[美通社] 德国莱因TUV集团(简称TUV莱因)於2017年7月5-8日叁展「2017上海国际工业自动化展览会」,并於展会期间主办《智慧社会的新引擎 -- 机器人与机器人系统检测认证服务》专题讲座。TUV莱因大中华区商用及工业产品服务总经理徐??在「智慧社会的新引擎 - 机器人与机器人系统检测认证服务」专题讲座上正式发布《工业机器人和网路安全白皮书》,吸引了众多机器人产业叁展商、媒体、专业人士的高度关注。
|
德国莱因TUV大中华区发布《工业机器人和网路安全白皮书》 |
该白皮书详细阐述了工业机器人所面临的各类网路安全风险,以及网路安全产业的技术趋势、产业标准、产品测试等方面的最新发展态势,并针对机器人制造商及营运商的不同特点,提出了切实可行的应对策略与建议,旨在帮助机器人产业链中的相关企业了解当前最新的网路安全发展动态,以把握市场机会,做出正确的经营决策。
「正如任何复杂的机电系统一样,机器人也会受到网路安全的威胁,而这些威胁很可能会影响其安全稳定的运行。我们希??通过对机器人网路安全的全面梳理,从机器人设计、制造、集成到使用的各个环节,帮助机器人上下游企业排除可能的安全风险,营造一个安全可靠的运行环境。」徐??表示。
机器人面临各种网路威胁和风险
随着工业互联网的发展,越来越多的工业设备连接入网,尤其是工业机器人。企业内部网路与公众互联网的连通,一方面推动了生产效率的提升,另一方面也使机器人面临着各种网路安全威胁。具体来说,这些风险主要来自於以下几个方面:
· 韧体和软体:为便於维护,一些经常处於开放状态、安全级别低的软体和韧体很容易遭受恶意软体的攻击,例如开放的USB埠、预设密码的无线网路、缺乏安全配置的维护用笔记型电脑等。
· 软体发展:机器人作业系统提供开放原始码软体,且没有任何安全防护设置,再加上机器人的程式设计语言多为通用语言,软体的安全性漏洞很容易暴露。
· 通信系统:机器人通常配置有各种通讯系统,而制造商在机器人设计阶段,往往不会考虑资料的保密性,加密措施薄弱。这种通讯管道的不安全性,可能会导致其系统遭受攻击。
· 身份识别和存取管理:身份识别和存取管理如果执行不力,例如没有经验的营运商可能会随意分享用户名和密码,从而引发重大的品质问题和安全问题。
· 数据隐私:医疗护理和手术机器人不可避免地存储有许多个人敏感性资料。在大多数情况下,个人和医疗保健资料都因其敏感性而受到法律的保护。制造商和使用者需要特别注意,确保这些机器人不会违反保护患者隐私的法律要求。
· 处置和回收:对於含有敏感性资料的工业机器人,在退役时通常需要对记忆体进行销毁或重写。因为犯罪分子可以轻易恢复简单删除的资料,并为己所用。
网路威胁分析是重要的风险管理方式
网路安全面临的威胁一直在不断发展和演变,形式层出不穷,既有源於技术软体错误的网路威胁,也有源於犯罪集团的网路威胁。
目前,网路威胁分析是工业机器人供应商或营运商进行风险管理的一种重要方式。综合不同来源的资料获取威胁情报,并采取有效的解决措施,可保护机器人的使用安全。
功能安全与网路安全相辅相成
实现功能安全是防止出现随机和系统性的技术故障,保护相关人员的生命安全。实现网路安全是防止疏忽或防御恶意攻击的行为,保护设备和资料。功能安全和网路安全密不可分,如果一个工业机器人没有实现网路安全,其功能上的安全性也无法得到保障。
兼顾功能安全和网路安全测试
功能安全通用标准IEC 61508:2010指出,如果识别出恶意行动或未授权行动,应展开安全威胁分析;如果已识别出安全威胁,则应展开弱点分析以具体明确安全要求;同时建议使用IEC 62443(工业通信网路资讯系统安全标准)的意见。
按照IEC 62443的七大基本要求对工业机器人进行测试,可降低整个系统的网路安全风险,同时也可确定系统的安全级别。其中安全级别4是机器人的最高安全级别,能够防范利用复杂手段和拓展资源故意违反规定的行为。但大多数企业并未充分认识到安全级别4的重要性。
对此,TUV莱因建议,在工业机器人最初的开发设计中,就兼顾功能安全和网路安全。在产品测试阶段,将传统的弱点和渗透测试与IEC 62443-3-3的各种测试结合起来,进行最全面的测试,以确定是否存在安全风险,比如因软体元件过时、使用薄弱的验证或默认凭证、使用过时加密技术而导致的传输加密级别低、网页介面不安全和软体保护不力等。
为机器人企业提供对应解决方案
工业机器人制造商、整合商和营运商都需要根据其产品的功能、性能及其所使用的环境,审查潜在的网路安全风险,并实施一系列相应的控制措施,最大限度地降低并控制潜在风险。
工业机器人制造商透过一系列审查流程,可以保障产品研究、开发和创新的可持续性;系统集成商要将复杂的机器人系统与生产制造过程合为一体,需要了解其产品的安全风险,并与制造商合作,在使用机器人的工厂降低网路安全风险;而营运商需要确保其生产工厂内配置的机器人能够应对网路风险,因此也需要对工厂及机器人系统进行网路安全风险评估。白皮书中,TUV莱因对上述各类企业应采取的措施进行了全面整理。这些基於网路威胁的风险解决方案,能够确保企业实现安全、可持续的利润增长。
《工业机器人和网路安全白皮书》全文下载,请浏览网址:
https://jinshuju.net/f/NluY4X