久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

1　數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)實(shí)施

數(shù)控系統(tǒng)作為數(shù)控設(shè)備的“大腦”成為工業(yè)控制系統(tǒng)的重要組成部分，正面臨工業(yè)病毒和網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)與信息安全問(wèn)題日益凸顯。為幫助企業(yè)加強(qiáng)數(shù)控機(jī)床安全防護(hù)上的短板，本章針對(duì)以上數(shù)控機(jī)床安全風(fēng)險(xiǎn)提出安全防護(hù)實(shí)施思路，如圖1所示，數(shù)控機(jī)床網(wǎng)絡(luò)安全體系的構(gòu)建需從安全基線(xiàn)管理、網(wǎng)絡(luò)邊界防護(hù)措施部署和數(shù)控機(jī)床內(nèi)生安全等方面進(jìn)行考慮，來(lái)保證數(shù)控機(jī)床及網(wǎng)絡(luò)的保密性、可用性和完整性。

來(lái)源：中國(guó)信息通信研究院

圖1 數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)示意圖

（1）開(kāi)展數(shù)控機(jī)床網(wǎng)絡(luò)安全基線(xiàn)管理

根據(jù)生產(chǎn)環(huán)境場(chǎng)景建立數(shù)控機(jī)床網(wǎng)絡(luò)安全基線(xiàn)。一方面，明確數(shù)控機(jī)床網(wǎng)絡(luò)安全基線(xiàn)具體內(nèi)容，建立安全基線(xiàn)更新機(jī)制。企業(yè)梳理自身數(shù)控機(jī)床應(yīng)用場(chǎng)景及技術(shù)特點(diǎn)，根據(jù)安全基線(xiàn)實(shí)施安全防護(hù)，包括消除弱密碼、安全配置加固、去除不必要的介質(zhì)接口等。另一方面，開(kāi)展數(shù)控機(jī)床網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和漏洞管理。定期對(duì)數(shù)控機(jī)床網(wǎng)絡(luò)架構(gòu)、管理主機(jī)、控制協(xié)議等開(kāi)展全方位安全評(píng)估，發(fā)現(xiàn)安全風(fēng)險(xiǎn)隱患，一旦發(fā)現(xiàn)安全漏洞，及時(shí)選擇安全補(bǔ)丁或升級(jí)組件。

（2）加強(qiáng)數(shù)控網(wǎng)絡(luò)邊界防護(hù)

分析數(shù)控網(wǎng)絡(luò)的組網(wǎng)特點(diǎn)，根據(jù)IEC62443-3-3等標(biāo)準(zhǔn)中的網(wǎng)絡(luò)區(qū)域劃分原則，將數(shù)控網(wǎng)絡(luò)劃分為合理安全區(qū)域，采用分層分域，縱深防御的策略進(jìn)行網(wǎng)絡(luò)安全防護(hù)，如圖2所示。一方面，對(duì)企業(yè)信息系統(tǒng)與DNC系統(tǒng)進(jìn)行分層、分域，建立安全緩沖區(qū)，生產(chǎn)網(wǎng)絡(luò)與管理網(wǎng)絡(luò)、研發(fā)網(wǎng)絡(luò)連接采用網(wǎng)閘、光閘進(jìn)行強(qiáng)隔離；生產(chǎn)網(wǎng)絡(luò)進(jìn)行內(nèi)部的分區(qū)分域，區(qū)域間應(yīng)采用工業(yè)防火墻實(shí)現(xiàn)邏輯隔離，并建立白名單，實(shí)現(xiàn)基于白名單的訪(fǎng)問(wèn)控制。另一方面，采用數(shù)據(jù)防泄漏、深度協(xié)議數(shù)據(jù)包解析等邊界安全防護(hù)技術(shù)針對(duì)數(shù)據(jù)采集和交換過(guò)程中的數(shù)據(jù)泄露、病毒入侵以及異常行為進(jìn)行告警，并對(duì)各類(lèi)安全威脅進(jìn)行監(jiān)控，從而為數(shù)控網(wǎng)絡(luò)提供全方位的監(jiān)測(cè)、過(guò)濾、報(bào)警和阻斷能力。

來(lái)源：北京神州綠盟科技有限公司

圖2 數(shù)控機(jī)床網(wǎng)絡(luò)邊界安全防護(hù)示例

（3）加強(qiáng)數(shù)控主機(jī)安全防護(hù)

通過(guò)安裝工業(yè)主機(jī)端點(diǎn)側(cè)安全監(jiān)測(cè)、防護(hù)軟件，對(duì)數(shù)控主機(jī)進(jìn)行有效防護(hù)，包括操作系統(tǒng)加固、病毒防護(hù)、惡意行為監(jiān)測(cè)等。一方面，針對(duì)數(shù)控網(wǎng)絡(luò)中DNC、MES、PDM、CAM、CAPP等服務(wù)器及終端主機(jī)部署安全防護(hù)軟件，從端點(diǎn)側(cè)加強(qiáng)針對(duì)勒索病毒等安全防護(hù)，防止病毒傳播、對(duì)惡意代碼進(jìn)行有效地消除。另一方面，通過(guò)對(duì)數(shù)控主機(jī)文件、目錄、進(jìn)程、注冊(cè)表和服務(wù)的強(qiáng)制訪(fǎng)問(wèn)控制，如圖3所示。采用“三權(quán)分立”的管理機(jī)制，有效制約和分散原有系統(tǒng)管理員的權(quán)限，并結(jié)合文件和服務(wù)的完整性檢測(cè)、防緩沖區(qū)溢出等功能，將普通操作系統(tǒng)透明提升為安全操作系統(tǒng)，增強(qiáng)數(shù)控主機(jī)的安全性。

來(lái)源：北京神州綠盟科技有限公司

圖3 數(shù)控機(jī)床主機(jī)安全防護(hù)實(shí)施示例

（4）完善數(shù)控機(jī)床網(wǎng)絡(luò)資產(chǎn)管理和安全監(jiān)測(cè)審計(jì)

建設(shè)數(shù)控機(jī)床網(wǎng)絡(luò)資產(chǎn)管理機(jī)制，開(kāi)展安全監(jiān)測(cè)和審計(jì)，及時(shí)發(fā)現(xiàn)異常資產(chǎn)及網(wǎng)絡(luò)安全威脅。一是梳理數(shù)控機(jī)床生產(chǎn)環(huán)境的網(wǎng)絡(luò)資產(chǎn)，建立資產(chǎn)臺(tái)賬，定期探測(cè)梳理資產(chǎn)現(xiàn)狀及數(shù)據(jù)流轉(zhuǎn)和處理節(jié)點(diǎn)，識(shí)別和發(fā)現(xiàn)異常資產(chǎn)，對(duì)未知設(shè)備接入等異常行為及時(shí)發(fā)現(xiàn)并處置。二是采用入侵檢測(cè)、全流量檢測(cè)、安全審計(jì)等方式監(jiān)測(cè)數(shù)控機(jī)床生產(chǎn)環(huán)境，發(fā)現(xiàn)惡意行為和惡意代碼，對(duì)數(shù)控機(jī)床生產(chǎn)環(huán)境行為進(jìn)行審計(jì)，協(xié)助事后分析取證溯源。三是通過(guò)態(tài)勢(shì)感知等技術(shù)手段，匯集流量側(cè)、端點(diǎn)側(cè)、日志側(cè)等數(shù)據(jù)，進(jìn)行關(guān)聯(lián)分析和深度安全監(jiān)測(cè)、研判和應(yīng)急響應(yīng)，并實(shí)現(xiàn)數(shù)控機(jī)床網(wǎng)絡(luò)安全集中管理。

（5）可信計(jì)算技術(shù)提高數(shù)控機(jī)床內(nèi)生安全

面對(duì)數(shù)控機(jī)床聯(lián)網(wǎng)開(kāi)放、互通互聯(lián)可能帶來(lái)的安全威脅，可以通過(guò)可信計(jì)算技術(shù)實(shí)現(xiàn)數(shù)控機(jī)床的內(nèi)生安全。一方面，數(shù)控機(jī)床在主機(jī)層面支持“硬件級(jí)部件（安全芯片或安全固件）”作為系統(tǒng)信任根，建立從系統(tǒng)到應(yīng)用的信任鏈，實(shí)現(xiàn)從設(shè)備加電到應(yīng)用加載過(guò)程的安全啟動(dòng)和運(yùn)行，從根本上解決工業(yè)互聯(lián)網(wǎng)可信、可控、可靠等方面的問(wèn)題。另一方面，在系統(tǒng)運(yùn)行過(guò)程中，實(shí)時(shí)監(jiān)視數(shù)控系統(tǒng)內(nèi)關(guān)鍵進(jìn)程、模塊、可執(zhí)行代碼、關(guān)鍵數(shù)據(jù)結(jié)構(gòu)等，對(duì)進(jìn)程的資源訪(fǎng)問(wèn)行為進(jìn)行實(shí)時(shí)度量和控制，依據(jù)動(dòng)態(tài)的可信性對(duì)發(fā)生變化的度量對(duì)象依據(jù)策略采取報(bào)警、終止運(yùn)行、更新度量預(yù)期值等措施，從而確保數(shù)控系統(tǒng)運(yùn)行狀態(tài)的可信。

（6）打造數(shù)控機(jī)床安全綜合防護(hù)體系

針對(duì)數(shù)控機(jī)床所面臨未知網(wǎng)絡(luò)威脅的持續(xù)性、組合性、跨域性和定向性等特點(diǎn)，逐一應(yīng)對(duì)解決傳統(tǒng)被動(dòng)防護(hù)難以應(yīng)對(duì)利用邏輯缺陷的攻擊等問(wèn)題。一方面，對(duì)數(shù)控機(jī)床安全關(guān)鍵技術(shù)的聯(lián)合攻關(guān)和創(chuàng)新，打造集事前預(yù)警、事中感知防御、事后審查等功能于一體的“數(shù)控機(jī)床安全增強(qiáng)防護(hù)設(shè)備”體系。實(shí)現(xiàn)防護(hù)思路由被動(dòng)“封堵查殺”到主動(dòng)免疫防御的轉(zhuǎn)變，建立了云、邊、端的內(nèi)生安全防護(hù)架構(gòu)，確保設(shè)備、系統(tǒng)、網(wǎng)絡(luò)的可靠性、穩(wěn)定性，有效提升制造企業(yè)生產(chǎn)網(wǎng)絡(luò)的整體安全性。另一方面，建設(shè)覆蓋設(shè)備、主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)的數(shù)控機(jī)床綜合防護(hù)體系，建立事前身份認(rèn)證、加密，事中感知、防御，事后審計(jì)、追溯等多路徑閉環(huán)的安全防護(hù)體系，提升數(shù)控機(jī)床領(lǐng)域的整體安全能力。

2　數(shù)控機(jī)床網(wǎng)絡(luò)安全發(fā)展建議

近年來(lái)，數(shù)控機(jī)床聯(lián)網(wǎng)運(yùn)行已成為趨勢(shì)，同時(shí)也暴露出很多安全問(wèn)題?；谒崂淼臄?shù)控機(jī)床安全現(xiàn)狀與安全風(fēng)險(xiǎn)，我們對(duì)數(shù)控機(jī)床網(wǎng)絡(luò)安全提出如下建議：

（1）推進(jìn)數(shù)控機(jī)床相關(guān)安全標(biāo)準(zhǔn)規(guī)范制定

目前針對(duì)數(shù)控機(jī)床網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和技術(shù)規(guī)范儲(chǔ)備不足，需推動(dòng)出臺(tái)數(shù)控機(jī)床相關(guān)網(wǎng)絡(luò)安全防護(hù)要求、安全評(píng)估評(píng)測(cè)規(guī)范、密碼應(yīng)用等相關(guān)安全標(biāo)準(zhǔn)規(guī)范。一方面，面向數(shù)控機(jī)床邊界防護(hù)、入侵防范、安全審計(jì)等安全需求，制定亟需數(shù)控機(jī)床內(nèi)生安全及評(píng)估測(cè)試等行業(yè)標(biāo)準(zhǔn)和企業(yè)標(biāo)準(zhǔn)，強(qiáng)化數(shù)控機(jī)床在設(shè)計(jì)、開(kāi)發(fā)、實(shí)施、運(yùn)行維護(hù)等全生命周期過(guò)程的網(wǎng)絡(luò)安全規(guī)范要求，為企業(yè)產(chǎn)品安全開(kāi)發(fā)、第三方機(jī)構(gòu)測(cè)試認(rèn)證、設(shè)備部署運(yùn)行提供可參考的依據(jù)。另一方面，研制數(shù)控系統(tǒng)密碼應(yīng)用技術(shù)要求及測(cè)評(píng)要求等標(biāo)準(zhǔn)，規(guī)范和評(píng)估數(shù)控系統(tǒng)密碼應(yīng)用的設(shè)計(jì)、實(shí)現(xiàn)和使用；鼓勵(lì)安全設(shè)備制造商積極參與標(biāo)準(zhǔn)研制與貫標(biāo)試點(diǎn)工作，以標(biāo)準(zhǔn)規(guī)范指導(dǎo)數(shù)控機(jī)床網(wǎng)絡(luò)安全防護(hù)部署。

（2）提升數(shù)控機(jī)床網(wǎng)絡(luò)安全綜合技術(shù)防護(hù)能力

數(shù)控機(jī)床作為工業(yè)控制系統(tǒng)的重要組成部分，網(wǎng)絡(luò)安全防護(hù)依然依賴(lài)傳統(tǒng)“外掛式”安全措施，需產(chǎn)業(yè)各方加強(qiáng)數(shù)控機(jī)床安全技術(shù)研究，提升網(wǎng)絡(luò)安全綜合防護(hù)能力。一方面，建立數(shù)控機(jī)床多重安全防護(hù)的縱深防御體系框架，采取事前身份認(rèn)證、加密、預(yù)警、漏掃、評(píng)估機(jī)制，事中防御攻擊機(jī)制，事后審計(jì)、追溯等，以提升數(shù)控網(wǎng)絡(luò)的整體安全。另一方面，加強(qiáng)數(shù)控機(jī)床內(nèi)生安全能力建設(shè)，通過(guò)自主可控加可信計(jì)算的總體思路，用主動(dòng)免疫的思想對(duì)網(wǎng)絡(luò)空間尤其是數(shù)控機(jī)床等設(shè)施領(lǐng)域的安全防護(hù)思路進(jìn)行研究和探索，基于國(guó)產(chǎn)密碼算法構(gòu)建內(nèi)生安全能力。

（3）開(kāi)展數(shù)控機(jī)床網(wǎng)絡(luò)安全評(píng)估評(píng)測(cè)

目前，數(shù)控設(shè)備的遠(yuǎn)程維護(hù)需要通過(guò)互聯(lián)網(wǎng)進(jìn)行，存在的漏洞容易被攻擊者利用進(jìn)行惡意攻擊，導(dǎo)致數(shù)控設(shè)備直接面臨互聯(lián)網(wǎng)中的安全風(fēng)險(xiǎn)。應(yīng)建立數(shù)控機(jī)床網(wǎng)絡(luò)安全評(píng)估評(píng)測(cè)體系，開(kāi)展數(shù)控機(jī)床網(wǎng)絡(luò)安全評(píng)估評(píng)測(cè)。一方面，圍繞數(shù)控機(jī)床系統(tǒng)固件安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、接入安全等要求，建立數(shù)控機(jī)床網(wǎng)絡(luò)安全測(cè)試評(píng)估體系，建立安全能力評(píng)估模型。另一方面，針對(duì)數(shù)控機(jī)床抗?jié)B透能力、惡意代碼防范、抗DDoS能力、漏洞隱患情況等漏洞隱患防護(hù)能力等進(jìn)行安全能力分析研究和攻擊防護(hù)測(cè)試，推動(dòng)數(shù)控機(jī)床安全檢測(cè)認(rèn)證和設(shè)備能力提升。

（4）推動(dòng)數(shù)控機(jī)床相關(guān)安全產(chǎn)品應(yīng)用及市場(chǎng)發(fā)展

目前國(guó)內(nèi)使用的主流數(shù)控設(shè)備，其核心系統(tǒng)大部分是國(guó)外廠(chǎng)家產(chǎn)品，特別是高端數(shù)控機(jī)床控制系統(tǒng)和數(shù)控機(jī)床整體聯(lián)網(wǎng)解決方案。因此，應(yīng)加快對(duì)數(shù)控機(jī)床核心關(guān)鍵技術(shù)攻關(guān)，推動(dòng)相關(guān)安全產(chǎn)品和服務(wù)的開(kāi)發(fā)應(yīng)用。一方面，鼓勵(lì)國(guó)內(nèi)重點(diǎn)企業(yè)、科研機(jī)構(gòu)、高校等加強(qiáng)合作，推動(dòng)研制具備訪(fǎng)問(wèn)控制、數(shù)據(jù)安全防護(hù)、病毒防護(hù)與分析、NC文件語(yǔ)義分析與審計(jì)、鏈路加密、智能預(yù)警等能力的數(shù)控機(jī)床安全增強(qiáng)防護(hù)設(shè)備。另一方面，圍繞數(shù)控機(jī)床安全產(chǎn)品的功能、性能及安全性等設(shè)計(jì)安全認(rèn)證級(jí)別，開(kāi)展數(shù)控機(jī)床相關(guān)安全產(chǎn)品及服務(wù)分類(lèi)分級(jí)管理，為不同部門(mén)、行業(yè)企業(yè)提供安全級(jí)別選擇，遴選達(dá)標(biāo)安全產(chǎn)品目錄清單，推動(dòng)數(shù)控機(jī)床安全產(chǎn)品市場(chǎng)發(fā)展。

摘自《數(shù)控機(jī)床網(wǎng)絡(luò)安全研究報(bào)告（2023年）》

來(lái)源：中國(guó)信息通信研究院和北京神州綠盟科技有限公司

摘自《自動(dòng)化博覽》2024年3月刊