e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

工控系统安全在数控机床领域的应用

2017/11/22    来源:e-works    作者:匡恩网络      
关键字:工控安全  DNC系统  数控机床  
目前,国内使用的主流数控设备的核心系统大部分来自国外厂家的产品,特别是专机和精机更是国外厂商全套引进,其核心技术受制于人,在两化融合数控机床联网构成DNC系统背景下大大增加了安全的不可控因素。
    一、行业背景
 
    目前,国内使用的主流数控设备的核心系统大部分来自国外厂家的产品,特别是专机和精机更是国外厂商全套引进,其核心技术受制于人,在两化融合数控机床联网构成DNC系统背景下大大增加了安全的不可控因素。数控机床及DNC系统一旦遭受入侵或破坏,将直接导致生产的中断、产量的降低,甚至是敏感加工代码泄漏等安全风险。再加上,设备厂商的日常维护、远程升级以及故障处理等操作不规范,也会导致制造企业生产数据与工艺等机密信息的泄漏,为制造企业带来不同程度的损失,甚至会危及到国家安全。
 
    数控机床及DNC系统主要存在以下安全风险:
 
  • 互联互通存在的安全隐患:DNC系统网络、企业管理网络的互联互通,增加了数控生产网络被入侵、被病毒感染以及非法访问的风险,直接干扰数控系统正常运行,或引起核心加工代码网络泄密。
 
  • 数控机床及DNC系统自身存在的安全隐患:高端数控设备主要以国外品牌为主,设备自身存在的后门、漏洞等安全隐患无法自主可控。系统故障时,依靠设备厂商远程诊断与维修行为不可控,存在重大泄密风险。
 
  • 滥用USB设备导致非法外联、病毒感染、USB口攻击与数据泄露:数控机床及DNC系统中乱用USB设备的情况比较普遍,USB口管理与使用的混乱将直接导致病毒入侵、数据篡改与泄密、系统故障等安全风险发生。
 
  • 数控机床及DNC系统管理主机缺乏对病毒的有效检测及防护机制:数控网络中的管理主机、服务器缺乏包括病毒防护、主机安全管理在内的安全机制,导致管理主机、服务器易感染病毒,直接影响正常生产与加工数据安全。
 
  • 数控机床及DNC系统缺乏必要的安全防护机制导致加工数据篡改、泄密,影响安全生产:DNC网络缺乏必要的限制,数控机床、DNC服务器使用如FTP服务、Windows网上邻居共享、私有协议等方式进行加工数据的共享,系统存在使用默认账号与不足8位长度的弱密码,致使任何接入该网络的主机可轻易破解并访问数控机床、DNC服务器,进行加工代码下载/篡改等行为,可造成严重的数据泄密事件与安全生产事故。
 
  • 人员的安全意识和技能不足:由于以往数控设备使用环境相对封闭,操作人员侧重关注生产工艺的提升,而缺少对网络安全知识的关注,使得相应的人员缺乏必要的网络安全防护意识和技能,安全规范与制度不健全,诸多因素都有可能给数控网络带来不同程度的风险隐患。
 
    二、匡恩网络解决方案
 
    匡恩网络经过长期对离散制造业数控系统及网络应用现状、安全需求调研与防护技术研究,为用户提供数控机床及DNC系统网络安全全生命周期解决方案。
 
    数控机床及DNC系统安全评估
 
    数控机床及DNC系统安全评估将从结构安全、行为安全、本体安全、基因安全、时间持续性五个维度进行。匡恩网络将借助专业的威胁评估平台、漏洞挖掘与检测平台等工具,依照国家与行业标准规范要求,进行全面的风险评估,并生成安全风险评估报告,为用户全面了解数控系统及网络安全风险提供依据。
 
    数控机床及DNC系统安全防护
 
    安全评估报告中所描述的安全风险将作为安全需求,结合制造企业数控加工应用特点,从结构安全、行为安全、本体安全、基因安全四个维度开展数控网络安全防护方案设计,以满足数控网络安全防护的整体需要。
 
  • 数控机床及DNC系统结构安全
 
    优化数控网络结构,强化分区、分域防护。通过在网络、安全域以及数控机床、核心控制器等边界选择串行部署智能工业防火墙、数控审计保护、IAD智能保护、数采隔离等网关安全防护产品,来实现边界访问的合规性控制,保障数控网络结构的安全。部署安全监管平台实现对以上安全设备的集中管理、安全风险集中管理与处置。
 
边界防护产品部署示意图
边界防护产品部署示意图
 
  • 数控机床及DNC系统行为安全
 
    按照网络结构优化,通过在重要的网络节点交换机上旁路部署监测审计系统,加强网络行为、访问内容的实时监测,对入侵、违规操作等异常行为、异常流量进行监测、审计与告警。借助与边界安全防护设备联动,实现数控网络行为安全管控,提升生产网络应用安全。监测审计系统可由安全监管平台进行统一管理与风险处置。
 
  全网行为监测审计部署示意图  
全网行为监测审计部署示意图
 
  • 数控机床及DNC系统本体安全

    针对数控网络中的数控机床、机密仪器、上位机、服务器等主机系统,我们通过选择部署工控卫士、优宝UBO产品来实现主机系统的安全管理,包括主机应用进程安全管控,USB口防攻击、外插USB设备的认证管理、操作行为审计等,实现主机防病毒、防入侵、防第三方软件非授权安装,防数据非法拷贝等功能,进而保护主机系统应用与数据安全。
 
工控卫士、优宝UBO产品部署拓扑图
工控卫士、优宝UBO产品部署拓扑图    
 
  • 数控机床及DNC系统基因安全
 
    基因安全强调的是数控系统技术的自主可控,未来国有化进程将逐步提升数控系统安全可控能力。现阶段,针对基因安全问题,通过部署威胁评估平台,加强系统安全威胁评估,侧重系统漏洞检测与修复管理,通过纵深安全防御的补偿措施来规避国外品牌产品存在的安全风险。
 
威胁评估平台部署示意图
威胁评估平台部署示意图
 
  • 数控机床及DNC系统安全运营
 
    建立和优化合理的数控网络安全管理与运营体系是保证制造企业安全生产的必要基础,是4+1防护理论中时间持续性的重要体现。针对制造企业现有生产运营体系,在现有的生产运营流程与管理制度基础上,优化管理结构、规范审批流程,从管理与流程上消除安全隐患,同时建立安全培训与预案机制,提升操作人员的安全风险意识与安全风险处置能力,再借助安全监管平台的集中安全管理功能,有效实现安全风险管理与处置能力建设。
 
数控安全运营体系建设示意图
数控安全运营体系建设示意图   
 
    数控机床及DNC系统安全仿真实验平台
 
    在制造业大发展的今天,为了能更好的进行智能制造课题的研究与实践,更好的完成企业智能制造的产业升级与安全防护体系建设,我方可帮助用户建设数控网络高仿真实验平台,通过不断的在仿真系统上进行深入的数控系统漏洞挖掘、攻防技术研究、安全防护方案验证等实验,有力支撑企业数控网络安全防护体系建设、日常安全运维问题处理与漏洞升级,为数控加工网络攻防技术研究提供实验环境。
 
智能工厂工控安全实验平台拓扑示意图
智能工厂工控安全实验平台拓扑示意图
 
    数控网络高仿真实验平台通常由目标业务系统、模拟攻击系统、环境仿真系统、网络测试系统、保护验证系统组成,可按照用户实际需求进行实验室内容建设。
 
    三、匡恩网络方案优势
 
    1、本方案是在与大量的离散制造企业沟通,实地现场勘查与研究的基础上形成的,防护方案更加贴近数控网络安全需求,更能准确的满足用户安全防护需要。
 
    2、匡恩网络数控审计保护产品是数控网络专用安全防护产品,产品具有主流数控系统通信协议和工业通信协议的识别与深度解析能力,支持基于数控行为的访问控制;具有ASCII、Unicode、UTF-8、UTF-16、GB2312、EBCDIC等主流数控编码格式识别解析能力,支持对NC代码数控流的还原功能,以实现对问题代码的溯源。此产品加强了对数控系统的安全防护与加工数据的合规性检查与审计,保障数控生产安全。
 
    3、本方案从结构安全、行为安全、本体安全、基因安全、时间的持续性五个维度构建安全防护体系,以专网专用、安全分区、纵深防御、综合审计、动态监控为设计思想,基于白名单安全防护机制,强化数控网络数控行为合规性检查,异常行为监测、审计与阻断,重点加强核心应用与数据服务器安全域、核心PLC控制器、数控机床网络边界的安全防护,强化服务器、上位机、工程师站、操作员站等主机安全管理与防病毒,加强主机USB口的使用管控与安全防护,从网络层面、应用层面、数据层面与安全管理层面实现立体安全防控,提升数控网络整体的安全防护能力,为安全生产保驾护航。
 
责任编辑:李欢
本文为e-works原创投稿文章,未经e-works书面许可,任何人不得复制、转载、摘编等任何方式进行使用。如已是e-works授权合作伙伴,应在授权范围内使用。e-works内容合作伙伴申请热线:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐