中國信通院聯合發布《數控機床網絡安全研究報告(2023年)》
數控機床作為制造業的“工作母機”,是工業領域生產加工的關鍵設備,數控機床本身的安全性以及在應用過程中的網絡安全防護能力直接影響工業生產和業務。隨著工業互聯網的快速發展,數控機床打破原有的封閉性,實現互聯互通已成為企業發展的必然要求,數控機床聯網運行已成為趨勢,如何保證數控機床聯網運行的網絡與數據安全逐漸成為制約工業互聯網發展的關鍵問題之一。
對于海量、多種類的數控機床,傳統單一的安全防護技術手段無法解決數控機床網絡安全問題,需要從安全基線、主機安全、網絡邊界等各個層次提升數控機床的安全防護能力。近期,中國信息通信研究院(簡稱“中國信通院”)依托工業互聯網安全技術試驗與測評工業和信息化部重點實驗室聯合北京神州綠盟科技有限公司編寫了《數控機床網絡安全研究報告(2023年)》,現正式發布。
報告以工業互聯網背景下數控機床的發展為基礎,從數控機床國內外政策、安全技術研究、技術標準規范等方面分析了數控機床的網絡安全現狀。報告詳細分析了數控機床存在的漏洞隱患、入侵攻擊等網絡安全風險及深層次原因,并給出安全防護實施方案建議。最后,報告從標準、技術研究、評估評測等方面提出數控機床網絡安全未來的工作方向。
報告核心觀點 1. 國內外針對數控機床等智能制造系統安全防護技術開展積極研究 美國國土安全部制定了專門的工業控制系統安全計劃,形成了由國家職能部門協調管理、國家級專業隊伍、實驗室和科研機構提供技術支撐、用戶及廠商共同參與的技術研究體系,并制定了國家SCADA測試床計劃,針對數控機床等開展網絡信息安全測評。日本大隈(Okuma)的OSP病毒防護系統在Okuma OSP-P控制系統中內置了病毒掃描應用接口來防止感染從網絡或USB設備傳播的病毒,在數控機床網絡安全防護中得到廣泛應用。國內高校提出一種數控加工網絡信息安全防護方案,部署數控加工網絡邊界隔離設備和數控系統終端防護設備,保障數控網絡安全。 2. 數控協議及傳輸鏈路存在安全風險,導致數據泄露 數控DNC網絡采用TCP/IP協議將原獨立運行的數控機床組成數控機床網絡,數控機床通常采用工業Wi-Fi等無線通信方式。一方面,無線接入方式避免了有線接入物理環境限制和鋪設線路的成本,但在網絡安全層面上相較于有線網絡更具風險性,無線Wi-Fi易發生會話劫持數據泄露的風險,利用對無線信號的監聽竊取傳輸數據,通過偽造指令或者數據攔截進行惡意攻擊。另一方面,多數數控機床控制系統使用明文方式傳輸和管理加工代碼,這樣容易導致未加密的加工代碼被非法獲取,并通過專用軟件對加工物品進行還原,導致制造數據泄密。 3. 應打造數控機床安全綜合防護體系,提升整體安全能力 針對數控機床所面臨未知網絡威脅的持續性、組合性、跨域性和定向性等特點,應逐一應對解決傳統被動防護難以應對利用邏輯缺陷的攻擊等問題。一方面,對數控機床開展安全關鍵技術的聯合攻關和創新,打造集事前預警、事中感知防御、事后審查等功能于一體的“數控機床安全增強防護設備”體系。實現防護思路由被動“封堵查殺”到主動免疫防御的轉變,建立云、邊、端的內生安全防護架構,確保設備、系統、網絡的可靠性、穩定性,有效提升制造企業生產網絡的整體安全性。另一方面,建設覆蓋設備、主機、網絡、數據的數控機床綜合防護體系,建立事前身份認證、加密,事中感知、防御,事后審計、追溯等多路徑閉環的安全防護體系,提升數控機床領域的整體安全能力。 4. 建議推動數控機床相關安全產品應用及市場發展 應加快對數控機床核心關鍵技術攻關,推動相關安全產品和服務的開發應用。一方面,鼓勵國內重點企業、科研機構、高校等加強合作,推動研制具備訪問控制、數據安全防護、病毒防護與分析、NC文件語義分析與審計、鏈路加密、智能預警等能力的數控機床安全增強防護設備。另一方面,圍繞數控機床安全產品的功能、性能及安全性等設計安全認證級別,開展數控機床相關安全產品及服務分類分級管理,為不同部門、行業企業提供安全級別選擇,遴選達標安全產品目錄清單,推動數控機床安全產品市場發展。
報告目錄 一、工業互聯網背景下數控機床的發展 (一)數控機床典型網絡架構 (二)數控機床逐步從單點封閉走向開放互聯 (三)數控機床智能化技術的發展逐漸成熟 二、數控機床網絡安全防護現狀 (一)國內外相關政策法規對數控機床網絡安全提出要求 (二)國內外針對數控機床等智能制造系統安全防護技術開展積極研究 (三)數控機床的網絡信息安全防護體系日漸完備 (四)數控機床相關安全標準和技術規范仍需完善 三、數控機床網絡安全風險分析 (一)數控機床系統設計漏洞和預留后門存在安全隱患 (二)數控協議及傳輸鏈路存在安全風險,導致數據泄露 (三)對移動存儲介質及數控機床串口缺乏技術管控,存在網絡入侵安全風險 (四)用戶身份認證能力不足,數控機床遠程監測和維護存在風險 (五)網絡邊界擴大導致網絡入侵安全風險 (六)數控機床缺乏內部安全防護機制 四、數控機床網絡安全防護實施 (一)開展數控機床網絡安全基線管理 (二)加強數控網絡邊界防護 (三)加強數控主機安全防護 (四)完善數控機床網絡資產管理和安全監測審計 (五)可信計算技術提高數控機床內生安全 (六)打造數控機床安全綜合防護體系 五、數控機床網絡安全發展建議 (一)推進數控機床相關安全標準規范制定 (二)提升數控機床網絡安全綜合技術防護能力 (三)開展數控機床網絡安全評估評測 (四)推動數控機床相關安全產品應用及市場發展
主要專家簡介 中國信通院安全研究所高級工程師,博士 董悅 工業互聯網安全技術試驗與測評工業和信息化部重點實驗室成員,從事工業互聯網安全與工業控制系統安全方向的技術研究及標準研制。 中國信通院安全研究所工業網絡與數據安全中心主任,高級工程師 柯皓仁 工業互聯網產業聯盟安全組聯執主席,具備多年工業互聯網及工控安全方向的技術研究、項目實踐經驗,參與多項工業互聯網及工控相關國家標準、行業標準、國家政策法規的研制工作,牽頭及參與多項國家級、省級工業互聯網安全重點平臺建設。 中國信通院安全研究所工程師 李寶強 工業互聯網安全技術試驗與測評工業和信息化部重點實驗室成員,從事工業互聯網安全與工業控制系統安全方向的技術研究,目前主要牽頭實驗室能力建設工作。
版權聲明:本報告版權屬于中國信息通信研究院和北京神州綠盟科技有限公司,并受法律保護。轉載、摘編或利用其它方式使用本報告文字或者觀點的,應注明“來源:中國信息通信研究院和北京神州綠盟科技有限公司”。違反上述聲明者,編者將追究其相關法律責任。
撰寫團隊聯系方式: 中國信通院 安全研究所 董悅 15201326713 dongyue3@caict.ac.cn
點擊“資料下載”,獲取報告。
AII微信公眾號
AII頭條號