工控安全解决方案
U盘/笔电/文件安全交互管控方案
智能制造场景面临的挑战
—
高端设备依赖国外,存在供应链后
我国智能制造领域大量使用的高端数控机床、高端PLC以及操作系统、底层工具、协议大多依赖日本、德国、法国和美国供应。这些设备、工具等存在GPS、远程控制、数据传输等后门的可能。后门程序可能包含有远程锁死产品使用权限、私自存储和上传数据等功能。因为有专门收发装置,有时即使断网也依旧能够偷偷连接网络发送信息,严重影响国家安全。同时工业控制设备所使用的设备厂商、操作系统、传输协议、计算机语言多样,现有安全防护产品仅能实现对部分工控设备的局部防护,造成安全防护与监管难度大。
“黑盒子”设备难于监管,安全管控复杂
国外厂商的设备只开放了其生产的必要接口和功能,我们对于其内部的运行原理和工作过程无从了解,且NC程序或者编程平台等上位机软件也来自国外,因此高端机床作为“黑盒子”设备难以进行安全审计、难以实施端口管控和防病毒等措施,进而导致设备面临恶意操作、感染及传播病毒、信息泄露等风险。而且目前部分制造企业的文件传输是采用U盘拷贝方式或无认证和加密的网络传输方式,大大增加了病毒感染、被网络攻击可能。如震网病毒就是采用U盘传入伊朗铀浓缩工厂的离心机控制网络。
解决方案介绍
—
机甲卫士系统,是受控主机的贴身护卫,,通过透明串接方式,接管受控主机的网口、串口、USB口,从而为受控主机提供了一个安全防护“金刚罩”,具备防火墙防病毒、抗攻击等功能,对通过网线和串口线的攻击报文进行阻断,同时具备U盘的管控、防止勒索病毒、USB炸弹以及USB端口烧毁等防护手段,提供网口和串口的Bypass功能,可实现在机甲卫士自身断电或系统故障时,不影响业务连续性。
多重安全防护
可实现基于网口、 串口、 USB 口接管的安全防护,机甲卫 士与数控机床一对一对接, 既实现对网络层侧威胁攻击安全防护, 又可屏蔽内部侧的恶意泄露数据和病毒传播风险。同时,让 USB 口和受控主机不直连,杜绝了 USB 炸弹以及 USB 端口烧毁的风险。
应用场景
—
一对一保护数控机床方案
◉ 接管数控机床的外联端口
机甲卫士与数控机床进行一对一部署, 全面接管数控机床的网口、串口、USB口。
◉ USB口安全防护
具备U盘管控能力、防止勒索病毒、USB炸弹以及USB端口烧毁等防护手段。
◉ 防火墙防护
机甲卫士启动工业防火墙功能,实现对数控机床的访问控制和抵御外联网络的攻击。
◉ 串口指令控制
机甲卫士部署在终端与数控机床之间,通过相互串口连接,检查控制维护终端的指令及参数。
一对多保护数控机床方案
◉ 全面保护操作区设备
一台机甲卫士保护操作区全部受控主机(数控机床/工控主机/关键控制系统) 。
◉ 文件入网病毒查杀
U盘插在机甲卫士前面板,文件通过机甲卫士过滤和病毒查杀后,映射至文件服务器内。操作区内受控主机通过网络(如FTP服务)从文档服务器获取安全的文件。
◉ 防火墙防护
机甲卫士启动工业防火墙功能,部署在操作区网络边界,实现访问控制和抵御外联网络的攻击。
方案优势
—
产品聚焦智能制造业务本身,而非单纯为了安全而做安全。各项安全能力的最终目标均是为智能制造生产精度、质量、效率、安全保密提供保障。
在制造业从传统方式向智能化发展的过程中,高端制造装备短期内无法实现完全自给自足。在此背景下,本系统能有效管控机床输入输出接口、传输的文件、融合机床运行和业务执行数据分析生产本质问题,全面降低进口生产装备联网生产安全风险。
智能制造装备种类繁杂、时代跨度大、管理难度大、数据信息流转管控难度大等难题,产品面向生产制造过程中装备全生命周期管理,包括机床运行状态实时监控、产品进度监控、NC文件管理,以及过程中网络和数据安全防护,全面覆盖智能制造装备使用全过程。
系统基于工业互联网平台设计,可本地化部署,满足复杂业务和大数据应用场景,平台可依据项目规模平滑扩展;系统可面向企业扩展能耗管理、SM移动应用管理端等能力提供功能扩展。