上海2017年7月7日電 /美通社/ -- 2017年7月5日-8日���,德國萊茵TUV集團(以下簡稱“TUV萊茵”)參展“2017上海國際工業(yè)自動化展覽會”,并于展會期間主辦“智能社會的新引擎—機器人與機器人系統(tǒng)檢測認證服務(wù)”專題講座���。TUV 萊茵大中華區(qū)商用及工業(yè)產(chǎn)品服務(wù)總經(jīng)理徐澍在講座上正式發(fā)布《工業(yè)機器人和網(wǎng)絡(luò)安全白皮書》��,吸引了眾多機器人行業(yè)參展商��、媒體����、專業(yè)人士的高度關(guān)注�����。
德國萊茵TUV工業(yè)機器人和網(wǎng)絡(luò)安全白皮書
該白皮書詳細闡述了工業(yè)機器人所面臨的各類網(wǎng)絡(luò)安全風(fēng)險���,以及網(wǎng)絡(luò)安全行業(yè)的技術(shù)趨勢�����、行業(yè)標(biāo)準����、產(chǎn)品測試等方面的最新發(fā)展態(tài)勢,并針對機器人制造商���、集成商及運營商的不同特點,提出了切實可行的應(yīng)對策略與建議, 旨在幫助機器人產(chǎn)業(yè)鏈中的相關(guān)企業(yè)了解當(dāng)前最新的網(wǎng)絡(luò)安全發(fā)展動態(tài)����,以把握市場機會,做出正確的經(jīng)營決策��。
TUV萊茵大中華區(qū)商用及工業(yè)產(chǎn)品服務(wù)總經(jīng)理徐澍正式發(fā)布《工業(yè)機器人和網(wǎng)絡(luò)安全白皮書》
“正如任何復(fù)雜的機電系統(tǒng)一樣��,機器人也會受到網(wǎng)絡(luò)安全的威脅�,而這些威脅很可能會影響其安全穩(wěn)定的運行。我們希望通過對機器人網(wǎng)絡(luò)安全的全面梳理���,從機器人設(shè)計�����、制造���、集成到使用的各個環(huán)節(jié),幫助機器人上下游企業(yè)排除可能的安全風(fēng)險�,營造一個安全可靠的運行環(huán)境�����?����!毙熹硎?���。
機器人面臨各種網(wǎng)絡(luò)威脅和風(fēng)險
隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展�����,越來越多的工業(yè)設(shè)備連接入網(wǎng)��,尤其是工業(yè)機器人�����。企業(yè)內(nèi)部網(wǎng)絡(luò)與公眾互聯(lián)網(wǎng)的聯(lián)通��,一方面推動了生產(chǎn)效率的提升�,另一方面也使機器人面臨著各種網(wǎng)絡(luò)安全威脅。具體來說,這些風(fēng)險主要來自于以下幾個方面:
固件和軟件:為便于維護����,一些經(jīng)常處于開放狀態(tài)、安全級別低的軟件和固件很容易遭受惡意軟件的攻擊�,例如開放的USB端口、默認密碼的無線網(wǎng)絡(luò)��、缺乏安全配置的維護用筆記本電腦等���。
軟件開發(fā):機器人操作系統(tǒng)提供開源軟件,且沒有任何安全防護設(shè)置��,再加上機器人的編程語言多為通用語言��,軟件的安全漏洞很容易暴露��。
通信系統(tǒng):機器人通常配置有各種通信系統(tǒng)���,而制造商在機器人設(shè)計階段��,往往不會考慮數(shù)據(jù)的保密性���,加密措施薄弱。這種通信渠道的不安全性,可能會導(dǎo)致其系統(tǒng)遭受攻擊�����。
身份識別和訪問管理:身份識別和訪問管理如果執(zhí)行不力�,例如沒有經(jīng)驗的運營商可能會隨意分享用戶名和密碼,從而引發(fā)重大的質(zhì)量問題和安全問題�����。
數(shù)據(jù)隱私:醫(yī)療護理和手術(shù)機器人不可避免地存儲有許多個人敏感數(shù)據(jù)�。在大多數(shù)情況下,個人和醫(yī)療保健數(shù)據(jù)都因其敏感性而受到法律的保護��。制造商和用戶需要特別注意���,確保這些機器人不會違反保護患者隱私的法律要求����。
處置和回收:對于含有敏感數(shù)據(jù)的工業(yè)機器人�����,在退役時通常需要對存儲器進行銷毀或重寫�。因為犯罪分子可以輕易恢復(fù)簡單刪除的數(shù)據(jù)��,并為己所用���。
網(wǎng)絡(luò)威脅分析是重要的風(fēng)險管理方式
網(wǎng)絡(luò)安全面臨的威脅一直在不斷發(fā)展和演變,形式層出不窮����,既有源于技術(shù)軟件錯誤的網(wǎng)絡(luò)威脅,也有源于人類犯罪團伙的網(wǎng)絡(luò)威脅���。
目前,網(wǎng)絡(luò)威脅分析是工業(yè)機器人供應(yīng)商或運營商進行風(fēng)險管理的一種重要方式��。綜合不同來源的數(shù)據(jù)獲取威脅情報�,并采取有效的解決措施,可保護機器人的使用安全���。
功能安全與網(wǎng)絡(luò)安全相輔相成
實現(xiàn)功能安全是防止出現(xiàn)隨機和系統(tǒng)性的技術(shù)故障����,保護相關(guān)人員的生命安全����。實現(xiàn)網(wǎng)絡(luò)安全是防止疏忽或防御惡意攻擊的行為,保護設(shè)備和數(shù)據(jù)。功能安全和網(wǎng)絡(luò)安全密不可分��,如果一個工業(yè)機器人沒有實現(xiàn)網(wǎng)絡(luò)安全��,其功能上的安全性也無法得到保障��。
TUV萊茵建議兼顧功能安全和網(wǎng)絡(luò)安全測試
功能安全通用標(biāo)準IEC 61508:2010指出��,如果識別出惡意行動或未授權(quán)行動�,應(yīng)開展安全威脅分析;如果已識別出安全威脅��,則應(yīng)開展弱點分析以具體明確安全要求�;同時建議使用IEC 62443(工業(yè)通信網(wǎng)絡(luò)信息系統(tǒng)安全標(biāo)準)給出的指導(dǎo)意見。
按照IEC 62443的七大基本要求對工業(yè)機器人進行測試�����,可降低整個系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險����,同時也可確定系統(tǒng)的安全級別。其中安全級別4是機器人的較高安全級別��,能夠防范利用復(fù)雜手段和拓展資源故意違反規(guī)定的行為�����。但大多數(shù)企業(yè)并未充分認識到安全級別4的重要性。
對此�,TUV萊茵建議,在工業(yè)機器人最初的開發(fā)設(shè)計中���,就兼顧功能安全和網(wǎng)絡(luò)安全�����。在產(chǎn)品測試階段����,將傳統(tǒng)的弱點和滲透測試與IEC 62443-3-3的各種測試結(jié)合起來��,進行齊全面的測試�����,以確定是否存在安全風(fēng)險����,比如因軟件組件過時�、使用薄弱的驗證或默認憑證����、使用過時加密技術(shù)而導(dǎo)致的傳輸加密級別低��、網(wǎng)頁界面不安全和軟件保護不力等���。
TUV萊茵為機器人企業(yè)提供對應(yīng)解決方案
工業(yè)機器人制造商����、集成商和運營商都需要根據(jù)其產(chǎn)品的功能����、性能及其所使用的環(huán)境,審查潛在的網(wǎng)絡(luò)安全風(fēng)險��,并實施一系列相應(yīng)的控制措施��,較大限度地降低并控制潛在風(fēng)險�。
工業(yè)機器人制造商通過一系列審查流程,可以保障產(chǎn)品研究��、開發(fā)和創(chuàng)新的可持續(xù)性�����;系統(tǒng)集成商要將復(fù)雜的機器人系統(tǒng)與生產(chǎn)制造過程合為一體,需要了解其產(chǎn)品的安全風(fēng)險����,并與制造商合作,在使用機器人的工廠降低網(wǎng)絡(luò)安全風(fēng)險�����;而運營商需要確保其生產(chǎn)工廠內(nèi)配置的機器人能夠應(yīng)對網(wǎng)絡(luò)風(fēng)險�����,因此也需要對工廠及機器人系統(tǒng)進行網(wǎng)絡(luò)安全風(fēng)險評估�����。白皮書中���,TUV萊茵對上述各類企業(yè)應(yīng)采取的措施進行了全面梳理。這些基于網(wǎng)絡(luò)威脅的風(fēng)險解決方案�,能夠確保企業(yè)實現(xiàn)安全、可持續(xù)的利潤增長����。
《工業(yè)機器人和網(wǎng)絡(luò)安全白皮書》全文下載請點擊:https://jinshuju.net/f/MXaBzD
