中國信通院聯(lián)合發(fā)布《數(shù)控機床網(wǎng)絡安全研究報告(2023年)》
數(shù)控機床作為制造業(yè)的“工作母機”,是工業(yè)領域生產(chǎn)加工的關鍵設備,數(shù)控機床本身的安全性以及在應用過程中的網(wǎng)絡安全防護能力直接影響工業(yè)生產(chǎn)和業(yè)務。隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展,數(shù)控機床打破原有的封閉性,實現(xiàn)互聯(lián)互通已成為企業(yè)發(fā)展的必然要求,數(shù)控機床聯(lián)網(wǎng)運行已成為趨勢,如何保證數(shù)控機床聯(lián)網(wǎng)運行的網(wǎng)絡與數(shù)據(jù)安全逐漸成為制約工業(yè)互聯(lián)網(wǎng)發(fā)展的關鍵問題之一。
對于海量、多種類的數(shù)控機床,傳統(tǒng)單一的安全防護技術手段無法解決數(shù)控機床網(wǎng)絡安全問題,需要從安全基線、主機安全、網(wǎng)絡邊界等各個層次提升數(shù)控機床的安全防護能力。近期,中國信息通信研究院(簡稱“中國信通院”)依托工業(yè)互聯(lián)網(wǎng)安全技術試驗與測評工業(yè)和信息化部重點實驗室聯(lián)合北京神州綠盟科技有限公司編寫了《數(shù)控機床網(wǎng)絡安全研究報告(2023年)》,現(xiàn)正式發(fā)布。
報告以工業(yè)互聯(lián)網(wǎng)背景下數(shù)控機床的發(fā)展為基礎,從數(shù)控機床國內(nèi)外政策、安全技術研究、技術標準規(guī)范等方面分析了數(shù)控機床的網(wǎng)絡安全現(xiàn)狀。報告詳細分析了數(shù)控機床存在的漏洞隱患、入侵攻擊等網(wǎng)絡安全風險及深層次原因,并給出安全防護實施方案建議。最后,報告從標準、技術研究、評估評測等方面提出數(shù)控機床網(wǎng)絡安全未來的工作方向。
報告核心觀點 1. 國內(nèi)外針對數(shù)控機床等智能制造系統(tǒng)安全防護技術開展積極研究 美國國土安全部制定了專門的工業(yè)控制系統(tǒng)安全計劃,形成了由國家職能部門協(xié)調管理、國家級專業(yè)隊伍、實驗室和科研機構提供技術支撐、用戶及廠商共同參與的技術研究體系,并制定了國家SCADA測試床計劃,針對數(shù)控機床等開展網(wǎng)絡信息安全測評。日本大隈(Okuma)的OSP病毒防護系統(tǒng)在Okuma OSP-P控制系統(tǒng)中內(nèi)置了病毒掃描應用接口來防止感染從網(wǎng)絡或USB設備傳播的病毒,在數(shù)控機床網(wǎng)絡安全防護中得到廣泛應用。國內(nèi)高校提出一種數(shù)控加工網(wǎng)絡信息安全防護方案,部署數(shù)控加工網(wǎng)絡邊界隔離設備和數(shù)控系統(tǒng)終端防護設備,保障數(shù)控網(wǎng)絡安全。 2. 數(shù)控協(xié)議及傳輸鏈路存在安全風險,導致數(shù)據(jù)泄露 數(shù)控DNC網(wǎng)絡采用TCP/IP協(xié)議將原獨立運行的數(shù)控機床組成數(shù)控機床網(wǎng)絡,數(shù)控機床通常采用工業(yè)Wi-Fi等無線通信方式。一方面,無線接入方式避免了有線接入物理環(huán)境限制和鋪設線路的成本,但在網(wǎng)絡安全層面上相較于有線網(wǎng)絡更具風險性,無線Wi-Fi易發(fā)生會話劫持數(shù)據(jù)泄露的風險,利用對無線信號的監(jiān)聽竊取傳輸數(shù)據(jù),通過偽造指令或者數(shù)據(jù)攔截進行惡意攻擊。另一方面,多數(shù)數(shù)控機床控制系統(tǒng)使用明文方式傳輸和管理加工代碼,這樣容易導致未加密的加工代碼被非法獲取,并通過專用軟件對加工物品進行還原,導致制造數(shù)據(jù)泄密。 3. 應打造數(shù)控機床安全綜合防護體系,提升整體安全能力 針對數(shù)控機床所面臨未知網(wǎng)絡威脅的持續(xù)性、組合性、跨域性和定向性等特點,應逐一應對解決傳統(tǒng)被動防護難以應對利用邏輯缺陷的攻擊等問題。一方面,對數(shù)控機床開展安全關鍵技術的聯(lián)合攻關和創(chuàng)新,打造集事前預警、事中感知防御、事后審查等功能于一體的“數(shù)控機床安全增強防護設備”體系。實現(xiàn)防護思路由被動“封堵查殺”到主動免疫防御的轉變,建立云、邊、端的內(nèi)生安全防護架構,確保設備、系統(tǒng)、網(wǎng)絡的可靠性、穩(wěn)定性,有效提升制造企業(yè)生產(chǎn)網(wǎng)絡的整體安全性。另一方面,建設覆蓋設備、主機、網(wǎng)絡、數(shù)據(jù)的數(shù)控機床綜合防護體系,建立事前身份認證、加密,事中感知、防御,事后審計、追溯等多路徑閉環(huán)的安全防護體系,提升數(shù)控機床領域的整體安全能力。 4. 建議推動數(shù)控機床相關安全產(chǎn)品應用及市場發(fā)展 應加快對數(shù)控機床核心關鍵技術攻關,推動相關安全產(chǎn)品和服務的開發(fā)應用。一方面,鼓勵國內(nèi)重點企業(yè)、科研機構、高校等加強合作,推動研制具備訪問控制、數(shù)據(jù)安全防護、病毒防護與分析、NC文件語義分析與審計、鏈路加密、智能預警等能力的數(shù)控機床安全增強防護設備。另一方面,圍繞數(shù)控機床安全產(chǎn)品的功能、性能及安全性等設計安全認證級別,開展數(shù)控機床相關安全產(chǎn)品及服務分類分級管理,為不同部門、行業(yè)企業(yè)提供安全級別選擇,遴選達標安全產(chǎn)品目錄清單,推動數(shù)控機床安全產(chǎn)品市場發(fā)展。
報告目錄 一、工業(yè)互聯(lián)網(wǎng)背景下數(shù)控機床的發(fā)展 (一)數(shù)控機床典型網(wǎng)絡架構 (二)數(shù)控機床逐步從單點封閉走向開放互聯(lián) (三)數(shù)控機床智能化技術的發(fā)展逐漸成熟 二、數(shù)控機床網(wǎng)絡安全防護現(xiàn)狀 (一)國內(nèi)外相關政策法規(guī)對數(shù)控機床網(wǎng)絡安全提出要求 (二)國內(nèi)外針對數(shù)控機床等智能制造系統(tǒng)安全防護技術開展積極研究 (三)數(shù)控機床的網(wǎng)絡信息安全防護體系日漸完備 (四)數(shù)控機床相關安全標準和技術規(guī)范仍需完善 三、數(shù)控機床網(wǎng)絡安全風險分析 (一)數(shù)控機床系統(tǒng)設計漏洞和預留后門存在安全隱患 (二)數(shù)控協(xié)議及傳輸鏈路存在安全風險,導致數(shù)據(jù)泄露 (三)對移動存儲介質及數(shù)控機床串口缺乏技術管控,存在網(wǎng)絡入侵安全風險 (四)用戶身份認證能力不足,數(shù)控機床遠程監(jiān)測和維護存在風險 (五)網(wǎng)絡邊界擴大導致網(wǎng)絡入侵安全風險 (六)數(shù)控機床缺乏內(nèi)部安全防護機制 四、數(shù)控機床網(wǎng)絡安全防護實施 (一)開展數(shù)控機床網(wǎng)絡安全基線管理 (二)加強數(shù)控網(wǎng)絡邊界防護 (三)加強數(shù)控主機安全防護 (四)完善數(shù)控機床網(wǎng)絡資產(chǎn)管理和安全監(jiān)測審計 (五)可信計算技術提高數(shù)控機床內(nèi)生安全 (六)打造數(shù)控機床安全綜合防護體系 五、數(shù)控機床網(wǎng)絡安全發(fā)展建議 (一)推進數(shù)控機床相關安全標準規(guī)范制定 (二)提升數(shù)控機床網(wǎng)絡安全綜合技術防護能力 (三)開展數(shù)控機床網(wǎng)絡安全評估評測 (四)推動數(shù)控機床相關安全產(chǎn)品應用及市場發(fā)展
主要專家簡介 中國信通院安全研究所高級工程師,博士 董悅 工業(yè)互聯(lián)網(wǎng)安全技術試驗與測評工業(yè)和信息化部重點實驗室成員,從事工業(yè)互聯(lián)網(wǎng)安全與工業(yè)控制系統(tǒng)安全方向的技術研究及標準研制。 中國信通院安全研究所工業(yè)網(wǎng)絡與數(shù)據(jù)安全中心主任,高級工程師 柯皓仁 工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟安全組聯(lián)執(zhí)主席,具備多年工業(yè)互聯(lián)網(wǎng)及工控安全方向的技術研究、項目實踐經(jīng)驗,參與多項工業(yè)互聯(lián)網(wǎng)及工控相關國家標準、行業(yè)標準、國家政策法規(guī)的研制工作,牽頭及參與多項國家級、省級工業(yè)互聯(lián)網(wǎng)安全重點平臺建設。 中國信通院安全研究所工程師 李寶強 工業(yè)互聯(lián)網(wǎng)安全技術試驗與測評工業(yè)和信息化部重點實驗室成員,從事工業(yè)互聯(lián)網(wǎng)安全與工業(yè)控制系統(tǒng)安全方向的技術研究,目前主要牽頭實驗室能力建設工作。
版權聲明:本報告版權屬于中國信息通信研究院和北京神州綠盟科技有限公司,并受法律保護。轉載、摘編或利用其它方式使用本報告文字或者觀點的,應注明“來源:中國信息通信研究院和北京神州綠盟科技有限公司”。違反上述聲明者,編者將追究其相關法律責任。
撰寫團隊聯(lián)系方式: 中國信通院 安全研究所 董悅 15201326713 dongyue3@caict.ac.cn
點擊“資料下載”,獲取報告。
AII微信公眾號
AII頭條號