【智能制造核心安全】-安盟华御工控主机接口管控系统（机甲卫士）机床防护案例

2024-05-30

背景概述

随着两化融合政策的大力推动和发展，越来越多的信息技术应用到了工业制造领域，生产模式得以改变，各种智能制造设备和系统间网络互联互通的趋势越来越明显，我国数控加工行业也开始大力推进数控机床的网络化，加快数控网络与企业办公网和因特网的互联互通。

数控机床承担着工业现代化的重要使命，但是数控系统使用的是厂商定制的专用系统，在设计时没有考虑信息安全问题，系统中运行的控制软件，通信协议和管理系统在设计时就存在着漏洞和后门，利用数控系统的安全漏洞能够直接完成对系统的控制，并且能够获得系统的最大控制权限。尤其是接入企业管理网和互联网后，面临的信息安全风险将急剧增加，亟须建立一套数控机床安全防护方案。

需求分析

1.保护关键技术和知识产权泄漏
数控机床是生产制造工业产品的一线设备，往往明文存储着产品的工艺参数和控制指令等关键数据，是企业的核心资产。单从技术角度分析，大多数工业企业中进口数控机床占据主导地位，国外厂家的核心技术不向我国公开，复杂的数控系统所包含的软件代码量级巨大，设备可能存在系统设计漏洞和预留后门，也容易引入恶意软件攻击。同时，设备的升级维护过程行为不可控，以及对外设端口、无线设备及模块的接入缺乏严格管控，存在非授权访问风险。从而导致数据泄密事件的发生，给企业造成重大经济损失，甚至危及国家安全。必须采用安全技术和防护手段加强数据在数控机床终端、DNC 服务器端存储的保护。

2.防止企业业务中断

近年来，恶意软件攻击和笔记本电脑、移动智能终端设备是最主要两种泄密方式。企业数控系统（如 DNC 服务器、数控机床终端等）的数据交互往往使用明文方式传输和管理，一旦受到病毒及恶意软件的攻击，数据和指令被恶意篡改，使得工业生产数据和指令无法准确上传下达，数控系统一旦遭到破坏，将严重影响产品质量和生产效率，将会导致数控机床乃至整个生产线停机，从而导致业务中断，带来巨大经济损失，甚至是影响国防建设。一方面，需加强数控系统（工程师站、操作员站等）、各类服务器的安全防护，防止病毒及恶意软件的入侵；另一方面，需采用安全技术保证信息在数控系统间的流转安全。

解决方案

依据数控机床生产企业现场需求安盟信息可提供 “端口全覆盖”和“主机全覆盖”多种解决方案。

A.端口全覆盖模式

“端口全覆盖”（数控机床一对一部署方式，如下图所示）：

数控机床安全防护解决方案“端口全覆盖”拓扑结构示意图

机甲卫士与数控机床进行一对一部署，全面接管数控机床的网口、串口、USB 口。

机甲卫士对插入的 U 盘进行注册管控，责任到人，为注册的 U 盘配置访问权限，包括只读，读写，禁用三种权限；

机甲卫士具有病毒查杀功能，文件经查杀后导入至数控机床，保障数控机床安全运行；
机甲卫士具有文件过滤功能，可对文件类型和关键字进行过滤；
机甲卫士具有工业网络安全防护功能，实现访问控制和抵御外联网络的攻击；
机甲卫士代理维护终端与数控机床之间的串口连接，对维护终端检查控制串口参数并进行工业协议深度识别过滤。

B.主机全覆盖模式

“主机全覆盖”（一对多保护受控主机部署方式，如下图所示）：

数控机床安全防护解决方案“主机全覆盖”拓扑结构示意图

机甲卫士对插入的 U 盘进行注册管控，责任到人，为注册的 U 盘配置访问权限，包括只读，读写，禁用三种权限；
机甲卫士具有病毒查杀功能，文件经查杀后导入至文档服务器内；
机甲卫士具有文件过滤功能，可对文件类型和关键字进行过滤；
操作区内受控主机通过网络（如 FTP 服务）从文档服务器获取文件；
机甲卫士启动工业防火墙功能，部署在受控主机前端，实现访问控制和抵御外联网络的攻击。

方案价值

1.数控机床多重安全防护

可实现基于数控机床网口、串口、USB 口接管的安全防护，机甲卫士与数控机床一对一对接，既实现对网络层侧威胁攻击安全防护，又可屏蔽内部侧的恶意泄露数据和病毒传播风险。同时，让 USB 口和受控主机不直连，杜绝了 USB 炸弹以及 USB 端口损坏的风险。
2.多维度文件过滤

在 USB 口接管的安全防护中利用文件规则过滤功能，实现对 U 盘或移动硬盘内文件的真实类型识别、内容检查、关键字过滤，达到文件真实可靠的目的。

3.工业协议深度管控
机甲卫士通过对 OPC UA/DA、ModbusTCP、S7、IEC-61850、IEC-104、DNP3、Profinet 等工业控制协议的深度解析，实现对工业控制网络数据的过滤和管控。

4.病毒全面防护

利用机甲卫士病毒查杀双引擎，对移动存储类设备的手动、自动的病毒查杀，并依据查杀结果告警和处理方法提示，及时有效降低恶意代码、病毒传播的风险。

关闭

上一篇：无

下一篇：无

相关新闻