谁来守护工业物联网的信息安全？

工业物联网在信息安全方面危机四伏，信息安全问题已经成为亟待的重点问题之一。

近年来，工业物联网在信息安全方面危机四伏，如工业核心数据泄露、互联终端遭非法操控等，信息安全问题已经成为工业物联网推广应用一大障碍。

那么，到底谁来守护工业物联网的信息安全？

工业物联网信息安全面临的形势

首先是系统漏洞频发导致安全形势进一步恶化。近年来，工业物联网领域在信息安全方面危机四伏，黑客通过系统漏洞对工业物联网应用进行攻击，达到系统破坏或者数据窃取的目的。虽然工业物联网概念较新，但是其依托的却是现代成熟的工业自动化技术与通信技术，这就导致传统黑客攻击方法对工业物联网系统是适用的。

截至2015年12月，中国国家信息安全漏洞共享平台、美国CVE(公共漏洞库)和ICS-CERT（工控系统网络安全应急响应小组）共披露工控系统相关漏洞达949个，涉及国内外厂商120个，漏洞数量较2014年增长38%。

2016年1月，乌克兰电网遭黑客攻击，导致3个地区数百家用户供电遭到中断。据调查，此次攻击是利用应用软件的0day漏洞嵌入BlackEnergy木马实现远程入侵，再进行横向传播，最终达到破坏目的。可以预见，随着工业物联网的快速发展，其面临的安全形势也将更加严峻。

其次，系统节点互联导致安全问题进一步扩大。和以往工业自动化、信息化系统采用局域网不同，工业物联网从一开始定义便是一个高度互联互通的网络。

一个完整的工业物联网系统往往拥有数万个“数据节点”，一旦某个节点被攻破渗透，将对整个系统造成巨大影响且破坏将通过节点网络高速扩散。

2013年BlackHat大会上，有黑客展示了通过入侵某工业生产线网络中某一数据节点逐步夺取整个系统控制决策权，最终更改生产线生产流程决策的过程。包含物料采购子系统、生产子系统、销售数据统计系统在内的整个系统全部沦陷，而整个入侵过程只耗时不到2分钟。

随着工业物联网的发展，工业信息安全问题已不再局限于传统工控系统所涉及的具体生产应用范围，极有可能扩大到整个工业物联网系统的每个节点。

再次，工业物联网系统是一个开放的不断兼容的系统。随着业务不断拓展，大量新技术与新应用被集成进工业物联网系统。受客观条件限制，这些新技术、新应用本身的安全防护强度并没有经过可靠性验证，极易成为整个系统的“安全短板”。

企业的工业物联网的建设是伴随着企业发展而不断进行的，不断有新功能新技术新设备加入网络，如果这些功能设备技术未经过严格的安全评估，极有可能导致整个系统暴露于网络风险之中。

保障工业物联网信息安全的对策

管理工业物联网还首先要知道扩展的工业网络不仅包含数万个内部工业物联网端点，而且还包括扩展的全球供应链中每个客户和每个供应商的端点，这将面临潜在的巨大挑战。自20世纪90年代以来的人工处理网络库存一直不切实际。自动化硬件和软件资产跟踪器至关重要，更重要的是它基于云计算，能够适应制造业日益全球化的特点。

工业物联网（IIoT）功能强大，使得制造安全策略变得复杂化。IIoT设备可以分布在多个工厂，多地共享，使用云数据，并由公司网络上的控制台管理，这些控制台也可以访问云数据。这使得考虑IIoT环境完整的攻击面变得更加困难。保证IIoT安全的最佳方法是从部署开始就考虑安全性，在出现问题之前，就可以在测试中发现安全漏洞。

每一个连接的设备，从制造工厂到传感器，都需要考虑这个问题·。在此基础上，可以建立一个网络级别的安全态势，以便在可疑入侵的情况下作出正确的应对。

访问需要严格的身份验证和授权级别，以确保数据完整性并防止数据被盗。用户名和密码是不够的，还要考虑生物识别、基于令牌等双因素认证方法来加强安全性。定期检查和维护用户数据库，删除已离开组织的用户，并将角色改变的用户改成相应的访问级别。

保护网络上的每一个设备不太可能。好的安全解决方案不必添加到每个端点。成功的安全性应该设计为为尽可能多的设备提供保护，这意味着从边缘开始保护是最好的。实现网关解决方案，为IIoT创建一个隔离的网络，与其他公司计算资源隔离。因此，IIoT与网络其他部分之间的数据传输都可以由更现代的网关加密和控制，从而确保某种程度的安全性。