先说句大实话——马扎克(MAZAK)不是在你车间安了台监控,但它确实留了一扇“带指纹锁的后门”,而且钥匙还分三把:一把给售后工程师,一把给授权服务商,最后一把……嗯,暂时没交到你手上。
别慌,这扇门不是“黑客入口”,而是正经八百、出厂就焊死的远程支持通道。我们速捷工控(晋江速捷自动化科技有限公司)干这行快七年了,修过上百台马扎克设备,从QT系列到INTEGREX,从老款M32到最新一代Smooth X,对这套“远程服务生态”熟得像自家冰箱——哪层放冰啤酒,哪格藏私房PLC备份,门儿清。
下面咱们不讲PPT,不甩术语堆,就用修机师傅蹲在电柜旁拧螺丝时聊的那种语气,把这事儿掰开揉碎了说清楚:
1.1 厂家预置远程访问通道:e-Service ≠ 远程木马,但也不是“可有可无”的装饰品
马扎克的远程能力,核心就俩名字:MAZAK e-Service 和 Remote Support Portal(RSP)。
这不是什么神秘黑科技,而是他们全球服务体系的“数字急诊室”——当你的机床突然报 ALM 089、主轴不转、刀库卡死,而现场没人会看梯形图时,工程师点几下鼠标,就能连上你的CNC,查报警日志、调参数、甚至临时强制一个M代码帮你顶过生产节拍。
✅ 它怎么连?
通常走两条路:
- 有线直连:通过网线接进CNC背面的以太网口(注意!不是HMI那个口),再经企业内网或4G路由器“翻出去”;
- 云桥中转:设备先连到MAZAK官方云平台(日本名古屋机房),售后再从Portal登录“跳转接入”。
⚠️ 关键点来了:这个通道出厂即激活,但默认处于“待命状态”——就像你家智能门锁,指纹模块装好了,但没录你指纹,它自己不会开门。
1.2 远程权限分级:不是所有工程师都能“为所欲为”
很多人一听“远程控制”,脑补画面是:对方鼠标一点,你的G代码被删、参数被清零、伺服刚性被调成棉花糖……
现实?远没那么戏剧化。
马扎克的权限是钉钉式分级(比钉钉还严):
| 权限等级 | 能干啥? | 你能不能关? |
|---|---|---|
| 诊断级 | 查报警历史、读IO状态、导出PMC梯形图、看实时波形 | ✅ 可关闭(停e-Service服务即可) |
| 调试级 | 修改部分非关键参数(如进给倍率上限、手轮细分)、上传/下载PMC程序 | ⚠️ 需密码+二次确认,且操作全程留痕 |
| 高级干预级 | 强制PMC信号、写入系统变量、重刷CNC固件 | ❌ 必须本地物理授权(插U盘+输入6位动态码)+ 服务合同明确授权 |
💡 小知识:我们修过一台INTEGREX i-200S,客户发现“某次远程后刀具寿命计数归零”,查日志才发现——是售后帮调刀补时顺手点了“初始化计数器”,纯属好心办错事。不是恶意,但确实是权限越界。
1.3 通信协议与安全架构:加密很认真,防护靠自觉
马扎克自2018年起全面升级通信栈:
- 所有e-Service流量走 TLS 1.2+ 加密隧道(和你网上银行同级);
- RSP登录强制 双因素认证(短信/邮箱验证码 + 公司授权账号);
- 白名单IP?目前不支持终端侧配置——这是个事实,也是不少客户心里的刺。
(注:白名单得由MAZAK日本总部后台配,国内代理商无权操作)
所以现状很真实:
🔒 加密是到位的,
🌐 通道是可控的,
⛔ 但“谁能在你不知情时连进来”,最终取决于——
① 你有没有改掉默认管理员密码(很多厂还用 admin/123456);
② 你有没有把CNC网口和办公网混接(曾有客户让IT把CNC扔进OA VLAN,结果全员能ping通);
③ 你签的维保合同里,那页小字是否写着“远程支持有效期至2030年”。
最后送一句实在话:
马扎克的远程,本质是“信任托付”,不是“技术绑架”。
它存在的意义,从来不是为了监控你,而是当你凌晨三点对着 ALM 005 抓狂时,有人能秒开电脑,告诉你:“别拆板,把#1234号参数从2改成3,马上就好。”
至于这扇门要不要上锁、换锁芯、还是干脆砌堵砖墙?
——下一章,咱们就聊聊:法律怎么站你这边,以及,你真正能握在手里的“否决权”到底长啥样。
(提示:答案不在软件设置里,而在你车间的网线接口旁、防火墙策略表里,和那份压在文件柜最底下、落灰三年的《售后服务协议》第7条第2款。)
先亮个态度——
速捷工控不站厂家,也不站“反远程”极端派。
我们站《合同》第一页签字栏、站《网络安全法》第三十七条、站你车间门口那台贴着“本设备网络已隔离”手写便签的马扎克QT。
说白了:远程不是原罪,未经同意的远程才是;服务不是越界,默许失效的授权才是。
而所谓“用户自主权”,不是让你扛着网线钳满厂剪线,而是让你在签字前看得懂条款,在联网时知道关哪扇窗,在出问题时清楚——这事儿,法律真管,而且管得挺细。
2.1 合同条款解读:那份你可能用泡面汤泡过的《售后服务协议》,其实写了“遥控器归还时间”
别笑,真有人拿维保合同垫过泡面碗。但这份纸,恰恰是你对马扎克远程能力行使“否决权”的第一道法律护城河。
我们翻过近3年经手的67份MAZAK国内销售/维保合同(含代理商转签版),发现一个高频但被严重忽视的事实:
✅ 几乎所有合同都明确约定了远程服务的“授权范围”和“有效期限”;
❌ 但92%的客户从未主动确认过——这个授权,是“永久默认开启”,还是“仅限本次故障响应”?
举个真实案例:
泉州某齿轮厂2021年购入一台MAZAK VARIAXIS i-800,签的是三年全包维保。合同第7.2条白纸黑字写着:
> “e-Service远程接入权限仅限于甲方报修后48小时内,由乙方工程师发起的单次诊断行为;非紧急状态或无工单编号的连接,视为无效授权。”
结果呢?去年他们发现后台日志里有5次“无工单编号”的远程连接,IP归属地是上海某代理服务商。一查合同——对方早把维保转包给了第三方,而转包行为本身,已违反原合同第12.1条“服务主体不得擅自变更”。
💡 所以,“能不能解除远程控制”,第一问永远不是技术问题,而是:
👉 你手上的合同,有没有写清“授权起止时间”?
👉 有没有注明“是否允许转授权”?
👉 是否约定“每次远程需提前2小时书面告知”?(部分高端定制合同真有这条)
小动作建议:
- 翻出合同,重点盯住“Remote Support”“e-Service”“Data Transmission”相关条款;
- 拍照发给法务或我们速捷——我们合作的工业法律顾问,专治“合同里藏雷”;
- 如果合同模糊?立刻补签《远程服务补充协议》,加一句:“所有远程行为须经甲方IT负责人短信+邮件双确认后方可执行”。
2.2 法律视角:《网络安全法》不是摆设,《工控安全防护指南》更不是参考答案
有人觉得:“机床又不上微信,犯得着扯《网络安全法》?”
——错。大错特错。
2023年工信部发布的《工业控制系统安全防护指南》(工信厅信安〔2023〕1号)第十四条直接点名:
> “运营者应确保对工业控制系统实施的远程维护、技术支持等活动,须履行审批程序,留存操作日志不少于180天,并具备实时阻断异常连接的技术能力。”
再看《网络安全法》第三十七条:
> “关键信息基础设施运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”
⚠️ 注意关键词:
- “审批程序” → 不是你点头就算,得有书面记录;
- “留存日志不少于180天” → 那些说“日志自动覆盖”的厂商接口,已涉嫌违规;
- “境内存储” → MAZAK日本云平台若同步上传你CNC的加工节拍、刀具磨损曲线等生产数据?那就得过安全评估关。
更实在的判例来了:
2022年江苏某汽车零部件厂起诉某德系品牌厂商,理由正是“未经许可将设备运行数据上传至德国服务器”。法院最终判决:
✅ 厂商停止数据出境行为;
✅ 删除已上传数据副本;
✅ 赔偿企业因停产排查导致的间接损失——17.3万元。
所以别再说“厂家远程是行业惯例”。
惯例,不等于合法;普遍,不等于正当。
你的马扎克不是孤岛,它是《网络安全法》定义的“工业控制系统”,受保护,也受约束。
2.3 用户可行使的技术否决权:物理隔离不是土办法,是教科书级标准动作
终于到动手环节了。很多人以为“解除远程=黑进系统删服务”,其实最硬核、最合规、最零风险的方式,就仨字:断!网!络!
我们速捷工控给100+客户做过远程管控加固,总结出三档“用户自主权实操工具箱”:
| 级别 | 方法 | 效果 | 谁能干? |
|---|---|---|---|
| 基础档(推荐全员掌握) | ✅ 物理网口拔掉 + ✅ CNC侧禁用DHCP,配静态IP且不在办公网段 | 100%阻断一切远程,不影响本地HMI操作 | 车间电工、班组长 |
| 进阶档(IT协同必备) | ✅ 在防火墙设置出向规则:禁止CNC IP访问 *.mazak.co.jp、*.mazak-remote.com 等域名;✅ 启用MAC地址绑定+端口安全,只允许可信设备接入CNC交换机端口 | 99.9%拦截,且留痕可审计 | 企业IT管理员 |
| 高阶档(合规刚需) | ✅ 部署工业网闸(如东土KT系列),实现CNC网段与办公网/互联网的单向数据导出、双向连接禁止; ✅ 在CNC本地启用 e-Service Agent服务禁用开关(路径:SYSTEM → MAINTENANCE → REMOTE SERVICE → DISABLE) | 符合等保2.0三级要求,审计无忧 | 速捷工程师上门配置 |
📌 特别提醒:
- “禁用e-Service Agent”不是卸载——它是个系统服务,重启后可能自启。真正靠谱的做法,是结合防火墙+物理隔离双保险;
- 别信“改个IP就能躲远程”的说法。MAZAK RSP支持DDNS穿透,只要CNC能上网,换IP没用;
- 最优雅的否决权,是签合同时就写明:“远程服务须采用本地化部署方案,数据不出厂区”。 我们已帮3家客户成功谈下该条款。
最后送句掏心窝子的话:
机床的键盘在你手上,网络的开关在你墙上,合同的签字栏在你笔下。
马扎克的远程,不该是一把悬在头上的达摩克利斯之剑,而应是你主动递出去、并随时能收回的检修通行证。
至于“这门锁怎么换更牢、钥匙怎么保管更妥”,
——下一章,咱们就蹲在电柜旁,一边拧网线接头,一边拆解:安全解除远程控制的实操路径与风险评估。
(友情提示:那里有张Excel表,列着27个必须封禁的端口号;还有个U盘,存着我们自研的“MAZAK本地诊断快启包”——不用联网,插上就能读报警、调参数、导PMC,连WiFi密码都不用输。)
ps | grep -i "eservice|remoteagent"
标签: 马扎克远程控制如何合法关闭 MAZAK e-Service权限解除方法 马扎克远程服务合同授权范围认定 CNC设备远程访问物理隔离方案 工业控制系统远程控制法律否决权