智能制造的安全|小米“黑光”智能工厂的安全防护实践 花荣博客

股票资讯  2021-02-24 17:02:49

正文│小米集团陈

建设具有国际竞争力的制造业是中国增强综合国力、确保国家安全、建设世界强国的必由之路。推进以智能制造为核心的智能工厂建设是实现这一目标的关键方向,也是中国进入世界强国的关键环节。信息安全是保证智能工厂系统顺利运行的基础。

小米作为互联网技术制造公司,一直走在创新的最前沿。在小米十周年的致辞中,创始人雷军总结回顾了小米过去的十年,也提出了未来十年的三大发展战略:重新起步、做在互联网plus、稳步前进。在“互联网加制造”的路线上,经过三年的努力,小米建成了百万级全自动智能工厂(即“黑光”工厂),致力于超高端手机的自动化生产。对于这条高度自动化的生产线来说,信息安全是保证整个工厂安全、高效、稳定运行的重要基础和关键环节。小米将信息安全体系建设作为智能工厂稳健运行的基石,在信息安全管理体系建设和实践方面做出了巨大努力。

小米智能工厂的信息安全管理系统包括三道防线:

第一道防线——安全技术体系,包括设备层、网络层、系统层和应用层。

第二道防线——安全管理体系,包括安全制度和全体员工的安全意识培训。

第三道防线,安全审计,从攻击者蓝军的角度对系统进行渗透测试。

第一道防线——安全技术系统

小米智能工厂的安全防护系统主要由应用层、系统层、网络层和设备层组成。小米智能工厂的安全性通过纵深防御系统得到最大程度的保障。

一、设备层保护

在智能工厂中,不仅有机器人、工业摄像头、AGV等工业智能设备,还有监控摄像头、门禁系统、智能储物柜等传统物联网设备。在生产之初,更注重设备功能的实现和设备性能的稳定,而对安全的设计考虑往往很少。

近年来,行业内出现了许多针对智能设备的攻击。据各大安全厂商不完全统计,在DDoS攻击中,黑客操纵僵尸网络发动攻击的占总数的一半以上。然而,互联网中缺乏安全设计的海量物联网设备成为这些攻击的“重灾区”。2017年,由Mirai未来组合僵尸网络组成的僵尸网络发起的大规模DDoS攻击,导致美国、中国、巴西等国大规模网络瘫痪。被感染的主要设备是监控摄像机、数字录像机和路由器。

小米拥有全球最大的消费级物联网,特别注重物联网的安全性。因此,2018年正式成立了AIoT安全实验室,其成员在物联网安全和网络安全方面有着丰富的经验和实践。小米利用这一优势,对智能工厂的智能设备进行了全面的安全审计,挖掘了设备本身潜在的安全隐患,并在第一时间联系了相应的厂商进行分析、维修和整改。这一措施将尽可能从源头上消除设备的安全隐患,减少可能被攻击时的攻击面,提高设备层面的安全性。

二、网络层保护

智能工厂主要由生产网络、综合系统网络和办公网络组成。

生产网络中的设备主要包括数控机床、机器人、传感器等;集成系统网络中的设备主要包括MES、SAP、MOM等。办公网络中的设备主要是工厂员工用于办公的PC。这三个网络具有不同的特征和属性。

生产网络是实际生产线所在的网络环境。网络需要有较高的稳定性和可靠性,一般分为多条生产线,不同的生产线承担不同的生产需求。然而,由于生产网络的高可靠性要求,一些安全更改(如操作系统补丁、安全策略更改、保护更改等。)需要一定的周期,没有收到更新时可以立即进行。因此,保护生产网络的网络层非常重要。有效的网络层保护可以阻挡外部黑客和病毒的攻击,为生产网络建立完整的安全屏障。在生产网络的保护上,小米采取了单向隔离的安全策略,严格限制生产网络的单向访问策略,从网络层面阻断了可能的攻击路径。同时,在生产网络中,高风险端口(如TCP 135/139/445/1433/3306/5985/5986等。)也被禁用,以防止病毒通过使用这些高风险端口在生产网络中传播。

综合系统网络中有大量的工控应用系统,类似于传统的应用系统,通常开放Web、远程桌面、SSH等服务。小米构建了一套完整的零信任保护系统,对综合系统网络中的所有服务实施访问控制,只允许授权用户访问,拒绝非法攻击者。对于集成系统中的所有服务器,小米部署了自主开发的HIDS(主机入侵检测系统)来实时监控服务器的安全状态,拦截外部攻击。至于系统本身,小米安全团队会对其产品的全过程进行控制,在R&D、测试、上线等阶段进行安全评估,及早发现问题,提高系统的整体安全性。

办公网络主要是工厂员工在日常工作中使用的网络。由于办公网络环境复杂,为了避免对核心生产网络造成不利影响,办公网络与核心生产网络完全隔离。为了保证办公网络的安全,小米在每个员工的办公PC上安装了杀毒软件和安全合规检测软件,以保证PC的安全性和合规性。为了及时发现办公网络中的隐患和安全隐患,小米在网络出口侧部署了威胁检测系统,实时发现存在隐患和威胁的PC,并采取相应的安全策略进行应急处理和防护。

第三,系统层保护

生产网络中有大量的工控上位机,来自很多供应商,存在操作系统不一致、安全防护等级不均衡等问题。但在工控行业,往往一机中毒,全厂遭殃,对整个生产造成严重影响。

为了解决这些问题带来的安全隐患,小米为生产网络制作了标准的操作系统镜像,并在操作系统镜像中加入了IP安全策略、系统补丁、杀毒软件等安全模块,来拟定系统安全基线。工厂专用域统一增加工控计算机终端,方便管理人员进行集中安全管理和运行审核。

第四,应用层保护

文件传输是工业网络中常见的应用场景。但是文件传输不当很容易造成病毒的传播和扩散,对正常生产造成影响。

文件传输的要求主要分为产线内传输、产线间传输和外部交换。为了满足这种正常的业务需求,我们建立了专门的文件轮渡服务。

在文件轮渡服务的设计中,主要分为几个部分:在文件服务器上部署和实现病毒监控服务,保证文件服务器上所有文件的安全。在文件服务器上启动审核策略,以记录和审核文件交换行为。打开生产网络的SMB文件共享接口,连接生产线专用域账号,用于生产线内部和生产线之间的文件传输需求。打开到办公网络的Web文件共享接口,访问生产线和办公网络之间文件轮渡的零信任保护系统。通过统一的文件传输控制,既解决了业务的使用需求,又增强了文件的安全性。

第二道防线——安全管理体系

人员安全意识是安全防护的重要环节,也是安全防护体系中的薄弱环节。近年来,针对企业员工的安全攻击层出不穷,从传统的钓鱼邮件和人员渗透到新的BadUSB和钓鱼Wi-Fi,都对智能工厂的安全构成了极大的威胁。

小米定期从员工信息安全意识方面进行钓鱼练习,以提高员工识别钓鱼邮件的能力。定期组织安全意识培训,介绍行业内常见的安全攻击和渗透方式,增强员工的安全意识,降低类似攻击的概率。

第三道防线——安全审计

从技术水平和人员意识上保护还是不够的。小米蓝军通过模拟真实的黑客攻击,对整个安全防护系统进行测试,发现弱点,然后进行修复和整改。

实践是检验真理的唯一标准,在安全防护领域也是如此。一个优秀的安全保护系统必须能够经受住攻击的考验。小米蓝军是一个经验丰富的企业网络攻击团队。通过模拟真实黑客的攻击策略,模拟整个安全防护系统来判断其在应对攻击时的安全性能。

小米蓝军的渗透测试不仅需要对安全计划中提到的四个层面进行评估,还需要结合最新的安全攻击技术,挖掘安全计划未覆盖的风险点,推动整体安全建设。

小米蓝军除了定期的渗透测试,还有实时漏洞监控扫描平台,7×24小时持续扫描工厂网络,及时发现安全问题,规避安全隐患。

展览希望

李克强总理在视察制造企业时指出,“中国制造2025的核心是实现制造业的智能化升级”。未来,小米将紧紧跟随国家“中国制造2025”的发展方向,将企业的发展与中国制造业的未来联系起来。目前,我们已经进入“5G+AIoT”时代,消费产品能力的实现对企业的技术创新能力和信息安全能力提出了更严格的要求。所以,没有安全的“坚实基础”,就不可能打造出一直追求高精度的中国制造业的“上层建筑”。

小米创始人雷军在小米10周年的致辞中,也对“互联网加制造”的方向提出了更高的要求和目标。在智能工厂的第二阶段,我们希望建设1000万条超高端智能手机生产线,实现极高的自动化,满足更严格的安全标准,确保生产线的高效运行。未来,小米将继续深化智能制造业,努力推动中国制造业走上更安全、更先进、更稳定的道路,为实现“中国制造2025”伟大十年规划做出应有的贡献。

(本文发表于2021年《中国信息安全》杂志第一期)


以上就是智能制造的安全|小米“黑光”智能工厂的安全防护实践花荣博客的全部内容了,喜欢我们网站的可以继续关注福全股票网其他的资讯!

相关推荐

洛阳玻璃股份有限公司续签未来三年的关联交易协议,涉及产品销售、设备购置安装、金融存贷款等。
12月3日,首创获悉,港股公司洛阳玻璃(01108.HK)发布公告称,续签《2018-2020年持续关连交易协议》。12月2日,...
南方股份回复询价函:拟通过收购秦淮风光改造旅游产业
7月17日,首都国家报讯,南方股份(600250.SH)回应上交所《关于南京纺织进出口有限公司发行股份信息披露情况的询问》购买资...
中国工商银行欢迎在中国建设银行服务30多年的廖林新行长
3月17日,首创获悉,中国工商银行(601398.SH)昨日晚间公告,中国银保监会已批准中国工商银行廖林的任职资格。根据有关规定...
君实生物获得四种微环境药物全球产销权
9月17日,首都国家获悉,香港上市公司君实生物科技(01877.HK)宣布,公司拟与微晶生物医药科技(上海)有限公司签署《技术转...
易搜科技加入
近日,上交所官网信息显示,深圳市易搜天下科技有限公司(以下简称易搜科技)科创板IPO申请被压在"暂停按钮"。文件显示,亿搜科技及...
天齐锂业披露重大风险事件进展:流动性危机依然存在
11月16日,首创获悉,天齐锂业(002466.SZ)公告重大风险事项进展及公司高级管理人员减持计划实施完毕。重大风险事项进展公...
雪浪环境:控股股东杨建平质押部分股份作担保
10月14日,首创获悉,雪浪环境(300385.SZ)公告称,公司近日收到控股股东杨建平的通知,其持有的部分公司股份被质押。公告...
港股IPO|融信服务通过港交所听证,独立第三方管理总建筑面积750万平方米
6月14日,首创获悉,融信服务集团股份有限公司(简称融信服务)近日通过了香港联交所主板上市听证会,成为海通国际的独家保荐人。招股...
进入二手车市场?小鹏汽车成立新的附属销售公司
3月5日,国都从天眼查官网获悉,小鹏汽车近日成立了一家新的销售公司——上海鹏兴汽车销售服务有限公司(以下简称"上海鹏兴"),上海...

友情链接