.由台積電「中毒」停擺帶來的工控安全啓示

台積電產線遭病毒入侵 估影響營收78億-民視新聞

瀚錸科技代理「ForceShield」,採用革命性的「動態應用安全架構」


來源: 至顶网作者:陈广成



台積電工廠病毒事件,帶來的教訓是慘痛的,據估算,其帶來的損失超過50億台幣(台積電官方預估此次病毒感染事件,將導致晶圓出貨延遲,以及成本增加,對公司第三季的營收影響約為百分之三,毛利率的影響,約為一個百分點)。

台積電遭病毒感染原因出爐:新機台安裝軟體時操作不慎| iThome

雖然台積電一再強調,此次病毒感染事件,並非受到駭客攻擊,也不存在內鬼,而是新機台安裝過程中,發生操作失誤,沒有對其先隔離、確認無病毒再聯網,最終導致病毒大規模擴散。連網後受影響的機台無法運作,以及部分自動搬運系統,無法正常運作。

但不可否認,人為操作失誤的背後,是台積電工控系統安全保護體系的脆弱性。官方確認此次遭遇病毒為「WannaCry」的變種,造成感染後的機台宕機,或是重複開機,但並未受到勒索。眾所周知,WannaCry為一年前大規模爆發的病毒勒索事件,可以想見,一台新機違規操作,導致三個工廠業務停擺,這意味著工廠內的大多機台,並沒有有效的防禦體系,也沒有對1年前產生的WannaCry進行補丁操作(目前沒有證據表明此次變種會繞過針對WannaCry的防禦方法和補丁)。

當然,在小編對360工業互聯網安全事業部副總經理李航的採訪中,他指出工控系統對設備升級並非易事。一是大多生產線上的設備環境複雜,操作系統五花八門,硬體設備也新老不齊,所以一次升級可能造成業務中斷;二是為保證過程控制系統的可靠性,設備系統升級也面臨風險。
但是與之相矛盾的是,系統不打補丁更新,就會存在被攻擊的漏洞,即使是普通常見病毒也會遭受感染,可能造成Windows平台乃至控制網路的癱瘓,此次台積電事件足以說明瞭這一點。

尤其在如今的環境下,工控系統面臨的風險逐漸增大。在工業互聯網、「工業4.0」等政策驅動下,資訊技術(IT)和操作技術(OT)一體化,已成為必然趨勢。

隨著IT/OT一體化的發展,工業控制系統越來越多的採用通用硬體和通用軟體,工控系統的開放性與日俱增,系統安全漏洞和缺陷容易被病毒所利用,然而工業控制系統又涉及電力、水利、冶金、石油化工、核能、交通運輸、制藥以及大型製造行業,一旦遭受攻擊會帶來巨大的損失。

李航對至小編表示,對如今的工業控制系統來說,很多「帶病運行」甚至是常態。
IT/OT融合帶來的安全挑戰
在今年年初工業控制系統安全國家地方聯合工程實驗室,與360威脅情報中心聯合發佈的,IT/OT一體化的工業資訊安全態勢報告中,就指出當工業互聯網的IT/OT進行融合時,帶來的安全挑戰。

除了來自外部的安全挑戰外,來自工業系統自身安全建設的不足,尤為嚴重。如果作為一名工控系統安全負責人,您是否又認識到這些問題:

1)工業設備資產的可視性嚴重不足
工業設備可視性不足,嚴重阻礙了安全策略的實施。要在工業互聯網安全的戰鬥中取勝,「知己」是重要前提。

許多工業協議、設備、系統在設計之初,並沒有考慮到在複雜網路環境中的安全性,而且這些系統的生命週期長、升級維護少也是巨大的安全隱憂。

2)很多工控設備缺乏安全設計
主要來自各類機床數控系統、PLC運動控制器等所使用的控制協議、控制平台、控制軟體等方面,其在設計之初,可能未考慮完整性、身份校驗等安全需求,存在輸入驗證,許可、授權與訪問控制不嚴格,不當身份驗證,配置維護不足,憑證管理不嚴,加密算法過時等安全挑戰。

例如:數控系統所採用的操作系統,可能是基於某一版本Linux進行裁剪的,所使用的內核、文件系統、對外提供服務、一旦穩定均不再修改,可能持續使用多年,有的甚至超過十年,而這些內核、文件系統、服務多年所爆出的漏洞,並未得到更新,安全隱憂長期保留。

3)設備聯網機制缺乏安全保障
工業控制系統中越來也讀的設備,與網路相連。如各類數控系統、PLC、應用伺服器,透過有線網路或無線網路連接,形成工業網路;工業網路與辦公網路連接形成企業內部網路;企業內部網路與外面的雲平台連接、第三方供應鏈連接、客戶的網路連接。

由此產生的主要安全挑戰包括:網路數據傳遞過程的常見網路威脅(如:拒絕服務、中間人攻擊等),網路傳輸鏈路上的硬體和軟體安全(如:軟體漏洞、配置不合理等),無線網路技術使用帶來的網路防護邊界模糊等。

4)IT和OT系統安全管理相互獨立互操作困難
隨著智能製造的網路化和數位化發展,工業與IT的高度融合,企業內部人員,如:工程師、管理人員、現場操作員、企業高層管理人員等,其「有意識」或「無意識」的行為,可能破壞工業系統、傳播惡意軟體、忽略工作異常等,因為網路的廣泛使用,這些挑戰的影響將會急劇放大;

而針對人的社會工程學、釣魚攻擊、郵件掃描攻擊等大量攻擊,都利用了員工無意洩露的敏感資訊。因此,在智慧製造+互聯網中,人員管理也面臨巨大的安全挑戰。

5)生產數據面臨丟失、洩露、篡改等安全威脅
智慧製造工廠內部生產管理數據、生產操作數據,以及工廠外部數據等,各類數據的安全問題,不管數據是透過大數據平台儲存、還是分布在用戶、生產終端、設計伺服器等多種設備上,海量數據都將面臨數據丟失、洩露、篡改等安全威脅。

該怎樣提升工控系統安全防護等級?
認識到問題,當然要解決問題,李航給出了六步提升安全防護等級建議:

1、資產發現及梳理:工控網路中的IT資產和OT資產,進行發現、辨識和梳理,定位資產類型、數量、位置等資訊,摸清互聯關係、網路拓撲和數據流向。

2、透過流量分析確定感染面:根據工控網路拓撲,在關鍵或核心交換節點上,部署採用最新威脅情報驅動的非侵入式被動流量監測手段,掌握工業網路運行現狀、進行即時流量檢測,發現威脅進行即時警告,並生成攻擊事件。

對於DNS管理相對集中的企業,還可以對DNS的流量,進行更精準的監測分析。透過對流量以及DNS流量的分析,確認威脅事件的感染面。

3、隔離感染面,防止威脅擴散:對於透過技術手段,確認威脅的感染面,盡快採取應急的隔離手段。根據工業網路的業務特點,對網路進行分區分域,在區域之間部署具有工業協議解析能力,和入侵監測能力的網關設備,針對特殊的工控通信協議進行解析,辨識並防禦其中的安全事件,佈置相關防禦策略,保障網路安全。

對工業網路上的工業主機升級可用補丁,部署基於白名單的工業主機防護軟體,保障端點安全。針對工業網路中應用的虛擬化主機進行統一管理,部署針對虛擬化技術特殊風險的虛擬主機防護軟體。

4、採取應急措施盡快恢復業務:在確定了威脅的感染面或威脅終端後,要採取應急措施盡快保證業務的恢復。可以在工控機上部署安全產品,進行威脅的處置,對於無法部署安全產品的終端,可以透過恢復備份的方式,盡快恢復業務。

5、透過網路監測設備,進行存量病毒和漏洞處置:一般情況下可以透過流量分析和漏洞掃描,對工控網路中的存量病毒和漏洞進行發現,進而透過安裝工控主機安全防護系統等手段,進行病毒和漏洞問題的處理。

對於一些運行著重要業務的工控機,應盡量避免漏洞掃描,可能引發的業務中斷的風險,可以透過威脅評估系統,對工控主機進行全面的安全評估。

6、建立或完善安全組織機構,實現安全營運:在一把手授權下,建立主管工業網路安全的組織機構、權責範圍、配合安全服務建立事前檢測,事中響應,事後分析的安全營中體系。透過對單次威脅事件的溯源分析,設計整改方案和檢查標準,進一步推進整改方案和檢查標準的落地並不斷完善、持續監測,形成安全營運的閉環。

小結
整體來說,採用工業互聯網或智慧製造策略,帶來的效益是巨大的,英飛凌曾介紹稱,得益於工業4.0的部署,其目前已收穫生產週期縮短50%、生產效率提升10%、能源成本每年降低100萬歐元。

尤其在政策的推動下,IT/OT融合正在加速,但隨之帶來的安全風險也是巨大的。做應用的認為自己在飛奔,做安全的其實看他們在裸奔。

同理,在享受工業互聯網「紅利」的同時,您又是否為安全做好準備了呢?

.2018全球十大伺服器企業 QI 財報背後:AI、大數據拉動行業復甦

IoT: Challenges and Opportunities




來源: OFweek电子工程网



提起個人電腦,聯想、蘋果等名聲在外,如今已經是家喻戶曉的品牌,可若說到全球十大伺服器十企業,您未必能全部列出來。伺服器作為一種提供計算的設備,隨著人工智慧、大數據的快速發展,2018年第一季,整個市場呈現一種高速發展的態勢。


2018全球十大服务器企业QI财报背后:AI、大数据拉动行业复苏
巨頭壟斷的伺服器市場



2018全球十大服务器企业QI财报背后:AI、大数据拉动行业复苏



以企業公佈的2018年第一季財報和出貨量分析,戴爾、慧與、浪潮最為伺服器三巨頭的地位穩固,市場佔有率超五成。

前十品牌搶佔了全球伺服器八成以上的市場,這也充分反映了伺服器行業的市場形勢,寡頭壟斷的局面或將繼續。


中國企業對伺服器市場情有獨鍾


2018全球十大服务器企业QI财报背后:AI、大数据拉动行业复苏



在全球伺服器前十大企業中,中國大陸有五家,它們分別是浪潮、中科曙光、聯想、華為、寶德,美國的慧與公司與中國淵源頗深,它與清華紫光的關係非同一般。


2018全球十大服务器企业QI财报背后:AI、大数据拉动行业复苏



中國大陸的伺服器企業高速發展,一方面得益於電子商務、雲計算、行動社交、影像直播等業務的繁榮,它們給伺服器企業帶來了巨大機會;另一方面在於中國政府的重視,佈局較早,浪潮、聯想、中科曙光均擁有國企背景。

如中科曙光就是在國家「863」計劃下,誕生的一家高新技術企業,浪潮從1990年研製出全球第一台中文尋呼機到現在,專注於伺服器市場近30年,多年的累積造就了它穩定的市場,自1996年開始,浪潮伺服器連續13年,蟬聯中國國產伺服器第一品牌。


營收成長、利潤反降,這科學嗎?

2018全球十大服务器企业QI财报背后:AI、大数据拉动行业复苏



伺服器的主要作用是提供運算功能,隨著雲計算、大數據市場井噴,中高端的伺服器市場將快速成長。

整體來說,主要伺服器企業的營收增速表現不錯,利潤卻出現下滑。造成這一現象的主要原因是,企業對高端伺服器的投入,增加了營業成本。

例如浪潮營收增速最快,利潤卻未成長,這是由於浪潮加大了雲服務的投資,市場營收仍需要一段時間。目前市場上雲服務器、AI 伺服器、大規模伺服器等市場,仍被傳統巨頭IBM壟斷。


2018全球十大服务器企业QI财报背后:AI、大数据拉动行业复苏



預測:2018下半年服務器市場繼續成長,中國伺服器需求大漲
據相關數據統計,2017年度全球伺服器市場表現良好,伺服器出貨量成長3.1%,收入同比成長10.4%,在出貨量方面,亞太地區成長最快。

根據2018年第一季伺服器企業表現來看,全球伺服器市場仍在保持成長形勢。

從對岸中國伺服器市場來看,互聯網行業的計算需求,仍是伺服器保持成長的主要驅動力。

而未來繼續拉動市場成長的,將是AI、雲計算等,隨著新零售、行動支付等市場的爆發,中國伺服器企業,也將迎來快速成長的良機。預計下半年中國伺服器市場繼續緊俏,以浪潮、中科曙光、聯想等,中國國產品牌將繼續搶佔其內銷市場。




.物聯網應用場景淺談

IOT - Application Scenarios

來源:物联网电子世界


物聯網從頭幾年被提出來,現在慢慢的從藍圖正在變為現實。在很多場合已經有物聯網的影子,只是沒有被概念化。

物聯網應用之一:智慧家庭
智慧家庭是最早被炒熱的物聯網應用,最流行的物聯網應用,也是在智慧家庭領域。

最先推出的產品就是智慧插座了,從之前的普通插座,變得可以遠端遙控,定時等功能讓人耳目一新。隨後便出現了各種智慧家電,把能聯網的家電都連上網,空調、洗衣機、冰箱、電鍋、微波爐、電視、照明燈、監控、智慧門鎖等,智慧家庭的連接方式,主要還是以WiFi為主,部分藍牙,少量的NB-IOT、有線連接。

這類產品的廠家不少,產品功能大同小異,大部分是私有協議,每個廠家的產品都要配套使用,不能與其它家混用。這塊我認為發展空間還是很多,協議這塊還是需要有個標準化的東西,否則不利於後面的互聯互通。

物联网应用场景浅谈
  智慧家居
  
物聯網應用之二:智慧穿戴
智慧穿戴設備已經有不少人擁有了,最普遍的就是智慧手環手錶,還有智慧眼鏡、智慧衣服、智慧鞋等等。連接方式基本都是藍牙連接手機,數據透過智慧穿戴,設備上的傳感器送給手機,再由手機送到伺服器。

這塊除了智慧手環手錶賣得好之外,其他還沒有太大起色。穿戴設備要監控人的健康狀況,需要精密的傳感器,這塊可以和智慧醫療放在一起做。

物联网应用场景浅谈
  智能穿戴

物聯網應用之三:車聯網
車聯網已經發展了很多年,之前由於技術的限制,一直處於原始的發展階段。車聯網的應用主要有幾個方面:智慧交通、無人駕駛、智慧停車,各種車載傳感器應用。

智慧交通已經發展多年,是一個非常龐大的系統,集合了物聯網,人工智慧,傳感器技術,自動控制技術等一體的高科技系統。為城市處理各種交通事故,疏散擁堵起到了重要作用。

無人駕駛是剛剛興起的一門新技術,也是非常複雜的系統,主要的技術是物聯網和人工智慧。和智慧交通有部分領域是融合的。

智慧停車和車載傳感器應用,諸如智慧車輛檢測,智能報警,智慧導航,智慧鎖車等。這方面技術含量相對較低,但也非常重要,這些應用有很多是為無人駕駛,和智慧交通提供服務。


物联网应用场景浅谈
  車聯網

物聯網應用之四:智慧工業
工廠只要有網就自然是物聯網,這個物聯網可能早就存在了。比如閥門的遠端控制,管道溫度的遠端監控等,每個工廠都有自己的控制系統。但這不是智慧工業,不是我們現在所說的物聯網應用。這包括智慧物流、智慧監控,智慧生產。

物聯網應用之五:智慧醫療
這塊真的是希望,能給每個人都帶來福音的。每個人都會生病,每個人都離不開醫療系統。大部分人對看病難深有體會。智慧醫療能給我們帶來什麼好處首先是遠端診斷和機器看病,不管它現在局限性如何,但這個一定是一個非常好的方向,有了遠端診斷就不用大老遠去看醫生。

機器在一定範圍內,可以分擔相當一部分人的工作量。第二,醫療資訊的聯網,可以給病情診斷帶來更準確、更客觀的結論,現在的病人病歷,都在一個醫院裡面保存,對於去其他醫院就難得的這些資訊。

物聯網應用之六:智慧城市
其實智慧城市不應該單獨的算一門物聯網應用,它是其他多處應用的綜合體,比如智慧家庭、智慧交通、智慧飯店、智慧零售、智慧電力、智慧垃圾箱、智慧醫療等。

.Amazon Go是什麼?是一家集成人工智能、機器學習、電腦視覺等現代高科技於一體的商店

不用結帳?! │一起逛西雅圖Amazon Go無人商店 單單旅行 VLOG




來源:大飞谈连锁



  

西雅圖市中心亞馬遜總部,新的玻璃球體The Spheres辦公樓旁邊,開了全球第一家也是目前唯一的一家Amazon Go。

筆者近日參訪亞馬遜The Spheres和體驗Amazon Go,準確的說,Amazon Go是一家無需結賬的商店,是一家整合人工智慧、機器學習、電腦視覺等,現代高科技於一體的商店,現代科技在零售業的應用未來在於回歸本質、提升效率、創新模式。

Amazon Go是一個無需結賬的商店  Amazon Go過去只是亞馬遜員工內部的體驗店,週一到週五早上7點到晚上9點營業,今年1月才向公眾開放。

進入Amazon Go,面積約170平方米的商店,擠滿形形色色的人,有外來體驗的好奇顧客,有掛著工作證件的亞馬遜員工,也有拿著照相機到處拍照來見識的參觀者。

面積不大的賣場,經營品種以當地人日常生活必需品為主,絕大部分是即食食品,包括麵包、牛奶、沙拉、三明治、肉類、奶酪以及啤酒、葡萄酒等飲料,還有早、午餐、以及30分鐘就能做出的兩人份晚餐,而薯片、巧克力、餅乾和堅果等小吃,主要是亞馬遜收購Whole Foods後的365 Everyday Value品牌。
  
參觀體驗後,對外界和行內指Amazon Go為「無人便利店」的說法,有了不同看法,準確的說Amazon Go是一個無需結賬的商店,而不是無人商店。

在現場見到Amazon Go裡面不少員工在貨架補貨、整理商品、清潔衛生、製作即食食品等工作,商店入口有服務員指導和幫助不熟購物流程的顧客進入商店。

我們在透過一排類似地鐵站閘口進入商店時,服務員指示有Amazon會員賬戶的朋友,在入口處使用手機上的二維碼Amazon Go應用程式,逐個掃描我們才得以依次進入。
  
Amazon Go運用電腦視覺、人工智慧、攝影機、傳感器等設備,整合融合的Just Walk Out(出去吧)應用技術,自動追蹤顧客在商店內的購買行為。

顧客在店內隨心所欲,從貨架選取商品時,貨架後面的攝影機一方面進行人臉辨識,採集顧客伸手進出貨架的圖像,另一方面也監測貨架上,商品取出或放回情況,透過對比得出結果。

然後系統會對選取的商品,記錄在虛擬購物車內,並且根據存取變動情況即時自動更新,最後顧客拿著選取的商品,無需排隊結賬直接離開,而系統會發送明細的購物收據,並在賬戶扣取貨款相當方便。
  
透過電腦視覺和機器學習軟體,Amazon Go創造了一個商業模式。但是高科技的投入也是高成本的投入,除了貨架後面布滿很多攝影機以及傳感器外,天花板上也安裝了眾多板式攝影機,持續監控顧客行為。

自2016年亞馬遜宣佈Amazon Go項目準備問世以來,其技術研發和設備投入多少,我們無從瞭解,這個技術據說直到現在,亞馬遜的工程師還在不斷完善中。比如那些帶著小孩的家庭,怎樣辨識孩子,在商店裡閒逛時是否吃東西。所以至今Amazon Go還是僅此一家別無分店,也才剛剛開始對外開放。
  
資本助推無人概念店
Amazon Go概念傳入對岸國內後,給商業零售業很大觸動,智慧商店、無人便利店雨後春筍般湧現、鋪天蓋地發展,出現了繽果盒子、F5未來商店…….,一些知名零售企業也不甘落後,開設「無人商店」掛上創新商業模式的「新零售」標籤。我也曾為其搖旗吶喊,驚嘆對岸國內「智慧零售」走在世界前列。(??)
  
仔細觀察和體驗了Amazon Go後,才知道只學了「皮毛」。
  
對岸國內的智慧零售、無人商店在技術含量、設備硬體、商品結構、食品品質、顧客購物便利性等方面差距還很大。比如無人便利店20、30平方米的狹窄空間,商品不多、顧客選取後還要掃碼辨識,有的還要掃碼通過兩道門進出很不方便。

用RFID給商品重新貼標籤,既麻煩也推高商品成本。透過人臉辨識、購物過程收集的數據,更多的是在功利的生意上。
  
而憑藉這些技術和概念資本市場,一些投資公司、擅長投資的基金、雙創公司高手,借此把智慧零售、無人商店的炒作起來,「創新」了一些新商業業態模式,違背商業零售行業經營和投入產出規律,把「智慧零售」做成金融產品的投資模式,從資本市場而不是商品市場,謀取快速和高額回報。
  
新技術應用的未來:回歸本質,提升效率,創新模式
對岸國內商業零售業,應用先進科技提升營運效率、實現精準行銷、提高服務品質和水準很重要。但是當前對岸國內商業零售業突出問題是商品,食品是品質問題、工業消費品是品牌問題。
  
期待社會、行業和商業企業把更多的財力、物力、人力和關注、研究重點轉向這方面,找準商業模式創新,擴大內需、消費升級的「智慧零售」方向。