在工業4.0時代 - 或更一般而言,在目前世界範圍內的“數位化轉型”中,射出機、機械手臂和周邊設備的聯網正在迅速發展。 我們現在必須應付工廠安全領域面臨的挑戰。
涉及WannaCry 勒索軟體和類似惡意軟件的攻擊報告真正喚醒了塑料處理器在網絡物理系統和設施方面的安全問題。 畢竟,WannaCry案件導致許多非常知名的公司遭受製造業最糟糕的情況,即無法預計的生產關閉。 像其他惡意軟件一樣,WannaCry通過利用Windows™操作系統中的安全漏洞進行工作。
WITTMANN(威猛)4.0安全概念
眾所周知,任何安全概念的最根本的方面是定期執行軟件更新,以便所有的操作系統保持最新。這樣做並不能提供完整的保護,但這是一個重要的基本步驟。然而,自動執行更新對於生產系統來說不是可行的,因為更新可能對連接的機器或設備的功能產生不可預見的後果。在最壞的情況下,自動更新可能會導致機器關閉,導致生產可怕的損失。因此,工業4.0環境中的生產系統仍然特別處於風險中,易受到正在利用的操作系統中的任何漏洞的影響。
具有B6和B8控制器的威猛巴頓菲爾射出機以及來自威猛的最新R9控制器的機器人可防止操作系統被病毒永久性破壞,因為影響系統的更改將通過以下方式保存到內部RAM磁盤統一寫入過濾機制。這使得每次系統啟動時,可以將設備的操作系統恢復到出廠默認值。因此,病毒不能在系統中“嵌入”並永久影響。
威猛巴頓菲爾仍然處理了更廣泛的安全問題,並與行業領先的網絡安全公司密切合作,為已經在現場實施的網絡威猛 4.0工作單元開發了一個安全概念。開發工作是基於這樣一種假設:威猛 4.0工作單元之外的生產網絡在安全性方面可能會受到影響,即使操作員自然地坐在防火牆後面。這就是為什麼威猛 4.0工作單元的系統架構是根據洋蔥原理設計的。
客戶網絡的防火牆形成了威猛 4.0工作單元周圍的最外層。由於安全機制和設置對於製造單元是未知的,因此該層必須被視為“不安全”。下一個安全層由限制性配置的威猛 4.0防火牆組成,該防火牆安裝在由威猛專門開發的路由器中。路由器上的軟件經過數字簽名,路由器的引導例程的每一步都被設計為“安全”。這排除了通過軟件更新進行的攻擊。
與傳統的現成防火牆相比,威猛4.0防火牆是針對每個設備和功能的特定目的而定制的,可以預期其是工作單元的組成部分。因此,防火牆的配置是特別限制的。除了用於通過OPC UA與MES或ERP系統進行通信的OPC協議之外,所有通信端口默認關閉,只能從工作單元中打開,並且只能由操作員執行特定的、故意的步驟。
與“外界”溝通
例如,具有B8控制器的威猛巴頓菲爾射出機可以通過TeamViewer創建外部連接,以便在需要時提供遠程維護功能。建立會議後,遠程維修使威猛巴頓菲爾辦公室能夠直接訪問授權的射出機,以進行分析。
同樣可以為威猛集團的QuickLook應用程序發出手動授權。這允許公司網絡中的Android或iOS移動設備查看具有B6和B8控制器的威猛巴頓菲爾射出機的機器狀態以及具有R8.3或R9控制的威猛機器人。在這種情況下,威猛 4.0路由器告訴QuickLook應用程序哪些端口可以找到哪些機器和機器人。當然,另外一個通信端口的每個開放端口都會產生另一個漏洞,從而增加了網絡攻擊的潛在風險。但是,打開端口是由操作員執行的故意行為,並且端口只能在預期使用期間保持打開狀態。
防止DoS攻擊
威猛 4.0系統架構的另一個優點是它可以保護生產系統免受所謂的DoS(拒絕服務)攻擊。這些通常試圖以如此巨大的要求轟炸遠程站,以致它可能無法再對付其通信任務並關閉。
如果這個洪氾的通信包直接到達生產機器,可能會使機器完全關閉。然而,在威猛 4.0架構中,唯一可能關閉的事情是路由器,因此只能與MES / ERP系統進行通信,儘管可以假設該系統在正常狀態下不再活動網絡過載。然而,受影響的威猛 4.0工作單元中的加工機器和其他設備能夠不受阻礙地繼續工作。
除此之外,還有一個基本的保護機制,旨在防止威猛 4.0路由器在DoS攻擊的情況下關閉。 威猛 4.0路由器的一個特點是能夠“估計”內部網絡設備通常與外部MES / ERP系統通信的通信量。生產設備的通信頻率在某些範圍內是已知的,可以通過這裡使用的OPC UA協議和基於它的即將到來的EUROMAP標準來預測。如果這個頻率在中期內變化不大,那麼必須假設有一個異常,比如DoS攻擊。作為對策,威猛 4.0路由器關閉用於通信的套接字,以防止套接字受到攻擊。從而維護路由器的功能。
WITTMANN(威猛) 4.0:插入和移出
威猛 4.0工作單元的核心是具有B8控制器的W威猛巴頓菲爾機器,具有R8.3或R9控制器的威猛機械手以及各種威猛周邊設備。該區域與外界屏蔽,從而允許使用設備隨附的操作系統版本進行安全操作。
威猛的最新外圍設備可以根據“Plug&Produce”原理隨意插入和移出威猛 4.0工作單元。在新連接的外圍設備通過SSL / TLS協議進行服務器認證並通過證書進行密鑰交換後,將進行設備識別。新連接的設備識別自身,並將其註冊到具有相應標識符的威猛 4.0路由器的設備列表中。設備列表用作由威猛巴頓菲爾射出機的B8控制器用於配置新連接的設備的數據庫。
外圍設備具有用於登錄的自己的密碼。每個設備都提供了默認密碼,操作員可以更改並且確實應該更改密碼。密碼安全的責任在於各自的操作員,特別是因為沒有出廠默認的主密碼。登錄過程使用以前建立的安全SSL連接進行。
通過標準OPC UA協議實現各種連接設備之間的實際數據交換,最終到MES或ERP系統。注塑機和MES系統之間的通信將在未來更新,一旦發布,即可在2017年9月發佈時使用EUROMAP 77標準。各種用於通過OPC UA的外圍設備通信的EUROMAP標準已經在標準化階段並立即實施。
每個威猛 4.0工作單元都配備了上述組件和安全機製作為標準,以便為操作員提供最佳的網絡保護和最大的機器和設備可用性。
在威猛委託的網絡安全公司進行的眾多測試過程中,使用各種不同威脅情景的模擬攻擊由“白帽”黑客進行了測試。 威猛 4.0證明自身在所有情況下都是穩健的,並使生產在整個工作單元中不間斷地繼續。
(Johannes Rella,WITTMANNKunststoffgeräteGmbH在維也納的軟件開發部主管)
------------------------------
威猛集團是塑料行業中製造射出機、機械手和周邊設備的全球領航者。威猛集團總部設在維也納/奧地利,由兩個主要部門,威猛巴頓和威猛組成,在全球5個國家設有8個生產工廠,其中33個直屬子公司位於世界各大塑料市場。威猛巴頓致力於製造最先進的射出機和工藝技術的獨立市場增長,提供現代化和全面的機械模塊化設計,滿足塑料射出成型的實際和未來要求。
威猛的產品系列包括機械手和自動化系統,中央供料系統,除濕乾燥機,稱重式和體積式的計量機,粉碎機,模具溫度控制器和冷卻器。憑藉這種全面的周邊設備,威猛可為塑料加工商提供涵蓋所有生產要求的解決方案,從自主工作單元到整個工廠範圍的系統。
威猛集團的結合已經使所有產品線連接為一體,提供塑料加工商在射出機、自動化和輔助設備的無縫接軌,成為尋求集成方面的所在優勢 - 所有這些都以漸進的速度發生。
