工業互聯網安全

工業互聯網安全

副標題

隨著IPv6下一代互聯網技術的部署和5G時代的到來,工業互聯網將面臨更為復雜多變的挑戰。工業互聯網作為新一代信息技術與制造業深度融合的新興業態和應用模式,其安全性更是在產業智能制造轉型中起到至關重要的驅動作用。

“中國制造 2025”拉開工業互聯網(工業 4.0)序幕。2015 年 5 月 19 日,經李克強總理簽批,中國國務院印發《中國制造 2025》,部署全面推時實施制造強國戰略。這是中國實施制造強國戰略首個十年的行動綱領。報告明確,智能制造是未來制造業發展的重點方向。中國在 2015 年已啟動智能制造試點,2016 年會擴大試點,2017年將全面推廣。中國制造 2025 十大重點領域,與傳統的規劃相比,《中國制造 2025》的主要突出之處包括:

1、突出了創新驅動發展的戰略,始終將創新作為核心競爭力;

2、貫穿應對新一輪的科技革命和產業發革的內容,通過這個規劃實現從工業 2.0、工業 3.0 到工業 4.0 的跨越式發展;

3、重點突破(上圖十大領域)的戰略。


工控網絡安全問題解析

制造業工控網絡主要存在的是泄密與安全問題:

clip_image001.png

盡管對中國工業化所處階段仍然存在爭議,但正如國務院發展研究中心指出的,總體上看中國工業化處于中期階段,但已出現向后期階段過渡的明顯特征。與德國等西方工業發達國家相比,矛盾和問題依然存在。主是問題是制造也工控網絡泄密與安全問題,工控系統信息安全問題突出,主要涉及到:信息泄密、數據安全(企業信息保護和個人隱私保護)、功能安全等。

生產網與管理網互聯帶來的安全隱患

傳統防火墻只能實現基于端口的防護,從而達到管理網與生產網的邏輯隔離。但是,傳統防火墻不能識別和過濾工業協議,無法防范基于工業協議的網絡攻擊,從外部發起的工業攻擊一旦穿透防火墻,將會對生產控制網絡造成嚴重的破壞。因此,建議在管理網核心交換機和生產網核心交換機之間增加工業防火墻,實現對基于工業協議網絡攻擊的安全防護。

變速器廠的整個工業網絡完全沒有采取工控安全防護措施,存在很大的安全隱患,一旦從外部突破防火墻,整個生產網絡就完全暴露在攻擊者面前。具體安全分析如下:

1、缺乏清晰的網絡邊界:各車間不同區域間網絡簡單地冗余互聯,容易導致不同性質的業務、設備、通信混在一起,會給關鍵的生產控制帶來安全風險。

2、缺乏邊界訪問控制措施:管理網絡與生產網絡之間、生產網絡生產區與控制區之間、各生產區域之間、遠程維護接入、無線接入缺乏必要的隔離控制措施,出現安全問題會互相影響。

3、區域間通信缺乏防護:各生產工藝流程之間的數據交換、組態變更、協議通信、數據采集、遠程維護等缺乏有效的隔離與控制,易導致網絡攻擊發生。

4、缺乏惡意程序防護措施:生產網絡中大量上位機操作系統老舊,系統補丁、病毒庫長期不更新,難以防范惡意軟件攻擊。

5、難以防范工控惡意攻擊:缺乏基于工業協議的安全防護手段,難以基于工業協議識別惡意操作,遠程攻擊竊取關鍵數據、配方、控制程序等,篡改關鍵控制參數與程序,對生產網絡運行造成惡意損壞。

6、缺乏安全事件監管機制:缺乏工業安全審計設備和安全日志統計分析手段,無法實現對工業以太網的可感知與可控制。


數控設備自身存在安全隱患

目前,在中國高端數控設備的應用市場中,以國外設備為主,設備自身存在的后門、漏洞等安全隱患,是制造企業在生產和維護過程中無法自主可控的。

在中國高端數控機床 CNC 系統應用市場中,主要是國外品牌發那科 FANUC(日本)、西門子 SIEMEMS(德國)、海德漢 HEIDENHAIN(德國)、馬扎克MAZAK、(日本)、HAAS(美國)占據主導地位。另外大量國產數控機床品牌的CNC 系統OEM了日本 FANUC 的 CNC 系統。

在中國精密測量儀器應用市場中,主要是國外品牌占據主導地位,海克斯康Hexagon(瑞典)市場份額占 55%,蔡司 ZEISS(德國)市場份額占 20%,無法自主可控,系統設備存在預留后門的安全風險。

大型制造企業使用的是國外 DNC系統,有美國的 Predator 或丹麥的 CIMCO,這兩家公司解決方案和軟件占據了國內超過 90%的 DNC 解決方案市場,DNC系統存在的安全漏洞、后門也是無法自主可控的。


濫用 USB 設備導致非法外聯、病毒感染與數據泄露

眾多企業在生產和維護過程中,對于數控機床和測量儀器以及管理主機均存在濫用 USB 設備的情況,其中包括各種類型的智能手機、非密 U 盤,部分主機甚至非法連接無線上網卡。智能手機可通過 3G/4G 移動網絡連接外網,智能手機連接電腦后,只需進行對應的設置即可將智能手機的網絡共享給管理主機使用。無線上網卡更是可以直接為電腦提供連接外網的途徑。這些情況對于不應外聯的現場數控生產環境而言,會導致對網絡邊界安全防護的失控,是巨大的安全風險及泄密隱患。濫用 USB 設備也存在擺渡病毒、擺渡數據,致使數控系統主機被病毒入侵而破壞、加工數據被非法拷貝而出現泄密事故等重大安全風險發生。

智能制造網絡缺乏必要的安全防護影響安全生產

智能制造網絡缺乏必要的限制,DNC服務器使用如 FTP 服務、Windows 網上鄰居共享、私有協議等方式進行數控加工代碼等數據的共享,缺乏必要的訪問控制和身份驗證,任何接入該網絡的主機皆可訪問 DNC 服務器,并進行加工代碼下載/篡改等行為,可造成嚴重的數據泄密事件與安全生產事故。

管理主機缺乏對病毒的有效檢測及防護機制

由于設備管理主機多數相對獨立,不與外網直接連接,缺乏包括病毒防護、主機安全管理在內的安全機制,導致管理主機通過 USB 口或者內部網絡而感染計算機病毒,如果感染了特定的病毒或木馬后將可能在全廠范圍內進行傳播從而導致嚴重的數據泄露事件,同時病毒或木馬對主機的侵染,也會直接影響正常生產業務。

人員的安全意識和技能不足

由于數控設備使用環境相對封閉,使用人員側重關注生產工藝的提升,而缺少對網絡安全知識的關注,使得相應的人員缺乏必要的網絡安全防護意識和技能。


工控網絡安全解決方案

數控上位機綜合安全系統方案

數控上位機綜合安全系統產品是專門為高端數控機床數控網絡提供防護的安全產品。它以白名單的技術方式,監控主機的進程狀態、網絡端口狀態、USB 端口狀態,具備防病毒、防泄密的重要功能。

病毒破壞的常見方式,是在后臺運行一個隱藏進程,用戶發現不了它的存在,常常不能及時殺滅病毒。數控上位機綜合安全系統產品能夠發現隱藏進程,并能在任何進程運行之前,先判別該進程的身份,如果它是非法進程,則會在其運行之前就將其殺死,避免數控主機遭到病毒的任何破壞。

病毒隱藏自身的另一種方式,是感染某些合法的程序,將自身代碼嵌入到合法程序之中,從而避開殺毒工具的檢查。數控上位機綜合安全系統會檢查程序的完整性,當發現程序被修改后,會阻止該程序的運行,從而阻止病毒的運行。

數控網絡通常是物理隔離的獨立網絡,病毒傳染數控網絡的主要途徑,是通過 USB存儲設備(如 USB 盤,移動硬盤等)。數控上位機綜合安全系統嚴格控制 USB 存儲設備的使用,只允許授權設備接入數控管理主機,對于未授權或授權級別不夠的設備,禁止從該設備上拷貝任何文件到數控管理主機,從而阻止病毒感染到主機。

因此,數控上位機綜合安全系統能夠從病毒發作、病毒隱藏、病毒傳染三個方面入手,有效防護病毒和木馬對于高端數控機床數控網絡的破壞。

在防泄密方面,數控上位機綜合安全系統通過嚴格的 USB 存儲設備的授權機制,不允許隨意拷貝數控管理主機中的文件。當有人企圖非法拷貝時,數控上位機綜合安全系統會阻止文件拷貝,顯示告警信息,并記錄下安全事件(安全事件不可刪除,不可篡改)。

同時,除了事前防止之外,數控上位機綜合安全系統還提供了完備的 USB 存儲設備操作日志。當泄密事故發生后,可以從操作日志中追溯到泄密文件、泄密設備、泄密日期等關鍵信息,從而提供了事后問責的有力依據。

此外,數控上位機綜合安全系統還可以監控網絡端口的開啟與使用狀態,并監控網絡流量速度。當網絡速度過高時,數控上位機綜合安全系統可以在不斷開現有網絡連接的情況下,降低和控制網絡速度,從而避免網絡擁塞與網絡風暴的發生。

數控隔離防護方案

根據對多個高端數控機床數控系統的現場檢測,數控系統的安全問題,安全性弱、健壯性差,存在主動外聯境外地址的后門問題,受外網 APT 攻擊威脅,針對本高端數控機床數控系統進行核心數控系統邊界智能防護與訪問控制。

加強對核心數控系統可信訪問的安全保護,利用黑名單、白名單、IP-MAC 地址綁定相結合的防護機制,有效防止內網絡病毒、未知設備接入、網非法訪問、中間人攻擊、外網 APT 攻擊及外網遠程升級帶來的安全風險;并能實時對網絡行為、流量的異常監測控制,通過對數控“協議”深度解析,確保設備代碼指令的合法性與完整性。從根本上解決“數控協議”漏洞、數控系統后門、無意/惡意操作等行為帶的安全威脅。

通過多種安全策略,結合獨有的數控網絡安全漏洞庫,對 APT 攻擊、異常控制行為和非法數據包進行告警和阻斷,并對各類安全威脅實施監控,快速直觀地了解數控網絡安全狀況,實現全網安全防護。

基于已知漏洞防御保護功能,通過將已知漏洞庫中的已知策略與網絡中的數據和行為進行提取、匹配、判斷,對所有異常數據和行為進行阻斷和告警,消除已知漏洞危害。

對網絡中所有不符合白名單的安全數據和行為特征進行阻斷和告警,消除未知漏洞危害。

將 IP 地址與 MAC 地址進行綁定,防止內部 IP 地址被非法盜用,增強網絡安全。

支持數控專業協議 FANUCFOCAS/HSSB、CNC、DNC、FTP、OPC 、S7、TCP/IP、UDP、Profinet 等協議,并可對協議數據包深度解析。

支持主流高端數控機床、精密測量儀器、聯網整體解決方案 FANUC、SIEMEMS840D、HEIDENHAIN、MAZAK、Hexagon、ZEISS、CIMCO、DMG/Miro Seiki、Hass、Mitsubishi、Bosh、Fagor、Agie、廣數、華中、塞維、夏兒等數據解析。

支持多種編碼識別能力,包括ASCII、Unicode、UTF-8、UTF-16、GB2312、EBCDIC等編碼格式。避免因編碼格式不同而導致記錄出現亂碼的情況,保證了記錄的可讀性。

可有效防御 Havex 這類通過合法指令竊取數據的惡意病毒,極大提高工數控網絡安全性。

網絡監測審計方案

根據對多個精密測量儀器數控系統的現場檢測,上位機安全脆弱性、存在非法外連、病毒感染等現象,數控系統安全性弱、健壯性差、存在主動外聯境外地址的后門問題,存在移動存儲介質的使用、空密碼登陸、核心數據本地明文存儲等問題。為了確保數控系統數據的安全性、保密性、完整性、可用性,針對本精密測量儀器數控系統設計實時數控監測審計方案。

數控監測審計主要是通過對精密測量儀器數控系統整體、綜合監測審計,能夠及時審計、記錄來自工作人員、廠商、生產網內部及外部對數控系統的操作行為,以及來自外部的攻擊威脅,及時提供監測與預警,并確保事后的可追溯性。

數控監測審計對數控網絡數據、事件進行實時監測、實時告警,幫助用戶實時掌握數控網絡運行狀況。

數控監測審計對網絡中存在的所有活動提供行為審計、內容審計,生成完整記錄便于事件追溯。

數控監測審計支持數控專業協議FANUC FOCAS/HSSB、CNC、DNC、FTP、OPC 、S7、TCP/IP、UDP、Profinet 等協議,并可對協議數據包深度解析。

數控監測審計支持主流高端數控機床、精密測量儀器、聯網整體解決方案 FANUC、SIEMEMS 840D、HEIDENHAIN、MAZAK、Hexagon、ZEISS、CIMCO、DMG/MiroSeiki、Hass、Mitsubishi、Bosh、Fagor、Agie、廣數、華中、塞維、夏兒等數據解析。

數控監測審計支持多種編碼識別能力,包括 ASCII、Unicode、UTF-8、UTF-16、GB2312、EBCDIC等編碼格式。避免因編碼格式不同而導致審計保護記錄出現亂碼的情況,保證了審計保護記錄的可讀性。

網絡安全大數據態勢感知方案

針對制造業工控系統本身的高危漏洞脆弱性、進口控制器或機床等設備本身預留后門、工業網絡病毒、數控網絡信息涉密、單點孤島防護等無法躲避和回避的新的工業命題、國家安全命題,需要有面向制造業工控系統的安全合規評估技術標準、分布式網絡空間設備探測技術、控制協議識別技術、多源異構大數據采集處理技術、工控流量異常識別與基于大數據進行 AI 關聯分析、APT 分析的工控網安全分析模型為基礎的基于大數據分析技術的制造業工控網絡安全態勢感知平臺。

部署該平臺可以使制造業企業實時掌控數控網絡安全狀況與威脅、針對突發事件實現安全預警和應急響、提升安全管理與運維能力,通過制造業的安全指數、態勢分析的統一展現為網絡空間對抗提供技術支撐。

a) 安全態勢可視化(總體安全態勢、威脅態勢、弱點態勢、事件態勢)

b) 安全指標評估體系(建立制造業工控安全指標體系與指數、指標的多維分析與挖掘;)

c) 安全合規評估

d) 多源數據采集(安全數據多源采集交換格式規范、實時流計算處理、分布式網絡空間設備探測)

e) 安全實時監測(全網脆弱節點精確定位、網絡行為可視化、事件關聯追蹤)

f) AI 大數據分析(事件聚合、關聯分析、APT 檢測、事件溯源、流量異常)

g) 安全運營管理(事件管理、原始日志管理、報警管理、工控資產管理、工單管理、智能預警及安全應急響應)

工控網絡安全整體解決方案

制造業工控網絡安全解決方案采用終端、區域、邊界多層級的安全防護,進行無死角地實時網絡監測審計與安全隔離。

終端防護采用安全隔離產品,部署在PLC、HMI、ANDON、機器人與各環網交換機之間,對 PLC、HMI、ANDON、機器人進行實時網絡審計保護,通過各種方法快速識別出系統中的非法操作、異常行為及外部攻擊,在第一時間執行告警和阻斷;

區域邊界防護采用適用于制造業的工業防火墻,部署在沖壓車間、焊裝車間、涂裝車間、整裝車間的環網交換機與核心層交換機之間,起到區域之間的隔離防護作用。

網絡大區邊界隔離同樣采用工業防火墻設備,部署在生產網絡與 OA 辦公網絡之間,起到邊界之間的隔離作用。

工控網絡安全管理平臺部署于中心機房,連接工業防火墻以及數控監測審計產品,對工控安全防護產品進行統一配置和管理。

制造業工控網絡安全大數據態勢感知平臺部署于中心機房,通過下層工控安全防護設備作為低層數據探針,獲取實時工控安全現狀情報,分析并顯示工控安全態勢。


華蓋科技緊隨時代步伐,在工業互聯網領域可為客戶提供安全檢查、安全方案定制、安全滲透、風險評估、安全集成、安全培訓等服務,依托專業化團隊為行業用戶提供國家關鍵信息基礎設施安全監管及技術服務。


首頁      |      產品分銷      |      專業服務      |      解決方案      |      關于我們      |      聯系我們
地址:上海市靜安區江場西路299弄中鐵中環時代廣場4號樓4層          電話: 021-51212121          傳真: 021-51212480          技術支持:4006286280
工作時間:周一至周五(9:00-18:00) 國家法定假日除外
版權所有: 上海華蓋科技發展股份有限公司?2021 保留一切權利 滬ICP備15014351號-1