數(shù)控機床自動化網絡信息安全綜合防護方案*

劉　杰，汪京培，李　丹，云　雷，陳晶晶

(1.中國賽寶實驗室 信息安全研究中心，廣州　510610；2.中國和平利用軍工技術協(xié)會，北京　100088)

?

數(shù)控機床自動化網絡信息安全綜合防護方案*

劉杰1，汪京培1，李丹1，云雷1，陳晶晶2

(1.中國賽寶實驗室 信息安全研究中心，廣州510610；2.中國和平利用軍工技術協(xié)會，北京100088)

摘要：為了解決數(shù)控機床聯(lián)網后的信息安全威脅，提出了一種數(shù)控網絡信息安全綜合防護方案。該方案基于數(shù)控網絡系統(tǒng)架構，以事件生命周期為主線，采用可信安全防護技術、自治愈理論，融合基礎數(shù)據(jù)和系統(tǒng)安全防護技術，形成數(shù)控機床自動化網絡安全綜合防護功能。對方案的功能、性能以及基于數(shù)控系統(tǒng)的高級持續(xù)性威脅實例進行詳細分析，結果表明了所提方案的合理性和較好防護效果。該方案的建立實現(xiàn)了數(shù)控網絡系統(tǒng)事前監(jiān)控、事中檢測和自治愈、事后審計系統(tǒng)化的信息安全防護。

關鍵詞：數(shù)控機床；數(shù)控系統(tǒng)；信息安全防護；可信；自治愈

0引言

數(shù)控系統(tǒng)固有安全漏洞和聯(lián)網后的開放性，使其面臨的信息安全威脅持續(xù)擴大。數(shù)控系統(tǒng)是數(shù)控機床的“大腦”，高端數(shù)控系統(tǒng)核心技術基本被工業(yè)發(fā)達國家壟斷，數(shù)控系統(tǒng)存在不可控的漏洞、后門等安全隱患。同時針對控制系統(tǒng)的信息安全攻擊事件持續(xù)發(fā)生[1]。數(shù)控系統(tǒng)一旦遭到破壞，將會導致數(shù)控機床乃至整個生產線停機，造成企業(yè)重大損失。所以研究數(shù)控機床信息安全防護理論與技術，對保障工業(yè)基礎設施穩(wěn)定運行具有重要意義。

美國能源部國家SCADA測試床計劃 (NSTB)[2]發(fā)布了防護控制系統(tǒng)路線圖。歐洲網絡與信息安全局(ENSIA)制定的防護控制系統(tǒng)的指導文件也于2011年發(fā)布。國內王琦魁[3]提出一種數(shù)控加工網絡信息安全防護方案，部署數(shù)控加工網絡邊界隔離設備和數(shù)控系統(tǒng)終端防護設備，保障數(shù)控網絡安全。王劍[4]提出了DNC數(shù)控網絡系統(tǒng)安全防護架構，部署防火墻在辦公局域網和DNC數(shù)控網之間過濾數(shù)據(jù)，然而該方案對于內部信息泄露缺乏有效的防護。于立業(yè)[5]提出工業(yè)控制系統(tǒng)信息安全縱深防御解決方案，采用邊界隔離和入侵檢測的訪問控制機制，缺乏系統(tǒng)化協(xié)同防護。

可信計算和自治愈被認為是解決控制系統(tǒng)本質安全的重要方法。Fadul[6]將可信計算理論應用到智能電網的SCADA系統(tǒng)安全防護中。伍江江[7]提出一種基于虛擬隔離數(shù)據(jù)可信存儲體系來進行數(shù)據(jù)非授權防護，魏占禎[8]提出了一種基于可逆向擴展的可信數(shù)據(jù)封裝方案。目前可信網絡理論和技術的研究主要在普通信息系統(tǒng)或數(shù)控系統(tǒng)的辦公網絡中，還沒有被應用到完整的數(shù)控系統(tǒng)。張彤[9]對應用于電力系統(tǒng)的基于自治愈理論的網絡可生存性理論進行了研究，但未對完整系統(tǒng)體系結構模型進行研究。Kirsch[10]通過入侵容忍策略研究了可生存的SCADA系統(tǒng)，但是其策略并不適用于有狀態(tài)的應用服務器。

本文通過建立數(shù)控機床自動化網絡信息安全綜合防護方案，建立系統(tǒng)化信息安全協(xié)同防護技術，有機結合了現(xiàn)有的信息安全防護技術，在保持系統(tǒng)有序性情況下，達到較好的防護效果。

1數(shù)控機床網絡系統(tǒng)架構和安全威脅

為了提高數(shù)控企業(yè)信息化和綜合自動化水平，實現(xiàn)管控一體化，現(xiàn)代數(shù)控系統(tǒng)越來越多地與企業(yè)網絡互聯(lián)，采用計算機輔助設計制造(CAD)、產品數(shù)據(jù)管理系統(tǒng)(PDM)等提高加工效率和精度。通用協(xié)議(如TCP/IP協(xié)議)、通用操作系統(tǒng)等智能化構件不斷用于工業(yè)數(shù)據(jù)交換和處理。數(shù)控機床與辦公網絡甚至Internet的互聯(lián)互通導致數(shù)控系統(tǒng)面臨更多的信息安全威脅。數(shù)控機床自動化網絡結構和安全威脅如圖1所示。

圖1　數(shù)控機床自動化網絡結構和安全威脅

圖1中，數(shù)控機床網絡通過RS232、串口等接口通過數(shù)據(jù)交換系統(tǒng)與DNC數(shù)控網絡相連，進而與辦公自動化系統(tǒng)互連。雙向箭頭表示了安全威脅的傳遞路徑。

從圖1可以看出，安全威脅主要來自于外部攻擊和內部攻擊。外部攻擊主要是攻擊者通過外部Internet掃描目標網絡系統(tǒng)的漏洞，找到攻擊點，進行持續(xù)攻擊(如高級持續(xù)性威脅)。內部攻擊包括惡意的數(shù)據(jù)泄露、通過移動設備的病毒傳播等。攻擊目標包括操控控制系統(tǒng)，中斷加工進程、影響產品質量、竊取企業(yè)數(shù)據(jù)等。

2數(shù)控機床自動化網絡綜合防護技術

提出的數(shù)控機床網絡綜合防護技術主要包括體系架構和核心防護技術。

2.1安全防護體系結構

基于圖1的結構，提出數(shù)控機床自動化網絡系統(tǒng)協(xié)同化、系統(tǒng)化安全防護體系結構，如圖2所示。

圖2中數(shù)控系統(tǒng)網絡安全防護體系涵蓋辦公網絡安全防護、DNC數(shù)控網絡與數(shù)控機床設備網絡安全防護3個方面。在辦公網絡防護中，主要部署了防火墻、入侵檢測、惡意代碼檢測等基本的防護措施，同時部署了可信網絡管理服務器來過濾惡意節(jié)點，提高網絡免疫性。針對DNC數(shù)控網絡，在DNC服務器上部署可信計算平臺，確保運行控制系統(tǒng)可信；部署協(xié)議入侵檢測服務器過濾不合規(guī)系統(tǒng)控制流；在DNC數(shù)據(jù)傳輸和數(shù)據(jù)讀寫中部署可信數(shù)據(jù)防護機制來阻止非預期訪問；在管理控制接口部署數(shù)據(jù)訪問監(jiān)控模塊，阻止移動設備惡意入侵。針對現(xiàn)場設備防護，主要在接口控制與交換層部署自治愈管理器，防止設備運行故障對生產的影響。每個階段防護均連接取證審計服務器以備必要時審計。

圖2　數(shù)控網絡安全綜合防護體系結構

為了實現(xiàn)綜合協(xié)同防護，需要融合各種防護技術，以時間為軸，提出基于事件驅動防護方案，事件生命周期防護需求和防護技術如圖3所示。

圖3　事件生命周期安全防護技術示意圖

結合圖2和圖3，在安全事件發(fā)生前，在DNC數(shù)控網絡中，采用實時監(jiān)控、可信平臺防護方法；在辦公網絡中，采用可信網絡、可靠預警等方法。在安全事件發(fā)生時，針對內部攻擊，采用主動訪問控制、異常檢測方法。針對外部攻擊，采用入侵防御、惡意代碼防御等方法。在嚴重安全事件發(fā)生后，對數(shù)控機床網絡啟動自治愈和容錯恢復機制，并在各個網絡取證審計確定威脅源和威脅方法，采用升級補丁、入侵防御等方法阻止事件再次發(fā)生。

可信防護技術、自治愈作為核心防護技術，融合基本數(shù)據(jù)和系統(tǒng)防護技術，動態(tài)構建基于事件生命周期的數(shù)控系統(tǒng)信息安全綜合防護機制。

2.2可信防護技術

首先，在DNC系統(tǒng)服務器上部署可信計算平臺。DNC系統(tǒng)服務器是連接辦公網和數(shù)控機床的關鍵節(jié)點，下達來自辦公網的指令到數(shù)控機床網絡，上傳數(shù)控機床數(shù)據(jù)和狀態(tài)信息到辦公網絡。其運行平臺可信性至關重要。可信計算平臺以可信計算模塊(TPM，Trusted Platform Module)為核心，以密碼和驗證技術作為信任鏈，確?？刂朴嬎闫脚_可信安全。可信計算平臺主要用于事前監(jiān)控，認證合法系統(tǒng)，確保平臺可控。拒絕安全事件發(fā)生后對設備層的非預期控制。

其次，在DNC數(shù)控網絡上部署可信數(shù)據(jù)防護機制，對數(shù)控系統(tǒng)核心數(shù)據(jù)進行保護，如圖4所示。

圖4可信數(shù)據(jù)防護機制

在控制網總線上動態(tài)構建類似于VPN的通信隔離環(huán)境來保證設備控制數(shù)據(jù)不被泄漏。結合可信計算和虛擬化技術，在DNC數(shù)控網絡上構建虛擬機系統(tǒng)，建立敏感數(shù)據(jù)安全保護域(SPD，Secure Protection Domain)，通過將敏感數(shù)據(jù)綁定在安全域內，根據(jù)數(shù)據(jù)的保護預期對DNC數(shù)據(jù)訪問請求進行安全驗證和策略控制，阻止不可信進程對數(shù)據(jù)的讀寫操作和傳遞到不可信區(qū)域，從而實現(xiàn)數(shù)據(jù)防泄漏功能。對不可信的進程傳遞給惡意代碼檢測服務器，查驗惡意入侵行為?？尚盘摂M數(shù)據(jù)防護機制主要用于事前監(jiān)控、安全隔離，事中入侵檢測，事后審計查驗。

第三，在辦公網絡上部署可信網絡服務器。動態(tài)運行中，可信節(jié)點具有一定的智能性，其可信與行為動作相關，信任理論就是解決行為可信的有效方法，根據(jù)節(jié)點歷史表現(xiàn)確定可信值，大于可信閾值的節(jié)點才能參與服務，從而隔離惡意節(jié)點?？尚啪W絡主要用于事中檢測，結合入侵防御、惡意代碼防御，為審計提供證據(jù)?；谏鲜鋈齻€方面，建立數(shù)控系統(tǒng)可信防護模型。配合傳統(tǒng)數(shù)據(jù)防護和系統(tǒng)防護技術，實現(xiàn)數(shù)控系統(tǒng)數(shù)據(jù)安全和系統(tǒng)安全。

2.3數(shù)據(jù)和系統(tǒng)安全防護

基礎數(shù)據(jù)安全防護技術主要包括傳統(tǒng)的數(shù)據(jù)隔離技術(如訪問控制、防火墻等)，數(shù)據(jù)防泄露技術、數(shù)據(jù)安全存儲技術。數(shù)據(jù)隔離設備部署在數(shù)控系統(tǒng)外部接口網絡、接入網總線、控制網總線之間，作為基礎防護手段，用于事前監(jiān)控、事中檢測。

數(shù)據(jù)安全防護主要配合可信數(shù)據(jù)防護機制，對運行的數(shù)據(jù)，設置移動設備數(shù)據(jù)控制功能，存儲在移動設備上。一旦接入系統(tǒng)或遭遇不正常訪問，主動接通數(shù)據(jù)訪問監(jiān)控服務器，啟動訪問控制機制。DNC數(shù)據(jù)服務器中的敏感數(shù)據(jù)配合信息保護域管理器進行安全存儲。

系統(tǒng)運行基礎防護技術主要包括協(xié)議檢測、入侵檢測、惡意代碼檢測。

系統(tǒng)安全防護主要配合可信防護和自治愈機制。在辦公網和DNC數(shù)控網絡部署入侵檢測/防御系統(tǒng)。對系統(tǒng)運行狀態(tài)實時監(jiān)控，對專用工業(yè)通信協(xié)議進行分析，發(fā)掘入侵線索，用于事后審計?？尚欧雷o予以拒絕的進程，由入侵檢測系統(tǒng)予以判斷，做出防御響應。同時收集惡意攻擊證據(jù)，用于事后審計。在攻擊威脅影響到數(shù)控機床的可用性時，啟動自治愈容錯恢復機制。

2.4自治愈容錯

自治愈機制的原理是在攻擊發(fā)生的情況下，系統(tǒng)通過接受風險、反饋調整，使系統(tǒng)處于健康工作范圍內，從而實現(xiàn)對攻擊的免疫性。

在數(shù)控機床網絡接口與交換系統(tǒng)上建立自治愈管理器。通過監(jiān)測系統(tǒng)運行狀態(tài)和行為來判斷系統(tǒng)的改變是否在可接受范圍，進而執(zhí)行相應的策略。檢測數(shù)控系統(tǒng)異常運行行為，監(jiān)測采集到的值抽象化，與數(shù)控系統(tǒng)功能屬性(如可用性)關聯(lián)，根據(jù)數(shù)控系統(tǒng)各個部件的約束評估值，推理確定數(shù)控系統(tǒng)是否運行在可接受范圍內，超出某個部件/網絡的閾值時，進行系統(tǒng)異常預警。同時，啟動自治愈響應機制，根據(jù)當前系統(tǒng)狀態(tài)需要達到的目標生成防御恢復策略和推理演化機制，通過恢復機制對違反系統(tǒng)約束的情況進行恢復，并反饋作用到運行系統(tǒng)上。

容錯恢復主要是保障系統(tǒng)發(fā)生災難時仍能繼續(xù)提供服務的能力，或是能夠快速恢復被攻擊系統(tǒng)到正常狀況。冗余技術是最基本的容錯恢復技術，在數(shù)控機床網絡適量部署冗余機床，在數(shù)控機床網絡接口和交換網上部署軟件冗余模塊。同時啟動自檢技術，找到故障位置，屏蔽或隔離故障部件。系統(tǒng)改變和故障定位的過程信息以日志的形式記錄，存儲在審計服務器中，以備必要時審計。

2.5綜合防護機制

將前述分步建立的模型依次融合到數(shù)控系統(tǒng)事件生命周期中。主要將可信防護技術融入到事前實時監(jiān)控中，實現(xiàn)可信訪問控制；將自治愈機制融合到事后容錯恢復中；將數(shù)據(jù)安全防護技術與可信機制結合，保護事件周期中的數(shù)據(jù)安全；將系統(tǒng)安全技術融合到事中檢測，配合可信機制，進行事后取證審計。

3數(shù)控系統(tǒng)安全綜合防護方案分析

3.1防護方案功能分析

所提方案可針對如下幾種攻擊的應對。

惡意代碼攻擊：利用數(shù)控網絡系統(tǒng)的硬件、軟件、協(xié)議漏洞進行惡意代碼攻擊。在綜合防護體系中，部署在外網和內網惡意代碼檢測機制可檢測惡意攻擊，可信訪問監(jiān)控可發(fā)現(xiàn)通過移動存儲設備的入侵，可信虛擬防護域基于完整性的訪問控制需求可阻斷惡意代碼攻擊，并預警或啟動自治愈修復。

未授權訪問：首先由安全隔離設備進行初步隔離，可信數(shù)據(jù)防護機制進行拒絕訪問操作，并提交審計服務器。

信息泄露：主要是內部網絡信息泄露，可依靠可信數(shù)據(jù)隔離環(huán)境、敏感數(shù)據(jù)安全保護域、對數(shù)據(jù)讀寫的認證來防護。根據(jù)操作日志，進行審計。

拒絕服務攻擊：主要針對DNC數(shù)控網絡中的系統(tǒng)服務器、DNC傳輸服務器、接口交換機進行攻擊，使之不能正常工作或緩沖區(qū)溢出。綜合防護方案中主要通過協(xié)議檢測監(jiān)控訪問流量，通過可信計算平臺阻止非可信訪問請求。一旦數(shù)控機床出現(xiàn)故障，啟動自治愈機制中的冗余機制，保證可用性，同時利用自檢機制恢復故障。

防護方案協(xié)同性：當面臨各種攻擊時，綜合利用可信防護、數(shù)據(jù)和系統(tǒng)基礎防護、自治愈防護，協(xié)同防護數(shù)控系統(tǒng)。

(1)防護方案的時間協(xié)同?？尚欧雷o用于事前監(jiān)控，實現(xiàn)可信訪問控制；自治愈機制用于事后容錯恢復；基礎數(shù)據(jù)安全防護配合可信數(shù)據(jù)防護，用于事中主動數(shù)據(jù)訪問控制；基礎系統(tǒng)安全防護配合可信防護，對可信防護拒絕進程進行入侵檢測，收集攻擊證據(jù)，用于事后審計。在攻擊威脅到數(shù)控系統(tǒng)可用性時，啟動自治愈容錯恢復機制。

(2)防護方案的空間協(xié)同。所提方案充分利用數(shù)控網絡架構不同資源屬性來部署防護技術，數(shù)控機床網絡實時性要求高，采用可信虛擬域隔離機制防止非授權訪問，并把針對數(shù)控機床的入侵防護機制部署在數(shù)控網絡中。一旦突破所有防護措施，啟動自治愈機制，隔離修復受損設備。在DNC數(shù)控網絡中，部署可信平臺、入侵防御監(jiān)控平臺，確保核心控制系統(tǒng)安全性。在辦公網中部署復雜可信網絡、入侵檢測、惡意代碼檢測等措施，確保外圍網絡可靠性。

3.2防護方案性能分析

所提防護方案相對典型的縱深防御方案[2]，主要增加了可信防護模塊(T)、自治愈模塊(S)、與IPS、惡意代碼檢測模塊的接口機制(I)，其時間復雜度分別為f(t(T))，f(t(S))，f(t(I))，f是時間函數(shù)，事前監(jiān)控階段主要是可信防護模塊的持續(xù)監(jiān)控，所提防護方案(P)的時間復雜度為f(t(P))=f(t(T))=O(n)，n為可信模塊部署數(shù)量。事中檢測階段包括可信防護檢測、數(shù)據(jù)和系統(tǒng)防護檢測、自治愈恢復?？尚啪W絡計算的復雜度為O(n12)，n1為傳輸節(jié)點數(shù)，可信數(shù)據(jù)防護機制的事件復雜度為O(n)+O(1),O(1)為偶爾的外部移動設備訪問監(jiān)控時間，自治愈恢復為O(1)，數(shù)據(jù)和系統(tǒng)防護的復雜度為O(n),因此事中檢測階段f(t(P)) =f(t(T)) +f(t(S))+f(t(I))=O(n12)+2O(n)+2O(1)。事后審計取證階段的時間復雜度為O(1)?？臻g復雜度主要是增加了可信管理服務器、自治愈管理服務器以及相應數(shù)據(jù)存儲服務器，空間復雜度為3O(n)。

3.3對比分析

相對于王琦魁等所提出數(shù)控加工網絡防護方案[3](簡稱王方案)，本文所提方案增加了可信防護、自治愈、以及系統(tǒng)協(xié)同防護模塊。王方案主要采用加工網絡邊界隔離設備和終端防護設備，配合審計和防護協(xié)議保護數(shù)控系統(tǒng)。在抗攻擊方面，王方案針對外部攻擊具有較好效果，但對惡意內部泄露攻擊防護較弱；在效率方面，王方案通信內容深度檢查、細粒度訪問控制、主機入侵防御都需要模式匹配和計算，時間復雜度介于O(n)和O(n2)之間，n為計算實體數(shù)量。在防護效果方面，現(xiàn)場設備的深度檢查會降低可用性，對完整性破壞的防護措施沒有提及，對安全攻擊處置較為滯后。

相對于Fadul提出智能電網可信防護方案[6]，本文所提方案更為全面。Fadul方案利用基于信譽的信任管理系統(tǒng)來緩和針對未來智能電網設施脆弱性的攻擊，可信系統(tǒng)部署在智能電網通信支持防護系統(tǒng)中。在抗攻擊方面，F(xiàn)adul方案由于信譽的反饋延時，抗突發(fā)攻擊能力較弱。在效率方面，信譽計算和信任管理需要多域的網絡社區(qū)參與迭代計算，時間復雜度接近O(n2)，空間復雜度為mn，m為實體歷史向量長度，n為實體數(shù)量。在防護效果方面，基于信譽的惡意攻擊免疫機制和通信帶寬合理分配機制，使得具有較好的安全性，適宜的可用性，但完整性防護欠缺。

以上分析結果列于表1中，防護效果用三個級別的屬性值表示：“優(yōu)”、“中”、“差”，“差”表示相應的屬性未提及或效果較差。有一定效果，略顯不足為“中”?？构粜Ч譃?個狀態(tài)：可信和不可信。效率用時間復雜度表示。表1所示結果為以本文方法作為當前標準的相對性能，可以推測出本文所提方案的優(yōu)越性。

表1　防護方案對比

3.4實例分析

以高級持續(xù)性威脅(Advanced Persistent Threat, APT)攻擊為例，分析所提綜合防護方案的有效性。

APT攻擊靈活組合多種新型攻擊方法，對目標長時間滲透，在特定時刻實施攻擊。典型的針對數(shù)控系統(tǒng)的APT攻擊過程分為5個階段。①收集情報。利用社會工程，搜集并鎖定特定的數(shù)控機床。②突破防線。利用服務器漏洞、網站掛馬、釣魚軟件、移動客戶端漏洞，攻入辦公網主機，獲取受害主機的權限。③建立據(jù)點，橫向滲透。建立控制服務器到受害主機的信道并獲取系統(tǒng)權限，橫向探測辦公網系統(tǒng)和DNC網絡的結構和數(shù)據(jù)訪問規(guī)則，入侵更多主機，并規(guī)避被發(fā)現(xiàn)。④攻擊DNC系統(tǒng)服務器。模擬正常節(jié)點，連接DNC系統(tǒng)服務器和DNC傳輸服務器，利用服務器漏洞，獲取系統(tǒng)代碼執(zhí)行權限。⑤完成攻擊。修改或破化控制數(shù)據(jù)，造成數(shù)控機床設備損壞或停機，并伴隨蹤跡銷毀等撤退策略。

所提綜合防護方案的防護主要分為4個階段：

第一階段，攻擊辦公網絡主機。在辦公網部署的防火墻、入侵檢測、惡意代碼檢測機制可阻斷部分入侵行為；部署的可信網絡可根據(jù)節(jié)點長期歷史表現(xiàn)，隔離不可信主機。并提交取證審計模塊。

第二階段，橫向滲透攻擊。辦公網內的滲透通過上述入侵檢測和可信網絡隔離。針對DNC數(shù)控網絡的滲透采用協(xié)議檢測、數(shù)據(jù)訪問監(jiān)控、可信數(shù)據(jù)防護機制來監(jiān)控異常數(shù)據(jù)流，阻斷惡意節(jié)點對數(shù)控網內數(shù)據(jù)信息讀寫和對控制信息的截獲，并預警。

第三階段，攻擊DNC系統(tǒng)服務器。在服務器上部署的可信計算平臺通過完整性認證，拒絕惡意節(jié)點對操作系統(tǒng)的非預期控制，并確定數(shù)據(jù)篡改，實時預警；在DNC傳輸服務器上關聯(lián)的可信數(shù)據(jù)防護機制阻斷惡意指令的傳輸，并提交惡意代碼檢測服務器進一步檢測防御，進行取證審計。

第四階段，惡意行為繞過可信平臺，對設備進行攻擊。啟動虛擬隔離機制，隔離受害數(shù)控機床，控制攻擊范圍；啟動自治愈機制，通過無故障冗余機床持續(xù)提供服務；同時啟動自檢技術，屏蔽或隔離故障部件，并及時修復和審計。從而最大化消除APT攻擊的影響。

按照圖2的基本結構搭建模擬環(huán)境，部署防護方案，模擬APT攻擊方式，配合各種滲透技術，入侵到DNC數(shù)控網絡20次，以讀取和破壞DNC控制文件為攻擊目標。實驗結果顯示攻擊都被有效阻斷，第一階段攻擊阻斷概率(阻斷的攻擊次數(shù)占比總攻擊次數(shù))為40%，第二階段檢測概率為30%，最后30%都在第三階段被阻斷。

綜上所述，所提出的綜合防護方案對APT攻擊具有較好的防護效果。

4結論

本文提出了一種數(shù)控機床自動化網絡系統(tǒng)安全綜合防護方案，有效解決了數(shù)控機床信息安全防護難題，相對于以往的方案具有更好的協(xié)同性和有效性。該方案可形成完整的過程防護，并自成體系，對APT有較好的防護效果。由于可信防護技術和自治愈的本質安全特點，該方案可部署在異構混雜的數(shù)控系統(tǒng)中。

[參考文獻]

[1] Mansfield-Devine S. Western energy firms come under concerted and successful cyber-attack [J]. Network Security, 2014, 7: 1-2.

[2] US-CERT. ICS-CERT[EB/OL]. http:// www.us-cert.gov/control_system/.2012-06-20.

[3] 王琦魁，李昕，趙甫. 工控系統(tǒng)信息安全與加工網絡防護方案研究[J]. 信息網絡安全, 2014(9): 120-122.

[4] 王劍, 郭照敏, 王國營. DNC數(shù)控網絡系統(tǒng)的安全防護[J]. 保密科學技術, 2012(8): 33-36.

[5] 于立業(yè)，薛向榮，張云貴,等.工業(yè)控制系統(tǒng)信息安全解決方案[J]. 冶金自動化, 2013, 37(1): 5-11.

[6] Fadul J, Hopkinson K, Sheffield C. Trust Management and Security in the Future Communication-Based “Smart” Electric Power Grid [C]. Proceedings in 44th International Conference on System Sciences, Hawaii, 2011.

[7] 伍江江，王志英，馬俊,等. 一種基于虛擬隔離的數(shù)據(jù)可信存儲技術研究與實現(xiàn)[J]. 計算機工程與科學, 2012, 34(5): 58-62.

[8] 魏占禎，李偉，池亞平,等. 基于可逆向擴展的可信數(shù)據(jù)封裝存儲方案[J]. 吉林大學學報(工學版), 2012, 42(4): 985-991.

[9] 張彤. 電力可信網絡體系及關鍵技術的研究[D]. 北京:華北電力大學, 2013.

[10] Kirsch J, Goose S, Amir Y, et al. Survivable SCADA Via Intrusion-Tolerant Replication [J]. IEEE Transactions on Smart Grid, 2014, 5(1): 60 -70.

(編輯李秀敏)

Integrated Information Security Protection Method in the Automatic Network of CNC

LIU Jie1, WANG Jing-pei1, LI Dan1, YUN Lei1, CHEN Jing-jing2

(1. Information Security Research Center, China CEPREI Laboratory, Guangzhou 510610, China;2. China Association of Peaceful User of Military Industrial Technology, Beijing 100088, China)

Abstract：In order to solve the information security threats for the interconnected CNC, an information security integrated protection method for automatic network of CNC is studied in this paper. Based on the NC network system architecture, this method takes the event lifecycle as the main line, adopts the trusted security protection, self-healing theory, and integrates into basic data and system security protection technologies, finally forms a comprehensive security protection for automation network of CNC. Detailed analysis from functionality, performance, and an example of advanced persistent threats for NC system are performed, the results validate the rationality and effectiveness of the proposed method. The integrated protection method realizes the systematic security protection covering the proactive monitoring, detection, self-healing, post auditing and evidence collecting for the network systems of CNC.

Key words：CNC; NC system; information security protection; trusted; self-healing

中圖分類號：TH166;TH659

文獻標識碼：A

作者簡介：劉杰(1963—)，男，安徽泗縣人，中國賽寶實驗室信息安全研究中心研究員，研究領域為數(shù)控機床、信息安全與軟件可靠性測評，(E-mail)liujie@ceprei.com；通信作者：汪京培(1983—)，男，湖北嘉魚縣人，中國賽寶實驗室工程師，博士，研究方向為信息網絡安全，(E-mail)wjpbupt@163.com。

*基金項目：國防基礎科研計劃資助(JSQB2014205A005)

收稿日期：2015-12-16；修回日期：2016-02-03

文章編號：1001-2265(2016)03-0082-04

DOI:10.13462/j.cnki.mmtamt.2016.03.023