工業(yè)機(jī)器人網(wǎng)絡(luò)安全應(yīng)重視

工業(yè)機(jī)器人助力我國制造業(yè)再創(chuàng)輝煌

工業(yè)機(jī)器人帶動(dòng)高端裝備制造業(yè)發(fā)展，提升制造業(yè)創(chuàng)新水平。近年來，我國工業(yè)機(jī)器人使用量明顯增加，預(yù)計(jì)2017年使用量將新增10萬臺(tái)，總量達(dá)45萬臺(tái)，穩(wěn)居全球第一位。作為未來制造業(yè)承載關(guān)鍵生產(chǎn)技術(shù)的裝備，工業(yè)機(jī)器人的技術(shù)水平直接決定了制造業(yè)生產(chǎn)的精度、準(zhǔn)度與效率。

工業(yè)機(jī)器人提升我國傳統(tǒng)制造業(yè)自動(dòng)化水平，重塑制造業(yè)優(yōu)勢(shì)。我國傳統(tǒng)制造業(yè)長(zhǎng)期存在設(shè)備老化、生產(chǎn)率低、能耗高等問題，長(zhǎng)時(shí)間處在全球價(jià)值鏈低端。隨著工業(yè)機(jī)器人在汽車、橡膠、塑料、鑄造、食品、化工、玻璃等領(lǐng)域的廣泛應(yīng)用，傳統(tǒng)行業(yè)生產(chǎn)自動(dòng)化程度極大提高、生產(chǎn)率顯著提升、能耗明顯減少、出錯(cuò)率大幅降低。現(xiàn)階段我國人口紅利消失，使用工業(yè)機(jī)器人代替勞動(dòng)力，能夠促進(jìn)我國制造業(yè)由勞動(dòng)力密集型轉(zhuǎn)向技術(shù)密集型，實(shí)現(xiàn)高精度、柔性化生產(chǎn)，重塑我國制造業(yè)優(yōu)勢(shì)，提升國際競(jìng)爭(zhēng)能力，推動(dòng)我國制造業(yè)從全球制造業(yè)價(jià)值鏈低端走向中高端。

工業(yè)機(jī)器人面臨的網(wǎng)絡(luò)安全問題

工業(yè)機(jī)器人通信安全問題突出。通信系統(tǒng)是工業(yè)機(jī)器人的重要組成部分，有助于實(shí)現(xiàn)用戶和工業(yè)機(jī)器人之間的無縫交互。目前工業(yè)機(jī)器人面臨的通信安全問題主要有兩方面：一是在網(wǎng)絡(luò)層面，工業(yè)機(jī)器人通信使用互聯(lián)網(wǎng)、WiFi、藍(lán)牙等公開通信信道，而沒有使用加密信道，通信信息很容易被監(jiān)聽、篡改。二是在數(shù)據(jù)層面，大部分工業(yè)機(jī)器人通信過程中缺少數(shù)據(jù)加密機(jī)制，在傳送往返于工業(yè)機(jī)器人與移動(dòng)應(yīng)用、互聯(lián)網(wǎng)服務(wù)、計(jì)算機(jī)軟件之間的重要敏感信息時(shí)，沒有進(jìn)行加密或使用弱密碼，加劇了重要敏感信息泄露風(fēng)險(xiǎn)。

工業(yè)機(jī)器人欠缺嚴(yán)格的身份認(rèn)證和授權(quán)。身份認(rèn)證和授權(quán)管理本應(yīng)成為保護(hù)工業(yè)機(jī)器人網(wǎng)絡(luò)安全的重要手段，然而目前工業(yè)機(jī)器人欠缺嚴(yán)格的身份認(rèn)證機(jī)制和授權(quán)意識(shí)，一些復(fù)雜、關(guān)鍵的功能暴露在互聯(lián)網(wǎng)上，加劇了工業(yè)機(jī)器人的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。一方面，大部分工業(yè)機(jī)器人未使用身份認(rèn)證對(duì)工業(yè)機(jī)器人進(jìn)行保護(hù)，未經(jīng)身份認(rèn)證的攻擊者能夠通過計(jì)算機(jī)軟件、移動(dòng)應(yīng)用、互聯(lián)網(wǎng)服務(wù)遠(yuǎn)程使用工業(yè)機(jī)器人的某些功能。另一方面，大多數(shù)工業(yè)機(jī)器人沒有通過授權(quán)管理保護(hù)自身功能，包括在工業(yè)機(jī)器人中安裝應(yīng)用程序、更新操作系統(tǒng)軟件等關(guān)鍵功能，這使得攻擊者可以在未經(jīng)授權(quán)的情況下在這些機(jī)器人中安裝軟件，并獲得對(duì)工業(yè)機(jī)器人的完全控制。

意大利米蘭理工大學(xué)和趨勢(shì)科技發(fā)布最新研究稱，約8.3萬臺(tái)設(shè)備暴露于公共互聯(lián)網(wǎng)上，許多設(shè)備沒有認(rèn)證保護(hù)。

該報(bào)告舉例了5種攻擊類型，分別是更改控制回路參數(shù)、篡改校準(zhǔn)參數(shù)；篡改生產(chǎn)邏輯；改變用戶感知的機(jī)器人狀態(tài)。

工業(yè)機(jī)器人使用開源項(xiàng)目和默認(rèn)設(shè)置問題。一是很多供應(yīng)商研發(fā)生產(chǎn)的工業(yè)機(jī)器人時(shí)使用開源的軟件、硬件、模擬器，然而，開源項(xiàng)目存在很多不安全問題。例如，供應(yīng)商常用的操作系統(tǒng)ROS（ROS是一個(gè)用來為機(jī)器人寫軟件的框架，它包括多種用來簡(jiǎn)化編程過程的工具和庫）存在明文通信、認(rèn)證問題、弱授權(quán)方案等許多已知的網(wǎng)絡(luò)安全問題，導(dǎo)致使用ROS的工業(yè)機(jī)器人也存在此類風(fēng)險(xiǎn)。二是工業(yè)機(jī)器人出廠時(shí)多使用默認(rèn)配置，相同型號(hào)的工業(yè)機(jī)器人默認(rèn)密碼相同，大量用戶使用工業(yè)機(jī)器人時(shí)并沒有修改默認(rèn)配置，加劇了工業(yè)機(jī)器人的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

加強(qiáng)我國工業(yè)機(jī)人網(wǎng)絡(luò)安全的幾點(diǎn)思考

加快制定工業(yè)機(jī)器人網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。建議全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)聯(lián)合工業(yè)機(jī)器人供應(yīng)商、用戶等，加快制定工業(yè)機(jī)器人網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)。標(biāo)準(zhǔn)制定應(yīng)從工業(yè)機(jī)器人設(shè)計(jì)開始就考慮網(wǎng)絡(luò)安全問題，貫穿設(shè)計(jì)、生產(chǎn)、系統(tǒng)集成等環(huán)節(jié)，使工業(yè)機(jī)器人供應(yīng)商等有所依據(jù)。例如，在使用開源框架和庫時(shí)考慮其安全性；對(duì)軟件安全開發(fā)生命周期進(jìn)行管理；正確使用加密通信和軟件更新；確保只有經(jīng)過認(rèn)證和授權(quán)的用戶能夠訪問工業(yè)機(jī)器人服務(wù)和功能；指導(dǎo)用戶進(jìn)行安全配置等。

盡快開展工業(yè)機(jī)器人網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。一方面，工業(yè)機(jī)器人供應(yīng)商依據(jù)國家互聯(lián)網(wǎng)信息辦公室、工信部及相關(guān)職能部門制定的有關(guān)政策、網(wǎng)絡(luò)安全技術(shù)與管理標(biāo)準(zhǔn)，聘請(qǐng)第三方機(jī)構(gòu)進(jìn)行工業(yè)機(jī)器人網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，識(shí)別安全威脅，確認(rèn)已有安全措施，并評(píng)估一旦發(fā)生安全事件可能造成的危害。另一方面國家有關(guān)部門應(yīng)督促工業(yè)機(jī)器人供應(yīng)商聯(lián)合產(chǎn)業(yè)鏈上下游提出安全防護(hù)措施，將風(fēng)險(xiǎn)控制在較低水平，最大限度的保障工業(yè)機(jī)器人網(wǎng)絡(luò)安全。

構(gòu)建工業(yè)機(jī)器人網(wǎng)絡(luò)安全預(yù)警平臺(tái)。協(xié)同用戶、供應(yīng)商、安全服務(wù)商、監(jiān)管機(jī)構(gòu)共建工業(yè)機(jī)器人網(wǎng)絡(luò)安全預(yù)警平臺(tái)。

一是建立國家工業(yè)機(jī)器人信息安全漏洞庫，在國家信息安全漏洞共享平臺(tái)上即時(shí)紕漏工業(yè)機(jī)器人漏洞信息、發(fā)布補(bǔ)丁，通報(bào)工業(yè)機(jī)器人網(wǎng)絡(luò)安全問題。

二是實(shí)時(shí)收集、匯總分析工業(yè)機(jī)器人網(wǎng)絡(luò)安全事件信息。應(yīng)用大數(shù)據(jù)對(duì)工業(yè)機(jī)器人故障信息、設(shè)備行為進(jìn)行連續(xù)監(jiān)測(cè)、分析和預(yù)防，協(xié)助廠商采取安全措施。