概述

智能制造行業(yè)的工控系統(tǒng)以高端數(shù)控機(jī)床、工業(yè)機(jī)器人、測(cè)試床等幾類為主。機(jī)床一般有銑床、磨床、洗床、加工中心等，主體品牌有西門子、法蘭克、馬扎克等國(guó)外品牌,以及海天龍門、永進(jìn)等國(guó)內(nèi)品牌。通常設(shè)備接口分RS232、RJ45兩種。

為提升機(jī)床效率和利用率，逐步建立DNC網(wǎng)絡(luò)，實(shí)現(xiàn)統(tǒng)一的機(jī)床管理和實(shí)時(shí)監(jiān)測(cè)，使設(shè)計(jì)和生產(chǎn)直接連接，DNC通常國(guó)外使用的品牌包括Cimco和Predator。國(guó)內(nèi)提供DNC網(wǎng)絡(luò)的主要品牌為數(shù)碼大方和藍(lán)光，傳輸數(shù)據(jù)通過(guò)TCP/IP協(xié)議，采集數(shù)據(jù)通過(guò)OPC、MODBUS及廠家自身協(xié)議等。

風(fēng)險(xiǎn)

伴隨兩化融合的實(shí)施，智能制造行業(yè)生產(chǎn)制造中的信息安全問(wèn)題顯得越來(lái)越突出，一旦網(wǎng)絡(luò)被攻陷，不僅會(huì)破壞精密機(jī)床設(shè)備，也會(huì)泄密企業(yè)的技術(shù)信息，一方面損壞企業(yè)形象，另一方面會(huì)對(duì)國(guó)家和社會(huì)造成嚴(yán)重不良影響。其風(fēng)險(xiǎn)如下：

☆ 高精類數(shù)控設(shè)備通過(guò)使用U盤或連入網(wǎng)絡(luò)傳輸數(shù)據(jù)，可能會(huì)被傳染病毒或惡意代碼，進(jìn)而嚴(yán)重影響生產(chǎn)的產(chǎn)量、質(zhì)量及效率；

☆ 第三方人員（尤其是遠(yuǎn)程的國(guó)外人員）在遠(yuǎn)程維護(hù)高精類機(jī)床設(shè)備時(shí)可能會(huì)有相關(guān)生產(chǎn)數(shù)據(jù)的信息泄密，直接影響著企業(yè)聲譽(yù)、國(guó)家命脈；

☆ 未對(duì)工業(yè)控制網(wǎng)絡(luò)區(qū)域間進(jìn)行隔離、惡意代碼、異常監(jiān)測(cè)、訪問(wèn)控制等一系列的防護(hù)措施，很容易一點(diǎn)發(fā)生病毒或攻擊，影響全部車間甚至全公司；

☆ 未對(duì)操作站主機(jī)及服務(wù)器端進(jìn)行必要的安全配置，使得一旦能接觸訪問(wèn)到該主機(jī)則被攻擊的成功機(jī)會(huì)很高；

☆ 對(duì)相關(guān)人員的操作未進(jìn)行審計(jì)記錄，一旦發(fā)生安全事件后很難取證；

☆ 無(wú)線客戶端和接入點(diǎn)的認(rèn)證措施不足，使得很容易在車間中被人盜取或?yàn)E用；

☆ 未統(tǒng)一對(duì)設(shè)備及日志進(jìn)行統(tǒng)一管理，使得相關(guān)工控系統(tǒng)事件不能統(tǒng)一收集、分析，不易關(guān)聯(lián)分析設(shè)備間的事件和日志，難于發(fā)現(xiàn)及時(shí)復(fù)雜的問(wèn)題；

☆ 未針對(duì)工業(yè)控制系統(tǒng)建立統(tǒng)一的應(yīng)急響應(yīng)機(jī)制，使得發(fā)生問(wèn)題后不能在最短時(shí)間內(nèi)響應(yīng)處理，缺少相應(yīng)的工控安全管理制度和工控安全意識(shí)培訓(xùn)。

部署

☆ 部署數(shù)控機(jī)床安全防護(hù)裝置，對(duì)數(shù)控機(jī)床進(jìn)行安全防護(hù)，抵御來(lái)自管理層系統(tǒng)和其他區(qū)域的一切風(fēng)險(xiǎn)；

☆ 部署工業(yè)防火墻，進(jìn)行邊界隔離和重點(diǎn)區(qū)域隔離，通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的自學(xué)習(xí)，工控協(xié)議的深度解析，設(shè)置精細(xì)化訪問(wèn)控制策略，能夠有效的隔離惡意代碼，阻止網(wǎng)絡(luò)安全事件的擴(kuò)散；

☆ 部署工業(yè)異常監(jiān)測(cè)系統(tǒng)，對(duì)全網(wǎng)流量信息進(jìn)行多維度分析，實(shí)時(shí)展示網(wǎng)絡(luò)中各協(xié)議分布情況，同時(shí)可識(shí)別主流的工控協(xié)議，如modbus協(xié)議，opc協(xié)議等；對(duì)流量進(jìn)行實(shí)時(shí)分析和歷史分析，實(shí)現(xiàn)入侵檢測(cè)功能，記錄業(yè)務(wù)異常操作，起到事中防范，事后追查的作用；

☆ 部署工控漏洞掃描系統(tǒng)及基線配置核查系統(tǒng)，對(duì)生產(chǎn)控制主機(jī)入網(wǎng)及定期進(jìn)行漏洞掃描、配置核查，保障工控主機(jī)安全運(yùn)行；

☆ 工控運(yùn)維審計(jì)系統(tǒng)，為機(jī)床提供安全的遠(yuǎn)程運(yùn)維方式，可實(shí)時(shí)監(jiān)控和阻斷機(jī)床運(yùn)維，對(duì)人員操作進(jìn)行審計(jì)；

☆ 惡意代碼檢測(cè)系統(tǒng)和敏感信息檢測(cè)系統(tǒng)，生產(chǎn)數(shù)據(jù)及應(yīng)用進(jìn)行安全防護(hù)，避免商業(yè)機(jī)密外泄；

☆ 部署操作站安全系統(tǒng)，通過(guò)對(duì)主機(jī)終端進(jìn)行防護(hù)，可實(shí)現(xiàn)CAM終端、工藝終端的USB、光驅(qū)、無(wú)線等接口進(jìn)行嚴(yán)格外設(shè)控制，實(shí)現(xiàn)化被動(dòng)為主動(dòng)的防御，能夠有效的防范“0-day”病毒和惡意代碼；

☆ 部署工業(yè)網(wǎng)閘，對(duì)重點(diǎn)區(qū)域進(jìn)行重點(diǎn)隔離；

☆ 工控信息安全管理系統(tǒng)，實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、終端等的統(tǒng)一管理，針對(duì)CNC安全防護(hù)裝置進(jìn)行日志統(tǒng)一收集，實(shí)現(xiàn)對(duì)CNC安全防護(hù)裝置系統(tǒng)日志分析、監(jiān)控、審計(jì)、報(bào)表、展示等。

價(jià)值

☆ 幫助客戶對(duì)工業(yè)控制網(wǎng)絡(luò)進(jìn)行安全區(qū)域劃分，方便管理和運(yùn)維；

☆ 幫助客戶對(duì)安全區(qū)域劃分的縱向各層和橫向各區(qū)的設(shè)備進(jìn)行全方位的安全防護(hù)；

☆ 通過(guò)建立工業(yè)控制信息安全管理平臺(tái)，幫助客戶統(tǒng)一管理所有的安全設(shè)備和網(wǎng)絡(luò)設(shè)備；

☆ 通過(guò)工控安全管理制度的完善，幫助客戶提高安全意識(shí)和管理水平。