保障物聯(lián)網(wǎng)安全的六大關(guān)鍵問題

　　如今，有經(jīng)驗(yàn)的企業(yè)都意識(shí)到，在啟動(dòng)物聯(lián)網(wǎng) (IoT) 項(xiàng)目之前必須安裝可靠的安全系統(tǒng)。那么，在制定物聯(lián)網(wǎng)策略之前，應(yīng)該首先理清哪些關(guān)鍵問題呢?

　　在 2016 年，物聯(lián)網(wǎng) (IoT) 仍然是促進(jìn)過(guò)程自動(dòng)化行業(yè)發(fā)展的關(guān)鍵技術(shù)。

　　據(jù) Cisco 估計(jì)，至 2020 年，預(yù)計(jì)將有 500 億臺(tái)設(shè)備連接到互聯(lián)網(wǎng)，而其中近四分之一的設(shè)備是用于工業(yè)領(lǐng)域。要實(shí)現(xiàn)智能制造，需要在統(tǒng)一、標(biāo)準(zhǔn)且安全的工業(yè) EtherNet/IP 框架上實(shí)現(xiàn)信息技術(shù) (IT) 和運(yùn)營(yíng)技術(shù) (OT) 的融合。

　　要成為真正的互聯(lián)企業(yè)，公司作為整體，必須能夠?yàn)槿緝?nèi)的相關(guān)各方無(wú)縫地提供實(shí)境化信息，從而促進(jìn)基于信息的決策制定、提升資產(chǎn)利用率、提高成品率、加快產(chǎn)品上市、降低總擁有成本、提高效率并將企業(yè)風(fēng)險(xiǎn)將至最低。

　　據(jù) Frost & Sullivan 亞太企業(yè) ICT 實(shí)踐部的網(wǎng)絡(luò)、信息和網(wǎng)絡(luò)安全高級(jí)行業(yè)分析師 Charles Lim 介紹，隨著集成到企業(yè) IT 基礎(chǔ)架構(gòu)中的車間網(wǎng)絡(luò)設(shè)備快速增加，互聯(lián)企業(yè)和網(wǎng)絡(luò)安全供應(yīng)商需要應(yīng)對(duì)新的安全隱患。實(shí)際上，由荷蘭的全球數(shù)字安全供應(yīng)商 Gemalto 開展的 2015 年度物聯(lián)網(wǎng)展望 (IoT Outlook) 調(diào)查顯示，42.4% 的 IT 專業(yè)人士認(rèn)同信息安全問題是在企業(yè)內(nèi)推廣物聯(lián)網(wǎng)的最大障礙。

　　如今，有經(jīng)驗(yàn)的企業(yè)都意識(shí)到，在啟動(dòng)物聯(lián)網(wǎng)項(xiàng)目之前必須安裝可靠的安全系統(tǒng)。事實(shí)上，越來(lái)越多的互聯(lián)企業(yè)在開展面向安全的技術(shù)和文化變革，以降低由人員、策略和處理過(guò)程引起的潛在威脅。

　　在制定物聯(lián)網(wǎng)策略之前，應(yīng)該先回答以下六個(gè)關(guān)鍵問題：

　　如何確定一個(gè)設(shè)備是否適用于物聯(lián)網(wǎng)?

　　毫無(wú)疑問，工廠車間設(shè)備是詳細(xì)了解生產(chǎn)過(guò)程和創(chuàng)建面向未來(lái)的高效率機(jī)器的利器。然而，隨著設(shè)備數(shù)量不斷增加，保護(hù)架構(gòu)安全、確保數(shù)據(jù)驗(yàn)證和限制訪問控制變得越來(lái)越復(fù)雜。要確定是否應(yīng)將某個(gè)設(shè)備連接到物聯(lián)網(wǎng)，制造商必須考量和計(jì)算它在網(wǎng)絡(luò)中的價(jià)值與風(fēng)險(xiǎn)。同樣重要的是，工程師需要確保每個(gè)設(shè)備都能使用 EtherNet/IP 技術(shù)、符合最佳實(shí)踐并且與安全技術(shù)兼容。

　　如何保護(hù)控制系統(tǒng)，避免潛在的物聯(lián)網(wǎng)通信沖擊和威脅?

　　如果沒有精心細(xì)致的規(guī)劃，數(shù)十億的物聯(lián)網(wǎng)互聯(lián)設(shè)備很可能會(huì)在未來(lái)出現(xiàn)問題。要全面保護(hù)工業(yè)應(yīng)用不能依靠單一的產(chǎn)品、技術(shù)或方法，而應(yīng)該采取縱深防御 (DiD) 的方式，即使用多層安全方案(涵蓋人員、物理、流程和技術(shù))來(lái)同時(shí)解決內(nèi)部和外部威脅。此外，用戶身份驗(yàn)證與授權(quán)相結(jié)合也可有效限制人員與系統(tǒng)的交互。因此，需要建立可信域并利用一系列網(wǎng)絡(luò)基礎(chǔ)架構(gòu)技術(shù)(例如 VLAN、VPN、防火墻、ACL 和密碼)，以控制哪些人員和設(shè)備可以訪問網(wǎng)絡(luò)。除此之外，將系統(tǒng)分段為更小的 VLAN 也有助于簡(jiǎn)化維護(hù)過(guò)程。

　　物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全有何不同?

　　兩種安全系統(tǒng)從根本上而言非常相似，都需要周密的規(guī)劃，其中包括數(shù)據(jù)泄露的預(yù)防和解決。然而，工業(yè)控制系統(tǒng) (ICS) 可能更為緊急，因?yàn)椴僮魍C(jī)時(shí)間會(huì)給互聯(lián)企業(yè)造成巨大損失。

　　如何管理物聯(lián)網(wǎng)和 ICS 網(wǎng)絡(luò)安全?

　　借助于 IT 和 OT 的融合，工廠運(yùn)營(yíng)方能夠使用相同的技術(shù)和人員管理整個(gè)網(wǎng)絡(luò) – 幫助精簡(jiǎn)資產(chǎn)以及培訓(xùn)和間接成本。遺憾的是，許多工廠在最初設(shè)計(jì)時(shí)并未考慮與企業(yè)系統(tǒng)的連接;因此，在著手制定物聯(lián)網(wǎng)策略和實(shí)施計(jì)劃時(shí)，通過(guò)綜合評(píng)估來(lái)促進(jìn)不同部門、工廠乃至整個(gè)供應(yīng)鏈之間的互相協(xié)作是一個(gè)不錯(cuò)的開始。

　　誰(shuí)負(fù)責(zé)保障物聯(lián)網(wǎng)網(wǎng)絡(luò)安全?

　　任何單一安全供應(yīng)商都無(wú)法全面地保護(hù)控制系統(tǒng)，所有利益相關(guān)方都應(yīng)承擔(dān)保障物聯(lián)網(wǎng)設(shè)施安全的責(zé)任。在整個(gè)供應(yīng)鏈中，每家供應(yīng)商在設(shè)計(jì)產(chǎn)品和解決方案時(shí)都應(yīng)首先考慮安全問題。系統(tǒng)負(fù)責(zé)方在設(shè)計(jì)網(wǎng)絡(luò)時(shí)應(yīng)采用經(jīng)過(guò)驗(yàn)證的設(shè)計(jì)和最佳實(shí)踐，并規(guī)劃好信息可用性。此外，ICS 供應(yīng)商應(yīng)提供符合全球標(biāo)準(zhǔn)和安全監(jiān)管要求的系統(tǒng)，以便確保通用安全產(chǎn)品開發(fā)的可行性。最后，OEM 必須遵循機(jī)器網(wǎng)絡(luò)設(shè)計(jì)中的最佳實(shí)踐，使設(shè)備不僅能輕松集成到客戶的運(yùn)營(yíng)中，還能滿足 IT 安全策略和 OT 性能目標(biāo)的要求。如果相關(guān)各方都盡職盡責(zé)，互聯(lián)企業(yè)就能在世界任何角落建立起安全的遠(yuǎn)程訪問，從而最大限度減少機(jī)器停機(jī)時(shí)間和差旅費(fèi)用。

　　在管理物聯(lián)網(wǎng)網(wǎng)絡(luò)安全方面，標(biāo)準(zhǔn)起到什么作用?

　　標(biāo)準(zhǔn)是保障智能設(shè)備和傳感器之間連接一致的關(guān)鍵。它有助于技術(shù)和方法的驗(yàn)證，可提供更大的互操作性，讓用戶能夠安全地實(shí)時(shí)交換實(shí)境化信息。最后，遵循行業(yè)標(biāo)準(zhǔn)有利于架構(gòu)發(fā)展，因?yàn)樵O(shè)計(jì)合理的網(wǎng)絡(luò)能適應(yīng)不斷發(fā)展的技術(shù)要求，打造出面向未來(lái)的架構(gòu)。

　　結(jié)論

　　第四次工業(yè)革命的興起是制造業(yè)的轉(zhuǎn)折點(diǎn)。無(wú)論是智能制造領(lǐng)袖聯(lián)盟(美國(guó))、工業(yè) 4.0(德國(guó))、中國(guó)制造 2025、制造業(yè)創(chuàng)新 3.0(韓國(guó))還是任何其它說(shuō)法，其實(shí)質(zhì)都是通過(guò)物聯(lián)網(wǎng)收集實(shí)境化工廠信息并與執(zhí)行團(tuán)隊(duì)共享，從而建立互聯(lián)企業(yè)實(shí)現(xiàn)智能制造。

　　生產(chǎn)工廠及其資產(chǎn)的互聯(lián)可帶來(lái)顯著優(yōu)勢(shì)，但同時(shí)也帶來(lái)不容否認(rèn)的風(fēng)險(xiǎn)，比如來(lái)自工廠內(nèi)外的蓄意和意外的威脅。幸運(yùn)的是，通過(guò)遵循上述策略，首席信息安全官可建立起強(qiáng)有力的管理框架，避免數(shù)據(jù)泄露、知識(shí)產(chǎn)權(quán)損失以及隱私問題。此外，要制定嚴(yán)謹(jǐn)?shù)陌踩桨覆荒苁峭鲅蜓a(bǔ)牢，而應(yīng)未雨綢繆，將安全理念融入到整個(gè)企業(yè)的運(yùn)營(yíng)中 – 包括網(wǎng)絡(luò)基礎(chǔ)架構(gòu)、新舊控制系統(tǒng)、車間設(shè)備和所有相關(guān)設(shè)備，以及企業(yè)層級(jí)的各個(gè)系統(tǒng)。整個(gè)公司乃至整個(gè)供應(yīng)鏈中的每名員工、每個(gè)策略和每個(gè)流程都應(yīng)協(xié)調(diào)一致，共擔(dān)使命，以企業(yè)愿景為大方向來(lái)努力取得競(jìng)爭(zhēng)優(yōu)勢(shì)。

（轉(zhuǎn)載）