4月21日，2017中國國際機床展覽會(huì )（CIMT2017，簡(jiǎn)稱(chēng)北京機床展）在中國國際展覽中心閉幕，北京機床展與美國芝加哥、德國漢諾威、日本東京機床展被業(yè)界合稱(chēng)為“全球四大機床展”。

      本次CIMT有來(lái)自28個(gè)國家和地區的1600多家企業(yè)參展，國內外知名機床工具企業(yè)將悉數到場(chǎng)，共同演繹“中國制造2025”、“工業(yè)4.0”、“工業(yè)互聯(lián)網(wǎng)”、“互聯(lián)網(wǎng)+”背景下，行業(yè)發(fā)展的新格局。本屆展會(huì )主題為：新需求  新供給  新動(dòng)力，充分詮釋了當前環(huán)境下世界機床工具產(chǎn)業(yè)面臨的全新挑戰和機遇，準確地反映了行業(yè)的時(shí)代發(fā)展特征。

CIMT2017 現場(chǎng)

       縱觀(guān)整個(gè)展會(huì )的各著(zhù)名企業(yè)展出的產(chǎn)品和解決方案展現了四大趨勢：智能化、高效化、專(zhuān)業(yè)化、網(wǎng)絡(luò )化，其中網(wǎng)絡(luò )化已經(jīng)成為智能化、高效化、專(zhuān)業(yè)化的基礎，充分體現了我國“智能制造+互聯(lián)網(wǎng)“的發(fā)展方向。但是，在終端智能制造網(wǎng)絡(luò )化/數字化方案中，很少看到對工業(yè)安全的考慮，在智能制造+互聯(lián)網(wǎng)的背景下，工業(yè)安全似乎被大家忽略了。在當前網(wǎng)絡(luò )安全事件頻發(fā)的現狀下，在智能制造領(lǐng)域，工業(yè)信息安全能否缺位？

       1

       CIMT各大廠(chǎng)商的互聯(lián)網(wǎng)+方案

       面對網(wǎng)絡(luò )化、數字化制造時(shí)代的到來(lái)，全球機床工具行業(yè)推出了一系列新技術(shù)與新產(chǎn)品。這些技術(shù)和產(chǎn)品具備鮮明的網(wǎng)絡(luò )化、數字化生產(chǎn)裝備的特點(diǎn)，具有完整先進(jìn)的網(wǎng)絡(luò )方案、強大的通信功能、靈活兼容的開(kāi)放性和豐富的應用軟件，實(shí)現了數控系統由“機床控制器”向“數字化制造管控器”轉變，數控機床由“制造機器”向“數字化單元”轉變。與此同時(shí)，一些著(zhù)名企業(yè)利用長(cháng)期從事數控技術(shù)研發(fā)積累的特有技術(shù)優(yōu)勢和經(jīng)驗，與“互聯(lián)網(wǎng)+“結合，推出網(wǎng)絡(luò )化/數字化工廠(chǎng)智能解決方案，協(xié)助客戶(hù)從軟硬兩方面共同推動(dòng)數字化工廠(chǎng)的建設和發(fā)展。CIMT現場(chǎng)一些代表性的方案如下：

       ▲德國西門(mén)子（SIEMENS）

       德國西門(mén)子作為德國工業(yè)4.0建議和推動(dòng)者之一，將PLM作為數字化企業(yè)平臺，將虛擬生產(chǎn)與現實(shí)生產(chǎn)環(huán)境緊密融合，將計算機輔助設計（CAD）、計算機輔助制造（CAM）、產(chǎn)品數據管理（PDM）和制造過(guò)程無(wú)縫地集成在一起，幫助企業(yè)以經(jīng)濟高效的方式對產(chǎn)品整個(gè)生命周期，對從創(chuàng )意、設計、制造到維修及處理的信息進(jìn)行管理。SINUMERIK 840D SL高檔數控系統提供完整的網(wǎng)絡(luò )方案和強大的PLC/PLC通訊功能，能夠實(shí)現互聯(lián)網(wǎng)（如ERP）、局域網(wǎng)（如MES）、工業(yè)現場(chǎng)總線(xiàn)（如PCS）的互聯(lián)，實(shí)現設備與設備、設備與管理人員的互聯(lián)。

▲日本發(fā)那科（FANUC）

       FANUC世界上最著(zhù)名的數控和機器人廠(chǎng)家之一，其展示的最新數控系統，支持各種工業(yè)網(wǎng)絡(luò )和現場(chǎng)網(wǎng)絡(luò )，可以將數控機床與PC互聯(lián)，進(jìn)行NC程序的傳輸和現場(chǎng)監控，亦可在CNC上操作辦公室的PC，還可以搭配載有通訊專(zhuān)用處理器的快速以太網(wǎng)電路板，同時(shí)與多臺計算機進(jìn)行高速數據傳輸，構建與生產(chǎn)線(xiàn)和工廠(chǎng)主機進(jìn)行信息交換的生產(chǎn)系統。

      FANUC MT-LINK i運轉管理軟件通過(guò)以太網(wǎng)連接企業(yè)內部機床，利用FOCAS程序對機床各類(lèi)信息進(jìn)行收集和運轉管理。

▲德馬吉森精機（DMG MORI）

       德馬吉森精機（DMG MORI）的CELOS系統是該公司目前所有高檔機床搭載的數字化制造平臺和統一的人機界面。CELOS可將系統和機器整合并進(jìn)行數據交換，兼容現有ERP（企業(yè)資源計劃）/PPS（生產(chǎn)計劃與控制系統）/PDM（產(chǎn)品數據管理）/MES制造執行系統和CAD/CAM軟件和控制系統，通過(guò)網(wǎng)絡(luò )將機床與公司組織連接為一體，構成完整持續的數字化、無(wú)紙化生產(chǎn)的支撐和基礎。

▲日本三菱

       面向未來(lái)制造業(yè)的三菱電機綜合解決方案“e-factory”。e-F@ctory是整合FA的理念，旨在降低企業(yè)的綜合成本，將整個(gè)制造系統的各個(gè)設備進(jìn)行橫向整合，實(shí)現設備間的無(wú)縫通訊，同時(shí)，縱向將企業(yè)信息管理系統與FA系統通過(guò)MES接口實(shí)現數據共享。

      ▲藍天數控

       沈陽(yáng)高精數控智能技術(shù)股份有限公司的作為高檔數控國家工程中心的產(chǎn)業(yè)化實(shí)體，是國產(chǎn)高檔數控系統的代表廠(chǎng)商之一，在推出新型“藍天數控”系統的同時(shí)，也推出了DNC與智能工廠(chǎng)解決方案。

 ▲沈陽(yáng)機床（unis）

       沈陽(yáng)機床作為全球最大的數控機床廠(chǎng)商，結合近年推出的智能數控系統i5,展出了多種型號的i5智能機床。i5智能機床采用先進(jìn)的底層控制技術(shù)和網(wǎng)絡(luò )技術(shù)，實(shí)現操作、編程、維護的智能化，并可以通過(guò)APP實(shí)現遠程監視和管理。

       2

       智能制造+互聯(lián)網(wǎng)面臨的安全風(fēng)險和挑戰

       從網(wǎng)絡(luò )安全的角度分析，智能制造網(wǎng)絡(luò )化后攻擊剖面大大擴大，將面臨設備、控制、網(wǎng)絡(luò )、應用、云平臺、數據等八個(gè)方面的安全挑戰，但同時(shí)要看到參與到各個(gè)層面的人員因素，以及綜合各方面的高級持續性威脅APT。

       智能制造 + 互聯(lián)網(wǎng)面臨的安全挑戰

       概括來(lái)說(shuō)，八方面的具體挑戰如下：

      （1）設備層安全挑戰。智能制造領(lǐng)域網(wǎng)絡(luò )中伺服驅動(dòng)器、智能IO、智能傳感器、儀表、智能產(chǎn)品的安全挑戰，包括：所用芯片安全、嵌入式操作系統安全、編碼規范安全、第三方應用軟件安全以及功能安全等，這些設備均可能存在漏洞、缺陷、規范使用、后門(mén)等安全挑戰；目前，在制造領(lǐng)域并未對以上問(wèn)題開(kāi)展深入研究。如：西門(mén)子漏洞CVE-2016-5849等


     （2）控制層安全挑戰。主要來(lái)自各類(lèi)機床數控系統、PLC、運動(dòng)控制器、所使用的控制協(xié)議、控制平臺、控制軟件等方面，其在設計之初可能未考慮完整性、身份校驗等安全需求，存在輸入驗證，許可、授權與訪(fǎng)問(wèn)控制不嚴格，不當身份驗證，配置維護不足，憑證管理不嚴，加密算法過(guò)時(shí)等安全挑戰。例如：國產(chǎn)數控系統所采用的操作系統可能是基于某一版本Linux進(jìn)行裁剪的，所使用的內核、文件系統、對外提供服務(wù)、一旦穩定均不再修改，可能持續使用多年，有的甚至超過(guò)十年，而這些內核、文件系統、服務(wù)多年所爆出的漏洞并未得到更新，安全隱患長(cháng)期保留。如：西門(mén)子漏洞CVE-2017-2685、三菱PLC漏洞CNVD-2016-06361等。


     （3）網(wǎng)絡(luò )層安全挑戰。主要來(lái)自三方面：各類(lèi)數控系統、PLC、應用服務(wù)器通過(guò)有線(xiàn)網(wǎng)絡(luò )或無(wú)線(xiàn)網(wǎng)絡(luò )連接，形成工業(yè)網(wǎng)絡(luò )，工業(yè)網(wǎng)絡(luò )與辦公網(wǎng)絡(luò )連接形成企業(yè)內部網(wǎng)絡(luò )，企業(yè)內部網(wǎng)絡(luò )與外面的云平臺連接、第三方供應鏈連接、客戶(hù)的網(wǎng)絡(luò )連接。主要安全挑戰包括：網(wǎng)絡(luò )數據傳遞過(guò)程的常見(jiàn)網(wǎng)絡(luò )威脅（如：拒絕服務(wù)、中間人攻擊等），網(wǎng)絡(luò )傳輸鏈路上的硬件和軟件安全（如：軟件漏洞、配置不合理等），無(wú)線(xiàn)網(wǎng)絡(luò )技術(shù)使用帶來(lái)的網(wǎng)絡(luò )防護邊界模糊等。如：三菱網(wǎng)絡(luò )模塊漏洞CNVD-2016-06360。西門(mén)子網(wǎng)絡(luò )服務(wù)器漏洞CNVD-2012-7944等


     （4）應用層安全挑戰，指支撐工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)運行的應用軟件及平臺的安全，如：德馬吉森精機（DMG MORI）的CELOS系統所整合的ERP（企業(yè)資源計劃）/PPS（生產(chǎn)計劃與控制系統）/PDM（產(chǎn)品數據管理）/MES制造執行系統和CAD/CAM軟件和控制系統等。智能制造領(lǐng)域應用軟件，與常見(jiàn)商用軟件的類(lèi)似，將持續面臨病毒、木馬、漏洞等傳統安全挑戰；如：Ge fanuc漏洞CVE-2008-0175和CVE-2008-0176，西門(mén)子上位機漏洞CNVD-2016-11465等。


     （5）工業(yè)云安全挑戰，從這次CIMT上可以看到，國內各大機床廠(chǎng)商、數控系統廠(chǎng)商正在建立或即將建立的云平臺及服務(wù)，這些云平臺及服務(wù)也面臨著(zhù)虛擬化中常見(jiàn)的違規接入、內部入侵、多租戶(hù)風(fēng)險、跳板入侵、內部外聯(lián)、社工攻擊等內外部安全挑戰。


     （6）數據層安全挑戰，是指智能制造工廠(chǎng)內部生產(chǎn)管理數據、生產(chǎn)操作數據以及工廠(chǎng)外部數據等各類(lèi)數據的安全問(wèn)題，不管數據是通過(guò)大數據平臺存儲、還是分布在用戶(hù)、生產(chǎn)終端、設計服務(wù)器等多種設備上，海量數據都將面臨數據丟失、泄露、篡改等安全威脅。


     （7）人員管理的挑戰，隨著(zhù)智能制造的網(wǎng)絡(luò )化和數字化發(fā)展，工業(yè)與IT的高度融合，企業(yè)內部人員，如：工程師、管理人員、現場(chǎng)操作員、企業(yè)高層管理人員等，其“有意識”或“無(wú)意識”的行為，可能破壞工業(yè)系統、傳播惡意軟件、忽略工作異常等，因為網(wǎng)絡(luò )的廣泛使用，這些挑戰的影響將會(huì )急劇放大；而針對人的社會(huì )工程學(xué)、釣魚(yú)攻擊、郵件掃描攻擊等大量攻擊都利用了員工無(wú)意泄露的敏感信息。因此，在智能制造+互聯(lián)網(wǎng)中，人員管理的也面臨巨大安全挑戰。


     （8）高級持續性威脅（APT），智能制造領(lǐng)域中的APT是以上6個(gè)方面各種挑戰組合，是最難應對、后果最嚴重的威脅。攻擊者目標可能是偷取重點(diǎn)智能制造企業(yè)的產(chǎn)品設計資料、產(chǎn)品應用數據等，也可能是在關(guān)鍵時(shí)刻讓智能制造企業(yè)生產(chǎn)停止、良品率下降、服務(wù)不及時(shí)等給企業(yè)造成直接損失，攻擊者精心策劃、為了達成既定目標，長(cháng)期持續的進(jìn)行攻擊，其攻擊過(guò)程包括收集各類(lèi)信息收集、入侵技術(shù)準備、滲透準備、入侵攻擊、長(cháng)期潛伏和等待、深度滲透、痕跡消除等一系列精密攻擊環(huán)節。如：360APT報告：摩訶草組織。

       3

      協(xié)同聯(lián)動(dòng)建立聯(lián)合防御體系

       CIMT參展的多家企業(yè)和觀(guān)眾，智能制造企業(yè)、集成商、用戶(hù)等，推進(jìn)智能制造+互聯(lián)網(wǎng)過(guò)程中，面臨的各項安全挑戰幾乎沒(méi)有考慮，對安全的認識還停留在“我們不連接外網(wǎng)，會(huì )有什么問(wèn)題呢？網(wǎng)絡(luò )攻擊根本進(jìn)不來(lái)！”，工業(yè)安全在國內智能化廠(chǎng)商的考慮重點(diǎn)中幾乎缺位。針對這個(gè)以上8類(lèi)挑戰，360企業(yè)安全建議智能制造企業(yè)、集成商、用戶(hù)等可以從以下方面進(jìn)行應對。


      （1）落實(shí)國家對工業(yè)安全的相關(guān)政策、指南、標準

       針對工業(yè)系統信息安全的問(wèn)題，國家先后出臺了《關(guān)于加強工業(yè)控制系統信息安全管理的通知》（工信部協(xié)[2011]451號）、《工業(yè)控制系統信息安全防護指南》等相關(guān)文件，對工業(yè)系統連接管理、組網(wǎng)管理、配置管理、設備選擇和升級、數據管理、應急管理做出了相應要求，對工業(yè)控制系統設計、選型、建設、測試、運行、檢修、廢棄各階段防護工作要求；《工業(yè)控制系統信息安全防護指南》從安全軟件選型、訪(fǎng)問(wèn)控制策略構建、數據安全保護、資產(chǎn)配置管理等方面提出了具體實(shí)施細則，從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環(huán)境安全防護、身份認證、遠程訪(fǎng)問(wèn)安全、安全監測和應急預案演練、資產(chǎn)安全、數據安全、供應鏈管理、落實(shí)責任等給出了指導意見(jiàn)。智能裝備制造商、應用企業(yè)可以參考相關(guān)內容，做好必要的安全防護、安全管理和安全意識培訓。


     （2）構建持續檢測響應能力

      假定智能制造系統無(wú)法阻止被攻破，也就是無(wú)法防護住，改變思路，在產(chǎn)品和解決方案設計中，增加攻破的發(fā)現能力，縮短攻擊發(fā)現的時(shí)間，將攻破后的進(jìn)行應急響應的思路，改變?yōu)槌掷m的監測和響應，不斷加強監測和威脅發(fā)現的能力，提升響應的速度。


      （3）應用數據驅動(dòng)安全的理念

       目前國際上公認解決網(wǎng)絡(luò )安全攻防不對稱(chēng)的方法之一，是數據驅動(dòng)安全，2015中國互聯(lián)網(wǎng)安全大會(huì )（ISC2015）大會(huì )就提出要進(jìn)行態(tài)勢的感知，進(jìn)行威脅情報的共享和攻擊溯源。

       對于智能制造來(lái)說(shuō)，對某一行業(yè)中某一家企業(yè)的攻擊，如果被發(fā)現，攻擊方法和攻擊目標被辨析，可以結合全網(wǎng)的安全大數據和企業(yè)自身的安全數據進(jìn)行分析，形成有效的威脅情報，提供給整個(gè)行業(yè)的企業(yè)，提供行業(yè)防御的效果；


       （4）建立企業(yè)安全運營(yíng)中心

       根據Gartner的預測，工業(yè)企業(yè)建立的安全運維中心已成為一種趨勢，預計到2020年將有40%的企業(yè)將建立安全運營(yíng)中心，該中心將建立企業(yè)的安全數據倉庫，對于A(yíng)PT攻擊，一個(gè)最大的挑戰之一是如何發(fā)現攻擊，應用數據驅動(dòng)安全的理念。工業(yè)大數據進(jìn)行工業(yè)生產(chǎn)故障的預防性維護，找出生產(chǎn)環(huán)節的異常，已經(jīng)成為目前工業(yè)大數據的主要應用方向之一。智能制造企業(yè)和用戶(hù)對工業(yè)生產(chǎn)設備損壞或衰退的預測與發(fā)現，生產(chǎn)流程停機的預測與發(fā)現，其實(shí)就是一種工業(yè)生產(chǎn)的異常，而工業(yè)網(wǎng)絡(luò )受到攻擊也可以產(chǎn)生類(lèi)似異常；安全運營(yíng)中心可以記錄工業(yè)互聯(lián)網(wǎng)企業(yè)持續監測的安全信息，但這些信息堆積在倉庫里，如同“一團亂麻”，解開(kāi)亂麻，需要找到一個(gè)線(xiàn)頭，因此，可利用工業(yè)大數據發(fā)現工業(yè)生產(chǎn)異常的能力，為安全大數據的分析提供觸發(fā)條件或關(guān)鍵線(xiàn)索，這將成為數據驅動(dòng)安全的最值得實(shí)踐的方法之一。

       另外利用安全大數據進(jìn)行智能制造系統中的用戶(hù)和實(shí)體行為分析（UEBA），對用戶(hù)的行為和設備的行為用大數據的方法建立一個(gè)基線(xiàn)，偏離基線(xiàn)太多的時(shí)候也會(huì )出現異常，也成為安全大數據重要應用手段之一。


      （5）構建產(chǎn)業(yè)協(xié)同的聯(lián)合防御體系

       我國目前暴露在公網(wǎng)的工業(yè)設備，超過(guò)2000臺，美國在公網(wǎng)的工業(yè)設備達到數萬(wàn)臺，包括：PLC、數控系統以及相關(guān)工業(yè)應用系統等，隨著(zhù)我國智能制造的發(fā)展，未來(lái)我國將與美國類(lèi)似，將有大量的工業(yè)設備暴露在公網(wǎng)上，任何一個(gè)企業(yè)由于在人才、設備、數據、情報方面的限制，單獨進(jìn)行防御將存在巨大困難，未來(lái)工業(yè)互聯(lián)網(wǎng)企業(yè)、工業(yè)互聯(lián)網(wǎng)企業(yè)設備提供商、安全服務(wù)商、監管機構將建立協(xié)同機制，共同應對智能制造+互聯(lián)網(wǎng)安全來(lái)自工業(yè)、互聯(lián)網(wǎng)、信息安全的跨領(lǐng)域、跨行業(yè)的挑戰。網(wǎng)絡(luò )安全的能力，將變成一種可定制的服務(wù)，智能制造企業(yè)和用戶(hù)的依據自己的威脅、成本、人才、運行階段按需使用。

       智能制造領(lǐng)域，通過(guò)高檔數控機床及基礎制造裝備通過(guò)網(wǎng)絡(luò )與工業(yè)軟件、商業(yè)軟件、工程師、供應商、客戶(hù)高效互聯(lián)，向著(zhù)智能化、高效化、專(zhuān)業(yè)化、網(wǎng)絡(luò )化方向發(fā)展；企業(yè)外部的商業(yè)網(wǎng)絡(luò )與企業(yè)內部辦公網(wǎng)絡(luò )、工業(yè)網(wǎng)絡(luò )的邊界被聯(lián)通，工業(yè)企業(yè)將面臨設備、網(wǎng)絡(luò )、控制、應用、云、數據、人員等多方面安全挑戰。

       綜上，機床制造企業(yè)、數控系統廠(chǎng)商、先進(jìn)制造集成商在進(jìn)行智能化、網(wǎng)絡(luò )化、數字化產(chǎn)品和解決方案設計時(shí)，工業(yè)安全必須同步考慮；智能制造用戶(hù)在采購智能化產(chǎn)品、建設網(wǎng)絡(luò )化、智能化先進(jìn)制造系統的，為保證自己的生產(chǎn)安全、數據安全，應同時(shí)要求供應商提供在工業(yè)安全方面的防護措施，并加強企業(yè)員工的安全意識。在智能制造+互聯(lián)網(wǎng)的背景下，工業(yè)安全不容缺位。


以上內容來(lái)源于網(wǎng)絡(luò )