1、數據機床的安全現狀
目前國內使用的主流數控生產設備核心系統大部分是國外廠家,特別是專機和精機主要為國外廠家全套引進 ,如國內大量使用Siemens、FANUC等國外數控系統,核心技術受制于人,大大增加了不可控因素,而數控系統一旦遭到破壞和入侵,將直接導致生產的中斷和產量的降低,更重要的是由廠商提供遠程維護升級,這直接導致生產數據及工藝等機密信息的泄露從而影響到我國家戰略安全。因此,數控系統安全不容忽視,進行數控機床的安全防護是迫切和必要的。
數控機床應用存在以下安全隱患:
1、上位機、服務器外接USB存儲設備,致使其被病毒感染,USB外接手機、PDA等智能上網設備,致使其直接暴露在互聯網上,給安全生產與加工數據安全帶來重大安全隱患;
2遠程運維操作、日常生產操作中存在非法操作行為直接影響安全生產與加工數據的安全性,如:非法篡改加工指令、盜取加工數據等行為;
3)數控機床的DNC聯網,以及隨著國家兩化融合、中國制造2025國家戰略的推進,工業控制網絡的開放性必然會帶各種網絡攻擊風險;
2、解決方案
面對數控機床應用的安全現狀,匡恩網絡做了深入的調查與研究,最對不同的應用場景,我方提供全生命周期的安全解決方案,為數控機床安全生產構建安全防御體系。
1)數控機床風險評估:
風險評估是全面了解與驗證數據機床使用環境中存在的各種風險的一種必要手段,是安全防護體系建設的前提,我方將針對用戶數控機床運行環境與安全管理制度,借助專業的威脅評估平臺工具,生成權威的安全風險評估報告,為用戶全面了解數控機床安全風險提供依據。
威脅評估平臺具備整套創新性的風險評估科學方法,包括項目管理、全面數據收集、全網攻擊路徑、結構安全性分析、流程審計、網絡行為審計、專業評分報告等。該工具搭載專業的可升級的工控安全漏洞庫,覆蓋當前工業控制網絡中存在的各種已知漏洞,并且提供漏洞防護安全策略。工具支持分階段、多人配合使用,方便用戶根據實際情況有計劃有步驟的完成風險評估以及后續安全數據收集分析工作。
圖1 數控機床風險評估典型部署
2)單機運行防護方案:
圖2 數控機床單機運行安全防護部署
數控機床單機部署時,安全風險主要出現在管理主機上,如上圖所示,我們通過在數控機床與管理機間串行部署數控審計保護平臺,此產品具有數控審計與智能防護兩大功能,通過多種安全策略部署,可實現APT攻擊、異??刂坪头欠〝祿M行深度分析、過濾、告警、阻斷并對各類安全威脅實施監測審計,實現對數控機床的有效安全防護。通過在管理主機上安裝工控衛士來實現管理主機防病毒與USB外設管理,進而保證數控機床單機環境運行安全。
3)DNC聯網運行防護方案:
圖3 DNC聯網安全防護部署圖
上圖為數控機床DNC聯網運行典型的組網拓撲圖,我們通過在各網絡分區邊界、數控機床邊界串行或旁路部署數控審計保護平臺實現對區域內及終端的有效保護,通過部署安全監管平臺實現對網內部署的若干數控審計保護平臺的統一配置與安全事件管理,實現全網安全風險管理、分析與呈現。網內的上位機、服務器上統一部署工控衛士安全軟件,實現主機運行進程的控制與管理、主機USB外接存儲設備的認證與管理以及文件操作行為審計。
4)高仿真攻防對抗平臺建設
由于工業控制網絡對穩定性要求相當嚴格,為了能更好的進行數控機床應用的安全風險研究,我方可幫助用戶建設高仿真攻防對抗平臺,通過不斷的在仿真系統上進行深入的漏洞挖掘、攻擊研究,完成攻擊效果展示及安全防護方案驗證。
(1)提供工控網絡安全標準制定的仿真分析環境
(2)提供工控網絡安全標準草案的離線驗證環境
(3)提供工控網絡安全事故和漏洞根源分析試驗環境
(4)提供工控網絡安全保護及補償性措施驗證環境
5)安全培訓與安全運維服務
安全培訓是為用戶提供工業控制網絡安全風險與解決方案標準化培訓,提供針對用戶數控機床應用安全運維專業培訓,為用戶普及信息安全知識、工控網絡安全知識、工控網絡安全問題解決對策和工控網絡安全前沿研究成果;針對用戶數控機床的安全防護體系建設,詳細介紹日常運維、漏洞挖掘與安全風險處置方法等。
我方可根據用戶需要提供專業的安全運維服務,幫助用戶做好日常安全運維工作。
3、業務價值
匡恩網絡憑借對國內數控機床應用的深入了解,提供以上數控機床應用的全生命周期的安全解決方案,為用戶安全生產,數據防泄密,為兩化融合、中國制造2025國家戰略實施進行安全保駕護航。