智能制造安全 | 小米“黑灯”智能工厂的安全防护实践

文 小米集团 陈长林 李泽霖

打造具有国际竞争力的制造业，是我国提升综合国力、保障国家安全、建设世界强国的必由之路。推进以智能制造为核心的智能工厂建设是实现这一目标的重点方向，是我国迈进世界强国大门的关键一环。而信息安全是保障智能工厂系统能够顺利运转的根基。

小米作为一家互联网 科技 制造公司，一直走在创新的前列。在小米十周年的演讲中，创始人雷军对小米的过去十年进行了总结和复盘，也对未来十年提出了三个发展策略：重新创业、互联网 + 制造、行稳致远。在“互联网 + 制造”这条路线上，小米经过过去三年的努力，已经建成了百万台级的全自动化智能工厂（即“黑灯”工厂），致力于超高端手机的自动化生产。对于这条自动化水平极高的生产线，信息安全是其重要根基，是保证整个工厂安全、高效、稳定运转的关键一环。小米把信息安全体系建设作为智能工厂稳健运营的基石，在信息安全管理体系建设与实践上也下足了功夫。

小米智能工厂的信息安全管理体系包括三道防线：

第一道防线——安全技术体系，包括设备层、网络层、系统层和应用层。

第二道防线——安全管理体系，包括安全制度与全员安全意识培训。

第三道防线——安全审计，以攻击方蓝军视角对系统进行渗透测试。

第一道防线——安全技术体系

小米智能工厂安全防护体系主要通过应用层、系统层、网络层、设备层 4 个层面组成，通过纵深防御体系，最大程度保障小米智能工厂的安全。

一、设备层防护

智能工厂中，不仅有机器人、工业摄像头、AGV 等工业智能设备，同时还会配备监控摄像头、门禁系统、智能储物柜等常规的 IoT 设备。这些设备在生产之初更多考虑的是设备功能的实现以及设备性能的稳定性，而在安全性的设计考量上往往较为匮乏。

近几年来，行业内智能设备被攻击的案例层出不穷。据各大安全厂商的不完全统计，在所受到的DDoS 攻击中，黑客 *** 纵僵尸网络从而发起的攻击占总数量的一半以上。而互联网中海量缺乏安全性设计的物联网设备就成为这些攻击的“重灾区”。2017 年，由 Mirai 僵尸程序组成的僵尸网络发起的大规模 DDoS 攻击，导致美国、中国、巴西等国家大面积的网络瘫痪。而感染的主要设备有监控摄像头、数字视频录像机及路由器等大量物联网设备。

小米拥有全球最大的消费级物联网，对物联网的安全尤为重视，也为此在 2018 年正式成立了 AIoT安全实验室，实验室的组成成员均在 IoT 安全、网络安全等方面有着丰富的经验和实践。利用这一优势，小米针对智能工厂中的智能设备进行了全面地安全审计，挖掘设备本身存在的潜在安全隐患，并在第一时间联系相应的厂商进行分析、修复和整改。这一举措将从源头上尽可能地消除设备的安全隐患，缩减可能遭受攻击时的攻击面，在设备层面上做到安全性的提升。

二、网络层防护

智能工厂主要由生产网、集成系统网、办公网三大网络组成。

生产网中的设备主要有数控机台、机器人、传感器等；集成系统网中的设备主要有 MES、SAP、MOM 等；办公网中的设备主要为工厂员工办公使用的 PC。这三大网络分别具有不同的特征属性。

生产网是实际生产线所在的网络环境，该网络需要具备极高的稳定性和可靠性，一般会划分为多个产线，不同产线承担不同的生产需求。而由于生产网的极高可靠性要求，一些安全变更（如 *** 作系统补丁、安全策略变更、防护变更等）需要一定周期，不能收到更新时立即进行。所以，对生产网的网络层防护就变得格外重要。有效的网络层防护能够阻挡外部黑客、病毒的攻击，为生产网建立完备的安全屏障。小米在生产网的防护中，采用了单向隔离的安全策略，并对生产网的单向访问策略也做了严格的限制，从网络层面上阻断了可能的攻击路径。同时，在生产网内部，也对高危端口（如 TCP135/139/445/1433/3306/5985/5986 等）进行了禁用，避免病毒利用这些高风险端口在生产网中扩散。

集成系统网中拥有大量工业控制应用系统，这些系统与传统的应用系统类似，通常会开放 Web、远程桌面、SSH 等服务。小米搭建了全套零信任防护体系，对集成系统网中所有服务都实施了访问控制，仅允许授权用户访问，将非法攻击者拒之门外。对所有集成系统中的服务器，小米通过部署自研的HIDS（主机型入侵检测系统），实时监控服务器的安全状况，并对外部攻击进行阻断和拦截。对于系统本身，小米安全团队会对其产品全流程进行安全把控，在研发、测试、上线阶段进行安全评估，及早地发现问题，提升系统整体安全性。

办公网主要是工厂员工日常办公所使用的网络。由于办公网中环境复杂，为了避免对其对核心生产网造成不良影响，办公网与核心生产网完全隔离。而为了保障办公网的安全性，小米在每一名员工的办公 PC 都强制安装了杀毒软件和安全合规检测软件，以保障 PC 的安全性和合规性。为了能够及时发现办公网中的安全隐患和潜在的安全风险，小米在网络出口侧部署了威胁检测系统，实时发现存在隐患和威胁的 PC，并采取相应的安全策略进行紧急处理和防护。

三、系统层防护

生产网中有大量的工控上位机，这些工控机来自多家供应商，存在 *** 作系统不统一、安全防护水平参差不齐的问题。而在工控行业，经常会出现一机中毒、全厂遭殃的情况，给整个生产造成严重的影响。

为了解决这些问题所带来的安全风险，小米针对生产网制作了标准的 *** 作系统镜像，在 *** 作系统镜像中加入了 IP 安全策略、系统补丁、杀毒软件等安全模块，拉齐系统安全基线。工控电脑终端统一加入工厂专用域，便于管理人员进行集中地安全管理和 *** 作审计。

四、应用层防护

在工业网络中，文件传输是常见的一个应用场景。但是，不恰当的文件传输方式极易造成病毒的传播与扩散，对正常生产造成影响。

文件传输的需求主要分为产线内传输、产线间传输和外部交换等。为了满足这一正常业务需求，我们构建了专用文件摆渡服务。

在文件摆渡服务的设计上，主要分为几个部分：文件服务器上部署实施病毒监控服务，保证文件服务器上所有文件的安全性。文件服务器上开启审计策略，对文件交换行为进行记录和审计。向生产网开放 SMB 文件共享接口，并与产线专用域账号打通，用于产线内和产线间的文件传输需求。向办公网开放 Web 文件共享接口，并接入零信任防护系统，用于产线与办公网的文件摆渡。通过统一的文件传输管控，不仅仅解决了业务的使用需求，同时也增强了文件的安全性。

第二道防线——安全管理体系

人员安全意识是安全防护中重要的一环，往往也是安全防护体系中的薄弱环节。近几年，针对企业员工的安全攻击手段层出不穷，从传统的钓鱼邮件、人员渗透到新型的 BadUSB、钓鱼 Wi-Fi 等，都对智能工厂的安全产生巨大的威胁。

小米在员工信息安全意识方面，定期进行钓鱼邮件演练，提升员工对钓鱼邮件的识别能力。定期举办安全意识培训，介绍业内常见的安全攻击和渗透手段，从而提升员工安全意识，降低类似攻击发生的概率。

第三道防线——安全审计

仅从技术层面和人员意识方面进行防护仍然不够，小米蓝军通过模拟真实黑客攻击，对整个安全防护体系进行检验，发现其中的薄弱之处，然后加以修复和整改。

实践是检验真理的唯一标准，在安全防护领域也是如此，一个优秀的安全防护体系必须能够经得起攻击的检验。小米蓝军是一支拥有丰富经验的企业网络攻击团队，通过模拟真实黑客的攻击手法，对整个安全防护体系进行攻击模拟，以评判其在应对攻击时的安全表现。

小米蓝军的渗透测试不仅仅需要对安全方案中提到的四大层面进行安全评估，同时也会结合最新的安全攻击技术，对安全方案未覆盖到的风险点进行挖掘，推动整体安全建设。

除了定期的渗透测试外，小米蓝军还拥有实时漏洞监控与扫描平台，7 24 小时不间断对工厂网络进行安全扫描，及时发现安全问题，规避安全风险。

展 望

李克强总理在考察制造业企业时指出“中国制造 2025 的核心就是实现制造业智能升级”。未来，小米将会紧跟国家《中国制造 2025》的发展方向，将企业的发展与中国制造业的未来绑在一起。当前，我们已经进入了“5G+AIoT”的时代，消费端产品能力的实现对企业的技术创新能力和保障信息安全的能力提出了更为严苛的要求。所以，如果没有安全这一“夯实基础”，就无法搭建起一直追求高精尖的中国制造业这一“上层建筑”。

在小米十周年演讲中，创始人雷军对“互联网 +制造”方向也提出了更高的要求和目标。在智能工厂的第二阶段，希望建成千万台级别的超高端智能手机生产线，该工厂将实现极高的自动化，同时也会具备更为严苛的安全标准以保障生产线的高效运转。未来，小米将会继续深耕智能制造业，努力推动中国制造走在更为安全、先进、稳健的前进道路上，为实现“中国制造 2025”这一伟大的十年计划做出应有的贡献。

（本文刊登于《中国信息安全》杂志2021年第1期）

现今世界网络和数据普及，不单止智能手机能连接网络，就连手表，闹钟，家电等日常用品，也能即时在网络中提取资讯，并配合环据数据作出分析，将最好的体验反馈给 用家。而透过网络来连接人，流程，资讯和装置这个概念，亦是我们平常所说的物联网（物联网，又名物联网）。

承接上文介绍了雾计算的简单的应用和由来，下文将会介绍物联网的一个重要技术 - 边缘计算（Edge computing）。下文将会阐述边缘计算的由来，并介绍它与物联网的关系，而且会利用无人驾驶作为用例，介绍云计算的短处和边缘计算的应用。

先定义一下边缘计算（wikepedia，2019）：

这里提到很多艰涩的专业名词，例如是“分散式运算”，“节点”等，其实只是描述：边缘技术是一种技术将大型应用程式的一部分转移到（即分散式运算）日常设备中处理（即边缘节点中）。

在云计算的典型结构中（如上图），通常可分为“云（云层） - 网（雾层） - 端（边缘）”三层。“端”这一层覆盖所有终端的应用程式，亦通常是被管理的角色。当云计算一计算出结果，就会到透过“网”层，将指令发送到“端”层的应用程式执行，而应用程式收到数据后，则会发送到“云”层作计算。

而边缘计算则可以想像为给予“端”层一定程度的“自治”。在边缘计算的架构中，终点被赋予简单的存储和计算能力（与雾计算不同，这里重点是“简单”的功能） ，令它能偶尔脱离云的管理，并根据环境数据作出回应。

增加终端系统简单的计算和存取能力看似一小步，但其实这个布局有着莫大的好处，当中包括：

  - 低延迟：数据由近场产生，能快速回应

  - 独立性：在没有网络连接下，系统亦能运作

  - 合规性：无需传送用户资料，保护个人数据

  - 简化数据：终端先处理部份数据，数据简化后才向云服务器传输

  - 安全性：数据传输减少，减少网络安全风险

无人驾驶是边缘计算其中一个经典用例，亦是一个很好例子说明云计算的短处和为什么需要边缘计算。

下图展示的是常用的云计算架构，当中包括1）一架智能汽车（客户端），并且正在使用无人驾驶功能，2）互联网（Internet），用作传输数据，以及3）云服务（云计算）服务器），用作提供无人驾驶服务。

假设汽车正在以60ms-1的速度行驶，并在起始位置感测到前方3m有阻碍物。由于汽车正在使用云计算的架构，汽车本身并没有分析的功能，汽车会将感测到的影像 传送到云服务器中作分析（步骤1）。

很不幸地，由于汽车现在在北区甚远，信息在005s后才能到云服务 无上停驶，但也要经过005s才能将指令发送到汽车上执行（步骤2）。

在这段发送信息到回收指令的过程中（~01s），汽车会继续以均速行驶（60ms-1），并到6m后（= 60ms-1×01s）才会收到指令停下来 。而且会撞到在3m前的路人，酿成车祸。

汽车在起始位置感测到前方3m有阻碍物，会立刻执行停车指令（步骤1）。然后再发送影像和决策内容到云服务器中作进阶分析（步骤2），以改善无人驾驶性能。 （注：这里看似与雾计算方式相似，但在过程中，应用程式没有作任何的数据分析，只根据感应器内容作出回应。若然是雾计算的话，感应器信息会发送到雾服务中，再作分析，然后通知终端设备作出回应。）

由此可见，云服务器距离数据产生的位置较远，因此会造成较大的延迟。而无人驾驶这些需要实时作出决策的活动，则很大机会需要使用边缘计算，使计算的服务靠近产生数据的源头，做到计算更接近实际行动。

随着科技的进步，数据传输速度的快速提升，不少日常物品，例如是家用电器，车辆等，都已经嵌入感测器，并透过网络接结与互联网交换资讯，形成了庞大的物件网络（即物联网）。

物件会在运行时会收集到大量的环境数据。有些人会问，为什么不把数据都在本地（local drive）处理，其他数据再传到云服务做储存。这可能是其中一个可以实行的方法，但如果所有数据都在本地处理，物件本身要设有很多的存储装置和处理服务器。这会大大增加电力消秏和物件重量，增加成本。

因此，最好的方法是结合云计算和边缘计算的优势做出最佳的配置。在一些决定物件重大安全性的事件（例如如上文无人驾驶例子的刹车）可将决定的主导权放到边缘上，其他没有急切性的事情，则放到云服务器低成本集中处理。透过云与边缘的良好分工，大大减少成本，亦能提高运算效率。

1、两方通信架构
App与智能设备直接进行双向通信，这种两方通信的架构需要App和智能设备之间实现自定义的通信协议，智能设备的数据直接上报到App，App对设备的控制指令也直接发送给智能设备。目前的通信协议APICloud支持基于蓝牙和Wi-Fi下的Socket两种方式。
2、三方通信架构
三方通信架构需要在智能设备和服务端之间实现自定义的通信协议，智能设备与服务器之间通过Socket建立稳定的连接通道，通过远程的连接实现数据上报和指令控制。
3、四方通信架构
“App+智能硬件+数据通信平台+业务服务端”这种四方通信的架构不需要实现智能设备和数据通信平台之间的协议，以及客户与智能设备之间的协议:提供loT解决方案SDK的平台已经帮助开发者将协议封装完成。

极光IoT专为物联网产品打造的设备链接，消息收发，数据管理云服务。
 
极光IoT产品定位于 IoT 设备接入管理平台，为开发者提供更好的saas服务，在做好设备接入、消息上下行、数据传递的基础上提供更多的方便开发者的增值服务。
 
极光IoT主要功能如下：
1、设备接入：覆盖区域就近接入，采用符合物联网设备的 MQTT 协议，提供上下行的自定义消息。
2、设备影子：服务端的设备映射，减少与设备本身的频繁交互带来的流量和电量的消耗。
3、设备管理：从产品的维度来组织设备，对设备的生命周期进行管理。
4、事件日志：为每一个设备独立管理事件日志记录，设备变化全掌控。 
5、统计服务：提供设备新增，在线，激活等不同维度的实时统计数据与图表展示。
 
极光IoT接入方式：
1 通过极光的官方网站注册开发者帐号；
2 登录进入管理控制台，创建应产品，得到 ProductKey（ProductKey 与服务器端通过 Appkey 互相识别）；
3 在产品设置中给为产品完善属性设置，上报事件设置。
4 为产品添加设备：定义设备名，并获得分配的设备密钥。
5 下载 SDK 进行集成或者通过SDK中的demo进行调试。

---