Seguridad de fabricación inteligente | Prácticas de protección de seguridad de la fábrica inteligente “Black Light” de Xiaomi

Texto de Xiaomi Group Chen Changlin Li Zelin

Construir una industria manufacturera internacionalmente competitiva es la única manera de que mi país mejore su fortaleza nacional integral, garantice la seguridad nacional y construya un mundo. fuerza. Promover la construcción de fábricas inteligentes con la fabricación inteligente como núcleo es una dirección clave para lograr este objetivo y es un vínculo clave para que mi país entre por la puerta de convertirse en una potencia mundial. La seguridad de la información es la base para garantizar el buen funcionamiento de los sistemas de fábricas inteligentes.

Como empresa fabricante de tecnología de Internet, Xiaomi siempre ha estado a la vanguardia de la innovación. En el discurso del décimo aniversario de Xiaomi, el fundador Lei Jun resumió y revisó los últimos diez años de Xiaomi y también propuso tres estrategias de desarrollo para los próximos diez años: reemprendimiento, Internet + fabricación y desarrollo constante y a largo plazo. En la ruta "Internet + Fabricación", después de tres años de arduo trabajo, Xiaomi ha construido una fábrica inteligente totalmente automatizada de un millón de unidades (la fábrica de "luz negra"), dedicada a la producción automatizada de teléfonos móviles de gama ultraalta. Para esta línea de producción altamente automatizada, la seguridad de la información es una base importante y un vínculo clave para garantizar el funcionamiento seguro, eficiente y estable de toda la fábrica. Xiaomi considera la construcción de un sistema de seguridad de la información como la piedra angular del funcionamiento estable de las fábricas inteligentes y también ha realizado grandes esfuerzos en la construcción y práctica de un sistema de gestión de seguridad de la información.

El sistema de gestión de seguridad de la información de Xiaomi Smart Factory incluye tres líneas de defensa:

La primera línea de defensa: el sistema de tecnología de seguridad, que incluye la capa de equipo, la capa de red y la capa del sistema. y capa de aplicación.

La segunda línea de defensa: el sistema de gestión de seguridad, incluidos los sistemas de seguridad y la capacitación en concientización sobre seguridad para todos los empleados.

La tercera línea de defensa, la auditoría de seguridad, realiza pruebas de penetración del sistema desde la perspectiva del equipo azul del atacante.

La primera línea de defensa: sistema de tecnología de seguridad

El sistema de protección de seguridad de fábrica inteligente de Xiaomi se compone principalmente de cuatro capas: capa de aplicación, capa de sistema, capa de red y capa de equipo. Garantizar la seguridad de las fábricas inteligentes de Xiaomi en la mayor medida posible.

1. Protección de la capa de equipos

En las fábricas inteligentes, no solo hay equipos industriales inteligentes como robots, cámaras industriales, AGV, etc., sino también cámaras de vigilancia y sistemas de control de acceso. y taquillas inteligentes y otros dispositivos IoT convencionales. Al comienzo de la producción de estos dispositivos, se da más consideración a la realización de las funciones del dispositivo y a la estabilidad del rendimiento del mismo, pero a menudo faltan consideraciones de diseño para la seguridad.

En los últimos años se han producido un sinfín de casos de ataques a dispositivos inteligentes en la industria. Según estadísticas incompletas de los principales proveedores de seguridad, entre los ataques DDoS recibidos, los ataques iniciados por piratas informáticos que manipulaban botnets representaron más de la mitad del número total. La gran cantidad de dispositivos IoT en Internet que carecen de un diseño de seguridad se han convertido en las "áreas más afectadas" por estos ataques. En 2017, un ataque DDoS a gran escala lanzado por una botnet compuesta por bots Mirai provocó una parálisis generalizada de la red en Estados Unidos, China, Brasil y otros países. Los principales equipos infectados incluyen una gran cantidad de dispositivos IoT, como cámaras de vigilancia, grabadoras de vídeo digitales y enrutadores.

Xiaomi tiene el IoT de consumo más grande del mundo y concede gran importancia a la seguridad del IoT. Por esta razón, estableció oficialmente el Laboratorio de Seguridad AIoT en 2018. Todos los miembros del laboratorio están en IoT. Seguridad y redes. Tiene una rica experiencia y práctica en seguridad y otros aspectos. Aprovechando esta ventaja, Xiaomi realizó una auditoría de seguridad integral de los dispositivos inteligentes en fábricas inteligentes, descubrió posibles riesgos de seguridad en los propios dispositivos y se puso en contacto con los fabricantes correspondientes para su análisis, reparación y rectificación lo antes posible. Esta medida eliminará los riesgos de seguridad del dispositivo tanto como sea posible desde la fuente, reducirá la superficie de ataque que puede ser atacada y mejorará la seguridad a nivel del dispositivo.

2. Protección de la capa de red

Las fábricas inteligentes se componen principalmente de tres redes principales: red de producción, red de sistemas integrados y red de oficinas.

Los equipos en la red de producción incluyen principalmente máquinas CNC, robots, sensores, etc.; los equipos en la red del sistema integrado incluyen principalmente MES, SAP, MOM, etc.; Utilizado principalmente por empleados de fábrica. Cada una de estas tres redes principales tiene atributos característicos diferentes.

La red de producción es el entorno de red donde se encuentran las líneas de producción reales. La red debe tener una estabilidad y confiabilidad extremadamente altas. Generalmente se divide en múltiples líneas de producción, y diferentes líneas de producción tienen diferentes necesidades de producción. . Debido a los requisitos de confiabilidad extremadamente altos de la red de producción, algunos cambios de seguridad (como parches del sistema operativo, cambios de políticas de seguridad, cambios de protección, etc.) requieren un cierto período de tiempo y no se pueden llevar a cabo inmediatamente después de recibir las actualizaciones. Por lo tanto, la protección de la capa de red de la red de producción adquiere especial importancia. La protección eficaz de la capa de red puede bloquear ataques de virus y piratas informáticos externos y establecer una barrera de seguridad completa para la red de producción. Xiaomi adopta una estrategia de seguridad de aislamiento unidireccional en la protección de su red de producción y también impone restricciones estrictas a la política de acceso unidireccional de la red de producción, bloqueando posibles rutas de ataque a nivel de red. Al mismo tiempo, los puertos de alto riesgo (como TCP135/139/445/1433/3306/5985/5986, etc.) también se desactivan dentro de la red de producción para evitar que los virus utilicen estos puertos de alto riesgo para propagarse en el red de producción.

Existe una gran cantidad de sistemas de aplicaciones de control industrial en la red de sistemas integrados. Estos sistemas son similares a los sistemas de aplicaciones tradicionales y generalmente abren servicios como Web, escritorio remoto y SSH. Xiaomi ha creado un sistema completo de protección de confianza cero e implementado control de acceso en todos los servicios en la red del sistema integrado, permitiendo que solo los usuarios autorizados accedan y manteniendo alejados a los atacantes ilegales. Para todos los servidores en el sistema integrado, Xiaomi implementa su HIDS (sistema de detección de intrusiones basado en host) de desarrollo propio para monitorear el estado de seguridad de los servidores en tiempo real y bloquear e interceptar ataques externos. En cuanto al sistema en sí, el equipo de seguridad de Xiaomi llevará a cabo un control de seguridad sobre todo el proceso del producto, realizará evaluaciones de seguridad durante las etapas de I+D, pruebas y lanzamiento para detectar problemas tempranamente y mejorar la seguridad general del sistema.

La red de oficinas es principalmente la red utilizada por los empleados de la fábrica para el trabajo diario. Debido al complejo entorno de la red de oficinas, para evitar efectos adversos en la red de producción central, la red de oficinas está completamente aislada de la red de producción central. Para garantizar la seguridad de la red de la oficina, Xiaomi instala obligatoriamente software antivirus y software de detección de cumplimiento de seguridad en la PC de la oficina de cada empleado para garantizar la seguridad y el cumplimiento de la PC. Para descubrir rápidamente riesgos de seguridad y riesgos potenciales de seguridad en la red de la oficina, Xiaomi ha implementado un sistema de detección de amenazas en el lado de salida de la red para detectar PC con peligros y amenazas ocultos en tiempo real, y adoptar las estrategias de seguridad correspondientes para el procesamiento y la protección de emergencia. .

3. Protección de la capa del sistema

Hay una gran cantidad de computadoras de control industrial en la red de producción. Estas computadoras industriales provienen de múltiples proveedores. Hay sistemas operativos inconsistentes y protección de seguridad desigual. Problema de niveles. En la industria del control industrial, a menudo sucede que una máquina se envenena y toda la fábrica sufre, lo que provoca graves impactos en toda la producción.

Para resolver los riesgos de seguridad causados ​​por estos problemas, Xiaomi ha producido una imagen de sistema operativo estándar para la red de producción y ha agregado políticas de seguridad IP, parches del sistema, software antivirus y otros módulos de seguridad a la imagen del sistema operativo. Alinear las líneas base de seguridad del sistema. Los terminales informáticos de control industrial se agregan uniformemente al dominio específico de la fábrica para facilitar la gestión de seguridad centralizada y la auditoría de operaciones por parte de los gerentes.

4. Protección de la capa de aplicación

En las redes industriales, la transferencia de archivos es un escenario de aplicación común. Sin embargo, los métodos inadecuados de transferencia de archivos pueden provocar fácilmente la propagación y propagación de virus, afectando la producción normal.

Los requisitos de transmisión de archivos se dividen principalmente en transmisión dentro de la línea de producción, transmisión entre líneas de producción e intercambio externo. Para satisfacer esta necesidad empresarial normal, creamos un servicio de transferencia de archivos exclusivo.

El diseño del servicio de transferencia de archivos se divide principalmente en varias partes: implementar e implementar servicios de monitoreo de virus en el servidor de archivos para garantizar la seguridad de todos los archivos en el servidor de archivos. Habilite la política de auditoría en el servidor de archivos para registrar y auditar el comportamiento de intercambio de archivos. Abra la interfaz para compartir archivos SMB a la red de producción y conéctela con la cuenta de dominio dedicada de la línea de producción para las necesidades de transferencia de archivos dentro y entre líneas de producción. Abra la interfaz web para compartir archivos en la red de la oficina y conéctela al sistema de protección de confianza cero para la transferencia de archivos entre la línea de producción y la red de la oficina. A través de la gestión y el control unificados de la transmisión de archivos, no solo resuelve las necesidades de uso empresarial, sino que también mejora la seguridad de los archivos.

La segunda línea de defensa: sistema de gestión de la seguridad

La concienciación sobre la seguridad del personal es una parte importante de la protección de la seguridad y, a menudo, es un eslabón débil en el sistema de protección de la seguridad. En los últimos años, los ataques a la seguridad contra los empleados corporativos han surgido en una corriente interminable, que va desde los tradicionales correos electrónicos de phishing y la penetración del personal hasta el nuevo BadUSB, phishing Wi-Fi, etc., todos los cuales representan una enorme amenaza para la seguridad de las fábricas inteligentes.

En términos de concienciación sobre la seguridad de la información de los empleados, Xiaomi realiza periódicamente simulacros de correo electrónico de phishing para mejorar la capacidad de los empleados para identificar correos electrónicos de phishing. Se llevan a cabo periódicamente capacitaciones sobre concientización sobre la seguridad para introducir ataques de seguridad y métodos de penetración comunes en la industria, mejorando así la concientización sobre la seguridad de los empleados y reduciendo la probabilidad de ataques similares.

La tercera línea de defensa: auditoría de seguridad

La protección del nivel técnico y la concienciación del personal por sí solas todavía no es suficiente. Xiaomi Blue Army simula ataques de piratas informáticos reales para llevar a cabo toda la protección de seguridad. Inspeccionar, identificar debilidades y luego repararlas y rectificarlas.

La práctica es el único criterio para comprobar la verdad, y esto también se aplica en el ámbito de la protección de la seguridad. Un excelente sistema de protección de la seguridad debe ser capaz de resistir los ataques. Xiaomi Blue Army es un equipo de ataque de redes empresariales con amplia experiencia. Al simular los métodos de ataque de piratas informáticos reales, realiza simulaciones de ataques en todo el sistema de protección de seguridad para juzgar su desempeño de seguridad en respuesta a los ataques.

Las pruebas de penetración de Xiaomi Blue Army no solo requieren una evaluación de seguridad en los cuatro niveles principales mencionados en el plan de seguridad, sino que también combinan las últimas tecnologías de ataque a la seguridad para realizar puntos de riesgo que no están cubiertos por el plan de seguridad. y promover la seguridad general de la construcción.

Además de las pruebas de penetración periódicas, Xiaomi Blue Army también cuenta con una plataforma de escaneo y monitoreo de vulnerabilidades en tiempo real que realiza escaneos de seguridad de la red de la fábrica las 24 horas del día, los 7 días de la semana para descubrir problemas de seguridad de manera oportuna y evitar la seguridad. riesgos.

Perspectivas

Al inspeccionar las empresas manufactureras, el Primer Ministro Li Keqiang señaló que “el núcleo de Made in China 2025 es lograr una mejora inteligente de la industria manufacturera”. En el futuro, Xiaomi seguirá de cerca la dirección de desarrollo del "Made in China 2025" del país y vinculará el desarrollo de la compañía con el futuro de la industria manufacturera de China. Actualmente, hemos entrado en la era de "5G+AIoT" y la realización de capacidades de productos de consumo ha planteado requisitos más estrictos para las capacidades de innovación tecnológica de las empresas y su capacidad para garantizar la seguridad de la información. Por lo tanto, sin una "base sólida" de seguridad, es imposible construir la "superestructura" de la industria manufacturera de China, que siempre ha buscado la alta precisión.

En el discurso del décimo aniversario de Xiaomi, el fundador Lei Jun también planteó mayores requisitos y objetivos para la dirección "Internet + Fabricación". En la segunda fase de la fábrica inteligente, se espera construir una línea de producción de teléfonos inteligentes de gama ultraalta con decenas de millones de unidades. La fábrica logrará una automatización extremadamente alta y también tendrá estándares de seguridad más estrictos para garantizar un funcionamiento eficiente. de la línea de producción. En el futuro, Xiaomi continuará profundizando en la fabricación inteligente, se esforzará por promover la fabricación de China en un camino más seguro, más avanzado y estable, y hará las debidas contribuciones a la realización del gran plan decenal "Hecho en China 2025".

(Este artículo se publicó en el número 1 de 2021 de la revista "China Information Security")