說起小米,很多網(wǎng)友的印象都是沒技術(shù),全靠參數(shù)拼湊和代工。我想說的是,時(shí)代早已經(jīng)變了,小米手機(jī)如今已經(jīng)站穩(wěn)了5000元檔位的手機(jī)市場,這個(gè)價(jià)位段的手機(jī),對于做工、用料、細(xì)節(jié)和裝配等方面都有著極高的要求,因此普通代工廠已經(jīng)很難滿足小米對于品質(zhì)的要求了。
事實(shí)上小米早早就開始布局智能制造,打造高端智能制造產(chǎn)業(yè)鏈。據(jù)悉小米的高端制造工廠:“小米智能工廠”從去年就開始了運(yùn)作,這家工廠僅投資額就高達(dá)6億元人民幣,由于生產(chǎn)過程中不需要一個(gè)人參與,因此可以做到完全的黑燈生產(chǎn),所以這家工廠又稱為“黑燈工廠”。
不過做到全自動化智能化生產(chǎn)并不簡單,背后需要強(qiáng)大的技術(shù)支撐,小米也為此自研了很多核心的技術(shù),包括自研板測系統(tǒng)、中央調(diào)度控制平臺、自動標(biāo)定視覺算法等,正是由于這些技術(shù)的加入,使得小米智能工廠的自動化生產(chǎn)成為了可能。
而小米智能工廠的效果也開始顯現(xiàn),據(jù)悉去年的高端旗艦機(jī)小米10至尊紀(jì)念版就是全程由小米智能工廠生產(chǎn)的,而今年的完全旗艦小米MIX FOLD也是由小米智能工廠生產(chǎn)的。小米智能工廠的投產(chǎn),也打破了“小米手機(jī)都是代工”的謠言!
另外值得一提的是,小米為了解決芯片卡脖子的問題,早在幾年前就默默地開始了芯片研發(fā)。前段時(shí)間,小米發(fā)布了自研的澎湃C1芯片,這顆芯片雖小,但是作用卻十分關(guān)鍵,它是一顆ISP芯片,ISP簡單來說就是影像系統(tǒng)的“大腦”,***集的光學(xué)信息全部由ISP進(jìn)行處理然后輸出,可以說ISP是成像質(zhì)量的重要一環(huán)。而小米也成為了,國內(nèi)唯二能夠自研ISP的手機(jī)廠商。
科技 創(chuàng)新永遠(yuǎn)是第一生產(chǎn)力,支撐小米走向高端的,是小米在 科技 創(chuàng)新發(fā)面的不斷發(fā)力,你們是如何看待小米智能制造的?
文 小米集團(tuán) 陳長林 李澤霖
打造具有國際競爭力的制造業(yè),是我國提升綜合國力、保障國家安全、建設(shè)世界強(qiáng)國的必由之路。推進(jìn)以智能制造為核心的智能工廠建設(shè)是實(shí)現(xiàn)這一目標(biāo)的重點(diǎn)方向,是我國邁進(jìn)世界強(qiáng)國大門的關(guān)鍵一環(huán)。而信息安全是保障智能工廠系統(tǒng)能夠順利運(yùn)轉(zhuǎn)的根基。
小米作為一家互聯(lián)網(wǎng) 科技 制造公司,一直走在創(chuàng)新的前列。在小米十周年的演講中,創(chuàng)始人雷軍對小米的過去十年進(jìn)行了總結(jié)和復(fù)盤,也對未來十年提出了三個(gè)發(fā)展策略:重新創(chuàng)業(yè)、互聯(lián)網(wǎng) + 制造、行穩(wěn)致遠(yuǎn)。在“互聯(lián)網(wǎng) + 制造”這條路線上,小米經(jīng)過過去三年的努力,已經(jīng)建成了百萬臺級的全自動化智能工廠(即“黑燈”工廠),致力于超高端手機(jī)的自動化生產(chǎn)。對于這條自動化水平極高的生產(chǎn)線,信息安全是其重要根基,是保證整個(gè)工廠安全、高效、穩(wěn)定運(yùn)轉(zhuǎn)的關(guān)鍵一環(huán)。小米把信息安全體系建設(shè)作為智能工廠穩(wěn)健運(yùn)營的基石,在信息安全管理體系建設(shè)與實(shí)踐上也下足了功夫。
小米智能工廠的信息安全管理體系包括三道防線:
第一道防線——安全技術(shù)體系,包括設(shè)備層、網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層。
第二道防線——安全管理體系,包括安全制度與全員安全意識培訓(xùn)。
第三道防線——安全審計(jì),以攻擊方藍(lán)軍視角對系統(tǒng)進(jìn)行滲透測試。
第一道防線——安全技術(shù)體系
小米智能工廠安全防護(hù)體系主要通過應(yīng)用層、系統(tǒng)層、網(wǎng)絡(luò)層、設(shè)備層 4 個(gè)層面組成,通過縱深防御體系,最大程度保障小米智能工廠的安全。
一、設(shè)備層防護(hù)
智能工廠中,不僅有機(jī)器人、工業(yè)攝像頭、***V 等工業(yè)智能設(shè)備,同時(shí)還會配備監(jiān)控?cái)z像頭、門禁系統(tǒng)、智能儲物柜等常規(guī)的 IoT 設(shè)備。這些設(shè)備在生產(chǎn)之初更多考慮的是設(shè)備功能的實(shí)現(xiàn)以及設(shè)備性能的穩(wěn)定性,而在安全性的設(shè)計(jì)考量上往往較為匱乏。
近幾年來,行業(yè)內(nèi)智能設(shè)備被攻擊的案例層出不窮。據(jù)各大安全廠商的不完全統(tǒng)計(jì),在所受到的DDoS 攻擊中,黑客操縱僵尸網(wǎng)絡(luò)從而發(fā)起的攻擊占總數(shù)量的一半以上。而互聯(lián)網(wǎng)中海量缺乏安全性設(shè)計(jì)的物聯(lián)網(wǎng)設(shè)備就成為這些攻擊的“重災(zāi)區(qū)”。2017 年,由 Mirai 僵尸程序組成的僵尸網(wǎng)絡(luò)發(fā)起的大規(guī)模 DDoS 攻擊,導(dǎo)致美國、中國、巴西等國家大面積的網(wǎng)絡(luò)癱瘓。而感染的主要設(shè)備有監(jiān)控?cái)z像頭、數(shù)字***錄像機(jī)及路由器等大量物聯(lián)網(wǎng)設(shè)備。
小米擁有全球最大的消費(fèi)級物聯(lián)網(wǎng),對物聯(lián)網(wǎng)的安全尤為重視,也為此在 2018 年正式成立了 AIoT安全實(shí)驗(yàn)室,實(shí)驗(yàn)室的組成成員均在 IoT 安全、網(wǎng)絡(luò)安全等方面有著豐富的經(jīng)驗(yàn)和實(shí)踐。利用這一優(yōu)勢,小米針對智能工廠中的智能設(shè)備進(jìn)行了全面地安全審計(jì),挖掘設(shè)備本身存在的潛在安全隱患,并在第一時(shí)間聯(lián)系相應(yīng)的廠商進(jìn)行分析、修復(fù)和整改。這一舉措將從源頭上盡可能地消除設(shè)備的安全隱患,縮減可能遭受攻擊時(shí)的攻擊面,在設(shè)備層面上做到安全性的提升。
二、網(wǎng)絡(luò)層防護(hù)
智能工廠主要由生產(chǎn)網(wǎng)、集成系統(tǒng)網(wǎng)、辦公網(wǎng)三大網(wǎng)絡(luò)組成。
生產(chǎn)網(wǎng)中的設(shè)備主要有數(shù)控機(jī)臺、機(jī)器人、傳感器等;集成系統(tǒng)網(wǎng)中的設(shè)備主要有 MES、SAP、MOM 等;辦公網(wǎng)中的設(shè)備主要為工廠員工辦公使用的 PC。這三大網(wǎng)絡(luò)分別具有不同的特征屬性。
生產(chǎn)網(wǎng)是實(shí)際生產(chǎn)線所在的網(wǎng)絡(luò)環(huán)境,該網(wǎng)絡(luò)需要具備極高的穩(wěn)定性和可靠性,一般會劃分為多個(gè)產(chǎn)線,不同產(chǎn)線承擔(dān)不同的生產(chǎn)需求。而由于生產(chǎn)網(wǎng)的極高可靠性要求,一些安全變更(如操作系統(tǒng)補(bǔ)丁、安全策略變更、防護(hù)變更等)需要一定周期,不能收到更新時(shí)立即進(jìn)行。所以,對生產(chǎn)網(wǎng)的網(wǎng)絡(luò)層防護(hù)就變得格外重要。有效的網(wǎng)絡(luò)層防護(hù)能夠阻擋外部黑客、病毒的攻擊,為生產(chǎn)網(wǎng)建立完備的安全屏障。小米在生產(chǎn)網(wǎng)的防護(hù)中,***用了單向隔離的安全策略,并對生產(chǎn)網(wǎng)的單向訪問策略也做了嚴(yán)格的限制,從網(wǎng)絡(luò)層面上阻斷了可能的攻擊路徑。同時(shí),在生產(chǎn)網(wǎng)內(nèi)部,也對高危端口(如 TCP135/139/445/1433/3306/5985/5986 等)進(jìn)行了禁用,避免病毒利用這些高風(fēng)險(xiǎn)端口在生產(chǎn)網(wǎng)中擴(kuò)散。
集成系統(tǒng)網(wǎng)中擁有大量工業(yè)控制應(yīng)用系統(tǒng),這些系統(tǒng)與傳統(tǒng)的應(yīng)用系統(tǒng)類似,通常會開放 Web、遠(yuǎn)程桌面、SSH 等服務(wù)。小米搭建了全套零信任防護(hù)體系,對集成系統(tǒng)網(wǎng)中所有服務(wù)都實(shí)施了訪問控制,僅允許授權(quán)用戶訪問,將非法攻擊者拒之門外。對所有集成系統(tǒng)中的服務(wù)器,小米通過部署自研的HIDS(主機(jī)型入侵檢測系統(tǒng)),實(shí)時(shí)監(jiān)控服務(wù)器的安全狀況,并對外部攻擊進(jìn)行阻斷和攔截。對于系統(tǒng)本身,小米安全團(tuán)隊(duì)會對其產(chǎn)品全流程進(jìn)行安全把控,在研發(fā)、測試、上線階段進(jìn)行安全評估,及早地發(fā)現(xiàn)問題,提升系統(tǒng)整體安全性。
辦公網(wǎng)主要是工廠員工日常辦公所使用的網(wǎng)絡(luò)。由于辦公網(wǎng)中環(huán)境復(fù)雜,為了避免對其對核心生產(chǎn)網(wǎng)造成不良影響,辦公網(wǎng)與核心生產(chǎn)網(wǎng)完全隔離。而為了保障辦公網(wǎng)的安全性,小米在每一名員工的辦公 PC 都強(qiáng)制安裝了殺毒軟件和安全合規(guī)檢測軟件,以保障 PC 的安全性和合規(guī)性。為了能夠及時(shí)發(fā)現(xiàn)辦公網(wǎng)中的安全隱患和潛在的安全風(fēng)險(xiǎn),小米在網(wǎng)絡(luò)出口側(cè)部署了威脅檢測系統(tǒng),實(shí)時(shí)發(fā)現(xiàn)存在隱患和威脅的 PC,并***取相應(yīng)的安全策略進(jìn)行緊急處理和防護(hù)。
三、系統(tǒng)層防護(hù)
生產(chǎn)網(wǎng)中有大量的工控上位機(jī),這些工控機(jī)來自多家供應(yīng)商,存在操作系統(tǒng)不統(tǒng)一、安全防護(hù)水平參差不齊的問題。而在工控行業(yè),經(jīng)常會出現(xiàn)一機(jī)中毒、全廠遭殃的情況,給整個(gè)生產(chǎn)造成嚴(yán)重的影響。
為了解決這些問題所帶來的安全風(fēng)險(xiǎn),小米針對生產(chǎn)網(wǎng)制作了標(biāo)準(zhǔn)的操作系統(tǒng)鏡像,在操作系統(tǒng)鏡像中加入了 IP 安全策略、系統(tǒng)補(bǔ)丁、殺毒軟件等安全模塊,拉齊系統(tǒng)安全基線。工控電腦終端統(tǒng)一加入工廠專用域,便于管理人員進(jìn)行集中地安全管理和操作審計(jì)。
四、應(yīng)用層防護(hù)
在工業(yè)網(wǎng)絡(luò)中,文件傳輸是常見的一個(gè)應(yīng)用場景。但是,不恰當(dāng)?shù)奈募鬏敺绞綐O易造成病毒的傳播與擴(kuò)散,對正常生產(chǎn)造成影響。
文件傳輸?shù)男枨笾饕譃楫a(chǎn)線內(nèi)傳輸、產(chǎn)線間傳輸和外部交換等。為了滿足這一正常業(yè)務(wù)需求,我們構(gòu)建了專用文件擺渡服務(wù)。
在文件擺渡服務(wù)的設(shè)計(jì)上,主要分為幾個(gè)部分:文件服務(wù)器上部署實(shí)施病毒監(jiān)控服務(wù),保證文件服務(wù)器上所有文件的安全性。文件服務(wù)器上開啟審計(jì)策略,對文件交換行為進(jìn)行記錄和審計(jì)。向生產(chǎn)網(wǎng)開放 SMB 文件共享接口,并與產(chǎn)線專用域賬號打通,用于產(chǎn)線內(nèi)和產(chǎn)線間的文件傳輸需求。向辦公網(wǎng)開放 Web 文件共享接口,并接入零信任防護(hù)系統(tǒng),用于產(chǎn)線與辦公網(wǎng)的文件擺渡。通過統(tǒng)一的文件傳輸管控,不僅僅解決了業(yè)務(wù)的使用需求,同時(shí)也增強(qiáng)了文件的安全性。
第二道防線——安全管理體系
人員安全意識是安全防護(hù)中重要的一環(huán),往往也是安全防護(hù)體系中的薄弱環(huán)節(jié)。近幾年,針對企業(yè)員工的安全攻擊手段層出不窮,從傳統(tǒng)的釣魚郵件、人員滲透到新型的 BadUSB、釣魚 Wi-Fi 等,都對智能工廠的安全產(chǎn)生巨大的威脅。
小米在員工信息安全意識方面,定期進(jìn)行釣魚郵件演練,提升員工對釣魚郵件的識別能力。定期舉辦安全意識培訓(xùn),介紹業(yè)內(nèi)常見的安全攻擊和滲透手段,從而提升員工安全意識,降低類似攻擊發(fā)生的概率。
第三道防線——安全審計(jì)
僅從技術(shù)層面和人員意識方面進(jìn)行防護(hù)仍然不夠,小米藍(lán)軍通過模擬真實(shí)黑客攻擊,對整個(gè)安全防護(hù)體系進(jìn)行檢驗(yàn),發(fā)現(xiàn)其中的薄弱之處,然后加以修復(fù)和整改。
實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn),在安全防護(hù)領(lǐng)域也是如此,一個(gè)優(yōu)秀的安全防護(hù)體系必須能夠經(jīng)得起攻擊的檢驗(yàn)。小米藍(lán)軍是一支擁有豐富經(jīng)驗(yàn)的企業(yè)網(wǎng)絡(luò)攻擊團(tuán)隊(duì),通過模擬真實(shí)黑客的攻擊手法,對整個(gè)安全防護(hù)體系進(jìn)行攻擊模擬,以評判其在應(yīng)對攻擊時(shí)的安全表現(xiàn)。
小米藍(lán)軍的滲透測試不僅僅需要對安全方案中提到的四大層面進(jìn)行安全評估,同時(shí)也會結(jié)合最新的安全攻擊技術(shù),對安全方案未覆蓋到的風(fēng)險(xiǎn)點(diǎn)進(jìn)行挖掘,推動整體安全建設(shè)。
除了定期的滲透測試外,小米藍(lán)軍還擁有實(shí)時(shí)漏洞監(jiān)控與掃描平臺,7 24 小時(shí)不間斷對工廠網(wǎng)絡(luò)進(jìn)行安全掃描,及時(shí)發(fā)現(xiàn)安全問題,規(guī)避安全風(fēng)險(xiǎn)。
展 望
***總理在考察制造業(yè)企業(yè)時(shí)指出“中國制造 2025 的核心就是實(shí)現(xiàn)制造業(yè)智能升級”。未來,小米將會緊跟國家《中國制造 2025》的發(fā)展方向,將企業(yè)的發(fā)展與中國制造業(yè)的未來綁在一起。當(dāng)前,我們已經(jīng)進(jìn)入了“5G+AIoT”的時(shí)代,消費(fèi)端產(chǎn)品能力的實(shí)現(xiàn)對企業(yè)的技術(shù)創(chuàng)新能力和保障信息安全的能力提出了更為嚴(yán)苛的要求。所以,如果沒有安全這一“夯實(shí)基礎(chǔ)”,就無法搭建起一直追求高精尖的中國制造業(yè)這一“上層建筑”。
在小米十周年演講中,創(chuàng)始人雷軍對“互聯(lián)網(wǎng) +制造”方向也提出了更高的要求和目標(biāo)。在智能工廠的第二階段,希望建成千萬臺級別的超高端智能手機(jī)生產(chǎn)線,該工廠將實(shí)現(xiàn)極高的自動化,同時(shí)也會具備更為嚴(yán)苛的安全標(biāo)準(zhǔn)以保障生產(chǎn)線的高效運(yùn)轉(zhuǎn)。未來,小米將會繼續(xù)深耕智能制造業(yè),努力推動中國制造走在更為安全、先進(jìn)、穩(wěn)健的前進(jìn)道路上,為實(shí)現(xiàn)“中國制造 2025”這一偉大的十年***做出應(yīng)有的貢獻(xiàn)。
(本文刊登于《中國信息安全》雜志2021年第1期)
標(biāo)簽: #小米