智能制造安全 | 小米“黑灯”智能工厂的安全防护实践

物联网0149

智能制造安全 | 小米“黑灯”智能工厂的安全防护实践,第1张

小米集团 陈长林 李泽霖

打造具有国际竞争力的制造业,是我国提升综合国力、保障国家安全、建设世界强国的必由之路。推进以智能制造为核心的智能工厂建设是实现这一目标的重点方向,是我国迈进世界强国大门的关键一环。而信息安全是保障智能工厂系统能够顺利运转的根基。

小米作为一家互联网 科技 制造公司,一直走在创新的前列。在小米十周年的演讲中,创始人雷军对小米的过去十年进行了总结和复盘,也对未来十年提出了三个发展策略:重新创业、互联网 + 制造、行稳致远。在“互联网 + 制造”这条路线上,小米经过过去三年的努力,已经建成了百万台级的全自动化智能工厂(即“黑灯”工厂),致力于超高端手机的自动化生产。对于这条自动化水平极高的生产线,信息安全是其重要根基,是保证整个工厂安全、高效、稳定运转的关键一环。小米把信息安全体系建设作为智能工厂稳健运营的基石,在信息安全管理体系建设与实践上也下足了功夫。

小米智能工厂的信息安全管理体系包括三道防线:

第一道防线——安全技术体系,包括设备层、网络层、系统层和应用层。

第二道防线——安全管理体系,包括安全制度与全员安全意识培训。

第三道防线——安全审计,以攻击方蓝军视角对系统进行渗透测试。

第一道防线——安全技术体系

小米智能工厂安全防护体系主要通过应用层、系统层、网络层、设备层 4 个层面组成,通过纵深防御体系,最大程度保障小米智能工厂的安全。

一、设备层防护

智能工厂中,不仅有机器人、工业摄像头、AGV 等工业智能设备,同时还会配备监控摄像头、门禁系统、智能储物柜等常规的 IoT 设备。这些设备在生产之初更多考虑的是设备功能的实现以及设备性能的稳定性,而在安全性的设计考量上往往较为匮乏。

近几年来,行业内智能设备被攻击的案例层出不穷。据各大安全厂商的不完全统计,在所受到的DDoS 攻击中,黑客操纵僵尸网络从而发起的攻击占总数量的一半以上。而互联网中海量缺乏安全性设计的物联网设备就成为这些攻击的“重灾区”。2017 年,由 Mirai 僵尸程序组成的僵尸网络发起的大规模 DDoS 攻击,导致美国、中国、巴西等国家大面积的网络瘫痪。而感染的主要设备有监控摄像头、数字视频录像机及路由器等大量物联网设备。

小米拥有全球最大的消费级物联网,对物联网的安全尤为重视,也为此在 2018 年正式成立了 AIoT安全实验室,实验室的组成成员均在 IoT 安全、网络安全等方面有着丰富的经验和实践。利用这一优势,小米针对智能工厂中的智能设备进行了全面地安全审计,挖掘设备本身存在的潜在安全隐患,并在第一时间联系相应的厂商进行分析、修复和整改。这一举措将从源头上尽可能地消除设备的安全隐患,缩减可能遭受攻击时的攻击面,在设备层面上做到安全性的提升。

二、网络层防护

智能工厂主要由生产网、集成系统网、办公网三大网络组成。

生产网中的设备主要有数控机台、机器人、传感器等;集成系统网中的设备主要有 MES、SAP、MOM 等;办公网中的设备主要为工厂员工办公使用的 PC。这三大网络分别具有不同的特征属性。

生产网是实际生产线所在的网络环境,该网络需要具备极高的稳定性和可靠性,一般会划分为多个产线,不同产线承担不同的生产需求。而由于生产网的极高可靠性要求,一些安全变更(如操作系统补丁、安全策略变更、防护变更等)需要一定周期,不能收到更新时立即进行。所以,对生产网的网络层防护就变得格外重要。有效的网络层防护能够阻挡外部黑客、病毒的攻击,为生产网建立完备的安全屏障。小米在生产网的防护中,采用了单向隔离的安全策略,并对生产网的单向访问策略也做了严格的限制,从网络层面上阻断了可能的攻击路径。同时,在生产网内部,也对高危端口(如 TCP135/139/445/1433/3306/5985/5986 等)进行了禁用,避免病毒利用这些高风险端口在生产网中扩散。

集成系统网中拥有大量工业控制应用系统,这些系统与传统的应用系统类似,通常会开放 Web、远程桌面、SSH 等服务。小米搭建了全套零信任防护体系,对集成系统网中所有服务都实施了访问控制,仅允许授权用户访问,将非法攻击者拒之门外。对所有集成系统中的服务器,小米通过部署自研的HIDS(主机型入侵检测系统),实时监控服务器的安全状况,并对外部攻击进行阻断和拦截。对于系统本身,小米安全团队会对其产品全流程进行安全把控,在研发、测试、上线阶段进行安全评估,及早地发现问题,提升系统整体安全性。

办公网主要是工厂员工日常办公所使用的网络。由于办公网中环境复杂,为了避免对其对核心生产网造成不良影响,办公网与核心生产网完全隔离。而为了保障办公网的安全性,小米在每一名员工的办公 PC 都强制安装了杀毒软件和安全合规检测软件,以保障 PC 的安全性和合规性。为了能够及时发现办公网中的安全隐患和潜在的安全风险,小米在网络出口侧部署了威胁检测系统,实时发现存在隐患和威胁的 PC,并采取相应的安全策略进行紧急处理和防护。

三、系统层防护

生产网中有大量的工控上位机,这些工控机来自多家供应商,存在操作系统不统一、安全防护水平参差不齐的问题。而在工控行业,经常会出现一机中毒、全厂遭殃的情况,给整个生产造成严重的影响。

为了解决这些问题所带来的安全风险,小米针对生产网制作了标准的操作系统镜像,在操作系统镜像中加入了 IP 安全策略、系统补丁、杀毒软件等安全模块,拉齐系统安全基线。工控电脑终端统一加入工厂专用域,便于管理人员进行集中地安全管理和操作审计。

四、应用层防护

在工业网络中,文件传输是常见的一个应用场景。但是,不恰当的文件传输方式极易造成病毒的传播与扩散,对正常生产造成影响。

文件传输的需求主要分为产线内传输、产线间传输和外部交换等。为了满足这一正常业务需求,我们构建了专用文件摆渡服务。

在文件摆渡服务的设计上,主要分为几个部分:文件服务器上部署实施病毒监控服务,保证文件服务器上所有文件的安全性。文件服务器上开启审计策略,对文件交换行为进行记录和审计。向生产网开放 SMB 文件共享接口,并与产线专用域账号打通,用于产线内和产线间的文件传输需求。向办公网开放 Web 文件共享接口,并接入零信任防护系统,用于产线与办公网的文件摆渡。通过统一的文件传输管控,不仅仅解决了业务的使用需求,同时也增强了文件的安全性。

第二道防线——安全管理体系

人员安全意识是安全防护中重要的一环,往往也是安全防护体系中的薄弱环节。近几年,针对企业员工的安全攻击手段层出不穷,从传统的钓鱼邮件、人员渗透到新型的 BadUSB、钓鱼 Wi-Fi 等,都对智能工厂的安全产生巨大的威胁。

小米在员工信息安全意识方面,定期进行钓鱼邮件演练,提升员工对钓鱼邮件的识别能力。定期举办安全意识培训,介绍业内常见的安全攻击和渗透手段,从而提升员工安全意识,降低类似攻击发生的概率。

第三道防线——安全审计

仅从技术层面和人员意识方面进行防护仍然不够,小米蓝军通过模拟真实黑客攻击,对整个安全防护体系进行检验,发现其中的薄弱之处,然后加以修复和整改。

实践是检验真理的唯一标准,在安全防护领域也是如此,一个优秀的安全防护体系必须能够经得起攻击的检验。小米蓝军是一支拥有丰富经验的企业网络攻击团队,通过模拟真实黑客的攻击手法,对整个安全防护体系进行攻击模拟,以评判其在应对攻击时的安全表现。

小米蓝军的渗透测试不仅仅需要对安全方案中提到的四大层面进行安全评估,同时也会结合最新的安全攻击技术,对安全方案未覆盖到的风险点进行挖掘,推动整体安全建设。

除了定期的渗透测试外,小米蓝军还拥有实时漏洞监控与扫描平台,7 24 小时不间断对工厂网络进行安全扫描,及时发现安全问题,规避安全风险。

展 望

李克强总理在考察制造业企业时指出“中国制造 2025 的核心就是实现制造业智能升级”。未来,小米将会紧跟国家《中国制造 2025》的发展方向,将企业的发展与中国制造业的未来绑在一起。当前,我们已经进入了“5G+AIoT”的时代,消费端产品能力的实现对企业的技术创新能力和保障信息安全的能力提出了更为严苛的要求。所以,如果没有安全这一“夯实基础”,就无法搭建起一直追求高精尖的中国制造业这一“上层建筑”。

在小米十周年演讲中,创始人雷军对“互联网 +制造”方向也提出了更高的要求和目标。在智能工厂的第二阶段,希望建成千万台级别的超高端智能手机生产线,该工厂将实现极高的自动化,同时也会具备更为严苛的安全标准以保障生产线的高效运转。未来,小米将会继续深耕智能制造业,努力推动中国制造走在更为安全、先进、稳健的前进道路上,为实现“中国制造 2025”这一伟大的十年计划做出应有的贡献。

(本文刊登于《中国信息安全》杂志2021年第1期)

文/杨剑勇

物联网发展已是全球趋势,预计将创造数万亿美元经济价值。各国都已制订了相应的国家发展战略,为全球经济注入增长动力。因传输层作为实现万物互联的基础,支持海量设备的传输通信驱动着物联网产业发展,更是迎来全球布局,其中较为凸显的是NB-IoT技术,因其有广泛覆盖、支撑海量连接、更低的功耗等优势,以及随着NB-IoT生态的逐渐完善,将有利推动物联网在全球范围内快速发展 ,因此各链条关键企业均在积极推动。

什么是NB-IoT?

NB-IoT全称是蜂窝的窄带物联网(Narrow Band Internet of Things, NB-IoT),万物互联网络的一个重要分支,也被叫做低功耗广域网(LPWA),面向低耗流物联网终端,适合广泛部署在智慧城市、智慧交通、智能生产和智能家居,2016年6月16日在韩国釜山召开的3GPP RAN全会第72次会议上NB-IoT标准确定,预示着物联网建设提速。

NB-IoT只消耗大约180kHz的频段,可直接部署于GSM网络、UMTS网络或LTE网络,以降低部署成本、实现平滑升级。NB-IoT支持待机时间短、对网络连接要求较高设备的高效连接。据说NB-IoT设备电池寿命可以提高至少10年,同时还能提供非常全面的室内蜂窝数据连接覆盖。

近日,Lux Research称,由于覆盖范围和可靠性的扩大,NB-IoT将主导LPWAN,预计到2022年,NB-IoT将会成为物联网时代下的赢家,为物联网中连接数以十亿台设备,到2022年,NB-IoT可能会捕获到全球90%以上的LPWAN连接。

NB-IoT商用也在提速,国内三大运营商在积极部署NB-IoT网络,中国电信在近日宣布全球首个覆盖最广的商用NB-IoT网络建成,将助推物联网产业发展,将在智能电网、智能水表、智慧安放和智慧农业等众多细分领域落地。

芯片是NB-IoT技术商用核心力量,作为芯片巨头的高通最早开始布局NB-IoT,并联合产业链优势资源来共同推动应用落地。在各运营商及原厂的积极热情部署背景下,势必带动整个生态体系发展,从基础设施、芯片、模块和设备等打造一个稳健、开放的 NB-IoT 生态系统,有助于推动 NB-IoT 技术创新和商用。

此外,与以往新的通信技术和芯片仅依靠运营商及原厂推动不同,本轮NB-IoT技术的发展适应物联网发展趋势,带入了物联网产业链非常重要的云服务环节,物联网云服务商机智云与中国电信及高通就NB-IoT的商业落地均展开深入合作,此外还将会在机智云自助开发平台部署NB-IoT的开发技术,让更多物联网开发人员可以第一时间实现NB-IoT的开发和应用落地。

由于物联网这一词汇蕴含的内容及其广阔,被视为第四次科技革命,促进世界经济增长,至此各国纷纷推出以物联网为基础的国家战略。发展物联网是全球趋势,在信息科技发展开始从移动互联网向物联网转变之际,在这一次信息革命中,能够快速创新成为企业竞争的核心,能充分利用物联网的企业也将会成为万物互联时代的赢家。作为引领新型信息化与传统领域走向深度融合的物联网,在未来几年之内,在全球范围内也将创造19万亿美元的整体价值。

推物联网普及提速

来自网优雇佣军文章介绍,目前可以确定,2017年全球至少将有327万NB-IoT基站,笔者再结合Lux Research给出NB-IoT报告显示,NB-IoT可能会占据全球90%以上的LPWAN连接。 由于全球运营商的积极部署NB-IoT网络,围绕NB-IoT的生态体系将逐渐完善,有助于推动 NB-IoT 技术创新和商用,势必加速物联网大规模普及。

在整个物联网产业链中,传输层是实现万物互联基础,未来几年内,物联网设备连接数量将会达数百亿,支持海量设备的传输通信驱动着物联网产业发展,而贯穿物联网设备所需要各平台和解决方案互通为基础,才能使物联网得以实现。

尤其在这个大连接时代,涉及到太多跨品牌、跨平台、跨设备之间的无线通讯,而今年谈论最多的NB-IoT是典型的窄带通信技术将成为关键所在。全球已经有21个运营商承诺部署NB-IoT网络,预测到今年底,在全球将会部署25张NB-IoT商用网络,这是来自今年早些时候GSA发布的报告所做出的预测。

德国电信M2M部门的高级产品经理Jens Olejak说,对于NB-IoT来说,因为模块成本对其业务客户来关键所在,模块价格需要更接近行业的最终目标,每单位5美元,使部署B-IoT项目更可行。机智云总经理黄锡雄在面对21世纪经济报道记者表示:“NB-IoT符合大连接的特点需求,很多WiFi、蓝牙做不到的场景都可以使用NB-IoT,但现在成本并不够低。距离运营商“5美元”的目标仍有距离。“

NB-IoT模块成本之间仍然是11至17美元之间,如果能控制到5美元左右,加上低功耗能维持10到15年的网络,那么NB-IoT的优势就显而易见,另外,中国电信计划投入1亿元用于NB-IoT模块补贴,希望将NB-IoT模块价格降低至5美元。价格的降低有助于推动NB-IoT商业进程。

由于NB-IoT网络的覆盖,将促使进入一个智慧的社会,包括智慧社区、智慧城管、智慧路灯、智慧停车、智慧物流等众多垂直应用,其中智慧生活成为智能家居最大发展方向,在机智云CEO黄灼看来,NB-IoT将加速物联网产业的服务升级,对拥有超过6000+企业注册用户,服务覆盖国内外知名厂商、市场份额第一的机智云来说,新的技术总是让人激动人心的。

机智云是目前国内首个与运营商和芯片原厂共同研发、推动NB-IoT技术的物联网第三方云平台,为NB-IoT解决方案提供成熟稳定的开发工具和云端支持,同时其云服务能力具备数据管理、计费、终端管理、连接服务和数据分析等功能,支持NB-IoT、LTE Cat-M1和EC-GSM-IoT等蜂窝物联网技术,并保证高度的数据主权和安全性,可以满足厂家和产品的业务需求。

在商业应用上,机智云将基于高通MDM9206 全球多模蜂窝物联网连接技术应用于国家电网智能充电桩管理服务平台,和实现非智能商用冰柜等冷链系统智能化管理的HIVE 冷链资产管理解决方案。据悉机智云还将与高通在全国范围内建立NB-IoT测试实验室,进行更进一步的技术研发,以及为商用客户提供NB-IoT产品测试服务。

高通的MDM9206 行业解决方案,旨在为日益增多的物联网终端和系统提供可靠、优化的蜂窝连接。MDM9206 是一款为 Cat-M1(eMTC)和 Cat-NB1(NB-IoT)定制的多模多频芯片,集成了 CPU 和定位技术,能够让物联网产品在全球一系列不同的运营商网络中运行,实现产品全球覆盖的最大化和规模化。

也正是凭借在硬件接入、数据挖掘和分析应用上的技术优势及多年的行业实战经验,机智云已发展为行业第一的综合物联网云服务平台,处于整个产业链的核心位置,是物联网技术发展不可缺少的重要环节。通过对数据流的集中、处理和疏散中心,凭借“大平台+小前端”的结构,支撑和推动物联网在细分行业的商业模式创新,提升行业效率。通过多年来对产业深耕和上下游资源整合,形成完整的物联网开发服务生态,有效撮合供应商和用户降低交易成本,通过第三方接口释放共享经济的巨大价值,参与应用分成,达成生态共赢。

大连接时代凸显物联网云平台价值

根据Gartner数据显示,2016年有64亿物联网设备,预计今年全球物联网设备数量将达84亿,到2020年物联网设备数量将突破两百亿,但诸如Wi-Fi、蓝牙、ZigBee等短距离通信技术应用范围和规模有限,而NB-IoT的高覆盖能力,适合广泛部署在智能家居、智慧城市等众多物联网垂直领域,众多企业积极参与NB-IoT生态建设,希望主导该领域。

物联网通常划分为感知、传输和应用三个层次,感知层以如传感器、RFID等为主,是信息采集的关键部分,传输层以通信设备厂商和运营商等为主导,包括昔日帝国的诺基亚,也寄望于物联网重塑辉煌,但在长期关注物联网产业的杨剑勇看来,物联网的核心价值在应用层。在万物互联所收集的数据后,最终汇集到应用层数据处理等才是物联网产业的核心价值点。

在物联网时代,平台不仅可实现各设备的互联互通,其核心是数据的集散中心,所形成的数据加以利用,将会诞生出很多创新商业模式及应用,其中“云”作为各种设备联网后所产生的数据提供存储、管理、分析等,是物联网产业发展基石。以物联网云服务平台的机智云为例,以万物互联为基础,也就是云、端、到设备云端整合,并分享至整个产业链,助力企业可以实现全球范围内的物联网运营。

作为国内物联网云服务的践行者,不管是企业客户还是开发者,机智云其生态已形成规模化,作为一家懂硬件的软件公司,目前估值数亿美元,被《福布斯》全球IoT创新企业TOP100唯一入选前50的大陆公司,《快公司》中国创新50强。并连续两年获得工信部CSIP年度物联网解决方案奖,连续两年获得中国家电协会艾普兰核芯奖,已成为物联网云服务第一品牌。

在机智云创始人兼CEO黄灼先生看来,物联网是一个有机互联的生态系统,基于大数据的人工智能未来将更广泛应用于物联网,但数据分析、云端安全等技术,全球专业人才也不多。作为最有影响力的物联网开发平台,机智云就要把这些复杂的算法模块化、工具化,持续为开发者提供更多有价值的开发工具和模块服务,帮助他们低成本快速进入物联网行业。

写到最后

数据产生、收集、处理、决策和应用,将随着各式各样的物联网设备的普及以及传感器的大规模部署,所采集的大数据,其潜在的价值也将被逐渐挖掘,可以说,物联网是一个以“数据”为驱动的产业。即万物互联所产生的海量数据,经智能化的处理、分析,最终透过数据形成产品或服务,而正是物联网最核心的商业价值所在,也将为社会创造出更多的商业机遇。

本文作者杨剑勇,长期关注物联网、智能家居、可穿戴设备、机器人和人工智能等前沿科技产业。

还不错。研发人员具有丰富的专业知识和经验,能够给企业提供高效、高性能的物联网解决方案,使企业在生产加工过程中更加高效、快速和精准。中科院物联网南昌中心是中国科学院的一个国家重点实验室,专注于物联网和信息安全方面的研发工作,该中心机构下设有多个实验室,及相应的研发人员,拥有完善的技术平台及设备设施,能够提供高性能、高可用性的物联网解决方案,为企业提供全方位的服务。

物联网实验室设备有单片机、传感器、RFID、一些开发平台像ATOS之类的。

传感器是一种物理装置或生物器官,能够探测、感受外界的信号、物理条件(如光、热、湿度)或化学组成(如烟雾),并将探知的信息传递给其他装置或器官。现在有很有的传感器,像光传感器,声音传感器,压力传感器。。。

RFID(Radio Frequency IDentification)技术,又称电子标签、无线射频识别,是一种通信技术,可通过无线电讯号识别特定目标并读写相关数据,而无需识别系统与特定目标之间建立机械或光学接触。常用的有低频(125k~1342K)、高频(1356Mhz)、超高频,无源等技术。RFID读写器也分移动式的和固定式的,目前RFID技术应用很广,如:图书馆,门禁系统,食品安全溯源,ETC不停车收费等

以上就是关于智能制造安全 | 小米“黑灯”智能工厂的安全防护实践全部的内容,包括:智能制造安全 | 小米“黑灯”智能工厂的安全防护实践、NB-IoT成为利器,物联网云服务平台如何卡位、中科院物联网南昌中心怎么样等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!