誰來守護工業物聯網的信息安全？

工業物聯網在信息安全方面危機四伏，信息安全問題已經成爲亟待的重點問題之一。

近年來，工業物聯網在信息安全方面危機四伏，如工業核心數據泄露、互聯終端遭非法操控等，信息安全問題已經成爲工業物聯網推廣應用一大障礙。

那麼，到底誰來守護工業物聯網的信息安全？

工業物聯網信息安全面臨的形勢

首先是系統漏洞頻發導致安全形勢進一步惡化。近年來，工業物聯網領域在信息安全方面危機四伏，黑客通過系統漏洞對工業物聯網應用進行攻擊，達到系統破壞或者數據竊取的目的。雖然工業物聯網概念較新，但是其依託的卻是現代成熟的工業自動化技術與通信技術，這就導致傳統黑客攻擊方法對工業物聯網系統是適用的。

截至2015年12月，中國國家信息安全漏洞共享平臺、美國CVE(公共漏洞庫)和ICS-CERT（工控系統網絡安全應急響應小組）共披露工控系統相關漏洞達949個，涉及國內外廠商120個，漏洞數量較2014年增長38%。

2016年1月，烏克蘭電網遭黑客攻擊，導致3個地區數百家用戶供電遭到中斷。據調查，此次攻擊是利用應用軟件的0day漏洞嵌入BlackEnergy木馬實現遠程入侵，再進行橫向傳播，最終達到破壞目的。可以預見，隨着工業物聯網的快速發展，其面臨的安全形勢也將更加嚴峻。

其次，系統節點互聯導致安全問題進一步擴大。和以往工業自動化、信息化系統採用局域網不同，工業物聯網從一開始定義便是一個高度互聯互通的網絡。

一個完整的工業物聯網系統往往擁有數萬個“數據節點”，一旦某個節點被攻破滲透，將對整個系統造成巨大影響且破壞將通過節點網絡高速擴散。

2013年BlackHat大會上，有黑客展示了通過入侵某工業生產線網絡中某一數據節點逐步奪取整個系統控制決策權，最終更改生產線生產流程決策的過程。包含物料採購子系統、生產子系統、銷售數據統計系統在內的整個系統全部淪陷，而整個入侵過程只耗時不到2分鐘。

隨着工業物聯網的發展，工業信息安全問題已不再侷限於傳統工控系統所涉及的具體生產應用範圍，極有可能擴大到整個工業物聯網系統的每個節點。

再次，工業物聯網系統是一個開放的不斷兼容的系統。隨着業務不斷拓展，大量新技術與新應用被集成進工業物聯網系統。受客觀條件限制，這些新技術、新應用本身的安全防護強度並沒有經過可靠性驗證，極易成爲整個系統的“安全短板”。

企業的工業物聯網的建設是伴隨着企業發展而不斷進行的，不斷有新功能新技術新設備加入網絡，如果這些功能設備技術未經過嚴格的安全評估，極有可能導致整個系統暴露於網絡風險之中。

保障工業物聯網信息安全的對策

管理工業物聯網還首先要知道擴展的工業網絡不僅包含數萬個內部工業物聯網端點，而且還包括擴展的全球供應鏈中每個客戶和每個供應商的端點，這將面臨潛在的巨大挑戰。自20世紀90年代以來的人工處理網絡庫存一直不切實際。自動化硬件和軟件資產跟蹤器至關重要，更重要的是它基於雲計算，能夠適應製造業日益全球化的特點。

工業物聯網（IIoT）功能強大，使得製造安全策略變得複雜化。IIoT設備可以分佈在多個工廠，多地共享，使用雲數據，並由公司網絡上的控制檯管理，這些控制檯也可以訪問雲數據。這使得考慮IIoT環境完整的攻擊面變得更加困難。保證IIoT安全的最佳方法是從部署開始就考慮安全性，在出現問題之前，就可以在測試中發現安全漏洞。

每一個連接的設備，從製造工廠到傳感器，都需要考慮這個問題·。在此基礎上，可以建立一個網絡級別的安全態勢，以便在可疑入侵的情況下作出正確的應對。

訪問需要嚴格的身份驗證和授權級別，以確保數據完整性並防止數據被盜。用戶名和密碼是不夠的，還要考慮生物識別、基於令牌等雙因素認證方法來加強安全性。定期檢查和維護用戶數據庫，刪除已離開組織的用戶，並將角色改變的用戶改成相應的訪問級別。

保護網絡上的每一個設備不太可能。好的安全解決方案不必添加到每個端點。成功的安全性應該設計爲爲儘可能多的設備提供保護，這意味着從邊緣開始保護是最好的。實現網關解決方案，爲IIoT創建一個隔離的網絡，與其他公司計算資源隔離。因此，IIoT與網絡其他部分之間的數據傳輸都可以由更現代的網關加密和控制，從而確保某種程度的安全性。