工業機器人網絡安全應重視

工業機器人助力我國制造業再創輝煌

工業機器人帶動高端裝備制造業發展，提升制造業創新水平。近年來，我國工業機器人使用量明顯增加，預計2017年使用量將新增10萬臺，總量達45萬臺，穩居全球第一位。作為未來制造業承載關鍵生產技術的裝備，工業機器人的技術水平直接決定了制造業生產的精度、準度與效率。

工業機器人提升我國傳統制造業自動化水平，重塑制造業優勢。我國傳統制造業長期存在設備老化、生產率低、能耗高等問題，長時間處在全球價值鏈低端。隨著工業機器人在汽車、橡膠、塑料、鑄造、食品、化工、玻璃等領域的廣泛應用，傳統行業生產自動化程度極大提高、生產率顯著提升、能耗明顯減少、出錯率大幅降低?，F階段我國人口紅利消失，使用工業機器人代替勞動力，能夠促進我國制造業由勞動力密集型轉向技術密集型，實現高精度、柔性化生產，重塑我國制造業優勢，提升國際競爭能力，推動我國制造業從全球制造業價值鏈低端走向中高端。

工業機器人面臨的網絡安全問題

工業機器人通信安全問題突出。通信系統是工業機器人的重要組成部分，有助于實現用戶和工業機器人之間的無縫交互。目前工業機器人面臨的通信安全問題主要有兩方面：一是在網絡層面，工業機器人通信使用互聯網、WiFi、藍牙等公開通信信道，而沒有使用加密信道，通信信息很容易被監聽、篡改。二是在數據層面，大部分工業機器人通信過程中缺少數據加密機制，在傳送往返于工業機器人與移動應用、互聯網服務、計算機軟件之間的重要敏感信息時，沒有進行加密或使用弱密碼，加劇了重要敏感信息泄露風險。

工業機器人欠缺嚴格的身份認證和授權。身份認證和授權管理本應成為保護工業機器人網絡安全的重要手段，然而目前工業機器人欠缺嚴格的身份認證機制和授權意識，一些復雜、關鍵的功能暴露在互聯網上，加劇了工業機器人的網絡安全風險。一方面，大部分工業機器人未使用身份認證對工業機器人進行保護，未經身份認證的攻擊者能夠通過計算機軟件、移動應用、互聯網服務遠程使用工業機器人的某些功能。另一方面，大多數工業機器人沒有通過授權管理保護自身功能，包括在工業機器人中安裝應用程序、更新操作系統軟件等關鍵功能，這使得攻擊者可以在未經授權的情況下在這些機器人中安裝軟件，并獲得對工業機器人的完全控制。

意大利米蘭理工大學和趨勢科技發布最新研究稱，約8.3萬臺設備暴露于公共互聯網上，許多設備沒有認證保護。

該報告舉例了5種攻擊類型，分別是更改控制回路參數、篡改校準參數；篡改生產邏輯；改變用戶感知的機器人狀態。

工業機器人使用開源項目和默認設置問題。一是很多供應商研發生產的工業機器人時使用開源的軟件、硬件、模擬器，然而，開源項目存在很多不安全問題。例如，供應商常用的操作系統ROS（ROS是一個用來為機器人寫軟件的框架，它包括多種用來簡化編程過程的工具和庫）存在明文通信、認證問題、弱授權方案等許多已知的網絡安全問題，導致使用ROS的工業機器人也存在此類風險。二是工業機器人出廠時多使用默認配置，相同型號的工業機器人默認密碼相同，大量用戶使用工業機器人時并沒有修改默認配置，加劇了工業機器人的網絡安全風險。

加強我國工業機人網絡安全的幾點思考

加快制定工業機器人網絡安全標準。建議全國信息安全標準化技術委員會聯合工業機器人供應商、用戶等，加快制定工業機器人網絡安全國家標準。標準制定應從工業機器人設計開始就考慮網絡安全問題，貫穿設計、生產、系統集成等環節，使工業機器人供應商等有所依據。例如，在使用開源框架和庫時考慮其安全性；對軟件安全開發生命周期進行管理；正確使用加密通信和軟件更新；確保只有經過認證和授權的用戶能夠訪問工業機器人服務和功能；指導用戶進行安全配置等。

盡快開展工業機器人網絡安全風險評估。一方面，工業機器人供應商依據國家互聯網信息辦公室、工信部及相關職能部門制定的有關政策、網絡安全技術與管理標準，聘請第三方機構進行工業機器人網絡安全風險評估，識別安全威脅，確認已有安全措施，并評估一旦發生安全事件可能造成的危害。另一方面國家有關部門應督促工業機器人供應商聯合產業鏈上下游提出安全防護措施，將風險控制在較低水平，最大限度的保障工業機器人網絡安全。

構建工業機器人網絡安全預警平臺。協同用戶、供應商、安全服務商、監管機構共建工業機器人網絡安全預警平臺。

一是建立國家工業機器人信息安全漏洞庫，在國家信息安全漏洞共享平臺上即時紕漏工業機器人漏洞信息、發布補丁，通報工業機器人網絡安全問題。

二是實時收集、匯總分析工業機器人網絡安全事件信息。應用大數據對工業機器人故障信息、設備行為進行連續監測、分析和預防，協助廠商采取安全措施。