今日頭條
官方微信
官方抖音
資訊頻道1 前言
數(shù)控加工系統(tǒng)是制造業(yè)核心裝備,廣泛應(yīng)用于航空航天、車輛制造、船舶制造等關(guān)系國防安全、經(jīng)濟(jì)安全和社會安全的關(guān)鍵行業(yè)。隨著兩化深度融合,數(shù)控網(wǎng)絡(luò)安全防護(hù)成為數(shù)控領(lǐng)域網(wǎng)絡(luò)化、智能化發(fā)展的關(guān)鍵問題。智能制造企業(yè)的數(shù)控系統(tǒng)和網(wǎng)絡(luò)存在大量漏洞及風(fēng)險。高端數(shù)控機(jī)床的LAD(Ladder Diagram)、PMC(Programmable Machine Controller)等信息機(jī)密文件、進(jìn)口高端數(shù)控機(jī)床敏感地理信息存在泄露風(fēng)險,設(shè)備使用無線上網(wǎng)卡連接因特網(wǎng)形成泄密通路,進(jìn)口CNC(Computerized Numerical Control)控制系統(tǒng)存在嚴(yán)重遠(yuǎn)程控制漏洞等,一旦被不法分子利用,后果極為嚴(yán)重。然而我國數(shù)控網(wǎng)絡(luò)安全發(fā)展嚴(yán)重滯后,數(shù)控加工系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)長期以來沒有得到足夠關(guān)注,相關(guān)標(biāo)準(zhǔn)體系建設(shè)也幾乎為空白,缺乏必要的防護(hù)措施。數(shù)控網(wǎng)絡(luò)安全防護(hù)存在迫切需求,且應(yīng)成為智能制造產(chǎn)業(yè)發(fā)展的重要基礎(chǔ)。
2 智能制造背景下數(shù)控加工系統(tǒng)的發(fā)展
隨著《中國制造2025》戰(zhàn)略的全面實施,越來越多的信息技術(shù)應(yīng)用到了工業(yè)制造領(lǐng)域,生產(chǎn)模式得以改變,各種智能制造設(shè)備和系統(tǒng)進(jìn)行網(wǎng)絡(luò)互聯(lián)互通的趨勢越來越快,我國數(shù)控加工行業(yè)也開始大力推進(jìn)數(shù)控機(jī)床的網(wǎng)絡(luò)化,加快數(shù)控網(wǎng)絡(luò)與企業(yè)辦公網(wǎng)和因特網(wǎng)的互聯(lián)互通。2013年德國在漢諾威機(jī)床展覽會上提出“工業(yè)4.0”概念的核心思想——“智能+網(wǎng)絡(luò)化”,其可以將裝備、存儲系統(tǒng)和生產(chǎn)設(shè)施融入到信息物理系統(tǒng)(CPS,Cyber Physical Systems )中,同時將工業(yè)互聯(lián)網(wǎng)應(yīng)用到制造業(yè)領(lǐng)域,從而實現(xiàn)生產(chǎn)型制造向服務(wù)型制造的轉(zhuǎn)變。網(wǎng)絡(luò)化的數(shù)控加工系統(tǒng)體系結(jié)構(gòu)和運行模式都發(fā)生了巨大的變化,數(shù)控系統(tǒng)正從過去的封閉式走向開放式,從過去的單機(jī)運行走向網(wǎng)絡(luò)化數(shù)控。數(shù)控系統(tǒng)的網(wǎng)絡(luò)化是實現(xiàn)虛擬制造、敏捷制造、全球制造等新制造模式的基礎(chǔ)單元,也是滿足制造企業(yè)對信息集成需求的技術(shù)途徑。近年來,國外著名的數(shù)控機(jī)床和數(shù)控系統(tǒng)制造商都推出了有關(guān)網(wǎng)絡(luò)化的樣機(jī)和新概念,如MAZAK的智能生產(chǎn)控制中心、SIEMENS的開放制造環(huán)境、三菱電機(jī)自動化的工廠網(wǎng)絡(luò)集成制造系統(tǒng)(如圖1所示)等,均反映了數(shù)控加工向網(wǎng)絡(luò)化方向發(fā)展的趨勢。
圖1 三菱電機(jī)自動化的工廠網(wǎng)絡(luò)集成制造系統(tǒng)
3 數(shù)控加工系統(tǒng)面臨的主要安全威脅
3.1 數(shù)控加工系統(tǒng)網(wǎng)絡(luò)安全面臨挑戰(zhàn)的原因
首先數(shù)控加工設(shè)備聯(lián)網(wǎng)進(jìn)程的加快導(dǎo)致了傳統(tǒng)信息網(wǎng)絡(luò)的各種黑客攻擊和惡意代碼等安全威脅快速進(jìn)入到數(shù)控網(wǎng)絡(luò)。另外,在大力發(fā)展數(shù)控網(wǎng)絡(luò)建設(shè)的同時,工業(yè)企業(yè)沒有充分考慮數(shù)控網(wǎng)絡(luò)與其它網(wǎng)絡(luò)互聯(lián)互通帶來的網(wǎng)絡(luò)安全風(fēng)險,網(wǎng)絡(luò)安全防護(hù)體系建設(shè)相對于數(shù)控網(wǎng)絡(luò)的快速發(fā)展存在明顯滯后。近年來針對數(shù)控網(wǎng)絡(luò)的安全攻擊事件陡增,嚴(yán)重影響企業(yè)生產(chǎn)秩序,危害生產(chǎn)人員人身安全和企業(yè)財產(chǎn)安全甚至國家安全。典型數(shù)控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。
圖2 典型數(shù)控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)
3.2 數(shù)控加工系統(tǒng)安全面臨的主要安全問題
獨立封閉的數(shù)控生產(chǎn)網(wǎng)絡(luò)接入企業(yè)管理網(wǎng)和互聯(lián)網(wǎng)后面臨的信息安全風(fēng)險增加,占據(jù)主導(dǎo)地位的進(jìn)口設(shè)備可能存在系統(tǒng)設(shè)計漏洞和預(yù)留后門,明文傳輸和管理加工代碼導(dǎo)致代碼易被非法獲取和制造數(shù)據(jù)泄密,設(shè)備的升級維護(hù)過程行為不可控,對移動存儲介質(zhì)缺少有效的技術(shù)監(jiān)管手段,主機(jī)防護(hù)能力弱等威脅。
(1)網(wǎng)絡(luò)邊界擴(kuò)大導(dǎo)致更多的網(wǎng)絡(luò)攻擊:兩化融合的不斷發(fā)展,使得原本獨立封閉的數(shù)控生產(chǎn)網(wǎng)絡(luò)接入企業(yè)管理網(wǎng)和互聯(lián)網(wǎng),網(wǎng)絡(luò)邊界擴(kuò)大必然導(dǎo)致網(wǎng)絡(luò)攻擊事件不斷發(fā)生。
(2)數(shù)控領(lǐng)域進(jìn)口設(shè)備占據(jù)主導(dǎo)地位:目前國內(nèi)使用的主流數(shù)控設(shè)備,其核心系統(tǒng)大部分是國外廠家產(chǎn)品,特別是高端CNC數(shù)控機(jī)床控制系統(tǒng)和DNC數(shù)控整體聯(lián)網(wǎng)解決方案,如我國高端數(shù)控機(jī)床控制系統(tǒng)基本由發(fā)那科FANUC(日本)、西門子Siemens(德國)、海德漢HEIDENHAIN(德國)等幾家國外廠商占據(jù)主導(dǎo)地位。進(jìn)口數(shù)控系統(tǒng)往往存在以下安全隱患,如表1所示。
表1 我國數(shù)控設(shè)備品牌市場占有率(中科物安整理)
(3)數(shù)控系統(tǒng)自身安全:國外廠家的核心技術(shù)不向我國公開,復(fù)雜的數(shù)控系統(tǒng)所包含的軟件代碼量級巨大,其中可能存在系統(tǒng)設(shè)計漏洞和預(yù)留后門等安全隱患。
(4)數(shù)控協(xié)議安全:多數(shù)數(shù)控機(jī)床控制系統(tǒng)使用明文方式傳輸和管理加工代碼,這樣容易導(dǎo)致未加密的加工代碼被非法獲取,并通過專用軟件對加工物品進(jìn)行還原,導(dǎo)致制造數(shù)據(jù)泄密。
(5)數(shù)控設(shè)備運維升級安全:數(shù)控設(shè)備的升級維護(hù)嚴(yán)重依賴生產(chǎn)和供應(yīng)廠商,很多設(shè)備允許通過網(wǎng)絡(luò)遠(yuǎn)程控制,系統(tǒng)缺少用戶身份認(rèn)證和訪問授權(quán)等安全機(jī)制,設(shè)備的升級維護(hù)過程行為不可控,存在巨大的安全風(fēng)險。
(6)對移動存儲介質(zhì)缺少有效技術(shù)監(jiān)管手段:可以在網(wǎng)絡(luò)中隨意接入U盤、移動硬盤、光盤等移動存儲介質(zhì),對網(wǎng)絡(luò)中的關(guān)鍵生產(chǎn)數(shù)據(jù)任意訪問和操作,導(dǎo)致機(jī)密生產(chǎn)數(shù)據(jù)的泄露。
(7)主機(jī)防護(hù)能力弱:作為網(wǎng)絡(luò)入侵的主要被攻擊點,數(shù)控網(wǎng)絡(luò)中的主機(jī)防護(hù)力度不足,傳統(tǒng)IT行業(yè)的殺毒軟件并不適用數(shù)控網(wǎng)絡(luò)主機(jī)的安全防護(hù),或者會嚴(yán)重影響企業(yè)的生產(chǎn)效率。
(8)數(shù)控網(wǎng)絡(luò)安全事件難以跟蹤溯源:網(wǎng)絡(luò)攻擊者大都使用偽造的IP地址,使被攻擊者很難確定攻擊源的位置,并且有經(jīng)驗的攻擊者往往會消除攻擊痕跡等記錄,使得企業(yè)不能實施有針對性的防護(hù)策略,防止類似的安全事件重復(fù)發(fā)生。
3.3 現(xiàn)有防護(hù)手段不能解決數(shù)控加工系統(tǒng)的網(wǎng)絡(luò)安全問題
由于智能制造系統(tǒng)與傳統(tǒng)信息系統(tǒng)的特點和安全需求的不同,現(xiàn)有的安全防護(hù)手段(防火墻、網(wǎng)閘、單向隔離設(shè)備、病毒查殺工具等)不足以對智能制造系統(tǒng)進(jìn)行有效防御,智能制造系統(tǒng)安全攻防技術(shù)研究工作亟待加強,智能制造系統(tǒng)特別是數(shù)控網(wǎng)絡(luò)安全防護(hù)技術(shù)亟需發(fā)展,產(chǎn)品亟需實現(xiàn)和驗證。
4 數(shù)控加工系統(tǒng)網(wǎng)絡(luò)安全防護(hù)探索
4.1 國內(nèi)外發(fā)展情況
在智能制造系統(tǒng)安全防護(hù)技術(shù)方面,國內(nèi)外廠家都在開展積極研究。日本大隈(Okuma) 的OSP病毒防護(hù)系統(tǒng)在Okuma OSP-P控制系統(tǒng)中內(nèi)置了病毒掃描應(yīng)用接口來防止感染從網(wǎng)絡(luò)或USB設(shè)備傳播的病毒;中國航天科工集團(tuán)公司二院706所開發(fā)了HT706-CNCP數(shù)控系統(tǒng)終端信息安全防護(hù)設(shè)備及HT706-CISP邊界安全專用網(wǎng)關(guān)。但這些安全防護(hù)方案和產(chǎn)品往往只針對特定型號的數(shù)控系統(tǒng),不具有普遍適用性。目前在我國已發(fā)布或在研的工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)中提出的安全防護(hù)技術(shù)要求是適用于批量制造、連續(xù)制造、離散制造使用的安全防護(hù)技術(shù)手段,并不完全適用于數(shù)控網(wǎng)絡(luò)。
4.2 數(shù)控網(wǎng)絡(luò)安全防護(hù)原則
4.2.1 可用性
各類安全防護(hù)措施的使用不應(yīng)對數(shù)控網(wǎng)絡(luò)的正常運行以及數(shù)控網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交互造成影響。
4.2.2 網(wǎng)絡(luò)隔離
數(shù)控網(wǎng)絡(luò)應(yīng)僅用于數(shù)控生產(chǎn)加工業(yè)務(wù),應(yīng)采用專用的物理網(wǎng)絡(luò),與外部網(wǎng)絡(luò)的交互應(yīng)采取有效的安全防護(hù)措施。
4.2.3 分區(qū)防御
將數(shù)控網(wǎng)絡(luò)劃分為數(shù)控網(wǎng)絡(luò)-監(jiān)督控制區(qū)域和數(shù)控網(wǎng)絡(luò)-數(shù)控設(shè)備區(qū)域。數(shù)控網(wǎng)絡(luò)-數(shù)控設(shè)備區(qū)域按照完成的生產(chǎn)功能可進(jìn)一步劃分為不同的子區(qū)域。對不同的區(qū)域應(yīng)采取相應(yīng)的安全保護(hù)措施。在不影響各區(qū)域工作的前提下,于各區(qū)域邊界處采取相應(yīng)的安全隔離措施,確保各個區(qū)域之間有清楚明晰的邊界設(shè)定,并保障各區(qū)域邊界安全。
4.2.4 全面保護(hù)
單一設(shè)備的防護(hù)、單一防護(hù)措施或單一防護(hù)產(chǎn)品都無法有效的保護(hù)數(shù)控網(wǎng)絡(luò),所以數(shù)控網(wǎng)絡(luò)的防護(hù)需要采取多個不同機(jī)制的多層防護(hù)策略。
4.3 數(shù)控加工系統(tǒng)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)
4.3.1 數(shù)控協(xié)議分析與測試
數(shù)控協(xié)議深度解析,研究數(shù)據(jù)包的關(guān)鍵內(nèi)容及有效負(fù)載,并覆蓋西門子、發(fā)那科、海德漢、通用公司、廣州數(shù)控、沈陽機(jī)床等企業(yè)的數(shù)控系統(tǒng)協(xié)議等多種數(shù)控系統(tǒng),支持主流數(shù)控網(wǎng)絡(luò)協(xié)議深度解析。目前數(shù)控設(shè)備廠商(特別是國外廠商)出于商業(yè)保護(hù)或設(shè)備安全的原因大都使用私有的數(shù)控協(xié)議。如果不了解網(wǎng)絡(luò)數(shù)據(jù)包中的有效信息就無法有效防御針對私有協(xié)議的攻擊。未知協(xié)議分析通過機(jī)器學(xué)習(xí)、數(shù)據(jù)挖掘等技術(shù),在大量數(shù)據(jù)的基礎(chǔ)上,分析發(fā)現(xiàn)未知協(xié)議的關(guān)鍵字信息。與行業(yè)用戶合作,實現(xiàn)關(guān)鍵字和數(shù)控設(shè)備功能的映射關(guān)系分析。數(shù)控協(xié)議測試的對象主要是各類私有或自定義數(shù)控協(xié)議的實現(xiàn)效果,通過全面測試可以有效發(fā)現(xiàn)協(xié)議實現(xiàn)的缺陷。
4.3.2 數(shù)控系統(tǒng)漏洞挖掘和分析
通過機(jī)器學(xué)習(xí)聚類算法,結(jié)合目標(biāo)對象的主動和被動響應(yīng)行為,判定漏洞信息。基于機(jī)器學(xué)習(xí)的漏洞檢測利用數(shù)控網(wǎng)絡(luò)中流量的周期性特點,以一定的頻率將網(wǎng)絡(luò)流量速度轉(zhuǎn)化為向量,再以不同的時間周期劃分向量組,利用余弦定理計算一個組內(nèi)各向量的相似度,取相似度最高的周期,即認(rèn)為是流量的周期模型。通過建立工控設(shè)備的流量周期模型,在工控設(shè)備被攻擊時,實時檢測出異常流量。基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)行為聚類算法是基于大量的設(shè)備、系統(tǒng)、軟件等漏洞樣例和行為,通過機(jī)器學(xué)習(xí)聚類算法,對漏洞表征行為學(xué)習(xí)和歸類,針對目標(biāo)對象進(jìn)行測試用例設(shè)計和構(gòu)造,結(jié)合目標(biāo)對象的主動和被動響應(yīng)行為,判定漏洞信息。
4.3.3 入侵檢測
隨著管理網(wǎng)和數(shù)控網(wǎng)絡(luò)的聯(lián)通,數(shù)控網(wǎng)絡(luò)面臨更多自內(nèi)而外發(fā)起的高可持續(xù)性攻擊。數(shù)控網(wǎng)絡(luò)安全入侵檢測技術(shù)與普通IT網(wǎng)絡(luò)的入侵檢測系統(tǒng)不同,是一套面向數(shù)控網(wǎng)絡(luò)入侵發(fā)現(xiàn)、分析和實時響應(yīng)的具有自組織特性的分布式檢測技術(shù)。基于行為的協(xié)同感知模型,可以通過識別病毒或者惡意威脅軟件爆發(fā)前或者潛伏期的協(xié)同行為來預(yù)測網(wǎng)絡(luò)中的異常設(shè)備。利用預(yù)置協(xié)同行為漏洞庫和以IP地址、MAC地址、協(xié)議、連接建立頻率、連接持續(xù)時間、傳輸速度等6個維度建立的行為信息,通過滑動窗口方差匹配算法將上述惡意威脅軟件的協(xié)同行為識別出來,可以有效地識別到感染惡意威脅軟件的網(wǎng)絡(luò)設(shè)備和電腦,在惡意行為爆發(fā)前進(jìn)行適時預(yù)警。基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)行為聚類算法基于有限狀態(tài)機(jī),提出了協(xié)議通信特征的推演算法,根據(jù)消息聚類的結(jié)果,推演出該通信協(xié)議的全部狀態(tài),并結(jié)合有限狀態(tài)機(jī),對消息中高頻詞匯進(jìn)行去重和降噪,得到協(xié)議特有的通信特征,基于協(xié)議特征并應(yīng)用機(jī)器學(xué)習(xí)聚類方法,使用歐式或者拉氏測距對消息進(jìn)行分類,并利用非負(fù)向量矩陣進(jìn)行降維,最終實現(xiàn)通信消息的聚類和去重,從而實現(xiàn)智能化消息聚類算法。
4.3.4 智能學(xué)習(xí)技術(shù)
智能機(jī)器學(xué)習(xí)的白名單技術(shù)的學(xué)習(xí)引擎是全新智能學(xué)習(xí)引擎,在學(xué)習(xí)模型建立的算法上綜合了國際最新的監(jiān)督式學(xué)習(xí)(Supervised Learning)技術(shù)和非監(jiān)督式學(xué)習(xí)(Unsupervised Learning)技術(shù)優(yōu)點,能夠自動收集、分析和學(xué)習(xí)系統(tǒng)正常運行狀態(tài)下的數(shù)據(jù)行為,在此基礎(chǔ)上智能提取用戶節(jié)點的行為特征,并自動生成容易理解的操作規(guī)則和白名單,實現(xiàn)自動化特征規(guī)則的提取和生成,對規(guī)則以外的異常數(shù)據(jù)和操作行為進(jìn)行告警。智能機(jī)器學(xué)習(xí)引擎技術(shù)的優(yōu)勢包括深度數(shù)據(jù)包提取解析、自動優(yōu)化規(guī)則和策略部署、自動解決規(guī)則策略間的沖突異常、實現(xiàn)“一鍵式”的智能規(guī)則學(xué)習(xí)和部署、智能分析用戶行為等功能。
4.4 數(shù)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)方案
數(shù)控網(wǎng)絡(luò)防護(hù)的目的是保護(hù)網(wǎng)絡(luò)中各系統(tǒng)的硬件、軟件及數(shù)據(jù)不會因為偶然或者惡意侵犯而遭到破壞、更改及泄露,保證控制網(wǎng)絡(luò)系統(tǒng)能夠連續(xù)、正常、可靠運行。為數(shù)控網(wǎng)絡(luò)提供所需的安全防護(hù),同時保證正常生產(chǎn)不受影響是需要重點解決的問題。根據(jù)“網(wǎng)絡(luò)專用、安全分區(qū)、區(qū)域隔離和縱深防御”的原則,運用數(shù)控系統(tǒng)漏洞挖掘、數(shù)控審計、智能保護(hù)引擎等多種安全防護(hù)技術(shù),設(shè)計包括分域保護(hù)、安全加固、安全監(jiān)測、審計保護(hù)、數(shù)控主機(jī)防護(hù)等關(guān)鍵防護(hù)機(jī)制的數(shù)控網(wǎng)絡(luò)安全防護(hù)方案,來保證數(shù)控網(wǎng)絡(luò)的保密性、可用性和完整性。
4.4.1 數(shù)控網(wǎng)絡(luò)漏洞挖掘和風(fēng)險評估分析
通過對數(shù)控網(wǎng)絡(luò)進(jìn)行風(fēng)險評估,包括對網(wǎng)絡(luò)架構(gòu)、數(shù)控制造設(shè)備、管理主機(jī)、數(shù)控網(wǎng)絡(luò)中的控制流和數(shù)據(jù)流、控制協(xié)議等進(jìn)行全方位的安全評估,發(fā)現(xiàn)安全隱患和風(fēng)險。
4.4.2 網(wǎng)絡(luò)架構(gòu)及邊界防護(hù)
研究制造企業(yè)工藝流程及數(shù)控系統(tǒng)及其業(yè)務(wù)功能屬性,對高端數(shù)控加工及成型裝備、精密測量儀器等設(shè)備進(jìn)行識別和分類;參照IEC62443-3-3等標(biāo)準(zhǔn)中的區(qū)域劃分原則,對數(shù)控網(wǎng)絡(luò)劃分合理區(qū)域,在區(qū)域邊界確定安全防護(hù)基線。邊界安全防護(hù)技術(shù)是針對數(shù)據(jù)采集過程中和數(shù)據(jù)交換時遇到的數(shù)據(jù)泄露、病毒入侵等威脅,在機(jī)器智能學(xué)習(xí)、深度協(xié)議數(shù)據(jù)包解析和開放式特征匹配三大功能之上,識別出由于惡意入侵、系統(tǒng)故障、人員誤操作所引起的異常控制行為和非法數(shù)據(jù)包,及時進(jìn)行告警和阻斷,并能為后續(xù)的安全威脅排查提供依據(jù),對異常控制行為和非法數(shù)據(jù)包進(jìn)行告警和阻斷,并對各類安全威脅進(jìn)行監(jiān)控,從而為數(shù)控網(wǎng)絡(luò)提供全方位的監(jiān)測、過濾、報警和阻斷能力。針對數(shù)據(jù)采集過程中和數(shù)據(jù)交換時遇到的數(shù)據(jù)泄露、病毒入侵等威脅,在機(jī)器智能學(xué)習(xí)、深度協(xié)議數(shù)據(jù)包解析和開放式特征匹配三大功能之上,識別出由于惡意入侵、系統(tǒng)故障、人員誤操作所引起的異常控制行為和非法數(shù)據(jù)包,為數(shù)控網(wǎng)絡(luò)提供全方位的監(jiān)測、過濾、報警和阻斷能力。典型聯(lián)網(wǎng)DNC防護(hù)網(wǎng)絡(luò)架構(gòu)圖如圖3所示。
圖3 典型聯(lián)網(wǎng)DNC防護(hù)網(wǎng)絡(luò)架構(gòu)圖
4.4.3 數(shù)控網(wǎng)絡(luò)綜合監(jiān)測和安全審計
對數(shù)據(jù)泄密、未知設(shè)備接入、異常控制指令和非法數(shù)據(jù)包等數(shù)控網(wǎng)絡(luò)主要的安全風(fēng)險和漏洞進(jìn)行深度分析、過濾、告警、阻斷、追蹤,并對各類安全威脅實施監(jiān)測審計。針對數(shù)控網(wǎng)絡(luò)的在線全網(wǎng)監(jiān)控審計,可以自動識別網(wǎng)絡(luò)設(shè)備、實時顯示整個控制網(wǎng)絡(luò)的總體運行情況和網(wǎng)絡(luò)設(shè)備當(dāng)前狀態(tài),并對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行綜合分析。利用面向數(shù)控網(wǎng)絡(luò)安全的人工智能技術(shù)和先進(jìn)的機(jī)器學(xué)習(xí)、模式識別、高性能算法設(shè)計和數(shù)據(jù)挖掘等技術(shù),實現(xiàn)對數(shù)控控制網(wǎng)絡(luò)的自動學(xué)習(xí)、自動適應(yīng)和自動規(guī)則生成。
基于行為的協(xié)同感知模型,可以通過識別病毒或者惡意威脅軟件爆發(fā)前或者潛伏期的協(xié)同行為來預(yù)測網(wǎng)絡(luò)中的異常設(shè)備。利用預(yù)置協(xié)同行為漏洞庫和以IP地址、MAC地址、協(xié)議、連接建立頻率、連接持續(xù)時間、傳輸速度等6個維度建立的行為信息,通過滑動窗口方差匹配算法將上述惡意威脅軟件的協(xié)同行為識別出來,可以有效地識別到感染惡意威脅軟件的網(wǎng)絡(luò)設(shè)備和電腦,在惡意行為爆發(fā)前進(jìn)行適時預(yù)警。高端數(shù)控機(jī)床網(wǎng)絡(luò)安全審計保護(hù)如圖4所示。
圖4 高端數(shù)控機(jī)床網(wǎng)絡(luò)安全審計保護(hù)
4.4.4 數(shù)控主機(jī)安全防護(hù)
數(shù)控主機(jī)防護(hù)宜采用適用于數(shù)控網(wǎng)絡(luò)主機(jī)防護(hù)的安全防護(hù)軟件。針對DNC、MES、PDM、CAM、CAPP等服務(wù)器及終端主機(jī)部署安全防護(hù)軟件。采用智能機(jī)器學(xué)習(xí)的白名單技術(shù),能夠自動收集、分析和學(xué)習(xí)系統(tǒng)正常運行狀態(tài)下的數(shù)據(jù)行為,在此基礎(chǔ)上智能提取用戶節(jié)點的行為特征,并自動生成容易理解的操作規(guī)則和白名單,實現(xiàn)自動化特征規(guī)則的提取和生成,對規(guī)則以外的異常數(shù)據(jù)和操作行為進(jìn)行告警。
4.4.5 USB接口防護(hù)
USB設(shè)備授權(quán)機(jī)制和白名單技術(shù)可以禁止隨意拷貝數(shù)控管理主機(jī)中的文件。當(dāng)檢測到非法拷貝企圖時,安全防護(hù)軟件會阻止文件拷貝,顯示告警信息,記錄下安全事件,并且安全事件不可刪除、不可篡改。
5 數(shù)控網(wǎng)絡(luò)安全防護(hù)的重要意義
5.1 提升數(shù)控加工系統(tǒng)自身防護(hù)能力
通過實施數(shù)控加工系統(tǒng)網(wǎng)絡(luò)安全防護(hù)方案,可有效預(yù)防數(shù)控機(jī)床存在的漏洞和后門所帶來的影響和后患,且適用于常見的各種國內(nèi)外品牌高端數(shù)控機(jī)床和精密測量儀器的組網(wǎng)場景,可對目前國內(nèi)企業(yè)常用的高端數(shù)控機(jī)床、精密測量儀器自身的信息安全提供全方位防護(hù)。
5.2 深度防泄密保護(hù)核心數(shù)據(jù)
數(shù)控網(wǎng)絡(luò)作為智能制造中最為核心的部分,是生產(chǎn)高精密零部件和設(shè)備的基礎(chǔ),其生產(chǎn)數(shù)據(jù)作為企業(yè)核心機(jī)密,甚至關(guān)系到國家安全。
部署整體防護(hù)技術(shù),包括綜合采用數(shù)據(jù)加密、內(nèi)容識別、網(wǎng)絡(luò)文件還原和命令還原技術(shù)、基于數(shù)控行業(yè)主流設(shè)備通信協(xié)議深度數(shù)據(jù)包提取解析的智能學(xué)習(xí)技術(shù)、詳細(xì)審計日志、智能應(yīng)用識別等多種技術(shù)手段,為用戶提供針對性的防泄密措施,保障企業(yè)數(shù)控網(wǎng)絡(luò)中機(jī)密數(shù)據(jù)的安全。通過在數(shù)控主機(jī)安裝適應(yīng)離散制造環(huán)境的安全保護(hù)程序,并在網(wǎng)絡(luò)中串接數(shù)控審計保護(hù),可以有效識別移動存儲設(shè)備接入、非法網(wǎng)絡(luò)連接、移動筆記本和其他移動智能終端接入、惡意木馬和病毒以及非授權(quán)軟件的安裝等非法行為。同時在數(shù)控機(jī)床和服務(wù)器上部署USB防護(hù)設(shè)備,對接入數(shù)控機(jī)床和服務(wù)器USB口的設(shè)備進(jìn)行有效的監(jiān)督和審計,有效阻止通過USB接口的數(shù)據(jù)外泄。
5.3 縱深防御使病毒無所遁形
數(shù)控加工系統(tǒng)網(wǎng)絡(luò)內(nèi)部病毒傳播擴(kuò)散問題可以通過從邊界到終端逐級部署縱深的安全保護(hù)措施來有效切斷。通過在數(shù)控網(wǎng)絡(luò)中部署安全保護(hù)審計設(shè)備,可以有效識別數(shù)控網(wǎng)絡(luò)中病毒的惡意行為,并進(jìn)行預(yù)警和阻斷,同時可以對數(shù)控網(wǎng)絡(luò)的上下行數(shù)據(jù)進(jìn)行記錄和監(jiān)測。通過在邊界部署數(shù)據(jù)采集隔離平臺,提供全方位的監(jiān)測、過濾、報警和阻斷,通過縱深的防御技術(shù)有效防止病毒在控制網(wǎng)內(nèi)部傳播。
5.4 保障生產(chǎn)加工安全高效運行
通過建立深度防泄密和與之聯(lián)動的保護(hù)體系,可以有效解決使用高端數(shù)據(jù)機(jī)床和精密測量儀器進(jìn)行相關(guān)生產(chǎn)的行業(yè)亟待解決的數(shù)據(jù)泄密問題和未知入侵安全威脅問題。在此過程中不會影響企業(yè)的加工生產(chǎn)流程,由于規(guī)范了相關(guān)操作制度和提供的安全防護(hù)措施,企業(yè)的生產(chǎn)效率將會得到較大的保障和提高。
作者簡介
鐘 誠(1972-),女,湖北人,現(xiàn)任北京中科物安科技有限公司戰(zhàn)略合作副總裁。北京大學(xué)信息管理系本科畢業(yè),南開大學(xué)產(chǎn)業(yè)經(jīng)濟(jì)碩士,曾先后服務(wù)于中遠(yuǎn)集團(tuán)、大唐電信集團(tuán)、無線綠洲公司、匡恩網(wǎng)絡(luò),歷任政府事務(wù)總監(jiān)、市場部總經(jīng)理、戰(zhàn)略發(fā)展和戰(zhàn)略合作高管。研究方向為通信及信息安全,對工業(yè)控制網(wǎng)絡(luò)安全有著深刻理解,是國內(nèi)第一批工業(yè)控制網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的推動者。
李凱斌(1980-),男,湖北人,現(xiàn)任北京中科物安科技有限公司研發(fā)副總裁。武漢大學(xué)博士畢業(yè),十五年信息安全產(chǎn)品軟硬件開發(fā)經(jīng)驗,匡恩網(wǎng)絡(luò)聯(lián)合創(chuàng)始人,從無到有構(gòu)建了公司研發(fā)體系,定義和設(shè)計了多款開創(chuàng)性工控安全產(chǎn)品,并擁有多項專利。研究方向為信息安全、嵌入式系統(tǒng)。
孟 曦(1978-),女,山西清徐人,西安電子科技大學(xué)通信工程本科畢業(yè),美國NYIT-MBA在讀,曾先后服務(wù)于美國安氏安全、大唐電信集團(tuán)、浙江浙大網(wǎng)新集團(tuán)、匡恩網(wǎng)絡(luò),歷任市場發(fā)展部總監(jiān)、政府事務(wù)總監(jiān)、戰(zhàn)略發(fā)展和戰(zhàn)略合作總監(jiān)。研究方向為通信及信息安全。
參考文獻(xiàn):
[1] 李炳燃, 張輝, 葉佩青. 智能制造環(huán)境下的數(shù)控系統(tǒng)發(fā)展需求[J]. 航空制造技術(shù), 2017, 60 ( 6 ) : 24 – 30.
[2] 蔡銳龍, 李曉棟, 錢思思. 國內(nèi)外數(shù)控系統(tǒng)技術(shù)研究現(xiàn)狀與發(fā)展趨勢[J]. 機(jī)械科學(xué)與技術(shù). , 2016 ( 4 ) : 493 – 500.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第五輯)》
北京市公安局海淀分局備案號:11010802023656號