7.3 訪問控制

基本要求包括：

a) 在數據傳輸之前，應能夠對通信的雙方進行身份鑒別；

b) 遠程維護數控設備時，應通過可信信道接入，采用單向訪問控制措施，禁止從數控設備獲取NC 代碼等工藝信息，應采用加密技術防止鑒別信息在網絡傳輸過程中泄露；

c) 應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的終端進行限制；

d) 應支持配置非活動時間，超過非活動時間后，應終止遠程會話；

e) 應在數控設備層和監督控制層之間、監督控制層和管理網絡之間部署保護設備對進出網絡的數據流量進行深度解析，對數據流量的源地址、目的地址、源端口、目的端口和協議等信息進行檢查過濾，以允許/拒絕數據包進出數控網絡。

增強要求包括：

a) 應禁止通過互聯網等公共網絡進行遠程訪問；

b) 應能夠對 NC 服務器和數控設備之間傳輸的 NC 代碼進行內容過濾以防止惡意修改。

本文章首發在網安wangan.com 網站上。