尚文利:數控系統信息安全現狀與技術發展趨勢
發布時間:2019-06-14 13:07:19
數控機床作為工業控制系統的重要組成部分,是當今智能制造領域的核心裝備,是生產加工行業的關鍵設備,而數控系統作為機床的“大腦”,決定著機床的功能和性能。本文首先介紹了數控系統的定義及發展現狀,然后從數控系統面臨的主要信息安全問題的角度闡述了目前數控系統信息安全防護方面的主要成果,最后結合現狀分析了未來發展的趨勢,為我國數控系統信息安全防護技術研究及發展提供參考。
摘要
數控機床作為工業控制系統的重要組成部分,是當今智能制造領域的核心裝備,是生產加工行業的關鍵設備,而數控系統作為機床的“大腦”,決定著機床的功能和性能。本文首先介紹了數控系統的定義及發展現狀,然后從數控系統面臨的主要信息安全問題的角度闡述了目前數控系統信息安全防護方面的主要成果,最后結合現狀分析了未來發展的趨勢,為我國數控系統信息安全防護技術研究及發展提供參考。
關鍵詞:數控機床;數控系統;信息安全;安全防護
1 前言
數控機床是一種高精度、高效率的自動化機床,配備多工位刀塔或動力刀塔,具有廣泛的加工工藝性能,在復雜零件的批量生產中發揮了良好的經濟效果。數控系統作為機床的“大腦”成為工業控制系統的重要組成部分,正面臨工業病毒和網絡攻擊,信息安全問題日益凸現,一旦數控系統遭受到攻擊就可能癱瘓或造成信息泄露,直接影響到國家安全和企業生存。我國急需建立數控機床信息安全應對措施,轉型升級刻不容緩,大力發展自主知識產業,以國產化替代方式來提高核心競爭力、風險防范能力以及可持續發展能力。
2 數控系統的發展現狀及趨勢
國產數控系統企業已占領我國經濟型數控系統95%以上的市場份額。在中型數控系統領域,國產數控系統的功能已達到或接近國外同類產品水平,市場價格和售后服務較國外產品仍有較大的優勢,市場占有率也在不斷攀升。高檔數控系統方面,國產數控系統的市場占有份額較少,絕大部分市場被發那科、西門子、三菱和德馬吉等國外品牌占領,但華中數控和廣州數控等國產化數控系統已開始進軍這一高端領域。
“高速、高精、復合、智能、環保”是未來機床發展的重要方向。數控系統作為數控機床的核心,發展趨勢主要包括向高速、高精度、高可靠性方向發展;向多軸聯動、復合化方向發展;向智能化、柔性化、網絡化方向發展;向開放式數控系統發展等。
3 數控系統信息安全發展現狀
工業信息安全直接影響到公共基礎設施的安全,對生產過程中關鍵信息和指令的篡改不僅影響正常生產過程,還會造成對機器運行造成危害,進而導致生產安全危害。數控系統的信息安全,一方面要防止干擾和非法滲透對數控系統造成影響;另一方面,要求對生產過程中包含的大量敏感信息進行保護。由于兩化融合的不斷發展使得原本獨立封閉的數控生產網絡接入企業管理網和互聯網,也帶來了自網絡層面的威脅。
3.1 數控系統面臨的主要信息安全問題
(1)數控領域進口設備占據主導地位。目前國內使用的主流數控設備,其核心系統大部分是國外廠家產品,特別是高端CNC數控機床控制系統和DNC數控整體聯網解決方案,從而導致數控系統自身安全難以保證,復雜的數控系統所包含的軟件代碼量級巨大,其中可能存在系統設計漏洞和預留后門等安全隱患。
(2)數控協議安全。多數數控機床控制系統使用明文方式傳輸和管理加工代碼,這樣容易導致未加密的加工代碼被非法獲取,并通過專用軟件對加工物品進行還原,導致制造數據泄密。
(3)數控設備運維升級安全。數控設備的升級維護嚴重依賴生產和供應廠商,很多設備允許通過網絡遠程控制,系統缺少用戶身份認證和訪問控制等安全機制,設備的升級維護過程行為不可控,存在巨大的安全風險。
(4)網絡邊界擴大導致更多的網絡攻擊。兩化融合的不斷發展使得原本獨立封閉的數控生產網絡接入企業管理網和互聯網,網絡邊界擴大必然導致網絡攻擊事件不斷發生。
3.2 數控系統信息安全方面的關鍵成果
3.2.1 標準化方面的關鍵成果
我國機床行業的創新研發和可靠性水平顯著提升,機床行業標準和技術規范逐步完善。通過專項實施,推動了國內機床骨干企業聯合高校、用戶聯合開發,積極組織數控機床可靠性評定國家/行業標準的編制,在機床行業推廣應用。
2006年頒布的國家標準《GB/T 18759.2-2006機械電氣設備開放式數控系統第2部分:體系結構》規定了開放式數控系統的基本體系結構,確定開放式數控系統由功能組件構成原則,規定了功能組件模型及主要功能模塊。《體系結構》標準規定開放式數控系統由應用軟件和系統平臺兩部分組成。其中,應用軟件部分包括系統的控制功能,這些功能通過功能模塊之間的相互連接實現,功能模塊間的通信遵照標準通信接口,而且各功能模塊均能在滿足開放式體系結構要求的系統平臺上運行。系統平臺包括由系統硬件、系統軟件和應用編程接口,可以滿足不同層次的開放性,滿足開放式數控系統的互操作性、可互換性、可伸縮性、可移植性等要求。
2009年頒布的國家標準《GB/T 18759.3-2009機械電氣設備開放式數控系統 第3部分:總線接口與通信協議》規定了開放式數控系統總線接口與通信協議。規定開放式數控系統總線作為連接系統裝置間的雙向、數字式、多點的通信系統。總線接口與通信協議以開放系統互連參考模型ISO/OSI為基礎,包括物理層、數據鏈路層、應用層與用戶層行規。滿足數控系統對總線周期性、實時性、同步、可靠性、安全及開放的要求。同時規范了數控系統人機界面、機床附帶傳感器、主軸驅動器、伺服主軸、伺服電機驅動器等數控設備的互操作功能。
各類專項成果形成了一大批技術標準規范,行業國際競爭優勢顯著增強,對產品研發形成有力支持,也對國家裝備制造業持續發展能力的提升起到保障作用。在2017年擬定的《信息安全技術 數控網絡安全技術要求》標準草案中將安全技術要求分為網絡安全技術要求、設備安全技術要求、應用安全技術要求、數據安全技術要求及集中管控技術要求。各部分的主要內容如下:
(1)網絡安全技術要求從網絡架構、數控網絡與管理網絡以及數控網絡內部不同安全區域之間的邊界防護、訪問控制、入侵防范、安全審計以及數控網絡中無線網絡的使用控制等方面進行了規網絡定。
(2)設備安全技術要求對數控網絡中控制計算機上的操作系統,NC服務器上的操作系統、數據庫系統,數控設備上數控系統的操作系統以及數控網絡中的網絡設備從身份鑒別、訪問控制、入侵防范、資源控制、惡意代碼防范、安全審計等方面進行了規定。
(3)應用安全技術要求對控制計算機、NC服務器、數控設備上數控系統安裝的各類應用軟件從身份鑒別、訪問控制、資源控制、軟件容錯、安全審計等方面進行了規定。
(4)數據安全技術要求對設備上存儲的NC程序、工藝文件、審計記錄等及設備之間傳輸的NC程序、設備狀態信息等數據從數據完整性、數據保密性、數據備份恢復、剩余信息保護等方面進行了規定。
(5)集中管控技術要求對數控網絡中由安全設備及安全組件實現的各類安全機制進行集中管理進行了規定。
其中給出的數控網絡參考模型如圖1所示。
圖1 數控網絡參考模型
數控網絡安全防護應遵循以下原則:
(1)可用性。各類安全防護措施的使用不應對數控網絡的正常運行以及數控網絡與外部網絡的交互造成影響。
(2)網絡隔離。數控網絡應僅用于數控生產加工業務,應采用專用的物理網絡,與外部網絡的交互應采取有效的安全防護措施。
(3)分區防御。將數控網絡劃分為數控網絡-監督控制區域和數控網絡-數控設備區域。數控網絡-數控設備區域按照完成的生產功能可進一步劃分為不同的子區域。對不同的區域應采取相應的安全保護措施。在不影響各區域工作的前提下,于各區域邊界處采取相應的安全隔離措施,確保各個區域之間有清楚明晰的邊界設定,并保障各區域邊界安全。
(4)全面保護。數控網絡的安全防護可通過物理訪問控制措施、管理措施以及技術措施實現。單一設備的防護、單一防護措施或單一防護產品的使用都無法有效的保護數控網絡,所以數控網絡的防護需要采取多個不同機制的多層防護策略。
3.2.2 自研設備方面的關鍵成果
依據工控網數據,2016年,數控機床專項支持研發的高檔數控系統已累計銷售1000余套,國內市場占有率由專項啟動前的不足1%提高到了5%左右,2017年我國高檔數控機床的國產化率達到了6%左右。在2018-2023年中,我國數控機床由于技術發展以及下游市場逐漸復蘇等原因,預計仍會保持10%-12%的增長速度。到2023年,我國數控機床行業的市場規模將突破5000億元。同時,我國生產的機床主機平均無故障時間從專項實施前的400-500小時已經普遍提升到了1200小時,部分產品已達到了2000小時以上,接近國際先進水平。
2018年11月28日,中國網絡安全·智能制造大會在長沙舉行,會議期間展出了各類自主研發的助力中國智能制造的系列產品。其中 “數控系統終端信息安全防護設備”、 “單向數據安全交換設備”及“邊界安全專用網關”等產品證明了國內學者已經對數控機床控制系統的信息安全防護技術體系與評估機制展開了深入的研究。同時,該系列產品被廣泛應用于工控網絡、數控加工網絡、重點作業站點的數據安全防護。國內已經擁有涵蓋西門子、發那科、海德漢以及國內一線數控品牌在內的綜合試驗環境,擁有針對智能制造基礎設施、網絡安全、功能安全等的攻防驗證平臺。
4 數控系統信息安全發展趨勢
未來我國數控系統信息安全的發展趨勢主要可以分為以下三個方面:
(1)建立健全信息安全政策法規與標準。隨著數控系統信息安全風險問題日益嚴峻, 我國自2011 年起開始建立相關的標準體系和法律法規,先后發布了《關于加強工業控制系統信息安全管理的通知》、《2014年工業控制系統信息安全藍皮書》、《電力監控系統安全防護規定([2014]第14號令)》等。這些信息安全相關標準的建立和完善是支撐各工業控制系統領域進行相關系統測評和風險評估的依據,反映出國家非常注重加強對數控機床等工業控制系統信息安全的檢查,對重點領域的信息安全管理,通過測評、分析和排查系統存在的安全隱患與漏洞,評估安全防護水平和抗風險防護能力,從而能夠有針對性的采取防范對策和改進措施,不斷地完善信息安全防護體系, 切實保障企業正常的生產經營、產業安全和國家安全。
(2)加快研制開發自主可控的數控機床設備與系統。隨著數控機床等工業控制系統信息安全認識的不斷提高,相關技術的不斷深化應用,研制生產國產自主可控的設備和系統是我國工業產業化發展的目標。在加強對數控機床信息安全防護的同時,通過走國產化、自主研發道路, 逐步取代國際主流數控機床等工業控制系統,改善現有受制于人的現狀,提高數控機床的自主知識產權能力和數控加工制造的安全性。
(3)提升信息安全綜合技術防護能力。為預防和提升數控機床信息安全,需要建立事前身份認證、加密、預警、漏掃、評估機制,事中防御攻擊機制,事后審計、追溯機制等多路徑閉環的信息安全防護體系,以提升系統的整體安全。
5 結束語
數控系統面臨的信息安全問題日益凸現,一旦系統遭受到攻擊后可能癱瘓或造成信息泄露,直接影響到國家的安全和企業的生存。我國急需建立數控系統信息安全應對措施,轉型升級刻不容緩。
本文引述了數控系統的發展現狀及趨勢,從數控系統面臨的主要信息安全問題、數控系統信息安全方面的關鍵成果兩個方面分析了數控系統的信息安全發展現狀,對數控系統信息安全發展趨勢進行了展望,以期對我國數控系統信息安全防護技術研究及發展提供參考和借鑒意見。
來源:
