摘要
数控加工系统是当今智能制造领域的核心装备。本文主要从数控加工系统面临的网络安全威胁的角度阐述了数控加工系统网络安全的技术发展现状和网络安全防护手段,概述了智能制造背景下数控系统网络化的趋势、数控加工系统面临的主要网络安全问题、数控系统网络安全防护的原则、最新技术研究成果,提出了数控系统网络安全防护的具体方案,为我国数控加工系统网络安全的研究发展提供参考。
1 前言
数控加工系统是制造业核心装备,广泛应用于航空航天、车辆制造、船舶制造等关系国防安全、经济安全和社会安全的关键行业。随着两化深度融合,数控网络安全防护成为数控领域网络化、智能化发展的关键问题。智能制造企业的数控系统和网络存在大量漏洞及风险。高端数控机床的LAD(Ladder Diagram)、PMC(Programmable Machine Controller)等信息机密文件、进口高端数控机床敏感地理信息存在泄露风险,设备使用无线上网卡连接因特网形成泄密通路,进口CNC(Computerized Numerical Control)控制系统存在严重远程控制漏洞等,一旦被不法分子利用,后果极为严重。然而我国数控网络安全发展严重滞后,数控加工系统的网络安全防护长期以来没有得到足够关注,相关标准体系建设也几乎为空白,缺乏必要的防护措施。数控网络安全防护存在迫切需求,且应成为智能制造产业发展的重要基础。
2 智能制造背景下数控加工系统的发展
随着《中国制造2025》战略的全面实施,越来越多的信息技术应用到了工业制造领域,生产模式得以改变,各种智能制造设备和系统进行网络互联互通的趋势越来越快,我国数控加工行业也开始大力推进数控机床的网络化,加快数控网络与企业办公网和因特网的互联互通。2013年德国在汉诺威机床展览会上提出“工业4.0”概念的核心思想——“智能+网络化”,其可以将装备、存储系统和生产设施融入到信息物理系统(CPS,Cyber Physical Systems )中,同时将工业互联网应用到制造业领域,从而实现生产型制造向服务型制造的转变。网络化的数控加工系统体系结构和运行模式都发生了巨大的变化,数控系统正从过去的封闭式走向开放式,从过去的单机运行走向网络化数控。数控系统的网络化是实现虚拟制造、敏捷制造、全球制造等新制造模式的基础单元,也是满足制造企业对信息集成需求的技术途径。近年来,国外著名的数控机床和数控系统制造商都推出了有关网络化的样机和新概念,如MAZAK的智能生产控制中心、SIEMENS的开放制造环境、三菱电机自动化的工厂网络集成制造系统(如图1所示)等,均反映了数控加工向网络化方向发展的趋势。
图1 三菱电机自动化的工厂网络集成制造系统
3 数控加工系统面临的主要安全威胁
3.1 数控加工系统网络安全面临挑战的原因
首先数控加工设备联网进程的加快导致了传统信息网络的各种黑客攻击和恶意代码等安全威胁快速进入到数控网络。另外,在大力发展数控网络建设的同时,工业企业没有充分考虑数控网络与其它网络互联互通带来的网络安全风险,网络安全防护体系建设相对于数控网络的快速发展存在明显滞后。近年来针对数控网络的安全攻击事件陡增,严重影响企业生产秩序,危害生产人员人身安全和企业财产安全甚至国家安全。典型数控系统网络结构如图2所示。
图2 典型数控系统网络结构
3.2 数控加工系统安全面临的主要安全问题
独立封闭的数控生产网络接入企业管理网和互联网后面临的信息安全风险增加,占据主导地位的进口设备可能存在系统设计漏洞和预留后门,明文传输和管理加工代码导致代码易被非法获取和制造数据泄密,设备的升级维护过程行为不可控,对移动存储介质缺少有效的技术监管手段,主机防护能力弱等威胁。
(1)网络边界扩大导致更多的网络攻击:两化融合的不断发展,使得原本独立封闭的数控生产网络接入企业管理网和互联网,网络边界扩大必然导致网络攻击事件不断发生。
(2)数控领域进口设备占据主导地位:目前国内使用的主流数控设备,其核心系统大部分是国外厂家产品,特别是高端CNC数控机床控制系统和DNC数控整体联网解决方案,如我国高端数控机床控制系统基本由发那科FANUC(日本)、西门子Siemens(德国)、海德汉HEIDENHAIN(德国)等几家国外厂商占据主导地位。进口数控系统往往存在以下安全隐患,如表1所示。
表1 我国数控设备品牌市场占有率(中科物安整理)
(3)数控系统自身安全:国外厂家的核心技术不向我国公开,复杂的数控系统所包含的软件代码量级巨大,其中可能存在系统设计漏洞和预留后门等安全隐患。
(4)数控协议安全:多数数控机床控制系统使用明文方式传输和管理加工代码,这样容易导致未加密的加工代码被非法获取,并通过专用软件对加工物品进行还原,导致制造数据泄密。
(5)数控设备运维升级安全:数控设备的升级维护严重依赖生产和供应厂商,很多设备允许通过网络远程控制,系统缺少用户身份认证和访问授权等安全机制,设备的升级维护过程行为不可控,存在巨大的安全风险。
(6)对移动存储介质缺少有效技术监管手段:可以在网络中随意接入U盘、移动硬盘、光盘等移动存储介质,对网络中的关键生产数据任意访问和操作,导致机密生产数据的泄露。
(7)主机防护能力弱:作为网络入侵的主要被攻击点,数控网络中的主机防护力度不足,传统IT行业的杀毒软件并不适用数控网络主机的安全防护,或者会严重影响企业的生产效率。
(8)数控网络安全事件难以跟踪溯源:网络攻击者大都使用伪造的IP地址,使被攻击者很难确定攻击源的位置,并且有经验的攻击者往往会消除攻击痕迹等记录,使得企业不能实施有针对性的防护策略,防止类似的安全事件重复发生。
3.3 现有防护手段不能解决数控加工系统的网络安全问题
由于智能制造系统与传统信息系统的特点和安全需求的不同,现有的安全防护手段(防火墙、网闸、单向隔离设备、病毒查杀工具等)不足以对智能制造系统进行有效防御,智能制造系统安全攻防技术研究工作亟待加强,智能制造系统特别是数控网络安全防护技术亟需发展,产品亟需实现和验证。
4 数控加工系统网络安全防护探索
4.1国内外发展情况
在智能制造系统安全防护技术方面,国内外厂家都在开展积极研究。日本大隈(Okuma) 的OSP病毒防护系统在Okuma OSP-P控制系统中内置了病毒扫描应用接口来防止感染从网络或USB设备传播的病毒;中国航天科工集团公司二院706所开发了HT706-CNCP数控系统终端信息安全防护设备及HT706-CISP边界安全专用网关。但这些安全防护方案和产品往往只针对特定型号的数控系统,不具有普遍适用性。目前在我国已发布或在研的工业控制系统信息安全标准中提出的安全防护技术要求是适用于批量制造、连续制造、离散制造使用的安全防护技术手段,并不完全适用于数控网络。
4.2 数控网络安全防护原则
4.2.1 可用性
各类安全防护措施的使用不应对数控网络的正常运行以及数控网络与外部网络的交互造成影响。
4.2.2 网络隔离
数控网络应仅用于数控生产加工业务,应采用专用的物理网络,与外部网络的交互应采取有效的安全防护措施。
4.2.3 分区防御
将数控网络划分为数控网络-监督控制区域和数控网络-数控设备区域。数控网络-数控设备区域按照完成的生产功能可进一步划分为不同的子区域。对不同的区域应采取相应的安全保护措施。在不影响各区域工作的前提下,于各区域边界处采取相应的安全隔离措施,确保各个区域之间有清楚明晰的边界设定,并保障各区域边界安全。
4.2.4 全面保护
单一设备的防护、单一防护措施或单一防护产品都无法有效的保护数控网络,所以数控网络的防护需要采取多个不同机制的多层防护策略。
4.3 数控加工系统网络安全的关键技术
4.3.1 数控协议分析与测试
数控协议深度解析,研究数据包的关键内容及有效负载,并覆盖西门子、发那科、海德汉、通用公司、广州数控、沈阳机床等企业的数控系统协议等多种数控系统,支持主流数控网络协议深度解析。目前数控设备厂商(特别是国外厂商)出于商业保护或设备安全的原因大都使用私有的数控协议。如果不了解网络数据包中的有效信息就无法有效防御针对私有协议的攻击。未知协议分析通过机器学习、数据挖掘等技术,在大量数据的基础上,分析发现未知协议的关键字信息。与行业用户合作,实现关键字和数控设备功能的映射关系分析。数控协议测试的对象主要是各类私有或自定义数控协议的实现效果,通过全面测试可以有效发现协议实现的缺陷。
4.3.2 数控系统漏洞挖掘和分析
通过机器学习聚类算法,结合目标对象的主动和被动响应行为,判定漏洞信息。基于机器学习的漏洞检测利用数控网络中流量的周期性特点,以一定的频率将网络流量速度转化为向量,再以不同的时间周期划分向量组,利用余弦定理计算一个组内各向量的相似度,取相似度最高的周期,即认为是流量的周期模型。通过建立工控设备的流量周期模型,在工控设备被攻击时,实时检测出异常流量。基于机器学习的网络行为聚类算法是基于大量的设备、系统、软件等漏洞样例和行为,通过机器学习聚类算法,对漏洞表征行为学习和归类,针对目标对象进行测试用例设计和构造,结合目标对象的主动和被动响应行为,判定漏洞信息。
4.3.3 入侵检测
随着管理网和数控网络的联通,数控网络面临更多自内而外发起的高可持续性攻击。数控网络安全入侵检测技术与普通IT网络的入侵检测系统不同,是一套面向数控网络入侵发现、分析和实时响应的具有自组织特性的分布式检测技术。基于行为的协同感知模型,可以通过识别病毒或者恶意威胁软件爆发前或者潜伏期的协同行为来预测网络中的异常设备。利用预置协同行为漏洞库和以IP地址、MAC地址、协议、连接建立频率、连接持续时间、传输速度等6个维度建立的行为信息,通过滑动窗口方差匹配算法将上述恶意威胁软件的协同行为识别出来,可以有效地识别到感染恶意威胁软件的网络设备和电脑,在恶意行为爆发前进行适时预警。基于机器学习的网络行为聚类算法基于有限状态机,提出了协议通信特征的推演算法,根据消息聚类的结果,推演出该通信协议的全部状态,并结合有限状态机,对消息中高频词汇进行去重和降噪,得到协议特有的通信特征,基于协议特征并应用机器学习聚类方法,使用欧式或者拉氏测距对消息进行分类,并利用非负向量矩阵进行降维,最终实现通信消息的聚类和去重,从而实现智能化消息聚类算法。
4.3.4 智能学习技术
智能机器学习的白名单技术的学习引擎是全新智能学习引擎,在学习模型建立的算法上综合了国际最新的监督式学习(Supervised Learning)技术和非监督式学习(Unsupervised Learning)技术优点,能够自动收集、分析和学习系统正常运行状态下的数据行为,在此基础上智能提取用户节点的行为特征,并自动生成容易理解的操作规则和白名单,实现自动化特征规则的提取和生成,对规则以外的异常数据和操作行为进行告警。智能机器学习引擎技术的优势包括深度数据包提取解析、自动优化规则和策略部署、自动解决规则策略间的冲突异常、实现“一键式”的智能规则学习和部署、智能分析用户行为等功能。
4.4 数控系统网络安全防护方案
数控网络防护的目的是保护网络中各系统的硬件、软件及数据不会因为偶然或者恶意侵犯而遭到破坏、更改及泄露,保证控制网络系统能够连续、正常、可靠运行。为数控网络提供所需的安全防护,同时保证正常生产不受影响是需要重点解决的问题。根据“网络专用、安全分区、区域隔离和纵深防御”的原则,运用数控系统漏洞挖掘、数控审计、智能保护引擎等多种安全防护技术,设计包括分域保护、安全加固、安全监测、审计保护、数控主机防护等关键防护机制的数控网络安全防护方案,来保证数控网络的保密性、可用性和完整性。
4.4.1 数控网络漏洞挖掘和风险评估分析
通过对数控网络进行风险评估,包括对网络架构、数控制造设备、管理主机、数控网络中的控制流和数据流、控制协议等进行全方位的安全评估,发现安全隐患和风险。
4.4.2 网络架构及边界防护
研究制造企业工艺流程及数控系统及其业务功能属性,对高端数控加工及成型装备、精密测量仪器等设备进行识别和分类;参照IEC62443-3-3等标准中的区域划分原则,对数控网络划分合理区域,在区域边界确定安全防护基线。边界安全防护技术是针对数据采集过程中和数据交换时遇到的数据泄露、病毒入侵等威胁,在机器智能学习、深度协议数据包解析和开放式特征匹配三大功能之上,识别出由于恶意入侵、系统故障、人员误操作所引起的异常控制行为和非法数据包,及时进行告警和阻断,并能为后续的安全威胁排查提供依据,对异常控制行为和非法数据包进行告警和阻断,并对各类安全威胁进行监控,从而为数控网络提供全方位的监测、过滤、报警和阻断能力。针对数据采集过程中和数据交换时遇到的数据泄露、病毒入侵等威胁,在机器智能学习、深度协议数据包解析和开放式特征匹配三大功能之上,识别出由于恶意入侵、系统故障、人员误操作所引起的异常控制行为和非法数据包,为数控网络提供全方位的监测、过滤、报警和阻断能力。典型联网DNC防护网络架构图如图3所示。
图3 典型联网DNC防护网络架构图
4.4.3 数控网络综合监测和安全审计
对数据泄密、未知设备接入、异常控制指令和非法数据包等数控网络主要的安全风险和漏洞进行深度分析、过滤、告警、阻断、追踪,并对各类安全威胁实施监测审计。针对数控网络的在线全网监控审计,可以自动识别网络设备、实时显示整个控制网络的总体运行情况和网络设备当前状态,并对网络安全态势进行综合分析。利用面向数控网络安全的人工智能技术和先进的机器学习、模式识别、高性能算法设计和数据挖掘等技术,实现对数控控制网络的自动学习、自动适应和自动规则生成。
基于行为的协同感知模型,可以通过识别病毒或者恶意威胁软件爆发前或者潜伏期的协同行为来预测网络中的异常设备。利用预置协同行为漏洞库和以IP地址、MAC地址、协议、连接建立频率、连接持续时间、传输速度等6个维度建立的行为信息,通过滑动窗口方差匹配算法将上述恶意威胁软件的协同行为识别出来,可以有效地识别到感染恶意威胁软件的网络设备和电脑,在恶意行为爆发前进行适时预警。高端数控机床网络安全审计保护如图4所示。
图4 高端数控机床网络安全审计保护
4.4.4 数控主机安全防护
数控主机防护宜采用适用于数控网络主机防护的安全防护软件。针对DNC、MES、PDM、CAM、CAPP等服务器及终端主机部署安全防护软件。采用智能机器学习的白名单技术,能够自动收集、分析和学习系统正常运行状态下的数据行为,在此基础上智能提取用户节点的行为特征,并自动生成容易理解的操作规则和白名单,实现自动化特征规则的提取和生成,对规则以外的异常数据和操作行为进行告警。
4.4.5 USB接口防护
USB设备授权机制和白名单技术可以禁止随意拷贝数控管理主机中的文件。当检测到非法拷贝企图时,安全防护软件会阻止文件拷贝,显示告警信息,记录下安全事件,并且安全事件不可删除、不可篡改。
5 数控网络安全防护的重要意义
5.1 提升数控加工系统自身防护能力
通过实施数控加工系统网络安全防护方案,可有效预防数控机床存在的漏洞和后门所带来的影响和后患,且适用于常见的各种国内外品牌高端数控机床和精密测量仪器的组网场景,可对目前国内企业常用的高端数控机床、精密测量仪器自身的信息安全提供全方位防护。
5.2 深度防泄密保护核心数据
数控网络作为智能制造中最为核心的部分,是生产高精密零部件和设备的基础,其生产数据作为企业核心机密,甚至关系到国家安全。
部署整体防护技术,包括综合采用数据加密、内容识别、网络文件还原和命令还原技术、基于数控行业主流设备通信协议深度数据包提取解析的智能学习技术、详细审计日志、智能应用识别等多种技术手段,为用户提供针对性的防泄密措施,保障企业数控网络中机密数据的安全。通过在数控主机安装适应离散制造环境的安全保护程序,并在网络中串接数控审计保护,可以有效识别移动存储设备接入、非法网络连接、移动笔记本和其他移动智能终端接入、恶意木马和病毒以及非授权软件的安装等非法行为。同时在数控机床和服务器上部署USB防护设备,对接入数控机床和服务器USB口的设备进行有效的监督和审计,有效阻止通过USB接口的数据外泄。
5.3 纵深防御使病毒无所遁形
数控加工系统网络内部病毒传播扩散问题可以通过从边界到终端逐级部署纵深的安全保护措施来有效切断。通过在数控网络中部署安全保护审计设备,可以有效识别数控网络中病毒的恶意行为,并进行预警和阻断,同时可以对数控网络的上下行数据进行记录和监测。通过在边界部署数据采集隔离平台,提供全方位的监测、过滤、报警和阻断,通过纵深的防御技术有效防止病毒在控制网内部传播。
5.4 保障生产加工安全高效运行
通过建立深度防泄密和与之联动的保护体系,可以有效解决使用高端数据机床和精密测量仪器进行相关生产的行业亟待解决的数据泄密问题和未知入侵安全威胁问题。在此过程中不会影响企业的加工生产流程,由于规范了相关操作制度和提供的安全防护措施,企业的生产效率将会得到较大的保障和提高。
作者简介
钟 诚(1972-),女,湖北人,现任北京中科物安科技有限公司战略合作副总裁。北京大学信息管理系本科毕业,南开大学产业经济硕士,曾先后服务于中远集团、大唐电信集团、无线绿洲公司、匡恩网络,历任政府事务总监、市场部总经理、战略发展和战略合作高管。研究方向为通信及信息安全,对工业控制网络安全有着深刻理解,是国内第一批工业控制网络安全产业发展的推动者。
李凯斌(1980-),男,湖北人,现任北京中科物安科技有限公司研发副总裁。武汉大学博士毕业,十五年信息安全产品软硬件开发经验,匡恩网络联合创始人,从无到有构建了公司研发体系,定义和设计了多款开创性工控安全产品,并拥有多项专利。研究方向为信息安全、嵌入式系统。
孟 曦(1978-),女,山西清徐人,西安电子科技大学通信工程本科毕业,美国NYIT-MBA在读,曾先后服务于美国安氏安全、大唐电信集团、浙江浙大网新集团、匡恩网络,历任市场发展部总监、政府事务总监、战略发展和战略合作总监。研究方向为通信及信息安全。
摘自《自动化博览》2018工业控制系统信息安全专刊(第五辑)
声明:本文来自工业安全产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
