作者:尚文利,佟国毓,尹隆,陈春雨
摘要
数控机床作为工业控制系统的重要组成部分,是当今智能制造领域的核心装备,是生产加工行业的关键设备,而数控系统作为机床的“大脑”,决定着机床的功能和性能。本文首先介绍了数控系统的定义及发展现状,然后从数控系统面临的主要信息安全问题的角度阐述了目前数控系统信息安全防护方面的主要成果,最后结合现状分析了未来发展的趋势,为我国数控系统信息安全防护技术研究及发展提供参考。
关键词:数控机床;数控系统;信息安全;安全防护
1 前言
数控机床是一种高精度、高效率的自动化机床,配备多工位刀塔或动力刀塔,具有广泛的加工工艺性能,在复杂零件的批量生产中发挥了良好的经济效果。数控系统作为机床的“大脑”成为工业控制系统的重要组成部分,正面临工业病毒和网络攻击,信息安全问题日益凸现,一旦数控系统遭受到攻击就可能瘫痪或造成信息泄露,直接影响到国家安全和企业生存。我国急需建立数控机床信息安全应对措施,转型升级刻不容缓,大力发展自主知识产业,以国产化替代方式来提高核心竞争力、风险防范能力以及可持续发展能力。
2 数控系统的发展现状及趋势
国产数控系统企业已占领我国经济型数控系统95%以上的市场份额。在中型数控系统领域,国产数控系统的功能已达到或接近国外同类产品水平,市场价格和售后服务较国外产品仍有较大的优势,市场占有率也在不断攀升。高档数控系统方面,国产数控系统的市场占有份额较少,绝大部分市场被发那科、西门子、三菱和德马吉等国外品牌占领,但华中数控和广州数控等国产化数控系统已开始进军这一高端领域。
“高速、高精、复合、智能、环保”是未来机床发展的重要方向。数控系统作为数控机床的核心,发展趋势主要包括向高速、高精度、高可靠性方向发展;向多轴联动、复合化方向发展;向智能化、柔性化、网络化方向发展;向开放式数控系统发展等。
3 数控系统信息安全发展现状
工业信息安全直接影响到公共基础设施的安全,对生产过程中关键信息和指令的篡改不仅影响正常生产过程,还会造成对机器运行造成危害,进而导致生产安全危害。数控系统的信息安全,一方面要防止干扰和非法渗透对数控系统造成影响;另一方面,要求对生产过程中包含的大量敏感信息进行保护。由于两化融合的不断发展使得原本独立封闭的数控生产网络接入企业管理网和互联网,也带来了自网络层面的威胁。
3.1 数控系统面临的主要信息安全问题
(1)数控领域进口设备占据主导地位。目前国内使用的主流数控设备,其核心系统大部分是国外厂家产品,特别是高端CNC数控机床控制系统和DNC数控整体联网解决方案,从而导致数控系统自身安全难以保证,复杂的数控系统所包含的软件代码量级巨大,其中可能存在系统设计漏洞和预留后门等安全隐患。
(2)数控协议安全。多数数控机床控制系统使用明文方式传输和管理加工代码,这样容易导致未加密的加工代码被非法获取,并通过专用软件对加工物品进行还原,导致制造数据泄密。
(3)数控设备运维升级安全。数控设备的升级维护严重依赖生产和供应厂商,很多设备允许通过网络远程控制,系统缺少用户身份认证和访问控制等安全机制,设备的升级维护过程行为不可控,存在巨大的安全风险。
(4)网络边界扩大导致更多的网络攻击。两化融合的不断发展使得原本独立封闭的数控生产网络接入企业管理网和互联网,网络边界扩大必然导致网络攻击事件不断发生。
3.2 数控系统信息安全方面的关键成果
3.2.1 标准化方面的关键成果
我国机床行业的创新研发和可靠性水平显著提升,机床行业标准和技术规范逐步完善。通过专项实施,推动了国内机床骨干企业联合高校、用户联合开发,积极组织数控机床可靠性评定国家/行业标准的编制,在机床行业推广应用。
2006年颁布的国家标准《GB/T 18759.2-2006机械电气设备开放式数控系统第2部分:体系结构》规定了开放式数控系统的基本体系结构,确定开放式数控系统由功能组件构成原则,规定了功能组件模型及主要功能模块。《体系结构》标准规定开放式数控系统由应用软件和系统平台两部分组成。其中,应用软件部分包括系统的控制功能,这些功能通过功能模块之间的相互连接实现,功能模块间的通信遵照标准通信接口,而且各功能模块均能在满足开放式体系结构要求的系统平台上运行。系统平台包括由系统硬件、系统软件和应用编程接口,可以满足不同层次的开放性,满足开放式数控系统的互操作性、可互换性、可伸缩性、可移植性等要求。
2009年颁布的国家标准《GB/T 18759.3-2009机械电气设备开放式数控系统 第3部分:总线接口与通信协议》规定了开放式数控系统总线接口与通信协议。规定开放式数控系统总线作为连接系统装置间的双向、数字式、多点的通信系统。总线接口与通信协议以开放系统互连参考模型ISO/OSI为基础,包括物理层、数据链路层、应用层与用户层行规。满足数控系统对总线周期性、实时性、同步、可靠性、安全及开放的要求。同时规范了数控系统人机界面、机床附带传感器、主轴驱动器、伺服主轴、伺服电机驱动器等数控设备的互操作功能。
各类专项成果形成了一大批技术标准规范,行业国际竞争优势显著增强,对产品研发形成有力支持,也对国家装备制造业持续发展能力的提升起到保障作用。在2017年拟定的《信息安全技术 数控网络安全技术要求》标准草案中将安全技术要求分为网络安全技术要求、设备安全技术要求、应用安全技术要求、数据安全技术要求及集中管控技术要求。各部分的主要内容如下:
(1)网络安全技术要求从网络架构、数控网络与管理网络以及数控网络内部不同安全区域之间的边界防护、访问控制、入侵防范、安全审计以及数控网络中无线网络的使用控制等方面进行了规网络定。
(2)设备安全技术要求对数控网络中控制计算机上的操作系统,NC服务器上的操作系统、数据库系统,数控设备上数控系统的操作系统以及数控网络中的网络设备从身份鉴别、访问控制、入侵防范、资源控制、恶意代码防范、安全审计等方面进行了规定。
(3)应用安全技术要求对控制计算机、NC服务器、数控设备上数控系统安装的各类应用软件从身份鉴别、访问控制、资源控制、软件容错、安全审计等方面进行了规定。
(4)数据安全技术要求对设备上存储的NC程序、工艺文件、审计记录等及设备之间传输的NC程序、设备状态信息等数据从数据完整性、数据保密性、数据备份恢复、剩余信息保护等方面进行了规定。
(5)集中管控技术要求对数控网络中由安全设备及安全组件实现的各类安全机制进行集中管理进行了规定。
其中给出的数控网络参考模型如图1所示。
图1 数控网络参考模型
数控网络安全防护应遵循以下原则:
(1)可用性。各类安全防护措施的使用不应对数控网络的正常运行以及数控网络与外部网络的交互造成影响。
(2)网络隔离。数控网络应仅用于数控生产加工业务,应采用专用的物理网络,与外部网络的交互应采取有效的安全防护措施。
(3)分区防御。将数控网络划分为数控网络-监督控制区域和数控网络-数控设备区域。数控网络-数控设备区域按照完成的生产功能可进一步划分为不同的子区域。对不同的区域应采取相应的安全保护措施。在不影响各区域工作的前提下,于各区域边界处采取相应的安全隔离措施,确保各个区域之间有清楚明晰的边界设定,并保障各区域边界安全。
(4)全面保护。数控网络的安全防护可通过物理访问控制措施、管理措施以及技术措施实现。单一设备的防护、单一防护措施或单一防护产品的使用都无法有效的保护数控网络,所以数控网络的防护需要采取多个不同机制的多层防护策略。
3.2.2 自研设备方面的关键成果
依据工控网数据,2016年,数控机床专项支持研发的高档数控系统已累计销售1000余套,国内市场占有率由专项启动前的不足1%提高到了5%左右,2017年我国高档数控机床的国产化率达到了6%左右。在2018-2023年中,我国数控机床由于技术发展以及下游市场逐渐复苏等原因,预计仍会保持10%-12%的增长速度。到2023年,我国数控机床行业的市场规模将突破5000亿元。同时,我国生产的机床主机平均无故障时间从专项实施前的400-500小时已经普遍提升到了1200小时,部分产品已达到了2000小时以上,接近国际先进水平。
2018年11月28日,中国网络安全·智能制造大会在长沙举行,会议期间展出了各类自主研发的助力中国智能制造的系列产品。其中 “数控系统终端信息安全防护设备”、 “单向数据安全交换设备”及“边界安全专用网关”等产品证明了国内学者已经对数控机床控制系统的信息安全防护技术体系与评估机制展开了深入的研究。同时,该系列产品被广泛应用于工控网络、数控加工网络、重点作业站点的数据安全防护。国内已经拥有涵盖西门子、发那科、海德汉以及国内一线数控品牌在内的综合试验环境,拥有针对智能制造基础设施、网络安全、功能安全等的攻防验证平台。
4 数控系统信息安全发展趋势
未来我国数控系统信息安全的发展趋势主要可以分为以下三个方面:
(1)建立健全信息安全政策法规与标准。随着数控系统信息安全风险问题日益严峻, 我国自2011 年起开始建立相关的标准体系和法律法规,先后发布了《关于加强工业控制系统信息安全管理的通知》、《2014年工业控制系统信息安全蓝皮书》、《电力监控系统安全防护规定([2014]第14号令)》等。这些信息安全相关标准的建立和完善是支撑各工业控制系统领域进行相关系统测评和风险评估的依据,反映出国家非常注重加强对数控机床等工业控制系统信息安全的检查,对重点领域的信息安全管理,通过测评、分析和排查系统存在的安全隐患与漏洞,评估安全防护水平和抗风险防护能力,从而能够有针对性的采取防范对策和改进措施,不断地完善信息安全防护体系, 切实保障企业正常的生产经营、产业安全和国家安全。
(2)加快研制开发自主可控的数控机床设备与系统。随着数控机床等工业控制系统信息安全认识的不断提高,相关技术的不断深化应用,研制生产国产自主可控的设备和系统是我国工业产业化发展的目标。在加强对数控机床信息安全防护的同时,通过走国产化、自主研发道路, 逐步取代国际主流数控机床等工业控制系统,改善现有受制于人的现状,提高数控机床的自主知识产权能力和数控加工制造的安全性。
(3)提升信息安全综合技术防护能力。为预防和提升数控机床信息安全,需要建立事前身份认证、加密、预警、漏扫、评估机制,事中防御攻击机制,事后审计、追溯机制等多路径闭环的信息安全防护体系,以提升系统的整体安全。
5 结束语
数控系统面临的信息安全问题日益凸现,一旦系统遭受到攻击后可能瘫痪或造成信息泄露,直接影响到国家的安全和企业的生存。我国急需建立数控系统信息安全应对措施,转型升级刻不容缓。
本文引述了数控系统的发展现状及趋势,从数控系统面临的主要信息安全问题、数控系统信息安全方面的关键成果两个方面分析了数控系统的信息安全发展现状,对数控系统信息安全发展趋势进行了展望,以期对我国数控系统信息安全防护技术研究及发展提供参考和借鉴意见。
作者简介
尚文利(1974-),男,黑龙江北安人,博士、研究员,主要从事工业信息安全、计算智能与机器学习方向研究。现任IEEE Industrial Electronics Society (IES) Member,第六届全国工业过程测量控制和自动化标准化技术委员会 (SAC/TC124/SC5)委员,边缘计算产业联盟(ECC)信息安全组副主席,工业控制系统信息安全产业联盟理事、智库专家,辽宁省工业信息安全专家组首批专家,沈阳市标准化专家。
声明:本文来自工业安全产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
