第五章  工业机器人的安全防护



             安全架构。安全的工业机器人的产品生命周期过程中，应该考虑网络攻击。一方
             面，产品系统生命周期过程中必不可少的环节，包括从“安全编码”标准到减少
             简单漏洞的可能性，对于面向安全的代码评审活动，直到第三方依赖关系的管理；

             另一方面，需要对设备的攻击面进行深入分析，旨在将它们减少到保留预期功能
             的最低程度，并在系统设计的所有阶段考虑主动攻击者的存在。此外，安全生命
             周期应该包括一个正式的漏洞管理流程以及一个方便客户或外部研究人员（包括
             非客户）报告漏洞和安全事件的方法。补丁管理一旦发现安全漏洞，就需要得到

             解决，并且由此产生的安全更新需要跨现有系统及时部署，以减少攻击者的可乘
             之机。
                 在像工厂这样工业机器人的应用场景中，向已经部署的系统应用补丁并不容
             易。第一，在大多数情况下，应用软件更新需要中断生产，导致成本和延迟，这

             带来了不间断热修补操作系统和用户空间应用程序的挑战；第二，大多数工业路
             由器和控制器没有在发现和修补安全漏洞时自动更新其固件的程序，为了避免将
             它们连接到互联网，解决回归问题的合理关切以及在更新使得受控系统不可用的
             情况下避免可能的生产中断，更新软件的决定取决于客户：它受他们对安全问题

             的认识以及他们对网络安全风险的评估的影响。采用安全且有弹性的体系结构。
             一种有效的防御方法是采用更安全的体系结构，来提高攻击门槛并降低其影响。
             假设一个或多个组件受损，这为使设备更能抵御攻击带来了各种工程挑战。在它
             们最基本的形式中，这转化为以最小特权原则设计系统，减少硬件和软件组件之

             间的隐含信任，并划分系统，使得单个漏洞不足以造成完全的危害。
                 此外，建议实施软件签名，以保证固件更新以及插件和附件软件的完整性和
             出处。安全部署除了改进制造系统的设计之外，网络分段和安全部署仍然是减少
             攻击面和遏制攻击影响的最重要途径之一。

                 为了帮助完成这项任务，我们建议为每个控制器分发一份“安全操作手册”，
             其中有明确的指导方针来帮助用户配置（并在必要时加强）机器人，根据他们的
             需要定制安全级别，可能会禁用特定部署不需要的功能和服务。这可以与控制器
             软件配置中的安全缺省相结合（例如，强迫客户在安装过程中设置密码，而不是

             发送缺省密码），考虑设备安全性和产品可用性之间的折中。风险管理标准和活
             动（即 ISO/TS15066）可以扩展，以涵盖本文和其他最新研究提出的安全问题。
                 安全任务程序关于用现代领域专用语言对机器进行编程的问题可以在两个层



                                                                                    143