摘要:數控機床作為智能制造的“工作母機”,是工業領域生產加工的關鍵設備,其重要性不言而喻。隨著智能制造的快速發展,智能機床、數控機床聯網運行已成為趨勢,如何保障機床聯網運行的網絡與數據安全就顯得尤為重要,本文從“工業母機”的基礎環境風險、聯網安全風險以及當前常規防護方案進行介紹,并針對當前解決方案不足問題進行說明,最后提出安盟信息在機床防護的“硬核技術”,為“工業母機”網絡與數據安全提供有力保障,助力中國實體經濟高質量發展!
關鍵詞:數控機床 智能智造 機甲衛士 工控安全 DNC防護 全接口管理
一、引言
“工業母機”承擔著工業現代化的重要使命,是智能制造領域的關鍵設備,同時也是制造強國目標的基礎。智能機床、數控機床廣泛應用于十大軍工、汽車制造、3C制造等領域,它對國計民生的一些重要行業的發展起著越來越重要的作用。隨著兩化融合等政策的大力推動和發展,越來越多的信息技術應用到工業制造領域,生產模式發生改變,數控機床和系統間網絡互聯互通的趨勢越來越明顯。我國數控加工行業也開始大力推進數控機床的網絡化,加快數控網絡與企業辦公網和互聯網的互聯互通。
數控系統使用的是廠商定制的專用系統,在設計時沒有考慮信息安全問題。系統中運行的控制軟件、通信協議和管理系統在設計時就存在著漏洞和后門,利用數控系統的安全漏洞能夠直接完成對系統進行控制,并且能夠獲得系統的最大控制權限。尤其是數控系統接入企業管理網和互聯網后,面臨的信息安全風險更是急劇增加,亟須建立一套數控機床安全防護方案體系。
二、“工業母機”網絡安全風險分析
隨著物聯網、移動互聯、大數據、5G等新一代信息技術的融合發展,數控機床逐漸與辦公網、互聯網以及第三方網絡進行互聯互通,使得原本封閉可信的工業生產環境被打破,從而面臨著病毒、木馬、黑客、敵對勢力等威脅。尤其近幾年,勒索病毒對工業生產企業的攻擊更加頻繁,如2018年臺積電Wannacry勒索事件,以及2021年5月美國最大成品油管道運營商科洛尼爾公司遭受勒索攻擊,這些安全事件表明工業控制系統自身存在安全問題,使得黑客、敵對勢力等威脅利用這些問題對工業生產環境進行攻擊。針對“工業母機”相關風險總結如下。
(1)數控機床自身存在大量的安全漏洞
高精尖數控機床多以國外品牌為主,使用的是廠商定制的專用系統,在設計時沒有考慮安全問題。數控機床自身服務和通信協議在設計時就存在著漏洞和后門,存在數控機床感染病毒或自帶某后門程序直接通過DNC控制網進行關鍵數據外泄的風險。
(2)數控機床、數控系統無法安裝常規信息安全防護產品
現有安全保密防護產品運行在通用操作系統之上,無法在數控系統、數控機床上安裝,即便是可以安裝,這些安全軟件的運行會影響數控系統的實時性、兼容性,直接導致數控系統無法正常運行。
(3)數控機床傳輸內容無法有效控制和審計
數控機床自身不具備身份鑒別、訪問控制等功能,而且無法安裝信息安全產品,所以對自身數據的輸入輸出無法進行有效的管理。現在DNC網絡缺乏對NC文件數據流轉的控制手段,下發至各數控機床的NC文件無法辨別是否合規。
(4)數控機床組成的DNC網絡互連風險
數據機床引入了DNC網絡,用于程序傳輸與管理,在大大提高工作效率的同時,也給各個數控機床帶來了安全風險。例如一臺數控機床感染病毒、木馬,由于其他數控機床均接入到DNC網絡,病毒、木馬極有可能快速擴散到所有數控機床,造成設備損壞生產無法正常進行,而且產生高昂的維修成本和人力成本。
三、常規“工業母機”防護措施分析
(1)基于DNC網絡的邊界防護
一些數控機床或DNC網絡,采用工業防火墻實現邏輯隔離,建立白名單策略,實現基于黑/白名單的訪問控制,從而為數控網絡提供基于IP及端口的阻斷能力。
優劣分析:此解決方案優勢在于快速部署;但劣勢明顯主要在于工業防火墻安全措施除了檢測工業協議外就是通過“五元組”實現安全控制,但DNC網絡非標準工控協議,同時“五元組”訪問控制屬性無法解決DNC文件的安全過濾能力。
(2)基于數控主機安全防護軟件
通過安裝工業主機防護軟件,如白名單軟件對數控主機進行策略防護,包括操作系統加固、病毒防護、惡意行為監測等,以增強數控主機的安全性。
優劣分析:此解決方案優勢在于輕量化部署;但劣勢同樣明顯,工業主機防護軟件除了加固操作系統外,依然無法解決DNC文件的安全過濾能力和機床端的防護,且無法防止惡意用戶以生產線為目標竊取知識產權 (以生產代碼的形式) 或破壞生產的攻擊。
(3)基于DNC網絡工業審計監測
部分DNC網絡部署工業安全審計系統,進行安全監測和審計,用于及時發現異常資產及網絡安全威脅。
優劣分析:此解決方案的優勢在于工業安全審計系統可以旁路部署,能夠識別和發現一定異常資產、監測部分網絡攻擊的異常行為。但劣勢是依舊未解決數控機床防護的核心目的,無法對DNC文件類型、格式、協議進行過濾。
四、安盟信息“工業母機”硬核防護技術
數控機床要做到真正安全防護的目標,需要使用非常規的安全機制,除資源訪問控制和管理外,還要解決入侵控制(遠程代碼執行)、損壞(篡改工具測量值)、拒絕服務 (DoS,包括勒索)、劫持(參數劫持)和知識產權盜竊等五類攻擊。
一些較為先進的數控終端還開放了SSH、HTTP、時鐘同步等服務,這些都有可能成為攻擊者的攻擊目標;部分數控終端所采用的系統版本較為老舊,極有可能存在遠程代碼執行漏洞或拒絕服務漏洞,從而使攻擊者完全控制數控終端或使其宕機,在這種情況下,輕則嚴重影響工廠生產,重則對終端造成不可恢復的破壞。
針對工控網絡中數控終端系統與外界信息交互越來越緊密,網絡威脅越多,另外一些關鍵文件(NC文件)通過數控機床USB接口、串口傳輸到數控終端系統,存在安全隱患。安盟信息推出了“機甲衛士系統”(簡稱“機甲衛士”),通過對網口、串口及USB口的多重安全防護,從內到外防止此類威脅對數控終端系統的侵犯,保護數控終端系統正常運行。以下是安盟信息公司機甲衛士在“工業母機”防護中的硬核防護技術。
(1)數控機床端口全方位防護
可對數控機床,如生產加工設備網口、串口、USB端口進行全方位的安全防護,端口支持禁用、透傳及過濾三種模式,過濾模式下對所有經過端口數據按策略規則進行篩查防護,被攔截數據可進行丟棄、修改(將數據包中不合法內容屏蔽)兩種處理方式,同時將告警日志上傳到集中管理平臺。
(2)DNC協議安全過濾
自動識別DNC數控文件傳輸過程,對文件傳輸協議進行深度解析,可根據策略規則對傳輸文件的類型、 大小、關鍵字等內外部特征進行篩查,攔截不符合策略規則的文件傳輸并報警。
縱觀國內外針對數控機床的安全事件,DNC網絡及數控主機作成為攻擊的首要目標,然后把數控主機作為跳板機,再對控制設備、機床設備、工藝系統等進行攻擊。分析其原因主要有兩點:一是,攻擊數控主機技術上比直接攻擊控制設備更加容易;二是,數控主機的安全問題更多,更容易被利用。
因此,安盟華御機甲衛士能夠保證機床流量控制的通信控制過程,加強通訊ASCII控制命令,包含:
DC1(11H)啟動數據傳送;
DC2(12H)傳送參數;
DC3(93H)停止數據傳送;
DC4(14H)參數傳送完了。
(3)數控程序文件過濾
安盟華御機甲衛士提供規則過濾功能,可對規則中所有類型的文件進行阻斷或放行。如:“.NC” 可對所有不同品牌的機床類型的文件進行阻斷或放行,從根源上防止一切不正當文件的運行,如SIEMENS系統加工程序的后綴為*.mpf\*.spf,其中格式保護包含
%_N_VF1112_MPF ;
$PATH = /_N_MPF_DIR ;
N10 T1D1M03S100 ;
N30 G0X489.71Z60 ;
N40 M01;
N50 G0X210 N60 Z14;
N70 G1Z11.585F0.3 ;
N80 M30工。
(4)工業協議支持
安盟華御機甲衛士支持OPC、Modbus、DNP3、IEC104、IEC61850、MMS、S7等工控協議。
因此,為了防止黑客惡意控制數控控制器,如改變刀具幾何形狀,從而導致所生產的零件出現微缺陷。安盟華御機甲衛士對MODBUS應用進行配置時,進行深度解析控制的配置,支持對功能碼、地址、數據類型、解析方式、值域進行控制,如下圖所示。
(5)網絡數據防護
安盟華御機甲衛士支持對工控協議數據包進行過濾篩查,對工控數據完整性、功能碼、地址范圍和工藝參數范圍進行深度解析,支持對工控非法指令、數據篡改等攻擊的防護,保障工控系統可靠運行。
(6)USB接口防護
安盟華御機甲衛士可實現機甲衛士與數控機床USB對接,如武漢重工機床、濟南第二機床廠及無錫華聯等機床廠商通過USB下發機床文件,因此,安盟華御機甲衛士對U口相關NC文件進行防護,既實現對網絡層側威脅攻擊安全防護,又可屏蔽內部側的惡意泄露數據和病毒傳播風險。同時,讓USB口和受控主機不直連,杜絕了USB炸彈以及USB端口損壞的風險。
具有USB接口設備的端口狀態顯示、權限設置、文件管控、黑白名單策略、病毒查殺等功能。文件管控主要對已連接存儲類USB外設上的文件進行殺毒、手動傳輸、規則匹配、關鍵字過濾等管控,可以按照目錄層級查看文件,顯示每個文件的詳細信息及病毒查殺信息,將查殺出的威脅文件放置緩存區,便于追溯和管理,可以根據實際業務對威脅文件進行刪除。
進行查殺配置后,對已授權的USB設備進行全盤查殺,查殺結束后會展示查殺列表,如下圖所示。
(7)USB串口防護
當前,部分機床存在通過串口下發機床文件,如濟南第二機床廠部分機床型號、高鋒部分機床型號等使用串口,安盟華御機甲衛士可對RS232串口數據進行防護,根據數據包地址信息、指令類型及數據內容進行篩查過濾,可自行選擇端口傳輸數據的啟用或停用,保證在數據傳輸過程中的可靠性。
(8)數控機床集中管理
狀態監測分為安盟華御機甲衛士狀態監測和工控設備狀態監測兩部分。安盟華御機甲衛士狀態監測可對其運行狀態實時監測,確保不間斷運行、異常斷線時自動報警。工控設備狀態監測是通過安盟華御機甲衛士將與其連接的工控設備的各個端口在線狀態及數據防護狀態上傳至安盟華御機甲衛士集中管理平臺,發現異常時自動產生報警信息,達到集中管理平臺對全網設備的全局監控。
五、“工業母機”一體化防護展望
若說制造業是國家命脈,那“工業母機”則是制造業的心臟(幾乎可以覆蓋制造業的全部領域),在政策的鼓勵下,國內機床產業快速崛起,2012-2021年,裝備工業增加值年均增長8.2%,始終保持中高速,至2021年底,裝備工業規模以上企業達10.51萬家,比2012年增長近45.30%;資產總額、營業收入、利潤總額分別達到28.83萬億元、26.47萬億元和1.57萬億元,比2012年分別增長92.97%、47.76%、28.84%。在國家支撐數控機床行業頂層設計下,我國數控機床行業已形成完整的產業體系,整體處于世界第二梯隊,數控機床行業正在高質量發展!
安盟信息形成融合密碼技術、邊界安全、工控安全為體系的工控安全防護能力,賦能工業互聯網安全,打造硬核自主核心技術,為數字化中國、制造強國構建一個可信、可控、可管的安全動態防御體系,保障“工業母機”生產網絡安全穩定運行!
