1.5.1 设备层的安全风险

传统工业设备以机械设备为主，设备关注物理和功能安全，未来生产装备和产品将越来越多地集成通用嵌入式操作系统及应用软件，同时这些设备也将随着工业互联网的深入而随之开放，越来越多的工业设备都将暴露在网络攻击之下，因此设备的安全防控刻不容缓，设备的安全风险主要体现在以下方面。

（1）芯片的安全风险

芯片的安全风险主要指核心元器件安全风险。当前，很多核心芯片（如CPU、内存等器件）大部分都来自国外，而芯片本身漏洞隐藏比较深，平时很难被发现，但是一旦发现芯片漏洞甚至后门，无疑对终端的安全性造成极大的危害，同时该漏洞很可能将长期存在并无法修复，典型事件是2016年Intel的芯片后门事件，Intel Core vPro处理器包含一个远程访问功能，即使在计算机关机的情况下，也可准确地访问该计算机。Core vPro包含一个独立的物理处理单元（ME）并嵌入在CPU中，ME拥有独立的操作系统。只要电源充足，该ME即可以系统的幻影权限（System's Phantom Power）运行，并访问任何硬件。

（2）固件的安全风险

在以微控制器为核心的工业设备中，固件主要用于实现工业设备的全部功能，不但提供硬件初始化、操作系统加载的功能，同时也为上层软件有效使用硬件资源提供调用接口，因此固件是工业设备系统的重要组成部分。固件作为工业设备的重要组成部分，以灵活、多样的存在形式更加方便了用户的使用，但同时也为工业设备的安全带来了极大的隐患，比如通过提取工业设备固件然后逆向固件代码再反编译更改相应参数、向工业设备固件插入恶意代码从而改变整个系统执行流程或者通过使用没有经过厂商认证的固件程序进行升级等，这些都将威胁到工业互联网，并对工业互联网造成极大的安全威胁。

（3）操作系统的安全风险

操作系统是工业设备的核心部件，所有的应用程序都在操作系统之上运行，操作系统向上承载应用、通信等应用功能，向下承接底层资源调用和管理。当前主流的工业设备操作系统基本上都是开源的Linux操作系统，开源虽然能够极大降低开发成本，但是其本身的安全风险不容小觑，比如已知和未知漏洞风险、安全和健壮性的缺失以及缺乏对操作系统行为的监控。尽管大部分工业设备厂商并不具备自己开发操作系统的能力，但是考虑到工业互联网的特殊性，在选择并使用操作系统时除了要考虑成本、易用性、商业生态等方面的因素外，还需要对安全性做特别关注。

（4）应用的安全风险

应用的安全风险主要指应用程序自身的漏洞。目前，很多工业设备生产厂商普遍缺乏安全意识和安全能力，在应用等软件的设计和开发过程中并未做任何的安全考虑，导致软件存在编码或者逻辑方面的安全漏洞和缺陷，可以使攻击者在未经授权的情况下非法利用或破坏。部分生产商为了节约开发成本，直接调用第三方的组件并未做任何的安全检测，给工业设备带来了极大的安全风险，很可能会引入一些公开的软件漏洞，极易被黑客利用。一旦这些漏洞被利用，同类设备都将遭受影响。另外，针对工业设备上安装的业务应用，普遍没有做相应的识别和控制机制，例如应用软件的来源识别、应用软件的安装限制、对已经安装的应用软件的敏感行为控制等，容易被攻击者安装恶意程序或进程来实施攻击行为。

多数工业设备涉及生产环节，其安全性至关重要。工业设备应加强自身安全性，尤其应重点关注芯片和操作系统的安全。从前面的安全事件上也看得出来，有的事件是由芯片自身的漏洞所引起的。我国尚未完全拥有成熟的、可商业化的芯片和操作系统，大部分设备中的芯片都是国外的，操作系统虽然使用开源操作系统，但无论从开发质量还是从自主可控角度上看，仍然存在较大的安全隐患，因此这两部分的安全需要得到格外的重视。