中國信通院聯(lián)合發(fā)布《數(shù)控機(jī)床網(wǎng)絡(luò)安全研究報告(2023年)》
數(shù)控機(jī)床作為制造業(yè)的“工作母機(jī)”,是工業(yè)領(lǐng)域生產(chǎn)加工的關(guān)鍵設(shè)備,數(shù)控機(jī)床本身的安全性以及在應(yīng)用過程中的網(wǎng)絡(luò)安全防護(hù)能力直接影響工業(yè)生產(chǎn)和業(yè)務(wù)。隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展,數(shù)控機(jī)床打破原有的封閉性,實(shí)現(xiàn)互聯(lián)互通已成為企業(yè)發(fā)展的必然要求,數(shù)控機(jī)床聯(lián)網(wǎng)運(yùn)行已成為趨勢,如何保證數(shù)控機(jī)床聯(lián)網(wǎng)運(yùn)行的網(wǎng)絡(luò)與數(shù)據(jù)安全逐漸成為制約工業(yè)互聯(lián)網(wǎng)發(fā)展的關(guān)鍵問題之一。
對于海量、多種類的數(shù)控機(jī)床,傳統(tǒng)單一的安全防護(hù)技術(shù)手段無法解決數(shù)控機(jī)床網(wǎng)絡(luò)安全問題,需要從安全基線、主機(jī)安全、網(wǎng)絡(luò)邊界等各個層次提升數(shù)控機(jī)床的安全防護(hù)能力。近期,中國信息通信研究院(簡稱“中國信通院”)依托工業(yè)互聯(lián)網(wǎng)安全技術(shù)試驗(yàn)與測評工業(yè)和信息化部重點(diǎn)實(shí)驗(yàn)室聯(lián)合北京神州綠盟科技有限公司編寫了《數(shù)控機(jī)床網(wǎng)絡(luò)安全研究報告(2023年)》,現(xiàn)正式發(fā)布。
報告以工業(yè)互聯(lián)網(wǎng)背景下數(shù)控機(jī)床的發(fā)展為基礎(chǔ),從數(shù)控機(jī)床國內(nèi)外政策、安全技術(shù)研究、技術(shù)標(biāo)準(zhǔn)規(guī)范等方面分析了數(shù)控機(jī)床的網(wǎng)絡(luò)安全現(xiàn)狀。報告詳細(xì)分析了數(shù)控機(jī)床存在的漏洞隱患、入侵攻擊等網(wǎng)絡(luò)安全風(fēng)險及深層次原因,并給出安全防護(hù)實(shí)施方案建議。最后,報告從標(biāo)準(zhǔn)、技術(shù)研究、評估評測等方面提出數(shù)控機(jī)床網(wǎng)絡(luò)安全未來的工作方向。
報告核心觀點(diǎn) 1. 國內(nèi)外針對數(shù)控機(jī)床等智能制造系統(tǒng)安全防護(hù)技術(shù)開展積極研究 美國國土安全部制定了專門的工業(yè)控制系統(tǒng)安全計劃,形成了由國家職能部門協(xié)調(diào)管理、國家級專業(yè)隊(duì)伍、實(shí)驗(yàn)室和科研機(jī)構(gòu)提供技術(shù)支撐、用戶及廠商共同參與的技術(shù)研究體系,并制定了國家SCADA測試床計劃,針對數(shù)控機(jī)床等開展網(wǎng)絡(luò)信息安全測評。日本大隈(Okuma)的OSP病毒防護(hù)系統(tǒng)在Okuma OSP-P控制系統(tǒng)中內(nèi)置了病毒掃描應(yīng)用接口來防止感染從網(wǎng)絡(luò)或USB設(shè)備傳播的病毒,在數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)中得到廣泛應(yīng)用。國內(nèi)高校提出一種數(shù)控加工網(wǎng)絡(luò)信息安全防護(hù)方案,部署數(shù)控加工網(wǎng)絡(luò)邊界隔離設(shè)備和數(shù)控系統(tǒng)終端防護(hù)設(shè)備,保障數(shù)控網(wǎng)絡(luò)安全。 2. 數(shù)控協(xié)議及傳輸鏈路存在安全風(fēng)險,導(dǎo)致數(shù)據(jù)泄露 數(shù)控DNC網(wǎng)絡(luò)采用TCP/IP協(xié)議將原獨(dú)立運(yùn)行的數(shù)控機(jī)床組成數(shù)控機(jī)床網(wǎng)絡(luò),數(shù)控機(jī)床通常采用工業(yè)Wi-Fi等無線通信方式。一方面,無線接入方式避免了有線接入物理環(huán)境限制和鋪設(shè)線路的成本,但在網(wǎng)絡(luò)安全層面上相較于有線網(wǎng)絡(luò)更具風(fēng)險性,無線Wi-Fi易發(fā)生會話劫持?jǐn)?shù)據(jù)泄露的風(fēng)險,利用對無線信號的監(jiān)聽竊取傳輸數(shù)據(jù),通過偽造指令或者數(shù)據(jù)攔截進(jìn)行惡意攻擊。另一方面,多數(shù)數(shù)控機(jī)床控制系統(tǒng)使用明文方式傳輸和管理加工代碼,這樣容易導(dǎo)致未加密的加工代碼被非法獲取,并通過專用軟件對加工物品進(jìn)行還原,導(dǎo)致制造數(shù)據(jù)泄密。 3. 應(yīng)打造數(shù)控機(jī)床安全綜合防護(hù)體系,提升整體安全能力 針對數(shù)控機(jī)床所面臨未知網(wǎng)絡(luò)威脅的持續(xù)性、組合性、跨域性和定向性等特點(diǎn),應(yīng)逐一應(yīng)對解決傳統(tǒng)被動防護(hù)難以應(yīng)對利用邏輯缺陷的攻擊等問題。一方面,對數(shù)控機(jī)床開展安全關(guān)鍵技術(shù)的聯(lián)合攻關(guān)和創(chuàng)新,打造集事前預(yù)警、事中感知防御、事后審查等功能于一體的“數(shù)控機(jī)床安全增強(qiáng)防護(hù)設(shè)備”體系。實(shí)現(xiàn)防護(hù)思路由被動“封堵查殺”到主動免疫防御的轉(zhuǎn)變,建立云、邊、端的內(nèi)生安全防護(hù)架構(gòu),確保設(shè)備、系統(tǒng)、網(wǎng)絡(luò)的可靠性、穩(wěn)定性,有效提升制造企業(yè)生產(chǎn)網(wǎng)絡(luò)的整體安全性。另一方面,建設(shè)覆蓋設(shè)備、主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)的數(shù)控機(jī)床綜合防護(hù)體系,建立事前身份認(rèn)證、加密,事中感知、防御,事后審計、追溯等多路徑閉環(huán)的安全防護(hù)體系,提升數(shù)控機(jī)床領(lǐng)域的整體安全能力。 4. 建議推動數(shù)控機(jī)床相關(guān)安全產(chǎn)品應(yīng)用及市場發(fā)展 應(yīng)加快對數(shù)控機(jī)床核心關(guān)鍵技術(shù)攻關(guān),推動相關(guān)安全產(chǎn)品和服務(wù)的開發(fā)應(yīng)用。一方面,鼓勵國內(nèi)重點(diǎn)企業(yè)、科研機(jī)構(gòu)、高校等加強(qiáng)合作,推動研制具備訪問控制、數(shù)據(jù)安全防護(hù)、病毒防護(hù)與分析、NC文件語義分析與審計、鏈路加密、智能預(yù)警等能力的數(shù)控機(jī)床安全增強(qiáng)防護(hù)設(shè)備。另一方面,圍繞數(shù)控機(jī)床安全產(chǎn)品的功能、性能及安全性等設(shè)計安全認(rèn)證級別,開展數(shù)控機(jī)床相關(guān)安全產(chǎn)品及服務(wù)分類分級管理,為不同部門、行業(yè)企業(yè)提供安全級別選擇,遴選達(dá)標(biāo)安全產(chǎn)品目錄清單,推動數(shù)控機(jī)床安全產(chǎn)品市場發(fā)展。
報告目錄 一、工業(yè)互聯(lián)網(wǎng)背景下數(shù)控機(jī)床的發(fā)展 (一)數(shù)控機(jī)床典型網(wǎng)絡(luò)架構(gòu) (二)數(shù)控機(jī)床逐步從單點(diǎn)封閉走向開放互聯(lián) (三)數(shù)控機(jī)床智能化技術(shù)的發(fā)展逐漸成熟 二、數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀 (一)國內(nèi)外相關(guān)政策法規(guī)對數(shù)控機(jī)床網(wǎng)絡(luò)安全提出要求 (二)國內(nèi)外針對數(shù)控機(jī)床等智能制造系統(tǒng)安全防護(hù)技術(shù)開展積極研究 (三)數(shù)控機(jī)床的網(wǎng)絡(luò)信息安全防護(hù)體系日漸完備 (四)數(shù)控機(jī)床相關(guān)安全標(biāo)準(zhǔn)和技術(shù)規(guī)范仍需完善 三、數(shù)控機(jī)床網(wǎng)絡(luò)安全風(fēng)險分析 (一)數(shù)控機(jī)床系統(tǒng)設(shè)計漏洞和預(yù)留后門存在安全隱患 (二)數(shù)控協(xié)議及傳輸鏈路存在安全風(fēng)險,導(dǎo)致數(shù)據(jù)泄露 (三)對移動存儲介質(zhì)及數(shù)控機(jī)床串口缺乏技術(shù)管控,存在網(wǎng)絡(luò)入侵安全風(fēng)險 (四)用戶身份認(rèn)證能力不足,數(shù)控機(jī)床遠(yuǎn)程監(jiān)測和維護(hù)存在風(fēng)險 (五)網(wǎng)絡(luò)邊界擴(kuò)大導(dǎo)致網(wǎng)絡(luò)入侵安全風(fēng)險 (六)數(shù)控機(jī)床缺乏內(nèi)部安全防護(hù)機(jī)制 四、數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)實(shí)施 (一)開展數(shù)控機(jī)床網(wǎng)絡(luò)安全基線管理 (二)加強(qiáng)數(shù)控網(wǎng)絡(luò)邊界防護(hù) (三)加強(qiáng)數(shù)控主機(jī)安全防護(hù) (四)完善數(shù)控機(jī)床網(wǎng)絡(luò)資產(chǎn)管理和安全監(jiān)測審計 (五)可信計算技術(shù)提高數(shù)控機(jī)床內(nèi)生安全 (六)打造數(shù)控機(jī)床安全綜合防護(hù)體系 五、數(shù)控機(jī)床網(wǎng)絡(luò)安全發(fā)展建議 (一)推進(jìn)數(shù)控機(jī)床相關(guān)安全標(biāo)準(zhǔn)規(guī)范制定 (二)提升數(shù)控機(jī)床網(wǎng)絡(luò)安全綜合技術(shù)防護(hù)能力 (三)開展數(shù)控機(jī)床網(wǎng)絡(luò)安全評估評測 (四)推動數(shù)控機(jī)床相關(guān)安全產(chǎn)品應(yīng)用及市場發(fā)展
主要專家簡介 中國信通院安全研究所高級工程師,博士 董悅 工業(yè)互聯(lián)網(wǎng)安全技術(shù)試驗(yàn)與測評工業(yè)和信息化部重點(diǎn)實(shí)驗(yàn)室成員,從事工業(yè)互聯(lián)網(wǎng)安全與工業(yè)控制系統(tǒng)安全方向的技術(shù)研究及標(biāo)準(zhǔn)研制。 中國信通院安全研究所工業(yè)網(wǎng)絡(luò)與數(shù)據(jù)安全中心主任,高級工程師 柯皓仁 工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟安全組聯(lián)執(zhí)主席,具備多年工業(yè)互聯(lián)網(wǎng)及工控安全方向的技術(shù)研究、項(xiàng)目實(shí)踐經(jīng)驗(yàn),參與多項(xiàng)工業(yè)互聯(lián)網(wǎng)及工控相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、國家政策法規(guī)的研制工作,牽頭及參與多項(xiàng)國家級、省級工業(yè)互聯(lián)網(wǎng)安全重點(diǎn)平臺建設(shè)。 中國信通院安全研究所工程師 李寶強(qiáng) 工業(yè)互聯(lián)網(wǎng)安全技術(shù)試驗(yàn)與測評工業(yè)和信息化部重點(diǎn)實(shí)驗(yàn)室成員,從事工業(yè)互聯(lián)網(wǎng)安全與工業(yè)控制系統(tǒng)安全方向的技術(shù)研究,目前主要牽頭實(shí)驗(yàn)室能力建設(shè)工作。
版權(quán)聲明:本報告版權(quán)屬于中國信息通信研究院和北京神州綠盟科技有限公司,并受法律保護(hù)。轉(zhuǎn)載、摘編或利用其它方式使用本報告文字或者觀點(diǎn)的,應(yīng)注明“來源:中國信息通信研究院和北京神州綠盟科技有限公司”。違反上述聲明者,編者將追究其相關(guān)法律責(zé)任。
撰寫團(tuán)隊(duì)聯(lián)系方式: 中國信通院 安全研究所 董悅 15201326713 dongyue3@caict.ac.cn
點(diǎn)擊“資料下載”,獲取報告。
AII微信公眾號
AII頭條號