王曉鵬，張雄杰，陳毅真，周建偉，尹雅偉

(北京神州綠盟科技有限公司，北京 100089)

0 引言

數(shù)控機床作為當今智能制造領域的核心裝備，是生產(chǎn)加工行業(yè)的關(guān)鍵設備。2021年8月19日，國資委會議精神強調(diào)，加強針對工業(yè)母機、高端芯片、新材料、新能源汽車等關(guān)鍵核心領域的技術(shù)攻關(guān)。這次會議將工業(yè)母機(即機床)列于首位，足見其之于制造業(yè)的重要地位。

然而針對數(shù)控機床的網(wǎng)絡攻擊日益嚴重，多家國際知名制造業(yè)巨頭屢遭攻擊，如何保證數(shù)控機床網(wǎng)絡與數(shù)據(jù)安全逐漸成為保障數(shù)控行業(yè)發(fā)展的關(guān)鍵問題之一。國內(nèi)外現(xiàn)有的數(shù)控機床防護設備普遍存在專業(yè)性不足的問題，并不完全適用于數(shù)控網(wǎng)絡。本文立足于行業(yè)痛點，解決數(shù)控機床安全緊迫問題，實現(xiàn)需求側(cè)安全保障；同時，立足供給側(cè)打造數(shù)控機床安全供給能力。安全問題是制造強國戰(zhàn)略的核心關(guān)切之一，因此，本文的研究設計及解決方案緊密服務國家戰(zhàn)略需求，對于保障制造強國、數(shù)字中國等戰(zhàn)略具有重要現(xiàn)實意義。

1 我國數(shù)控機床的發(fā)展現(xiàn)狀

機床作為“工業(yè)母機”，與國家制造業(yè)水平密切相關(guān)。經(jīng)過多年發(fā)展，我國數(shù)控機床行業(yè)取得了長足進步，但“精度及穩(wěn)定性差、故障多發(fā)”仍是國產(chǎn)數(shù)控機床亟需突破的技術(shù)難點，我國數(shù)控機床市場呈現(xiàn)出“國產(chǎn)中低端數(shù)控機床發(fā)展迅速，高端數(shù)控機床依靠進口，核心技術(shù)受制于人”的局面。

自2006年以來，國務院、發(fā)改委、工信部等部門陸續(xù)出臺了針對高端數(shù)控機床的發(fā)展指引，在我國自主創(chuàng)新能力不斷提升的背景下，廣州數(shù)控、華中數(shù)控等廠商在國產(chǎn)高端數(shù)控系統(tǒng)市場逐步突破，未來有望打破國外壟斷，實現(xiàn)進口替代。

2 我國數(shù)控機床網(wǎng)絡安全典型問題分析

隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，數(shù)控機床行業(yè)逐漸向復合化、網(wǎng)絡化、智能化發(fā)展，然而我國數(shù)控網(wǎng)絡安全防護建設相對于數(shù)控行業(yè)的發(fā)展明顯落后，安全防護的滯后成為其發(fā)展的制約因素，其中的典型問題如下：

(1)國產(chǎn)化不足：高端數(shù)控機床通常采用國外品牌，從而導致數(shù)控系統(tǒng)自身安全難以保證，可能存在系統(tǒng)設計漏洞和預留后門等安全隱患。

(2)網(wǎng)絡邊界無防護：數(shù)控網(wǎng)絡邊界無任何安全防護措施或安全措施失效，面臨著被病毒感染、惡性攻擊的風險。

(3)U口無管控：很多數(shù)控車間直接使用U盤進行NC文件導入導出，并無管控措施，極有可能導致惡意代碼的傳播、核心生產(chǎn)工藝泄密。

(4)運維無管控：數(shù)控設備的維護往往依賴供應商，通過在服務器上安裝向日葵、VNC等互聯(lián)網(wǎng)遠程運維工具，進行無管控運維，導致設備的運維行為不可控，存在巨大的安全風險。

(5)主機防護不到位：操作系統(tǒng)老舊，很少更新補?。恢鳈C普遍存在未關(guān)閉默認共享、開啟高風險端口(80、135、443、445、3389)，不滿足系統(tǒng)最小安裝原則，未落實主機必要的安全配置。

(6)管理失位：工業(yè)企業(yè)針對數(shù)控系統(tǒng)安全防護意識淡薄險，缺乏相應的網(wǎng)絡安全管理策略，如：未落實安全責任人、供應商管理不嚴等。

3 我國數(shù)控機床安全防護建設需求分析

3.1 我國數(shù)控機床網(wǎng)絡組成

我國典型數(shù)控機床網(wǎng)絡[1]如圖1所示。圖中虛線框內(nèi)的部分為數(shù)控機床網(wǎng)絡，由NC服務器、采集服務器、數(shù)控設備、網(wǎng)絡通信設備等組成。

圖1 典型數(shù)控網(wǎng)絡

數(shù)控機床網(wǎng)絡包括數(shù)控設備層和監(jiān)督控制層。

(1)數(shù)控設備層：包含各類通過有線通信或無線通信方式聯(lián)網(wǎng)的數(shù)控設備。通過數(shù)控網(wǎng)絡可以實現(xiàn)NC代碼的集中管理、數(shù)控設備的啟?？刂埔约皵?shù)控設備加工狀態(tài)的自動采集。

(2)監(jiān)督控制層：包含各類數(shù)據(jù)采集服務器和NC服務器。監(jiān)督控制層的服務器與運營管理層的服務器進行信息交互。

3.2 數(shù)控機床網(wǎng)絡安全風險分析

數(shù)控機床網(wǎng)絡安全風險主要體現(xiàn)在如下五方面：

(1)網(wǎng)絡安全風險：數(shù)控網(wǎng)絡與管理網(wǎng)邊界缺少必要的邊界防護措施，導致管理網(wǎng)安全風險容易橫向傳播到數(shù)控網(wǎng)絡；數(shù)控設備經(jīng)常需要遠程維護，卻無專用的運維管理系統(tǒng)。

(2)設備安全風險：在數(shù)控網(wǎng)絡中MDC服務器、DNC服務器、數(shù)控機床等設備普遍存在弱口令、漏洞未修復、USB無管控、無病毒防范措施等問題。

(3)應用安全風險：MDC、DNC等應用系統(tǒng)普遍存在弱口令、無身份鑒別措施、自身安全措施較少等問題，易受到病毒或黑客的攻擊。

(4)數(shù)據(jù)安全風險：數(shù)控網(wǎng)絡中的網(wǎng)絡、設備和應用本身存在敏感數(shù)據(jù)泄露風險，數(shù)據(jù)的產(chǎn)生、使用、存儲等方面缺乏防護，特別是NC代碼，易造成數(shù)據(jù)的完整性和機密性受到破壞。

(5)安全管控風險：數(shù)控網(wǎng)絡中部署的各類安全設備缺乏統(tǒng)一的安全管控，缺乏動態(tài)發(fā)現(xiàn)數(shù)控網(wǎng)絡中的風險并預警能力。

3.3 現(xiàn)有數(shù)控機床安全防護技術(shù)分析

在數(shù)控機床安全防護技術(shù)領域，國內(nèi)外廠商都在開展技術(shù)研究。日本大隈將OSP-VPS防病毒系統(tǒng)[2]內(nèi)置在自家特定型號的數(shù)控機床中，側(cè)重對NC文件傳輸過程中的病毒查殺；中國航天科工集團公司HT706-CISP邊界安全網(wǎng)關(guān)[3]，用于實現(xiàn)DNC網(wǎng)絡與數(shù)控機床的邏輯隔離，側(cè)重對數(shù)控機床接口(網(wǎng)口/串口/USB口)的綜合管控。除了部署專用的防護設備外，目前，我國針對數(shù)控網(wǎng)絡的主流防護方案是，使用工業(yè)防火墻[4]或工業(yè)網(wǎng)閘[5]進行安全域邊界隔離，應對入侵活動和攻擊性行為。

現(xiàn)有技術(shù)中，針對邊界隔離、病毒查殺等方面都有探索及技術(shù)儲備，而數(shù)控網(wǎng)絡中最具防護價值的是加工文件“NC代碼”，因為NC代碼以文件特征為核心，需要解析文本中的字符串，用于發(fā)現(xiàn)內(nèi)容篡改等安全隱患；現(xiàn)有產(chǎn)品，如工業(yè)防火墻，以解析網(wǎng)絡流量特征為核心，并不能解決“NC代碼”防護需求。

縱觀國內(nèi)外現(xiàn)有的數(shù)控機床防護設備[6-9]，都存在專業(yè)性不足的問題，并不完全適用于數(shù)控網(wǎng)絡。所以，具備以解析“NC代碼”為核心，同時擁有綜合防護能力專用安全產(chǎn)品，成為我國數(shù)控機床安全防護的迫切需求。

4 工業(yè)母機防火墻研究及設計

4.1 工業(yè)母機防火墻功能設計

針對數(shù)控機床專用防護，應從防護效率、防護效力兩個維度進行設計，為此，本文設計了一種以《GB/T 37933-2019信息安全技術(shù) 工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求》[4]為基礎要求，同時將“NC代碼異常檢測”“NC代碼病毒檢測”“防碰撞檢測”等安全機制結(jié)合起來的工業(yè)防火墻系統(tǒng)：工業(yè)母機防火墻。

工業(yè)母機防火墻由五部分組成：公共管理、安全引擎、高可用、數(shù)據(jù)通信引擎、國產(chǎn)化平臺，如圖2所示。其中安全引擎、高可用、數(shù)據(jù)通信引擎為設計核心。

圖2 工業(yè)母機防火墻模塊結(jié)構(gòu)圖

(1)數(shù)據(jù)通信引擎：包含流轉(zhuǎn)發(fā)、IP/MAC綁定、ACL、雙向NAT、路由、VPN、串口透傳、U口透傳。

·訪問控制模塊：設置通信主客體的訪問控制規(guī)則。

·VPN：包含IPSEC、SSLVPN。

·路由：包含靜態(tài)、動態(tài)、策略路由。

·U口映射[10-11]：支持USB映射功能，用于U盤拷貝NC代碼。

·串口透傳[10-11]：串行接口方式串接在運維終端/采集終端與數(shù)控機床之間，實現(xiàn)遠程運維及采集。

(2)安全引擎：包括病毒檢測、NC代碼合規(guī)性檢測模塊、NC代碼異常檢測模塊、告警模塊、知識庫、文件代理模塊、數(shù)控協(xié)議深度解析、工業(yè)協(xié)議識別等。

·NC代碼合規(guī)檢測模塊：合規(guī)性檢測組件用于對NC代碼文件容量及擴展名格式檢測；異常檢測組件用于干涉檢測及敏感信息監(jiān)測。

·NC代碼異常檢測模塊：包含詞法/語法檢測組件和防碰撞檢測組件，詞法/語法錯誤檢測組件用于發(fā)現(xiàn)相應的詞法/語法錯誤，防碰撞檢測組件是對于非語法錯誤但可以降低碰撞事件的程序語句進行優(yōu)化，進行注釋行標記提醒。

·工業(yè)協(xié)議識別模塊：基于工業(yè)協(xié)議特征值的識別。

·數(shù)控協(xié)議深度解析模塊：基于數(shù)控協(xié)議(MT-Connect、NC-LINK、OPC UA、FOCAS等)及協(xié)議內(nèi)容的解析及過濾。

·病毒檢測模塊：包含流式病毒檢測組件和啟發(fā)式病毒檢測組件，流式病毒檢測組件實現(xiàn)對通信流量的病毒查殺，啟發(fā)式病毒檢測組件實現(xiàn)對流量還原出的文件進行查殺。

·告警模塊：針對檢測過程中報警事件，進行告警。

·文件代理模塊：實現(xiàn)NC代碼文件的轉(zhuǎn)發(fā)。

·知識庫模塊：包含工業(yè)母機防碰撞規(guī)則庫和詞法/語法庫。

(3)高可用：包含雙機熱備、負載均衡、軟硬件看門狗、硬件Bypass等功能。

4.2 工業(yè)母機防火墻業(yè)務流程設計

本文僅對DNC服務器與工業(yè)母機網(wǎng)絡通信防護業(yè)務流程進行重點介紹，業(yè)務流程如圖3所示。

圖3 工業(yè)母機防火墻業(yè)務流程圖

(1)選擇數(shù)控機床型號，關(guān)聯(lián)相應NC代碼詞法/語法庫、NC代碼防碰撞規(guī)則庫。

(2)設置訪問控制規(guī)則，確定通信主客體(DNC服務器及工業(yè)母機)的IP五元組(源IP、源端口、目的IP、目的端口、傳輸層協(xié)議端口)信息，并完成通信主客體的IP/MAC綁定，進入步驟(3)。

(3)對通信主客體之間的流量完成L1～L3層報文解析，并進行ACL控制，如出現(xiàn)不符合ACL規(guī)則的流量，則進入步驟(9)，如符合則進入步驟(4)。

(4)通信流量進入病毒檢測模塊，病毒檢測模塊包含流式病毒檢測組件和啟發(fā)式病毒檢測組件，兩個組件同步檢測，用于過濾阻斷通信流量中存在的木馬程序、蠕蟲及勒索病毒、惡意郵件等威脅。流式病毒檢測，對主客體通信流量的載荷，與流式病毒特征庫進行比對，如命中病毒特征，將含病毒的流量留存為Pcap包，并進入步驟(8)。進行啟發(fā)式病毒檢測前，需要對流量中NC代碼進行文件還原，生成NC代碼文件，實現(xiàn)文件的病毒檢測，如命中病毒特征，對NC代碼文件進行留存，并進入步驟(8)。如同時通過啟發(fā)式和流式病毒檢測，進入步驟(5)。

(5)NC文件進入NC代碼合規(guī)性檢測模塊，NC代碼合規(guī)性檢測模塊包括文件后綴名驗證及文件容量驗證。文件后綴名驗證，檢查文件是否符合NC文件的格式要求，只允許合規(guī)的文件(如*.nc、*.mpf、*.h等，如表1所示)進行傳輸；如不符合，對NC代碼文件進行留存，進入步驟(8)。同時對NC文件容量進行檢查，防止導入病毒文件或超大配置文件，避免系統(tǒng)中毒或崩潰，如超過NC代碼規(guī)定的容量閾值，對NC代碼文件進行留存，進入步驟(8)。如同時通過文件后綴名驗證及文件容量驗證，進入步驟(6)。

表1 NC代碼常見擴展名

(6)NC文件進入NC代碼異常檢測模塊，NC代碼異常檢測模塊包括內(nèi)容過濾組件、詞法/語法檢測組件、防碰撞組件。

首先，由內(nèi)容過濾組件，實現(xiàn)NC代碼中涉密信息過濾，如刪除代碼注釋行或刪除注釋行中關(guān)鍵字，防止敏感數(shù)據(jù)通過NC代碼進行傳遞。

其次，同步進行詞法/語法錯誤檢測和防碰撞檢測，此時需要對NC代碼中的每個程序段進行逐行掃描，逐行檢測。其中詞法/語法檢測組件，目的在于識別NC代碼中的錯誤詞法或語法；防碰撞組件，目的在于運行NC代碼之前，自動檢查刀具和工件、夾具、機床單元之間的干涉，進行程序優(yōu)化，提出修訂意見及標記注意事項，實現(xiàn)防碰撞。

詞法/語法錯誤檢測規(guī)則庫[12-15]包括：出現(xiàn)小寫字母，[]號不匹配；非法字地址；非法G代碼；非法M代碼；小數(shù)點錯誤；同組G代碼缺少G17/G18/G19；T代碼后無換刀M06；某些系統(tǒng)程序開始需要有無條件倒帶指令“%”，無此指令則出錯;某數(shù)控系統(tǒng)要求T指令范圍為1～99，超出該范圍，即出錯。

防碰撞檢測規(guī)則庫包括：如坐標系原點未設定，程序段結(jié)束時模態(tài)指令未取消；公制單位與英制單位換算等。此規(guī)則庫是實踐經(jīng)驗集合，匯總了各類由編程間接引發(fā)的碰撞事故。

如命中詞法/語法規(guī)則或防碰撞規(guī)則，則對該行程序注釋行添加標記信息，如“非法G代碼”“刀補值未設定，有撞刀風險”，被編輯后的NC代碼進行本地留存并進入步驟(7)。如未命中詞法/語法規(guī)則或防碰撞規(guī)則，則直接進入步驟(7)。

(7)通信代理模塊將檢查后的NC代碼文件行通過文件共享協(xié)議(FTP、SMB等)完成文件發(fā)送，通信結(jié)束。

(8)截斷通信主客體之間的通信，錯誤警報模塊完成告警日志生成，且可上傳第三方應用及平臺。

4.3 工業(yè)母機防火墻效果分析

工業(yè)母機防火墻通過訪問控制模塊進行通信認證，通過防病毒模塊完成病毒查殺，通過NC代碼合規(guī)性檢測模塊實現(xiàn)NC代碼的后綴名及文件容量驗證，通過NC代碼異常檢測模塊實現(xiàn)NC代碼的詞法/語法錯誤檢測及防碰撞檢測，這些安全機制結(jié)合起來，不僅可解決NC代碼被篡改、敏感信息泄露等技術(shù)問題，而且有效降低了數(shù)控機床干涉事故的發(fā)生，實現(xiàn)業(yè)務安全與網(wǎng)絡安全的雙防護。

2022年1月份，工業(yè)母機防火墻正式部署在某大型汽車制造企業(yè)加工中心，自部署工業(yè)母機防火墻以來，已獲取日志數(shù)量：6 037 949條，觸發(fā)檢測規(guī)則：63條(包含永恒之藍漏洞利用(MS17-010)攻擊；瀏覽器插件導致內(nèi)存耗盡的攻擊等)，有效地防止了網(wǎng)絡攻擊事件的發(fā)生。此外，部署工業(yè)母機防火墻還取得了明顯的經(jīng)濟效果，至今一年時間未發(fā)生一起因操作不當造成的碰撞事故。按此加工中心2021年有記錄的碰撞事故計算，已避免損失近50萬元。經(jīng)過近一年的效果檢測，完滿地完成了產(chǎn)品既定設計目標。

目前，本文研究內(nèi)容獲得了“2021年工業(yè)互聯(lián)網(wǎng)高質(zhì)量發(fā)展工程聯(lián)網(wǎng)數(shù)控數(shù)控機床安全項目”(項目號：TC210H02L)支持，研究成果已完成產(chǎn)品化。

5 基于工業(yè)母機防火墻的數(shù)控網(wǎng)絡安全防護方案

數(shù)控網(wǎng)絡安全防護方案設計思路基于《網(wǎng)絡安全法》和《關(guān)鍵信息基礎設施安全保護條例》規(guī)定，按照《GB/T 37955-2019信息安全技術(shù) 數(shù)控網(wǎng)絡安全技術(shù)要求》《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》[16]中通用要求和工業(yè)控制系統(tǒng)的擴展要求，同時結(jié)合了P2DR安全模型和IATF信息保障技術(shù)框架理念，分別建設安全技術(shù)體系和安全管理體系。通過構(gòu)建一個中心(安全管理中心)三重防護(安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境)，打造數(shù)控網(wǎng)絡安全縱深防護體系；再結(jié)合各種管理手段、安全策略，提供多維度、全方位的網(wǎng)絡安全防護能力，從而形成有效防護、及時響應的安全防御體系。基于安全現(xiàn)狀和安全設計思路，整體安全架構(gòu)設計如圖4所示。

圖4 數(shù)控機床網(wǎng)絡安全防護拓撲圖

5.1 安全通信網(wǎng)絡建設

(1)安全域劃分：根據(jù)數(shù)控網(wǎng)絡的重要性、功能等因素劃分不同安全域，包括數(shù)控設備層、監(jiān)督控制層、運營管理層，其中數(shù)控設備層根據(jù)車間不同進行安全域區(qū)分。

(2)帶寬管理：考慮到數(shù)控網(wǎng)絡的健壯性，需要通過流量管理實現(xiàn)控制指令、NC代碼的有效傳輸，須部署工業(yè)母機防火墻，根據(jù)業(yè)務實際需求智能分配業(yè)務帶寬，防止業(yè)務流量(NC代碼上傳/下載、數(shù)控監(jiān)控數(shù)據(jù)上傳)搶占情況出現(xiàn)，保證了數(shù)控網(wǎng)絡的高可靠性、高可用性。

(3)通信傳輸：考慮到數(shù)控網(wǎng)絡數(shù)據(jù)機密性，需要通過加密數(shù)控網(wǎng)絡流量來保護傳輸?shù)年P(guān)鍵信息不會被竊取和篡改，此時須部署工業(yè)母機防火墻。工業(yè)母機防火墻采用專用硬件進行加密，支持SM2、SM3、SM4國密算法，具有更高的安全強度和網(wǎng)絡性能。

5.2 安全區(qū)域邊界建設

(1)邊界防護：根據(jù)安全域劃分，監(jiān)督控制層與運營監(jiān)控層間、數(shù)控機床前端，分別部署工業(yè)母機防火墻進行邏輯隔離，實現(xiàn)身份認證和授權(quán)、非法內(nèi)外聯(lián)檢查等能力。

(2)訪問控制：在各個安全區(qū)域邊界部署工業(yè)母機防火墻，依據(jù)最小化原則配置訪問控制策略，實現(xiàn)基于五元組的訪問控制、白名單匹配、工業(yè)協(xié)議深度包檢測及過濾、NC代碼檢測及過濾等能力。訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數(shù)據(jù)庫表級。

(3)入侵防范/惡意代碼防范/安全審計：工業(yè)母機防火墻作為數(shù)控網(wǎng)絡專用設備，實現(xiàn)了入侵防范、惡意代碼查殺、安全審計功能的集成，該產(chǎn)品符合《GB/T 37933-2019信息安全技術(shù) 工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求》[16]《GA/T 1177-2014信息安全技術(shù) 第二代防火墻安全技術(shù)要求》[17]的雙標準測試認證要求，可以精簡安全設備的部署。

通過在各個安全區(qū)域邊界/數(shù)控機床前端部署工業(yè)母機防火墻，實現(xiàn)基于攻擊特征的網(wǎng)絡攻擊檢測，提供數(shù)控通信協(xié)議審計、程序異常行為檢測等事件的實時審計能力，實現(xiàn)基于通信流量的啟發(fā)式和流式惡意代碼查殺，阻止病毒傳播和惡意軟件入侵事件。

5.3 安全計算環(huán)境建設

(1)服務器計算環(huán)境安全

數(shù)控機床計算機一般采用專用系統(tǒng)或精簡的Windows系統(tǒng)，且無法為系統(tǒng)及時的更新補丁，所以更適合用主機白名單軟件做病毒防護和惡意軟件防護。通過部署主機白名單軟件，實現(xiàn)身份鑒別、訪問控制、惡意代碼防范等功能。

(2)數(shù)控機床計算環(huán)境安全

“應使用專用的設備及軟件對控制設備進行更新”作為等級保護制度對工控設備運維的最新要求，市場卻無專用的工控設備運維工具，堡壘機并不適用于工控設備運維，通過使用具備U口/串口/網(wǎng)口運維能力工業(yè)母機防火墻就顯得尤為重要。通過在數(shù)控機床前端部署工業(yè)母機防火墻，作為數(shù)控機床運維專用設備，實現(xiàn)控制設備固件更新及運維。

5.4 安全管理中心建設

為實現(xiàn)安全設備的統(tǒng)一管理、策略下發(fā)、日志收集，須部署安全管理平臺/廠級態(tài)勢感知系統(tǒng)，實現(xiàn)對數(shù)控網(wǎng)絡中的安全產(chǎn)品及安全事件進行統(tǒng)一管理。

為實現(xiàn)對運維操作行為的管控和審計，須部署安全運維管理系統(tǒng)(堡壘機)，用于用戶管理、授權(quán)管理、認證管理和綜合審計，實現(xiàn)安全設備的運維管理。

5.5 安全管理要求建設

應從組織機構(gòu)、管理制度、人員管理、系統(tǒng)建設、運維管理多個維度落實安全管理要求。首先，明確網(wǎng)絡安全負責人和管理組織，企業(yè)主要負責人是網(wǎng)絡安全第一責任人，明確關(guān)鍵崗位和職責等。其次，進行管理制度建設，涵蓋一級文件(網(wǎng)絡安全方針、戰(zhàn)略)，二級文件(管理規(guī)定、辦法)，三級文件(操作流程、作業(yè)指導書、模板等)，四級文件(各類表單、報告等)。最后，對制度文件進行發(fā)布、執(zhí)行等管理。

6 結(jié)論

隨著先進制造技術(shù)、人工智能技術(shù)的發(fā)展，數(shù)控機床的技術(shù)創(chuàng)新及產(chǎn)品換代也將加速，數(shù)控機床呈現(xiàn)出“高速化、高精度化、復合化、智能化、開放化、網(wǎng)絡化、綠色化”的技術(shù)趨勢，也要求網(wǎng)絡安全防護能力能同步適應行業(yè)技術(shù)發(fā)展。

本文通過對數(shù)控機床網(wǎng)絡安全現(xiàn)狀、數(shù)控機床發(fā)展趨勢、數(shù)控機床防護技術(shù)的分析，提出了一種基于工業(yè)母機防火墻的數(shù)控機床網(wǎng)絡安全防護體系建設思路，該安全防護體系主要從安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理要求、專用防護設備等方面給出了數(shù)控機床網(wǎng)絡安全的具體防護措施和建議，以期推進打造數(shù)控機床安全供給能力，護航制造強國、數(shù)字中國等戰(zhàn)略目標。