工业机器人网络安全应重视

工业机器人助力我国制造业再创辉煌

工业机器人带动高端装备制造业发展，提升制造业创新水平。近年来，我国工业机器人使用量明显增加，预计2017年使用量将新增10万台，总量达45万台，稳居全球第一位。作为未来制造业承载关键生产技术的装备，工业机器人的技术水平直接决定了制造业生产的精度、准度与效率。

工业机器人提升我国传统制造业自动化水平，重塑制造业优势。我国传统制造业长期存在设备老化、生产率低、能耗高等问题，长时间处在全球价值链低端。随着工业机器人在汽车、橡胶、塑料、铸造、食品、化工、玻璃等领域的广泛应用，传统行业生产自动化程度极大提高、生产率显著提升、能耗明显减少、出错率大幅降低。现阶段我国人口红利消失，使用工业机器人代替劳动力，能够促进我国制造业由劳动力密集型转向技术密集型，实现高精度、柔性化生产，重塑我国制造业优势，提升国际竞争能力，推动我国制造业从全球制造业价值链低端走向中高端。

工业机器人面临的网络安全问题

工业机器人通信安全问题突出。通信系统是工业机器人的重要组成部分，有助于实现用户和工业机器人之间的无缝交互。目前工业机器人面临的通信安全问题主要有两方面：一是在网络层面，工业机器人通信使用互联网、WiFi、蓝牙等公开通信信道，而没有使用加密信道，通信信息很容易被监听、篡改。二是在数据层面，大部分工业机器人通信过程中缺少数据加密机制，在传送往返于工业机器人与移动应用、互联网服务、计算机软件之间的重要敏感信息时，没有进行加密或使用弱密码，加剧了重要敏感信息泄露风险。

工业机器人欠缺严格的身份认证和授权。身份认证和授权管理本应成为保护工业机器人网络安全的重要手段，然而目前工业机器人欠缺严格的身份认证机制和授权意识，一些复杂、关键的功能暴露在互联网上，加剧了工业机器人的网络安全风险。一方面，大部分工业机器人未使用身份认证对工业机器人进行保护，未经身份认证的攻击者能够通过计算机软件、移动应用、互联网服务远程使用工业机器人的某些功能。另一方面，大多数工业机器人没有通过授权管理保护自身功能，包括在工业机器人中安装应用程序、更新操作系统软件等关键功能，这使得攻击者可以在未经授权的情况下在这些机器人中安装软件，并获得对工业机器人的完全控制。

意大利米兰理工大学和趋势科技发布最新研究称，约8.3万台设备暴露于公共互联网上，许多设备没有认证保护。

该报告举例了5种攻击类型，分别是更改控制回路参数、篡改校准参数；篡改生产逻辑；改变用户感知的机器人状态。

工业机器人使用开源项目和默认设置问题。一是很多供应商研发生产的工业机器人时使用开源的软件、硬件、模拟器，然而，开源项目存在很多不安全问题。例如，供应商常用的操作系统ROS（ROS是一个用来为机器人写软件的框架，它包括多种用来简化编程过程的工具和库）存在明文通信、认证问题、弱授权方案等许多已知的网络安全问题，导致使用ROS的工业机器人也存在此类风险。二是工业机器人出厂时多使用默认配置，相同型号的工业机器人默认密码相同，大量用户使用工业机器人时并没有修改默认配置，加剧了工业机器人的网络安全风险。

加强我国工业机人网络安全的几点思考

加快制定工业机器人网络安全标准。建议全国信息安全标准化技术委员会联合工业机器人供应商、用户等，加快制定工业机器人网络安全国家标准。标准制定应从工业机器人设计开始就考虑网络安全问题，贯穿设计、生产、系统集成等环节，使工业机器人供应商等有所依据。例如，在使用开源框架和库时考虑其安全性；对软件安全开发生命周期进行管理；正确使用加密通信和软件更新；确保只有经过认证和授权的用户能够访问工业机器人服务和功能；指导用户进行安全配置等。

尽快开展工业机器人网络安全风险评估。一方面，工业机器人供应商依据国家互联网信息办公室、工信部及相关职能部门制定的有关政策、网络安全技术与管理标准，聘请第三方机构进行工业机器人网络安全风险评估，识别安全威胁，确认已有安全措施，并评估一旦发生安全事件可能造成的危害。另一方面国家有关部门应督促工业机器人供应商联合产业链上下游提出安全防护措施，将风险控制在较低水平，最大限度的保障工业机器人网络安全。

构建工业机器人网络安全预警平台。协同用户、供应商、安全服务商、监管机构共建工业机器人网络安全预警平台。

一是建立国家工业机器人信息安全漏洞库，在国家信息安全漏洞共享平台上即时纰漏工业机器人漏洞信息、发布补丁，通报工业机器人网络安全问题。

二是实时收集、汇总分析工业机器人网络安全事件信息。应用大数据对工业机器人故障信息、设备行为进行连续监测、分析和预防，协助厂商采取安全措施。