建設具有國際競爭力的制造業,是中國提升綜合國力、維護國家安全、建設世界強國的必由之路。推進以智能制造為核心的智能工廠建設,是實現這壹目標的重點方向,也是中國步入世界強國之門的關鍵環節。信息安全是保證智能工廠系統順利運行的基礎。
小米作為壹家互聯網科技制造公司,壹直走在創新的前沿。在小米十周年的演講中,創始人雷軍總結了小米過去的十年,提出了未來十年的三大發展戰略:再創業、互聯網+制造、做穩。在“互聯網+制造”的路線上,經過三年的努力,小米建成了百萬臺的全自動智能工廠(“黑光”工廠),致力於超高端手機的自動化生產。對於這條高度自動化的生產線來說,信息安全是重要的基礎,是保證整個工廠安全、高效、穩定運行的關鍵環節。小米將信息安全體系建設作為智能工廠穩定運行的基石,在信息安全管理體系的建設和實踐上也下了很大功夫。
小米智能工廠的信息安全管理體系包括三道防線:
第壹道防線——安全技術體系,包括設備層、網絡層、系統層和應用層。
第二道防線——安全管理體系,包括安全制度和全員安全意識培訓。
第三道防線——安全審計,從進攻藍軍的角度對系統進行滲透測試。
第壹道防線——安全技術系統
小米智能工廠的安全防護體系主要由應用層、系統層、網絡層和設備層組成,通過縱深防禦體系最大程度的保障小米智能工廠的安全。
壹、設備層保護
在智能工廠中,不僅有機器人、工業攝像機、AGV等工業智能設備,還有監控攝像頭、門禁系統、智能儲物櫃等常規物聯網設備。在生產之初,這些裝置更註重設備功能的實現和設備性能的穩定性,但往往缺乏安全設計方面的考慮。
近年來,行業內智能設備被攻擊的案例層出不窮。據各大安全廠商不完全統計,在DDoS攻擊中,由黑客操縱僵屍網絡發起的攻擊占到了總數的壹半以上。互聯網上缺乏安全設計的海量物聯網設備成為這些攻擊的“重災區”。2017年,由Mirai未來組合僵屍程序組成的僵屍網絡發起大規模DDoS攻擊,造成美國、中國、巴西等國大規模網絡癱瘓。主要被感染的設備是監控攝像頭、數字錄像機和路由器。
小米擁有全球最大的消費級物聯網,特別註重物聯網的安全性。為此,AIoT安全實驗室於2018正式成立。實驗室成員在物聯網安全和網絡安全領域擁有豐富的經驗和實踐。利用這壹優勢,小米對智能工廠內的智能設備進行了全面的安全審計,挖掘設備本身的安全隱患,第壹時間聯系相應廠商進行分析、維修和整改。該措施將從源頭上盡可能消除設備的安全隱患,減少可能被攻擊時的攻擊面,提高設備層面的安全性。
二、網絡層保護
智能工廠主要由三個網絡組成:生產網絡、集成系統網絡和辦公網絡。
生產網絡中的設備主要包括數控機床、機器人、傳感器等。集成系統網絡中的設備主要包括MES、SAP、MOM等。辦公網絡中的設備主要是工廠員工使用的PC機。這三個網絡各有特點。
生產網絡是實際生產線所在的網絡環境。網絡需要有很高的穩定性和可靠性,壹般分為多條生產線,不同的生產線承擔不同的生產需求。但是,由於生產網絡極高的可靠性要求,壹些安全變更(如操作系統補丁、安全策略變更、保護變更等。)需要壹定的周期,不能在收到更新時立即進行。因此,保護生產網絡的網絡層顯得尤為重要。有效的網絡層保護可以阻擋外部黑客和病毒的攻擊,為生產網絡建立完整的安全屏障。在生產網絡的防護上,小米采用了單向隔離的安全策略,嚴格限制生產網絡的單向訪問策略,從網絡層面阻斷了可能的攻擊路徑。同時高危端口(如TCP 135/139/445/1433/3306/5985/5986等。)也被禁止在生產網絡中使用,以防止病毒通過使用這些高風險端口在生產網絡中傳播。
集成系統網絡中存在大量的工業控制應用系統,這些系統類似於傳統的應用系統,通常開放Web、遠程桌面、SSH等服務。小米構建了壹套完整的零信任保護體系,對集成系統網絡中的所有服務實施訪問控制,只允許授權用戶訪問,將非法攻擊者拒之門外。對於集成系統中的所有服務器,小米部署了自主研發的HIDS(Host Intrusion Detection System,主機入侵檢測系統),實時監控服務器的安全狀態,攔截外部攻擊。對於系統本身,小米安全團隊會對其產品進行全流程的安全控制,在R&D、測試、上線階段進行安全評估,及早發現問題,提高系統的整體安全性。
辦公網絡主要供工廠員工在日常工作中使用。由於辦公網絡中環境復雜,為了避免其對核心生產網絡造成不利影響,辦公網絡與核心生產網絡完全隔離。為了保證辦公網絡的安全,小米在每位員工的辦公PC上都安裝了殺毒軟件和安全合規性測試軟件,以保證PC的安全性和合規性。為了及時發現辦公網絡中的安全隱患和潛在安全風險,小米在網絡出口端部署了威脅檢測系統,實時發現存在隱患和威脅的PC,並采取相應的安全策略進行應急處理和防護。
第三,系統層保護
生產網絡中有大量的工業控制計算機,來自多家供應商,存在操作系統不壹致、安全防護等級參差不齊等問題。在工控行業,往往壹機中毒,全廠遭殃,對整個生產造成嚴重影響。
為了解決這些問題帶來的安全隱患,小米為生產網絡做了標準的操作系統鏡像,在操作系統鏡像中加入了IP安全策略、系統補丁、殺毒軟件等安全模塊,對齊系統安全基線。工業計算機終端統壹到工廠的專用域中,便於管理人員進行集中的安全管理和運行審計。
第四,應用層保護
在工業網絡中,文件傳輸是壹種常見的應用場景。但是,不當的文件傳輸方式很容易造成病毒的傳播和擴散,影響正常生產。
文件傳輸的要求主要分為生產線內傳輸、生產線間傳輸和外部交換。為了滿足這種正常的業務需求,我們建立了專門的文件輪渡服務。
在文件擺渡服務的設計上,主要分為幾個部分:在文件服務器上部署病毒監控服務,保證文件服務器上所有文件的安全。在文件服務器上打開審計策略,記錄和審計文件交換行為。向生產網絡開放SMB文件共享接口,與生產線專用域賬戶連接,滿足生產線內部和生產線之間的文件傳輸需求。向辦公網絡開放Web文件共享接口,接入生產線與辦公網絡之間文件擺渡的零信任保護系統。通過統壹的文件傳輸控制,不僅解決了業務的使用需求,還增強了文件的安全性。
第二道防線——安全管理體系
人員安全意識是安全防護的重要組成部分,也往往是安全防護體系中的薄弱環節。近年來,針對企業內部員工的安全攻擊層出不窮,從傳統的釣魚郵件、人員滲透到新型的BadUSB、釣魚Wi-Fi,都對智能工廠的安全構成了極大的威脅。
在員工信息安全意識方面,小米定期進行釣魚郵件演練,提高員工識別釣魚郵件的能力。定期舉辦安全意識培訓,介紹行業內常見的安全攻擊和滲透方法,增強員工的安全意識,降低類似攻擊的概率。
第三道防線——安全審計
僅僅從技術層面和人員意識來保護還是不夠的。小米藍軍通過模擬真實的黑客攻擊,對整個安全防護體系進行測試,發現其弱點,然後進行修復和整改。
實踐是檢驗真理的唯壹標準,在安全防護領域也是如此。壹個優秀的安全防護系統必須能夠經受住攻擊的考驗。小米藍軍是壹支經驗豐富的企業網絡攻擊團隊。它通過模擬真實黑客的攻擊手段,模擬整個安全防護系統來判斷其應對攻擊的安全性能。
小米藍軍的滲透測試,不僅需要評估安全方案中提到的四個等級,還要結合最新的安全攻擊技術,挖掘安全方案沒有覆蓋到的風險點,推動整體安全建設。
除了常規的滲透測試,小米藍軍還有實時漏洞監測掃描平臺,可以24小時掃描工廠網絡,及時發現安全問題,規避安全風險。
王展
李克強總理在視察制造企業時指出,“中國制造2025的核心是實現制造業智能化升級”。未來,小米將緊扣國家《中國制造2025》的發展方向,將企業的發展與中國制造業的未來捆綁在壹起。目前已經進入“5G+AIoT”時代,消費端產品能力的實現對企業的技術創新能力和信息安全能力提出了更加嚴格的要求。所以,沒有安全這個“堅實的基礎”,就不可能建成壹直追求高精度的中國制造業的“上層建築”。
在小米十周年演講中,創始人雷軍也對“互聯網+制造”的方向提出了更高的要求和目標。智能工廠二期,希望建成千萬條超高端智能手機生產線,實現極高的自動化,並有更嚴格的安全標準,保證生產線的高效運轉。未來,小米將繼續深耕智能制造行業,努力推動中國制造走上更加安全、先進、穩健的道路,為實現“中國制造2025”的偉大十年規劃做出應有的貢獻。
(本文發表於《中國信息安全》雜誌,第1期,2021)。