[美通社] 德國萊因TUV集團(tuán)（簡稱TUV萊因）於2017年7月5-8日叁展「2017上海國際工業(yè)自動化展覽會」，并於展會期間主辦《智慧社會的新引擎 -- 機(jī)器人與機(jī)器人系統(tǒng)檢測認(rèn)證服務(wù)》專題講座。TUV萊因大中華區(qū)商用及工業(yè)產(chǎn)品服務(wù)總經(jīng)理徐??在「智慧社會的新引擎 - 機(jī)器人與機(jī)器人系統(tǒng)檢測認(rèn)證服務(wù)」專題講座上正式發(fā)布《工業(yè)機(jī)器人和網(wǎng)路安全白皮書》，吸引了眾多機(jī)器人產(chǎn)業(yè)叁展商、媒體、專業(yè)人士的高度關(guān)注。

德國萊因TUV大中華區(qū)發(fā)布《工業(yè)機(jī)器人和網(wǎng)路安全白皮書》

該白皮書詳細(xì)闡述了工業(yè)機(jī)器人所面臨的各類網(wǎng)路安全風(fēng)險，以及網(wǎng)路安全產(chǎn)業(yè)的技術(shù)趨勢、產(chǎn)業(yè)標(biāo)準(zhǔn)、產(chǎn)品測試等方面的最新發(fā)展態(tài)勢，并針對機(jī)器人制造商及營運(yùn)商的不同特點(diǎn)，提出了切實(shí)可行的應(yīng)對策略與建議，旨在幫助機(jī)器人產(chǎn)業(yè)鏈中的相關(guān)企業(yè)了解當(dāng)前最新的網(wǎng)路安全發(fā)展動態(tài)，以把握市場機(jī)會，做出正確的經(jīng)營決策。

「正如任何復(fù)雜的機(jī)電系統(tǒng)一樣，機(jī)器人也會受到網(wǎng)路安全的威脅，而這些威脅很可能會影響其安全穩(wěn)定的運(yùn)行。我們希??通過對機(jī)器人網(wǎng)路安全的全面梳理，從機(jī)器人設(shè)計、制造、集成到使用的各個環(huán)節(jié)，幫助機(jī)器人上下游企業(yè)排除可能的安全風(fēng)險，營造一個安全可靠的運(yùn)行環(huán)境?！剐??表示。

機(jī)器人面臨各種網(wǎng)路威脅和風(fēng)險

隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，越來越多的工業(yè)設(shè)備連接入網(wǎng)，尤其是工業(yè)機(jī)器人。企業(yè)內(nèi)部網(wǎng)路與公眾互聯(lián)網(wǎng)的連通，一方面推動了生產(chǎn)效率的提升，另一方面也使機(jī)器人面臨著各種網(wǎng)路安全威脅。具體來說，這些風(fēng)險主要來自於以下幾個方面：

· 韌體和軟體：為便於維護(hù)，一些經(jīng)常處於開放狀態(tài)、安全級別低的軟體和韌體很容易遭受惡意軟體的攻擊，例如開放的USB埠、預(yù)設(shè)密碼的無線網(wǎng)路、缺乏安全配置的維護(hù)用筆記型電腦等。

· 軟體發(fā)展：機(jī)器人作業(yè)系統(tǒng)提供開放原始碼軟體，且沒有任何安全防護(hù)設(shè)置，再加上機(jī)器人的程式設(shè)計語言多為通用語言，軟體的安全性漏洞很容易暴露。

· 通信系統(tǒng)：機(jī)器人通常配置有各種通訊系統(tǒng)，而制造商在機(jī)器人設(shè)計階段，往往不會考慮資料的保密性，加密措施薄弱。這種通訊管道的不安全性，可能會導(dǎo)致其系統(tǒng)遭受攻擊。

· 身份識別和存取管理：身份識別和存取管理如果執(zhí)行不力，例如沒有經(jīng)驗(yàn)的營運(yùn)商可能會隨意分享用戶名和密碼，從而引發(fā)重大的品質(zhì)問題和安全問題。

· 數(shù)據(jù)隱私：醫(yī)療護(hù)理和手術(shù)機(jī)器人不可避免地存儲有許多個人敏感性資料。在大多數(shù)情況下，個人和醫(yī)療保健資料都因其敏感性而受到法律的保護(hù)。制造商和使用者需要特別注意，確保這些機(jī)器人不會違反保護(hù)患者隱私的法律要求。

· 處置和回收：對於含有敏感性資料的工業(yè)機(jī)器人，在退役時通常需要對記憶體進(jìn)行銷毀或重寫。因?yàn)榉缸锓肿涌梢暂p易恢復(fù)簡單刪除的資料，并為己所用。

網(wǎng)路威脅分析是重要的風(fēng)險管理方式

網(wǎng)路安全面臨的威脅一直在不斷發(fā)展和演變，形式層出不窮，既有源於技術(shù)軟體錯誤的網(wǎng)路威脅，也有源於犯罪集團(tuán)的網(wǎng)路威脅。

目前，網(wǎng)路威脅分析是工業(yè)機(jī)器人供應(yīng)商或營運(yùn)商進(jìn)行風(fēng)險管理的一種重要方式。綜合不同來源的資料獲取威脅情報，并采取有效的解決措施，可保護(hù)機(jī)器人的使用安全。

功能安全與網(wǎng)路安全相輔相成

實(shí)現(xiàn)功能安全是防止出現(xiàn)隨機(jī)和系統(tǒng)性的技術(shù)故障，保護(hù)相關(guān)人員的生命安全。實(shí)現(xiàn)網(wǎng)路安全是防止疏忽或防御惡意攻擊的行為，保護(hù)設(shè)備和資料。功能安全和網(wǎng)路安全密不可分，如果一個工業(yè)機(jī)器人沒有實(shí)現(xiàn)網(wǎng)路安全，其功能上的安全性也無法得到保障。

兼顧功能安全和網(wǎng)路安全測試

功能安全通用標(biāo)準(zhǔn)IEC 61508:2010指出，如果識別出惡意行動或未授權(quán)行動，應(yīng)展開安全威脅分析；如果已識別出安全威脅，則應(yīng)展開弱點(diǎn)分析以具體明確安全要求；同時建議使用IEC 62443（工業(yè)通信網(wǎng)路資訊系統(tǒng)安全標(biāo)準(zhǔn)）的意見。

按照IEC 62443的七大基本要求對工業(yè)機(jī)器人進(jìn)行測試，可降低整個系統(tǒng)的網(wǎng)路安全風(fēng)險，同時也可確定系統(tǒng)的安全級別。其中安全級別4是機(jī)器人的最高安全級別，能夠防范利用復(fù)雜手段和拓展資源故意違反規(guī)定的行為。但大多數(shù)企業(yè)并未充分認(rèn)識到安全級別4的重要性。

對此，TUV萊因建議，在工業(yè)機(jī)器人最初的開發(fā)設(shè)計中，就兼顧功能安全和網(wǎng)路安全。在產(chǎn)品測試階段，將傳統(tǒng)的弱點(diǎn)和滲透測試與IEC 62443-3-3的各種測試結(jié)合起來，進(jìn)行最全面的測試，以確定是否存在安全風(fēng)險，比如因軟體元件過時、使用薄弱的驗(yàn)證或默認(rèn)憑證、使用過時加密技術(shù)而導(dǎo)致的傳輸加密級別低、網(wǎng)頁介面不安全和軟體保護(hù)不力等。

為機(jī)器人企業(yè)提供對應(yīng)解決方案

工業(yè)機(jī)器人制造商、整合商和營運(yùn)商都需要根據(jù)其產(chǎn)品的功能、性能及其所使用的環(huán)境，審查潛在的網(wǎng)路安全風(fēng)險，并實(shí)施一系列相應(yīng)的控制措施，最大限度地降低并控制潛在風(fēng)險。

工業(yè)機(jī)器人制造商透過一系列審查流程，可以保障產(chǎn)品研究、開發(fā)和創(chuàng)新的可持續(xù)性；系統(tǒng)集成商要將復(fù)雜的機(jī)器人系統(tǒng)與生產(chǎn)制造過程合為一體，需要了解其產(chǎn)品的安全風(fēng)險，并與制造商合作，在使用機(jī)器人的工廠降低網(wǎng)路安全風(fēng)險；而營運(yùn)商需要確保其生產(chǎn)工廠內(nèi)配置的機(jī)器人能夠應(yīng)對網(wǎng)路風(fēng)險，因此也需要對工廠及機(jī)器人系統(tǒng)進(jìn)行網(wǎng)路安全風(fēng)險評估。白皮書中，TUV萊因?qū)ι鲜龈黝惼髽I(yè)應(yīng)采取的措施進(jìn)行了全面整理。這些基於網(wǎng)路威脅的風(fēng)險解決方案，能夠確保企業(yè)實(shí)現(xiàn)安全、可持續(xù)的利潤增長。

《工業(yè)機(jī)器人和網(wǎng)路安全白皮書》全文下載，請瀏覽網(wǎng)址：

https://jinshuju.net/f/NluY4X