数控机床作为制造业的“工作母机”,是工业领域生产加工的关键设备,数控机床本身的安全性以及在应用过程中的网络安全防护能力直接影响工业生产和业务。随着工业互联网的快速发展,数控机床打破原有的封闭性,实现互联互通已成为企业发展的必然要求,数控机床联网运行已成为趋势,如何保证数控机床联网运行的网络与数据安全逐渐成为制约工业互联网发展的关键问题之一。
对于海量、多种类的数控机床,传统单一的安全防护技术手段无法解决数控机床网络安全问题,需要从安全基线、主机安全、网络边界等各个层次提升数控机床的安全防护能力。近期,中国信息通信研究院(简称“中国信通院”)依托工业互联网安全技术试验与测评工业和信息化部重点实验室联合北京神州绿盟科技有限公司编写了《数控机床网络安全研究报告(2023年)》,现正式发布。
报告以工业互联网背景下数控机床的发展为基础,从数控机床国内外政策、安全技术研究、技术标准规范等方面分析了数控机床的网络安全现状。报告详细分析了数控机床存在的漏洞隐患、入侵攻击等网络安全风险及深层次原因,并给出安全防护实施方案建议。最后,报告从标准、技术研究、评估评测等方面提出数控机床网络安全未来的工作方向。
报告核心观点
1. 国内外针对数控机床等智能制造系统安全防护技术开展积极研究
美国国土安全部制定了专门的工业控制系统安全计划www.cechina.cn,形成了由国家职能部门协调管理、国家级专业队伍、实验室和科研机构提供技术支撑、用户及厂商共同参与的技术研究体系,并制定了国家SCADA测试床计划,针对数控机床等开展网络信息安全测评。日本大隈(Okuma)的OSP病毒防护系统在Okuma OSP-P控制系统中内置了病毒扫描应用接口来防止感染从网络或USB设备传播的病毒,在数控机床网络安全防护中得到广泛应用。国内高校提出一种数控加工网络信息安全防护方案,部署数控加工网络边界隔离设备和数控系统终端防护设备,保障数控网络安全。
2. 数控协议及传输链路存在安全风险控制工程网版权所有,导致数据泄露
数控DNC网络采用TCP/IP协议将原独立运行的数控机床组成数控机床网络,数控机床通常采用工业Wi-Fi等无线通信方式。一方面,无线接入方式避免了有线接入物理环境限制和铺设线路的成本,但在网络安全层面上相较于有线网络更具风险性,无线Wi-Fi易发生会话劫持数据泄露的风险,利用对无线信号的监听窃取传输数据,通过伪造指令或者数据拦截进行恶意攻击。另一方面,多数数控机床控制系统使用明文方式传输和管理加工代码,这样容易导致未加密的加工代码被非法获取,并通过专用软件对加工物品进行还原,导致制造数据泄密。
3. 应打造数控机床安全综合防护体系,提升整体安全能力
针对数控机床所面临未知网络威胁的持续性、组合性、跨域性和定向性等特点,应逐一应对解决传统被动防护难以应对利用逻辑缺陷的攻击等问题。一方面,对数控机床开展安全关键技术的联合攻关和创新,打造集事前预警、事中感知防御、事后审查等功能于一体的“数控机床安全增强防护设备”体系。实现防护思路由被动“封堵查杀”到主动免疫防御的转变,建立云、边、端的内生安全防护架构控制工程网版权所有,确保设备、系统、网络的可靠性、稳定性,有效提升制造企业生产网络的整体安全性。另一方面,建设覆盖设备、主机、网络、数据的数控机床综合防护体系,建立事前身份认证、加密控制工程网版权所有,事中感知、防御www.cechina.cn,事后审计、追溯等多路径闭环的安全防护体系,提升数控机床领域的整体安全能力。
4. 建议推动数控机床相关安全产品应用及市场发展
应加快对数控机床核心关键技术攻关,推动相关安全产品和服务的开发应用。一方面,鼓励国内重点企业、科研机构、高校等加强合作,推动研制具备访问控制、数据安全防护、病毒防护与分析、NC文件语义分析与审计、链路加密、智能预警等能力的数控机床安全增强防护设备。另一方面,围绕数控机床安全产品的功能、性能及安全性等设计安全认证级别,开展数控机床相关安全产品及服务分类分级管理,为不同部门、行业企业提供安全级别选择,遴选达标安全产品目录清单,推动数控机床安全产品市场发展。