工業數控網絡安全風險有哪些

工業數控網絡安全風險有以下這些：

• 數控設備自身存在安全隱患：目前，在中國高端數控設備的應用市場中，以國外設備為主，設備自身存在的后門、漏洞等安全隱患是制造企業在生產和維護過程中無法自主可控的。

• 濫用USB設備導致非法外聯、病毒感染與數據泄露：眾多企業在生產和維護過程中，對于數控機床和測量儀器以及管理主機均存在濫用USB設備的情況，其中包括各種類型的智能手機、非密U盤，部分主機甚至非法連接無線上網卡。智能手機可通過3G/4G移動網絡連接外網，智能手機連接計算機后，只需進行對應的設置即可將智能手機的網絡共享給管理主機使用。無線上網卡更是可以直接為計算機提供連接外網的途徑。這些情況對于不應外聯的現場數控生產環境而言，會導致對網絡邊界安全防護的失控，是巨大的安全風險及泄密隱患。濫用USB設備也存在“擺渡”病毒、“擺渡”數據，致使數控系統主機被病毒入侵而破壞、加工數據被非法復制而出現泄密事故等重大安全風險發生。

• 數控網絡缺乏必要的安全防護影響安全生產：DNC網絡缺乏必要的限制，DNC服務器使用如FTP服務、Windows網上鄰居共享、私有協議等方式進行數控加工代碼等數據的共享，缺乏必要的訪問控制和身份驗證，任何接入該網絡的主機皆可訪問DNC服務器，并進行加工代碼下載/篡改等行為，可造成嚴重的數據泄密事件與安全生產事故。

• 數控設備數據傳輸缺乏安全防護機制，容易導致數據泄露：大量的數控設備采用了FTP協議進行加工代碼傳輸，而機床的賬號口令均使用了不足8位長度的弱密碼，存在被短時間內暴力破解FTP密碼從而發生數據泄露的隱患。當然也有些甚至部分數控機床的FTP服務器開放了匿名讀寫權限，無須任何用戶名和口令即可登錄并進行任何級別的文件操作（上傳/下載/刪除/修改），一旦被不法分子利用，也會造成重大的安全事故。

• 數控管理主機缺乏對病毒的有效檢測及防護機制：由于數控設備管理主機多數相對獨立，不與外網直接連接，缺乏包括病毒防護、主機安全管理在內的安全機制，導致管理主機通過USB口或者內部網絡而感染計算機病毒，如果感染了特定的病毒或木馬，將可能在全廠范圍內進行傳播，從而導致嚴重的數據泄露事件，同時病毒或木馬對主機的侵染也會直接影響正常生產業務。

• 人員的安全意識和技能不足：由于數控設備使用環境相對封閉，使用人員側重關注生產工藝的提升，而缺少對網絡安全知識的關注，使得相應的人員缺乏必要的網絡安全防護意識和技能。

解決工業數控網絡安全風險可以從以下方面入手：

• 數控網絡結構安全：梳理業務流程，優化數控網絡結構，強化分區、分域防護，通過在安全域邊界選擇串行部署數控行業審計保護一體機、工控網絡防護系統、隔離防護與交換產品，以保障數控網絡結構的安全。

• 數控網絡行為安全：加強數控網絡訪問行為、訪問內容的監測，對異常行為、違規操作進行監測、審計與告警，借助與邊界安全防護設備聯動，支撐行為安全防控，提升數控網絡安全。

• 數控網絡本體安全：按照數控網絡的應用特點，加強數控設備、上位機、服務器等主機安全管理，通過選擇部署工控主機安全防護，USB主機防護設備專用安全產品實現主機的安全管理，包括主機防病毒、防第三方軟件非授權安裝，外界USB存儲設備認證管理、操作行為審計，保護主機應用安全與防止數據泄密。

• 數控網絡基因安全：以自主研發、可信計算為設計思路，在高端制造領域未來時機成熟時，可通過采購國產數控設備、網絡設備和安全設備，規避國外廠商的后門風險。基于可信軟件、可信芯片和可信網絡技術，并結合數控網絡業務模型，構建具有可信計算環境、可信存儲環境和可信通信環境的基因安全數控網絡系統。

• 數控白名單安全：采用智能主機白名單和網絡黑白名單技術，具有實時識別移動USB設備的接入、非法的網絡連接、移動設備筆記本電腦和移動智能終端的接入、惡意病毒木馬、非工作范圍軟件入侵主機系統的特點，采取數據加密、內容識別、網絡流文件還原和命令還原技術、基于數控行業主流設備通信協議深度數據包提取解析的智能學習技術、詳細審計日志、網絡操控行為識別與控制等多種技術手段，為用戶提供了針對性的防入侵、防泄密手段以保障加工數據的安全。

回答所涉及的環境：聯想天逸510S、Windows 10。