|
随着IPv6下一代互联网技术的部署和5G时代的到来,工业互联网将面临更为复杂多变的挑战。工业互联网作为新一代信息技术与制造业深度融合的新兴业态和应用模式,其安全性更是在产业智能制造转型中起到至关重要的驱动作用。 “中国制造 2025”拉开工业互联网(工业 4.0)序幕2020白菜网站大全_2020白菜纯送彩金。2015 年 5 月 19 日,经李克强总理签批,中国国务院印发《中国制造 2025》,部署全面推时实施制造强国战略。这是中国实施制造强国战略首个十年的行动纲领2020白菜网站大全_2020白菜纯送彩金。报告明确,智能制造是未来制造业发展的重点方向。中国在 2015 年已启动智能制造试点,2016 年会扩大试点2020白菜网站大全_2020白菜纯送彩金,2017年将全面推广2020白菜网站大全_2020白菜纯送彩金。中国制造 2025 十大重点领域,与传统的规划相比2020白菜网站大全_2020白菜纯送彩金,《中国制造 2025》的主要突出之处包括: 1、突出了创新驱动发展的战略2020白菜网站大全_2020白菜纯送彩金,始终将创新作为核心竞争力; 22020白菜网站大全_2020白菜纯送彩金、贯穿应对新一轮的科技革命和产业发革的内容,通过这个规划实现从工业 2.0、工业 3.0 到工业 4.0 的跨越式发展2020白菜网站大全_2020白菜纯送彩金; 3、重点突破(上图十大领域)的战略。 工控网络安全问题解析 制造业工控网络主要存在的是泄密与安全问题: 尽管对中国工业化所处阶段仍然存在争议,但正如国务院发展研究中心指出的,总体上看中国工业化处于中期阶段,但已出现向后期阶段过渡的明显特征。与德国等西方工业发达国家相比,矛盾和问题依然存在。主是问题是制造也工控网络泄密与安全问题,工控系统信息安全问题突出,主要涉及到:信息泄密2020白菜网站大全_2020白菜纯送彩金、数据安全(企业信息?;ず透鋈艘奖2020白菜网站大全_2020白菜纯送彩金;ぃ?2020白菜网站大全_2020白菜纯送彩金、功能安全等。 生产网与管理网互联带来的安全隐患 传统防火墙只能实现基于端口的防护2020白菜网站大全_2020白菜纯送彩金,从而达到管理网与生产网的逻辑隔离。但是,传统防火墙不能识别和过滤工业协议2020白菜网站大全_2020白菜纯送彩金,无法防范基于工业协议的网络攻击,从外部发起的工业攻击一旦穿透防火墙,将会对生产控制网络造成严重的破坏。因此,建议在管理网核心交换机和生产网核心交换机之间增加工业防火墙2020白菜网站大全_2020白菜纯送彩金,实现对基于工业协议网络攻击的安全防护。 变速器厂的整个工业网络完全没有采取工控安全防护措施,存在很大的安全隐患,一旦从外部突破防火墙,整个生产网络就完全暴露在攻击者面前。具体安全分析如下: 1、缺乏清晰的网络边界:各车间不同区域间网络简单地冗余互联,容易导致不同性质的业务、设备2020白菜网站大全_2020白菜纯送彩金、通信混在一起,会给关键的生产控制带来安全风险。 2、缺乏边界访问控制措施:管理网络与生产网络之间2020白菜网站大全_2020白菜纯送彩金、生产网络生产区与控制区之间2020白菜网站大全_2020白菜纯送彩金、各生产区域之间、远程维护接入、无线接入缺乏必要的隔离控制措施,出现安全问题会互相影响。 3、区域间通信缺乏防护:各生产工艺流程之间的数据交换、组态变更、协议通信、数据采集、远程维护等缺乏有效的隔离与控制,易导致网络攻击发生2020白菜网站大全_2020白菜纯送彩金。 4、缺乏恶意程序防护措施:生产网络中大量上位机操作系统老旧2020白菜网站大全_2020白菜纯送彩金,系统补丁、病毒库长期不更新,难以防范恶意软件攻击。 5、难以防范工控恶意攻击:缺乏基于工业协议的安全防护手段2020白菜网站大全_2020白菜纯送彩金2020白菜网站大全_2020白菜纯送彩金,难以基于工业协议识别恶意操作,远程攻击窃取关键数据2020白菜网站大全_2020白菜纯送彩金、配方、控制程序等,篡改关键控制参数与程序,对生产网络运行造成恶意损坏2020白菜网站大全_2020白菜纯送彩金。 6、缺乏安全事件监管机制:缺乏工业安全审计设备和安全日志统计分析手段,无法实现对工业以太网的可感知与可控制。 数控设备自身存在安全隐患 目前,在中国高端数控设备的应用市场中,以国外设备为主2020白菜网站大全_2020白菜纯送彩金,设备自身存在的后门2020白菜网站大全_2020白菜纯送彩金、漏洞等安全隐患,是制造企业在生产和维护过程中无法自主可控的。 在中国高端数控机床 CNC 系统应用市场中,主要是国外品牌发那科 FANUC(日本)、西门子 SIEMEMS(德国)、海德汉 HEIDENHAIN(德国)2020白菜网站大全_2020白菜纯送彩金、马扎克MAZAK、(日本)2020白菜网站大全_2020白菜纯送彩金、HAAS(美国)占据主导地位。另外大量国产数控机床品牌的CNC 系统OEM了日本 FANUC 的 CNC 系统。 在中国精密测量仪器应用市场中2020白菜网站大全_2020白菜纯送彩金,主要是国外品牌占据主导地位2020白菜网站大全_2020白菜纯送彩金,?020白菜网站大全_2020白菜纯送彩金?怂箍礖exagon(瑞典)市场份额占 55%,蔡司 ZEISS(德国)市场份额占 20%2020白菜网站大全_2020白菜纯送彩金,无法自主可控,系统设备存在预留后门的安全风险。 大型制造企业使用的是国外 DNC系统,有美国的 Predator 或丹麦的 CIMCO,这两家公司解决方案和软件占据了国内超过 90%的 DNC 解决方案市场2020白菜网站大全_2020白菜纯送彩金,DNC系统存在的安全漏洞、后门也是无法自主可控的。 滥用 USB 设备导致非法外联2020白菜网站大全_2020白菜纯送彩金、病毒感染与数据泄露 众多企业在生产和维护过程中,对于数控机床和测量仪器以及管理主机均存在滥用 USB 设备的情况2020白菜网站大全_2020白菜纯送彩金,其中包括各种类型的智能手机、非密 U 盘,部分主机甚至非法连接无线上网卡。智能手机可通过 3G/4G 移动网络连接外网,智能手机连接电脑后,只需进行对应的设置即可将智能手机的网络共享给管理主机使用。无线上网卡更是可以直接为电脑提供连接外网的途径。这些情况对于不应外联的现场数控生产环境而言,会导致对网络边界安全防护的失控,是巨大的安全风险及泄密隐患2020白菜网站大全_2020白菜纯送彩金。滥用 USB 设备也存在摆渡病毒2020白菜网站大全_2020白菜纯送彩金、摆渡数据,致使数控系统主机被病毒入侵而破坏2020白菜网站大全_2020白菜纯送彩金、加工数据被非法拷贝而出现泄密事故等重大安全风险发生。 智能制造网络缺乏必要的安全防护影响安全生产 智能制造网络缺乏必要的限制2020白菜网站大全_2020白菜纯送彩金,DNC服务器使用如 FTP 服务、Windows 网上邻居共享、私有协议等方式进行数控加工代码等数据的共享,缺乏必要的访问控制和身份验证2020白菜网站大全_2020白菜纯送彩金,任何接入该网络的主机皆可访问 DNC 服务器2020白菜网站大全_2020白菜纯送彩金,并进行加工代码下载/篡改等行为,可造成严重的数据泄密事件与安全生产事故。 管理主机缺乏对病毒的有效检测及防护机制 由于设备管理主机多数相对独立2020白菜网站大全_2020白菜纯送彩金,不与外网直接连接2020白菜网站大全_2020白菜纯送彩金,缺乏包括病毒防护、主机安全管理在内的安全机制2020白菜网站大全_2020白菜纯送彩金2020白菜网站大全_2020白菜纯送彩金,导致管理主机通过 USB 口或者内部网络而感染计算机病毒,如果感染了特定的病毒或木马后将可能在全厂范围内进行传播从而导致严重的数据泄露事件,同时病毒或木马对主机的侵染,也会直接影响正常生产业务2020白菜网站大全_2020白菜纯送彩金。 人员的安全意识和技能不足 由于数控设备使用环境相对封闭,使用人员侧重关注生产工艺的提升,而缺少对网络安全知识的关注2020白菜网站大全_2020白菜纯送彩金,使得相应的人员缺乏必要的网络安全防护意识和技能。 工控网络安全解决方案 数控上位机综合安全系统方案 数控上位机综合安全系统产品是专门为高端数控机床数控网络提供防护的安全产品2020白菜网站大全_2020白菜纯送彩金2020白菜网站大全_2020白菜纯送彩金。它以白名单的技术方式,监控主机的进程状态、网络端口状态、USB 端口状态,具备防病毒、防泄密的重要功能。 病毒破坏的常见方式,是在后台运行一个隐藏进程2020白菜网站大全_2020白菜纯送彩金,用户发现不了它的存在,常常不能及时杀灭病毒2020白菜网站大全_2020白菜纯送彩金。数控上位机综合安全系统产品能够发现隐藏进程2020白菜网站大全_2020白菜纯送彩金,并能在任何进程运行之前2020白菜网站大全_2020白菜纯送彩金,先判别该进程的身份,如果它是非法进程2020白菜网站大全_2020白菜纯送彩金,则会在其运行之前就将其杀死,避免数控主机遭到病毒的任何破坏。 病毒隐藏自身的另一种方式,是感染某些合法的程序,将自身代码嵌入到合法程序之中,从而避开杀毒工具的检查。数控上位机综合安全系统会检查程序的完整性,当发现程序被修改后,会阻止该程序的运行,从而阻止病毒的运行。 数控网络通常是物理隔离的独立网络2020白菜网站大全_2020白菜纯送彩金,病毒传染数控网络的主要途径,是通过 USB存储设备(如 USB 盘,移动硬盘等)。数控上位机综合安全系统严格控制 USB 存储设备的使用,只允许授权设备接入数控管理主机2020白菜网站大全_2020白菜纯送彩金,对于未授权或授权级别不够的设备,禁止从该设备上拷贝任何文件到数控管理主机2020白菜网站大全_2020白菜纯送彩金,从而阻止病毒感染到主机2020白菜网站大全_2020白菜纯送彩金。 因此,数控上位机综合安全系统能够从病毒发作、病毒隐藏2020白菜网站大全_2020白菜纯送彩金、病毒传染三个方面入手2020白菜网站大全_2020白菜纯送彩金,有效防护病毒和木马对于高端数控机床数控网络的破坏2020白菜网站大全_2020白菜纯送彩金。 在防泄密方面,数控上位机综合安全系统通过严格的 USB 存储设备的授权机制,不允许随意拷贝数控管理主机中的文件。当有人企图非法拷贝时,数控上位机综合安全系统会阻止文件拷贝,显示告警信息,并记录下安全事件(安全事件不可删除2020白菜网站大全_2020白菜纯送彩金,不可篡改)。 同时,除了事前防止之外,数控上位机综合安全系统还提供了完备的 USB 存储设备操作日志。当泄密事故发生后,可以从操作日志中追溯到泄密文件、泄密设备2020白菜网站大全_2020白菜纯送彩金、泄密日期等关键信息,从而提供了事后问责的有力依据。 此外,数控上位机综合安全系统还可以监控网络端口的开启与使用状态2020白菜网站大全_2020白菜纯送彩金,并监控网络流量速度。当网络速度过高时,数控上位机综合安全系统可以在不断开现有网络连接的情况下,降低和控制网络速度,从而避免网络拥塞与网络风暴的发生。 数控隔离防护方案 根据对多个高端数控机床数控系统的现场检测2020白菜网站大全_2020白菜纯送彩金,数控系统的安全问题2020白菜网站大全_2020白菜纯送彩金,安全性弱2020白菜网站大全_2020白菜纯送彩金、健壮性差2020白菜网站大全_2020白菜纯送彩金,存在主动外联境外地址的后门问题,受外网 APT 攻击威胁,针对本高端数控机床数控系统进行核心数控系统边界智能防护与访问控制。 加强对核心数控系统可信访问的安全?2020白菜网站大全_2020白菜纯送彩金;?2020白菜网站大全_2020白菜纯送彩金,利用黑名单2020白菜网站大全_2020白菜纯送彩金、白名单、IP-MAC 地址绑定相结合的防护机制,有效防止内网络病毒、未知设备接入、网非法访问、中间人攻击2020白菜网站大全_2020白菜纯送彩金、外网 APT 攻击及外网远程升级带来的安全风险;并能实时对网络行为、流量的异常监测控制,通过对数控“协议”深度解析,确保设备代码指令的合法性与完整性。从根本上解决“数控协议”漏洞2020白菜网站大全_2020白菜纯送彩金、数控系统后门、无意/恶意操作等行为带的安全威胁2020白菜网站大全_2020白菜纯送彩金。 通过多种安全策略,结合独有的数控网络安全漏洞库2020白菜网站大全_2020白菜纯送彩金,对 APT 攻击、异??刂菩形头欠ㄊ莅懈婢妥瓒?,并对各类安全威胁实施监控,快速直观地了解数控网络安全状况,实现全网安全防护。 基于已知漏洞防御?2020白菜网站大全_2020白菜纯送彩金;すδ?,通过将已知漏洞库中的已知策略与网络中的数据和行为进行提取、匹配、判断,对所有异常数据和行为进行阻断和告警,消除已知漏洞危害。 对网络中所有不符合白名单的安全数据和行为特征进行阻断和告警,消除未知漏洞危害。 将 IP 地址与 MAC 地址进行绑定,防止内部 IP 地址被非法盗用,增强网络安全。 支持数控专业协议 FANUCFOCAS/HSSB、CNC2020白菜网站大全_2020白菜纯送彩金、DNC、FTP2020白菜网站大全_2020白菜纯送彩金、OPC 、S7、TCP/IP、UDP2020白菜网站大全_2020白菜纯送彩金、Profinet 等协议,并可对协议数据包深度解析。 支持主流高端数控机床、精密测量仪器、联网整体解决方案 FANUC、SIEMEMS840D2020白菜网站大全_2020白菜纯送彩金、HEIDENHAIN、MAZAK、Hexagon、ZEISS、CIMCO、DMG/Miro Seiki、Hass、Mitsubishi、Bosh2020白菜网站大全_2020白菜纯送彩金、Fagor、Agie2020白菜网站大全_2020白菜纯送彩金、广数、华中、塞维、夏儿等数据解析。 支持多种编码识别能力2020白菜网站大全_2020白菜纯送彩金,包括ASCII、Unicode、UTF-8、UTF-16、GB23122020白菜网站大全_2020白菜纯送彩金、EBCDIC等编码格式。避免因编码格式不同而导致记录出现乱码的情况2020白菜网站大全_2020白菜纯送彩金,保证了记录的可读性。 可有效防御 Havex 这类通过合法指令窃取数据的恶意病毒,极大提高工数控网络安全性。 网络监测审计方案 根据对多个精密测量仪器数控系统的现场检测,上位机安全脆弱性、存在非法外连、病毒感染等现象2020白菜网站大全_2020白菜纯送彩金,数控系统安全性弱2020白菜网站大全_2020白菜纯送彩金、健壮性差、存在主动外联境外地址的后门问题2020白菜网站大全_2020白菜纯送彩金,存在移动存储介质的使用、空密码登陆、核心数据本地明文存储等问题。为了确保数控系统数据的安全性、保密性2020白菜网站大全_2020白菜纯送彩金、完整性、可用性,针对本精密测量仪器数控系统设计实时数控监测审计方案。 数控监测审计主要是通过对精密测量仪器数控系统整体、综合监测审计2020白菜网站大全_2020白菜纯送彩金,能够及时审计、记录来自工作人员、厂商、生产网内部及外部对数控系统的操作行为2020白菜网站大全_2020白菜纯送彩金,以及来自外部的攻击威胁,及时提供监测与预警,并确保事后的可追溯性。 数控监测审计对数控网络数据、事件进行实时监测、实时告警2020白菜网站大全_2020白菜纯送彩金,帮助用户实时掌握数控网络运行状况。 数控监测审计对网络中存在的所有活动提供行为审计、内容审计,生成完整记录便于事件追溯。 数控监测审计支持数控专业协议FANUC FOCAS/HSSB、CNC2020白菜网站大全_2020白菜纯送彩金2020白菜网站大全_2020白菜纯送彩金、DNC、FTP、OPC 、S7、TCP/IP、UDP2020白菜网站大全_2020白菜纯送彩金、Profinet 等协议,并可对协议数据包深度解析。 数控监测审计支持主流高端数控机床、精密测量仪器、联网整体解决方案 FANUC、SIEMEMS 840D、HEIDENHAIN2020白菜网站大全_2020白菜纯送彩金、MAZAK、Hexagon2020白菜网站大全_2020白菜纯送彩金、ZEISS、CIMCO、DMG/MiroSeiki、Hass、Mitsubishi、Bosh、Fagor、Agie2020白菜网站大全_2020白菜纯送彩金、广数、华中2020白菜网站大全_2020白菜纯送彩金、塞维、夏儿等数据解析。 数控监测审计支持多种编码识别能力,包括 ASCII2020白菜网站大全_2020白菜纯送彩金、Unicode、UTF-82020白菜网站大全_2020白菜纯送彩金、UTF-16、GB2312、EBCDIC等编码格式。避免因编码格式不同而导致审计?;ぜ锹汲鱿致衣氲那榭?,保证了审计?;ぜ锹嫉目啥列?。 网络安全大数据态势感知方案 针对制造业工控系统本身的高危漏洞脆弱性、进口控制器或机床等设备本身预留后门2020白菜网站大全_2020白菜纯送彩金、工业网络病毒、数控网络信息涉密、单点孤岛防护等无法躲避和回避的新的工业命题2020白菜网站大全_2020白菜纯送彩金、国家安全命题,需要有面向制造业工控系统的安全合规评估技术标准、分布式网络空间设备探测技术、控制协议识别技术、多源异构大数据采集处理技术2020白菜网站大全_2020白菜纯送彩金、工控流量异常识别与基于大数据进行 AI 关联分析、APT 分析的工控网安全分析模型为基础的基于大数据分析技术的制造业工控网络安全态势感知平台。 部署该平台可以使制造业企业实时掌控数控网络安全状况与威胁、针对突发事件实现安全预警和应急响2020白菜网站大全_2020白菜纯送彩金、提升安全管理与运维能力,通过制造业的安全指数、态势分析的统一展现为网络空间对抗提供技术支撑。 a) 安全态势可视化(总体安全态势、威胁态势、弱点态势、事件态势) b) 安全指标评估体系(建立制造业工控安全指标体系与指数、指标的多维分析与挖掘;) c) 安全合规评估 d) 多源数据采集(安全数据多源采集交换格式规范、实时流计算处理2020白菜网站大全_2020白菜纯送彩金、分布式网络空间设备探测) e) 安全实时监测(全网脆弱节点精确定位2020白菜网站大全_2020白菜纯送彩金、网络行为可视化、事件关联追踪) f) AI 大数据分析(事件聚合、关联分析、APT 检测2020白菜网站大全_2020白菜纯送彩金、事件溯源、流量异常) g) 安全运营管理(事件管理、原始日志管理、报警管理、工控资产管理、工单管理、智能预警及安全应急响应) 工控网络安全整体解决方案 制造业工控网络安全解决方案采用终端、区域2020白菜网站大全_2020白菜纯送彩金、边界多层级的安全防护,进行无死角地实时网络监测审计与安全隔离。 终端防护采用安全隔离产品2020白菜网站大全_2020白菜纯送彩金,部署在PLC、HMI、ANDON2020白菜网站大全_2020白菜纯送彩金、机器人与各环网交换机之间,对 PLC、HMI、ANDON、机器人进行实时网络审计?2020白菜网站大全_2020白菜纯送彩金;?020白菜网站大全_2020白菜纯送彩金,通过各种方法快速识别出系统中的非法操作、异常行为及外部攻击2020白菜网站大全_2020白菜纯送彩金2020白菜网站大全_2020白菜纯送彩金,在第一时间执行告警和阻断; 区域边界防护采用适用于制造业的工业防火墙,部署在冲压车间、焊装车间2020白菜网站大全_2020白菜纯送彩金、涂装车间、整装车间的环网交换机与核心层交换机之间2020白菜网站大全_2020白菜纯送彩金,起到区域之间的隔离防护作用2020白菜网站大全_2020白菜纯送彩金。 网络大区边界隔离同样采用工业防火墙设备,部署在生产网络与 OA 办公网络之间,起到边界之间的隔离作用。 工控网络安全管理平台部署于中心机房,连接工业防火墙以及数控监测审计产品,对工控安全防护产品进行统一配置和管理2020白菜网站大全_2020白菜纯送彩金。 制造业工控网络安全大数据态势感知平台部署于中心机房,通过下层工控安全防护设备作为低层数据探针,获取实时工控安全现状情报,分析并显示工控安全态势2020白菜网站大全_2020白菜纯送彩金。 华盖科技紧随时代步伐,在工业互联网领域可为客户提供安全检查、安全方案定制、安全渗透2020白菜网站大全_2020白菜纯送彩金、风险评估、安全集成、安全培训等服务,依托专业化团队为行业用户提供国家关键信息基础设施安全监管及技术服务。 |