今日頭條
官方微信
官方抖音
資訊頻道摘要:數(shù)控機床作為工業(yè)控制系統(tǒng)的重要組成部分,是當今智能制造領(lǐng)域的核心裝備,是生產(chǎn)加工行業(yè)的關(guān)鍵設(shè)備,而數(shù)控系統(tǒng)作為機床的“大腦”,決定著機床的功能和性能。本文首先介紹了數(shù)控系統(tǒng)的定義及發(fā)展現(xiàn)狀,然后從數(shù)控系統(tǒng)面臨的主要信息安全問題的角度闡述了目前數(shù)控系統(tǒng)信息安全防護方面的主要成果,最后結(jié)合現(xiàn)狀分析了未來發(fā)展的趨勢,為我國數(shù)控系統(tǒng)信息安全防護技術(shù)研究及發(fā)展提供參考。
關(guān)鍵詞:數(shù)控機床;數(shù)控系統(tǒng);信息安全;安全防護
Abstract: As an important part of the industrial control system, CNC machine tools are the core equipment in the field of intelligent manufacturing, and the key equipment in the production and processing industry. As the "brain" of the machine tool, the numerical control system determines the function and performance of the machine tool. This paper first introduces the definition and development status of numerical control system, Then, the main achievements of the current information security protection of numerical control system are expounded from the perspective of the main information security problems. Finally, the trend of the future development is analyzed based on the current situation, which provides the reference for the research and development of information security protection technology of CNC system in China.
Key words: Computer numerical control machine tools; Computer numerical control systems; Information security; Security protection
1 前言
數(shù)控機床是一種高精度、高效率的自動化機床,配備多工位刀塔或動力刀塔,具有廣泛的加工工藝性能,在復(fù)雜零件的批量生產(chǎn)中發(fā)揮了良好的經(jīng)濟效果。數(shù)控系統(tǒng)作為機床的“大腦”成為工業(yè)控制系統(tǒng)的重要組成部分,正面臨工業(yè)病毒和網(wǎng)絡(luò)攻擊,信息安全問題日益凸現(xiàn),一旦數(shù)控系統(tǒng)遭受到攻擊就可能癱瘓或造成信息泄露,直接影響到國家安全和企業(yè)生存。我國急需建立數(shù)控機床信息安全應(yīng)對措施,轉(zhuǎn)型升級刻不容緩,大力發(fā)展自主知識產(chǎn)業(yè),以國產(chǎn)化替代方式來提高核心競爭力、風險防范能力以及可持續(xù)發(fā)展能力。
2 數(shù)控系統(tǒng)的發(fā)展現(xiàn)狀及趨勢
國產(chǎn)數(shù)控系統(tǒng)企業(yè)已占領(lǐng)我國經(jīng)濟型數(shù)控系統(tǒng)95%以上的市場份額。在中型數(shù)控系統(tǒng)領(lǐng)域,國產(chǎn)數(shù)控系統(tǒng)的功能已達到或接近國外同類產(chǎn)品水平,市場價格和售后服務(wù)較國外產(chǎn)品仍有較大優(yōu)勢,市場占有率也在不斷攀升。高檔數(shù)控系統(tǒng)方面,國產(chǎn)數(shù)控系統(tǒng)的市場占有份額較少,絕大部分市場被發(fā)那科、西門子、三菱電機自動化和德馬吉等國外品牌占領(lǐng),但華中數(shù)控和廣州數(shù)控等國產(chǎn)化數(shù)控系統(tǒng)已開始進軍這一高端領(lǐng)域。
“高速、高精、復(fù)合、智能、環(huán)保”是未來機床發(fā)展的重要方向。數(shù)控系統(tǒng)作為數(shù)控機床的核心,發(fā)展趨勢主要包括向高速、高精度、高可靠性方向發(fā)展;向多軸聯(lián)動、復(fù)合化方向發(fā)展;向智能化、柔性化、網(wǎng)絡(luò)化方向發(fā)展;向開放式數(shù)控系統(tǒng)發(fā)展等。
3 數(shù)控系統(tǒng)信息安全發(fā)展現(xiàn)狀
工業(yè)信息安全直接影響到公共基礎(chǔ)設(shè)施的安全,對生產(chǎn)過程中關(guān)鍵信息和指令的篡改不僅影響正常生產(chǎn)過程,還會對機器運行造成危害,進而導(dǎo)致生產(chǎn)安全危害。數(shù)控系統(tǒng)的信息安全,一方面要防止干擾和非法滲透對數(shù)控系統(tǒng)造成影響;另一方面,要求對生產(chǎn)過程中包含的大量敏感信息進行保護。由于兩化融合的不斷發(fā)展使得原本獨立封閉的數(shù)控生產(chǎn)網(wǎng)絡(luò)接入企業(yè)管理網(wǎng)和互聯(lián)網(wǎng),也帶來了自網(wǎng)絡(luò)層面的威脅。
3.1 數(shù)控系統(tǒng)面臨的主要信息安全問題
(1)數(shù)控領(lǐng)域進口設(shè)備占據(jù)主導(dǎo)地位。目前國內(nèi)使用的主流數(shù)控設(shè)備,其核心系統(tǒng)大部分是國外廠家產(chǎn)品,特別是高端CNC數(shù)控機床控制系統(tǒng)和DNC數(shù)控整體聯(lián)網(wǎng)解決方案,從而導(dǎo)致數(shù)控系統(tǒng)自身安全難以保證,復(fù)雜的數(shù)控系統(tǒng)所包含的軟件代碼量級巨大,其中可能存在系統(tǒng)設(shè)計漏洞和預(yù)留后門等安全隱患。
(2)數(shù)控協(xié)議安全。多數(shù)數(shù)控機床控制系統(tǒng)使用明文方式傳輸和管理加工代碼,這樣容易導(dǎo)致未加密的加工代碼被非法獲取,并通過專用軟件對加工物品進行還原,導(dǎo)致制造數(shù)據(jù)泄密。
(3)數(shù)控設(shè)備運維升級安全。數(shù)控設(shè)備的升級維護嚴重依賴生產(chǎn)和供應(yīng)廠商,很多設(shè)備允許通過網(wǎng)絡(luò)遠程控制,系統(tǒng)缺少用戶身份認證和訪問控制等安全機制,設(shè)備的升級維護過程行為不可控,存在巨大的安全風險。
(4)網(wǎng)絡(luò)邊界擴大導(dǎo)致更多的網(wǎng)絡(luò)攻擊。兩化融合的不斷發(fā)展使得原本獨立封閉的數(shù)控生產(chǎn)網(wǎng)絡(luò)接入企業(yè)管理網(wǎng)和互聯(lián)網(wǎng),網(wǎng)絡(luò)邊界擴大必然導(dǎo)致網(wǎng)絡(luò)攻擊事件不斷發(fā)生。
3.2 數(shù)控系統(tǒng)信息安全方面的關(guān)鍵成果
3.2.1 標準化方面的關(guān)鍵成果
我國機床行業(yè)的創(chuàng)新研發(fā)和可靠性水平顯著提升,機床行業(yè)標準和技術(shù)規(guī)范逐步完善。通過專項實施,推動了國內(nèi)機床骨干企業(yè)聯(lián)合高校、用戶共同開發(fā),積極組織數(shù)控機床可靠性評定國家/行業(yè)標準的編制,在機床行業(yè)推廣應(yīng)用。
2006年頒布的國家標準《GB/T 18759.2-2006機械電氣設(shè)備開放式數(shù)控系統(tǒng) 第2部分:體系結(jié)構(gòu)》規(guī)定了開放式數(shù)控系統(tǒng)的基本體系結(jié)構(gòu),確定開放式數(shù)控系統(tǒng)由功能組件構(gòu)成原則,規(guī)定了功能組件模型及主要功能模塊。《體系結(jié)構(gòu)》標準規(guī)定開放式數(shù)控系統(tǒng)由應(yīng)用軟件和系統(tǒng)平臺兩部分組成。其中,應(yīng)用軟件部分包括系統(tǒng)的控制功能,這些功能通過功能模塊之間的相互連接實現(xiàn),功能模塊間的通信遵照標準通信接口,而且各功能模塊均能在滿足開放式體系結(jié)構(gòu)要求的系統(tǒng)平臺上運行。系統(tǒng)平臺包括由系統(tǒng)硬件、系統(tǒng)軟件和應(yīng)用編程接口,可以滿足不同層次的開放性,滿足開放式數(shù)控系統(tǒng)的互操作性、可互換性、可伸縮性、可移植性等要求。
2009年頒布的國家標準《GB/T 18759.3-2009機械電氣設(shè)備開放式數(shù)控系統(tǒng) 第3部分:總線接口與通信協(xié)議》規(guī)定了開放式數(shù)控系統(tǒng)總線接口與通信協(xié)議。規(guī)定開放式數(shù)控系統(tǒng)總線作為連接系統(tǒng)裝置間的雙向、數(shù)字式、多點的通信系統(tǒng)。總線接口與通信協(xié)議以開放系統(tǒng)互連參考模型ISO/OSI為基礎(chǔ),包括物理層、數(shù)據(jù)鏈路層、應(yīng)用層與用戶層行規(guī)。滿足數(shù)控系統(tǒng)對總線周期性、實時性、同步、可靠性、安全及開放的要求。同時規(guī)范了數(shù)控系統(tǒng)人機界面、機床附帶傳感器、主軸驅(qū)動器、伺服主軸、伺服電機驅(qū)動器等數(shù)控設(shè)備的互操作功能。
各類專項成果形成了一大批技術(shù)標準規(guī)范,行業(yè)國際競爭優(yōu)勢顯著增強,對產(chǎn)品研發(fā)形成有力支持,也對國家裝備制造業(yè)持續(xù)發(fā)展能力的提升起到保障作用。在2017年擬定的《信息安全技術(shù) 數(shù)控網(wǎng)絡(luò)安全技術(shù)要求》標準草案中將安全技術(shù)要求分為網(wǎng)絡(luò)安全技術(shù)要求、設(shè)備安全技術(shù)要求、應(yīng)用安全技術(shù)要求、數(shù)據(jù)安全技術(shù)要求及集中管控技術(shù)要求。各部分的主要內(nèi)容如下:
(1)網(wǎng)絡(luò)安全技術(shù)要求從網(wǎng)絡(luò)架構(gòu)、數(shù)控網(wǎng)絡(luò)與管理網(wǎng)絡(luò)以及數(shù)控網(wǎng)絡(luò)內(nèi)部不同安全區(qū)域之間的邊界防護、訪問控制、入侵防范、安全審計以及數(shù)控網(wǎng)絡(luò)中無線網(wǎng)絡(luò)的使用控制等方面進行了網(wǎng)絡(luò)規(guī)定。
(2)設(shè)備安全技術(shù)要求對數(shù)控網(wǎng)絡(luò)中控制計算機上的操作系統(tǒng),NC服務(wù)器上的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng),數(shù)控設(shè)備上數(shù)控系統(tǒng)的操作系統(tǒng)以及數(shù)控網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備從身份鑒別、訪問控制、入侵防范、資源控制、惡意代碼防范、安全審計等方面進行了規(guī)定。
(3)應(yīng)用安全技術(shù)要求對控制計算機、NC服務(wù)器、數(shù)控設(shè)備上數(shù)控系統(tǒng)安裝的各類應(yīng)用軟件從身份鑒別、訪問控制、資源控制、軟件容錯、安全審計等方面進行了規(guī)定。
(4)數(shù)據(jù)安全技術(shù)要求對設(shè)備上存儲的NC程序、工藝文件、審計記錄等及設(shè)備之間傳輸?shù)腘C程序、設(shè)備狀態(tài)信息等數(shù)據(jù)從數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護等方面進行了規(guī)定。
(5)集中管控技術(shù)要求對數(shù)控網(wǎng)絡(luò)中由安全設(shè)備及安全組件實現(xiàn)的各類安全機制集中管理進行了規(guī)定。
其中給出的數(shù)控網(wǎng)絡(luò)參考模型如圖1所示。
圖1 數(shù)控網(wǎng)絡(luò)參考模型
數(shù)控網(wǎng)絡(luò)安全防護應(yīng)遵循以下原則:
(1)可用性。各類安全防護措施的使用不應(yīng)對數(shù)控網(wǎng)絡(luò)的正常運行以及數(shù)控網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交互造成影響。
(2)網(wǎng)絡(luò)隔離。數(shù)控網(wǎng)絡(luò)應(yīng)僅用于數(shù)控生產(chǎn)加工業(yè)務(wù),應(yīng)采用專用的物理網(wǎng)絡(luò),與外部網(wǎng)絡(luò)的交互應(yīng)采取有效的安全防護措施。
(3)分區(qū)防御。將數(shù)控網(wǎng)絡(luò)劃分為數(shù)控網(wǎng)絡(luò)-監(jiān)督控制區(qū)域和數(shù)控網(wǎng)絡(luò)-數(shù)控設(shè)備區(qū)域。數(shù)控網(wǎng)絡(luò)-數(shù)控設(shè)備區(qū)域按照完成的生產(chǎn)功能可進一步劃分為不同的子區(qū)域。對不同的區(qū)域應(yīng)采取相應(yīng)的安全保護措施。在不影響各區(qū)域工作的前提下,于各區(qū)域邊界處采取相應(yīng)的安全隔離措施,確保各個區(qū)域之間有清楚明晰的邊界設(shè)定,并保障各區(qū)域邊界安全。
(4)全面保護。數(shù)控網(wǎng)絡(luò)的安全防護可通過物理訪問控制措施、管理措施以及技術(shù)措施實現(xiàn)。單一設(shè)備的防護、單一防護措施或單一防護產(chǎn)品的使用都無法有效的保護數(shù)控網(wǎng)絡(luò),所以數(shù)控網(wǎng)絡(luò)的防護需要采取多個不同機制的多層防護策略。
3.2.2 自研設(shè)備方面的關(guān)鍵成果
依據(jù)工控網(wǎng)數(shù)據(jù),2016年,數(shù)控機床專項支持研發(fā)的高檔數(shù)控系統(tǒng)已累計銷售1000余套,國內(nèi)市場占有率由專項啟動前的不足1%提高到了5%左右,2017年我國高檔數(shù)控機床的國產(chǎn)化率達到了6%左右。在2018~2023年中,我國數(shù)控機床由于技術(shù)發(fā)展以及下游市場逐漸復(fù)蘇等原因,預(yù)計仍會保持10%~12%的增長速度。到2023年,我國數(shù)控機床行業(yè)的市場規(guī)模將突破5000億元。同時,我國生產(chǎn)的機床主機平均無故障時間從專項實施前的400~500小時已經(jīng)普遍提升到了1200小時,部分產(chǎn)品已達到了2000小時以上,接近國際先進水平。
2018年11月28日,中國網(wǎng)絡(luò)安全·智能制造大會在長沙舉行,會議期間展出了各類自主研發(fā)的助力中國智能制造的系列產(chǎn)品。其中 “數(shù)控系統(tǒng)終端信息安全防護設(shè)備”、 “單向數(shù)據(jù)安全交換設(shè)備”及“邊界安全專用網(wǎng)關(guān)”等產(chǎn)品證明了國內(nèi)學(xué)者已經(jīng)對數(shù)控機床控制系統(tǒng)的信息安全防護技術(shù)體系與評估機制展開了深入的研究。同時,該系列產(chǎn)品被廣泛應(yīng)用于工控網(wǎng)絡(luò)、數(shù)控加工網(wǎng)絡(luò)、重點作業(yè)站點的數(shù)據(jù)安全防護。國內(nèi)已經(jīng)擁有涵蓋西門子、發(fā)那科、海德漢以及國內(nèi)一線數(shù)控品牌在內(nèi)的綜合試驗環(huán)境,擁有針對智能制造基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全、功能安全等的攻防驗證平臺。
4 數(shù)控系統(tǒng)信息安全發(fā)展趨勢
未來我國數(shù)控系統(tǒng)信息安全的發(fā)展趨勢主要可以分為以下三個方面:
(1)建立健全信息安全政策法規(guī)與標準。隨著數(shù)控系統(tǒng)信息安全風險問題日益嚴峻,我國自2011年起開始建立相關(guān)的標準體系和法律法規(guī),先后發(fā)布了《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》、《2014年工業(yè)控制系統(tǒng)信息安全藍皮書》、《電力監(jiān)控系統(tǒng)安全防護規(guī)定([2014]第14號令)》等。這些信息安全相關(guān)標準的建立和完善是支撐各工業(yè)控制系統(tǒng)領(lǐng)域進行相關(guān)系統(tǒng)測評和風險評估的依據(jù),反映出國家非常注重加強對數(shù)控機床等工業(yè)控制系統(tǒng)信息安全的檢查,對重點領(lǐng)域的信息安全管理,通過測評、分析和排查系統(tǒng)存在的安全隱患與漏洞,評估安全防護水平和抗風險防護能力,從而能夠有針對性地采取防范對策和改進措施,不斷完善信息安全防護體系,切實保障企業(yè)正常的生產(chǎn)經(jīng)營、產(chǎn)業(yè)安全和國家安全。
(2)加快研制開發(fā)自主可控的數(shù)控機床設(shè)備與系統(tǒng)。隨著數(shù)控機床等工業(yè)控制系統(tǒng)信息安全認識的不斷提高,相關(guān)技術(shù)的不斷深化應(yīng)用,研制生產(chǎn)國產(chǎn)自主可控的設(shè)備和系統(tǒng)是我國工業(yè)產(chǎn)業(yè)化發(fā)展的目標。在加強對數(shù)控機床信息安全防護的同時,通過走國產(chǎn)化、自主研發(fā)道路,逐步取代國際主流數(shù)控機床等工業(yè)控制系統(tǒng),改善現(xiàn)有受制于人的現(xiàn)狀,提高數(shù)控機床的自主知識產(chǎn)權(quán)能力和數(shù)控加工制造的安全性。
(3)提升信息安全綜合技術(shù)防護能力。為預(yù)防和提升數(shù)控機床信息安全,需要建立事前身份認證、加密、預(yù)警、漏掃、評估機制,事中防御攻擊機制,事后審計、追溯機制等多路徑閉環(huán)的信息安全防護體系,以提升系統(tǒng)的整體安全。
5 結(jié)束語
數(shù)控系統(tǒng)面臨的信息安全問題日益凸現(xiàn),一旦系統(tǒng)遭受到攻擊后可能癱瘓或造成信息泄露,直接影響到國家的安全和企業(yè)的生存。我國急需建立數(shù)控系統(tǒng)信息安全應(yīng)對措施,轉(zhuǎn)型升級刻不容緩。
本文引述了數(shù)控系統(tǒng)的發(fā)展現(xiàn)狀及趨勢,從數(shù)控系統(tǒng)面臨的主要信息安全問題、數(shù)控系統(tǒng)信息安全方面的關(guān)鍵成果兩個方面分析了數(shù)控系統(tǒng)的信息安全發(fā)展現(xiàn)狀,對數(shù)控系統(tǒng)信息安全發(fā)展趨勢進行了展望,以期對我國數(shù)控系統(tǒng)信息安全防護技術(shù)研究及發(fā)展提供參考和借鑒意見。
參考文獻:
[1] 周曉楓, 王子偉, 張?zhí)熨x, 張兆夕. 數(shù)控技術(shù)的國內(nèi)外分析與發(fā)展趨勢的展望[J]. 中國設(shè)備工程, 2018, ( 16 ) : 195 - 196.
[2] 楊建武. 國內(nèi)外數(shù)控技術(shù)的發(fā)展現(xiàn)狀與趨勢[J]. 制造技術(shù)與機床,2008, ( 12 ) : 57 - 62.
[3] 蔡銳龍, 李曉棟, 錢思思. 國內(nèi)外數(shù)控系統(tǒng)技術(shù)研究現(xiàn)狀與發(fā)展趨勢[J]. 機械科學(xué)與技術(shù), 2016, 35 ( 4 ) : 493 - 500.
[4] 陸小虎. 開放式數(shù)控系統(tǒng)網(wǎng)絡(luò)化平臺關(guān)鍵技術(shù)研究與應(yīng)用[D]. 中國科學(xué)院研究生院(沈陽計算技術(shù)研究所), 2015.
[5] 鄒大均, 黃沾. 基于國產(chǎn)密碼算法的數(shù)控系統(tǒng)安全解決方案[J]. 通信技術(shù), 2018, ( 2 ) : 463 - 470.
[6] 張群嶺. 基于數(shù)控機床信息安全的建立與研究[J]. 信息安全與技術(shù), 2016, 7 ( 01 ) : 19 - 20, 23.
[7] 閻詩晨, 張定華, 曹國彥, 潘泉. 基于靶場技術(shù)的DNC網(wǎng)絡(luò)安全分析[J]. 信息安全研究, 2017, 3 ( 6 ) : 560 - 567.
[8] 國家標準化管理委員會. 20170567-T-469 信息安全技術(shù) 數(shù)控網(wǎng)絡(luò)安全技術(shù)要求, 國家標準征求意見稿[Z]. 2017.
作者簡介:
尚文利(1974-),黑龍江北安人,研究員,博士,博士生導(dǎo)師,現(xiàn)任IEEE Industrial Electronics Society (IES) Member,第六屆全國工業(yè)過程測量控制和自動化標準化技術(shù)委員會(SAC/TC124/SC5)委員,邊緣計算產(chǎn)業(yè)聯(lián)盟(ECC)信息安全組副主席,工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟理事,遼寧省工業(yè)信息安全專家組首批專家,沈陽市標準化專家。主要從事工業(yè)信息安全、計算智能與機器學(xué)習(xí)方向研究。
摘自《自動化博覽》2019年6月刊
北京市公安局海淀分局備案號:11010802023656號