伴隨著工業(yè)機器人的廣泛應(yīng)用，其網(wǎng)絡(luò)安全問題日益突出。近日，工信部賽迪研究院研究指出，工業(yè)機器人的網(wǎng)絡(luò)安全防護能力異常脆弱，存在通信不安全、欠缺身份認證等問題。而我國對此還缺乏足夠重視，必須提高警惕，并采取積極的應(yīng)對措施。

目前，我國工業(yè)機器人已被廣泛應(yīng)用于汽車、橡膠、塑料、鑄造、食品、化工等傳統(tǒng)行業(yè)，以及電子通信、新材料、生物醫(yī)藥等高新技術(shù)領(lǐng)域。到今年底，我國工業(yè)機器人保有量預計超過40萬臺，約占全球總量的四分之一，居全球首位。

工信部賽迪研究院研究員劉金芳表示，工業(yè)機器人的廣泛應(yīng)用對我國實現(xiàn)制造強國目標意義重大。但是，工業(yè)機器人網(wǎng)絡(luò)安全問題尚未完全引起我國相關(guān)部門、供應(yīng)商、制造業(yè)企業(yè)等方面的足夠重視，一旦發(fā)生重要數(shù)據(jù)泄露、生產(chǎn)線整體癱瘓、機器人攻擊工人等網(wǎng)絡(luò)安全事件，勢必對我國制造業(yè)發(fā)展造成嚴重的沖擊。

“研究發(fā)現(xiàn)，包括發(fā)那科、安川等在內(nèi)的世界頂級品牌工業(yè)機器人都存在巨大的網(wǎng)絡(luò)安全隱患?！眲⒔鸱挤治?，工業(yè)機器人的網(wǎng)絡(luò)安全問題主要集中在三個方面。

首先，通信安全隱患突出。通信系統(tǒng)是工業(yè)機器人的重要組成部分，有助于實現(xiàn)用戶和工業(yè)機器人之間的無縫交互。在網(wǎng)絡(luò)層面，工業(yè)機器人通信大多使用互聯(lián)網(wǎng)、Wi-Fi、藍牙等公開通信信道，沒有使用加密信道，通信信息很容易被監(jiān)聽、篡改；在數(shù)據(jù)層面，大部分工業(yè)機器人通信過程缺少數(shù)據(jù)加密機制，當重要敏感信息往返于工業(yè)機器人與移動應(yīng)用、互聯(lián)網(wǎng)服務(wù)、計算機軟件之間時，由于沒有進行加密或者使用了弱密碼，極易發(fā)生信息泄露。

意大利米蘭理工大學和趨勢科技聯(lián)合發(fā)布的最新研究報告顯示，目前全球至少有8.3 萬臺工業(yè)機器人通過互聯(lián)網(wǎng)暴露給遠程攻擊者；網(wǎng)絡(luò)安全咨詢公司IOActive利用Shodan和ZoomEye等工具掃描互聯(lián)網(wǎng)時，發(fā)現(xiàn)美國、丹麥、瑞典、德國和日本等多國使用的工業(yè)機器人存在嚴重的通信安全隱患。

其次，大量工業(yè)機器人欠缺嚴格的身份認證機制和授權(quán)管理，致使一些關(guān)鍵功能暴露在互聯(lián)網(wǎng)上。一是大部分工業(yè)機器人未使用身份認證進行保護，致使未經(jīng)身份認證的攻擊者能通過計算機軟件、移動應(yīng)用、互聯(lián)網(wǎng)服務(wù)等遠程使用工業(yè)機器人的某些關(guān)鍵功能；二是大多數(shù)工業(yè)機器人沒有通過授權(quán)管理保護自身功能，導致攻擊者能在未經(jīng)授權(quán)的情況下在工業(yè)機器人中安裝軟件，進而獲得對工業(yè)機器人的完全控制。

劉金芳引用趨勢科技的研究數(shù)據(jù)稱，暴露在互聯(lián)網(wǎng)上的8.3 萬臺工業(yè)機器人中有5100 臺工業(yè)機器人未使用身份認證保護。

再者，使用開源軟件、默認設(shè)置和軟件更新不及時。很多供應(yīng)商研發(fā)生產(chǎn)工業(yè)機器人時使用開源的軟件、硬件、模擬器，但是開源項目存在很多安全問題，如常用的工業(yè)機器人操作系統(tǒng)ROS 已被證實存在明文通信、弱授權(quán)方案等安全問題，導致使用ROS的工業(yè)機器人也存在此類風險。

劉金芳表示，工業(yè)機器人出廠時多使用默認配置，制造業(yè)企業(yè)用戶使用時未進行修改，加劇了工業(yè)機器人網(wǎng)絡(luò)安全風險。由于更新工業(yè)機器人軟件會對制造業(yè)企業(yè)用戶產(chǎn)生一定影響，因此很多企業(yè)忽視軟件更新，致使攻擊者可利用已知安全漏洞攻擊工業(yè)機器人，網(wǎng)絡(luò)安全風險難以控制。

根據(jù)上述問題，劉金芳提出了三點建議：一是建議全國信息安全標準化技術(shù)委員會在監(jiān)管機構(gòu)的指導下，聯(lián)合工業(yè)機器人供應(yīng)商、安全服務(wù)商、用戶等加快制定工業(yè)機器人網(wǎng)絡(luò)安全國家標準。

國家標準制定應(yīng)貫穿設(shè)計、生產(chǎn)、系統(tǒng)集成等多個環(huán)節(jié)的網(wǎng)絡(luò)安全風險，例如，在使用開源框架和庫時考慮其安全性；對軟件安全開發(fā)生命周期進行管理；正確使用加密通信和軟件更新；確保只有經(jīng)過認證和授權(quán)的用戶能夠訪問工業(yè)機器人服務(wù)和功能；指導用戶進行安全配置等。

二是盡快開展工業(yè)機器人網(wǎng)絡(luò)安全風險評估。建議工業(yè)機器人供應(yīng)商依據(jù)已出臺的網(wǎng)絡(luò)安全政策、技術(shù)與管理標準，對上市前的新產(chǎn)品進行網(wǎng)絡(luò)安全自評估或第三方評估，識別工業(yè)機器人安全威脅和脆弱性，確認已有安全措施，并評估一旦發(fā)生安全事件可能造成的危害。同時，建議國家主管部門針對涉及國家安全和存在重大安全風險的工業(yè)機器人，加強監(jiān)督檢查，提高防范意識，加大整改力度，強化風險控制，最大限度地保障工業(yè)機器人安全使用。

三是建立工業(yè)機器人網(wǎng)絡(luò)安全預警平臺。具體包括：建立國家工業(yè)機器人信息安全漏洞庫，并在國家信息安全漏洞共享平臺上及時披露工業(yè)機器人漏洞信息、發(fā)布補丁，建立工業(yè)機器人生產(chǎn)商、供應(yīng)商和用戶之間的溝通機制，通報工業(yè)機器人網(wǎng)絡(luò)安全問題，督促用戶及時更新軟件；實時收集、匯總分析工業(yè)機器人網(wǎng)絡(luò)安全事件信息，應(yīng)用大數(shù)據(jù)對工業(yè)機器人生產(chǎn)故障、用戶及設(shè)備的行為進行持續(xù)監(jiān)測和分析，及時發(fā)現(xiàn)異常環(huán)節(jié)，并通過聲音提示、圖標閃爍等方式向工業(yè)機器人用戶報警，協(xié)助供應(yīng)商和用戶采取安全措施。（夏小禾）