今日頭條
官方微信
官方抖音
資訊頻道★中國(guó)信息通信研究院,工業(yè)互聯(lián)網(wǎng)安全技術(shù)試驗(yàn)與測(cè)評(píng)工業(yè)和信息化部重點(diǎn)實(shí)驗(yàn)室董悅,王吉,李藝
1 引言
數(shù)控機(jī)床是工業(yè)領(lǐng)域生產(chǎn)加工的關(guān)鍵設(shè)備,廣泛應(yīng)用于航空航天、車輛制造、船舶制造等關(guān)系國(guó)防、經(jīng)濟(jì)、社會(huì)安全的關(guān)鍵行業(yè)[1]。隨著智能制造的深度推進(jìn)和工業(yè)互聯(lián)網(wǎng)的發(fā)展,單點(diǎn)通信數(shù)控機(jī)床控制方式逐漸被淘汰,如今數(shù)控機(jī)床多數(shù)采用的分布式數(shù)控系統(tǒng),可以使用一臺(tái)計(jì)算機(jī)對(duì)多臺(tái)數(shù)控機(jī)床實(shí)現(xiàn)數(shù)字控制,并且能夠執(zhí)行計(jì)劃調(diào)度、程序分配、遠(yuǎn)程監(jiān)控和控制管理等功能。制造行業(yè)分布式數(shù)控系統(tǒng)逐步從封閉走向開放,數(shù)控機(jī)床聯(lián)網(wǎng)運(yùn)行已成為趨勢(shì),數(shù)控系統(tǒng)本身存在不可控的漏洞、后門等安全隱患。同時(shí),針對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全攻擊事件持續(xù)發(fā)生,數(shù)控系統(tǒng)一旦遭到破壞,將會(huì)導(dǎo)致數(shù)控機(jī)床乃至整個(gè)生產(chǎn)線停機(jī),造成企業(yè)重大損失。亟需開展數(shù)控機(jī)床安全防護(hù)技術(shù)研究,建立數(shù)控設(shè)備網(wǎng)絡(luò)安全防護(hù)體系,提升我國(guó)數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)供給側(cè)能力,為保障國(guó)家網(wǎng)絡(luò)安全、護(hù)航新基建夯實(shí)產(chǎn)業(yè)基礎(chǔ)。
2 數(shù)控機(jī)床網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析
隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展,數(shù)控網(wǎng)絡(luò)安全防護(hù)成為數(shù)控領(lǐng)域網(wǎng)絡(luò)化、智能化發(fā)展的關(guān)鍵問題。數(shù)控加工設(shè)備聯(lián)網(wǎng)進(jìn)程的加快導(dǎo)致了傳統(tǒng)信息網(wǎng)絡(luò)的各種黑客攻擊和惡意代碼等安全威脅快速進(jìn)入到數(shù)控網(wǎng)絡(luò),一旦被不法分子利用,后果極為嚴(yán)重。然而我國(guó)數(shù)控網(wǎng)絡(luò)安全防護(hù)體系建設(shè)相對(duì)于數(shù)控網(wǎng)絡(luò)的快速發(fā)展存在明顯滯后,工業(yè)企業(yè)沒有充分考慮數(shù)控網(wǎng)絡(luò)與其它網(wǎng)絡(luò)互聯(lián)互通帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),相關(guān)標(biāo)準(zhǔn)體系建設(shè)也幾乎為空白,缺乏必要的安全防護(hù)措施。
典型數(shù)控機(jī)床網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示,原本封閉可信的數(shù)控機(jī)床生產(chǎn)網(wǎng)絡(luò)接入企業(yè)管理網(wǎng)和互聯(lián)網(wǎng)后網(wǎng)絡(luò)安全風(fēng)險(xiǎn)增加,機(jī)床設(shè)備本身可能存在系統(tǒng)設(shè)計(jì)漏洞和后門,數(shù)控協(xié)議及網(wǎng)絡(luò)傳輸安全風(fēng)險(xiǎn)導(dǎo)致加工代碼被非法獲取,存在機(jī)床遠(yuǎn)程運(yùn)維不可控等安全威脅。
圖1典型數(shù)控機(jī)床網(wǎng)絡(luò)結(jié)構(gòu)及安全風(fēng)險(xiǎn)
(1)數(shù)控機(jī)床系統(tǒng)設(shè)計(jì)漏洞和預(yù)留后門存在安全隱患
由于運(yùn)行在數(shù)控機(jī)床計(jì)算機(jī)中的工控軟件與其操作系統(tǒng)存在兼容性問題,數(shù)控機(jī)床計(jì)算機(jī)一般采用專用系統(tǒng)或經(jīng)精簡(jiǎn)的windows系統(tǒng)[3]。一方面,目前國(guó)內(nèi)使用的主流數(shù)控設(shè)備,其核心系統(tǒng)大部分是國(guó)外廠家產(chǎn)品,國(guó)外廠家的核心技術(shù)不向我國(guó)公開,復(fù)雜的數(shù)控系統(tǒng)所包含的軟件代碼量級(jí)巨大,其中可能存在系統(tǒng)設(shè)計(jì)漏洞和預(yù)留后門等安全隱患[2]。另一方面,部分?jǐn)?shù)控終端所采用的系統(tǒng)版本較為老舊,計(jì)算機(jī)操作系統(tǒng)平臺(tái)缺少補(bǔ)丁,導(dǎo)致系統(tǒng)發(fā)現(xiàn)漏洞后難以進(jìn)行修復(fù),極有可能存在遠(yuǎn)程代碼執(zhí)行漏洞或拒絕服務(wù)漏洞,從而使攻擊者完全控制數(shù)控終端或使其宕機(jī),在這種情況下,輕則嚴(yán)重影響工廠生產(chǎn),重則對(duì)終端造成不可恢復(fù)的破壞。
(2)數(shù)控協(xié)議及傳輸鏈路存在安全風(fēng)險(xiǎn),導(dǎo)致數(shù)據(jù)泄露
數(shù)控DNC(Distributed Numerical Control,分布式數(shù)控)網(wǎng)絡(luò)采用TCP/IP協(xié)議將原獨(dú)立運(yùn)行的數(shù)控機(jī)床組成數(shù)控機(jī)床網(wǎng)絡(luò),在數(shù)控機(jī)床無線通訊中是比較常見的是工業(yè)Wi-Fi。一方面,無線接入方式避免了有線接入物理環(huán)境限制和鋪設(shè)線路的成本,但在網(wǎng)絡(luò)安全層面上相較于有線網(wǎng)絡(luò)更具風(fēng)險(xiǎn)性,無線Wi-Fi易發(fā)生會(huì)話劫持?jǐn)?shù)據(jù)泄露的風(fēng)險(xiǎn),利用對(duì)無線信號(hào)的監(jiān)聽竊取傳輸數(shù)據(jù),通過偽造指令或者數(shù)據(jù)攔截進(jìn)行惡意攻擊。另一方面,多數(shù)數(shù)控機(jī)床控制系統(tǒng)使用明文方式傳輸和管理加工代碼,這樣容易導(dǎo)致未加密的加工代碼被非法獲取,并通過專用軟件對(duì)加工物品進(jìn)行還原,導(dǎo)致制造數(shù)據(jù)泄密。
(3)對(duì)移動(dòng)存儲(chǔ)介質(zhì)及數(shù)控機(jī)床串口缺乏技術(shù)管控,存在網(wǎng)絡(luò)入侵安全風(fēng)險(xiǎn)
一般數(shù)控設(shè)備中的控制系統(tǒng)計(jì)算機(jī),無法安裝使用終端行為控制軟件,對(duì)外來的移動(dòng)存儲(chǔ)介質(zhì)及數(shù)據(jù)傳輸介質(zhì)的使用進(jìn)行監(jiān)控。一方面,在數(shù)控機(jī)床網(wǎng)絡(luò)中隨意接入U(xiǎn)盤、移動(dòng)硬盤、光盤等移動(dòng)存儲(chǔ)介質(zhì),對(duì)網(wǎng)絡(luò)中的關(guān)鍵生產(chǎn)數(shù)據(jù)任意訪問和操作,導(dǎo)致機(jī)密生產(chǎn)數(shù)據(jù)的泄露。另一方面,對(duì)于車間里沒有安全防范機(jī)制的終端,可以通過網(wǎng)口、串口及USB口等傳輸NC(Numerical Control,數(shù)字控制)程序及其他數(shù)據(jù)到數(shù)控機(jī)床內(nèi),同時(shí)終端也會(huì)通過網(wǎng)絡(luò)接口上傳一些數(shù)據(jù)到DNC服務(wù)器,無技術(shù)監(jiān)管手段,管理難度大,如果在終端上傳不安全的數(shù)據(jù)到DNC服務(wù)器也會(huì)危及其他設(shè)備安全。
(4)用戶身份認(rèn)證能力不足,數(shù)控機(jī)床遠(yuǎn)程監(jiān)測(cè)和維護(hù)存在風(fēng)險(xiǎn)
對(duì)于數(shù)控系統(tǒng)的遠(yuǎn)程監(jiān)測(cè)和安全運(yùn)維,運(yùn)維人員通過采集數(shù)控系統(tǒng)中的溫度、振動(dòng)、轉(zhuǎn)速等數(shù)據(jù),對(duì)數(shù)控機(jī)床的運(yùn)動(dòng)軸、刀具等進(jìn)行故障預(yù)測(cè)性分析,對(duì)可能發(fā)生的故障提出預(yù)警信號(hào),在此過程中存在維護(hù)人員身份仿冒以及系統(tǒng)賬號(hào)濫用風(fēng)險(xiǎn)。一方面,機(jī)床設(shè)備進(jìn)行基礎(chǔ)數(shù)據(jù)采集及上報(bào)時(shí),如果通信雙方?jīng)]有進(jìn)行身份認(rèn)證,可能會(huì)因?yàn)樯矸菁倜俺霈F(xiàn)數(shù)據(jù)泄露等安全問題。另一方面,數(shù)控設(shè)備的升級(jí)維護(hù)嚴(yán)重依賴生產(chǎn)和供應(yīng)廠商,很多設(shè)備允許通過網(wǎng)絡(luò)遠(yuǎn)程控制,系統(tǒng)缺少用戶身份認(rèn)證和訪問控制等安全機(jī)制,設(shè)備的升級(jí)維護(hù)過程行為不可控,存在巨大的安全風(fēng)險(xiǎn)。
(5)網(wǎng)絡(luò)邊界擴(kuò)大導(dǎo)致網(wǎng)絡(luò)入侵安全風(fēng)險(xiǎn)
隨著工業(yè)互聯(lián)網(wǎng)的不斷發(fā)展使得原本獨(dú)立封閉的數(shù)控生產(chǎn)網(wǎng)絡(luò)接入企業(yè)管理網(wǎng)和互聯(lián)網(wǎng),網(wǎng)絡(luò)安全風(fēng)險(xiǎn)向數(shù)控系統(tǒng)滲透。一方面,數(shù)控網(wǎng)絡(luò)中的主機(jī)易成為網(wǎng)絡(luò)入侵的主要攻擊點(diǎn),傳統(tǒng)IT行業(yè)的殺毒軟件并不適用數(shù)控網(wǎng)絡(luò)主機(jī)的安全防護(hù),或者會(huì)嚴(yán)重影響企業(yè)的生產(chǎn)效率,數(shù)控系統(tǒng)通常不安裝殺毒軟件,為病毒蔓延提供了入口。另一方面,對(duì)數(shù)控機(jī)床進(jìn)行遠(yuǎn)程監(jiān)控的工程師站和遠(yuǎn)程的PLC站之間是通過互聯(lián)網(wǎng)進(jìn)行連接的,攻擊者可利用邊緣終端設(shè)備漏洞作為跳板對(duì)數(shù)控系統(tǒng)實(shí)施入侵或發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊。
3 數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)實(shí)施
(1)開展數(shù)控機(jī)床網(wǎng)絡(luò)安全基線管理
根據(jù)生產(chǎn)環(huán)境場(chǎng)景建立數(shù)控機(jī)床網(wǎng)絡(luò)安全基線。一方面,明確數(shù)控機(jī)床網(wǎng)絡(luò)安全基線具體內(nèi)容,建立安全基線更新機(jī)制。企業(yè)梳理自身數(shù)控機(jī)床應(yīng)用場(chǎng)景及技術(shù)特點(diǎn),根據(jù)安全基線實(shí)施安全防護(hù),包括消除弱密碼、安全配置加固、去除不必要的介質(zhì)接口等。另一方面,開展數(shù)控機(jī)床網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和漏洞管理。定期對(duì)數(shù)控機(jī)床網(wǎng)絡(luò)架構(gòu)、管理主機(jī)、控制協(xié)議等開展全方位安全評(píng)估,發(fā)現(xiàn)安全風(fēng)險(xiǎn)隱患,一旦發(fā)現(xiàn)安全漏洞,及時(shí)選擇安全補(bǔ)丁或升級(jí)組件。
(2)加強(qiáng)數(shù)控系統(tǒng)網(wǎng)絡(luò)邊界防護(hù)
分析數(shù)控系統(tǒng)網(wǎng)絡(luò)的組網(wǎng)特點(diǎn),根據(jù)IEC62443-3-3等標(biāo)準(zhǔn)中的網(wǎng)絡(luò)區(qū)域劃分原則,將數(shù)控網(wǎng)絡(luò)劃分為合理安全區(qū)域,采用分層分域,縱深防御的策略進(jìn)行網(wǎng)絡(luò)安全防護(hù)。一方面,對(duì)企業(yè)信息系統(tǒng)與DNC系統(tǒng)進(jìn)行分層、分域,建立安全緩沖區(qū),生產(chǎn)網(wǎng)絡(luò)與管理網(wǎng)絡(luò)、研發(fā)網(wǎng)絡(luò)連接采用網(wǎng)閘、光閘進(jìn)行強(qiáng)隔離;生產(chǎn)網(wǎng)絡(luò)進(jìn)行內(nèi)部的分區(qū)分域,區(qū)域間應(yīng)采用工業(yè)防火墻實(shí)現(xiàn)邏輯隔離,并建立白名單,實(shí)現(xiàn)基于白名單的訪問控制。另一方面,采用數(shù)據(jù)防泄漏、深度協(xié)議數(shù)據(jù)包解析等邊界安全防護(hù)技術(shù)針對(duì)數(shù)據(jù)采集和交換過程中的數(shù)據(jù)泄露、病毒入侵以及異常行為進(jìn)行告警,并對(duì)各類安全威脅進(jìn)行監(jiān)控,從而為數(shù)控網(wǎng)絡(luò)提供全方位的監(jiān)測(cè)、過濾、報(bào)警和阻斷能力。
(3)加強(qiáng)數(shù)控主機(jī)安全防護(hù)
通過安裝工業(yè)主機(jī)端點(diǎn)側(cè)安全監(jiān)測(cè)、防護(hù)軟件,對(duì)數(shù)控主機(jī)進(jìn)行有效防護(hù),包括操作系統(tǒng)加固、病毒防護(hù)、惡意行為監(jiān)測(cè)等。一方面,針對(duì)數(shù)控網(wǎng)絡(luò)中DNC、MES(Manufacturing Execution Systems,制造執(zhí)行系統(tǒng))、PDM(Product Data Management,產(chǎn)品數(shù)據(jù)管理)、CAM(Computer Aided Manufacturing,計(jì)算機(jī)輔助制造)、CAPP(Computer Aided Process Planning,計(jì)算機(jī)輔助工藝過程設(shè)計(jì))等服務(wù)器及終端主機(jī)部署安全防護(hù)軟件,從端點(diǎn)測(cè)加強(qiáng)針對(duì)勒索病毒等安全防護(hù),防止病毒傳播、對(duì)惡意代碼進(jìn)行有效的消除。另一方面,通過對(duì)數(shù)控主機(jī)文件、目錄、進(jìn)程、注冊(cè)表和服務(wù)的強(qiáng)制訪問控制,采用“三權(quán)分立”的管理機(jī)制,有效制約和分散原有系統(tǒng)管理員的權(quán)限,并結(jié)合文件和服務(wù)的完整性檢測(cè)、防緩沖區(qū)溢出等功能,將普通操作系統(tǒng)透明提升為安全操作系統(tǒng),增強(qiáng)數(shù)控主機(jī)的安全性。
(4)完善數(shù)控網(wǎng)絡(luò)資產(chǎn)管理和安全監(jiān)測(cè)審計(jì)
建設(shè)數(shù)控網(wǎng)絡(luò)資產(chǎn)管理機(jī)制,開展安全監(jiān)測(cè)和審計(jì),及時(shí)發(fā)現(xiàn)異常資產(chǎn)及網(wǎng)絡(luò)安全威脅。一是梳理數(shù)控機(jī)床生產(chǎn)環(huán)境的網(wǎng)絡(luò)資產(chǎn),建立資產(chǎn)臺(tái)賬,定期探測(cè)梳理資產(chǎn)現(xiàn)狀及數(shù)據(jù)流轉(zhuǎn)和處理節(jié)點(diǎn),識(shí)別和發(fā)現(xiàn)異常資產(chǎn),對(duì)未知設(shè)備接入等異常行為及時(shí)發(fā)現(xiàn)并處置。二是采用入侵檢測(cè)、全流量檢測(cè)、安全審計(jì)等方式監(jiān)測(cè)數(shù)控機(jī)床生產(chǎn)環(huán)境,發(fā)現(xiàn)惡意行為和惡意代碼,對(duì)數(shù)控機(jī)床生產(chǎn)環(huán)境行為進(jìn)行審計(jì),協(xié)助事后分析取證溯源。三是通過態(tài)勢(shì)感知等技術(shù)手段,匯集流量側(cè)、端點(diǎn)側(cè)、日志側(cè)等數(shù)據(jù),進(jìn)行關(guān)聯(lián)分析和深度安全監(jiān)測(cè)、研判和應(yīng)急響應(yīng),并實(shí)現(xiàn)數(shù)控機(jī)床網(wǎng)絡(luò)安全集中管理。
(5)實(shí)現(xiàn)數(shù)控機(jī)床內(nèi)生安全及增強(qiáng)防護(hù)
面對(duì)數(shù)控機(jī)床聯(lián)網(wǎng)開放、互通互聯(lián)可能帶來的安全威脅,可以通過可信計(jì)算技術(shù)實(shí)現(xiàn)數(shù)控機(jī)床的內(nèi)生安全及增強(qiáng)防護(hù)[4]。一方面,數(shù)控機(jī)床在主機(jī)層面支持“硬件級(jí)部件(安全芯片或安全固件)作為系統(tǒng)信任根,建立從系統(tǒng)到應(yīng)用的信任鏈,實(shí)現(xiàn)從設(shè)備加電到應(yīng)用加載過程的安全啟動(dòng)和運(yùn)行,從根本上解決工業(yè)互聯(lián)網(wǎng)可信、可控、可靠等方面的問題。另一方面,在系統(tǒng)運(yùn)行過程中,實(shí)時(shí)監(jiān)視數(shù)控系統(tǒng)內(nèi)關(guān)鍵進(jìn)程、模塊、可執(zhí)行代碼、關(guān)鍵數(shù)據(jù)結(jié)構(gòu)等,對(duì)進(jìn)程的資源訪問行為進(jìn)行實(shí)時(shí)度量和控制,依據(jù)動(dòng)態(tài)的可信性對(duì)發(fā)生變化的度量對(duì)象依據(jù)策略采取報(bào)警、終止運(yùn)行、更新度量預(yù)期值等措施,從而確保數(shù)控系統(tǒng)運(yùn)行狀態(tài)的可信。
4 數(shù)控機(jī)床網(wǎng)絡(luò)安全發(fā)展建議
近年來,數(shù)控機(jī)床聯(lián)網(wǎng)運(yùn)行已成為趨勢(shì),同時(shí)也暴露出很多安全問題。基于所梳理的數(shù)控機(jī)床安全現(xiàn)狀與安全風(fēng)險(xiǎn),我們對(duì)數(shù)控機(jī)床安全發(fā)展提出如下建議:
(1)推進(jìn)數(shù)控機(jī)床相關(guān)安全標(biāo)準(zhǔn)規(guī)范制定
目前針對(duì)數(shù)控機(jī)床網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和技術(shù)規(guī)范儲(chǔ)備不足,需推動(dòng)出臺(tái)數(shù)控機(jī)床相關(guān)網(wǎng)絡(luò)安全防護(hù)要求、安全評(píng)估評(píng)測(cè)規(guī)范、密碼應(yīng)用等相關(guān)安全標(biāo)準(zhǔn)規(guī)范。一方面,面向數(shù)控機(jī)床邊界防護(hù)、入侵防范、安全審計(jì)等安全需求,制定亟需數(shù)控機(jī)床內(nèi)生安全及評(píng)估測(cè)試等行業(yè)標(biāo)準(zhǔn)和企業(yè)標(biāo)準(zhǔn),強(qiáng)化數(shù)控機(jī)床在設(shè)計(jì)、開發(fā)、實(shí)施、運(yùn)行維護(hù)等全生命周期過程的網(wǎng)絡(luò)安全規(guī)范要求,為企業(yè)產(chǎn)品安全開發(fā)、第三方機(jī)構(gòu)測(cè)試認(rèn)證、設(shè)備部署運(yùn)行提供可參考的依據(jù)。另一方面,研制數(shù)控系統(tǒng)密碼應(yīng)用技術(shù)要求及測(cè)評(píng)要求等標(biāo)準(zhǔn),規(guī)范和評(píng)估數(shù)控系統(tǒng)密碼應(yīng)用的設(shè)計(jì)、實(shí)現(xiàn)和使用;鼓勵(lì)安全設(shè)備制造商積極參與標(biāo)準(zhǔn)研制與貫標(biāo)試點(diǎn)工作,以標(biāo)準(zhǔn)規(guī)范指導(dǎo)數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)部署。
(2)提升數(shù)控機(jī)床網(wǎng)絡(luò)安全綜合技術(shù)防護(hù)能力
數(shù)控機(jī)床作為工業(yè)控制系統(tǒng)的重要組成部分,網(wǎng)絡(luò)安全防護(hù)依然依賴傳統(tǒng)“外掛式”安全措施,需產(chǎn)業(yè)各方加強(qiáng)數(shù)控機(jī)床安全技術(shù)研究,提升網(wǎng)絡(luò)安全綜合防護(hù)能力。一方面,建立數(shù)控機(jī)床多重安全防護(hù)的縱深防御體系框架,采取事前身份認(rèn)證、加密、預(yù)警、漏掃、評(píng)估機(jī)制,事中防御攻擊機(jī)制,事后審計(jì)、追溯等,以提升數(shù)控系統(tǒng)的整體安全。另一方面,加強(qiáng)數(shù)控機(jī)床內(nèi)生安全能力建設(shè),通過自主可控加可信計(jì)算的總體思路,用主動(dòng)免疫的思想對(duì)網(wǎng)絡(luò)空間尤其是數(shù)控機(jī)床等設(shè)施領(lǐng)域的安全防護(hù)思路進(jìn)行研究和探索,基于國(guó)產(chǎn)密碼算法構(gòu)建內(nèi)生安全能力。
(3)開展數(shù)控機(jī)床網(wǎng)絡(luò)安全評(píng)估評(píng)測(cè)
目前,數(shù)控設(shè)備的遠(yuǎn)程維護(hù)需要通過互聯(lián)網(wǎng)進(jìn)行,存在的漏洞容易被攻擊者利用進(jìn)行惡意攻擊,導(dǎo)致數(shù)控設(shè)備直接面臨互聯(lián)網(wǎng)中的安全風(fēng)險(xiǎn)。應(yīng)建立數(shù)控機(jī)床網(wǎng)絡(luò)安全評(píng)估評(píng)測(cè)體系,開展數(shù)控機(jī)床網(wǎng)絡(luò)安全評(píng)估評(píng)測(cè)。一方面,圍繞數(shù)控機(jī)床系統(tǒng)/固件安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、接入安全等要求,建立數(shù)控機(jī)床網(wǎng)絡(luò)安全測(cè)試評(píng)估體系,建立安全能力評(píng)估模型。另一方面,針對(duì)數(shù)控機(jī)床抗?jié)B透能力、惡意代碼防范、抗DDoS能力、漏洞隱患情況等漏洞隱患防護(hù)能力等進(jìn)行安全能力分析研究和攻擊防護(hù)測(cè)試,推動(dòng)數(shù)控機(jī)床安全檢測(cè)認(rèn)證和設(shè)備能力提升。
(4)推動(dòng)數(shù)控機(jī)床相關(guān)安全產(chǎn)品應(yīng)用及市場(chǎng)發(fā)展
目前國(guó)內(nèi)使用的主流數(shù)控設(shè)備,其核心系統(tǒng)大部分是國(guó)外廠家產(chǎn)品,特別是高端CNC數(shù)控機(jī)床控制系統(tǒng)和DNC數(shù)控整體聯(lián)網(wǎng)解決方案。因此,應(yīng)加快對(duì)數(shù)控機(jī)床核心關(guān)鍵技術(shù)攻關(guān),推動(dòng)相關(guān)安全產(chǎn)品和服務(wù)的開發(fā)應(yīng)用。一方面,鼓勵(lì)國(guó)內(nèi)重點(diǎn)企業(yè)、科研機(jī)構(gòu)、高校等加強(qiáng)合作,推動(dòng)研制具備訪問控制、數(shù)據(jù)安全防護(hù)、病毒防護(hù)與分析、NC文件語義分析與審計(jì)、鏈路加密、智能預(yù)警等能力的數(shù)控機(jī)床安全增強(qiáng)防護(hù)設(shè)備。另一方面,圍繞數(shù)控機(jī)床安全產(chǎn)品的功能、性能及安全性等設(shè)計(jì)安全認(rèn)證級(jí)別,開展數(shù)控機(jī)床相關(guān)安全產(chǎn)品及服務(wù)分類分級(jí)管理,為不同部門、行業(yè)企業(yè)提供安全級(jí)別選擇,遴選達(dá)標(biāo)安全產(chǎn)品目錄清單,推動(dòng)數(shù)控機(jī)床安全產(chǎn)品市場(chǎng)發(fā)展。
作者簡(jiǎn)介:
董悅 (1992-),女,遼寧錦州人,工程師,博士,現(xiàn)就職于中國(guó)信息通信研究院,從事工業(yè)互聯(lián)網(wǎng)安全、車聯(lián)網(wǎng)安全等方面研究工作。
王吉 (1993-),男,北京人,助理工程師,學(xué)士,現(xiàn)就職于中國(guó)信息通信研究院,主要從事工業(yè)互聯(lián)網(wǎng)安全、設(shè)備安全等方面的研究工作。
李藝 (1988-),男,山東濰坊人,高級(jí)工程師,博士,現(xiàn)就職于中國(guó)信息通信研究院,從事工業(yè)互聯(lián)網(wǎng)安全、車聯(lián)網(wǎng)安全等方面研究工作。
參考文獻(xiàn):
[1]鐘誠(chéng),李凱斌,孟曦.智能制造聯(lián)網(wǎng)數(shù)控加工系統(tǒng)的網(wǎng)絡(luò)安全威脅與防護(hù)[J].自動(dòng)化博覽,2018,35(S2):44-49.
[2]尚文利,佟國(guó)毓,尹隆,陳春雨.數(shù)控系統(tǒng)信息安全現(xiàn)狀與技術(shù)發(fā)展趨勢(shì)[J].自動(dòng)化博覽,2019(06):50-53.
[3]張霞.企業(yè)數(shù)控機(jī)床DNC系統(tǒng)構(gòu)建及安全防護(hù)的研究[D].哈爾濱:哈爾濱工業(yè)大學(xué),2015.
[4]劉杰,汪京培,李丹,云雷,陳晶晶.數(shù)控機(jī)床自動(dòng)化網(wǎng)絡(luò)信息安全綜合防護(hù)方案[J].組合機(jī)床與自動(dòng)化加工技術(shù),2016(03):82-85,89.
摘自《自動(dòng)化博覽》2022年9月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)