4月21日,2017中国国际机床展览会(CIMT2017,简称北京机床展)在中国国际展览中心闭幕,北京机床展与美国芝加哥、德国汉诺威、日本东京机床展被业界合称为“全球四大机床展”。
本次CIMT有来自28个国家和地区的1600多家企业参展,国内外知名机床工具企业将悉数到场,共同演绎“中国制造2025”、“工业4.0”、“工业互联网”、“互联网+”背景下,行业发展的新格局。本届展会主题为:新需求�6�1 新供给 �6�1 新动力,充分诠释了当前环境下世界机床工具产业面临的全新挑战和机遇,准确地反映了行业的时代发展特征。
CIMT现场
纵观整个展会的各著名企业展出的产品和解决方案展现了四大趋势:智能化、高效化、专业化、网络化,其中网络化已经成为智能化、高效化、专业化的基础,充分体现了我国“智能制造+互联网“的发展方向。但是,在终端智能制造网络化/数字化方案中,很少看到对工业安全的考虑,在智能制造+互联网的背景下,工业安全似乎被大家忽略了。在当前网络安全事件频发的现状下,在智能制造领域,工业信息安全能否缺位?
一、CIMT各大厂商的互联网+方案
面对网络化、数字化制造时代的到来,全球机床工具行业推出了一系列新技术与新产品。这些技术和产品具备鲜明的网络化、数字化生产装备的特点,具有完整先进的网络方案、强大的通信功能、灵活兼容的开放性和丰富的应用软件,实现了数控系统由“机床控制器”向“数字化制造管控器”转变,数控机床由“制造机器”向“数字化单元”转变。与此同时,一些著名企业利用长期从事数控技术研发积累的特有技术优势和经验,与“互联网+“结合,推出网络化/数字化工厂智能解决方案,协助客户从软硬两方面共同推动数字化工厂的建设和发展。CIMT现场一些代表性的方案如下:
▲ 德国西门子(SIEMENS)
德国西门子作为德国工业4.0建议和推动者之一,将PLM作为数字化企业平台,将虚拟生产与现实生产环境紧密融合,将计算机辅助设计(CAD)、计算机辅助制造(CAM)、产品数据管理(PDM)和制造过程无缝地集成在一起,帮助企业以经济高效的方式对产品整个生命周期,对从创意、设计、制造到维修及处理的信息进行管理。SINUMERIK 840D SL高档数控系统提供完整的网络方案和强大的PLC/PLC通讯功能,能够实现互联网(如ERP)、局域网(如MES)、工业现场总线(如PCS)的互联,实现设备与设备、设备与管理人员的互联。
西门子工厂数字化解决方案
▲日本发那科(FANUC)
FANUC世界上最著名的数控和机器人厂家之一,其展示的最新数控系统,支持各种工业网络和现场网络,可以将数控机床与PC互联,进行NC程序的传输和现场监控,亦可在CNC上操作办公室的PC,还可以搭配载有通讯专用处理器的快速以太网电路板,同时与多台计算机进行高速数据传输,构建与生产线和工厂主机进行信息交换的生产系统。
FANUC MT-LINK i运转管理软件通过以太网连接企业内部机床,利用FOCAS程序对机床各类信息进行收集和运转管理。
最新数字工厂解决方案
▲ 德马吉森精机(DMG MORI)
德马吉森精机(DMG MORI)的CELOS系统是该公司目前所有高档机床搭载的数字化制造平台和统一的人机界面。CELOS可将系统和机器整合并进行数据交换,兼容现有ERP(企业资源计划)/PPS(生产计划与控制系统)/PDM(产品数据管理)/MES制造执行系统和CAD/CAM软件和控制系统,通过网络将机床与公司组织连接为一体,构成完整持续的数字化、无纸化生产的支撑和基础。
德玛吉CELOS系统方案
▲ 日本三菱
面向未来制造业的三菱电机综合解决方案“e-factory”。e-F@ctory是整合FA的理念,旨在降低企业的综合成本,将整个制造系统的各个设备进行横向整合,实现设备间的无缝通讯,同时,纵向将企业信息管理系统与FA系统通过MES接口实现数据共享。
三菱加工机远程服务
▲ 蓝天数控
沈阳高精数控智能技术股份有限公司的作为高档数控国家工程中心的产业化实体,是国产高档数控系统的代表厂商之一,在推出新型“蓝天数控”系统的同时,也推出了DNC与智能工厂解决方案。
蓝天数控数字化虚拟车间
▲ 沈阳机床(unis)
沈阳机床作为全球最大的数控机床厂商,结合近年推出的智能数控系统i5,展出了多种型号的i5智能机床。i5智能机床采用先进的底层控制技术和网络技术,实现操作、编程、维护的智能化,并可以通过APP实现远程监视和管理。
沈阳机床投资的iSESOL平台对全国智能机床远程监测
二、智能制造+互联网面临的安全风险和挑战
从网络安全的角度分析,智能制造网络化后攻击剖面大大扩大,将面临设备、控制、网络、应用、云平台、数据等八个方面的安全挑战,但同时要看到参与到各个层面的人员因素,以及综合各方面的高级持续性威胁APT。
智能制造 + 互联网面临的安全挑战,概括来说,八方面的具体挑战如下:
1、设备层安全挑战。智能制造领域网络中伺服驱动器、智能IO、智能传感器、仪表、智能产品的安全挑战,包括:所用芯片安全、嵌入式操作系统安全、编码规范安全、第三方应用软件安全以及功能安全等,这些设备均可能存在漏洞、缺陷、规范使用、后门等安全挑战;目前,在制造领域并未对以上问题开展深入研究。如:西门子漏洞CVE-2016-5849等
2、控制层安全挑战。主要来自各类机床数控系统、PLC、运动控制器、所使用的控制协议、控制平台、控制软件等方面,其在设计之初可能未考虑完整性、身份校验等安全需求,存在输入验证,许可、授权与访问控制不严格,不当身份验证,配置维护不足,凭证管理不严,加密算法过时等安全挑战。例如:国产数控系统所采用的操作系统可能是基于某一版本Linux进行裁剪的,所使用的内核、文件系统、对外提供服务、一旦稳定均不再修改,可能持续使用多年,有的甚至超过十年,而这些内核、文件系统、服务多年所爆出的漏洞并未得到更新,安全隐患长期保留。如:西门子漏洞CVE-2017-2685、三菱PLC漏洞CNVD-2016-06361等。
3、网络层安全挑战。主要来自三方面:各类数控系统、PLC、应用服务器通过有线网络或无线网络连接,形成工业网络,工业网络与办公网络连接形成企业内部网络,企业内部网络与外面的云平台连接、第三方供应链连接、客户的网络连接。主要安全挑战包括:网络数据传递过程的常见网络威胁(如:拒绝服务、中间人攻击等),网络传输链路上的硬件和软件安全(如:软件漏洞、配置不合理等),无线网络技术使用带来的网络防护边界模糊等。如:三菱网络模块漏洞CNVD-2016-06360。西门子网络服务器漏洞CNVD-2012-7944等
4、应用层安全挑战,指支撑工业互联网业务运行的应用软件及平台的安全,如:德马吉森精机(DMG MORI)的CELOS系统所整合的ERP(企业资源计划)/PPS(生产计划与控制系统)/PDM(产品数据管理)/MES制造执行系统和CAD/CAM软件和控制系统等。智能制造领域应用软件,与常见商用软件的类似,将持续面临病毒、木马、漏洞等传统安全挑战;如:Ge fanuc漏洞CVE-2008-0175和CVE-2008-0176,西门子上位机漏洞CNVD-2016-11465等。
5、工业云安全挑战,从这次CIMT上可以看到,国内各大机床厂商、数控系统厂商正在建立或即将建立的云平台及服务,这些云平台及服务也面临着虚拟化中常见的违规接入、内部入侵、多租户风险、跳板入侵、内部外联、社工攻击等内外部安全挑战。
6、数据层安全挑战,是指智能制造工厂内部生产管理数据、生产操作数据以及工厂外部数据等各类数据的安全问题,不管数据是通过大数据平台存储、还是分布在用户、生产终端、设计服务器等多种设备上,海量数据都将面临数据丢失、泄露、篡改等安全威胁。
7、人员管理的挑战,随着智能制造的网络化和数字化发展,工业与IT的高度融合,企业内部人员,如:工程师、管理人员、现场操作员、企业高层管理人员等,其“有意识”或“无意识”的行为,可能破坏工业系统、传播恶意软件、忽略工作异常等,因为网络的广泛使用,这些挑战的影响将会急剧放大;而针对人的社会工程学、钓鱼攻击、邮件扫描攻击等大量攻击都利用了员工无意泄露的敏感信息。因此,在智能制造+互联网中,人员管理的也面临巨大安全挑战。
8、高级持续性威胁(APT),智能制造领域中的APT是以上6个方面各种挑战组合,是最难应对、后果最严重的威胁。攻击者目标可能是偷取重点智能制造企业的产品设计资料、产品应用数据等,也可能是在关键时刻让智能制造企业生产停止、良品率下降、服务不及时等给企业造成直接损失,攻击者精心策划、为了达成既定目标,长期持续的进行攻击,其攻击过程包括收集各类信息收集、入侵技术准备、渗透准备、入侵攻击、长期潜伏和等待、深度渗透、痕迹消除等一系列精密攻击环节。如:360APT报告:摩诃草组织。
三、协同联动建立联合防御体系
CIMT参展的多家企业和观众,智能制造企业、集成商、用户等,推进智能制造+互联网过程中,面临的各项安全挑战几乎没有考虑,对安全的认识还停留在“我们不连接外网,会有什么问题呢?网络攻击根本进不来!”,工业安全在国内智能化厂商的考虑重点中几乎缺位。针对这个以上8类挑战,360企业安全建议智能制造企业、集成商、用户等可以从以下方面进行应对。
1、落实国家对工业安全的相关政策、指南、标准
针对工业系统信息安全的问题,国家先后出台了《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号)、《工业控制系统信息安全防护指南》等相关文件,对工业系统连接管理、组网管理、配置管理、设备选择和升级、数据管理、应急管理做出了相应要求,对工业控制系统设计、选型、建设、测试、运行、检修、废弃各阶段防护工作要求;《工业控制系统信息安全防护指南》从安全软件选型、访问控制策略构建、数据安全保护、资产配置管理等方面提出了具体实施细则,从安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任等给出了指导意见。智能装备制造商、应用企业可以参考相关内容,做好必要的安全防护、安全管理和安全意识培训。
2、构建持续检测响应能力
假定智能制造系统无法阻止被攻破,也就是无法防护住,改变思路,在产品和解决方案设计中,增加攻破的发现能力,缩短攻击发现的时间,将攻破后的进行应急响应的思路,改变为持续的监测和响应,不断加强监测和威胁发现的能力,提升响应的速度。
3、应用数据驱动安全的理念
目前国际上公认解决网络安全攻防不对称的方法之一,是数据驱动安全,2015中国互联网安全大会(ISC2015)大会就提出要进行态势的感知,进行威胁情报的共享和攻击溯源。
对于智能制造来说,对某一行业中某一家企业的攻击,如果被发现,攻击方法和攻击目标被辨析,可以结合全网的安全大数据和企业自身的安全数据进行分析,形成有效的威胁情报,提供给整个行业的企业,提供行业防御的效果;
4、建立企业安全运营中心
根据Gartner的预测,工业企业建立的安全运维中心已成为一种趋势,预计到2020年将有40%的企业将建立安全运营中心,该中心将建立企业的安全数据仓库,对于APT攻击,一个最大的挑战之一是如何发现攻击,应用数据驱动安全的理念。工业大数据进行工业生产故障的预防性维护,找出生产环节的异常,已经成为目前工业大数据的主要应用方向之一。智能制造企业和用户对工业生产设备损坏或衰退的预测与发现,生产流程停机的预测与发现,其实就是一种工业生产的异常,而工业网络受到攻击也可以产生类似异常;安全运营中心可以记录工业互联网企业持续监测的安全信息,但这些信息堆积在仓库里,如同“一团乱麻”,解开乱麻,需要找到一个线头,因此,可利用工业大数据发现工业生产异常的能力,为安全大数据的分析提供触发条件或关键线索,这将成为数据驱动安全的最值得实践的方法之一。
另外利用安全大数据进行智能制造系统中的用户和实体行为分析(UEBA),对用户的行为和设备的行为用大数据的方法建立一个基线,偏离基线太多的时候也会出现异常,也成为安全大数据重要应用手段之一。
5、构建产业协同的联合防御体系
我国目前暴露在公网的工业设备,超过2000台,美国在公网的工业设备达到数万台,包括:PLC、数控系统以及相关工业应用系统等,随着我国智能制造的发展,未来我国将与美国类似,将有大量的工业设备暴露在公网上,任何一个企业由于在人才、设备、数据、情报方面的限制,单独进行防御将存在巨大困难,未来工业互联网企业、工业互联网企业设备提供商、安全服务商、监管机构将建立协同机制,共同应对智能制造+互联网安全来自工业、互联网、信息安全的跨领域、跨行业的挑战。网络安全的能力,将变成一种可定制的服务,智能制造企业和用户的依据自己的威胁、成本、人才、运行阶段按需使用。
智能制造领域,通过高档数控机床及基础制造装备通过网络与工业软件、商业软件、工程师、供应商、客户高效互联,向着智能化、高效化、专业化、网络化方向发展;企业外部的商业网络与企业内部办公网络、工业网络的边界被联通,工业企业将面临设备、网络、控制、应用、云、数据、人员等多方面安全挑战。
综上,机床制造企业、数控系统厂商、先进制造集成商在进行智能化、网络化、数字化产品和解决方案设计时,工业安全必须同步考虑;智能制造用户在采购智能化产品、建设网络化、智能化先进制造系统的,为保证自己的生产安全、数据安全,应同时要求供应商提供在工业安全方面的防护措施,并加强企业员工的安全意识。在智能制造+互联网的背景下,工业安全不容缺位。