【CMIC讯】工业机器人是衡量一个国家制造业水平的重要标志，是重塑我国制造业竞争优势的重要工具和手段。当前，我国工业机器人保有量全球第一，广泛应用于汽车、化工等行业。伴随着工业机器人的广泛应用，其网络安全问题日益突出。国外相关测试发现，工业机器人的网络安全防护能力异常脆弱，存在通信不安全、欠缺身份认证等问题。目前我国对此还缺乏足够重视，必须提高警惕，并采取积极的应对措施。
 
　　工业机器人助力我国实现制造强国战略目标
 
　　我国工业机器人已被广泛应用于汽车、橡胶、塑料、铸造、食品、化工等传统行业，以及电子通信、新材料、生物医药等高新技术领域。据测算，2017?年我国工业机器人保有量将达42.8万台，约占全球总量的1/4，居全球首位。工业机器人的广泛应用对我国实现制造强国目标意义重大。
 
　　一是发展工业机器人，能够积累多学科技术优势，并借助技术扩散效应，带动与之技术相关的国产高端装备制造业快速发展，进而提升我国制造业科技创新水平。
 
　　二是工业机器人的使用将促使传统行业生产自动化程度提高、生产率显著提升，并促进我国制造业由劳动力密集型转向技术密集型，推动制造业从全球制造业价值链低端走向中高端。
 
　　三是发展工业机器人，能够促进我国制造业生产方式向柔性、智能、精细转变，进而促进我国构建以智能制造为根本特征的制造业体系，助力我国从制造大国向制造强国迈进。
 
　　工业机器人网络安全隐患重重
 
　　工业机器人网络安全问题尚未引起我国相关部门、供应商、制造业企业等方面的足够重视，一旦发生重要数据泄露、生产线整体瘫痪、机器人攻击工人等网络安全事件，势必对我国制造业发展造成严重的冲击。研究发现，包括发那科、ABB、安川等在内的世界顶级品牌工业机器人都存在巨大的网络安全隐患。
 
　　通信安全隐患突出。通信系统是工业机器人的重要组成部分，有助于实现用户和工业机器人间的无缝交互。工业机器人通信安全隐患主要来自两方面：
 
　　一是网络层面，工业机器人通信大多使用互联网、Wi-Fi、蓝牙等公开通信信道，没有使用加密信道，通信信息很容易被监听、篡改。
 
　　二是数据层面，大多数工业机器人通信过程缺少数据加密机制，当重要敏感信息往返于工业机器人与移动应用、互联网、计算机软件之间时，极易发生信息泄露。意大利米兰理工大学和趋势科技联合发布的最新研究显示，全球目前至少有8.3?万台工业机器人通过互联网暴露给远程攻击者；网络安全咨询公司IOActive利用Shodan和ZoomEye等工具扫描互联网时，发现美国、丹麦、瑞典、德国和日本等多国使用的工业机器人存在严重的通信安全隐患。
 
　　欠缺严格的身份认证和授权。目前，大量工业机器人欠缺严格的身份认证机制和授权管理，致使一些关键功能暴露在互联网上。一是大部分工业机器人未使用身份认证进行保护，致使未经身份认证的攻击者能够通过计算机软件、移动应用、互联网服务等远程使用工业机器人的某些关键功能；二是大多数工业机器人没有通过授权管理保护自身功能，导致攻击者能够在未经授权的情况下在工业机器人中安装软件，进而获得对工业机器人的完全控制。趋势科技研究显示，暴露在互联网上的8.3?万台工业机器人中有5100?台工业机器人未使用身份认证保护。
 
　　ABB公司IRB140型号工业机器人欠缺严格的身份认证和授权，如利用网络扫描工具Shodan，攻击者可发现与工业机器人相连的FTP服务器，并能远程向FTP服务器上传文件，待系统重启时会自动下载和运行这些文件，生产不合格产品，甚至停止生产工作；如果攻击者能访问计算机控制系统所在的局域网，或能亲自接触计算机控制系统，则可以重写固件。
 
　　使用开源软件、默认设置和软件更新不及时。很多供应商研发生产工业机器人时使用开源的软件、硬件、模拟器，但是开源项目存在很多安全问题，如常用的工业机器人操作系统ROS已被证实存在明文通信、弱授权方案等安全问题，导致使用ROS的工业机器人也存在此类风险。工业机器人出厂时多使用默认配置，制造业企业用户使用时未进行修改，加剧了工业机器人网络安全风险。由于更新工业机器人软件会对制造业企业用户产生一定影响，因此很多企业忽视软件更新，致使攻击者可利用已知安全漏洞攻击工业机器人，网络安全风险难以控制。
 
　　加强我国工业机器人网络安全的三点建议
 
　　加快制定工业机器人网络安全国家标准。建议全国信息安全标准化技术委员会在监管机构的指导下，联合工业机器人供应商、安全服务商、用户等加快制定工业机器人网络安全国家标准。国家标准制定应贯穿设计、生产、系统集成等多个环节的网络安全风险。例如，在使用开源框架和库时考虑其安全性；对软件安全开发生命周期进行管理；正确使用加密通信和软件更新；确保只有经过认证和授权的用户能够访问工业机器人服务和功能；指导用户进行安全配置等。工业机器人网络安全国家标准的制定有助于促进产业链加强网络安全建设。
 
　　尽快开展工业机器人网络安全风险评估。一方面，建议工业机器人供应商依据已出台的网络安全政策、技术与管理标准，对上市前的新产品进行网络安全自评估或第三方评估，识别工业机器人安全威胁、脆弱性，确认已有安全措施，并评估一旦发生安全事件可能造成的危害，工业机器人供应商联合产业链上下游提出安全防护措施。另一方面，建议国家主管部门针对涉及国家安全和存在重大安全风险的工业机器人，加强监督检查，提高防范意识，加大整改力度，强化风险控制，最大限度地保障工业机器人的安全使用。
 
　　建立工业机器人网络安全预警平台。主管部门协同监管机构、供应商、安全服务商、用户等共建工业机器人网络安全预警平台。一是建立国家工业机器人信息安全漏洞库。在国家信息安全漏洞共享平台上及时披露工业机器人漏洞信息、发布补丁，建立工业机器人生产商、供应商和用户之间的沟通机制，通报工业机器人网络安全问题，督促用户及时更新软件。二是实时收集、汇总分析工业机器人网络安全事件信息。应用大数据对工业机器人生产故障、用户及设备的行为进行持续监测和分析，及时发现异常环节，并通过声音提示、图标闪烁等方式向工业机器人用户报警，协助供应商和用户采取安全措施。

责任编辑：拂晓晨风