本文探討機(jī)器人控制系統(tǒng)的安全風(fēng)險(xiǎn)以及有效的安全措施,文中除了探討產(chǎn)業(yè)安全標(biāo)準(zhǔn),並分析了遵循這些標(biāo)準(zhǔn)的關(guān)鍵要求。
工廠自動(dòng)化是工業(yè)4.0的核心,包括工業(yè)機(jī)器人、自主式行動(dòng)機(jī)器人(AMR)、以及協(xié)作式機(jī)器人等皆扮演關(guān)鍵角色,並共同促成業(yè)界實(shí)踐現(xiàn)代的工業(yè)4.0。如今的機(jī)器人變得越來(lái)越聰明,並具備更高的協(xié)作能力,不論在有人與無(wú)人操作的情況下都能執(zhí)行各種複雜任務(wù)。更高層級(jí)的自動(dòng)化以及更廣泛地運(yùn)用機(jī)器人,亦促成對(duì)機(jī)器人控制系統(tǒng)面臨著更高的物理維安,以及資安抗駭?shù)囊蟆?/span>
從機(jī)器人最初大多應(yīng)用於工廠環(huán)境,發(fā)展至今已廣泛用在諸多不同領(lǐng)域,包括醫(yī)療、軍事、物流、以及農(nóng)業(yè)等。對(duì)於物理維安與資安抗駭?shù)男枨蠖裕朔矫娴闹匾赃h(yuǎn)甚過(guò)於10年前。相關(guān)的應(yīng)用場(chǎng)域中,各種意外都可能發(fā)生,其中,由惡意攻擊引發(fā)的事件尤其關(guān)鍵,惡意劫持與控制機(jī)器人都可能造成嚴(yán)重的經(jīng)濟(jì)與財(cái)務(wù)損失。
機(jī)器人控制系統(tǒng)的安全風(fēng)險(xiǎn)
圖一顯示典型的安全風(fēng)險(xiǎn),可能引發(fā)對(duì)機(jī)器人控制系統(tǒng)的惡意攻擊。
| 圖一 : 機(jī)器人控制系統(tǒng)的安全風(fēng)險(xiǎn) |
|
表一所列舉的是與安全風(fēng)險(xiǎn)相關(guān)的疑慮及概述:
表一:安全風(fēng)險(xiǎn)的疑慮
|
缺乏
|
衝擊與描述
|
|
安全聯(lián)網(wǎng)
|
導(dǎo)致機(jī)器人控制系統(tǒng)之間的通訊變得不安全,且容易被偽冒、竄改、以及竊聽。同時(shí)也可能衝擊到系統(tǒng)的可用性
|
|
正確的驗(yàn)證
|
- 導(dǎo)致惡意人士運(yùn)用預(yù)設(shè)的使用者名稱與密碼進(jìn)行未經(jīng)授權(quán)的存取
- 缺少設(shè)備與週邊的驗(yàn)證,可能導(dǎo)致惡意人士使用偽冒的機(jī)器人系統(tǒng)週邊/配件,形成維安與資安方面的風(fēng)險(xiǎn)
- 亦會(huì)導(dǎo)致系統(tǒng)接受從不受信任的未辨識(shí)來(lái)源輸入的資料
|
|
機(jī)密性
|
缺少加密或弱防禦力的加密演算法,導(dǎo)致機(jī)器人機(jī)敏資料與設(shè)計(jì)計(jì)畫被攔截與外洩
|
|
完整性
|
導(dǎo)致儲(chǔ)存或傳輸中的機(jī)器人機(jī)敏資料、組態(tài)設(shè)定、以及韌體遭到竄改
|
|
安全開機(jī)與更新
|
- 若沒(méi)有這項(xiàng)功能,我們就無(wú)法確定目前運(yùn)行在我們的機(jī)器人控制系統(tǒng)中的是否是真正的韌體/軟體
- 缺乏安全升級(jí),可能導(dǎo)致惡意人士駭入機(jī)器人控制系統(tǒng),將軟體回退到存在漏洞的舊版軟體,或?qū)⑽唇?jīng)授權(quán)的軟體寫入機(jī)器人控制系統(tǒng)。
|
|
防竄改硬體
|
某些機(jī)器人儲(chǔ)存著高度機(jī)敏的資訊(像是軍事/國(guó)防領(lǐng)域所採(cǎi)用的機(jī)器人)。因此此類資訊需要被高度保護(hù),以防被非授權(quán)人士存取。若沒(méi)有防竄改硬體,就非常難以保護(hù)資訊免於遭受侵入攻擊
|
|
安全設(shè)計(jì)原則
|
大多數(shù)控制系統(tǒng)的發(fā)展,直到最近都沒(méi)有採(cǎi)取安全設(shè)計(jì)原則。這導(dǎo)致了有心人士侵入進(jìn)機(jī)器人系統(tǒng)的架構(gòu)與設(shè)計(jì),進(jìn)而掃描與濫用其漏洞以便發(fā)動(dòng)攻擊
|
|
更新
|
機(jī)器人作業(yè)系統(tǒng)、韌體、以及軟體若是缺乏更新,可能導(dǎo)致各種網(wǎng)路物理攻擊
|
工業(yè)與機(jī)器人領(lǐng)域的規(guī)範(fàn)與法律 促進(jìn)資安韌性與保護(hù)運(yùn)作
資安領(lǐng)域的面貌快速演變,越來(lái)越多的規(guī)範(fàn)與法律也瞄準(zhǔn)工業(yè)與機(jī)器人領(lǐng)域。其中一些針對(duì)資安抗駭?shù)姆桑ā稓W盟網(wǎng)路安全法》、《歐盟網(wǎng)路韌性法》以及《美國(guó)關(guān)鍵基礎(chǔ)設(shè)施資安事件通報(bào)法》。另外中國(guó)與印度也逐步制定相關(guān)的規(guī)範(fàn)與法律。 美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(National Institute of Standards and Technology;NIST)的操作技術(shù)(OT)安全指南 ,以及如IEC 62443 此類標(biāo)準(zhǔn)提供方向,讓我們能採(cǎi)取安全設(shè)計(jì)(secure-by-design)的原則與設(shè)計(jì),協(xié)助開發(fā)的控制系統(tǒng)能具備充分的韌性,得以抵禦各種網(wǎng)路攻擊。
IEC 62443制定 IACS 安全性規(guī)範(fàn)
IEC 62443針對(duì)工業(yè)自動(dòng)化與控制系統(tǒng)安全(Industrial Automation and Control Systems Security;IACS)制定了安全性規(guī)範(fàn)。此為一項(xiàng)各界廣泛採(cǎi)納的標(biāo)準(zhǔn),用以開發(fā)工業(yè)自動(dòng)化控制系統(tǒng),大多數(shù)的法律和規(guī)範(fàn)也都建議遵循這項(xiàng)標(biāo)準(zhǔn),並認(rèn)可其在保障安全方面的重要性,讓我們能夠遵循相關(guān)規(guī)範(fàn)、紓解控制系統(tǒng)中的潛在資安風(fēng)險(xiǎn)、補(bǔ)救控制系統(tǒng)中的安全缺口、保護(hù)關(guān)鍵資產(chǎn)、以及提供其他更多的益處。
| 圖二 : IEC 62443 是一項(xiàng)組件安全標(biāo)準(zhǔn) |
|
雖然IEC標(biāo)準(zhǔn)中有一些部分是專注規(guī)範(fàn)過(guò)程與程序,不過(guò)IEC 62443-4-1和IEC 62443-4-2則是專門針對(duì)組件安全而制定。根據(jù)IEC 62443-4-2的規(guī)範(fàn),零組件的種類包含了軟體程式、主機(jī)裝置、嵌入式裝置、以及網(wǎng)路裝置。這些標(biāo)準(zhǔn)根據(jù)每種零組件必須達(dá)到的零組件要求(CR)和增強(qiáng)要求(RE)來(lái)為每種零組件類型規(guī)範(fàn)功能安全等級(jí)(SL)。其定義了從SL0到SL3的安全等級(jí)(SL)。其中SL2與SL3特別要求硬體層面的安全防護(hù)。
開發(fā)機(jī)器人安全系統(tǒng)不可或缺的功能與技術(shù)
要建構(gòu)安全的機(jī)器人控制系統(tǒng),我們需要解決機(jī)器人控制系統(tǒng)安全的各項(xiàng)風(fēng)險(xiǎn)。此方面需要的關(guān)鍵功能與技術(shù)包括:
u 安全驗(yàn)證:匯整各項(xiàng)安全驗(yàn)證機(jī)制,檢驗(yàn)裝置/零組件的身份
u 安全協(xié)同處理器:運(yùn)用專屬硬體執(zhí)行安全儲(chǔ)存與加密作業(yè)
u 安全通訊:建置加密協(xié)定,保護(hù)資料交換的程序
u 存取控制:實(shí)施細(xì)分的權(quán)限,用以限制未經(jīng)授權(quán)的系統(tǒng)存取動(dòng)作
u 實(shí)體安全措施:整合各項(xiàng)措施,藉以防止物理竄改
全套輸出式安全I(xiàn)C,像是安全驗(yàn)證晶片與協(xié)同處理器,為了因應(yīng)這些需求量身打造的方案,能簡(jiǎn)化建置流程與節(jié)省成本。這些固定功能IC背後有完備的軟體堆疊作為輔助,這些軟體是針對(duì)主機(jī)處理器所設(shè)計(jì)。
運(yùn)用分立式安全元件可以提高系統(tǒng)韌性,防止已被入侵的應(yīng)用處理器去存取儲(chǔ)存在獨(dú)立IC(隔離)內(nèi)的權(quán)證。
除了這些方面之外,系統(tǒng)開發(fā)者必須採(cǎi)取結(jié)構(gòu)化的方法來(lái)保護(hù)開發(fā)程序,包括收集各項(xiàng)需求、建立與分析威脅模型、安全設(shè)計(jì)、實(shí)施、測(cè)試、認(rèn)證、以及維護(hù)等方面。依循安全開發(fā)生命週期(SDL)可確保從一開始安全即融入到開發(fā)程序之中。
ADI不僅是供應(yīng)晶片等整套輸出式安全I(xiàn)C的廠商,藉由整合安全與機(jī)器人方面的專業(yè)技術(shù),已蛻變成一個(gè)理想的解決方案供應(yīng)商,能夠克服在維護(hù)機(jī)器人系統(tǒng)方面衍生的各種獨(dú)特挑戰(zhàn)。讓客戶能夠建構(gòu)出全方位的解決方案,兼顧硬體、軟體、以及系統(tǒng)層級(jí)的設(shè)計(jì)考量。
ADI認(rèn)識(shí)到機(jī)器人系統(tǒng)的安全需要全面覆蓋的設(shè)計(jì),因此決定跳脫出零組件層級(jí)的方案,採(cǎi)取系統(tǒng)層級(jí)的視野角度。我們衡量了各種因素,包括硬體、軟體、通訊、以及整合,確保所有關(guān)鍵零組件都無(wú)縫地整合。
ADI與汽車產(chǎn)業(yè)的合作,展現(xiàn)在無(wú)線電池管理系統(tǒng)(wBMS)的成果上,並反映在建構(gòu)強(qiáng)韌安全措施上的諸多卓越能力。ADI藉由與客戶緊密合作,成功開發(fā)出一套完全維安與抗駭?shù)腎SO 21434認(rèn)證wBMS系統(tǒng)。鼓勵(lì)機(jī)器人產(chǎn)業(yè)進(jìn)行類似的合作,就能促成客戶運(yùn)用ADI在安全實(shí)作方面的專業(yè)。藉由和相關(guān)產(chǎn)業(yè)夥伴的緊密結(jié)盟,ADI得以持續(xù)發(fā)展兼顧物理維安與數(shù)據(jù)資安的機(jī)器人系統(tǒng),引進(jìn)從汽車產(chǎn)業(yè)所累積的經(jīng)驗(yàn)與成功戰(zhàn)績(jī)。
機(jī)器人關(guān)節(jié)控制器的使用情境範(fàn)例
圖三顯示在機(jī)器人關(guān)節(jié)中,機(jī)器人關(guān)節(jié)控制系統(tǒng)的系統(tǒng)設(shè)計(jì)。
| 圖三 : MAXQ1065在機(jī)器人聯(lián)合控制系統(tǒng)中的潛在應(yīng)用 |
|
在這項(xiàng)設(shè)計(jì)中,MAXQ1065的潛在應(yīng)用變得顯而易見,因?yàn)樗艽俪砂踩_機(jī)功能,進(jìn)而提升系統(tǒng)的整體安全。此外,MAXQ1065本身還具備諸多額外功能,例如安全密鑰儲(chǔ)存、安全通訊協(xié)定、以及譯密作業(yè)等。後續(xù)的專文將深入探討這些應(yīng)用情境,以及探討其實(shí)際應(yīng)用。
總結(jié)
在維護(hù)未來(lái)機(jī)器人的安全方面,資安扮演十分重要的角色。包括安全驗(yàn)證、加密通訊、供應(yīng)鏈防駭?shù)葟?qiáng)韌措施,皆是防範(fàn)各種威脅極為關(guān)鍵的環(huán)結(jié)。藉由優(yōu)先維護(hù)資安以及運(yùn)用ADI的專業(yè),不僅能夠充分發(fā)揮機(jī)器人的潛能,還能夠防範(fàn)在互連世界中各種新浮現(xiàn)的風(fēng)險(xiǎn)。
(本文作者M(jìn)anoj Rajashekaraiah為ADI首席工程師)
