工業(yè)互聯(lián)網(wǎng)時代的網(wǎng)絡(luò)安全

　　互聯(lián)網(wǎng)改變了人們的生活與工作，并影響到人類社會的各個角落;隨著萬物智聯(lián)時代的來臨，我們身邊聯(lián)網(wǎng)的智能設(shè)備數(shù)量劇增。

　　萬物互聯(lián)的時代已經(jīng)到來

　　根據(jù)Gartner的數(shù)據(jù)，2017全球物聯(lián)網(wǎng)設(shè)備的數(shù)量多達84億，已遠遠超過全球人口總數(shù)。而到了2020年，物聯(lián)網(wǎng)設(shè)備數(shù)量將達到204億，這意味著每個人身邊都有數(shù)個乃至數(shù)十個聯(lián)網(wǎng)設(shè)備，可見物聯(lián)網(wǎng)在未來的連網(wǎng)世界中將扮演關(guān)鍵的角色。

　　全球工業(yè)正邁入一個全新的物聯(lián)網(wǎng)時代，業(yè)者對于提升各種作業(yè)流程自動化的需求越來越高，進而部署傳感器、機器人和遠程控制等各種智能連網(wǎng)設(shè)備，實現(xiàn)了無縫連接、被管理、并且借助網(wǎng)絡(luò)安全地進行交互工作，也就是目前被稱為工業(yè)物聯(lián)網(wǎng) (IIoT) 或工業(yè)4.0的產(chǎn)業(yè)變革和趨勢。

　　然而這股產(chǎn)業(yè)自動化的新趨勢也擴大了網(wǎng)絡(luò)安全的范疇，將網(wǎng)絡(luò)安全的議題延伸至講求運維技術(shù)(Operation Technology, OT) 的工業(yè)領(lǐng)域中，包括能源、石油與天然氣、運輸和制造業(yè)等。

　　工業(yè)互聯(lián)網(wǎng)成為網(wǎng)站黑客攻擊目標(biāo)

　　隨著工業(yè)領(lǐng)域進入工業(yè)4.0時代，運維技術(shù)(OT)和信息技術(shù)(Information Technology, IT)趨于并駕齊驅(qū)，IT部門部署軟件的目標(biāo)也是為了讓OT通訊更佳以提升工廠設(shè)備的生產(chǎn)效率。這種工業(yè)化和信息化的融合也意味著未來的安全漏洞將會不僅是數(shù)據(jù)遺失，甚至擴散和滲透到城市安全、人身安全、關(guān)鍵基礎(chǔ)設(shè)施安全，乃至國家安全等更廣泛的層面，造成的后果日益嚴重。

　　例如黑客會運用工廠的網(wǎng)絡(luò)來散布惡意軟件，擾亂通訊協(xié)議，打亂生產(chǎn)線上的機器人作業(yè)或制造流程，釀成災(zāi)難性的安全危機，或?qū)е峦C而引起代價高昂的經(jīng)濟損失。

　　根據(jù)企業(yè)增長咨詢公司Frost & Sullivan的估算，一家石油和天然氣公司遭到網(wǎng)絡(luò)攻擊的平均損失高達1,300萬美元。更糟的情況是，當(dāng)一個城市的自來水系統(tǒng)遭受網(wǎng)絡(luò)攻擊時，則可能會讓用以凈水的化學(xué)物質(zhì)混合而改變成分。網(wǎng)絡(luò)黑客也可能盯上智能型供電和供水系統(tǒng)，或者是一個城市的智能交通信號網(wǎng)絡(luò)，而造成斷電、斷水或交通癱瘓。

　　物聯(lián)網(wǎng)時代沒有一勞永逸的安全防護

　　物聯(lián)網(wǎng)存在的各種安全問題需要物聯(lián)網(wǎng)設(shè)備制造商和終端用戶聯(lián)合采取措施確保設(shè)備安全。物聯(lián)網(wǎng)設(shè)備有太多組件，包括處理器、云與Web服務(wù)、設(shè)備與應(yīng)用程序，這導(dǎo)致很難兼顧所有這些組件的安全問題。系統(tǒng)的每部分都至關(guān)重要，漏洞可能就存在于應(yīng)用程序、平臺、設(shè)備、傳感器和云中。

　　因此，我們需要接受一種新的安全觀念，即“沒有一勞永逸的安全防護，安全是個持續(xù)對抗的過程”。

　　設(shè)備服務(wù)提供商同樣需要注重培養(yǎng)防范意識，監(jiān)控威脅和安全事件，并遵守適當(dāng)?shù)膱蟾媪鞒?，特別是在出現(xiàn)影響其客戶的安全漏洞和事件時更要及時報告，與此同時，定期升級操作系統(tǒng)和應(yīng)用對于確保網(wǎng)絡(luò)安全也是很重要的。

　　伴隨著國家政策的指引以及行業(yè)內(nèi)對工控安全的行業(yè)引導(dǎo)，在相關(guān)因素驅(qū)動下，工控安全產(chǎn)品應(yīng)用實例的增多及實際應(yīng)用效果得到業(yè)界的認可，預(yù)計在不久的將來，工業(yè)控制系統(tǒng)的安全必將迅猛發(fā)展。

　　雖然面對網(wǎng)絡(luò)安全并沒有百分之百安全的解決方案，但目前已經(jīng)有很多專業(yè)組織出版了很多關(guān)于工業(yè)網(wǎng)絡(luò)信息安全的建議要求可以參考。如國家標(biāo)準的《信息系統(tǒng)安全等級保護基本要求》，或是專門針對工業(yè)自動化和工業(yè)安全的國際標(biāo)準IEC 62443。而IEC 62443更是目前在全球被廣泛采納和認可的工控系統(tǒng)標(biāo)準。各國、各行業(yè)制定工控相關(guān)標(biāo)準政策都會參考和吸收該標(biāo)準提供的概念、方法、模型。不論是想有系統(tǒng)地了解工控安全問題及其應(yīng)對措施，還是想了解部分內(nèi)容，都可以從該標(biāo)準入手。

　　穩(wěn)定可靠的工業(yè)通訊推進IIoT安全

　　IEC 62443標(biāo)準

　　IEC 62443標(biāo)準涉及完整的工業(yè)自動化控制生態(tài)系統(tǒng)，并描述了安全從業(yè)人員，系統(tǒng)集成商和控制系統(tǒng)制造商應(yīng)如何交互并確保其設(shè)施和組件的安全性。

　　該標(biāo)準根據(jù)區(qū)域和管道模型細分網(wǎng)絡(luò)，以使用良好定義的接口(信道)，更好地控制系統(tǒng)網(wǎng)絡(luò)內(nèi)的接入和安全性。它為工業(yè)自動化控制系統(tǒng)安全提供了一個通用準則，專門用于工業(yè)自動化的安全管理系統(tǒng)，工業(yè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)指南，以及定義整個系統(tǒng)和整個組件生命周期的安全要求。它的實施有利于組織解決工業(yè)網(wǎng)絡(luò)安全風(fēng)險。

　　以Moxa為例，不僅有專職的產(chǎn)品安全功能設(shè)計工作小組依照國際規(guī)范(如IEC 62443)設(shè)計產(chǎn)品以滿足客戶規(guī)劃系統(tǒng)時的需求，提升產(chǎn)品的安全性和加強產(chǎn)品本身的強固，而且設(shè)有產(chǎn)品資產(chǎn)安全實驗室，針對產(chǎn)品進行已知漏洞測試及模糊測試(Fuzzy Test)以確保產(chǎn)品沒有已知漏洞并有效降低資產(chǎn)安全風(fēng)險。

　　因此，Moxa的工業(yè)通訊產(chǎn)品──工業(yè)用交換機、設(shè)備服務(wù)器、通訊協(xié)議交換機，和用于關(guān)鍵系統(tǒng)保護和訪問的防火墻及 VPN產(chǎn)品，已廣泛地應(yīng)用在上海地鐵各個系統(tǒng)中，如PSCADA，而這些地鐵線路都經(jīng)過等保測評機構(gòu)評定均符合《信息系統(tǒng)安全等級保護基本要求》二級或三級標(biāo)準要求。

　　此外，Moxa更投入眾多資源成立專門的網(wǎng)絡(luò)安全響應(yīng)小組，匯聚了相關(guān)的專家快速響應(yīng)產(chǎn)品在網(wǎng)絡(luò)安全方面的事宜;在發(fā)現(xiàn)安全漏洞時，以最快的速度回應(yīng)，協(xié)助客戶的產(chǎn)品保持在最佳的安全狀態(tài)，并主動在Moxa企業(yè)網(wǎng)站主動公布相關(guān)產(chǎn)品、產(chǎn)品弱點與Moxa提出的安全解決方案。而Moxa的客戶也可透過訂閱RSS收到最新的產(chǎn)品安全相關(guān)消息。

　　產(chǎn)品資產(chǎn)及相關(guān)網(wǎng)絡(luò)安全議題一直是Moxa成立30多年來關(guān)注的議題，Moxa很歡迎與各行業(yè)的伙伴在工業(yè)網(wǎng)絡(luò)安全方面進行共同探討、合作。

（轉(zhuǎn)載）