4月21日,2017中國國際機床展覽會(CIMT2017,簡稱北京機床展)在中國國際展覽中心閉幕,北京機床展與美國芝加哥、德國漢諾威、日本東京機床展被業界合稱為“全球四大機床展”。
本次CIMT有來自28個國家和地區的1600多家企業參展,國內外知名機床工具企業將悉數到場,共同演繹“中國制造2025”、“工業4.0”、“工業互聯網”、“互聯網+”背景下,行業發展的新格局。本屆展會主題為:新需求 新供給 新動力,充分詮釋了當前環境下世界機床工具產業面臨的全新挑戰和機遇,準確地反映了行業的時代發展特征。
CIMT2017 現場
縱觀整個展會的各著名企業展出的產品和解決方案展現了四大趨勢:智能化、高效化、專業化、網絡化,其中網絡化已經成為智能化、高效化、專業化的基礎,充分體現了我國“智能制造+互聯網“的發展方向。但是,在終端智能制造網絡化/數字化方案中,很少看到對工業安全的考慮,在智能制造+互聯網的背景下,工業安全似乎被大家忽略了。在當前網絡安全事件頻發的現狀下,在智能制造領域,工業信息安全能否缺位?
1
CIMT各大廠商的互聯網+方案
面對網絡化、數字化制造時代的到來,全球機床工具行業推出了一系列新技術與新產品。這些技術和產品具備鮮明的網絡化、數字化生產裝備的特點,具有完整先進的網絡方案、強大的通信功能、靈活兼容的開放性和豐富的應用軟件,實現了數控系統由“機床控制器”向“數字化制造管控器”轉變,數控機床由“制造機器”向“數字化單元”轉變。與此同時,一些著名企業利用長期從事數控技術研發積累的特有技術優勢和經驗,與“互聯網+“結合,推出網絡化/數字化工廠智能解決方案,協助客戶從軟硬兩方面共同推動數字化工廠的建設和發展。CIMT現場一些代表性的方案如下:
▲德國西門子(SIEMENS)
德國西門子作為德國工業4.0建議和推動者之一,將PLM作為數字化企業平臺,將虛擬生產與現實生產環境緊密融合,將計算機輔助設計(CAD)、計算機輔助制造(CAM)、產品數據管理(PDM)和制造過程無縫地集成在一起,幫助企業以經濟高效的方式對產品整個生命周期,對從創意、設計、制造到維修及處理的信息進行管理。SINUMERIK 840D SL高檔數控系統提供完整的網絡方案和強大的PLC/PLC通訊功能,能夠實現互聯網(如ERP)、局域網(如MES)、工業現場總線(如PCS)的互聯,實現設備與設備、設備與管理人員的互聯。
▲日本發那科(FANUC)
FANUC世界上最著名的數控和機器人廠家之一,其展示的最新數控系統,支持各種工業網絡和現場網絡,可以將數控機床與PC互聯,進行NC程序的傳輸和現場監控,亦可在CNC上操作辦公室的PC,還可以搭配載有通訊專用處理器的快速以太網電路板,同時與多臺計算機進行高速數據傳輸,構建與生產線和工廠主機進行信息交換的生產系統。
FANUC MT-LINK i運轉管理軟件通過以太網連接企業內部機床,利用FOCAS程序對機床各類信息進行收集和運轉管理。
▲德馬吉森精機(DMG MORI)
德馬吉森精機(DMG MORI)的CELOS系統是該公司目前所有高檔機床搭載的數字化制造平臺和統一的人機界面。CELOS可將系統和機器整合并進行數據交換,兼容現有ERP(企業資源計劃)/PPS(生產計劃與控制系統)/PDM(產品數據管理)/MES制造執行系統和CAD/CAM軟件和控制系統,通過網絡將機床與公司組織連接為一體,構成完整持續的數字化、無紙化生產的支撐和基礎。
▲日本三菱
面向未來制造業的三菱電機綜合解決方案“e-factory”。e-F@ctory是整合FA的理念,旨在降低企業的綜合成本,將整個制造系統的各個設備進行橫向整合,實現設備間的無縫通訊,同時,縱向將企業信息管理系統與FA系統通過MES接口實現數據共享。
▲藍天數控
沈陽高精數控智能技術股份有限公司的作為高檔數控國家工程中心的產業化實體,是國產高檔數控系統的代表廠商之一,在推出新型“藍天數控”系統的同時,也推出了DNC與智能工廠解決方案。
▲沈陽機床(unis)
沈陽機床作為全球最大的數控機床廠商,結合近年推出的智能數控系統i5,展出了多種型號的i5智能機床。i5智能機床采用先進的底層控制技術和網絡技術,實現操作、編程、維護的智能化,并可以通過APP實現遠程監視和管理。
2
智能制造+互聯網面臨的安全風險和挑戰
從網絡安全的角度分析,智能制造網絡化后攻擊剖面大大擴大,將面臨設備、控制、網絡、應用、云平臺、數據等八個方面的安全挑戰,但同時要看到參與到各個層面的人員因素,以及綜合各方面的高級持續性威脅APT。
智能制造 + 互聯網面臨的安全挑戰
概括來說,八方面的具體挑戰如下:
(1)設備層安全挑戰。智能制造領域網絡中伺服驅動器、智能IO、智能傳感器、儀表、智能產品的安全挑戰,包括:所用芯片安全、嵌入式操作系統安全、編碼規范安全、第三方應用軟件安全以及功能安全等,這些設備均可能存在漏洞、缺陷、規范使用、后門等安全挑戰;目前,在制造領域并未對以上問題開展深入研究。如:西門子漏洞CVE-2016-5849等
(2)控制層安全挑戰。主要來自各類機床數控系統、PLC、運動控制器、所使用的控制協議、控制平臺、控制軟件等方面,其在設計之初可能未考慮完整性、身份校驗等安全需求,存在輸入驗證,許可、授權與訪問控制不嚴格,不當身份驗證,配置維護不足,憑證管理不嚴,加密算法過時等安全挑戰。例如:國產數控系統所采用的操作系統可能是基于某一版本Linux進行裁剪的,所使用的內核、文件系統、對外提供服務、一旦穩定均不再修改,可能持續使用多年,有的甚至超過十年,而這些內核、文件系統、服務多年所爆出的漏洞并未得到更新,安全隱患長期保留。如:西門子漏洞CVE-2017-2685、三菱PLC漏洞CNVD-2016-06361等。
(3)網絡層安全挑戰。主要來自三方面:各類數控系統、PLC、應用服務器通過有線網絡或無線網絡連接,形成工業網絡,工業網絡與辦公網絡連接形成企業內部網絡,企業內部網絡與外面的云平臺連接、第三方供應鏈連接、客戶的網絡連接。主要安全挑戰包括:網絡數據傳遞過程的常見網絡威脅(如:拒絕服務、中間人攻擊等),網絡傳輸鏈路上的硬件和軟件安全(如:軟件漏洞、配置不合理等),無線網絡技術使用帶來的網絡防護邊界模糊等。如:三菱網絡模塊漏洞CNVD-2016-06360。西門子網絡服務器漏洞CNVD-2012-7944等
(4)應用層安全挑戰,指支撐工業互聯網業務運行的應用軟件及平臺的安全,如:德馬吉森精機(DMG MORI)的CELOS系統所整合的ERP(企業資源計劃)/PPS(生產計劃與控制系統)/PDM(產品數據管理)/MES制造執行系統和CAD/CAM軟件和控制系統等。智能制造領域應用軟件,與常見商用軟件的類似,將持續面臨病毒、木馬、漏洞等傳統安全挑戰;如:Ge fanuc漏洞CVE-2008-0175和CVE-2008-0176,西門子上位機漏洞CNVD-2016-11465等。
(5)工業云安全挑戰,從這次CIMT上可以看到,國內各大機床廠商、數控系統廠商正在建立或即將建立的云平臺及服務,這些云平臺及服務也面臨著虛擬化中常見的違規接入、內部入侵、多租戶風險、跳板入侵、內部外聯、社工攻擊等內外部安全挑戰。
(6)數據層安全挑戰,是指智能制造工廠內部生產管理數據、生產操作數據以及工廠外部數據等各類數據的安全問題,不管數據是通過大數據平臺存儲、還是分布在用戶、生產終端、設計服務器等多種設備上,海量數據都將面臨數據丟失、泄露、篡改等安全威脅。
(7)人員管理的挑戰,隨著智能制造的網絡化和數字化發展,工業與IT的高度融合,企業內部人員,如:工程師、管理人員、現場操作員、企業高層管理人員等,其“有意識”或“無意識”的行為,可能破壞工業系統、傳播惡意軟件、忽略工作異常等,因為網絡的廣泛使用,這些挑戰的影響將會急劇放大;而針對人的社會工程學、釣魚攻擊、郵件掃描攻擊等大量攻擊都利用了員工無意泄露的敏感信息。因此,在智能制造+互聯網中,人員管理的也面臨巨大安全挑戰。
(8)高級持續性威脅(APT),智能制造領域中的APT是以上6個方面各種挑戰組合,是最難應對、后果最嚴重的威脅。攻擊者目標可能是偷取重點智能制造企業的產品設計資料、產品應用數據等,也可能是在關鍵時刻讓智能制造企業生產停止、良品率下降、服務不及時等給企業造成直接損失,攻擊者精心策劃、為了達成既定目標,長期持續的進行攻擊,其攻擊過程包括收集各類信息收集、入侵技術準備、滲透準備、入侵攻擊、長期潛伏和等待、深度滲透、痕跡消除等一系列精密攻擊環節。如:360APT報告:摩訶草組織。
3
協同聯動建立聯合防御體系
CIMT參展的多家企業和觀眾,智能制造企業、集成商、用戶等,推進智能制造+互聯網過程中,面臨的各項安全挑戰幾乎沒有考慮,對安全的認識還停留在“我們不連接外網,會有什么問題呢?網絡攻擊根本進不來!”,工業安全在國內智能化廠商的考慮重點中幾乎缺位。針對這個以上8類挑戰,360企業安全建議智能制造企業、集成商、用戶等可以從以下方面進行應對。
(1)落實國家對工業安全的相關政策、指南、標準
針對工業系統信息安全的問題,國家先后出臺了《關于加強工業控制系統信息安全管理的通知》(工信部協[2011]451號)、《工業控制系統信息安全防護指南》等相關文件,對工業系統連接管理、組網管理、配置管理、設備選擇和升級、數據管理、應急管理做出了相應要求,對工業控制系統設計、選型、建設、測試、運行、檢修、廢棄各階段防護工作要求;《工業控制系統信息安全防護指南》從安全軟件選型、訪問控制策略構建、數據安全保護、資產配置管理等方面提出了具體實施細則,從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環境安全防護、身份認證、遠程訪問安全、安全監測和應急預案演練、資產安全、數據安全、供應鏈管理、落實責任等給出了指導意見。智能裝備制造商、應用企業可以參考相關內容,做好必要的安全防護、安全管理和安全意識培訓。
(2)構建持續檢測響應能力
假定智能制造系統無法阻止被攻破,也就是無法防護住,改變思路,在產品和解決方案設計中,增加攻破的發現能力,縮短攻擊發現的時間,將攻破后的進行應急響應的思路,改變為持續的監測和響應,不斷加強監測和威脅發現的能力,提升響應的速度。
(3)應用數據驅動安全的理念
目前國際上公認解決網絡安全攻防不對稱的方法之一,是數據驅動安全,2015中國互聯網安全大會(ISC2015)大會就提出要進行態勢的感知,進行威脅情報的共享和攻擊溯源。
對于智能制造來說,對某一行業中某一家企業的攻擊,如果被發現,攻擊方法和攻擊目標被辨析,可以結合全網的安全大數據和企業自身的安全數據進行分析,形成有效的威脅情報,提供給整個行業的企業,提供行業防御的效果;
(4)建立企業安全運營中心
根據Gartner的預測,工業企業建立的安全運維中心已成為一種趨勢,預計到2020年將有40%的企業將建立安全運營中心,該中心將建立企業的安全數據倉庫,對于APT攻擊,一個最大的挑戰之一是如何發現攻擊,應用數據驅動安全的理念。工業大數據進行工業生產故障的預防性維護,找出生產環節的異常,已經成為目前工業大數據的主要應用方向之一。智能制造企業和用戶對工業生產設備損壞或衰退的預測與發現,生產流程停機的預測與發現,其實就是一種工業生產的異常,而工業網絡受到攻擊也可以產生類似異常;安全運營中心可以記錄工業互聯網企業持續監測的安全信息,但這些信息堆積在倉庫里,如同“一團亂麻”,解開亂麻,需要找到一個線頭,因此,可利用工業大數據發現工業生產異常的能力,為安全大數據的分析提供觸發條件或關鍵線索,這將成為數據驅動安全的最值得實踐的方法之一。
另外利用安全大數據進行智能制造系統中的用戶和實體行為分析(UEBA),對用戶的行為和設備的行為用大數據的方法建立一個基線,偏離基線太多的時候也會出現異常,也成為安全大數據重要應用手段之一。
(5)構建產業協同的聯合防御體系
我國目前暴露在公網的工業設備,超過2000臺,美國在公網的工業設備達到數萬臺,包括:PLC、數控系統以及相關工業應用系統等,隨著我國智能制造的發展,未來我國將與美國類似,將有大量的工業設備暴露在公網上,任何一個企業由于在人才、設備、數據、情報方面的限制,單獨進行防御將存在巨大困難,未來工業互聯網企業、工業互聯網企業設備提供商、安全服務商、監管機構將建立協同機制,共同應對智能制造+互聯網安全來自工業、互聯網、信息安全的跨領域、跨行業的挑戰。網絡安全的能力,將變成一種可定制的服務,智能制造企業和用戶的依據自己的威脅、成本、人才、運行階段按需使用。
智能制造領域,通過高檔數控機床及基礎制造裝備通過網絡與工業軟件、商業軟件、工程師、供應商、客戶高效互聯,向著智能化、高效化、專業化、網絡化方向發展;企業外部的商業網絡與企業內部辦公網絡、工業網絡的邊界被聯通,工業企業將面臨設備、網絡、控制、應用、云、數據、人員等多方面安全挑戰。
綜上,機床制造企業、數控系統廠商、先進制造集成商在進行智能化、網絡化、數字化產品和解決方案設計時,工業安全必須同步考慮;智能制造用戶在采購智能化產品、建設網絡化、智能化先進制造系統的,為保證自己的生產安全、數據安全,應同時要求供應商提供在工業安全方面的防護措施,并加強企業員工的安全意識。在智能制造+互聯網的背景下,工業安全不容缺位。
以上內容來源于網絡