今日頭條
官方微信
官方抖音
資訊頻道1 數控機床網絡安全防護實施
數控系統作為數控設備的“大腦”成為工業控制系統的重要組成部分,正面臨工業病毒和網絡攻擊,網絡與信息安全問題日益凸顯。為幫助企業加強數控機床安全防護上的短板,本章針對以上數控機床安全風險提出安全防護實施思路,如圖1所示,數控機床網絡安全體系的構建需從安全基線管理、網絡邊界防護措施部署和數控機床內生安全等方面進行考慮,來保證數控機床及網絡的保密性、可用性和完整性。
來源:中國信息通信研究院
圖1 數控機床網絡安全防護示意圖
(1)開展數控機床網絡安全基線管理
根據生產環境場景建立數控機床網絡安全基線。一方面,明確數控機床網絡安全基線具體內容,建立安全基線更新機制。企業梳理自身數控機床應用場景及技術特點,根據安全基線實施安全防護,包括消除弱密碼、安全配置加固、去除不必要的介質接口等。另一方面,開展數控機床網絡安全風險評估和漏洞管理。定期對數控機床網絡架構、管理主機、控制協議等開展全方位安全評估,發現安全風險隱患,一旦發現安全漏洞,及時選擇安全補丁或升級組件。
(2)加強數控網絡邊界防護
分析數控網絡的組網特點,根據IEC62443-3-3等標準中的網絡區域劃分原則,將數控網絡劃分為合理安全區域,采用分層分域,縱深防御的策略進行網絡安全防護,如圖2所示。一方面,對企業信息系統與DNC系統進行分層、分域,建立安全緩沖區,生產網絡與管理網絡、研發網絡連接采用網閘、光閘進行強隔離;生產網絡進行內部的分區分域,區域間應采用工業防火墻實現邏輯隔離,并建立白名單,實現基于白名單的訪問控制。另一方面,采用數據防泄漏、深度協議數據包解析等邊界安全防護技術針對數據采集和交換過程中的數據泄露、病毒入侵以及異常行為進行告警,并對各類安全威脅進行監控,從而為數控網絡提供全方位的監測、過濾、報警和阻斷能力。
來源:北京神州綠盟科技有限公司
圖2 數控機床網絡邊界安全防護示例
(3)加強數控主機安全防護
通過安裝工業主機端點側安全監測、防護軟件,對數控主機進行有效防護,包括操作系統加固、病毒防護、惡意行為監測等。一方面,針對數控網絡中DNC、MES、PDM、CAM、CAPP等服務器及終端主機部署安全防護軟件,從端點側加強針對勒索病毒等安全防護,防止病毒傳播、對惡意代碼進行有效地消除。另一方面,通過對數控主機文件、目錄、進程、注冊表和服務的強制訪問控制,如圖3所示。采用“三權分立”的管理機制,有效制約和分散原有系統管理員的權限,并結合文件和服務的完整性檢測、防緩沖區溢出等功能,將普通操作系統透明提升為安全操作系統,增強數控主機的安全性。
來源:北京神州綠盟科技有限公司
圖3 數控機床主機安全防護實施示例
(4)完善數控機床網絡資產管理和安全監測審計
建設數控機床網絡資產管理機制,開展安全監測和審計,及時發現異常資產及網絡安全威脅。一是梳理數控機床生產環境的網絡資產,建立資產臺賬,定期探測梳理資產現狀及數據流轉和處理節點,識別和發現異常資產,對未知設備接入等異常行為及時發現并處置。二是采用入侵檢測、全流量檢測、安全審計等方式監測數控機床生產環境,發現惡意行為和惡意代碼,對數控機床生產環境行為進行審計,協助事后分析取證溯源。三是通過態勢感知等技術手段,匯集流量側、端點側、日志側等數據,進行關聯分析和深度安全監測、研判和應急響應,并實現數控機床網絡安全集中管理。
(5)可信計算技術提高數控機床內生安全
面對數控機床聯網開放、互通互聯可能帶來的安全威脅,可以通過可信計算技術實現數控機床的內生安全。一方面,數控機床在主機層面支持“硬件級部件(安全芯片或安全固件)”作為系統信任根,建立從系統到應用的信任鏈,實現從設備加電到應用加載過程的安全啟動和運行,從根本上解決工業互聯網可信、可控、可靠等方面的問題。另一方面,在系統運行過程中,實時監視數控系統內關鍵進程、模塊、可執行代碼、關鍵數據結構等,對進程的資源訪問行為進行實時度量和控制,依據動態的可信性對發生變化的度量對象依據策略采取報警、終止運行、更新度量預期值等措施,從而確保數控系統運行狀態的可信。
(6)打造數控機床安全綜合防護體系
針對數控機床所面臨未知網絡威脅的持續性、組合性、跨域性和定向性等特點,逐一應對解決傳統被動防護難以應對利用邏輯缺陷的攻擊等問題。一方面,對數控機床安全關鍵技術的聯合攻關和創新,打造集事前預警、事中感知防御、事后審查等功能于一體的“數控機床安全增強防護設備”體系。實現防護思路由被動“封堵查殺”到主動免疫防御的轉變,建立了云、邊、端的內生安全防護架構,確保設備、系統、網絡的可靠性、穩定性,有效提升制造企業生產網絡的整體安全性。另一方面,建設覆蓋設備、主機、網絡、數據的數控機床綜合防護體系,建立事前身份認證、加密,事中感知、防御,事后審計、追溯等多路徑閉環的安全防護體系,提升數控機床領域的整體安全能力。
2 數控機床網絡安全發展建議
近年來,數控機床聯網運行已成為趨勢,同時也暴露出很多安全問題。基于所梳理的數控機床安全現狀與安全風險,我們對數控機床網絡安全提出如下建議:
(1)推進數控機床相關安全標準規范制定
目前針對數控機床網絡安全標準和技術規范儲備不足,需推動出臺數控機床相關網絡安全防護要求、安全評估評測規范、密碼應用等相關安全標準規范。一方面,面向數控機床邊界防護、入侵防范、安全審計等安全需求,制定亟需數控機床內生安全及評估測試等行業標準和企業標準,強化數控機床在設計、開發、實施、運行維護等全生命周期過程的網絡安全規范要求,為企業產品安全開發、第三方機構測試認證、設備部署運行提供可參考的依據。另一方面,研制數控系統密碼應用技術要求及測評要求等標準,規范和評估數控系統密碼應用的設計、實現和使用;鼓勵安全設備制造商積極參與標準研制與貫標試點工作,以標準規范指導數控機床網絡安全防護部署。
(2)提升數控機床網絡安全綜合技術防護能力
數控機床作為工業控制系統的重要組成部分,網絡安全防護依然依賴傳統“外掛式”安全措施,需產業各方加強數控機床安全技術研究,提升網絡安全綜合防護能力。一方面,建立數控機床多重安全防護的縱深防御體系框架,采取事前身份認證、加密、預警、漏掃、評估機制,事中防御攻擊機制,事后審計、追溯等,以提升數控網絡的整體安全。另一方面,加強數控機床內生安全能力建設,通過自主可控加可信計算的總體思路,用主動免疫的思想對網絡空間尤其是數控機床等設施領域的安全防護思路進行研究和探索,基于國產密碼算法構建內生安全能力。
(3)開展數控機床網絡安全評估評測
目前,數控設備的遠程維護需要通過互聯網進行,存在的漏洞容易被攻擊者利用進行惡意攻擊,導致數控設備直接面臨互聯網中的安全風險。應建立數控機床網絡安全評估評測體系,開展數控機床網絡安全評估評測。一方面,圍繞數控機床系統固件安全、網絡安全、應用安全、數據安全、接入安全等要求,建立數控機床網絡安全測試評估體系,建立安全能力評估模型。另一方面,針對數控機床抗滲透能力、惡意代碼防范、抗DDoS能力、漏洞隱患情況等漏洞隱患防護能力等進行安全能力分析研究和攻擊防護測試,推動數控機床安全檢測認證和設備能力提升。
(4)推動數控機床相關安全產品應用及市場發展
目前國內使用的主流數控設備,其核心系統大部分是國外廠家產品,特別是高端數控機床控制系統和數控機床整體聯網解決方案。因此,應加快對數控機床核心關鍵技術攻關,推動相關安全產品和服務的開發應用。一方面,鼓勵國內重點企業、科研機構、高校等加強合作,推動研制具備訪問控制、數據安全防護、病毒防護與分析、NC文件語義分析與審計、鏈路加密、智能預警等能力的數控機床安全增強防護設備。另一方面,圍繞數控機床安全產品的功能、性能及安全性等設計安全認證級別,開展數控機床相關安全產品及服務分類分級管理,為不同部門、行業企業提供安全級別選擇,遴選達標安全產品目錄清單,推動數控機床安全產品市場發展。
摘自《數控機床網絡安全研究報告(2023年)》
來源:中國信息通信研究院和北京神州綠盟科技有限公司
摘自《自動化博覽》2024年3月刊
北京市公安局海淀分局備案號:11010802023656號