一、前言
近年来,受益于我国汽车、航空航天、船舶、电力设备、工程机械等行业快速发展,对机床市场尤其是数控机床产生了巨大需求。而高端数控系统核心技术基本被工业发达国家垄断,根据工信部数据统计,中档数控系统国产占有率只有35%,高档数控系统进口率达98%。这些数控系统存在不可控的漏洞、后门等安全隐患。一旦数控系统与互联网交互后,其面临的信息安全威胁将会持续扩大。数控系统一旦遭到破坏,将会导致数控机床乃至整个生产线停机,造成企业重大损失。所以数控机床信息安全防护技术,对保障工业基础设施稳定运行具有重要意义。
工信部统计
2019-2024数控机床规模预测
二、数控网络面临的问题
1、接口多样性,数据安全无法保障
数控机床接口主要包括RS232、RS485、RJ45、USB等,这些接口没有进行全面有效安全防护措施。安全威胁主要来自于外部攻击(RJ45)和内部攻击(USB、RS232、RS485)。外部攻击主要是通过外部 Internet 扫描DNC系统的漏洞,找到攻击点,进行持续攻击( 如高级持续性威胁) ;内部攻击主要包括恶意的数据泄露、通过移动设备的病毒传播等,攻击数控机床的操控控制系统、USB接口(USB炸弹),从而中断加工进程、影响产品质量、窃取企业数据等。
2、数控机床系统存在漏洞,传统防护手段局限性比较大
非国产数控机床操作系统属于特定操作系统,存在安全漏洞,并且无法安装*毒、主机防护类的软件,攻击者通过这些安全漏洞对数控机床进行攻击,破坏生产进程、窃取重要数据。而且主机防护类的软件对USB接口的管控力度有限,只能做到U盘控制禁止或启用,无法对U盘文件内容进行过滤检查。
3、安全防护成本高
部分企业考虑到DNC系统存在的安全威胁,采用多个安全设备对数控机床的不同接口分别进行安全防护,成本投入高,防护效率较低。
三、安全防护措施
针对目前数控机床网络面临着严峻挑战及安全隐患,安盟信息结合多年的安全防护理念,成功研发全面防护数控机床系统的安全产品—安盟华御终端安全防护系统。通过三种技术对机床形成立体防护。具体如下:
1、网口通讯防护
采用"白名单" "指令级防护技术",对工控数据完整性、功能码、地址范围和工艺参数范围进行深度解析,对PLC指令攻击、数据篡改、DDOS、TearDrop、LAND、WinNuke、Fraggle和PingOfDeath、网络风暴限制等攻击进行有效的防护,保障数控机床系统可靠运行。同时还可以对工业协议包括:OPC UA/DA、ModbusTCP、S7 、IEC-61850、IEC-104、DNP3、Profinet等进行识别及深度防护(控制信令、参数、值域等),还有对数控机床私有协议进行定制开发,适应不同的工业现场环境。
2、串口通讯防护
采用"白名单" "指令级防护技术",根据数据包地址信息、指令类型及数据内容进行筛查过滤,对串口数据进行全面防护,而且具备多种接入方式以及多种机床协议协议。
3、USB接口防护
通过USB接口防护,对移动存储类设备的认证、权限设置进行行为管理。区分内部安全移动存储设备与外部移动存储设备,使内网移动存储设备的使用行为更规范;只允许高级权限的移动存储设备复制内网数据,禁止内网数据的随意传递,防止了核心数据的泄露。同时对移动存储设备进行全面*毒,防止病毒通过移动存储设备对数据机床进行攻击破坏,杜绝数控机床系统间的交叉感染。
usb接口机床
四、总结
利用安盟华御终端安全防护系统,从网口、串口、USB接口多方位进行安全防护。对数控机床端进行一对一接入防护,对所有通信端口进行全方位数据防护及在线状态监测,识别非法接入数控机床的设备,阻止远程代码执行漏洞或拒绝服务漏洞的攻击(DDOS攻击),并进行实时报警。实现数控机床与外界信息交换过程的安全监管和可追溯性,规范内部数据传输,避免外界和内部对数控机床系统的侵犯。
