重大安全隱患；

2遠程運維操作、日常生產操作中存在非法操作行為直接影響安全生產與加工數(shù)據(jù)的安全性，如：非法篡改加工指令、盜取加工數(shù)據(jù)等行為；

3）數(shù)控機床的DNC聯(lián)網(wǎng)，以及隨著國家兩化融合、中國制造2025國家戰(zhàn)略的推進，工業(yè)控制網(wǎng)絡的開放性必然會帶各種網(wǎng)絡攻擊風險；

2、解決方案

面對數(shù)控機床應用的安全現(xiàn)狀，匡恩網(wǎng)絡做了深入的調查與研究，最對不同的應用場景，我方提供全生命周期的安全解決方案，為數(shù)控機床安全生產構建安全防御體系。

1）數(shù)控機床風險評估：

風險評估是全面了解與驗證數(shù)據(jù)機床使用環(huán)境中存在的各種風險的一種必要手段，是安全防護體系建設的前提，我方將針對用戶數(shù)控機床運行環(huán)境與安全管理制度，借助專業(yè)的威脅評估平臺工具，生成權威的安全風險評估報告，為用戶全面了解數(shù)控機床安全風險提供依據(jù)。

威脅評估平臺具備整套創(chuàng)新性的風險評估科學方法，包括項目管理、全面數(shù)據(jù)收集、全網(wǎng)攻擊路徑、結構安全性分析、流程審計、網(wǎng)絡行為審計、專業(yè)評分報告等。該工具搭載專業(yè)的可升級的工控安全漏洞庫，覆蓋當前工業(yè)控制網(wǎng)絡中存在的各種已知漏洞，并且提供漏洞防護安全策略。工具支持分階段、多人配合使用，方便用戶根據(jù)實際情況有計劃有步驟的完成風險評估以及后續(xù)安全數(shù)據(jù)收集分析工作。

圖1 數(shù)控機床風險評估典型部署

2）單機運行防護方案:

圖2 數(shù)控機床單機運行安全防護部署

數(shù)控機床單機部署時，安全風險主要出現(xiàn)在管理主機上，如上圖所示，我們通過在數(shù)控機床與管理機間串行部署數(shù)控審計保護平臺，此產品具有數(shù)控審計與智能防護兩大功能，通過多種安全策略部署，可實現(xiàn)APT攻擊、異常控制和非法數(shù)據(jù)包進行深度分析、過濾、告警、阻斷并對各類安全威脅實施監(jiān)測審計，實現(xiàn)對數(shù)控機床的有效安全防護。通過在管理主機上安裝工控衛(wèi)士來實現(xiàn)管理主機防病毒與USB外設管理，進而保證數(shù)控機床單機環(huán)境運行安全。

3）DNC聯(lián)網(wǎng)運行防護方案：

圖3 DNC聯(lián)網(wǎng)安全防護部署圖

上圖為數(shù)控機床DNC聯(lián)網(wǎng)運行典型的組網(wǎng)拓撲圖，我們通過在各網(wǎng)絡分區(qū)邊界、數(shù)控機床邊界串行或旁路部署數(shù)控審計保護平臺實現(xiàn)對區(qū)域內及終端的有效保護，通過部署安全監(jiān)管平臺實現(xiàn)對網(wǎng)內部署的若干數(shù)控審計保護平臺的統(tǒng)一配置與安全事件管理，實現(xiàn)全網(wǎng)安全風險管理、分析與呈現(xiàn)。網(wǎng)內的上位機、服務器上統(tǒng)一部署工控衛(wèi)士安全軟件，實現(xiàn)主機運行進程的控制與管理、主機USB外接存儲設備的認證與管理以及文件操作行為審計。

4）高仿真攻防對抗平臺建設

由于工業(yè)控制網(wǎng)絡對穩(wěn)定性要求相當嚴格，為了能更好的進行數(shù)控機床應用的安全風險研究，我方可幫助用戶建設高仿真攻防對抗平臺，通過不斷的在仿真系統(tǒng)上進行深入的漏洞挖掘、攻擊研究，完成攻擊效果展示及安全防護方案驗證。

（1）提供工控網(wǎng)絡安全標準制定的仿真分析環(huán)境

（2）提供工控網(wǎng)絡安全標準草案的離線驗證環(huán)境

（3）提供工控網(wǎng)絡安全事故和漏洞根源分析試驗環(huán)境

（4）提供工控網(wǎng)絡安全保護及補償性措施驗證環(huán)境

5）安全培訓與安全運維服務

安全培訓是為用戶提供工業(yè)控制網(wǎng)絡安全風險與解決方案標準化培訓，提供針對用戶數(shù)控機床應用安全運維專業(yè)培訓，為用戶普及信息安全知識、工控網(wǎng)絡安全知識、工控網(wǎng)絡安全問題解決對策和工控網(wǎng)絡安全前沿研究成果；針對用戶數(shù)控機床的安全防護體系建設，詳細介紹日常運維、漏洞挖掘與安全風險處置方法等。

我方可根據(jù)用戶需要提供專業(yè)的安全運維服務，幫助用戶做好日常安全運維工作。

3、業(yè)務價值

匡恩網(wǎng)絡憑借對國內數(shù)控機床應用的深入了解，提供以上數(shù)控機床應用的全生命周期的安全解決方案，為用戶安全生產，數(shù)據(jù)防泄密，為兩化融合、中國制造2025國家戰(zhàn)略實施進行安全保駕護航。