数控机床网络安全解决方案
zhizao jixie 北京匡恩网络科技有限责任公司

1、数据机床的安全现状

目前国内使用的主流数控生产设备核心系统大部分是国外厂家,特别是专机和精机主要为国外厂家全套引进 ,如国内大量使用Siemens、FANUC等国外数控系统,核心技术受制于人,大大增加了不可控因素,而数控系统一旦遭到破坏和入侵,将直接导致生产的中断和产量的降低,更重要的是由厂商提供远程维护升级,这直接导致生产数据及工艺等机密信息的泄露从而影响到我国家战略安全。因此,数控系统安全不容忽视,进行数控机床的安全防护是迫切和必要的。

数控机床应用存在以下安全隐患:

1、上位机、服务器外接USB存储设备,致使其被病毒感染,USB外接手机、PDA等智能上网设备,致使其直接暴露在互联网上,给安全生产与加工数据安全带来重大安全隐患;

2远程运维操作、日常生产操作中存在非法操作行为直接影响安全生产与加工数据的安全性,如:非法篡改加工指令、盗取加工数据等行为;

3)数控机床的DNC联网,以及随着国家两化融合、中国制造2025国家战略的推进,工业控制网络的开放性必然会带各种网络攻击风险;

2、解决方案

面对数控机床应用的安全现状,匡恩网络做了深入的调查与研究,最对不同的应用场景,我方提供全生命周期的安全解决方案,为数控机床安全生产构建安全防御体系。

1)数控机床风险评估:

风险评估是全面了解与验证数据机床使用环境中存在的各种风险的一种必要手段,是安全防护体系建设的前提,我方将针对用户数控机床运行环境与安全管理制度,借助专业的威胁评估平台工具,生成权威的安全风险评估报告,为用户全面了解数控机床安全风险提供依据。

威胁评估平台具备整套创新性的风险评估科学方法,包括项目管理、全面数据收集、全网攻击路径、结构安全性分析、流程审计、网络行为审计、专业评分报告等。该工具搭载专业的可升级的工控安全漏洞库,覆盖当前工业控制网络中存在的各种已知漏洞,并且提供漏洞防护安全策略。工具支持分阶段、多人配合使用,方便用户根据实际情况有计划有步骤的完成风险评估以及后续安全数据收集分析工作。

 

数控-1.png

图1 数控机床风险评估典型部署

2)单机运行防护方案:

数控-2.png

图2 数控机床单机运行安全防护部署

数控机床单机部署时,安全风险主要出现在管理主机上,如上图所示,我们通过在数控机床与管理机间串行部署数控审计保护平台,此产品具有数控审计与智能防护两大功能,通过多种安全策略部署,可实现APT攻击、异常控制和非法数据包进行深度分析、过滤、告警、阻断并对各类安全威胁实施监测审计,实现对数控机床的有效安全防护。通过在管理主机上安装工控卫士来实现管理主机防病毒与USB外设管理,进而保证数控机床单机环境运行安全。

3)DNC联网运行防护方案:

 

QQ截图20161123181311.png

图3 DNC联网安全防护部署图

上图为数控机床DNC联网运行典型的组网拓扑图,我们通过在各网络分区边界、数控机床边界串行或旁路部署数控审计保护平台实现对区域内及终端的有效保护,通过部署安全监管平台实现对网内部署的若干数控审计保护平台的统一配置与安全事件管理,实现全网安全风险管理、分析与呈现。网内的上位机、服务器上统一部署工控卫士安全软件,实现主机运行进程的控制与管理、主机USB外接存储设备的认证与管理以及文件操作行为审计。

4)高仿真攻防对抗平台建设

由于工业控制网络对稳定性要求相当严格,为了能更好的进行数控机床应用的安全风险研究,我方可帮助用户建设高仿真攻防对抗平台,通过不断的在仿真系统上进行深入的漏洞挖掘、攻击研究,完成攻击效果展示及安全防护方案验证。

(1)提供工控网络安全标准制定的仿真分析环境

(2)提供工控网络安全标准草案的离线验证环境

(3)提供工控网络安全事故和漏洞根源分析试验环境

(4)提供工控网络安全保护及补偿性措施验证环境

5)安全培训与安全运维服务

安全培训是为用户提供工业控制网络安全风险与解决方案标准化培训,提供针对用户数控机床应用安全运维专业培训,为用户普及信息安全知识、工控网络安全知识、工控网络安全问题解决对策和工控网络安全前沿研究成果;针对用户数控机床的安全防护体系建设,详细介绍日常运维、漏洞挖掘与安全风险处置方法等。

 

我方可根据用户需要提供专业的安全运维服务,帮助用户做好日常安全运维工作。

 

3、业务价值

匡恩网络凭借对国内数控机床应用的深入了解,提供以上数控机床应用的全生命周期的安全解决方案,为用户安全生产,数据防泄密,为两化融合、中国制造2025国家战略实施进行安全保驾护航。