omniture

德國萊茵TUV發(fā)布《工業(yè)機器人和網(wǎng)絡(luò)安全白皮書》

2017-07-07 14:48 10591
2017年7月5日-8日,德國萊茵TUV參展“2017上海國際工業(yè)自動化展覽會”,并正式發(fā)布《工業(yè)機器人和網(wǎng)絡(luò)安全白皮書》,吸引了眾多機器人行業(yè)參展商、媒體、專業(yè)人士的高度關(guān)注。

上海2017年7月7日電 /美通社/ -- 2017年7月5日-8日,德國萊茵TUV集團(以下簡稱“TUV萊茵”)參展“2017上海國際工業(yè)自動化展覽會”,并于展會期間主辦“智能社會的新引擎—機器人與機器人系統(tǒng)檢測認證服務(wù)”專題講座。TUV 萊茵大中華區(qū)商用及工業(yè)產(chǎn)品服務(wù)總經(jīng)理徐澍在講座上正式發(fā)布《工業(yè)機器人和網(wǎng)絡(luò)安全白皮書》,吸引了眾多機器人行業(yè)參展商、媒體、專業(yè)人士的高度關(guān)注。

德國萊茵TUV工業(yè)機器人和網(wǎng)絡(luò)安全白皮書
德國萊茵TUV工業(yè)機器人和網(wǎng)絡(luò)安全白皮書

 

該白皮書詳細闡述了工業(yè)機器人所面臨的各類網(wǎng)絡(luò)安全風險,以及網(wǎng)絡(luò)安全行業(yè)的技術(shù)趨勢、行業(yè)標準、產(chǎn)品測試等方面的最新發(fā)展態(tài)勢,并針對機器人制造商、集成商及運營商的不同特點,提出了切實可行的應(yīng)對策略與建議, 旨在幫助機器人產(chǎn)業(yè)鏈中的相關(guān)企業(yè)了解當前最新的網(wǎng)絡(luò)安全發(fā)展動態(tài),以把握市場機會,做出正確的經(jīng)營決策。

TUV萊茵大中華區(qū)商用及工業(yè)產(chǎn)品服務(wù)總經(jīng)理徐澍正式發(fā)布《工業(yè)機器人和網(wǎng)絡(luò)安全白皮書》
TUV萊茵大中華區(qū)商用及工業(yè)產(chǎn)品服務(wù)總經(jīng)理徐澍正式發(fā)布《工業(yè)機器人和網(wǎng)絡(luò)安全白皮書》

“正如任何復雜的機電系統(tǒng)一樣,機器人也會受到網(wǎng)絡(luò)安全的威脅,而這些威脅很可能會影響其安全穩(wěn)定的運行。我們希望通過對機器人網(wǎng)絡(luò)安全的全面梳理,從機器人設(shè)計、制造、集成到使用的各個環(huán)節(jié),幫助機器人上下游企業(yè)排除可能的安全風險,營造一個安全可靠的運行環(huán)境?!毙熹硎尽?/p>

機器人面臨各種網(wǎng)絡(luò)威脅和風險

隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展,越來越多的工業(yè)設(shè)備連接入網(wǎng),尤其是工業(yè)機器人。企業(yè)內(nèi)部網(wǎng)絡(luò)與公眾互聯(lián)網(wǎng)的聯(lián)通,一方面推動了生產(chǎn)效率的提升,另一方面也使機器人面臨著各種網(wǎng)絡(luò)安全威脅。具體來說,這些風險主要來自于以下幾個方面:

固件和軟件:為便于維護,一些經(jīng)常處于開放狀態(tài)、安全級別低的軟件和固件很容易遭受惡意軟件的攻擊,例如開放的USB端口、默認密碼的無線網(wǎng)絡(luò)、缺乏安全配置的維護用筆記本電腦等。

軟件開發(fā):機器人操作系統(tǒng)提供開源軟件,且沒有任何安全防護設(shè)置,再加上機器人的編程語言多為通用語言,軟件的安全漏洞很容易暴露。

通信系統(tǒng):機器人通常配置有各種通信系統(tǒng),而制造商在機器人設(shè)計階段,往往不會考慮數(shù)據(jù)的保密性,加密措施薄弱。這種通信渠道的不安全性,可能會導致其系統(tǒng)遭受攻擊。

身份識別和訪問管理:身份識別和訪問管理如果執(zhí)行不力,例如沒有經(jīng)驗的運營商可能會隨意分享用戶名和密碼,從而引發(fā)重大的質(zhì)量問題和安全問題。

數(shù)據(jù)隱私:醫(yī)療護理和手術(shù)機器人不可避免地存儲有許多個人敏感數(shù)據(jù)。在大多數(shù)情況下,個人和醫(yī)療保健數(shù)據(jù)都因其敏感性而受到法律的保護。制造商和用戶需要特別注意,確保這些機器人不會違反保護患者隱私的法律要求。

處置和回收:對于含有敏感數(shù)據(jù)的工業(yè)機器人,在退役時通常需要對存儲器進行銷毀或重寫。因為犯罪分子可以輕易恢復簡單刪除的數(shù)據(jù),并為己所用。

網(wǎng)絡(luò)威脅分析是重要的風險管理方式

網(wǎng)絡(luò)安全面臨的威脅一直在不斷發(fā)展和演變,形式層出不窮,既有源于技術(shù)軟件錯誤的網(wǎng)絡(luò)威脅,也有源于人類犯罪團伙的網(wǎng)絡(luò)威脅。

目前,網(wǎng)絡(luò)威脅分析是工業(yè)機器人供應(yīng)商或運營商進行風險管理的一種重要方式。綜合不同來源的數(shù)據(jù)獲取威脅情報,并采取有效的解決措施,可保護機器人的使用安全。

功能安全與網(wǎng)絡(luò)安全相輔相成

實現(xiàn)功能安全是防止出現(xiàn)隨機和系統(tǒng)性的技術(shù)故障,保護相關(guān)人員的生命安全。實現(xiàn)網(wǎng)絡(luò)安全是防止疏忽或防御惡意攻擊的行為,保護設(shè)備和數(shù)據(jù)。功能安全和網(wǎng)絡(luò)安全密不可分,如果一個工業(yè)機器人沒有實現(xiàn)網(wǎng)絡(luò)安全,其功能上的安全性也無法得到保障。

TUV萊茵建議兼顧功能安全和網(wǎng)絡(luò)安全測試

功能安全通用標準IEC 61508:2010指出,如果識別出惡意行動或未授權(quán)行動,應(yīng)開展安全威脅分析;如果已識別出安全威脅,則應(yīng)開展弱點分析以具體明確安全要求;同時建議使用IEC 62443(工業(yè)通信網(wǎng)絡(luò)信息系統(tǒng)安全標準)給出的指導意見。

按照IEC 62443的七大基本要求對工業(yè)機器人進行測試,可降低整個系統(tǒng)的網(wǎng)絡(luò)安全風險,同時也可確定系統(tǒng)的安全級別。其中安全級別4是機器人的較高安全級別,能夠防范利用復雜手段和拓展資源故意違反規(guī)定的行為。但大多數(shù)企業(yè)并未充分認識到安全級別4的重要性。

對此,TUV萊茵建議,在工業(yè)機器人最初的開發(fā)設(shè)計中,就兼顧功能安全和網(wǎng)絡(luò)安全。在產(chǎn)品測試階段,將傳統(tǒng)的弱點和滲透測試與IEC 62443-3-3的各種測試結(jié)合起來,進行齊全面的測試,以確定是否存在安全風險,比如因軟件組件過時、使用薄弱的驗證或默認憑證、使用過時加密技術(shù)而導致的傳輸加密級別低、網(wǎng)頁界面不安全和軟件保護不力等。

TUV萊茵為機器人企業(yè)提供對應(yīng)解決方案

工業(yè)機器人制造商、集成商和運營商都需要根據(jù)其產(chǎn)品的功能、性能及其所使用的環(huán)境,審查潛在的網(wǎng)絡(luò)安全風險,并實施一系列相應(yīng)的控制措施,較大限度地降低并控制潛在風險。

工業(yè)機器人制造商通過一系列審查流程,可以保障產(chǎn)品研究、開發(fā)和創(chuàng)新的可持續(xù)性;系統(tǒng)集成商要將復雜的機器人系統(tǒng)與生產(chǎn)制造過程合為一體,需要了解其產(chǎn)品的安全風險,并與制造商合作,在使用機器人的工廠降低網(wǎng)絡(luò)安全風險;而運營商需要確保其生產(chǎn)工廠內(nèi)配置的機器人能夠應(yīng)對網(wǎng)絡(luò)風險,因此也需要對工廠及機器人系統(tǒng)進行網(wǎng)絡(luò)安全風險評估。白皮書中,TUV萊茵對上述各類企業(yè)應(yīng)采取的措施進行了全面梳理。這些基于網(wǎng)絡(luò)威脅的風險解決方案,能夠確保企業(yè)實現(xiàn)安全、可持續(xù)的利潤增長。

《工業(yè)機器人和網(wǎng)絡(luò)安全白皮書》全文下載請點擊:https://jinshuju.net/f/MXaBzD

消息來源:德國萊茵TUV大中華區(qū)
China-PRNewsire-300-300.png
全球TMT
微信公眾號“全球TMT”發(fā)布全球互聯(lián)網(wǎng)、科技、媒體、通訊企業(yè)的經(jīng)營動態(tài)、財報信息、企業(yè)并購消息。掃描二維碼,立即訂閱!
collection