先进制造业解决方案

发布时间 2019-01-16

案例概述



某车辆制造集团在国家工信部451号文的引导下高度重视工业控制系统安全,在2012年印发了《工业控制系统信息安全管理办法(试行)》。


下属某企业为提高复杂产品的工艺创新能力、缩短产品研制周期、提高市场应变能力不断采用先进的协同设计与过程控制应用,按照信息安全同步建设、同步规划的思想,需要在使用先进的协同设计与过程控制应用时,从订单、设计、工艺、生产各环节中同步保障其信息安全。


作为国家重要的大型装备制造企业,该某企业不仅承担着国家机车车辆制造的任务,为自身创造利润,也为国家的机车车辆走向世界付出努力,需要不断提高生产力,优化生产结构,所以必须“两化融合”且依赖先进的信息化手段。近年来引进了大批的国外的先进数控机床及技术,并且企业也在开展DNC网络的建设,生产网的互联性已有大幅提高。随着技术发展也引入了一些安全隐患:


通过建立符合某企业工控系统的信息安全管理体系、信息安全技术防护体系、信息安全运行体系,并将三个体系与IT安全现有体系融合,形成“三个体系,一个中心”的信息安全保障体系框架,实现办公网和生产网信息安全一体化管理和监控,支撑XX企业智能制造生产和应用。


典型安全风险


先进制造工控系统中大量使用数控机床,一般有铣床、磨床、洗床、加工中心等,主体品牌有西门子、法兰克、马扎克等国外品牌,以及海天龙门、永进等国内品牌。通常设备接口有RS232、RJ45两种。工控网络的生产与管理网的管理关系如下图所示:




传统车间里的机床设备基本都是通过串口连接,存在大量串网转换装置,如下图示意:




为提升机床效率和利用率,逐步建立DNC网络,可实现统一的机床管理和实时监测,同时使设计和生产直接连接,DNC通常国外使用的品牌有Cimco和Predator。国内提供DNC网络的主要是数码大方和蓝光,DNC传输主要是基于TCP/IP协议,DNC的采集是通过OPC、MODBUS及厂家自身协议等。数控系统的管理流程如下图所示:




该类系统安全面临的风险主要有如下:

(1)    大多CNC设备采用国外品牌,面临着国外厂商运维时重要数据如生产数量、NC文件泄露的风险。

(2)    工控网络与管理网中的DNC服务器连接时,在提高效率的同时也面临着被感染病毒、恶性攻击的风险。

(3)    诸多工厂通过使用U盘将NC文件传入高精类数控设备或连入网络传输数据,可能会被传染病毒或恶意代码,进而严重影响生产的产量、质量及效率。

(4)    第三方人员(尤其是远程的国外人员)在远程维护高精类机床设备时可能会有相关生产数据的信息泄密,直接影响着企业声誉、国家命脉。

(5)    未对操作站主机及服务器端进行必要的安全配置,使得一旦能接触访问到该主机则被攻击的成功机会很高。

(6)    无线客户端和接入点的认证措施不足,使得很容易在车间中被人盗取或滥用。

除此之外,也存在管理方面的缺乏相应的信息安全责任人、供应商管理不严格、安全培训意识不足等问题。


安全解决方案


在保证系统可用性前提下,对工业控制系统进行防护,实现“垂直分层,水平分区。边界控制,内部监测”。


“垂直分层、水平分区”即对工业控制系统垂直方向化分为四层:现场设备层、现场控制层、监督控制层、生产管理层。水平分区指各工业控制系统之间应该从网络上隔离开,处于不同的安全区。


“边界控制,内部监测”即对系统边界即各操作站、工业控制系统连接处、无线网络等要进行边界防护和准入控制等。对工业控制系统内部要监测网络流量数据以发现入侵、业务异常、访问关系异常和流量异常等问题。


系统面临的主要安全威胁来自于黑客攻击、恶意代码(病毒蠕虫)、越权访问(非授权接入、移动介质、弱口令、操作系统漏洞、误操作和业务异常等,因此,其安全防护应在以下方面予以重点完善和强化,具体如下:


(1)    在CAM终端、工艺终端上安装防病毒App配合终端安全管理系统,可实现CAM终端、工艺终端的USB、光驱、无线等接口进行严格外设控制;

(2)    对工业控制网络进行安全配置核查审计,对于安全配置较差的设备在保证生产的前提下进行安全配置修改,实现对工控网络设备安全配置进行审计与完善;

(3)    根据数据传递方向在生产管理网与管理网间部署网闸或工业防火墙,在机床前部署CNC防护装置,实现了阻断来自管理网的非法行为和对机床的非法行为的访问控制;

(4)    在生产车间部署工控异常监测系统,实时监测针对工控系统入侵行为及异常行为。

(5)    在机床前端部署适用于工业现场的专用防火墙,对工控异常访问行为及违法操作进行安全防护。

(6)    部署工控信息安全统一管理平台,用于对工业控制环境的统一安全管理,在实现网络进行可用性与性能的监控、事件的分析审计预警、风险与态势的度量与评估、流行为的合规分析的同时,还承载着对工控安全设备统一管理的职能,是工业控制网络信息安全管理的统一平台。


本次项目范围涉及该企业生产网、管理网和工控DNC网络三大安全区域的加工终端、设计终端、工艺终端、CAM终端等工控系统的用户终端,含有PDM、MES、CAM等类型的DNC系统以及机床装置和机器人装置等智能装置。项目蓝图如下:



项目蓝图


建设内容包括如下几方面:

(1)    建设一套基于最新协同设计与过程控制的从研发产品设计、工艺编制、后置处理、数控加工代码生成、仿真及代码传输、加工等全生命周期的信息安全保障体系。


(2)    建设一套安全区域清晰、技术安全防护措施到位的、统一管理的工控安全网络,针对现场设备层、生产控制层建设完备的边界防护、恶意代码防护、异常检测、机床设备运维审计、无线安全防护等信息安全防护体系,并形成企业信息安全技术规范。


(3)    在企业现有的信息安全管理和运维体系支撑平台上扩充工业控制信息安全管理功能,规范生产系统运维工作和流程,明确工控系统运营各方的安全职责、工作要求、评价办法、考核标准,通过常态化的检查实现评估,并实现KPI考核,改进在生产安全中不断完善发展信息安全,并形成企业工控系统信息安全管理规范。


(4)    在全厂信息安全统一平台上实现生产网、办公网的信息安全统一监控,收集的信息包括各类信息安全设备日志和报警、系统安全日志、行业预警信息等,实现监测预防、应急响应、监督落实、优化改进等闭环的信息安全工作流程。


小结


某先进制造企业通过对其生产网络及工控系统进行安全建设,有效的减少了由于工控网内部病毒木马造成的工业数据丢失、泄密以及停车风险,大大提高了工控系统生产效率。