概述

智能制造行業(yè)的工控系統(tǒng)以高端數(shù)控機床、工業(yè)機器人、測試床等幾類為主。機床一般有銑床、磨床、洗床、加工中心等，主體品牌有西門子、法蘭克、馬扎克等國外品牌,以及海天龍門、永進等國內(nèi)品牌。通常設備接口分RS232、RJ45兩種。

為提升機床效率和利用率，逐步建立DNC網(wǎng)絡，實現(xiàn)統(tǒng)一的機床管理和實時監(jiān)測，使設計和生產(chǎn)直接連接，DNC通常國外使用的品牌包括Cimco和Predator。國內(nèi)提供DNC網(wǎng)絡的主要品牌為數(shù)碼大方和藍光，傳輸數(shù)據(jù)通過TCP/IP協(xié)議，采集數(shù)據(jù)通過OPC、MODBUS及廠家自身協(xié)議等。

風險

伴隨兩化融合的實施，智能制造行業(yè)生產(chǎn)制造中的信息安全問題顯得越來越突出，一旦網(wǎng)絡被攻陷，不僅會破壞精密機床設備，也會泄密企業(yè)的技術信息，一方面損壞企業(yè)形象，另一方面會對國家和社會造成嚴重不良影響。其風險如下：

☆ 高精類數(shù)控設備通過使用U盤或連入網(wǎng)絡傳輸數(shù)據(jù)，可能會被傳染病毒或惡意代碼，進而嚴重影響生產(chǎn)的產(chǎn)量、質量及效率；

☆ 第三方人員（尤其是遠程的國外人員）在遠程維護高精類機床設備時可能會有相關生產(chǎn)數(shù)據(jù)的信息泄密，直接影響著企業(yè)聲譽、國家命脈；

☆ 未對工業(yè)控制網(wǎng)絡區(qū)域間進行隔離、惡意代碼、異常監(jiān)測、訪問控制等一系列的防護措施，很容易一點發(fā)生病毒或攻擊，影響全部車間甚至全公司；

☆ 未對操作站主機及服務器端進行必要的安全配置，使得一旦能接觸訪問到該主機則被攻擊的成功機會很高；

☆ 對相關人員的操作未進行審計記錄，一旦發(fā)生安全事件后很難取證；

☆ 無線客戶端和接入點的認證措施不足，使得很容易在車間中被人盜取或濫用；

☆ 未統(tǒng)一對設備及日志進行統(tǒng)一管理，使得相關工控系統(tǒng)事件不能統(tǒng)一收集、分析，不易關聯(lián)分析設備間的事件和日志，難于發(fā)現(xiàn)及時復雜的問題；

☆ 未針對工業(yè)控制系統(tǒng)建立統(tǒng)一的應急響應機制，使得發(fā)生問題后不能在最短時間內(nèi)響應處理，缺少相應的工控安全管理制度和工控安全意識培訓。

部署

☆ 部署數(shù)控機床安全防護裝置，對數(shù)控機床進行安全防護，抵御來自管理層系統(tǒng)和其他區(qū)域的一切風險；

☆ 部署工業(yè)防火墻，進行邊界隔離和重點區(qū)域隔離，通過對網(wǎng)絡數(shù)據(jù)的自學習，工控協(xié)議的深度解析，設置精細化訪問控制策略，能夠有效的隔離惡意代碼，阻止網(wǎng)絡安全事件的擴散；

☆ 部署工業(yè)異常監(jiān)測系統(tǒng)，對全網(wǎng)流量信息進行多維度分析，實時展示網(wǎng)絡中各協(xié)議分布情況，同時可識別主流的工控協(xié)議，如modbus協(xié)議，opc協(xié)議等；對流量進行實時分析和歷史分析，實現(xiàn)入侵檢測功能，記錄業(yè)務異常操作，起到事中防范，事后追查的作用；

☆ 部署工控漏洞掃描系統(tǒng)及基線配置核查系統(tǒng)，對生產(chǎn)控制主機入網(wǎng)及定期進行漏洞掃描、配置核查，保障工控主機安全運行；

☆ 工控運維審計系統(tǒng)，為機床提供安全的遠程運維方式，可實時監(jiān)控和阻斷機床運維，對人員操作進行審計；

☆ 惡意代碼檢測系統(tǒng)和敏感信息檢測系統(tǒng)，生產(chǎn)數(shù)據(jù)及應用進行安全防護，避免商業(yè)機密外泄；

☆ 部署操作站安全系統(tǒng)，通過對主機終端進行防護，可實現(xiàn)CAM終端、工藝終端的USB、光驅、無線等接口進行嚴格外設控制，實現(xiàn)化被動為主動的防御，能夠有效的防范“0-day”病毒和惡意代碼；

☆ 部署工業(yè)網(wǎng)閘，對重點區(qū)域進行重點隔離；

☆ 工控信息安全管理系統(tǒng)，實現(xiàn)對企業(yè)網(wǎng)絡設備、安全設備、服務器、終端等的統(tǒng)一管理，針對CNC安全防護裝置進行日志統(tǒng)一收集，實現(xiàn)對CNC安全防護裝置系統(tǒng)日志分析、監(jiān)控、審計、報表、展示等。

價值

☆ 幫助客戶對工業(yè)控制網(wǎng)絡進行安全區(qū)域劃分，方便管理和運維；

☆ 幫助客戶對安全區(qū)域劃分的縱向各層和橫向各區(qū)的設備進行全方位的安全防護；

☆ 通過建立工業(yè)控制信息安全管理平臺，幫助客戶統(tǒng)一管理所有的安全設備和網(wǎng)絡設備；

☆ 通過工控安全管理制度的完善，幫助客戶提高安全意識和管理水平。