今日頭條
官方微信
官方抖音
資訊頻道1 數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)實(shí)施
數(shù)控系統(tǒng)作為數(shù)控設(shè)備的“大腦”成為工業(yè)控制系統(tǒng)的重要組成部分,正面臨工業(yè)病毒和網(wǎng)絡(luò)攻擊,網(wǎng)絡(luò)與信息安全問題日益凸顯。為幫助企業(yè)加強(qiáng)數(shù)控機(jī)床安全防護(hù)上的短板,本章針對以上數(shù)控機(jī)床安全風(fēng)險提出安全防護(hù)實(shí)施思路,如圖1所示,數(shù)控機(jī)床網(wǎng)絡(luò)安全體系的構(gòu)建需從安全基線管理、網(wǎng)絡(luò)邊界防護(hù)措施部署和數(shù)控機(jī)床內(nèi)生安全等方面進(jìn)行考慮,來保證數(shù)控機(jī)床及網(wǎng)絡(luò)的保密性、可用性和完整性。
來源:中國信息通信研究院
圖1 數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)示意圖
(1)開展數(shù)控機(jī)床網(wǎng)絡(luò)安全基線管理
根據(jù)生產(chǎn)環(huán)境場景建立數(shù)控機(jī)床網(wǎng)絡(luò)安全基線。一方面,明確數(shù)控機(jī)床網(wǎng)絡(luò)安全基線具體內(nèi)容,建立安全基線更新機(jī)制。企業(yè)梳理自身數(shù)控機(jī)床應(yīng)用場景及技術(shù)特點(diǎn),根據(jù)安全基線實(shí)施安全防護(hù),包括消除弱密碼、安全配置加固、去除不必要的介質(zhì)接口等。另一方面,開展數(shù)控機(jī)床網(wǎng)絡(luò)安全風(fēng)險評估和漏洞管理。定期對數(shù)控機(jī)床網(wǎng)絡(luò)架構(gòu)、管理主機(jī)、控制協(xié)議等開展全方位安全評估,發(fā)現(xiàn)安全風(fēng)險隱患,一旦發(fā)現(xiàn)安全漏洞,及時選擇安全補(bǔ)丁或升級組件。
(2)加強(qiáng)數(shù)控網(wǎng)絡(luò)邊界防護(hù)
分析數(shù)控網(wǎng)絡(luò)的組網(wǎng)特點(diǎn),根據(jù)IEC62443-3-3等標(biāo)準(zhǔn)中的網(wǎng)絡(luò)區(qū)域劃分原則,將數(shù)控網(wǎng)絡(luò)劃分為合理安全區(qū)域,采用分層分域,縱深防御的策略進(jìn)行網(wǎng)絡(luò)安全防護(hù),如圖2所示。一方面,對企業(yè)信息系統(tǒng)與DNC系統(tǒng)進(jìn)行分層、分域,建立安全緩沖區(qū),生產(chǎn)網(wǎng)絡(luò)與管理網(wǎng)絡(luò)、研發(fā)網(wǎng)絡(luò)連接采用網(wǎng)閘、光閘進(jìn)行強(qiáng)隔離;生產(chǎn)網(wǎng)絡(luò)進(jìn)行內(nèi)部的分區(qū)分域,區(qū)域間應(yīng)采用工業(yè)防火墻實(shí)現(xiàn)邏輯隔離,并建立白名單,實(shí)現(xiàn)基于白名單的訪問控制。另一方面,采用數(shù)據(jù)防泄漏、深度協(xié)議數(shù)據(jù)包解析等邊界安全防護(hù)技術(shù)針對數(shù)據(jù)采集和交換過程中的數(shù)據(jù)泄露、病毒入侵以及異常行為進(jìn)行告警,并對各類安全威脅進(jìn)行監(jiān)控,從而為數(shù)控網(wǎng)絡(luò)提供全方位的監(jiān)測、過濾、報警和阻斷能力。
來源:北京神州綠盟科技有限公司
圖2 數(shù)控機(jī)床網(wǎng)絡(luò)邊界安全防護(hù)示例
(3)加強(qiáng)數(shù)控主機(jī)安全防護(hù)
通過安裝工業(yè)主機(jī)端點(diǎn)側(cè)安全監(jiān)測、防護(hù)軟件,對數(shù)控主機(jī)進(jìn)行有效防護(hù),包括操作系統(tǒng)加固、病毒防護(hù)、惡意行為監(jiān)測等。一方面,針對數(shù)控網(wǎng)絡(luò)中DNC、MES、PDM、CAM、CAPP等服務(wù)器及終端主機(jī)部署安全防護(hù)軟件,從端點(diǎn)側(cè)加強(qiáng)針對勒索病毒等安全防護(hù),防止病毒傳播、對惡意代碼進(jìn)行有效地消除。另一方面,通過對數(shù)控主機(jī)文件、目錄、進(jìn)程、注冊表和服務(wù)的強(qiáng)制訪問控制,如圖3所示。采用“三權(quán)分立”的管理機(jī)制,有效制約和分散原有系統(tǒng)管理員的權(quán)限,并結(jié)合文件和服務(wù)的完整性檢測、防緩沖區(qū)溢出等功能,將普通操作系統(tǒng)透明提升為安全操作系統(tǒng),增強(qiáng)數(shù)控主機(jī)的安全性。
來源:北京神州綠盟科技有限公司
圖3 數(shù)控機(jī)床主機(jī)安全防護(hù)實(shí)施示例
(4)完善數(shù)控機(jī)床網(wǎng)絡(luò)資產(chǎn)管理和安全監(jiān)測審計
建設(shè)數(shù)控機(jī)床網(wǎng)絡(luò)資產(chǎn)管理機(jī)制,開展安全監(jiān)測和審計,及時發(fā)現(xiàn)異常資產(chǎn)及網(wǎng)絡(luò)安全威脅。一是梳理數(shù)控機(jī)床生產(chǎn)環(huán)境的網(wǎng)絡(luò)資產(chǎn),建立資產(chǎn)臺賬,定期探測梳理資產(chǎn)現(xiàn)狀及數(shù)據(jù)流轉(zhuǎn)和處理節(jié)點(diǎn),識別和發(fā)現(xiàn)異常資產(chǎn),對未知設(shè)備接入等異常行為及時發(fā)現(xiàn)并處置。二是采用入侵檢測、全流量檢測、安全審計等方式監(jiān)測數(shù)控機(jī)床生產(chǎn)環(huán)境,發(fā)現(xiàn)惡意行為和惡意代碼,對數(shù)控機(jī)床生產(chǎn)環(huán)境行為進(jìn)行審計,協(xié)助事后分析取證溯源。三是通過態(tài)勢感知等技術(shù)手段,匯集流量側(cè)、端點(diǎn)側(cè)、日志側(cè)等數(shù)據(jù),進(jìn)行關(guān)聯(lián)分析和深度安全監(jiān)測、研判和應(yīng)急響應(yīng),并實(shí)現(xiàn)數(shù)控機(jī)床網(wǎng)絡(luò)安全集中管理。
(5)可信計算技術(shù)提高數(shù)控機(jī)床內(nèi)生安全
面對數(shù)控機(jī)床聯(lián)網(wǎng)開放、互通互聯(lián)可能帶來的安全威脅,可以通過可信計算技術(shù)實(shí)現(xiàn)數(shù)控機(jī)床的內(nèi)生安全。一方面,數(shù)控機(jī)床在主機(jī)層面支持“硬件級部件(安全芯片或安全固件)”作為系統(tǒng)信任根,建立從系統(tǒng)到應(yīng)用的信任鏈,實(shí)現(xiàn)從設(shè)備加電到應(yīng)用加載過程的安全啟動和運(yùn)行,從根本上解決工業(yè)互聯(lián)網(wǎng)可信、可控、可靠等方面的問題。另一方面,在系統(tǒng)運(yùn)行過程中,實(shí)時監(jiān)視數(shù)控系統(tǒng)內(nèi)關(guān)鍵進(jìn)程、模塊、可執(zhí)行代碼、關(guān)鍵數(shù)據(jù)結(jié)構(gòu)等,對進(jìn)程的資源訪問行為進(jìn)行實(shí)時度量和控制,依據(jù)動態(tài)的可信性對發(fā)生變化的度量對象依據(jù)策略采取報警、終止運(yùn)行、更新度量預(yù)期值等措施,從而確保數(shù)控系統(tǒng)運(yùn)行狀態(tài)的可信。
(6)打造數(shù)控機(jī)床安全綜合防護(hù)體系
針對數(shù)控機(jī)床所面臨未知網(wǎng)絡(luò)威脅的持續(xù)性、組合性、跨域性和定向性等特點(diǎn),逐一應(yīng)對解決傳統(tǒng)被動防護(hù)難以應(yīng)對利用邏輯缺陷的攻擊等問題。一方面,對數(shù)控機(jī)床安全關(guān)鍵技術(shù)的聯(lián)合攻關(guān)和創(chuàng)新,打造集事前預(yù)警、事中感知防御、事后審查等功能于一體的“數(shù)控機(jī)床安全增強(qiáng)防護(hù)設(shè)備”體系。實(shí)現(xiàn)防護(hù)思路由被動“封堵查殺”到主動免疫防御的轉(zhuǎn)變,建立了云、邊、端的內(nèi)生安全防護(hù)架構(gòu),確保設(shè)備、系統(tǒng)、網(wǎng)絡(luò)的可靠性、穩(wěn)定性,有效提升制造企業(yè)生產(chǎn)網(wǎng)絡(luò)的整體安全性。另一方面,建設(shè)覆蓋設(shè)備、主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)的數(shù)控機(jī)床綜合防護(hù)體系,建立事前身份認(rèn)證、加密,事中感知、防御,事后審計、追溯等多路徑閉環(huán)的安全防護(hù)體系,提升數(shù)控機(jī)床領(lǐng)域的整體安全能力。
2 數(shù)控機(jī)床網(wǎng)絡(luò)安全發(fā)展建議
近年來,數(shù)控機(jī)床聯(lián)網(wǎng)運(yùn)行已成為趨勢,同時也暴露出很多安全問題。基于所梳理的數(shù)控機(jī)床安全現(xiàn)狀與安全風(fēng)險,我們對數(shù)控機(jī)床網(wǎng)絡(luò)安全提出如下建議:
(1)推進(jìn)數(shù)控機(jī)床相關(guān)安全標(biāo)準(zhǔn)規(guī)范制定
目前針對數(shù)控機(jī)床網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和技術(shù)規(guī)范儲備不足,需推動出臺數(shù)控機(jī)床相關(guān)網(wǎng)絡(luò)安全防護(hù)要求、安全評估評測規(guī)范、密碼應(yīng)用等相關(guān)安全標(biāo)準(zhǔn)規(guī)范。一方面,面向數(shù)控機(jī)床邊界防護(hù)、入侵防范、安全審計等安全需求,制定亟需數(shù)控機(jī)床內(nèi)生安全及評估測試等行業(yè)標(biāo)準(zhǔn)和企業(yè)標(biāo)準(zhǔn),強(qiáng)化數(shù)控機(jī)床在設(shè)計、開發(fā)、實(shí)施、運(yùn)行維護(hù)等全生命周期過程的網(wǎng)絡(luò)安全規(guī)范要求,為企業(yè)產(chǎn)品安全開發(fā)、第三方機(jī)構(gòu)測試認(rèn)證、設(shè)備部署運(yùn)行提供可參考的依據(jù)。另一方面,研制數(shù)控系統(tǒng)密碼應(yīng)用技術(shù)要求及測評要求等標(biāo)準(zhǔn),規(guī)范和評估數(shù)控系統(tǒng)密碼應(yīng)用的設(shè)計、實(shí)現(xiàn)和使用;鼓勵安全設(shè)備制造商積極參與標(biāo)準(zhǔn)研制與貫標(biāo)試點(diǎn)工作,以標(biāo)準(zhǔn)規(guī)范指導(dǎo)數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)部署。
(2)提升數(shù)控機(jī)床網(wǎng)絡(luò)安全綜合技術(shù)防護(hù)能力
數(shù)控機(jī)床作為工業(yè)控制系統(tǒng)的重要組成部分,網(wǎng)絡(luò)安全防護(hù)依然依賴傳統(tǒng)“外掛式”安全措施,需產(chǎn)業(yè)各方加強(qiáng)數(shù)控機(jī)床安全技術(shù)研究,提升網(wǎng)絡(luò)安全綜合防護(hù)能力。一方面,建立數(shù)控機(jī)床多重安全防護(hù)的縱深防御體系框架,采取事前身份認(rèn)證、加密、預(yù)警、漏掃、評估機(jī)制,事中防御攻擊機(jī)制,事后審計、追溯等,以提升數(shù)控網(wǎng)絡(luò)的整體安全。另一方面,加強(qiáng)數(shù)控機(jī)床內(nèi)生安全能力建設(shè),通過自主可控加可信計算的總體思路,用主動免疫的思想對網(wǎng)絡(luò)空間尤其是數(shù)控機(jī)床等設(shè)施領(lǐng)域的安全防護(hù)思路進(jìn)行研究和探索,基于國產(chǎn)密碼算法構(gòu)建內(nèi)生安全能力。
(3)開展數(shù)控機(jī)床網(wǎng)絡(luò)安全評估評測
目前,數(shù)控設(shè)備的遠(yuǎn)程維護(hù)需要通過互聯(lián)網(wǎng)進(jìn)行,存在的漏洞容易被攻擊者利用進(jìn)行惡意攻擊,導(dǎo)致數(shù)控設(shè)備直接面臨互聯(lián)網(wǎng)中的安全風(fēng)險。應(yīng)建立數(shù)控機(jī)床網(wǎng)絡(luò)安全評估評測體系,開展數(shù)控機(jī)床網(wǎng)絡(luò)安全評估評測。一方面,圍繞數(shù)控機(jī)床系統(tǒng)固件安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、接入安全等要求,建立數(shù)控機(jī)床網(wǎng)絡(luò)安全測試評估體系,建立安全能力評估模型。另一方面,針對數(shù)控機(jī)床抗?jié)B透能力、惡意代碼防范、抗DDoS能力、漏洞隱患情況等漏洞隱患防護(hù)能力等進(jìn)行安全能力分析研究和攻擊防護(hù)測試,推動數(shù)控機(jī)床安全檢測認(rèn)證和設(shè)備能力提升。
(4)推動數(shù)控機(jī)床相關(guān)安全產(chǎn)品應(yīng)用及市場發(fā)展
目前國內(nèi)使用的主流數(shù)控設(shè)備,其核心系統(tǒng)大部分是國外廠家產(chǎn)品,特別是高端數(shù)控機(jī)床控制系統(tǒng)和數(shù)控機(jī)床整體聯(lián)網(wǎng)解決方案。因此,應(yīng)加快對數(shù)控機(jī)床核心關(guān)鍵技術(shù)攻關(guān),推動相關(guān)安全產(chǎn)品和服務(wù)的開發(fā)應(yīng)用。一方面,鼓勵國內(nèi)重點(diǎn)企業(yè)、科研機(jī)構(gòu)、高校等加強(qiáng)合作,推動研制具備訪問控制、數(shù)據(jù)安全防護(hù)、病毒防護(hù)與分析、NC文件語義分析與審計、鏈路加密、智能預(yù)警等能力的數(shù)控機(jī)床安全增強(qiáng)防護(hù)設(shè)備。另一方面,圍繞數(shù)控機(jī)床安全產(chǎn)品的功能、性能及安全性等設(shè)計安全認(rèn)證級別,開展數(shù)控機(jī)床相關(guān)安全產(chǎn)品及服務(wù)分類分級管理,為不同部門、行業(yè)企業(yè)提供安全級別選擇,遴選達(dá)標(biāo)安全產(chǎn)品目錄清單,推動數(shù)控機(jī)床安全產(chǎn)品市場發(fā)展。
摘自《數(shù)控機(jī)床網(wǎng)絡(luò)安全研究報告(2023年)》
來源:中國信息通信研究院和北京神州綠盟科技有限公司
摘自《自動化博覽》2024年3月刊
北京市公安局海淀分局備案號:11010802023656號