谁来守护中国智能制造网络安全 安盟信息“工业母机”的硬核防护技术

供稿:北京安盟信息技术股份有限公司

  • 关键词:安盟信息,数控机床, 智能智造
  • 摘要:数控机床作为智能制造的“工作母机”,是工业领域生产加工的关键设备,其重要性不言而喻。随着智能制造的快速发展,智能机床、数控机床联网运行已成为趋势,如何保障机床联网运行的网络与数据安全就显得尤为重要,本文从“工业母机”的基础环境风险、联网安全风险以及当前常规防护方案进行介绍,并针对当前解决方案不足问题进行说明,最后提出安盟信息在机床防护的“硬核技术”,为“工业母机”网络与数据安全提供有力保障,助力中国实体经济高质量发展!

摘要:数控机床作为智能制造的“工作母机”,是工业领域生产加工的关键设备,其重要性不言而喻。随着智能制造的快速发展,智能机床、数控机床联网运行已成为趋势,如何保障机床联网运行的网络与数据安全就显得尤为重要,本文从“工业母机”的基础环境风险、联网安全风险以及当前常规防护方案进行介绍,并针对当前解决方案不足问题进行说明,最后提出安盟信息在机床防护的“硬核技术”,为“工业母机”网络与数据安全提供有力保障,助力中国实体经济高质量发展!


关键词:数控机床 智能智造 机甲卫士 工控安全 DNC防护 全接口管理


一、引言


“工业母机”承担着工业现代化的重要使命,是智能制造领域的关键设备,同时也是制造强国目标的基础。智能机床、数控机床广泛应用于十大军工、汽车制造、3C制造等领域,它对国计民生的一些重要行业的发展起着越来越重要的作用。随着两化融合等政策的大力推动和发展,越来越多的信息技术应用到工业制造领域,生产模式发生改变,数控机床和系统间网络互联互通的趋势越来越明显。我国数控加工行业也开始大力推进数控机床的网络化,加快数控网络与企业办公网和互联网的互联互通。


数控系统使用的是厂商定制的专用系统,在设计时没有考虑信息安全问题。系统中运行的控制软件、通信协议和管理系统在设计时就存在着漏洞和后门,利用数控系统的安全漏洞能够直接完成对系统进行控制,并且能够获得系统的最大控制权限。尤其是数控系统接入企业管理网和互联网后,面临的信息安全风险更是急剧增加,亟须建立一套数控机床安全防护方案体系。


二、“工业母机”网络安全风险分析


随着物联网、移动互联、大数据、5G等新一代信息技术的融合发展,数控机床逐渐与办公网、互联网以及第三方网络进行互联互通,使得原本封闭可信的工业生产环境被打破,从而面临着病毒、木马、黑客、敌对势力等威胁。尤其近几年,勒索病毒对工业生产企业的攻击更加频繁,如2018年台积电Wannacry勒索事件,以及2021年5月美国最大成品油管道运营商科洛尼尔公司遭受勒索攻击,这些安全事件表明工业控制系统自身存在安全问题,使得黑客、敌对势力等威胁利用这些问题对工业生产环境进行攻击。针对“工业母机”相关风险总结如下。


(1)数控机床自身存在大量的安全漏洞


高精尖数控机床多以国外品牌为主,使用的是厂商定制的专用系统,在设计时没有考虑安全问题。数控机床自身服务和通信协议和在设计时就存在着漏洞和后门,存在数控机床感染病毒或自带某后门程序直接通过DNC控制网进行关键数据外泄的风险。


(2)数控机床、数控系统无法安装常规信息安全防护产品


现有安全保密防护产品运行在通用操作系统的之上,无法在数控系统、数控机床上安装,即便是可以安装,这些安全软件的运行会影响数控系统的实时性、兼容性,直接导致数控系统无法正常运行。


(3)数控机床传输内容无法有效控制和审计


数控机床自身不具备身份鉴别、访问控制等功能,而且无法安装信息安全产品,所以对自身数据的输入输出无法进行有效的管理。现在DNC网络缺乏对NC文件数据流转的控制手段,下发至各数控机床的NC文件无法辨别是否合规。


(4)数控机床组成的DNC网络互连风险

数据机床引入了DNC网络,用于程序传输与管理,在大大提高工作效率的同时,也给各个数控机床带来了安全风险。例如一台数控机床感染病毒、木马,由于其他数控机床均接入到DNC网络,病毒、木马极有可能快速扩散到所有数控机床,造成设备损坏生产无法正常进行,而且产生高昂的维修成本和人力成本。


三、常规“工业母机”防护措施分析


(1)基于DNC网络的边界防护


一些数控机床或DNC网络,采用工业防火墙实现逻辑隔离,建立白名单策略,实现基于黑/白名单的访问控制,从而为数控网络提供基于IP及端口的阻断能力。

优劣分析:此解决方案优势在于快速部署;但劣势明显主要在于工业防火墙安全措施除了检测工业协议外就是通过“五元组”实现安全控制,但DNC网络非标准工控协议,同时“五元组”访问控制属性无法解决DNC文件的安全过滤能力。


(2)基于数控主机安全防护软件


通过安装工业主机防护软件,如白名单软件对数控主机进行策略防护,包括操作系统加固、病毒防护、恶意行为监测等,以增强数控主机的安全性。 


优劣分析:此解决方案优势在于轻量化部署;但劣势同样明显,工业主机防护软件除了加固操作系统外,依然无法解决DNC文件的安全过滤能力和机床端的防护,且无法防止恶意用户以生产线为目标窃取知识产权 (以生产代码的形式) 或破坏生产的攻击。


(3)基于DNC网络工业审计监测


部分DNC网络部署工业安全审计系统,进行安全监测和审计,用于及时发现异常资产及网络安全威胁。


优劣分析:此解决方案的优势在于工业安全审计系统可以旁路部署,能够识别和发现一定异常资产、监测部分网络攻击的异常行为。但劣势是依旧未解决数控机床防护的核心目的,无法对DNC文件类型、格式、协议进行过滤。


四、安盟信息“工业母机”硬核防护技术


数控机床要做到真正安全防护的目标,需要使用非常规的安全机制,除资源访问控制和管理外,还要解决入侵控制(远程代码执行)、损坏(篡改工具测量值)、拒绝服务 (DoS,包括勒索)、劫持(参数劫持)和知识产权盗窃等五类攻击。


一些较为先进的数控终端还开放了SSH、HTTP、时钟同步等服务,这些都有可能成为攻击者的攻击目标;部分数控终端所采用的系统版本较为老旧,极有可能存在远程代码执行漏洞或拒绝服务漏洞,从而使攻击者完全控制数控终端或使其宕机,在这种情况下,轻则严重影响工厂生产,重则对终端造成不可恢复的破坏。 


针对工控网络中数控终端系统与外界信息交互越来越紧密,网络威胁越多,另外一些关键文件(NC文件)通过数控机床USB接口、串口传输到数控终端系统,存在安全隐患。安盟信息推出了“机甲卫士系统”(简称“机甲卫士”),通过对网口、串口及USB口的多重安全防护,从内到外防止此类威胁对数控终端系统的侵犯,保护数控终端系统正常运行。以下是安盟信息公司机甲卫士在“工业母机”防护中的硬核防护技术。


(1)数控机床端口全方位防护


可对数控机床,如生产加工设备网口、串口、USB端口进行全方位的安全防护,端口支持禁用、透传及过滤三种模式,过滤模式下对所有经过端口数据按策略规则进行筛查防护,被拦截数据可进行丢弃、修改(将数据包中不合法内容屏蔽)两种处理方式,同时将告警日志上传到集中管理平台。

工业母机功能图1.png


(2)DNC协议安全过滤


自动识别DNC数控文件传输过程,对文件传输协议进行深度解析,可根据策略规则对传输文件的类型、 大小、关键字等内外部特征进行筛查,拦截不符合策略规则的文件传输并报警。


纵观国内外针对数控机床的安全事件,DNC网络及数控主机作成为攻击的首要目标,将然后把数控主机作为跳板机,再对控制设备、机床设备、工艺系统等进行攻击。分析其原因主要有两点:一是,攻击数控主机技术上比直接攻击控制设备更加容易;二是,数控主机的安全问题更多,更容易被利用。


因此,安盟华御机甲卫士能够保证机床流量控制的通信控制过程,加强通讯ASCII控制命令,包含:


DC1(11H)启动数据传送;

DC2(12H)传送参数;

DC3(93H)停止数据传送;

DC4(14H)参数传送完了。

工业母机功能图2.png


(3)数控程序文件过滤


安盟华御机甲卫士提供规则过滤功能,可对规则中所有类型的文件进行阻断或放行。如:“.NC” 可对所有不同品牌的机床类型的文件进行阻断或放行,从根源上防止一切不正当文件的运行,如SIEMENS系统加工程序的后缀为*.mpf\*.spf,其中格式保护包含

%_N_VF1112_MPF ;

$PATH = /_N_MPF_DIR ;

N10 T1D1M03S100 ;

N30 G0X489.71Z60 ;

N40 M01;

N50 G0X210 N60 Z14;

N70 G1Z11.585F0.3 ;

N80 M30工。


(4)工业协议支持


安盟华御机甲卫士支持OPC、Modbus、DNP3、IEC104、IEC61850、MMS、S7等工控协议。


因此,为了防止黑客恶意控制数控控制器,如改变刀具几何形状,从而导致所生产的零件出现微缺陷。安盟华御机甲卫士对MODBUS应用进行配置时,进行深度解析控制的配置,支持对功能码、地址、数据类型、解析方式、值域进行控制,如下图所示。


工业母机功能图3.png

工业母机功能图4.png


(5)网络数据防护


安盟华御机甲卫士支持对工控协议数据包进行过滤筛查,对工控数据完整性、功能码、地址范围和工艺参数范围进行深度解析,支持对工控非法指令、数据篡改等攻击的防护,保障工控系统可靠运行。


工业母机功能图5.png

(6)USB接口防护


安盟华御机甲卫士可实现机甲卫士与数控机床USB对接,如武汉重工机床、济南第二机床厂及无锡华联等机床厂商通过USB下发机床文件,因此,安盟华御机甲卫士对U口相关NC文件进行防护,既实现对网络层侧威胁攻击安全防护,又可屏蔽内部侧的恶意泄露数据和病毒传播风险。同时,让USB口和受控主机不直连,杜绝了USB炸弹以及USB端口损坏的风险。 


具有USB接口设备的端口状态显示、权限设置、文件管控、黑白名单策略、病毒查杀等功能。文件管控主要对已连接存储类USB外设上的文件进行杀毒、手动传输、规则匹配、关键字过滤等管控,可以按照目录层级查看文件,显示每个文件的详细信息及病毒查杀信息,将查杀出的威胁文件放置缓存区,便于追溯和管理,可以根据实际业务对威胁文件进行删除。


进行查杀配置后,对已授权的USB设备进行全盘查杀,查杀结束后会展示查杀列表,如下图所示。


工业母机功能图6.png


(7)USB串口防护


当前,部分机床存在通过串口下发机床文件,如济南第二机床厂部分机床型号、高锋部分机床型号等使用串口,安盟华御机甲卫士可对RS232串口数据进行防护,根据数据包地址信息、指令类型及数据内容进行筛查过滤,可自行选择端口传输数据的启用或停用,保证在数据传输过程中的可靠性。


工业母机功能图7.png


(8)数控机床集中管理


状态监测分为安盟华御机甲卫士状态监测和工控设备状态监测两部分。安盟华御机甲卫士状态监测可对其运行状态实时监测,确保不间断运行、异常断线时自动报警。工控设备状态监测是通过安盟华御机甲卫士将与其连接的工控设备的各个端口在线状态及数据防护状态上传至安盟华御机甲卫士集中管理平台,发现异常时自动产生报警信息,达到集中管理平台对全网设备的全局监控。


工业母机功能图8.png

工业母机功能图9.png


五、“工业母机”一体化防护展望


若说制造业是国家命脉,那“工业母机”则是制造业的心脏(几乎可以覆盖制造业的全部领域),在政策的鼓励下,国内机床产业快速崛起,2012-2021年,装备工业增加值年均增长8.2%,始终保持中高速,至2021年底,装备工业规模以上企业达10.51万家,比2012年增长近45.30%;资产总额、营业收入、利润总额分别达到28.83万亿元、26.47万亿元和1.57万亿元,比2012年分别增长92.97%、47.76%、28.84%。在国家支撑数控机床行业顶层设计下,我国数控机床行业已形成完整的产业体系,整体处于世界第二梯队,数控机床行业正在高质量发展!


安盟信息形成融合密码技术、边界安全、工控安全为体系的工控安全防护能力,赋能工业互联网安全,打造硬核自主核心技术,为数字化中国、制造强国构建一个可信、可控、可管的安全动态防御体系,保障“工业母机”生产网络安全稳定运行!


发布时间:2022年11月4日 11:08  人气:   审核编辑(王静 )
相关链接

我有需求