工業(yè)物聯(lián)網(wǎng)應(yīng)用領(lǐng)域、安全威脅及安全風(fēng)險(xiǎn)

前言

工業(yè)物聯(lián)網(wǎng)是將具有感知、監(jiān)控能力的各類采集、控制傳感器或控制器，以及移動(dòng)通信、智能分析等技術(shù)不斷融入到工業(yè)生產(chǎn)過(guò)程各個(gè)環(huán)節(jié)，從而大幅提高制造效率，改善產(chǎn)品質(zhì)量，降低產(chǎn)品成本和資源消耗，最終實(shí)現(xiàn)將傳統(tǒng)工業(yè)提升到智能化的新階段。從應(yīng)用形式上，工業(yè)物聯(lián)網(wǎng)的應(yīng)用具有實(shí)時(shí)性、自動(dòng)化、嵌入式(軟件)、安全性、和信息互通互聯(lián)性等特點(diǎn)。

通常，工業(yè)物聯(lián)網(wǎng)基礎(chǔ)設(shè)施包括各種互連設(shè)備和軟件，聚合和傳輸數(shù)據(jù)以及訪問(wèn)互聯(lián)網(wǎng)。智能工廠物聯(lián)網(wǎng)系統(tǒng)的整體復(fù)雜性非常廣泛，安全漏洞的數(shù)量隨后大幅增加。顯然，傳統(tǒng)的防火墻和抗病毒系統(tǒng)是不夠的; 復(fù)雜的IIoT基礎(chǔ)設(shè)施需要更先進(jìn)的東西。

在企業(yè)環(huán)境中，最容易發(fā)生網(wǎng)絡(luò)攻擊的工業(yè)控制系統(tǒng)包括監(jiān)督控制和數(shù)據(jù)采集系統(tǒng)(也稱為SCADA)，可編程邏輯控制器，連接人和機(jī)器的接口以及分布式控制系統(tǒng)。

如今，許多垂直行業(yè)已經(jīng)采用了工業(yè)物聯(lián)網(wǎng)，但這并不意味著他們的部署是安全的。工業(yè)物聯(lián)網(wǎng)向傳統(tǒng)IT系統(tǒng)引入了具有不同威脅向量和相關(guān)風(fēng)險(xiǎn)的各種運(yùn)營(yíng)技術(shù)(OT)架構(gòu)。許多風(fēng)險(xiǎn)已經(jīng)存在了幾十年，并且已經(jīng)進(jìn)入快速發(fā)展的工業(yè)物聯(lián)網(wǎng)的領(lǐng)域。

工業(yè)物聯(lián)網(wǎng)應(yīng)用領(lǐng)域

制造業(yè)供應(yīng)鏈管理

企業(yè)利用物聯(lián)網(wǎng)技術(shù)，能及時(shí)掌握原材料采購(gòu)、庫(kù)存、銷售等信息，通過(guò)大數(shù)據(jù)分析還能預(yù)測(cè)原材料的價(jià)格趨向、供求關(guān)系等，有助于完善和優(yōu)化供應(yīng)鏈管理體系，提高供應(yīng)鏈效率，降低成本。空中客車通過(guò)在供應(yīng)鏈體系中應(yīng)用傳感網(wǎng)絡(luò)技術(shù)，構(gòu)建了全球制造業(yè)中規(guī)模最大、效率最高的供應(yīng)鏈體系。

生產(chǎn)過(guò)程工藝優(yōu)化

工業(yè)物聯(lián)網(wǎng)的泛在感知特性提高了生產(chǎn)線過(guò)程檢測(cè)、實(shí)時(shí)參數(shù)采集、材料消耗監(jiān)測(cè)的能力和水平，通過(guò)對(duì)數(shù)據(jù)的分析處理可以實(shí)現(xiàn)智能監(jiān)控、智能控制、智能診斷、智能決策、智能維護(hù)，提高生產(chǎn)力，降低能源消耗。鋼鐵企業(yè)應(yīng)用各種傳感器和通信網(wǎng)絡(luò)，在生產(chǎn)過(guò)程中實(shí)現(xiàn)了對(duì)加工產(chǎn)品的寬度、厚度、溫度實(shí)時(shí)監(jiān)控，提高了產(chǎn)品質(zhì)量，優(yōu)化了生產(chǎn)流程。

生產(chǎn)設(shè)備監(jiān)控管理

利用傳感技術(shù)對(duì)生產(chǎn)設(shè)備進(jìn)行健康監(jiān)控，可以及時(shí)跟蹤生產(chǎn)過(guò)程中各個(gè)工業(yè)機(jī)器設(shè)備的使用情況，通過(guò)網(wǎng)絡(luò)把數(shù)據(jù)匯聚到設(shè)備生產(chǎn)商的數(shù)據(jù)分析中心進(jìn)行處理，能有效地進(jìn)行機(jī)器故障診斷、預(yù)測(cè)，快速、精確地定位故障原因，提高維護(hù)效率，降低維護(hù)成本。GEOil&Gas集團(tuán)在全球建立了13個(gè)面向不同產(chǎn)品的i-Center(綜合服務(wù)中心)，通過(guò)傳感器和網(wǎng)絡(luò)對(duì)設(shè)備進(jìn)行了在線監(jiān)測(cè)和實(shí)時(shí)監(jiān)控，并提供了設(shè)備維護(hù)和故障診斷的解決方案。

環(huán)保監(jiān)測(cè)及能源管理

工業(yè)物聯(lián)網(wǎng)與環(huán)保設(shè)備的融合可以實(shí)現(xiàn)對(duì)工業(yè)生產(chǎn)過(guò)程中產(chǎn)生的各種污染源及污染治理環(huán)節(jié)關(guān)鍵指標(biāo)的實(shí)時(shí)監(jiān)控。在化工、輕工、火電廠等企業(yè)布署傳感器網(wǎng)絡(luò)，不僅可以實(shí)時(shí)監(jiān)測(cè)企業(yè)排污數(shù)據(jù)，而且可以通過(guò)智能化的數(shù)據(jù)報(bào)警及時(shí)發(fā)現(xiàn)排污異常并停止相應(yīng)的生產(chǎn)過(guò)程，防止突發(fā)性環(huán)境污染事故發(fā)生。電信運(yùn)營(yíng)商已開(kāi)始推廣基于物聯(lián)網(wǎng)的污染治理實(shí)時(shí)監(jiān)測(cè)解決方案。

工業(yè)安全生產(chǎn)管理

“安全生產(chǎn)”是現(xiàn)代化工業(yè)中的重中之重。工業(yè)物聯(lián)網(wǎng)技術(shù)通過(guò)把傳感器安裝到礦山設(shè)備、油氣管道、礦工設(shè)備等危險(xiǎn)作業(yè)環(huán)境中，可以實(shí)時(shí)監(jiān)測(cè)作業(yè)人員、設(shè)備機(jī)器以及周邊環(huán)境等方面的安全狀態(tài)信息，全方位獲取生產(chǎn)環(huán)境中的安全要素，將現(xiàn)有的網(wǎng)絡(luò)監(jiān)管平臺(tái)提升為系統(tǒng)、開(kāi)放、多元的綜合網(wǎng)絡(luò)監(jiān)管平臺(tái)，有效保障了工業(yè)生產(chǎn)安全。

典型的物聯(lián)網(wǎng)安全威脅

設(shè)備劫持

這種威脅通常很難被發(fā)現(xiàn)。設(shè)備似乎以其通常的方式工作，但實(shí)際上，它受黑客控制并用于感染其他設(shè)備。例如，被劫持的智能電表可以感染其他智能電表，并最終使黑客能夠控制整個(gè)企業(yè)能源管理系統(tǒng)。

DDoS攻擊

首字母縮略詞代表“分布式拒絕服務(wù)攻擊”，即來(lái)自多個(gè)來(lái)源的攻擊并阻止最終用戶訪問(wèn)系統(tǒng)。毋庸置疑，企業(yè)環(huán)境中的此類物聯(lián)網(wǎng)安全漏洞是最有害的。

PDoS攻擊

此類攻擊會(huì)永久損壞目標(biāo)設(shè)備，并可能對(duì)整個(gè)企業(yè)工作流程造成重大中斷。中斷生產(chǎn)，損壞的設(shè)備和有缺陷的產(chǎn)品是PDoS攻擊的一些不良后果。

中間人

這些類型的攻擊是由人類造成的。攻擊者可能會(huì)損壞IoT基礎(chǔ)設(shè)施的其中一個(gè)元素或中斷兩個(gè)系統(tǒng)之間的通信。受損系統(tǒng)可能進(jìn)一步影響其他設(shè)備或系統(tǒng)，從而導(dǎo)致多米諾骨牌效應(yīng)和嚴(yán)重的物理?yè)p壞。

如何確保工業(yè)物聯(lián)網(wǎng)的安全性

概述物聯(lián)網(wǎng)安全威脅

識(shí)別現(xiàn)有威脅完全符合當(dāng)前的物聯(lián)網(wǎng)安全最佳實(shí)踐。首先，指出企業(yè)的安全風(fēng)險(xiǎn)類型特征：服務(wù)的可用性，數(shù)據(jù)完整性，損壞的產(chǎn)品，設(shè)備或庫(kù)存，人員安全等。隨著企業(yè)基礎(chǔ)架構(gòu)的轉(zhuǎn)型，這些風(fēng)險(xiǎn)可能會(huì)隨著時(shí)間而變化。

檢測(cè)易受攻擊的設(shè)備

此步驟涉及創(chuàng)建物聯(lián)網(wǎng)網(wǎng)絡(luò)的每個(gè)組件的寄存器，從最小的物聯(lián)網(wǎng)傳感器到整個(gè)制造工廠。因此，如果這些組件中的任何一個(gè)被感染或開(kāi)始顯示非典型活動(dòng)，則檢測(cè)起來(lái)會(huì)容易得多。識(shí)別這些設(shè)備中的安全漏洞將幫助您準(zhǔn)備智能工廠的安全系統(tǒng)，以應(yīng)對(duì)潛在的威脅。

建立訪問(wèn)策略

準(zhǔn)確了解誰(shuí)可以訪問(wèn)您注冊(cè)表中的每個(gè)物聯(lián)網(wǎng)設(shè)備可以幫助您預(yù)防攻擊并檢測(cè)潛在的危險(xiǎn)。您可以使用廣泛應(yīng)用于敏感數(shù)據(jù)保護(hù)的最小特權(quán)原則(PoLP)作為授予或拒絕訪問(wèn)權(quán)限的監(jiān)管基礎(chǔ)。

僅憑密碼保護(hù)可能還不夠。為了確保安全訪問(wèn)，請(qǐng)考慮使用高級(jí)人臉和語(yǔ)音識(shí)別系統(tǒng)，生物識(shí)別技術(shù)等。了解設(shè)備如何相互連接對(duì)于防止物聯(lián)網(wǎng)安全漏洞和攻擊也非常重要。

監(jiān)控可疑活動(dòng)

企業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)中的每臺(tái)設(shè)備都具有您可以信賴的操作標(biāo)準(zhǔn)。對(duì)其中一個(gè)的妥協(xié)表明安全漏洞可能正在進(jìn)行中。但是，只要您知道它們是如何互連的，您就不需要監(jiān)視網(wǎng)絡(luò)上的每個(gè)設(shè)備。

監(jiān)控最關(guān)鍵的設(shè)備可能足以檢測(cè)物聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊，并為您提供快速隔離故障設(shè)備以阻止其感染企業(yè)網(wǎng)絡(luò)的機(jī)會(huì)。

使用軟件解決方案進(jìn)行物聯(lián)網(wǎng)安全

智能企業(yè)需要同樣智能的安全系統(tǒng)。雖然大多數(shù)遺留安全系統(tǒng)通常使用無(wú)法處理越來(lái)越多的高速數(shù)據(jù)的固定模式SQL數(shù)據(jù)庫(kù)，但高級(jí)安全解決方案專門用于處理大型數(shù)據(jù)集。

根據(jù)最近的趨勢(shì)，所有企業(yè)數(shù)據(jù)都與安全相關(guān)，應(yīng)該對(duì)其進(jìn)行捕獲，索引和分類，以查明可能的威脅。為了確保物聯(lián)網(wǎng)安全，處理和分析來(lái)自防火墻的數(shù)據(jù)，IDS和防病毒軟件顯然是不夠的，因?yàn)樗鼈冎惶幚硭^的“已知”威脅。

為了檢測(cè)高級(jí)和以前未知的安全隱患，安全專家必須分析看似無(wú)關(guān)的數(shù)據(jù)類型(操作系統(tǒng)日志，LDAP / AD，徽章數(shù)據(jù)，DNS，NetFlow和電子郵件/ Web服務(wù)器)。事實(shí)上，必須捕獲和監(jiān)控安全和非安全數(shù)據(jù)，以提供實(shí)時(shí)通知和警報(bào)。

基于大數(shù)據(jù)分析，高級(jí)安全軟件正在為企業(yè)安全管理設(shè)立新標(biāo)準(zhǔn)。物聯(lián)網(wǎng)安全系統(tǒng)將通過(guò)檢測(cè)偏離規(guī)范的事件以及看似異常的事件組合自動(dòng)提醒您任何異常情況。

工業(yè)物聯(lián)網(wǎng)安全應(yīng)該防范的三個(gè)風(fēng)險(xiǎn)類別

工業(yè)物聯(lián)網(wǎng)設(shè)備和相關(guān)技術(shù)給企業(yè)帶來(lái)的常見(jiàn)安全風(fēng)險(xiǎn)可以分為三類：管理和運(yùn)營(yíng)風(fēng)險(xiǎn)、技術(shù)風(fēng)險(xiǎn)、物理風(fēng)險(xiǎn)。

1. 管理和運(yùn)營(yíng)風(fēng)險(xiǎn)

這種類型的風(fēng)險(xiǎn)涉及人為風(fēng)險(xiǎn)，無(wú)論是意外的還是有意的，例如工業(yè)物聯(lián)網(wǎng)設(shè)備的不當(dāng)使用或網(wǎng)絡(luò)攻擊者入侵網(wǎng)絡(luò)。缺乏全面的工業(yè)物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)管理計(jì)劃會(huì)使企業(yè)的業(yè)務(wù)安全性變得脆弱。該計(jì)劃必須包括安全政策、程序和定期培訓(xùn)，以在可能的情況下識(shí)別、管理和消除網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

人為造成的事故和錯(cuò)誤可能會(huì)造成安全漏洞，例如濫用或錯(cuò)誤安裝工業(yè)物聯(lián)網(wǎng)設(shè)備，以及使用遺留系統(tǒng)。懷有惡意的企業(yè)內(nèi)部人員和外部人員也將工業(yè)物聯(lián)網(wǎng)設(shè)備作為破壞目標(biāo)。工業(yè)物聯(lián)網(wǎng)設(shè)備和系統(tǒng)制造商可能會(huì)倒閉、消失或停止支持，而企業(yè)卻仍在使用他們的工業(yè)物聯(lián)網(wǎng)技術(shù)。這可能會(huì)使用于關(guān)鍵場(chǎng)景的工業(yè)物聯(lián)網(wǎng)設(shè)備存在一些被攻擊利用的漏洞。

2. 技術(shù)風(fēng)險(xiǎn)

日益增長(zhǎng)的物聯(lián)網(wǎng)設(shè)備擴(kuò)大了攻擊面而這些設(shè)備往往存在用戶未知且可被網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)的漏洞。工業(yè)物聯(lián)網(wǎng)部署在IT和OT之間建立了新的連接，這增加了部署的復(fù)雜性和安全風(fēng)險(xiǎn)，尤其是對(duì)于非標(biāo)準(zhǔn)化的工業(yè)物聯(lián)網(wǎng)硬件、軟件和固件。工業(yè)物聯(lián)網(wǎng)缺乏全球采用的安全性和互操作性技術(shù)標(biāo)準(zhǔn)導(dǎo)致設(shè)備、控制器和支持系統(tǒng)的安全性不一致。許多工業(yè)物聯(lián)網(wǎng)設(shè)備使用弱密碼或沒(méi)有加密，身份驗(yàn)證較弱或沒(méi)有身份驗(yàn)證，并且運(yùn)行在容易受到網(wǎng)絡(luò)攻擊的軟件上。

3. 物理風(fēng)險(xiǎn)

自然災(zāi)害、突發(fā)事件或網(wǎng)絡(luò)攻擊可能會(huì)中斷或改變工業(yè)物聯(lián)網(wǎng)系統(tǒng)的工作方式。網(wǎng)絡(luò)攻擊者可能會(huì)以物理安全性較差的設(shè)備為目標(biāo)，并直接對(duì)其進(jìn)行更改，從而以有害的方式影響物理世界。例如，網(wǎng)絡(luò)攻擊者會(huì)以控制石油管道或其他資源的物聯(lián)網(wǎng)設(shè)備為目標(biāo)。許多工業(yè)物聯(lián)網(wǎng)設(shè)備需要人工完成維護(hù)或更新，這對(duì)于使用它們的員工來(lái)說(shuō)可能是不可能實(shí)現(xiàn)的。

遵循推薦的工業(yè)物聯(lián)網(wǎng)安全實(shí)踐

某些網(wǎng)絡(luò)安全目標(biāo)應(yīng)該是每個(gè)工業(yè)物聯(lián)網(wǎng)安裝的一部分。首先，企業(yè)必須使用安全的工業(yè)物聯(lián)網(wǎng)設(shè)備和系統(tǒng)。物聯(lián)網(wǎng)團(tuán)隊(duì)必須配置設(shè)備以防止它們被用作網(wǎng)絡(luò)攻擊的一部分，例如分布式拒絕服務(wù)(DDoS)、數(shù)據(jù)泄露或設(shè)備設(shè)置的修改。

企業(yè)還應(yīng)建立數(shù)據(jù)安全控制。他們必須保護(hù)由工業(yè)物聯(lián)網(wǎng)技術(shù)收集、處理、存儲(chǔ)、傳輸?shù)乃袛?shù)據(jù)的機(jī)密性、完整性和可用性。部署中缺乏數(shù)據(jù)完整性和不一致是工業(yè)物聯(lián)網(wǎng)的固有風(fēng)險(xiǎn)。每個(gè)實(shí)施工業(yè)物聯(lián)網(wǎng)設(shè)備的企業(yè)都必須具有以下領(lǐng)域的安全功能：

◆ 管理和運(yùn)營(yíng)安全控制。這些是確保工業(yè)物聯(lián)網(wǎng)部署安全所必需的基于人員的行動(dòng)。控制措施包括管理設(shè)備的選擇、開(kāi)發(fā)、實(shí)施和維護(hù)所需的行動(dòng)。安全措施必須保護(hù)工業(yè)物聯(lián)網(wǎng)數(shù)據(jù)和設(shè)備功能，并管理使用工業(yè)物聯(lián)網(wǎng)設(shè)備的勞動(dòng)力。采取的一些措施包括工業(yè)物聯(lián)網(wǎng)安全控制設(shè)置文檔、政策和程序、設(shè)備安全使用培訓(xùn)或執(zhí)行工業(yè)物聯(lián)網(wǎng)風(fēng)險(xiǎn)評(píng)估。

◆ 技術(shù)安全。這些是確保有效的工業(yè)物聯(lián)網(wǎng)安全和保護(hù)作為工業(yè)物聯(lián)網(wǎng)系統(tǒng)一部分的技術(shù)元素(例如云計(jì)算服務(wù)或供應(yīng)鏈)所必需的基于技術(shù)的組件。這包括使用多因素身份驗(yàn)證、加密、安全啟動(dòng)和設(shè)備識(shí)別技術(shù)進(jìn)行工業(yè)物聯(lián)網(wǎng)設(shè)備身份驗(yàn)證等控制。

◆ 物理安全。物理措施和工具可以保護(hù)工業(yè)物聯(lián)網(wǎng)設(shè)備以及相關(guān)服務(wù)器、控制器、顯示屏、輸入和輸出設(shè)備以及構(gòu)成工業(yè)物聯(lián)網(wǎng)環(huán)境設(shè)施的所有硬件。企業(yè)必須建立設(shè)施和工業(yè)物聯(lián)網(wǎng)設(shè)備附近訪問(wèn)控制，僅允許授權(quán)使用和訪問(wèn)專有數(shù)據(jù)，并限制對(duì)工業(yè)物聯(lián)網(wǎng)設(shè)備和系統(tǒng)控制進(jìn)行修改的能力。這些示例包括保護(hù)對(duì)存儲(chǔ)卡的訪問(wèn)、禁用不必要的USB端口、僅允許授權(quán)實(shí)體查看工業(yè)物聯(lián)網(wǎng)設(shè)備的屏幕，以及控制對(duì)工業(yè)物聯(lián)網(wǎng)設(shè)備和相關(guān)硬件的物理訪問(wèn)。

如果沒(méi)有針對(duì)這三類的安全控制措施，工業(yè)物聯(lián)網(wǎng)設(shè)備和系統(tǒng)就不會(huì)保證安全。

參考鏈接：

工業(yè)物聯(lián)網(wǎng)_百度百科

https://baike.baidu.com/item/%E5%B7%A5%E4%B8%9A%E7%89%A9%E8%81%94%E7%BD%91/9887156?fr=aladdin#reference-[1]-22839214-wrap

https://zhuanlan.zhihu.com/p/115747821

https://zhuanlan.zhihu.com/p/402926984

來(lái)源：“三中網(wǎng)安”微信公眾號(hào)