伴隨著工業(yè)機(jī)器人的廣泛應(yīng)用，其網(wǎng)絡(luò)安全問題日益突出。近日，工信部賽迪研究院研究指出，工業(yè)機(jī)器人的網(wǎng)絡(luò)安全防護(hù)能力異常脆弱，存在通信不安全、欠缺身份認(rèn)證等問題。而我國對(duì)此還缺乏足夠重視，必須提高警惕，并采取積極的應(yīng)對(duì)措施。

目前，我國工業(yè)機(jī)器人已被廣泛應(yīng)用于汽車、橡膠、塑料、鑄造、食品、化工等傳統(tǒng)行業(yè)，以及電子通信、新材料、生物醫(yī)藥等高新技術(shù)領(lǐng)域。到今年底，我國工業(yè)機(jī)器人保有量預(yù)計(jì)超過40萬臺(tái)，約占全球總量的四分之一，居全球首位。

工信部賽迪研究院研究員劉金芳表示，工業(yè)機(jī)器人的廣泛應(yīng)用對(duì)我國實(shí)現(xiàn)制造強(qiáng)國目標(biāo)意義重大。但是，工業(yè)機(jī)器人網(wǎng)絡(luò)安全問題尚未完全引起我國相關(guān)部門、供應(yīng)商、制造業(yè)企業(yè)等方面的足夠重視，一旦發(fā)生重要數(shù)據(jù)泄露、生產(chǎn)線整體癱瘓、機(jī)器人攻擊工人等網(wǎng)絡(luò)安全事件，勢必對(duì)我國制造業(yè)發(fā)展造成嚴(yán)重的沖擊。

“研究發(fā)現(xiàn)，包括發(fā)那科、安川等在內(nèi)的世界頂級(jí)品牌工業(yè)機(jī)器人都存在巨大的網(wǎng)絡(luò)安全隱患?！眲⒔鸱挤治觯I(yè)機(jī)器人的網(wǎng)絡(luò)安全問題主要集中在三個(gè)方面。

首先，通信安全隱患突出。通信系統(tǒng)是工業(yè)機(jī)器人的重要組成部分，有助于實(shí)現(xiàn)用戶和工業(yè)機(jī)器人之間的無縫交互。在網(wǎng)絡(luò)層面，工業(yè)機(jī)器人通信大多使用互聯(lián)網(wǎng)、Wi-Fi、藍(lán)牙等公開通信信道，沒有使用加密信道，通信信息很容易被監(jiān)聽、篡改；在數(shù)據(jù)層面，大部分工業(yè)機(jī)器人通信過程缺少數(shù)據(jù)加密機(jī)制，當(dāng)重要敏感信息往返于工業(yè)機(jī)器人與移動(dòng)應(yīng)用、互聯(lián)網(wǎng)服務(wù)、計(jì)算機(jī)軟件之間時(shí)，由于沒有進(jìn)行加密或者使用了弱密碼，極易發(fā)生信息泄露。

意大利米蘭理工大學(xué)和趨勢科技聯(lián)合發(fā)布的最新研究報(bào)告顯示，目前全球至少有8.3 萬臺(tái)工業(yè)機(jī)器人通過互聯(lián)網(wǎng)暴露給遠(yuǎn)程攻擊者；網(wǎng)絡(luò)安全咨詢公司IOActive利用Shodan和ZoomEye等工具掃描互聯(lián)網(wǎng)時(shí)，發(fā)現(xiàn)美國、丹麥、瑞典、德國和日本等多國使用的工業(yè)機(jī)器人存在嚴(yán)重的通信安全隱患。

其次，大量工業(yè)機(jī)器人欠缺嚴(yán)格的身份認(rèn)證機(jī)制和授權(quán)管理，致使一些關(guān)鍵功能暴露在互聯(lián)網(wǎng)上。一是大部分工業(yè)機(jī)器人未使用身份認(rèn)證進(jìn)行保護(hù)，致使未經(jīng)身份認(rèn)證的攻擊者能通過計(jì)算機(jī)軟件、移動(dòng)應(yīng)用、互聯(lián)網(wǎng)服務(wù)等遠(yuǎn)程使用工業(yè)機(jī)器人的某些關(guān)鍵功能；二是大多數(shù)工業(yè)機(jī)器人沒有通過授權(quán)管理保護(hù)自身功能，導(dǎo)致攻擊者能在未經(jīng)授權(quán)的情況下在工業(yè)機(jī)器人中安裝軟件，進(jìn)而獲得對(duì)工業(yè)機(jī)器人的完全控制。

劉金芳引用趨勢科技的研究數(shù)據(jù)稱，暴露在互聯(lián)網(wǎng)上的8.3 萬臺(tái)工業(yè)機(jī)器人中有5100 臺(tái)工業(yè)機(jī)器人未使用身份認(rèn)證保護(hù)。

再者，使用開源軟件、默認(rèn)設(shè)置和軟件更新不及時(shí)。很多供應(yīng)商研發(fā)生產(chǎn)工業(yè)機(jī)器人時(shí)使用開源的軟件、硬件、模擬器，但是開源項(xiàng)目存在很多安全問題，如常用的工業(yè)機(jī)器人操作系統(tǒng)ROS 已被證實(shí)存在明文通信、弱授權(quán)方案等安全問題，導(dǎo)致使用ROS的工業(yè)機(jī)器人也存在此類風(fēng)險(xiǎn)。

劉金芳表示，工業(yè)機(jī)器人出廠時(shí)多使用默認(rèn)配置，制造業(yè)企業(yè)用戶使用時(shí)未進(jìn)行修改，加劇了工業(yè)機(jī)器人網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。由于更新工業(yè)機(jī)器人軟件會(huì)對(duì)制造業(yè)企業(yè)用戶產(chǎn)生一定影響，因此很多企業(yè)忽視軟件更新，致使攻擊者可利用已知安全漏洞攻擊工業(yè)機(jī)器人，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)難以控制。

根據(jù)上述問題，劉金芳提出了三點(diǎn)建議：一是建議全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)在監(jiān)管機(jī)構(gòu)的指導(dǎo)下，聯(lián)合工業(yè)機(jī)器人供應(yīng)商、安全服務(wù)商、用戶等加快制定工業(yè)機(jī)器人網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)。

國家標(biāo)準(zhǔn)制定應(yīng)貫穿設(shè)計(jì)、生產(chǎn)、系統(tǒng)集成等多個(gè)環(huán)節(jié)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，例如，在使用開源框架和庫時(shí)考慮其安全性；對(duì)軟件安全開發(fā)生命周期進(jìn)行管理；正確使用加密通信和軟件更新；確保只有經(jīng)過認(rèn)證和授權(quán)的用戶能夠訪問工業(yè)機(jī)器人服務(wù)和功能；指導(dǎo)用戶進(jìn)行安全配置等。

二是盡快開展工業(yè)機(jī)器人網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。建議工業(yè)機(jī)器人供應(yīng)商依據(jù)已出臺(tái)的網(wǎng)絡(luò)安全政策、技術(shù)與管理標(biāo)準(zhǔn)，對(duì)上市前的新產(chǎn)品進(jìn)行網(wǎng)絡(luò)安全自評(píng)估或第三方評(píng)估，識(shí)別工業(yè)機(jī)器人安全威脅和脆弱性，確認(rèn)已有安全措施，并評(píng)估一旦發(fā)生安全事件可能造成的危害。同時(shí)，建議國家主管部門針對(duì)涉及國家安全和存在重大安全風(fēng)險(xiǎn)的工業(yè)機(jī)器人，加強(qiáng)監(jiān)督檢查，提高防范意識(shí)，加大整改力度，強(qiáng)化風(fēng)險(xiǎn)控制，最大限度地保障工業(yè)機(jī)器人安全使用。

三是建立工業(yè)機(jī)器人網(wǎng)絡(luò)安全預(yù)警平臺(tái)。具體包括：建立國家工業(yè)機(jī)器人信息安全漏洞庫，并在國家信息安全漏洞共享平臺(tái)上及時(shí)披露工業(yè)機(jī)器人漏洞信息、發(fā)布補(bǔ)丁，建立工業(yè)機(jī)器人生產(chǎn)商、供應(yīng)商和用戶之間的溝通機(jī)制，通報(bào)工業(yè)機(jī)器人網(wǎng)絡(luò)安全問題，督促用戶及時(shí)更新軟件；實(shí)時(shí)收集、匯總分析工業(yè)機(jī)器人網(wǎng)絡(luò)安全事件信息，應(yīng)用大數(shù)據(jù)對(duì)工業(yè)機(jī)器人生產(chǎn)故障、用戶及設(shè)備的行為進(jìn)行持續(xù)監(jiān)測和分析，及時(shí)發(fā)現(xiàn)異常環(huán)節(jié)，并通過聲音提示、圖標(biāo)閃爍等方式向工業(yè)機(jī)器人用戶報(bào)警，協(xié)助供應(yīng)商和用戶采取安全措施。（夏小禾）