[美通社] 德國萊因TUV集團(簡稱TUV萊因)於2017年7月5-8日參展「2017上海國際工業自動化展覽會」,並於展會期間主辦《智慧社會的新引擎 -- 機器人與機器人系統檢測認證服務》專題講座。TUV萊因大中華區商用及工業產品服務總經理徐澍在「智慧社會的新引擎 - 機器人與機器人系統檢測認證服務」專題講座上正式發布《工業機器人和網路安全白皮書》,吸引了眾多機器人產業參展商、媒體、專業人士的高度關注。
 |
| 德國萊因TUV大中華區發布《工業機器人和網路安全白皮書》 |
該白皮書詳細闡述了工業機器人所面臨的各類網路安全風險,以及網路安全產業的技術趨勢、產業標準、產品測試等方面的最新發展態勢,並針對機器人製造商及營運商的不同特點,提出了切實可行的應對策略與建議,旨在幫助機器人產業鏈中的相關企業瞭解當前最新的網路安全發展動態,以把握市場機會,做出正確的經營決策。
「正如任何複雜的機電系統一樣,機器人也會受到網路安全的威脅,而這些威脅很可能會影響其安全穩定的運行。我們希望通過對機器人網路安全的全面梳理,從機器人設計、製造、集成到使用的各個環節,幫助機器人上下游企業排除可能的安全風險,營造一個安全可靠的運行環境。」徐澍表示。
機器人面臨各種網路威脅和風險
隨著工業互聯網的發展,越來越多的工業設備連接入網,尤其是工業機器人。企業內部網路與公眾互聯網的連通,一方面推動了生產效率的提升,另一方面也使機器人面臨著各種網路安全威脅。具體來說,這些風險主要來自於以下幾個方面:
? 韌體和軟體:為便於維護,一些經常處於開放狀態、安全級別低的軟體和韌體很容易遭受惡意軟體的攻擊,例如開放的USB埠、預設密碼的無線網路、缺乏安全配置的維護用筆記型電腦等。
? 軟體發展:機器人作業系統提供開放原始碼軟體,且沒有任何安全防護設置,再加上機器人的程式設計語言多為通用語言,軟體的安全性漏洞很容易暴露。
? 通信系統:機器人通常配置有各種通訊系統,而製造商在機器人設計階段,往往不會考慮資料的保密性,加密措施薄弱。這種通訊管道的不安全性,可能會導致其系統遭受攻擊。
? 身份識別和存取管理:身份識別和存取管理如果執行不力,例如沒有經驗的營運商可能會隨意分享用戶名和密碼,從而引發重大的品質問題和安全問題。
? 數據隱私:醫療護理和手術機器人不可避免地存儲有許多個人敏感性資料。在大多數情況下,個人和醫療保健資料都因其敏感性而受到法律的保護。製造商和使用者需要特別注意,確保這些機器人不會違反保護患者隱私的法律要求。
? 處置和回收:對於含有敏感性資料的工業機器人,在退役時通常需要對記憶體進行銷毀或重寫。因為犯罪分子可以輕易恢復簡單刪除的資料,並為己所用。
網路威脅分析是重要的風險管理方式
網路安全面臨的威脅一直在不斷發展和演變,形式層出不窮,既有源於技術軟體錯誤的網路威脅,也有源於犯罪集團的網路威脅。
目前,網路威脅分析是工業機器人供應商或營運商進行風險管理的一種重要方式。綜合不同來源的資料獲取威脅情報,並採取有效的解決措施,可保護機器人的使用安全。
功能安全與網路安全相輔相成
實現功能安全是防止出現隨機和系統性的技術故障,保護相關人員的生命安全。實現網路安全是防止疏忽或防禦惡意攻擊的行為,保護設備和資料。功能安全和網路安全密不可分,如果一個工業機器人沒有實現網路安全,其功能上的安全性也無法得到保障。
兼顧功能安全和網路安全測試
功能安全通用標準IEC 61508:2010指出,如果識別出惡意行動或未授權行動,應展開安全威脅分析;如果已識別出安全威脅,則應展開弱點分析以具體明確安全要求;同時建議使用IEC 62443(工業通信網路資訊系統安全標準)的意見。
按照IEC 62443的七大基本要求對工業機器人進行測試,可降低整個系統的網路安全風險,同時也可確定系統的安全級別。其中安全級別4是機器人的最高安全級別,能夠防範利用複雜手段和拓展資源故意違反規定的行為。但大多數企業並未充分認識到安全級別4的重要性。
對此,TUV萊因建議,在工業機器人最初的開發設計中,就兼顧功能安全和網路安全。在產品測試階段,將傳統的弱點和滲透測試與IEC 62443-3-3的各種測試結合起來,進行最全面的測試,以確定是否存在安全風險,比如因軟體元件過時、使用薄弱的驗證或默認憑證、使用過時加密技術而導致的傳輸加密級別低、網頁介面不安全和軟體保護不力等。
為機器人企業提供對應解決方案
工業機器人製造商、整合商和營運商都需要根據其產品的功能、性能及其所使用的環境,審查潛在的網路安全風險,並實施一系列相應的控制措施,最大限度地降低並控制潛在風險。
工業機器人製造商透過一系列審查流程,可以保障產品研究、開發和創新的可持續性;系統集成商要將複雜的機器人系統與生產製造過程合為一體,需要瞭解其產品的安全風險,並與製造商合作,在使用機器人的工廠降低網路安全風險;而營運商需要確保其生產工廠內配置的機器人能夠應對網路風險,因此也需要對工廠及機器人系統進行網路安全風險評估。白皮書中,TUV萊因對上述各類企業應採取的措施進行了全面整理。這些基於網路威脅的風險解決方案,能夠確保企業實現安全、可持續的利潤增長。
《工業機器人和網路安全白皮書》全文下載,請瀏覽網址:
https://jinshuju.net/f/NluY4X
