中國(guó)信通院聯(lián)合發(fā)布《數(shù)控機(jī)床網(wǎng)絡(luò)安全研究報(bào)告(2023年)》
數(shù)控機(jī)床作為制造業(yè)的“工作母機(jī)”,是工業(yè)領(lǐng)域生產(chǎn)加工的關(guān)鍵設(shè)備,數(shù)控機(jī)床本身的安全性以及在應(yīng)用過(guò)程中的網(wǎng)絡(luò)安全防護(hù)能力直接影響工業(yè)生產(chǎn)和業(yè)務(wù)。隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展,數(shù)控機(jī)床打破原有的封閉性,實(shí)現(xiàn)互聯(lián)互通已成為企業(yè)發(fā)展的必然要求,數(shù)控機(jī)床聯(lián)網(wǎng)運(yùn)行已成為趨勢(shì),如何保證數(shù)控機(jī)床聯(lián)網(wǎng)運(yùn)行的網(wǎng)絡(luò)與數(shù)據(jù)安全逐漸成為制約工業(yè)互聯(lián)網(wǎng)發(fā)展的關(guān)鍵問(wèn)題之一。
對(duì)于海量、多種類(lèi)的數(shù)控機(jī)床,傳統(tǒng)單一的安全防護(hù)技術(shù)手段無(wú)法解決數(shù)控機(jī)床網(wǎng)絡(luò)安全問(wèn)題,需要從安全基線、主機(jī)安全、網(wǎng)絡(luò)邊界等各個(gè)層次提升數(shù)控機(jī)床的安全防護(hù)能力。近期,中國(guó)信息通信研究院(簡(jiǎn)稱(chēng)“中國(guó)信通院”)依托工業(yè)互聯(lián)網(wǎng)安全技術(shù)試驗(yàn)與測(cè)評(píng)工業(yè)和信息化部重點(diǎn)實(shí)驗(yàn)室聯(lián)合北京神州綠盟科技有限公司編寫(xiě)了《數(shù)控機(jī)床網(wǎng)絡(luò)安全研究報(bào)告(2023年)》,現(xiàn)正式發(fā)布。
報(bào)告以工業(yè)互聯(lián)網(wǎng)背景下數(shù)控機(jī)床的發(fā)展為基礎(chǔ),從數(shù)控機(jī)床國(guó)內(nèi)外政策、安全技術(shù)研究、技術(shù)標(biāo)準(zhǔn)規(guī)范等方面分析了數(shù)控機(jī)床的網(wǎng)絡(luò)安全現(xiàn)狀。報(bào)告詳細(xì)分析了數(shù)控機(jī)床存在的漏洞隱患、入侵攻擊等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及深層次原因,并給出安全防護(hù)實(shí)施方案建議。最后,報(bào)告從標(biāo)準(zhǔn)、技術(shù)研究、評(píng)估評(píng)測(cè)等方面提出數(shù)控機(jī)床網(wǎng)絡(luò)安全未來(lái)的工作方向。
報(bào)告核心觀點(diǎn) 1. 國(guó)內(nèi)外針對(duì)數(shù)控機(jī)床等智能制造系統(tǒng)安全防護(hù)技術(shù)開(kāi)展積極研究 美國(guó)國(guó)土安全部制定了專(zhuān)門(mén)的工業(yè)控制系統(tǒng)安全計(jì)劃,形成了由國(guó)家職能部門(mén)協(xié)調(diào)管理、國(guó)家級(jí)專(zhuān)業(yè)隊(duì)伍、實(shí)驗(yàn)室和科研機(jī)構(gòu)提供技術(shù)支撐、用戶(hù)及廠商共同參與的技術(shù)研究體系,并制定了國(guó)家SCADA測(cè)試床計(jì)劃,針對(duì)數(shù)控機(jī)床等開(kāi)展網(wǎng)絡(luò)信息安全測(cè)評(píng)。日本大隈(Okuma)的OSP病毒防護(hù)系統(tǒng)在Okuma OSP-P控制系統(tǒng)中內(nèi)置了病毒掃描應(yīng)用接口來(lái)防止感染從網(wǎng)絡(luò)或USB設(shè)備傳播的病毒,在數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)中得到廣泛應(yīng)用。國(guó)內(nèi)高校提出一種數(shù)控加工網(wǎng)絡(luò)信息安全防護(hù)方案,部署數(shù)控加工網(wǎng)絡(luò)邊界隔離設(shè)備和數(shù)控系統(tǒng)終端防護(hù)設(shè)備,保障數(shù)控網(wǎng)絡(luò)安全。 2. 數(shù)控協(xié)議及傳輸鏈路存在安全風(fēng)險(xiǎn),導(dǎo)致數(shù)據(jù)泄露 數(shù)控DNC網(wǎng)絡(luò)采用TCP/IP協(xié)議將原獨(dú)立運(yùn)行的數(shù)控機(jī)床組成數(shù)控機(jī)床網(wǎng)絡(luò),數(shù)控機(jī)床通常采用工業(yè)Wi-Fi等無(wú)線通信方式。一方面,無(wú)線接入方式避免了有線接入物理環(huán)境限制和鋪設(shè)線路的成本,但在網(wǎng)絡(luò)安全層面上相較于有線網(wǎng)絡(luò)更具風(fēng)險(xiǎn)性,無(wú)線Wi-Fi易發(fā)生會(huì)話(huà)劫持?jǐn)?shù)據(jù)泄露的風(fēng)險(xiǎn),利用對(duì)無(wú)線信號(hào)的監(jiān)聽(tīng)竊取傳輸數(shù)據(jù),通過(guò)偽造指令或者數(shù)據(jù)攔截進(jìn)行惡意攻擊。另一方面,多數(shù)數(shù)控機(jī)床控制系統(tǒng)使用明文方式傳輸和管理加工代碼,這樣容易導(dǎo)致未加密的加工代碼被非法獲取,并通過(guò)專(zhuān)用軟件對(duì)加工物品進(jìn)行還原,導(dǎo)致制造數(shù)據(jù)泄密。 3. 應(yīng)打造數(shù)控機(jī)床安全綜合防護(hù)體系,提升整體安全能力 針對(duì)數(shù)控機(jī)床所面臨未知網(wǎng)絡(luò)威脅的持續(xù)性、組合性、跨域性和定向性等特點(diǎn),應(yīng)逐一應(yīng)對(duì)解決傳統(tǒng)被動(dòng)防護(hù)難以應(yīng)對(duì)利用邏輯缺陷的攻擊等問(wèn)題。一方面,對(duì)數(shù)控機(jī)床開(kāi)展安全關(guān)鍵技術(shù)的聯(lián)合攻關(guān)和創(chuàng)新,打造集事前預(yù)警、事中感知防御、事后審查等功能于一體的“數(shù)控機(jī)床安全增強(qiáng)防護(hù)設(shè)備”體系。實(shí)現(xiàn)防護(hù)思路由被動(dòng)“封堵查殺”到主動(dòng)免疫防御的轉(zhuǎn)變,建立云、邊、端的內(nèi)生安全防護(hù)架構(gòu),確保設(shè)備、系統(tǒng)、網(wǎng)絡(luò)的可靠性、穩(wěn)定性,有效提升制造企業(yè)生產(chǎn)網(wǎng)絡(luò)的整體安全性。另一方面,建設(shè)覆蓋設(shè)備、主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)的數(shù)控機(jī)床綜合防護(hù)體系,建立事前身份認(rèn)證、加密,事中感知、防御,事后審計(jì)、追溯等多路徑閉環(huán)的安全防護(hù)體系,提升數(shù)控機(jī)床領(lǐng)域的整體安全能力。 4. 建議推動(dòng)數(shù)控機(jī)床相關(guān)安全產(chǎn)品應(yīng)用及市場(chǎng)發(fā)展 應(yīng)加快對(duì)數(shù)控機(jī)床核心關(guān)鍵技術(shù)攻關(guān),推動(dòng)相關(guān)安全產(chǎn)品和服務(wù)的開(kāi)發(fā)應(yīng)用。一方面,鼓勵(lì)國(guó)內(nèi)重點(diǎn)企業(yè)、科研機(jī)構(gòu)、高校等加強(qiáng)合作,推動(dòng)研制具備訪問(wèn)控制、數(shù)據(jù)安全防護(hù)、病毒防護(hù)與分析、NC文件語(yǔ)義分析與審計(jì)、鏈路加密、智能預(yù)警等能力的數(shù)控機(jī)床安全增強(qiáng)防護(hù)設(shè)備。另一方面,圍繞數(shù)控機(jī)床安全產(chǎn)品的功能、性能及安全性等設(shè)計(jì)安全認(rèn)證級(jí)別,開(kāi)展數(shù)控機(jī)床相關(guān)安全產(chǎn)品及服務(wù)分類(lèi)分級(jí)管理,為不同部門(mén)、行業(yè)企業(yè)提供安全級(jí)別選擇,遴選達(dá)標(biāo)安全產(chǎn)品目錄清單,推動(dòng)數(shù)控機(jī)床安全產(chǎn)品市場(chǎng)發(fā)展。
報(bào)告目錄 一、工業(yè)互聯(lián)網(wǎng)背景下數(shù)控機(jī)床的發(fā)展 (一)數(shù)控機(jī)床典型網(wǎng)絡(luò)架構(gòu) (二)數(shù)控機(jī)床逐步從單點(diǎn)封閉走向開(kāi)放互聯(lián) (三)數(shù)控機(jī)床智能化技術(shù)的發(fā)展逐漸成熟 二、數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀 (一)國(guó)內(nèi)外相關(guān)政策法規(guī)對(duì)數(shù)控機(jī)床網(wǎng)絡(luò)安全提出要求 (二)國(guó)內(nèi)外針對(duì)數(shù)控機(jī)床等智能制造系統(tǒng)安全防護(hù)技術(shù)開(kāi)展積極研究 (三)數(shù)控機(jī)床的網(wǎng)絡(luò)信息安全防護(hù)體系日漸完備 (四)數(shù)控機(jī)床相關(guān)安全標(biāo)準(zhǔn)和技術(shù)規(guī)范仍需完善 三、數(shù)控機(jī)床網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 (一)數(shù)控機(jī)床系統(tǒng)設(shè)計(jì)漏洞和預(yù)留后門(mén)存在安全隱患 (二)數(shù)控協(xié)議及傳輸鏈路存在安全風(fēng)險(xiǎn),導(dǎo)致數(shù)據(jù)泄露 (三)對(duì)移動(dòng)存儲(chǔ)介質(zhì)及數(shù)控機(jī)床串口缺乏技術(shù)管控,存在網(wǎng)絡(luò)入侵安全風(fēng)險(xiǎn) (四)用戶(hù)身份認(rèn)證能力不足,數(shù)控機(jī)床遠(yuǎn)程監(jiān)測(cè)和維護(hù)存在風(fēng)險(xiǎn) (五)網(wǎng)絡(luò)邊界擴(kuò)大導(dǎo)致網(wǎng)絡(luò)入侵安全風(fēng)險(xiǎn) (六)數(shù)控機(jī)床缺乏內(nèi)部安全防護(hù)機(jī)制 四、數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)實(shí)施 (一)開(kāi)展數(shù)控機(jī)床網(wǎng)絡(luò)安全基線管理 (二)加強(qiáng)數(shù)控網(wǎng)絡(luò)邊界防護(hù) (三)加強(qiáng)數(shù)控主機(jī)安全防護(hù) (四)完善數(shù)控機(jī)床網(wǎng)絡(luò)資產(chǎn)管理和安全監(jiān)測(cè)審計(jì) (五)可信計(jì)算技術(shù)提高數(shù)控機(jī)床內(nèi)生安全 (六)打造數(shù)控機(jī)床安全綜合防護(hù)體系 五、數(shù)控機(jī)床網(wǎng)絡(luò)安全發(fā)展建議 (一)推進(jìn)數(shù)控機(jī)床相關(guān)安全標(biāo)準(zhǔn)規(guī)范制定 (二)提升數(shù)控機(jī)床網(wǎng)絡(luò)安全綜合技術(shù)防護(hù)能力 (三)開(kāi)展數(shù)控機(jī)床網(wǎng)絡(luò)安全評(píng)估評(píng)測(cè) (四)推動(dòng)數(shù)控機(jī)床相關(guān)安全產(chǎn)品應(yīng)用及市場(chǎng)發(fā)展
主要專(zhuān)家簡(jiǎn)介 中國(guó)信通院安全研究所高級(jí)工程師,博士 董悅 工業(yè)互聯(lián)網(wǎng)安全技術(shù)試驗(yàn)與測(cè)評(píng)工業(yè)和信息化部重點(diǎn)實(shí)驗(yàn)室成員,從事工業(yè)互聯(lián)網(wǎng)安全與工業(yè)控制系統(tǒng)安全方向的技術(shù)研究及標(biāo)準(zhǔn)研制。 中國(guó)信通院安全研究所工業(yè)網(wǎng)絡(luò)與數(shù)據(jù)安全中心主任,高級(jí)工程師 柯皓仁 工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟安全組聯(lián)執(zhí)主席,具備多年工業(yè)互聯(lián)網(wǎng)及工控安全方向的技術(shù)研究、項(xiàng)目實(shí)踐經(jīng)驗(yàn),參與多項(xiàng)工業(yè)互聯(lián)網(wǎng)及工控相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、國(guó)家政策法規(guī)的研制工作,牽頭及參與多項(xiàng)國(guó)家級(jí)、省級(jí)工業(yè)互聯(lián)網(wǎng)安全重點(diǎn)平臺(tái)建設(shè)。 中國(guó)信通院安全研究所工程師 李寶強(qiáng) 工業(yè)互聯(lián)網(wǎng)安全技術(shù)試驗(yàn)與測(cè)評(píng)工業(yè)和信息化部重點(diǎn)實(shí)驗(yàn)室成員,從事工業(yè)互聯(lián)網(wǎng)安全與工業(yè)控制系統(tǒng)安全方向的技術(shù)研究,目前主要牽頭實(shí)驗(yàn)室能力建設(shè)工作。
版權(quán)聲明:本報(bào)告版權(quán)屬于中國(guó)信息通信研究院和北京神州綠盟科技有限公司,并受法律保護(hù)。轉(zhuǎn)載、摘編或利用其它方式使用本報(bào)告文字或者觀點(diǎn)的,應(yīng)注明“來(lái)源:中國(guó)信息通信研究院和北京神州綠盟科技有限公司”。違反上述聲明者,編者將追究其相關(guān)法律責(zé)任。
撰寫(xiě)團(tuán)隊(duì)聯(lián)系方式: 中國(guó)信通院 安全研究所 董悅 15201326713 dongyue3@caict.ac.cn
點(diǎn)擊“資料下載”,獲取報(bào)告。
AII微信公眾號(hào)
AII頭條號(hào)