今日頭條
官方微信
官方抖音
資訊頻道4月21日,2017中國國際機床展覽會(CIMT2017,簡稱北京機床展)在中國國際展覽中心閉幕,北京機床展與美國芝加哥、德國漢諾威、日本東京機床展被業(yè)界合稱為“全球四大機床展”。
本次CIMT有來自28個國家和地區(qū)的1600多家企業(yè)參展,國內(nèi)外知名機床工具企業(yè)將悉數(shù)到場,共同演繹“中國制造2025”、“工業(yè)4.0”、“工業(yè)互聯(lián)網(wǎng)”、“互聯(lián)網(wǎng)+”背景下,行業(yè)發(fā)展的新格局。本屆展會主題為:新需求 新供給 新動力,充分詮釋了當(dāng)前環(huán)境下世界機床工具產(chǎn)業(yè)面臨的全新挑戰(zhàn)和機遇,準確地反映了行業(yè)的時代發(fā)展特征。
CIMT2017 現(xiàn)場
縱觀整個展會的各著名企業(yè)展出的產(chǎn)品和解決方案展現(xiàn)了四大趨勢:智能化、高效化、專業(yè)化、網(wǎng)絡(luò)化,其中網(wǎng)絡(luò)化已經(jīng)成為智能化、高效化、專業(yè)化的基礎(chǔ),充分體現(xiàn)了我國“智能制造+互聯(lián)網(wǎng)“的發(fā)展方向。但是,在終端智能制造網(wǎng)絡(luò)化/數(shù)字化方案中,很少看到對工業(yè)安全的考慮,在智能制造+互聯(lián)網(wǎng)的背景下,工業(yè)安全似乎被大家忽略了。在當(dāng)前網(wǎng)絡(luò)安全事件頻發(fā)的現(xiàn)狀下,在智能制造領(lǐng)域,工業(yè)信息安全能否缺位?
1
CIMT各大廠商的互聯(lián)網(wǎng)+方案
面對網(wǎng)絡(luò)化、數(shù)字化制造時代的到來,全球機床工具行業(yè)推出了一系列新技術(shù)與新產(chǎn)品。這些技術(shù)和產(chǎn)品具備鮮明的網(wǎng)絡(luò)化、數(shù)字化生產(chǎn)裝備的特點,具有完整先進的網(wǎng)絡(luò)方案、強大的通信功能、靈活兼容的開放性和豐富的應(yīng)用軟件,實現(xiàn)了數(shù)控系統(tǒng)由“機床控制器”向“數(shù)字化制造管控器”轉(zhuǎn)變,數(shù)控機床由“制造機器”向“數(shù)字化單元”轉(zhuǎn)變。與此同時,一些著名企業(yè)利用長期從事數(shù)控技術(shù)研發(fā)積累的特有技術(shù)優(yōu)勢和經(jīng)驗,與“互聯(lián)網(wǎng)+“結(jié)合,推出網(wǎng)絡(luò)化/數(shù)字化工廠智能解決方案,協(xié)助客戶從軟硬兩方面共同推動數(shù)字化工廠的建設(shè)和發(fā)展。CIMT現(xiàn)場一些代表性的方案如下:
▲德國西門子(SIEMENS)
德國西門子作為德國工業(yè)4.0建議和推動者之一,將PLM作為數(shù)字化企業(yè)平臺,將虛擬生產(chǎn)與現(xiàn)實生產(chǎn)環(huán)境緊密融合,將計算機輔助設(shè)計(CAD)、計算機輔助制造(CAM)、產(chǎn)品數(shù)據(jù)管理(PDM)和制造過程無縫地集成在一起,幫助企業(yè)以經(jīng)濟高效的方式對產(chǎn)品整個生命周期,對從創(chuàng)意、設(shè)計、制造到維修及處理的信息進行管理。SINUMERIK 840D SL高檔數(shù)控系統(tǒng)提供完整的網(wǎng)絡(luò)方案和強大的PLC/PLC通訊功能,能夠?qū)崿F(xiàn)互聯(lián)網(wǎng)(如ERP)、局域網(wǎng)(如MES)、工業(yè)現(xiàn)場總線(如PCS)的互聯(lián),實現(xiàn)設(shè)備與設(shè)備、設(shè)備與管理人員的互聯(lián)。
▲日本發(fā)那科(FANUC)
FANUC世界上最著名的數(shù)控和機器人廠家之一,其展示的最新數(shù)控系統(tǒng),支持各種工業(yè)網(wǎng)絡(luò)和現(xiàn)場網(wǎng)絡(luò),可以將數(shù)控機床與PC互聯(lián),進行NC程序的傳輸和現(xiàn)場監(jiān)控,亦可在CNC上操作辦公室的PC,還可以搭配載有通訊專用處理器的快速以太網(wǎng)電路板,同時與多臺計算機進行高速數(shù)據(jù)傳輸,構(gòu)建與生產(chǎn)線和工廠主機進行信息交換的生產(chǎn)系統(tǒng)。
FANUC MT-LINK i運轉(zhuǎn)管理軟件通過以太網(wǎng)連接企業(yè)內(nèi)部機床,利用FOCAS程序?qū)C床各類信息進行收集和運轉(zhuǎn)管理。
▲德馬吉森精機(DMG MORI)
德馬吉森精機(DMG MORI)的CELOS系統(tǒng)是該公司目前所有高檔機床搭載的數(shù)字化制造平臺和統(tǒng)一的人機界面。CELOS可將系統(tǒng)和機器整合并進行數(shù)據(jù)交換,兼容現(xiàn)有ERP(企業(yè)資源計劃)/PPS(生產(chǎn)計劃與控制系統(tǒng))/PDM(產(chǎn)品數(shù)據(jù)管理)/MES制造執(zhí)行系統(tǒng)和CAD/CAM軟件和控制系統(tǒng),通過網(wǎng)絡(luò)將機床與公司組織連接為一體,構(gòu)成完整持續(xù)的數(shù)字化、無紙化生產(chǎn)的支撐和基礎(chǔ)。
▲日本三菱
面向未來制造業(yè)的三菱電機綜合解決方案“e-factory”。e-F@ctory是整合FA的理念,旨在降低企業(yè)的綜合成本,將整個制造系統(tǒng)的各個設(shè)備進行橫向整合,實現(xiàn)設(shè)備間的無縫通訊,同時,縱向?qū)⑵髽I(yè)信息管理系統(tǒng)與FA系統(tǒng)通過MES接口實現(xiàn)數(shù)據(jù)共享。
▲藍天數(shù)控
沈陽高精數(shù)控智能技術(shù)股份有限公司的作為高檔數(shù)控國家工程中心的產(chǎn)業(yè)化實體,是國產(chǎn)高檔數(shù)控系統(tǒng)的代表廠商之一,在推出新型“藍天數(shù)控”系統(tǒng)的同時,也推出了DNC與智能工廠解決方案。
▲沈陽機床(unis)
沈陽機床作為全球最大的數(shù)控機床廠商,結(jié)合近年推出的智能數(shù)控系統(tǒng)i5,展出了多種型號的i5智能機床。i5智能機床采用先進的底層控制技術(shù)和網(wǎng)絡(luò)技術(shù),實現(xiàn)操作、編程、維護的智能化,并可以通過APP實現(xiàn)遠程監(jiān)視和管理。
2
智能制造+互聯(lián)網(wǎng)面臨的安全風(fēng)險和挑戰(zhàn)
從網(wǎng)絡(luò)安全的角度分析,智能制造網(wǎng)絡(luò)化后攻擊剖面大大擴大,將面臨設(shè)備、控制、網(wǎng)絡(luò)、應(yīng)用、云平臺、數(shù)據(jù)等八個方面的安全挑戰(zhàn),但同時要看到參與到各個層面的人員因素,以及綜合各方面的高級持續(xù)性威脅APT。
智能制造 + 互聯(lián)網(wǎng)面臨的安全挑戰(zhàn)
概括來說,八方面的具體挑戰(zhàn)如下:
(1)設(shè)備層安全挑戰(zhàn)。智能制造領(lǐng)域網(wǎng)絡(luò)中伺服驅(qū)動器、智能IO、智能傳感器、儀表、智能產(chǎn)品的安全挑戰(zhàn),包括:所用芯片安全、嵌入式操作系統(tǒng)安全、編碼規(guī)范安全、第三方應(yīng)用軟件安全以及功能安全等,這些設(shè)備均可能存在漏洞、缺陷、規(guī)范使用、后門等安全挑戰(zhàn);目前,在制造領(lǐng)域并未對以上問題開展深入研究。如:西門子漏洞CVE-2016-5849等
(2)控制層安全挑戰(zhàn)。主要來自各類機床數(shù)控系統(tǒng)、PLC、運動控制器、所使用的控制協(xié)議、控制平臺、控制軟件等方面,其在設(shè)計之初可能未考慮完整性、身份校驗等安全需求,存在輸入驗證,許可、授權(quán)與訪問控制不嚴格,不當(dāng)身份驗證,配置維護不足,憑證管理不嚴,加密算法過時等安全挑戰(zhàn)。例如:國產(chǎn)數(shù)控系統(tǒng)所采用的操作系統(tǒng)可能是基于某一版本Linux進行裁剪的,所使用的內(nèi)核、文件系統(tǒng)、對外提供服務(wù)、一旦穩(wěn)定均不再修改,可能持續(xù)使用多年,有的甚至超過十年,而這些內(nèi)核、文件系統(tǒng)、服務(wù)多年所爆出的漏洞并未得到更新,安全隱患長期保留。如:西門子漏洞CVE-2017-2685、三菱PLC漏洞CNVD-2016-06361等。
(3)網(wǎng)絡(luò)層安全挑戰(zhàn)。主要來自三方面:各類數(shù)控系統(tǒng)、PLC、應(yīng)用服務(wù)器通過有線網(wǎng)絡(luò)或無線網(wǎng)絡(luò)連接,形成工業(yè)網(wǎng)絡(luò),工業(yè)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)連接形成企業(yè)內(nèi)部網(wǎng)絡(luò),企業(yè)內(nèi)部網(wǎng)絡(luò)與外面的云平臺連接、第三方供應(yīng)鏈連接、客戶的網(wǎng)絡(luò)連接。主要安全挑戰(zhàn)包括:網(wǎng)絡(luò)數(shù)據(jù)傳遞過程的常見網(wǎng)絡(luò)威脅(如:拒絕服務(wù)、中間人攻擊等),網(wǎng)絡(luò)傳輸鏈路上的硬件和軟件安全(如:軟件漏洞、配置不合理等),無線網(wǎng)絡(luò)技術(shù)使用帶來的網(wǎng)絡(luò)防護邊界模糊等。如:三菱網(wǎng)絡(luò)模塊漏洞CNVD-2016-06360。西門子網(wǎng)絡(luò)服務(wù)器漏洞CNVD-2012-7944等
(4)應(yīng)用層安全挑戰(zhàn),指支撐工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)運行的應(yīng)用軟件及平臺的安全,如:德馬吉森精機(DMG MORI)的CELOS系統(tǒng)所整合的ERP(企業(yè)資源計劃)/PPS(生產(chǎn)計劃與控制系統(tǒng))/PDM(產(chǎn)品數(shù)據(jù)管理)/MES制造執(zhí)行系統(tǒng)和CAD/CAM軟件和控制系統(tǒng)等。智能制造領(lǐng)域應(yīng)用軟件,與常見商用軟件的類似,將持續(xù)面臨病毒、木馬、漏洞等傳統(tǒng)安全挑戰(zhàn);如:Ge fanuc漏洞CVE-2008-0175和CVE-2008-0176,西門子上位機漏洞CNVD-2016-11465等。
(5)工業(yè)云安全挑戰(zhàn),從這次CIMT上可以看到,國內(nèi)各大機床廠商、數(shù)控系統(tǒng)廠商正在建立或即將建立的云平臺及服務(wù),這些云平臺及服務(wù)也面臨著虛擬化中常見的違規(guī)接入、內(nèi)部入侵、多租戶風(fēng)險、跳板入侵、內(nèi)部外聯(lián)、社工攻擊等內(nèi)外部安全挑戰(zhàn)。
(6)數(shù)據(jù)層安全挑戰(zhàn),是指智能制造工廠內(nèi)部生產(chǎn)管理數(shù)據(jù)、生產(chǎn)操作數(shù)據(jù)以及工廠外部數(shù)據(jù)等各類數(shù)據(jù)的安全問題,不管數(shù)據(jù)是通過大數(shù)據(jù)平臺存儲、還是分布在用戶、生產(chǎn)終端、設(shè)計服務(wù)器等多種設(shè)備上,海量數(shù)據(jù)都將面臨數(shù)據(jù)丟失、泄露、篡改等安全威脅。
(7)人員管理的挑戰(zhàn),隨著智能制造的網(wǎng)絡(luò)化和數(shù)字化發(fā)展,工業(yè)與IT的高度融合,企業(yè)內(nèi)部人員,如:工程師、管理人員、現(xiàn)場操作員、企業(yè)高層管理人員等,其“有意識”或“無意識”的行為,可能破壞工業(yè)系統(tǒng)、傳播惡意軟件、忽略工作異常等,因為網(wǎng)絡(luò)的廣泛使用,這些挑戰(zhàn)的影響將會急劇放大;而針對人的社會工程學(xué)、釣魚攻擊、郵件掃描攻擊等大量攻擊都利用了員工無意泄露的敏感信息。因此,在智能制造+互聯(lián)網(wǎng)中,人員管理的也面臨巨大安全挑戰(zhàn)。
(8)高級持續(xù)性威脅(APT),智能制造領(lǐng)域中的APT是以上6個方面各種挑戰(zhàn)組合,是最難應(yīng)對、后果最嚴重的威脅。攻擊者目標可能是偷取重點智能制造企業(yè)的產(chǎn)品設(shè)計資料、產(chǎn)品應(yīng)用數(shù)據(jù)等,也可能是在關(guān)鍵時刻讓智能制造企業(yè)生產(chǎn)停止、良品率下降、服務(wù)不及時等給企業(yè)造成直接損失,攻擊者精心策劃、為了達成既定目標,長期持續(xù)的進行攻擊,其攻擊過程包括收集各類信息收集、入侵技術(shù)準備、滲透準備、入侵攻擊、長期潛伏和等待、深度滲透、痕跡消除等一系列精密攻擊環(huán)節(jié)。如:360APT報告:摩訶草組織。
3
協(xié)同聯(lián)動建立聯(lián)合防御體系
CIMT參展的多家企業(yè)和觀眾,智能制造企業(yè)、集成商、用戶等,推進智能制造+互聯(lián)網(wǎng)過程中,面臨的各項安全挑戰(zhàn)幾乎沒有考慮,對安全的認識還停留在“我們不連接外網(wǎng),會有什么問題呢?網(wǎng)絡(luò)攻擊根本進不來!”,工業(yè)安全在國內(nèi)智能化廠商的考慮重點中幾乎缺位。針對這個以上8類挑戰(zhàn),360企業(yè)安全建議智能制造企業(yè)、集成商、用戶等可以從以下方面進行應(yīng)對。
(1)落實國家對工業(yè)安全的相關(guān)政策、指南、標準
針對工業(yè)系統(tǒng)信息安全的問題,國家先后出臺了《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號)、《工業(yè)控制系統(tǒng)信息安全防護指南》等相關(guān)文件,對工業(yè)系統(tǒng)連接管理、組網(wǎng)管理、配置管理、設(shè)備選擇和升級、數(shù)據(jù)管理、應(yīng)急管理做出了相應(yīng)要求,對工業(yè)控制系統(tǒng)設(shè)計、選型、建設(shè)、測試、運行、檢修、廢棄各階段防護工作要求;《工業(yè)控制系統(tǒng)信息安全防護指南》從安全軟件選型、訪問控制策略構(gòu)建、數(shù)據(jù)安全保護、資產(chǎn)配置管理等方面提出了具體實施細則,從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環(huán)境安全防護、身份認證、遠程訪問安全、安全監(jiān)測和應(yīng)急預(yù)案演練、資產(chǎn)安全、數(shù)據(jù)安全、供應(yīng)鏈管理、落實責(zé)任等給出了指導(dǎo)意見。智能裝備制造商、應(yīng)用企業(yè)可以參考相關(guān)內(nèi)容,做好必要的安全防護、安全管理和安全意識培訓(xùn)。
(2)構(gòu)建持續(xù)檢測響應(yīng)能力
假定智能制造系統(tǒng)無法阻止被攻破,也就是無法防護住,改變思路,在產(chǎn)品和解決方案設(shè)計中,增加攻破的發(fā)現(xiàn)能力,縮短攻擊發(fā)現(xiàn)的時間,將攻破后的進行應(yīng)急響應(yīng)的思路,改變?yōu)槌掷m(xù)的監(jiān)測和響應(yīng),不斷加強監(jiān)測和威脅發(fā)現(xiàn)的能力,提升響應(yīng)的速度。
(3)應(yīng)用數(shù)據(jù)驅(qū)動安全的理念
目前國際上公認解決網(wǎng)絡(luò)安全攻防不對稱的方法之一,是數(shù)據(jù)驅(qū)動安全,2015中國互聯(lián)網(wǎng)安全大會(ISC2015)大會就提出要進行態(tài)勢的感知,進行威脅情報的共享和攻擊溯源。
對于智能制造來說,對某一行業(yè)中某一家企業(yè)的攻擊,如果被發(fā)現(xiàn),攻擊方法和攻擊目標被辨析,可以結(jié)合全網(wǎng)的安全大數(shù)據(jù)和企業(yè)自身的安全數(shù)據(jù)進行分析,形成有效的威脅情報,提供給整個行業(yè)的企業(yè),提供行業(yè)防御的效果;
(4)建立企業(yè)安全運營中心
根據(jù)Gartner的預(yù)測,工業(yè)企業(yè)建立的安全運維中心已成為一種趨勢,預(yù)計到2020年將有40%的企業(yè)將建立安全運營中心,該中心將建立企業(yè)的安全數(shù)據(jù)倉庫,對于APT攻擊,一個最大的挑戰(zhàn)之一是如何發(fā)現(xiàn)攻擊,應(yīng)用數(shù)據(jù)驅(qū)動安全的理念。工業(yè)大數(shù)據(jù)進行工業(yè)生產(chǎn)故障的預(yù)防性維護,找出生產(chǎn)環(huán)節(jié)的異常,已經(jīng)成為目前工業(yè)大數(shù)據(jù)的主要應(yīng)用方向之一。智能制造企業(yè)和用戶對工業(yè)生產(chǎn)設(shè)備損壞或衰退的預(yù)測與發(fā)現(xiàn),生產(chǎn)流程停機的預(yù)測與發(fā)現(xiàn),其實就是一種工業(yè)生產(chǎn)的異常,而工業(yè)網(wǎng)絡(luò)受到攻擊也可以產(chǎn)生類似異常;安全運營中心可以記錄工業(yè)互聯(lián)網(wǎng)企業(yè)持續(xù)監(jiān)測的安全信息,但這些信息堆積在倉庫里,如同“一團亂麻”,解開亂麻,需要找到一個線頭,因此,可利用工業(yè)大數(shù)據(jù)發(fā)現(xiàn)工業(yè)生產(chǎn)異常的能力,為安全大數(shù)據(jù)的分析提供觸發(fā)條件或關(guān)鍵線索,這將成為數(shù)據(jù)驅(qū)動安全的最值得實踐的方法之一。
另外利用安全大數(shù)據(jù)進行智能制造系統(tǒng)中的用戶和實體行為分析(UEBA),對用戶的行為和設(shè)備的行為用大數(shù)據(jù)的方法建立一個基線,偏離基線太多的時候也會出現(xiàn)異常,也成為安全大數(shù)據(jù)重要應(yīng)用手段之一。
(5)構(gòu)建產(chǎn)業(yè)協(xié)同的聯(lián)合防御體系
我國目前暴露在公網(wǎng)的工業(yè)設(shè)備,超過2000臺,美國在公網(wǎng)的工業(yè)設(shè)備達到數(shù)萬臺,包括:PLC、數(shù)控系統(tǒng)以及相關(guān)工業(yè)應(yīng)用系統(tǒng)等,隨著我國智能制造的發(fā)展,未來我國將與美國類似,將有大量的工業(yè)設(shè)備暴露在公網(wǎng)上,任何一個企業(yè)由于在人才、設(shè)備、數(shù)據(jù)、情報方面的限制,單獨進行防御將存在巨大困難,未來工業(yè)互聯(lián)網(wǎng)企業(yè)、工業(yè)互聯(lián)網(wǎng)企業(yè)設(shè)備提供商、安全服務(wù)商、監(jiān)管機構(gòu)將建立協(xié)同機制,共同應(yīng)對智能制造+互聯(lián)網(wǎng)安全來自工業(yè)、互聯(lián)網(wǎng)、信息安全的跨領(lǐng)域、跨行業(yè)的挑戰(zhàn)。網(wǎng)絡(luò)安全的能力,將變成一種可定制的服務(wù),智能制造企業(yè)和用戶的依據(jù)自己的威脅、成本、人才、運行階段按需使用。
智能制造領(lǐng)域,通過高檔數(shù)控機床及基礎(chǔ)制造裝備通過網(wǎng)絡(luò)與工業(yè)軟件、商業(yè)軟件、工程師、供應(yīng)商、客戶高效互聯(lián),向著智能化、高效化、專業(yè)化、網(wǎng)絡(luò)化方向發(fā)展;企業(yè)外部的商業(yè)網(wǎng)絡(luò)與企業(yè)內(nèi)部辦公網(wǎng)絡(luò)、工業(yè)網(wǎng)絡(luò)的邊界被聯(lián)通,工業(yè)企業(yè)將面臨設(shè)備、網(wǎng)絡(luò)、控制、應(yīng)用、云、數(shù)據(jù)、人員等多方面安全挑戰(zhàn)。
綜上,機床制造企業(yè)、數(shù)控系統(tǒng)廠商、先進制造集成商在進行智能化、網(wǎng)絡(luò)化、數(shù)字化產(chǎn)品和解決方案設(shè)計時,工業(yè)安全必須同步考慮;智能制造用戶在采購智能化產(chǎn)品、建設(shè)網(wǎng)絡(luò)化、智能化先進制造系統(tǒng)的,為保證自己的生產(chǎn)安全、數(shù)據(jù)安全,應(yīng)同時要求供應(yīng)商提供在工業(yè)安全方面的防護措施,并加強企業(yè)員工的安全意識。在智能制造+互聯(lián)網(wǎng)的背景下,工業(yè)安全不容缺位。
以上內(nèi)容來源于網(wǎng)絡(luò)
北京市公安局海淀分局備案號:11010802023656號