数控机床作为制造业的“工作母机”,是工业领域生产加工的关键设备,数控机床本身的安全性以及在应用过程中的网络安全防护能力直接影响工业生产和业务。随着工业互联网的快速发展,数控机床打破原有的封闭性,实现互联互通已成为企业发展的必然要求,数控机床联网运行已成为趋势,如何保证数控机床联网运行的网络与数据安全逐渐成为制约工业互联网发展的关键问题之一。

对于海量、多种类的数控机床,传统单一的安全防护技术手段无法解决数控机床网络安全问题,需要从安全基线、主机安全、网络边界等各个层次提升数控机床的安全防护能力。近期,中国信息通信研究院(简称“中国信通院”)依托工业互联网安全技术试验与测评工业和信息化部重点实验室联合北京神州绿盟科技有限公司编写了《数控机床网络安全研究报告(2023年)》,现正式发布。

报告以工业互联网背景下数控机床的发展为基础,从数控机床国内外政策、安全技术研究、技术标准规范等方面分析了数控机床的网络安全现状。报告详细分析了数控机床存在的漏洞隐患、入侵攻击等网络安全风险及深层次原因,并给出安全防护实施方案建议。最后,报告从标准、技术研究、评估评测等方面提出数控机床网络安全未来的工作方向。

报告核心观点

1. 国内外针对数控机床等智能制造系统安全防护技术开展积极研究

美国国土安全部制定了专门的工业控制系统安全计划,形成了由国家职能部门协调管理、国家级专业队伍、实验室和科研机构提供技术支撑、用户及厂商共同参与的技术研究体系,并制定了国家SCADA测试床计划,针对数控机床等开展网络信息安全测评。日本大隈(Okuma)的OSP病毒防护系统在Okuma OSP-P控制系统中内置了病毒扫描应用接口来防止感染从网络或USB设备传播的病毒,在数控机床网络安全防护中得到广泛应用。国内高校提出一种数控加工网络信息安全防护方案,部署数控加工网络边界隔离设备和数控系统终端防护设备,保障数控网络安全。

2. 数控协议及传输链路存在安全风险,导致数据泄露

数控DNC网络采用TCP/IP协议将原独立运行的数控机床组成数控机床网络,数控机床通常采用工业Wi-Fi等无线通信方式。一方面,无线接入方式避免了有线接入物理环境限制和铺设线路的成本,但在网络安全层面上相较于有线网络更具风险性,无线Wi-Fi易发生会话劫持数据泄露的风险,利用对无线信号的监听窃取传输数据,通过伪造指令或者数据拦截进行恶意攻击。另一方面,多数数控机床控制系统使用明文方式传输和管理加工代码,这样容易导致未加密的加工代码被非法获取,并通过专用软件对加工物品进行还原,导致制造数据泄密。

3. 应打造数控机床安全综合防护体系,提升整体安全能力

针对数控机床所面临未知网络威胁的持续性、组合性、跨域性和定向性等特点,应逐一应对解决传统被动防护难以应对利用逻辑缺陷的攻击等问题。一方面,对数控机床开展安全关键技术的联合攻关和创新,打造集事前预警、事中感知防御、事后审查等功能于一体的“数控机床安全增强防护设备”体系。实现防护思路由被动“封堵查杀”到主动免疫防御的转变,建立云、边、端的内生安全防护架构,确保设备、系统、网络的可靠性、稳定性,有效提升制造企业生产网络的整体安全性。另一方面,建设覆盖设备、主机、网络、数据的数控机床综合防护体系,建立事前身份认证、加密,事中感知、防御,事后审计、追溯等多路径闭环的安全防护体系,提升数控机床领域的整体安全能力。

4. 建议推动数控机床相关安全产品应用及市场发展

应加快对数控机床核心关键技术攻关,推动相关安全产品和服务的开发应用。一方面,鼓励国内重点企业、科研机构、高校等加强合作,推动研制具备访问控制、数据安全防护、病毒防护与分析、NC文件语义分析与审计、链路加密、智能预警等能力的数控机床安全增强防护设备。另一方面,围绕数控机床安全产品的功能、性能及安全性等设计安全认证级别,开展数控机床相关安全产品及服务分类分级管理,为不同部门、行业企业提供安全级别选择,遴选达标安全产品目录清单,推动数控机床安全产品市场发展。

报告目录

一、工业互联网背景下数控机床的发展

(一)数控机床典型网络架构

(二)数控机床逐步从单点封闭走向开放互联

(三)数控机床智能化技术的发展逐渐成熟

二、数控机床网络安全防护现状

(一)国内外相关政策法规对数控机床网络安全提出要求

(二)国内外针对数控机床等智能制造系统安全防护技术开展积极研究

(三)数控机床的网络信息安全防护体系日渐完备

(四)数控机床相关安全标准和技术规范仍需完善

三、数控机床网络安全风险分析

(一)数控机床系统设计漏洞和预留后门存在安全隐患

(二)数控协议及传输链路存在安全风险,导致数据泄露

(三)对移动存储介质及数控机床串口缺乏技术管控,存在网络入侵安全风险

(四)用户身份认证能力不足,数控机床远程监测和维护存在风险

(五)网络边界扩大导致网络入侵安全风险

(六)数控机床缺乏内部安全防护机制

四、数控机床网络安全防护实施

(一)开展数控机床网络安全基线管理

(二)加强数控网络边界防护

(三)加强数控主机安全防护

(四)完善数控机床网络资产管理和安全监测审计

(五)可信计算技术提高数控机床内生安全

(六)打造数控机床安全综合防护体系

五、数控机床网络安全发展建议

(一)推进数控机床相关安全标准规范制定

(二)提升数控机床网络安全综合技术防护能力

(三)开展数控机床网络安全评估评测

(四)推动数控机床相关安全产品应用及市场发展

主要专家简介

中国信通院安全研究所高级工程师,博士 董悦

工业互联网安全技术试验与测评工业和信息化部重点实验室成员,从事工业互联网安全与工业控制系统安全方向的技术研究及标准研制。

中国信通院安全研究所工业网络与数据安全中心主任,高级工程师 柯皓仁

工业互联网产业联盟安全组联执主席,具备多年工业互联网及工控安全方向的技术研究、项目实践经验,参与多项工业互联网及工控相关国家标准、行业标准、国家政策法规的研制工作,牵头及参与多项国家级、省级工业互联网安全重点平台建设。

中国信通院安全研究所工程师 李宝强

工业互联网安全技术试验与测评工业和信息化部重点实验室成员,从事工业互联网安全与工业控制系统安全方向的技术研究,目前主要牵头实验室能力建设工作。

版权声明:本报告版权属于中国信息通信研究院和北京神州绿盟科技有限公司,并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的,应注明“来源:中国信息通信研究院和北京神州绿盟科技有限公司”。违反上述声明者,编者将追究其相关法律责任。

撰写团队联系方式:

中国信通院

安全研究所

董悦

15201326713

dongyue3@caict.ac.cn

下载报告:https://www.aii-alliance.org/uploads/1/20230508/47b80abe203bfce860cd12244eab13a3.pdf

声明:本文来自中国信通院CAICT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。