DNC網絡保密安全性技術研究

摘 要：隨著數控機床的普及使用，許多企業配置了一定數量的數控機床。在此基礎上，引入了DNC（分布式數字控制Distributed Number Control）網絡，用以程序傳輸與管理，在大大提高工作效率的同時，也給原有涉密園區網帶來了安全風險。本文旨在通過對風險與對策的深入分析研究，力爭為企業提供可借鑒的處理方法。

關鍵詞：DNC；保密；安全

中圖分類號：TG659 文獻標識碼：A 文章編號：1674-7712 （2014） 22-0000-01

DNC網絡主要用于傳輸數控機床所用的數控程序，數控程序來源于工藝部門的計算機。對于保密單位來說，工藝部門的計算機位于內部涉密網絡，DNC網絡則是非涉密網絡。本文主要研究在不能做到完全物理隔離的基礎上，如何將DNC網絡與企業原有的涉密網絡安全的連接在一起。

一、DNC網絡概念

DNC（分布式數字控制），是以計算機技術、通訊技術、數控技術等為基礎，把數控機床與上層控制計算機集成起來，從而實現數控機床的集中控制管理，以及數控機床與上層控制計算機間的信息交換。它是現代化機械加工車間實現設備集成、信息集成、功能集成的一種新方法，是車間自動化的重要模式，也是實現MES（制造執行）等系統的重要組成部分。

（一）DNC網絡的硬件組成

DNC網絡由以下幾部分組成：DNC服務器、DNC客戶端、網絡交換機、串口交換機、網線、數控機床。

（二）常用的程序傳輸方式

基于串口協議的RS232C方式以及基于網絡協議的TCP/IP方式。

（三）基本網絡連接方式

數控機床通過網線和交換機直接連入企業園區網（如圖1所示）。

二、風險源

數控機床操作系統界面多種多樣，但多數操作系統都建立在其它核心操作系統之上，例如西門子系統的內核或者叫底層操作系統為微軟的Windows系統，此系統和公司園區網計算機操作系統相同，易造成木馬或病毒的廣泛傳播。因多數數控機床的硬件配置較低，為防止對數控機床造成死機或其它不良影響，致使無法像園區網計算機一樣為其安裝任何安全審計系統，也無法使用殺毒防護系統。將這樣不安全的系統連接至公司園區網，使數控機床作為木馬或病毒的侵入口，必然帶來不可估量的危險后果。有鑒于此，需要一套有效的解決方案。

三、對策

（一）劃分專屬VLAN

按照保密要求，DNC網絡應與內部涉密園區網實行物理隔離，實現對園區網保密安全性的基本保障。可一旦將DNC網絡與園區網完全實行了物理隔絕，那么就無法將園區網計算機上的數控程序傳送至DNC服務器上，此時DNC網絡也就失去了存在的實際意義。

既然實際情況不允許做到完全的物理隔離，那么就需要找到一個替代辦法能最大程度的實現DNC網絡與涉密園區網的安全隔離。我們的辦法是在交換機層面將DNC網絡劃分為單獨的專屬VLAN（虛擬的物理隔絕網絡）（如圖2所示）。因為不管是木馬還是病毒，對于計算機系統來說都是程序代碼，也就是軟件，軟件的運行要遵循自身的規律，它并不能跨Vlan來控制或訪問其他主機。

（二）DNC服務器配置雙網卡

劃分VLAN后，園區網與DNC網絡不能互相訪問。此時，可通過在DNC服務器上安裝雙網卡實現兩個網絡的數據通信。一塊網卡位于園區網內部，另一塊則位于DNC網絡內部。也可將DNC服務器看作兩個網絡的中間機，它是兩個網絡唯一的交叉點。

（三）設置跳板機

設置跳板機的目的是在數控機床與DNC服務器之間安置第一道安全屏障。通過在跳板機上安裝防病毒軟件和安全審計系統，防止木馬或病毒通過數控機床直接進入DNC服務器，進而直接影響內部園區網。并可通過軟硬結合的方式控制數據連接方向，只允許DNC服務器通過跳板機訪問數控機床，不允許數控機床端發起請求連接DNC服務器，屏蔽掉木馬或病毒進入內部園區網的通道。

（四）安裝硬件防火墻

在DNC服務器與內部園區網之間設置硬件級防火墻，作為第二道安全屏障。對經過防火墻的數據包進行過濾，防止未經授權的數據包進入內部園區網。

（五）數控設備端防護

通過物理方式封閉U口、軟驅、光驅等無用硬件接口，將數控設備端感染木馬或病毒的可能降到最低。

四、結束語

本文分析了有保密要求的內部涉密園區網與DNC網連接的安全風險，通過從五個方面入手給出了具體的解決方案，實現了內部園區網中產生的數控加工程序安全的分發到數據機床端，并限制數控機床端可能感染的木馬或病毒進入內部涉密園區網的設想，為企業的此類需求提供了現實的指導意義。

參考文獻：

[1]閆偉國，王敏杰，王敏銳.基于以太網和TCP/IP的DNC通信技術研究[J].大連理工大學學報，2003（01）.

[2]劉云，孟嗣儀.通信網絡安全[M].北京：科學出版社，2011.

[作者簡介]李爽（1981.09-），男，工程師，2003年畢業于沈陽工業大學計算機科學與技術專業，學士學位，現就職于中航工業黎明機匣加工廠，研究方向：企業信息化應用與實施。