数控机床网络安全研究报告(2023年)
AI智能总结
数控机床网络安全研究报告 (2023年) 中国信息通信研究院安全研究所 工业互联网安全技术试验与测评工业和信息化部重点实验室北京神州绿盟科技有限公司 2023年4月 版权声明 本报告版权属于中国信息通信研究院和北京神州绿盟 科技有限公司,并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的,应注明“来源:中国信息通信研究院和北京神州绿盟科技有限公司”。违反上述声明者,编者将追究其相关法律责任。 前言 数控机床作为制造业的“工作母机”,是工业领域生产加工的关键设备,数控机床本身的安全性以及在应用过程中的网络安全防护能力直接影响工业生产和业务,其存在的漏洞及后门程序将对整个工业领域形成巨大的威胁,这些威胁既包含其自身被入侵的威胁,也包含对网络和云平台的威胁。同时,随着工业互联网的快速发展,数控机床打破原有的封闭性,实现互联互通已成为企业发展的必然要求,数控机床联网运行已成为趋势,管理机、服务器盗用权限登录等都会带来安全隐患,如何保证数控机床联网运行的网络与数据安全逐渐成为制约工业互联网发展的关键问题之一。 对于海量、多种类的数控机床,传统单一的安全防护技术手段无法解决数控机床网络安全问题,需要从安全基线、主机安全、网络边界等各个层次提升数控机床的安全防护能力。本报告以工业互联网背景下数控机床的发展为基础,从数控机床国内外政策、安全技术研究、技术标准规范等方面分析了数控机床的网络安全现状。同时,详细分析了数控机床存在的漏洞隐患、入侵攻击等网络安全风险及深层次原因,并给出安全防护实施方案建议。最后,从标准、技术研究、评估评测等方面提出数控机床网络安全未来的工作方向。 目录 一、工业互联网背景下数控机床的发展1 (一)数控机床典型网络架构1 (二)数控机床逐步从单点封闭走向开放互联3 (三)数控机床智能化技术的发展逐渐成熟4 二、数控机床网络安全防护现状5 (一)国内外相关政策法规对数控机床网络安全提出要求6 (二)国内外针对数控机床等智能制造系统安全防护技术开展积极研究6 (三)数控机床的网络信息安全防护体系日渐完备7 (四)数控机床相关安全标准和技术规范仍需完善7 三、数控机床网络安全风险分析8 (一)数控机床系统设计漏洞和预留后门存在安全隐患9 (二)数控协议及传输链路存在安全风险,导致数据泄露10 (三)对移动存储介质及数控机床串口缺乏技术管控,存在网络入侵安全风险10 (四)用户身份认证能力不足,数控机床远程监测和维护存在风险11 (五)网络边界扩大导致网络入侵安全风险11 (六)数控机床缺乏内部安全防护机制12 四、数控机床网络安全防护实施13 (一)开展数控机床网络安全基线管理14 (二)加强数控网络边界防护15 (三)加强数控主机安全防护16 (四)完善数控机床网络资产管理和安全监测审计17 (五)可信计算技术提高数控机床内生安全17 (六)打造数控机床安全综合防护体系18 五、数控机床网络安全发展建议18 (一)推进数控机床相关安全标准规范制定19 (二)提升数控机床网络安全综合技术防护能力19 (三)开展数控机床网络安全评估评测20 (四)推动数控机床相关安全产品应用及市场发展20 参考文献22 图目录 图1数控机床典型网络架构3 图2典型数控机床网络安全风险9 图3数控机床网络安全防护示意图14 图4数控机床网络边界安全防护示例14 图5数控机床主机安全防护示例14 表目录 表1数控机床协议分布13 一、工业互联网背景下数控机床的发展 数控机床是工业领域生产加工的关键设备,广泛应用于航空航天、车辆制造、船舶制造等关系国防安全、经济安全和社会安全的关键行业。随着智能制造的深度推进和工业互联网的发展,工控系统逐步从单机走向互联、从封闭走向开放,我国数控加工行业也开始大力推进数控机床的网络化,单点通信数控机床控制方式逐渐被淘汰,如今数控机床多数采用的分布式数控系统,可以使用一台计算机对多台数控机床实现数字控制,并且能够执行计划调度、程序分配、远程监控和控制管理等功能。数控机床等设备联网程度及应用范围不断扩大,并且不断发展以适应生产加工的需要。 (一)数控机床典型网络架构 工业互联网背景下数控机床典型网络架构如图1所示,包括数控设备层、监督控制层和运营管理层。数控设备层中是通过有线通信或无线通信方式联网的数控机床等设备。监督控制层中是各类数据采集服务器及NC(NumericalControl,数字控制)服务器。运营管理层包括CAD(ComputerAidedDrafting,计算机辅助设计)、CAM(ComputerAidedManufacturing,计算机辅助制造)、CAPP(ComputerAidedProcessPlanning,计算机辅助工艺过程设计)、PDM(ProductDataManagement,产品数据管理)、MES(ManufacturingExecutionSystems,制造执行系统)等各类服务器。监督控制层中是各类数据采集服务器和NC服务器。根据生产规模的不同,NC服务器、采集服务器可能会分级部署,如(厂级)NC代码服务器、(车间级)NC代码子服务 器,(厂级)采集服务器、(车间级)采集子服务器。监督控制层的服务器和运营管理层的服务器进行信息交互。PDM实现设计图纸、工艺文件、加工程序的集中管理。企业的设计图纸、工艺文件、加工程序可以分散在CAD、CAM、CAPP等不同的系统中进行管理。NC服务器从运营管理层系统获取设计图纸、工艺文件以及定型的NC代码并进行存储,根据MES下达的生产任务向设备下发加工程序。采集服务器接收设备采集的加工状态信息并将设备加工状态信息反馈给MES系统。设备根据预先编制的程序指令,控制生产过程的运行,采集设备运行状态信息传送给采集服务器。 数控网络通过交换机等设备与互联网连接,在运行过程中,不断地引入数值数据,从而实现设备工作过程的自动化控制。数控网络同时连接工业互联网平台及数控APP(Application,应用软件),查看业务流程数据、设备状态信息、模型信息等。通过网络可以实现NC代码的集中管理、设备的启停控制以及设备加工状态的自动采集。 数控机床 数控机床 数控机床 VPN NC服务器 采集服务器 交换机 远程维护计算机 MES 服务器 PDM 服务器 CAPP 服务器 CAM 服务器 CAD 服务器 交换机 客户端 Internet …… 运营管理层 监督控制层 …… 数控设备层 图1数控机床典型网络架构 来源:中国信息通信研究院 (二)数控机床逐步从单点封闭走向开放互联 数控机床是一种高精度、高效率的自动化机床,配备多工位刀塔或动力刀塔,具有广泛的加工工艺性能,在复杂零件的批量生产中发挥了良好的经济效果。传统数控机床多数采用工程师手动编辑控制程序的方式工作,此类传统控制方式机械而繁琐,消耗人工成本同时又不利于生产效率的扩张。虽然有些数控机床采用了计算机与数控机床进行单点通信,但所用的通信程序是基于Windows操作系统的单机通信程序,必须在机床端和计算机端交替操作才能完成通信,且通信距离十分有限,给操作带来许多不便。随着智能制造的深度推进和工 业互联网的发展,手动编程和单点通信数控机床控制方式逐渐被淘汰,如今数控机床多数采用的分布式数控(DistributedNumericalControl,DNC)系统,可以使用一台计算机对多台数控机床实现数字控制,并且能够执行计划调度、程序分配、远程监控和控制管理等功能。DNC系统的出现使数控机床摆脱了单点站控方式并实现了基本的互联。 DNC大致经历了四个发展阶段。第一阶段使用串口通讯(多为RS232和RS485)进行分布式控制组网,可以进行控制程序的在线下装和参数读取以及指令控制,这也是DNC系统的雏形,但是串口通讯方式开放性比较差,通讯带宽小。第二阶段是采用以太网通讯方式,此类方式由于具备高带宽,相较于串口组网场景能够适应更多的DNC系统功能,不过通讯协议多为厂商私有协议,如FANUC的FOCAS、三菱的EZSocket。第三阶段仍是以太网通讯方式,为改变厂家私有协议的闭塞性,提高DNC系统应用的开放性,出现了OPCUA和MTConnect以及NC-Link(国内制定)等面向互联网应用的通讯标准,极大地提高了数控系统的开放性。 (三)数控机床智能化技术的发展逐渐成熟 近年来,智能化数控机床在工业中的应用广泛,为我国工业发展带来了巨大的经济效益。数控机床智能化在工业发展中的主要应用应该归功于其全自动化的运行模式,自动化数控机床在每个工作环节中都采用自动工作的方式,减轻了工作人员的负担,并且降低了企业发展的成本。 在数控系统智能加工方面,数控化系统的加工技术能够提高机床 工业部件的加工水平,提高工业生产效率。运用优化“预判”功能的精细曲面控制技术可以利用前进后退的工作路径,实现优化压缩机的合理运用,确保其工作过程中的精准程度以及加工工作。在数控机床远程控制方面,专业人员利用软硬件实现对数控机床高级别的控制,包括设备的启动、停止,设备状态的查看、设备维护等,无须工作人员值守,通过对数控机床运行参数的收集和分析,可以及早地发现存在的隐性故障,降低机床的故障率。 通过对网络技术的应用,不断优化数控机床生产加工流程,提升生产和工作效率。数控机床在此背景之下也不断地优化升级,开放网络端口或远程控制端口借助互联网实现进程控制数控机床生产和操作,智能化水平越来越高。 二、数控机床网络安全防护现状 随着制造行业分布式数控系统逐步从封闭走向开放,数控机床联网运行已成为趋势,数控机床本身存在不可控的漏洞、后门等安全隐患。同时,互联网安全威胁向工厂内逐渐渗透扩散,针对数控机床等设备的勒索病毒持续发酵,将会导致数控机床乃至整个生产线停机,造成企业重大损失。亟需开展数控机床安全防护技术研究,建立数控设备网络信息安全防护体系,提升我国数控机床网络安全防护供给侧能力,为保障国家网络安全、护航新基建夯实产业基础。 (一)国内外相关政策法规对数控机床网络安全提出 要求 近年来,美国、欧盟等国家强化政策法规引导,将数控机床等工业设备网络安全作为重要部署方向。美国在2018年《美国先进制造业领导力战略》报告中将制造业的网络安全作为发展的重点方向,提出实施制造系统中网络安全的新兴技术。2017年,欧盟网络空间安全局发布《欧盟关键信息基础设施环境中的物联网安全基线指南》,将设备安全作为物联网系统安全的重要内容。我国工业和信息化部联合国家能源局等十个部门出台了《加强工业互联网安全工作的指导意见》,要求“加强工业生产、主机、智能终端等设备安全接入和防护,强化控制网络协议、装置装备、工业软件等安全保障,推动设备制造商、自动化集成商与安全企业加强合作,提升设备和控制系统的本质安全”。 (二)国内外针对数控机床等智能制造系统安全防护 技术开展积极研究 在技术研究方面,美国国土安全部制定了专门的工业控制系统安全计划,形成了由国家职能部门协调管理、国家级专业队伍、实验室和科研机构提供技术支撑、用户及厂商共同参与的技术研究体系,并制定了国家SCADA测试床计划,针对数控机床等开展网络信息安全测评。日本大隈(Okuma)的OSP病毒防护系统在OkumaOSP-P控制系统中内置了病毒扫描应用接口来防止感染从网络或USB设备传播的病毒,在数控机床网络安全防护中得到广泛应用。国内高校提出 一种数控加工网络信息安全防护方案,部署数控加工网络边界隔离设备和数控系统终端防护设备,保障数控网络安全[1]。 (三)数控机床的网络信息安全防护体系日渐完备 国内相关科研机构提出了DNC数控网络系统安全防护架构,部署防火墙在办公局域网和DNC数控网之间过滤数据,然而该方案对于内部信息泄露缺乏有效的防护[2]。刘杰等人提出一种数控网络信息安全综合防护方案,采用可信安全防护技术,融合基础数据和系统安全防护技术,形成数控机床自动化网络安全综合防护功能[3]。国内学者对数控机床控制系统的信息安全防护技术体系与评估机制开展了
