今日頭條
官方微信
官方抖音
資訊頻道1 前言
數(shù)控加工系統(tǒng)是制造業(yè)核心裝備,廣泛應(yīng)用于航空航天、車(chē)輛制造、船舶制造等關(guān)系國(guó)防安全、經(jīng)濟(jì)安全和社會(huì)安全的關(guān)鍵行業(yè)。隨著兩化深度融合,數(shù)控網(wǎng)絡(luò)安全防護(hù)成為數(shù)控領(lǐng)域網(wǎng)絡(luò)化、智能化發(fā)展的關(guān)鍵問(wèn)題。智能制造企業(yè)的數(shù)控系統(tǒng)和網(wǎng)絡(luò)存在大量漏洞及風(fēng)險(xiǎn)。高端數(shù)控機(jī)床的LAD(Ladder Diagram)、PMC(Programmable Machine Controller)等信息機(jī)密文件、進(jìn)口高端數(shù)控機(jī)床敏感地理信息存在泄露風(fēng)險(xiǎn),設(shè)備使用無(wú)線上網(wǎng)卡連接因特網(wǎng)形成泄密通路,進(jìn)口CNC(Computerized Numerical Control)控制系統(tǒng)存在嚴(yán)重遠(yuǎn)程控制漏洞等,一旦被不法分子利用,后果極為嚴(yán)重。然而我國(guó)數(shù)控網(wǎng)絡(luò)安全發(fā)展嚴(yán)重滯后,數(shù)控加工系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)長(zhǎng)期以來(lái)沒(méi)有得到足夠關(guān)注,相關(guān)標(biāo)準(zhǔn)體系建設(shè)也幾乎為空白,缺乏必要的防護(hù)措施。數(shù)控網(wǎng)絡(luò)安全防護(hù)存在迫切需求,且應(yīng)成為智能制造產(chǎn)業(yè)發(fā)展的重要基礎(chǔ)。
2 智能制造背景下數(shù)控加工系統(tǒng)的發(fā)展
隨著《中國(guó)制造2025》戰(zhàn)略的全面實(shí)施,越來(lái)越多的信息技術(shù)應(yīng)用到了工業(yè)制造領(lǐng)域,生產(chǎn)模式得以改變,各種智能制造設(shè)備和系統(tǒng)進(jìn)行網(wǎng)絡(luò)互聯(lián)互通的趨勢(shì)越來(lái)越快,我國(guó)數(shù)控加工行業(yè)也開(kāi)始大力推進(jìn)數(shù)控機(jī)床的網(wǎng)絡(luò)化,加快數(shù)控網(wǎng)絡(luò)與企業(yè)辦公網(wǎng)和因特網(wǎng)的互聯(lián)互通。2013年德國(guó)在漢諾威機(jī)床展覽會(huì)上提出“工業(yè)4.0”概念的核心思想——“智能+網(wǎng)絡(luò)化”,其可以將裝備、存儲(chǔ)系統(tǒng)和生產(chǎn)設(shè)施融入到信息物理系統(tǒng)(CPS,Cyber Physical Systems )中,同時(shí)將工業(yè)互聯(lián)網(wǎng)應(yīng)用到制造業(yè)領(lǐng)域,從而實(shí)現(xiàn)生產(chǎn)型制造向服務(wù)型制造的轉(zhuǎn)變。網(wǎng)絡(luò)化的數(shù)控加工系統(tǒng)體系結(jié)構(gòu)和運(yùn)行模式都發(fā)生了巨大的變化,數(shù)控系統(tǒng)正從過(guò)去的封閉式走向開(kāi)放式,從過(guò)去的單機(jī)運(yùn)行走向網(wǎng)絡(luò)化數(shù)控。數(shù)控系統(tǒng)的網(wǎng)絡(luò)化是實(shí)現(xiàn)虛擬制造、敏捷制造、全球制造等新制造模式的基礎(chǔ)單元,也是滿足制造企業(yè)對(duì)信息集成需求的技術(shù)途徑。近年來(lái),國(guó)外著名的數(shù)控機(jī)床和數(shù)控系統(tǒng)制造商都推出了有關(guān)網(wǎng)絡(luò)化的樣機(jī)和新概念,如MAZAK的智能生產(chǎn)控制中心、SIEMENS的開(kāi)放制造環(huán)境、三菱電機(jī)自動(dòng)化的工廠網(wǎng)絡(luò)集成制造系統(tǒng)(如圖1所示)等,均反映了數(shù)控加工向網(wǎng)絡(luò)化方向發(fā)展的趨勢(shì)。
圖1 三菱電機(jī)自動(dòng)化的工廠網(wǎng)絡(luò)集成制造系統(tǒng)
3 數(shù)控加工系統(tǒng)面臨的主要安全威脅
3.1 數(shù)控加工系統(tǒng)網(wǎng)絡(luò)安全面臨挑戰(zhàn)的原因
首先數(shù)控加工設(shè)備聯(lián)網(wǎng)進(jìn)程的加快導(dǎo)致了傳統(tǒng)信息網(wǎng)絡(luò)的各種黑客攻擊和惡意代碼等安全威脅快速進(jìn)入到數(shù)控網(wǎng)絡(luò)。另外,在大力發(fā)展數(shù)控網(wǎng)絡(luò)建設(shè)的同時(shí),工業(yè)企業(yè)沒(méi)有充分考慮數(shù)控網(wǎng)絡(luò)與其它網(wǎng)絡(luò)互聯(lián)互通帶來(lái)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),網(wǎng)絡(luò)安全防護(hù)體系建設(shè)相對(duì)于數(shù)控網(wǎng)絡(luò)的快速發(fā)展存在明顯滯后。近年來(lái)針對(duì)數(shù)控網(wǎng)絡(luò)的安全攻擊事件陡增,嚴(yán)重影響企業(yè)生產(chǎn)秩序,危害生產(chǎn)人員人身安全和企業(yè)財(cái)產(chǎn)安全甚至國(guó)家安全。典型數(shù)控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。
圖2 典型數(shù)控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)
3.2 數(shù)控加工系統(tǒng)安全面臨的主要安全問(wèn)題
獨(dú)立封閉的數(shù)控生產(chǎn)網(wǎng)絡(luò)接入企業(yè)管理網(wǎng)和互聯(lián)網(wǎng)后面臨的信息安全風(fēng)險(xiǎn)增加,占據(jù)主導(dǎo)地位的進(jìn)口設(shè)備可能存在系統(tǒng)設(shè)計(jì)漏洞和預(yù)留后門(mén),明文傳輸和管理加工代碼導(dǎo)致代碼易被非法獲取和制造數(shù)據(jù)泄密,設(shè)備的升級(jí)維護(hù)過(guò)程行為不可控,對(duì)移動(dòng)存儲(chǔ)介質(zhì)缺少有效的技術(shù)監(jiān)管手段,主機(jī)防護(hù)能力弱等威脅。
(1)網(wǎng)絡(luò)邊界擴(kuò)大導(dǎo)致更多的網(wǎng)絡(luò)攻擊:兩化融合的不斷發(fā)展,使得原本獨(dú)立封閉的數(shù)控生產(chǎn)網(wǎng)絡(luò)接入企業(yè)管理網(wǎng)和互聯(lián)網(wǎng),網(wǎng)絡(luò)邊界擴(kuò)大必然導(dǎo)致網(wǎng)絡(luò)攻擊事件不斷發(fā)生。
(2)數(shù)控領(lǐng)域進(jìn)口設(shè)備占據(jù)主導(dǎo)地位:目前國(guó)內(nèi)使用的主流數(shù)控設(shè)備,其核心系統(tǒng)大部分是國(guó)外廠家產(chǎn)品,特別是高端CNC數(shù)控機(jī)床控制系統(tǒng)和DNC數(shù)控整體聯(lián)網(wǎng)解決方案,如我國(guó)高端數(shù)控機(jī)床控制系統(tǒng)基本由發(fā)那科FANUC(日本)、西門(mén)子Siemens(德國(guó))、海德漢HEIDENHAIN(德國(guó))等幾家國(guó)外廠商占據(jù)主導(dǎo)地位。進(jìn)口數(shù)控系統(tǒng)往往存在以下安全隱患,如表1所示。
表1 我國(guó)數(shù)控設(shè)備品牌市場(chǎng)占有率(中科物安整理)
(3)數(shù)控系統(tǒng)自身安全:國(guó)外廠家的核心技術(shù)不向我國(guó)公開(kāi),復(fù)雜的數(shù)控系統(tǒng)所包含的軟件代碼量級(jí)巨大,其中可能存在系統(tǒng)設(shè)計(jì)漏洞和預(yù)留后門(mén)等安全隱患。
(4)數(shù)控協(xié)議安全:多數(shù)數(shù)控機(jī)床控制系統(tǒng)使用明文方式傳輸和管理加工代碼,這樣容易導(dǎo)致未加密的加工代碼被非法獲取,并通過(guò)專用軟件對(duì)加工物品進(jìn)行還原,導(dǎo)致制造數(shù)據(jù)泄密。
(5)數(shù)控設(shè)備運(yùn)維升級(jí)安全:數(shù)控設(shè)備的升級(jí)維護(hù)嚴(yán)重依賴生產(chǎn)和供應(yīng)廠商,很多設(shè)備允許通過(guò)網(wǎng)絡(luò)遠(yuǎn)程控制,系統(tǒng)缺少用戶身份認(rèn)證和訪問(wèn)授權(quán)等安全機(jī)制,設(shè)備的升級(jí)維護(hù)過(guò)程行為不可控,存在巨大的安全風(fēng)險(xiǎn)。
(6)對(duì)移動(dòng)存儲(chǔ)介質(zhì)缺少有效技術(shù)監(jiān)管手段:可以在網(wǎng)絡(luò)中隨意接入U(xiǎn)盤(pán)、移動(dòng)硬盤(pán)、光盤(pán)等移動(dòng)存儲(chǔ)介質(zhì),對(duì)網(wǎng)絡(luò)中的關(guān)鍵生產(chǎn)數(shù)據(jù)任意訪問(wèn)和操作,導(dǎo)致機(jī)密生產(chǎn)數(shù)據(jù)的泄露。
(7)主機(jī)防護(hù)能力弱:作為網(wǎng)絡(luò)入侵的主要被攻擊點(diǎn),數(shù)控網(wǎng)絡(luò)中的主機(jī)防護(hù)力度不足,傳統(tǒng)IT行業(yè)的殺毒軟件并不適用數(shù)控網(wǎng)絡(luò)主機(jī)的安全防護(hù),或者會(huì)嚴(yán)重影響企業(yè)的生產(chǎn)效率。
(8)數(shù)控網(wǎng)絡(luò)安全事件難以跟蹤溯源:網(wǎng)絡(luò)攻擊者大都使用偽造的IP地址,使被攻擊者很難確定攻擊源的位置,并且有經(jīng)驗(yàn)的攻擊者往往會(huì)消除攻擊痕跡等記錄,使得企業(yè)不能實(shí)施有針對(duì)性的防護(hù)策略,防止類(lèi)似的安全事件重復(fù)發(fā)生。
3.3 現(xiàn)有防護(hù)手段不能解決數(shù)控加工系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題
由于智能制造系統(tǒng)與傳統(tǒng)信息系統(tǒng)的特點(diǎn)和安全需求的不同,現(xiàn)有的安全防護(hù)手段(防火墻、網(wǎng)閘、單向隔離設(shè)備、病毒查殺工具等)不足以對(duì)智能制造系統(tǒng)進(jìn)行有效防御,智能制造系統(tǒng)安全攻防技術(shù)研究工作亟待加強(qiáng),智能制造系統(tǒng)特別是數(shù)控網(wǎng)絡(luò)安全防護(hù)技術(shù)亟需發(fā)展,產(chǎn)品亟需實(shí)現(xiàn)和驗(yàn)證。
4 數(shù)控加工系統(tǒng)網(wǎng)絡(luò)安全防護(hù)探索
4.1 國(guó)內(nèi)外發(fā)展情況
在智能制造系統(tǒng)安全防護(hù)技術(shù)方面,國(guó)內(nèi)外廠家都在開(kāi)展積極研究。日本大隈(Okuma) 的OSP病毒防護(hù)系統(tǒng)在Okuma OSP-P控制系統(tǒng)中內(nèi)置了病毒掃描應(yīng)用接口來(lái)防止感染從網(wǎng)絡(luò)或USB設(shè)備傳播的病毒;中國(guó)航天科工集團(tuán)公司二院706所開(kāi)發(fā)了HT706-CNCP數(shù)控系統(tǒng)終端信息安全防護(hù)設(shè)備及HT706-CISP邊界安全專用網(wǎng)關(guān)。但這些安全防護(hù)方案和產(chǎn)品往往只針對(duì)特定型號(hào)的數(shù)控系統(tǒng),不具有普遍適用性。目前在我國(guó)已發(fā)布或在研的工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)中提出的安全防護(hù)技術(shù)要求是適用于批量制造、連續(xù)制造、離散制造使用的安全防護(hù)技術(shù)手段,并不完全適用于數(shù)控網(wǎng)絡(luò)。
4.2 數(shù)控網(wǎng)絡(luò)安全防護(hù)原則
4.2.1 可用性
各類(lèi)安全防護(hù)措施的使用不應(yīng)對(duì)數(shù)控網(wǎng)絡(luò)的正常運(yùn)行以及數(shù)控網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交互造成影響。
4.2.2 網(wǎng)絡(luò)隔離
數(shù)控網(wǎng)絡(luò)應(yīng)僅用于數(shù)控生產(chǎn)加工業(yè)務(wù),應(yīng)采用專用的物理網(wǎng)絡(luò),與外部網(wǎng)絡(luò)的交互應(yīng)采取有效的安全防護(hù)措施。
4.2.3 分區(qū)防御
將數(shù)控網(wǎng)絡(luò)劃分為數(shù)控網(wǎng)絡(luò)-監(jiān)督控制區(qū)域和數(shù)控網(wǎng)絡(luò)-數(shù)控設(shè)備區(qū)域。數(shù)控網(wǎng)絡(luò)-數(shù)控設(shè)備區(qū)域按照完成的生產(chǎn)功能可進(jìn)一步劃分為不同的子區(qū)域。對(duì)不同的區(qū)域應(yīng)采取相應(yīng)的安全保護(hù)措施。在不影響各區(qū)域工作的前提下,于各區(qū)域邊界處采取相應(yīng)的安全隔離措施,確保各個(gè)區(qū)域之間有清楚明晰的邊界設(shè)定,并保障各區(qū)域邊界安全。
4.2.4 全面保護(hù)
單一設(shè)備的防護(hù)、單一防護(hù)措施或單一防護(hù)產(chǎn)品都無(wú)法有效的保護(hù)數(shù)控網(wǎng)絡(luò),所以數(shù)控網(wǎng)絡(luò)的防護(hù)需要采取多個(gè)不同機(jī)制的多層防護(hù)策略。
4.3 數(shù)控加工系統(tǒng)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)
4.3.1 數(shù)控協(xié)議分析與測(cè)試
數(shù)控協(xié)議深度解析,研究數(shù)據(jù)包的關(guān)鍵內(nèi)容及有效負(fù)載,并覆蓋西門(mén)子、發(fā)那科、海德漢、通用公司、廣州數(shù)控、沈陽(yáng)機(jī)床等企業(yè)的數(shù)控系統(tǒng)協(xié)議等多種數(shù)控系統(tǒng),支持主流數(shù)控網(wǎng)絡(luò)協(xié)議深度解析。目前數(shù)控設(shè)備廠商(特別是國(guó)外廠商)出于商業(yè)保護(hù)或設(shè)備安全的原因大都使用私有的數(shù)控協(xié)議。如果不了解網(wǎng)絡(luò)數(shù)據(jù)包中的有效信息就無(wú)法有效防御針對(duì)私有協(xié)議的攻擊。未知協(xié)議分析通過(guò)機(jī)器學(xué)習(xí)、數(shù)據(jù)挖掘等技術(shù),在大量數(shù)據(jù)的基礎(chǔ)上,分析發(fā)現(xiàn)未知協(xié)議的關(guān)鍵字信息。與行業(yè)用戶合作,實(shí)現(xiàn)關(guān)鍵字和數(shù)控設(shè)備功能的映射關(guān)系分析。數(shù)控協(xié)議測(cè)試的對(duì)象主要是各類(lèi)私有或自定義數(shù)控協(xié)議的實(shí)現(xiàn)效果,通過(guò)全面測(cè)試可以有效發(fā)現(xiàn)協(xié)議實(shí)現(xiàn)的缺陷。
4.3.2 數(shù)控系統(tǒng)漏洞挖掘和分析
通過(guò)機(jī)器學(xué)習(xí)聚類(lèi)算法,結(jié)合目標(biāo)對(duì)象的主動(dòng)和被動(dòng)響應(yīng)行為,判定漏洞信息。基于機(jī)器學(xué)習(xí)的漏洞檢測(cè)利用數(shù)控網(wǎng)絡(luò)中流量的周期性特點(diǎn),以一定的頻率將網(wǎng)絡(luò)流量速度轉(zhuǎn)化為向量,再以不同的時(shí)間周期劃分向量組,利用余弦定理計(jì)算一個(gè)組內(nèi)各向量的相似度,取相似度最高的周期,即認(rèn)為是流量的周期模型。通過(guò)建立工控設(shè)備的流量周期模型,在工控設(shè)備被攻擊時(shí),實(shí)時(shí)檢測(cè)出異常流量。基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)行為聚類(lèi)算法是基于大量的設(shè)備、系統(tǒng)、軟件等漏洞樣例和行為,通過(guò)機(jī)器學(xué)習(xí)聚類(lèi)算法,對(duì)漏洞表征行為學(xué)習(xí)和歸類(lèi),針對(duì)目標(biāo)對(duì)象進(jìn)行測(cè)試用例設(shè)計(jì)和構(gòu)造,結(jié)合目標(biāo)對(duì)象的主動(dòng)和被動(dòng)響應(yīng)行為,判定漏洞信息。
4.3.3 入侵檢測(cè)
隨著管理網(wǎng)和數(shù)控網(wǎng)絡(luò)的聯(lián)通,數(shù)控網(wǎng)絡(luò)面臨更多自內(nèi)而外發(fā)起的高可持續(xù)性攻擊。數(shù)控網(wǎng)絡(luò)安全入侵檢測(cè)技術(shù)與普通IT網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)不同,是一套面向數(shù)控網(wǎng)絡(luò)入侵發(fā)現(xiàn)、分析和實(shí)時(shí)響應(yīng)的具有自組織特性的分布式檢測(cè)技術(shù)。基于行為的協(xié)同感知模型,可以通過(guò)識(shí)別病毒或者惡意威脅軟件爆發(fā)前或者潛伏期的協(xié)同行為來(lái)預(yù)測(cè)網(wǎng)絡(luò)中的異常設(shè)備。利用預(yù)置協(xié)同行為漏洞庫(kù)和以IP地址、MAC地址、協(xié)議、連接建立頻率、連接持續(xù)時(shí)間、傳輸速度等6個(gè)維度建立的行為信息,通過(guò)滑動(dòng)窗口方差匹配算法將上述惡意威脅軟件的協(xié)同行為識(shí)別出來(lái),可以有效地識(shí)別到感染惡意威脅軟件的網(wǎng)絡(luò)設(shè)備和電腦,在惡意行為爆發(fā)前進(jìn)行適時(shí)預(yù)警。基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)行為聚類(lèi)算法基于有限狀態(tài)機(jī),提出了協(xié)議通信特征的推演算法,根據(jù)消息聚類(lèi)的結(jié)果,推演出該通信協(xié)議的全部狀態(tài),并結(jié)合有限狀態(tài)機(jī),對(duì)消息中高頻詞匯進(jìn)行去重和降噪,得到協(xié)議特有的通信特征,基于協(xié)議特征并應(yīng)用機(jī)器學(xué)習(xí)聚類(lèi)方法,使用歐式或者拉氏測(cè)距對(duì)消息進(jìn)行分類(lèi),并利用非負(fù)向量矩陣進(jìn)行降維,最終實(shí)現(xiàn)通信消息的聚類(lèi)和去重,從而實(shí)現(xiàn)智能化消息聚類(lèi)算法。
4.3.4 智能學(xué)習(xí)技術(shù)
智能機(jī)器學(xué)習(xí)的白名單技術(shù)的學(xué)習(xí)引擎是全新智能學(xué)習(xí)引擎,在學(xué)習(xí)模型建立的算法上綜合了國(guó)際最新的監(jiān)督式學(xué)習(xí)(Supervised Learning)技術(shù)和非監(jiān)督式學(xué)習(xí)(Unsupervised Learning)技術(shù)優(yōu)點(diǎn),能夠自動(dòng)收集、分析和學(xué)習(xí)系統(tǒng)正常運(yùn)行狀態(tài)下的數(shù)據(jù)行為,在此基礎(chǔ)上智能提取用戶節(jié)點(diǎn)的行為特征,并自動(dòng)生成容易理解的操作規(guī)則和白名單,實(shí)現(xiàn)自動(dòng)化特征規(guī)則的提取和生成,對(duì)規(guī)則以外的異常數(shù)據(jù)和操作行為進(jìn)行告警。智能機(jī)器學(xué)習(xí)引擎技術(shù)的優(yōu)勢(shì)包括深度數(shù)據(jù)包提取解析、自動(dòng)優(yōu)化規(guī)則和策略部署、自動(dòng)解決規(guī)則策略間的沖突異常、實(shí)現(xiàn)“一鍵式”的智能規(guī)則學(xué)習(xí)和部署、智能分析用戶行為等功能。
4.4 數(shù)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)方案
數(shù)控網(wǎng)絡(luò)防護(hù)的目的是保護(hù)網(wǎng)絡(luò)中各系統(tǒng)的硬件、軟件及數(shù)據(jù)不會(huì)因?yàn)榕既换蛘邜阂馇址付獾狡茐摹⒏募靶孤叮WC控制網(wǎng)絡(luò)系統(tǒng)能夠連續(xù)、正常、可靠運(yùn)行。為數(shù)控網(wǎng)絡(luò)提供所需的安全防護(hù),同時(shí)保證正常生產(chǎn)不受影響是需要重點(diǎn)解決的問(wèn)題。根據(jù)“網(wǎng)絡(luò)專用、安全分區(qū)、區(qū)域隔離和縱深防御”的原則,運(yùn)用數(shù)控系統(tǒng)漏洞挖掘、數(shù)控審計(jì)、智能保護(hù)引擎等多種安全防護(hù)技術(shù),設(shè)計(jì)包括分域保護(hù)、安全加固、安全監(jiān)測(cè)、審計(jì)保護(hù)、數(shù)控主機(jī)防護(hù)等關(guān)鍵防護(hù)機(jī)制的數(shù)控網(wǎng)絡(luò)安全防護(hù)方案,來(lái)保證數(shù)控網(wǎng)絡(luò)的保密性、可用性和完整性。
4.4.1 數(shù)控網(wǎng)絡(luò)漏洞挖掘和風(fēng)險(xiǎn)評(píng)估分析
通過(guò)對(duì)數(shù)控網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評(píng)估,包括對(duì)網(wǎng)絡(luò)架構(gòu)、數(shù)控制造設(shè)備、管理主機(jī)、數(shù)控網(wǎng)絡(luò)中的控制流和數(shù)據(jù)流、控制協(xié)議等進(jìn)行全方位的安全評(píng)估,發(fā)現(xiàn)安全隱患和風(fēng)險(xiǎn)。
4.4.2 網(wǎng)絡(luò)架構(gòu)及邊界防護(hù)
研究制造企業(yè)工藝流程及數(shù)控系統(tǒng)及其業(yè)務(wù)功能屬性,對(duì)高端數(shù)控加工及成型裝備、精密測(cè)量?jī)x器等設(shè)備進(jìn)行識(shí)別和分類(lèi);參照IEC62443-3-3等標(biāo)準(zhǔn)中的區(qū)域劃分原則,對(duì)數(shù)控網(wǎng)絡(luò)劃分合理區(qū)域,在區(qū)域邊界確定安全防護(hù)基線。邊界安全防護(hù)技術(shù)是針對(duì)數(shù)據(jù)采集過(guò)程中和數(shù)據(jù)交換時(shí)遇到的數(shù)據(jù)泄露、病毒入侵等威脅,在機(jī)器智能學(xué)習(xí)、深度協(xié)議數(shù)據(jù)包解析和開(kāi)放式特征匹配三大功能之上,識(shí)別出由于惡意入侵、系統(tǒng)故障、人員誤操作所引起的異常控制行為和非法數(shù)據(jù)包,及時(shí)進(jìn)行告警和阻斷,并能為后續(xù)的安全威脅排查提供依據(jù),對(duì)異常控制行為和非法數(shù)據(jù)包進(jìn)行告警和阻斷,并對(duì)各類(lèi)安全威脅進(jìn)行監(jiān)控,從而為數(shù)控網(wǎng)絡(luò)提供全方位的監(jiān)測(cè)、過(guò)濾、報(bào)警和阻斷能力。針對(duì)數(shù)據(jù)采集過(guò)程中和數(shù)據(jù)交換時(shí)遇到的數(shù)據(jù)泄露、病毒入侵等威脅,在機(jī)器智能學(xué)習(xí)、深度協(xié)議數(shù)據(jù)包解析和開(kāi)放式特征匹配三大功能之上,識(shí)別出由于惡意入侵、系統(tǒng)故障、人員誤操作所引起的異常控制行為和非法數(shù)據(jù)包,為數(shù)控網(wǎng)絡(luò)提供全方位的監(jiān)測(cè)、過(guò)濾、報(bào)警和阻斷能力。典型聯(lián)網(wǎng)DNC防護(hù)網(wǎng)絡(luò)架構(gòu)圖如圖3所示。
圖3 典型聯(lián)網(wǎng)DNC防護(hù)網(wǎng)絡(luò)架構(gòu)圖
4.4.3 數(shù)控網(wǎng)絡(luò)綜合監(jiān)測(cè)和安全審計(jì)
對(duì)數(shù)據(jù)泄密、未知設(shè)備接入、異常控制指令和非法數(shù)據(jù)包等數(shù)控網(wǎng)絡(luò)主要的安全風(fēng)險(xiǎn)和漏洞進(jìn)行深度分析、過(guò)濾、告警、阻斷、追蹤,并對(duì)各類(lèi)安全威脅實(shí)施監(jiān)測(cè)審計(jì)。針對(duì)數(shù)控網(wǎng)絡(luò)的在線全網(wǎng)監(jiān)控審計(jì),可以自動(dòng)識(shí)別網(wǎng)絡(luò)設(shè)備、實(shí)時(shí)顯示整個(gè)控制網(wǎng)絡(luò)的總體運(yùn)行情況和網(wǎng)絡(luò)設(shè)備當(dāng)前狀態(tài),并對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行綜合分析。利用面向數(shù)控網(wǎng)絡(luò)安全的人工智能技術(shù)和先進(jìn)的機(jī)器學(xué)習(xí)、模式識(shí)別、高性能算法設(shè)計(jì)和數(shù)據(jù)挖掘等技術(shù),實(shí)現(xiàn)對(duì)數(shù)控控制網(wǎng)絡(luò)的自動(dòng)學(xué)習(xí)、自動(dòng)適應(yīng)和自動(dòng)規(guī)則生成。
基于行為的協(xié)同感知模型,可以通過(guò)識(shí)別病毒或者惡意威脅軟件爆發(fā)前或者潛伏期的協(xié)同行為來(lái)預(yù)測(cè)網(wǎng)絡(luò)中的異常設(shè)備。利用預(yù)置協(xié)同行為漏洞庫(kù)和以IP地址、MAC地址、協(xié)議、連接建立頻率、連接持續(xù)時(shí)間、傳輸速度等6個(gè)維度建立的行為信息,通過(guò)滑動(dòng)窗口方差匹配算法將上述惡意威脅軟件的協(xié)同行為識(shí)別出來(lái),可以有效地識(shí)別到感染惡意威脅軟件的網(wǎng)絡(luò)設(shè)備和電腦,在惡意行為爆發(fā)前進(jìn)行適時(shí)預(yù)警。高端數(shù)控機(jī)床網(wǎng)絡(luò)安全審計(jì)保護(hù)如圖4所示。
圖4 高端數(shù)控機(jī)床網(wǎng)絡(luò)安全審計(jì)保護(hù)
4.4.4 數(shù)控主機(jī)安全防護(hù)
數(shù)控主機(jī)防護(hù)宜采用適用于數(shù)控網(wǎng)絡(luò)主機(jī)防護(hù)的安全防護(hù)軟件。針對(duì)DNC、MES、PDM、CAM、CAPP等服務(wù)器及終端主機(jī)部署安全防護(hù)軟件。采用智能機(jī)器學(xué)習(xí)的白名單技術(shù),能夠自動(dòng)收集、分析和學(xué)習(xí)系統(tǒng)正常運(yùn)行狀態(tài)下的數(shù)據(jù)行為,在此基礎(chǔ)上智能提取用戶節(jié)點(diǎn)的行為特征,并自動(dòng)生成容易理解的操作規(guī)則和白名單,實(shí)現(xiàn)自動(dòng)化特征規(guī)則的提取和生成,對(duì)規(guī)則以外的異常數(shù)據(jù)和操作行為進(jìn)行告警。
4.4.5 USB接口防護(hù)
USB設(shè)備授權(quán)機(jī)制和白名單技術(shù)可以禁止隨意拷貝數(shù)控管理主機(jī)中的文件。當(dāng)檢測(cè)到非法拷貝企圖時(shí),安全防護(hù)軟件會(huì)阻止文件拷貝,顯示告警信息,記錄下安全事件,并且安全事件不可刪除、不可篡改。
5 數(shù)控網(wǎng)絡(luò)安全防護(hù)的重要意義
5.1 提升數(shù)控加工系統(tǒng)自身防護(hù)能力
通過(guò)實(shí)施數(shù)控加工系統(tǒng)網(wǎng)絡(luò)安全防護(hù)方案,可有效預(yù)防數(shù)控機(jī)床存在的漏洞和后門(mén)所帶來(lái)的影響和后患,且適用于常見(jiàn)的各種國(guó)內(nèi)外品牌高端數(shù)控機(jī)床和精密測(cè)量?jī)x器的組網(wǎng)場(chǎng)景,可對(duì)目前國(guó)內(nèi)企業(yè)常用的高端數(shù)控機(jī)床、精密測(cè)量?jī)x器自身的信息安全提供全方位防護(hù)。
5.2 深度防泄密保護(hù)核心數(shù)據(jù)
數(shù)控網(wǎng)絡(luò)作為智能制造中最為核心的部分,是生產(chǎn)高精密零部件和設(shè)備的基礎(chǔ),其生產(chǎn)數(shù)據(jù)作為企業(yè)核心機(jī)密,甚至關(guān)系到國(guó)家安全。
部署整體防護(hù)技術(shù),包括綜合采用數(shù)據(jù)加密、內(nèi)容識(shí)別、網(wǎng)絡(luò)文件還原和命令還原技術(shù)、基于數(shù)控行業(yè)主流設(shè)備通信協(xié)議深度數(shù)據(jù)包提取解析的智能學(xué)習(xí)技術(shù)、詳細(xì)審計(jì)日志、智能應(yīng)用識(shí)別等多種技術(shù)手段,為用戶提供針對(duì)性的防泄密措施,保障企業(yè)數(shù)控網(wǎng)絡(luò)中機(jī)密數(shù)據(jù)的安全。通過(guò)在數(shù)控主機(jī)安裝適應(yīng)離散制造環(huán)境的安全保護(hù)程序,并在網(wǎng)絡(luò)中串接數(shù)控審計(jì)保護(hù),可以有效識(shí)別移動(dòng)存儲(chǔ)設(shè)備接入、非法網(wǎng)絡(luò)連接、移動(dòng)筆記本和其他移動(dòng)智能終端接入、惡意木馬和病毒以及非授權(quán)軟件的安裝等非法行為。同時(shí)在數(shù)控機(jī)床和服務(wù)器上部署USB防護(hù)設(shè)備,對(duì)接入數(shù)控機(jī)床和服務(wù)器USB口的設(shè)備進(jìn)行有效的監(jiān)督和審計(jì),有效阻止通過(guò)USB接口的數(shù)據(jù)外泄。
5.3 縱深防御使病毒無(wú)所遁形
數(shù)控加工系統(tǒng)網(wǎng)絡(luò)內(nèi)部病毒傳播擴(kuò)散問(wèn)題可以通過(guò)從邊界到終端逐級(jí)部署縱深的安全保護(hù)措施來(lái)有效切斷。通過(guò)在數(shù)控網(wǎng)絡(luò)中部署安全保護(hù)審計(jì)設(shè)備,可以有效識(shí)別數(shù)控網(wǎng)絡(luò)中病毒的惡意行為,并進(jìn)行預(yù)警和阻斷,同時(shí)可以對(duì)數(shù)控網(wǎng)絡(luò)的上下行數(shù)據(jù)進(jìn)行記錄和監(jiān)測(cè)。通過(guò)在邊界部署數(shù)據(jù)采集隔離平臺(tái),提供全方位的監(jiān)測(cè)、過(guò)濾、報(bào)警和阻斷,通過(guò)縱深的防御技術(shù)有效防止病毒在控制網(wǎng)內(nèi)部傳播。
5.4 保障生產(chǎn)加工安全高效運(yùn)行
通過(guò)建立深度防泄密和與之聯(lián)動(dòng)的保護(hù)體系,可以有效解決使用高端數(shù)據(jù)機(jī)床和精密測(cè)量?jī)x器進(jìn)行相關(guān)生產(chǎn)的行業(yè)亟待解決的數(shù)據(jù)泄密問(wèn)題和未知入侵安全威脅問(wèn)題。在此過(guò)程中不會(huì)影響企業(yè)的加工生產(chǎn)流程,由于規(guī)范了相關(guān)操作制度和提供的安全防護(hù)措施,企業(yè)的生產(chǎn)效率將會(huì)得到較大的保障和提高。
作者簡(jiǎn)介
鐘 誠(chéng)(1972-),女,湖北人,現(xiàn)任北京中科物安科技有限公司戰(zhàn)略合作副總裁。北京大學(xué)信息管理系本科畢業(yè),南開(kāi)大學(xué)產(chǎn)業(yè)經(jīng)濟(jì)碩士,曾先后服務(wù)于中遠(yuǎn)集團(tuán)、大唐電信集團(tuán)、無(wú)線綠洲公司、匡恩網(wǎng)絡(luò),歷任政府事務(wù)總監(jiān)、市場(chǎng)部總經(jīng)理、戰(zhàn)略發(fā)展和戰(zhàn)略合作高管。研究方向?yàn)橥ㄐ偶靶畔踩瑢?duì)工業(yè)控制網(wǎng)絡(luò)安全有著深刻理解,是國(guó)內(nèi)第一批工業(yè)控制網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的推動(dòng)者。
李凱斌(1980-),男,湖北人,現(xiàn)任北京中科物安科技有限公司研發(fā)副總裁。武漢大學(xué)博士畢業(yè),十五年信息安全產(chǎn)品軟硬件開(kāi)發(fā)經(jīng)驗(yàn),匡恩網(wǎng)絡(luò)聯(lián)合創(chuàng)始人,從無(wú)到有構(gòu)建了公司研發(fā)體系,定義和設(shè)計(jì)了多款開(kāi)創(chuàng)性工控安全產(chǎn)品,并擁有多項(xiàng)專利。研究方向?yàn)樾畔踩⑶度胧较到y(tǒng)。
孟 曦(1978-),女,山西清徐人,西安電子科技大學(xué)通信工程本科畢業(yè),美國(guó)NYIT-MBA在讀,曾先后服務(wù)于美國(guó)安氏安全、大唐電信集團(tuán)、浙江浙大網(wǎng)新集團(tuán)、匡恩網(wǎng)絡(luò),歷任市場(chǎng)發(fā)展部總監(jiān)、政府事務(wù)總監(jiān)、戰(zhàn)略發(fā)展和戰(zhàn)略合作總監(jiān)。研究方向?yàn)橥ㄐ偶靶畔踩?/p>
參考文獻(xiàn):
[1] 李炳燃, 張輝, 葉佩青. 智能制造環(huán)境下的數(shù)控系統(tǒng)發(fā)展需求[J]. 航空制造技術(shù), 2017, 60 ( 6 ) : 24 – 30.
[2] 蔡銳龍, 李曉棟, 錢(qián)思思. 國(guó)內(nèi)外數(shù)控系統(tǒng)技術(shù)研究現(xiàn)狀與發(fā)展趨勢(shì)[J]. 機(jī)械科學(xué)與技術(shù). , 2016 ( 4 ) : 493 – 500.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第五輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)