今日頭條
官方微信
官方抖音
資訊頻道1 前言
數控加工系統是制造業核心裝備,廣泛應用于航空航天、車輛制造、船舶制造等關系國防安全、經濟安全和社會安全的關鍵行業。隨著兩化深度融合,數控網絡安全防護成為數控領域網絡化、智能化發展的關鍵問題。智能制造企業的數控系統和網絡存在大量漏洞及風險。高端數控機床的LAD(Ladder Diagram)、PMC(Programmable Machine Controller)等信息機密文件、進口高端數控機床敏感地理信息存在泄露風險,設備使用無線上網卡連接因特網形成泄密通路,進口CNC(Computerized Numerical Control)控制系統存在嚴重遠程控制漏洞等,一旦被不法分子利用,后果極為嚴重。然而我國數控網絡安全發展嚴重滯后,數控加工系統的網絡安全防護長期以來沒有得到足夠關注,相關標準體系建設也幾乎為空白,缺乏必要的防護措施。數控網絡安全防護存在迫切需求,且應成為智能制造產業發展的重要基礎。
2 智能制造背景下數控加工系統的發展
隨著《中國制造2025》戰略的全面實施,越來越多的信息技術應用到了工業制造領域,生產模式得以改變,各種智能制造設備和系統進行網絡互聯互通的趨勢越來越快,我國數控加工行業也開始大力推進數控機床的網絡化,加快數控網絡與企業辦公網和因特網的互聯互通。2013年德國在漢諾威機床展覽會上提出“工業4.0”概念的核心思想——“智能+網絡化”,其可以將裝備、存儲系統和生產設施融入到信息物理系統(CPS,Cyber Physical Systems )中,同時將工業互聯網應用到制造業領域,從而實現生產型制造向服務型制造的轉變。網絡化的數控加工系統體系結構和運行模式都發生了巨大的變化,數控系統正從過去的封閉式走向開放式,從過去的單機運行走向網絡化數控。數控系統的網絡化是實現虛擬制造、敏捷制造、全球制造等新制造模式的基礎單元,也是滿足制造企業對信息集成需求的技術途徑。近年來,國外著名的數控機床和數控系統制造商都推出了有關網絡化的樣機和新概念,如MAZAK的智能生產控制中心、SIEMENS的開放制造環境、三菱電機自動化的工廠網絡集成制造系統(如圖1所示)等,均反映了數控加工向網絡化方向發展的趨勢。
圖1 三菱電機自動化的工廠網絡集成制造系統
3 數控加工系統面臨的主要安全威脅
3.1 數控加工系統網絡安全面臨挑戰的原因
首先數控加工設備聯網進程的加快導致了傳統信息網絡的各種黑客攻擊和惡意代碼等安全威脅快速進入到數控網絡。另外,在大力發展數控網絡建設的同時,工業企業沒有充分考慮數控網絡與其它網絡互聯互通帶來的網絡安全風險,網絡安全防護體系建設相對于數控網絡的快速發展存在明顯滯后。近年來針對數控網絡的安全攻擊事件陡增,嚴重影響企業生產秩序,危害生產人員人身安全和企業財產安全甚至國家安全。典型數控系統網絡結構如圖2所示。
圖2 典型數控系統網絡結構
3.2 數控加工系統安全面臨的主要安全問題
獨立封閉的數控生產網絡接入企業管理網和互聯網后面臨的信息安全風險增加,占據主導地位的進口設備可能存在系統設計漏洞和預留后門,明文傳輸和管理加工代碼導致代碼易被非法獲取和制造數據泄密,設備的升級維護過程行為不可控,對移動存儲介質缺少有效的技術監管手段,主機防護能力弱等威脅。
(1)網絡邊界擴大導致更多的網絡攻擊:兩化融合的不斷發展,使得原本獨立封閉的數控生產網絡接入企業管理網和互聯網,網絡邊界擴大必然導致網絡攻擊事件不斷發生。
(2)數控領域進口設備占據主導地位:目前國內使用的主流數控設備,其核心系統大部分是國外廠家產品,特別是高端CNC數控機床控制系統和DNC數控整體聯網解決方案,如我國高端數控機床控制系統基本由發那科FANUC(日本)、西門子Siemens(德國)、海德漢HEIDENHAIN(德國)等幾家國外廠商占據主導地位。進口數控系統往往存在以下安全隱患,如表1所示。
表1 我國數控設備品牌市場占有率(中科物安整理)
(3)數控系統自身安全:國外廠家的核心技術不向我國公開,復雜的數控系統所包含的軟件代碼量級巨大,其中可能存在系統設計漏洞和預留后門等安全隱患。
(4)數控協議安全:多數數控機床控制系統使用明文方式傳輸和管理加工代碼,這樣容易導致未加密的加工代碼被非法獲取,并通過專用軟件對加工物品進行還原,導致制造數據泄密。
(5)數控設備運維升級安全:數控設備的升級維護嚴重依賴生產和供應廠商,很多設備允許通過網絡遠程控制,系統缺少用戶身份認證和訪問授權等安全機制,設備的升級維護過程行為不可控,存在巨大的安全風險。
(6)對移動存儲介質缺少有效技術監管手段:可以在網絡中隨意接入U盤、移動硬盤、光盤等移動存儲介質,對網絡中的關鍵生產數據任意訪問和操作,導致機密生產數據的泄露。
(7)主機防護能力弱:作為網絡入侵的主要被攻擊點,數控網絡中的主機防護力度不足,傳統IT行業的殺毒軟件并不適用數控網絡主機的安全防護,或者會嚴重影響企業的生產效率。
(8)數控網絡安全事件難以跟蹤溯源:網絡攻擊者大都使用偽造的IP地址,使被攻擊者很難確定攻擊源的位置,并且有經驗的攻擊者往往會消除攻擊痕跡等記錄,使得企業不能實施有針對性的防護策略,防止類似的安全事件重復發生。
3.3 現有防護手段不能解決數控加工系統的網絡安全問題
由于智能制造系統與傳統信息系統的特點和安全需求的不同,現有的安全防護手段(防火墻、網閘、單向隔離設備、病毒查殺工具等)不足以對智能制造系統進行有效防御,智能制造系統安全攻防技術研究工作亟待加強,智能制造系統特別是數控網絡安全防護技術亟需發展,產品亟需實現和驗證。
4 數控加工系統網絡安全防護探索
4.1 國內外發展情況
在智能制造系統安全防護技術方面,國內外廠家都在開展積極研究。日本大隈(Okuma) 的OSP病毒防護系統在Okuma OSP-P控制系統中內置了病毒掃描應用接口來防止感染從網絡或USB設備傳播的病毒;中國航天科工集團公司二院706所開發了HT706-CNCP數控系統終端信息安全防護設備及HT706-CISP邊界安全專用網關。但這些安全防護方案和產品往往只針對特定型號的數控系統,不具有普遍適用性。目前在我國已發布或在研的工業控制系統信息安全標準中提出的安全防護技術要求是適用于批量制造、連續制造、離散制造使用的安全防護技術手段,并不完全適用于數控網絡。
4.2 數控網絡安全防護原則
4.2.1 可用性
各類安全防護措施的使用不應對數控網絡的正常運行以及數控網絡與外部網絡的交互造成影響。
4.2.2 網絡隔離
數控網絡應僅用于數控生產加工業務,應采用專用的物理網絡,與外部網絡的交互應采取有效的安全防護措施。
4.2.3 分區防御
將數控網絡劃分為數控網絡-監督控制區域和數控網絡-數控設備區域。數控網絡-數控設備區域按照完成的生產功能可進一步劃分為不同的子區域。對不同的區域應采取相應的安全保護措施。在不影響各區域工作的前提下,于各區域邊界處采取相應的安全隔離措施,確保各個區域之間有清楚明晰的邊界設定,并保障各區域邊界安全。
4.2.4 全面保護
單一設備的防護、單一防護措施或單一防護產品都無法有效的保護數控網絡,所以數控網絡的防護需要采取多個不同機制的多層防護策略。
4.3 數控加工系統網絡安全的關鍵技術
4.3.1 數控協議分析與測試
數控協議深度解析,研究數據包的關鍵內容及有效負載,并覆蓋西門子、發那科、海德漢、通用公司、廣州數控、沈陽機床等企業的數控系統協議等多種數控系統,支持主流數控網絡協議深度解析。目前數控設備廠商(特別是國外廠商)出于商業保護或設備安全的原因大都使用私有的數控協議。如果不了解網絡數據包中的有效信息就無法有效防御針對私有協議的攻擊。未知協議分析通過機器學習、數據挖掘等技術,在大量數據的基礎上,分析發現未知協議的關鍵字信息。與行業用戶合作,實現關鍵字和數控設備功能的映射關系分析。數控協議測試的對象主要是各類私有或自定義數控協議的實現效果,通過全面測試可以有效發現協議實現的缺陷。
4.3.2 數控系統漏洞挖掘和分析
通過機器學習聚類算法,結合目標對象的主動和被動響應行為,判定漏洞信息。基于機器學習的漏洞檢測利用數控網絡中流量的周期性特點,以一定的頻率將網絡流量速度轉化為向量,再以不同的時間周期劃分向量組,利用余弦定理計算一個組內各向量的相似度,取相似度最高的周期,即認為是流量的周期模型。通過建立工控設備的流量周期模型,在工控設備被攻擊時,實時檢測出異常流量。基于機器學習的網絡行為聚類算法是基于大量的設備、系統、軟件等漏洞樣例和行為,通過機器學習聚類算法,對漏洞表征行為學習和歸類,針對目標對象進行測試用例設計和構造,結合目標對象的主動和被動響應行為,判定漏洞信息。
4.3.3 入侵檢測
隨著管理網和數控網絡的聯通,數控網絡面臨更多自內而外發起的高可持續性攻擊。數控網絡安全入侵檢測技術與普通IT網絡的入侵檢測系統不同,是一套面向數控網絡入侵發現、分析和實時響應的具有自組織特性的分布式檢測技術。基于行為的協同感知模型,可以通過識別病毒或者惡意威脅軟件爆發前或者潛伏期的協同行為來預測網絡中的異常設備。利用預置協同行為漏洞庫和以IP地址、MAC地址、協議、連接建立頻率、連接持續時間、傳輸速度等6個維度建立的行為信息,通過滑動窗口方差匹配算法將上述惡意威脅軟件的協同行為識別出來,可以有效地識別到感染惡意威脅軟件的網絡設備和電腦,在惡意行為爆發前進行適時預警。基于機器學習的網絡行為聚類算法基于有限狀態機,提出了協議通信特征的推演算法,根據消息聚類的結果,推演出該通信協議的全部狀態,并結合有限狀態機,對消息中高頻詞匯進行去重和降噪,得到協議特有的通信特征,基于協議特征并應用機器學習聚類方法,使用歐式或者拉氏測距對消息進行分類,并利用非負向量矩陣進行降維,最終實現通信消息的聚類和去重,從而實現智能化消息聚類算法。
4.3.4 智能學習技術
智能機器學習的白名單技術的學習引擎是全新智能學習引擎,在學習模型建立的算法上綜合了國際最新的監督式學習(Supervised Learning)技術和非監督式學習(Unsupervised Learning)技術優點,能夠自動收集、分析和學習系統正常運行狀態下的數據行為,在此基礎上智能提取用戶節點的行為特征,并自動生成容易理解的操作規則和白名單,實現自動化特征規則的提取和生成,對規則以外的異常數據和操作行為進行告警。智能機器學習引擎技術的優勢包括深度數據包提取解析、自動優化規則和策略部署、自動解決規則策略間的沖突異常、實現“一鍵式”的智能規則學習和部署、智能分析用戶行為等功能。
4.4 數控系統網絡安全防護方案
數控網絡防護的目的是保護網絡中各系統的硬件、軟件及數據不會因為偶然或者惡意侵犯而遭到破壞、更改及泄露,保證控制網絡系統能夠連續、正常、可靠運行。為數控網絡提供所需的安全防護,同時保證正常生產不受影響是需要重點解決的問題。根據“網絡專用、安全分區、區域隔離和縱深防御”的原則,運用數控系統漏洞挖掘、數控審計、智能保護引擎等多種安全防護技術,設計包括分域保護、安全加固、安全監測、審計保護、數控主機防護等關鍵防護機制的數控網絡安全防護方案,來保證數控網絡的保密性、可用性和完整性。
4.4.1 數控網絡漏洞挖掘和風險評估分析
通過對數控網絡進行風險評估,包括對網絡架構、數控制造設備、管理主機、數控網絡中的控制流和數據流、控制協議等進行全方位的安全評估,發現安全隱患和風險。
4.4.2 網絡架構及邊界防護
研究制造企業工藝流程及數控系統及其業務功能屬性,對高端數控加工及成型裝備、精密測量儀器等設備進行識別和分類;參照IEC62443-3-3等標準中的區域劃分原則,對數控網絡劃分合理區域,在區域邊界確定安全防護基線。邊界安全防護技術是針對數據采集過程中和數據交換時遇到的數據泄露、病毒入侵等威脅,在機器智能學習、深度協議數據包解析和開放式特征匹配三大功能之上,識別出由于惡意入侵、系統故障、人員誤操作所引起的異常控制行為和非法數據包,及時進行告警和阻斷,并能為后續的安全威脅排查提供依據,對異常控制行為和非法數據包進行告警和阻斷,并對各類安全威脅進行監控,從而為數控網絡提供全方位的監測、過濾、報警和阻斷能力。針對數據采集過程中和數據交換時遇到的數據泄露、病毒入侵等威脅,在機器智能學習、深度協議數據包解析和開放式特征匹配三大功能之上,識別出由于惡意入侵、系統故障、人員誤操作所引起的異常控制行為和非法數據包,為數控網絡提供全方位的監測、過濾、報警和阻斷能力。典型聯網DNC防護網絡架構圖如圖3所示。
圖3 典型聯網DNC防護網絡架構圖
4.4.3 數控網絡綜合監測和安全審計
對數據泄密、未知設備接入、異常控制指令和非法數據包等數控網絡主要的安全風險和漏洞進行深度分析、過濾、告警、阻斷、追蹤,并對各類安全威脅實施監測審計。針對數控網絡的在線全網監控審計,可以自動識別網絡設備、實時顯示整個控制網絡的總體運行情況和網絡設備當前狀態,并對網絡安全態勢進行綜合分析。利用面向數控網絡安全的人工智能技術和先進的機器學習、模式識別、高性能算法設計和數據挖掘等技術,實現對數控控制網絡的自動學習、自動適應和自動規則生成。
基于行為的協同感知模型,可以通過識別病毒或者惡意威脅軟件爆發前或者潛伏期的協同行為來預測網絡中的異常設備。利用預置協同行為漏洞庫和以IP地址、MAC地址、協議、連接建立頻率、連接持續時間、傳輸速度等6個維度建立的行為信息,通過滑動窗口方差匹配算法將上述惡意威脅軟件的協同行為識別出來,可以有效地識別到感染惡意威脅軟件的網絡設備和電腦,在惡意行為爆發前進行適時預警。高端數控機床網絡安全審計保護如圖4所示。
圖4 高端數控機床網絡安全審計保護
4.4.4 數控主機安全防護
數控主機防護宜采用適用于數控網絡主機防護的安全防護軟件。針對DNC、MES、PDM、CAM、CAPP等服務器及終端主機部署安全防護軟件。采用智能機器學習的白名單技術,能夠自動收集、分析和學習系統正常運行狀態下的數據行為,在此基礎上智能提取用戶節點的行為特征,并自動生成容易理解的操作規則和白名單,實現自動化特征規則的提取和生成,對規則以外的異常數據和操作行為進行告警。
4.4.5 USB接口防護
USB設備授權機制和白名單技術可以禁止隨意拷貝數控管理主機中的文件。當檢測到非法拷貝企圖時,安全防護軟件會阻止文件拷貝,顯示告警信息,記錄下安全事件,并且安全事件不可刪除、不可篡改。
5 數控網絡安全防護的重要意義
5.1 提升數控加工系統自身防護能力
通過實施數控加工系統網絡安全防護方案,可有效預防數控機床存在的漏洞和后門所帶來的影響和后患,且適用于常見的各種國內外品牌高端數控機床和精密測量儀器的組網場景,可對目前國內企業常用的高端數控機床、精密測量儀器自身的信息安全提供全方位防護。
5.2 深度防泄密保護核心數據
數控網絡作為智能制造中最為核心的部分,是生產高精密零部件和設備的基礎,其生產數據作為企業核心機密,甚至關系到國家安全。
部署整體防護技術,包括綜合采用數據加密、內容識別、網絡文件還原和命令還原技術、基于數控行業主流設備通信協議深度數據包提取解析的智能學習技術、詳細審計日志、智能應用識別等多種技術手段,為用戶提供針對性的防泄密措施,保障企業數控網絡中機密數據的安全。通過在數控主機安裝適應離散制造環境的安全保護程序,并在網絡中串接數控審計保護,可以有效識別移動存儲設備接入、非法網絡連接、移動筆記本和其他移動智能終端接入、惡意木馬和病毒以及非授權軟件的安裝等非法行為。同時在數控機床和服務器上部署USB防護設備,對接入數控機床和服務器USB口的設備進行有效的監督和審計,有效阻止通過USB接口的數據外泄。
5.3 縱深防御使病毒無所遁形
數控加工系統網絡內部病毒傳播擴散問題可以通過從邊界到終端逐級部署縱深的安全保護措施來有效切斷。通過在數控網絡中部署安全保護審計設備,可以有效識別數控網絡中病毒的惡意行為,并進行預警和阻斷,同時可以對數控網絡的上下行數據進行記錄和監測。通過在邊界部署數據采集隔離平臺,提供全方位的監測、過濾、報警和阻斷,通過縱深的防御技術有效防止病毒在控制網內部傳播。
5.4 保障生產加工安全高效運行
通過建立深度防泄密和與之聯動的保護體系,可以有效解決使用高端數據機床和精密測量儀器進行相關生產的行業亟待解決的數據泄密問題和未知入侵安全威脅問題。在此過程中不會影響企業的加工生產流程,由于規范了相關操作制度和提供的安全防護措施,企業的生產效率將會得到較大的保障和提高。
作者簡介
鐘 誠(1972-),女,湖北人,現任北京中科物安科技有限公司戰略合作副總裁。北京大學信息管理系本科畢業,南開大學產業經濟碩士,曾先后服務于中遠集團、大唐電信集團、無線綠洲公司、匡恩網絡,歷任政府事務總監、市場部總經理、戰略發展和戰略合作高管。研究方向為通信及信息安全,對工業控制網絡安全有著深刻理解,是國內第一批工業控制網絡安全產業發展的推動者。
李凱斌(1980-),男,湖北人,現任北京中科物安科技有限公司研發副總裁。武漢大學博士畢業,十五年信息安全產品軟硬件開發經驗,匡恩網絡聯合創始人,從無到有構建了公司研發體系,定義和設計了多款開創性工控安全產品,并擁有多項專利。研究方向為信息安全、嵌入式系統。
孟 曦(1978-),女,山西清徐人,西安電子科技大學通信工程本科畢業,美國NYIT-MBA在讀,曾先后服務于美國安氏安全、大唐電信集團、浙江浙大網新集團、匡恩網絡,歷任市場發展部總監、政府事務總監、戰略發展和戰略合作總監。研究方向為通信及信息安全。
參考文獻:
[1] 李炳燃, 張輝, 葉佩青. 智能制造環境下的數控系統發展需求[J]. 航空制造技術, 2017, 60 ( 6 ) : 24 – 30.
[2] 蔡銳龍, 李曉棟, 錢思思. 國內外數控系統技術研究現狀與發展趨勢[J]. 機械科學與技術. , 2016 ( 4 ) : 493 – 500.
摘自《工業控制系統信息安全專刊(第五輯)》
北京市公安局海淀分局備案號:11010802023656號