工業物聯網應用領域、安全威脅及安全風險

前言

工業物聯網是將具有感知、監控能力的各類采集、控制傳感器或控制器，以及移動通信、智能分析等技術不斷融入到工業生產過程各個環節，從而大幅提高制造效率，改善產品質量，降低產品成本和資源消耗，最終實現將傳統工業提升到智能化的新階段。從應用形式上，工業物聯網的應用具有實時性、自動化、嵌入式(軟件)、安全性、和信息互通互聯性等特點。

通常，工業物聯網基礎設施包括各種互連設備和軟件，聚合和傳輸數據以及訪問互聯網。智能工廠物聯網系統的整體復雜性非常廣泛，安全漏洞的數量隨后大幅增加。顯然，傳統的防火墻和抗病毒系統是不夠的; 復雜的IIoT基礎設施需要更先進的東西。

在企業環境中，最容易發生網絡攻擊的工業控制系統包括監督控制和數據采集系統(也稱為SCADA)，可編程邏輯控制器，連接人和機器的接口以及分布式控制系統。

如今，許多垂直行業已經采用了工業物聯網，但這并不意味著他們的部署是安全的。工業物聯網向傳統IT系統引入了具有不同威脅向量和相關風險的各種運營技術(OT)架構。許多風險已經存在了幾十年，并且已經進入快速發展的工業物聯網的領域。

工業物聯網應用領域

制造業供應鏈管理

企業利用物聯網技術，能及時掌握原材料采購、庫存、銷售等信息，通過大數據分析還能預測原材料的價格趨向、供求關系等，有助于完善和優化供應鏈管理體系，提高供應鏈效率，降低成本。空中客車通過在供應鏈體系中應用傳感網絡技術，構建了全球制造業中規模最大、效率最高的供應鏈體系。

生產過程工藝優化

工業物聯網的泛在感知特性提高了生產線過程檢測、實時參數采集、材料消耗監測的能力和水平，通過對數據的分析處理可以實現智能監控、智能控制、智能診斷、智能決策、智能維護，提高生產力，降低能源消耗。鋼鐵企業應用各種傳感器和通信網絡，在生產過程中實現了對加工產品的寬度、厚度、溫度實時監控，提高了產品質量，優化了生產流程。

生產設備監控管理

利用傳感技術對生產設備進行健康監控，可以及時跟蹤生產過程中各個工業機器設備的使用情況，通過網絡把數據匯聚到設備生產商的數據分析中心進行處理，能有效地進行機器故障診斷、預測，快速、精確地定位故障原因，提高維護效率，降低維護成本。GEOil&Gas集團在全球建立了13個面向不同產品的i-Center(綜合服務中心)，通過傳感器和網絡對設備進行了在線監測和實時監控，并提供了設備維護和故障診斷的解決方案。

環保監測及能源管理

工業物聯網與環保設備的融合可以實現對工業生產過程中產生的各種污染源及污染治理環節關鍵指標的實時監控。在化工、輕工、火電廠等企業布署傳感器網絡，不僅可以實時監測企業排污數據，而且可以通過智能化的數據報警及時發現排污異常并停止相應的生產過程，防止突發性環境污染事故發生。電信運營商已開始推廣基于物聯網的污染治理實時監測解決方案。

工業安全生產管理

“安全生產”是現代化工業中的重中之重。工業物聯網技術通過把傳感器安裝到礦山設備、油氣管道、礦工設備等危險作業環境中，可以實時監測作業人員、設備機器以及周邊環境等方面的安全狀態信息，全方位獲取生產環境中的安全要素，將現有的網絡監管平臺提升為系統、開放、多元的綜合網絡監管平臺，有效保障了工業生產安全。

典型的物聯網安全威脅

設備劫持

這種威脅通常很難被發現。設備似乎以其通常的方式工作，但實際上，它受黑客控制并用于感染其他設備。例如，被劫持的智能電表可以感染其他智能電表，并最終使黑客能夠控制整個企業能源管理系統。

DDoS攻擊

首字母縮略詞代表“分布式拒絕服務攻擊”，即來自多個來源的攻擊并阻止最終用戶訪問系統。毋庸置疑，企業環境中的此類物聯網安全漏洞是最有害的。

PDoS攻擊

此類攻擊會永久損壞目標設備，并可能對整個企業工作流程造成重大中斷。中斷生產，損壞的設備和有缺陷的產品是PDoS攻擊的一些不良后果。

中間人

這些類型的攻擊是由人類造成的。攻擊者可能會損壞IoT基礎設施的其中一個元素或中斷兩個系統之間的通信。受損系統可能進一步影響其他設備或系統，從而導致多米諾骨牌效應和嚴重的物理損壞。

如何確保工業物聯網的安全性

概述物聯網安全威脅

識別現有威脅完全符合當前的物聯網安全最佳實踐。首先，指出企業的安全風險類型特征：服務的可用性，數據完整性，損壞的產品，設備或庫存，人員安全等。隨著企業基礎架構的轉型，這些風險可能會隨著時間而變化。

檢測易受攻擊的設備

此步驟涉及創建物聯網網絡的每個組件的寄存器，從最小的物聯網傳感器到整個制造工廠。因此，如果這些組件中的任何一個被感染或開始顯示非典型活動，則檢測起來會容易得多。識別這些設備中的安全漏洞將幫助您準備智能工廠的安全系統，以應對潛在的威脅。

建立訪問策略

準確了解誰可以訪問您注冊表中的每個物聯網設備可以幫助您預防攻擊并檢測潛在的危險。您可以使用廣泛應用于敏感數據保護的最小特權原則(PoLP)作為授予或拒絕訪問權限的監管基礎。

僅憑密碼保護可能還不夠。為了確保安全訪問，請考慮使用高級人臉和語音識別系統，生物識別技術等。了解設備如何相互連接對于防止物聯網安全漏洞和攻擊也非常重要。

監控可疑活動

企業物聯網網絡中的每臺設備都具有您可以信賴的操作標準。對其中一個的妥協表明安全漏洞可能正在進行中。但是，只要您知道它們是如何互連的，您就不需要監視網絡上的每個設備。

監控最關鍵的設備可能足以檢測物聯網網絡攻擊，并為您提供快速隔離故障設備以阻止其感染企業網絡的機會。

使用軟件解決方案進行物聯網安全

智能企業需要同樣智能的安全系統。雖然大多數遺留安全系統通常使用無法處理越來越多的高速數據的固定模式SQL數據庫，但高級安全解決方案專門用于處理大型數據集。

根據最近的趨勢，所有企業數據都與安全相關，應該對其進行捕獲，索引和分類，以查明可能的威脅。為了確保物聯網安全，處理和分析來自防火墻的數據，IDS和防病毒軟件顯然是不夠的，因為它們只處理所謂的“已知”威脅。

為了檢測高級和以前未知的安全隱患，安全專家必須分析看似無關的數據類型(操作系統日志，LDAP / AD，徽章數據，DNS，NetFlow和電子郵件/ Web服務器)。事實上，必須捕獲和監控安全和非安全數據，以提供實時通知和警報。

基于大數據分析，高級安全軟件正在為企業安全管理設立新標準。物聯網安全系統將通過檢測偏離規范的事件以及看似異常的事件組合自動提醒您任何異常情況。

工業物聯網安全應該防范的三個風險類別

工業物聯網設備和相關技術給企業帶來的常見安全風險可以分為三類：管理和運營風險、技術風險、物理風險。

1. 管理和運營風險

這種類型的風險涉及人為風險，無論是意外的還是有意的，例如工業物聯網設備的不當使用或網絡攻擊者入侵網絡。缺乏全面的工業物聯網安全風險管理計劃會使企業的業務安全性變得脆弱。該計劃必須包括安全政策、程序和定期培訓，以在可能的情況下識別、管理和消除網絡安全風險。

人為造成的事故和錯誤可能會造成安全漏洞，例如濫用或錯誤安裝工業物聯網設備，以及使用遺留系統。懷有惡意的企業內部人員和外部人員也將工業物聯網設備作為破壞目標。工業物聯網設備和系統制造商可能會倒閉、消失或停止支持，而企業卻仍在使用他們的工業物聯網技術。這可能會使用于關鍵場景的工業物聯網設備存在一些被攻擊利用的漏洞。

2. 技術風險

日益增長的物聯網設備擴大了攻擊面而這些設備往往存在用戶未知且可被網絡攻擊者發現的漏洞。工業物聯網部署在IT和OT之間建立了新的連接，這增加了部署的復雜性和安全風險，尤其是對于非標準化的工業物聯網硬件、軟件和固件。工業物聯網缺乏全球采用的安全性和互操作性技術標準導致設備、控制器和支持系統的安全性不一致。許多工業物聯網設備使用弱密碼或沒有加密，身份驗證較弱或沒有身份驗證，并且運行在容易受到網絡攻擊的軟件上。

3. 物理風險

自然災害、突發事件或網絡攻擊可能會中斷或改變工業物聯網系統的工作方式。網絡攻擊者可能會以物理安全性較差的設備為目標，并直接對其進行更改，從而以有害的方式影響物理世界。例如，網絡攻擊者會以控制石油管道或其他資源的物聯網設備為目標。許多工業物聯網設備需要人工完成維護或更新，這對于使用它們的員工來說可能是不可能實現的。

遵循推薦的工業物聯網安全實踐

某些網絡安全目標應該是每個工業物聯網安裝的一部分。首先，企業必須使用安全的工業物聯網設備和系統。物聯網團隊必須配置設備以防止它們被用作網絡攻擊的一部分，例如分布式拒絕服務(DDoS)、數據泄露或設備設置的修改。

企業還應建立數據安全控制。他們必須保護由工業物聯網技術收集、處理、存儲、傳輸的所有數據的機密性、完整性和可用性。部署中缺乏數據完整性和不一致是工業物聯網的固有風險。每個實施工業物聯網設備的企業都必須具有以下領域的安全功能：

◆ 管理和運營安全控制。這些是確保工業物聯網部署安全所必需的基于人員的行動。控制措施包括管理設備的選擇、開發、實施和維護所需的行動。安全措施必須保護工業物聯網數據和設備功能，并管理使用工業物聯網設備的勞動力。采取的一些措施包括工業物聯網安全控制設置文檔、政策和程序、設備安全使用培訓或執行工業物聯網風險評估。

◆ 技術安全。這些是確保有效的工業物聯網安全和保護作為工業物聯網系統一部分的技術元素(例如云計算服務或供應鏈)所必需的基于技術的組件。這包括使用多因素身份驗證、加密、安全啟動和設備識別技術進行工業物聯網設備身份驗證等控制。

◆ 物理安全。物理措施和工具可以保護工業物聯網設備以及相關服務器、控制器、顯示屏、輸入和輸出設備以及構成工業物聯網環境設施的所有硬件。企業必須建立設施和工業物聯網設備附近訪問控制，僅允許授權使用和訪問專有數據，并限制對工業物聯網設備和系統控制進行修改的能力。這些示例包括保護對存儲卡的訪問、禁用不必要的USB端口、僅允許授權實體查看工業物聯網設備的屏幕，以及控制對工業物聯網設備和相關硬件的物理訪問。

如果沒有針對這三類的安全控制措施，工業物聯網設備和系統就不會保證安全。

參考鏈接：

工業物聯網_百度百科

https://baike.baidu.com/item/%E5%B7%A5%E4%B8%9A%E7%89%A9%E8%81%94%E7%BD%91/9887156?fr=aladdin#reference-[1]-22839214-wrap

https://zhuanlan.zhihu.com/p/115747821

https://zhuanlan.zhihu.com/p/402926984

來源：“三中網安”微信公眾號