工業物聯網下的網絡安全，應如何應對？

圖片來源：pexels

隨著時代的發展和科技的進步，物聯網產業逐漸成為炙手可熱的領域，并在近幾年越來越廣泛地應用于工業領域。有關企業主要是利用5G和物聯網(IoT)技術將工業運營技術(Operational Technology，也稱OT)系統連接到信息技術(Information Technology，也稱IT)系統或互聯網，從而提高效率和生產力，加強管理。

然而，隨著物聯網在工業領域的不斷落地應用，其網絡安全也變得愈發重要。尤其是OT系統及IT系統融合下，還會帶來新的網絡安全風險，面對這些挑戰，應如何應對呢?跟著小編一起來瞧瞧吧~

1.?IT系統/OT系統融合帶來的挑戰

圖片來源：pexels

“工業4.0”當前最大的困難是如何穩妥地把OT系統及IT系統連接起來。因為這兩者在諸多方面存在著不同，因此融合起來非常困難。

?對安全的考量優次不同

IT系統著重保護用戶數據，并以數據保密及保護數據不被篡改為主要目的。

OT系統則較少處理用戶數據，更重視確保機器可持續地、可靠地和安全地運作，以及保護運作參數。

?生命周期

IT系統的生命周期通常較短，大約是3至5年;而OT系統的生命周期可能長達20多年。

?網絡安全標準和作業系統

IT系統較早連接到互聯網，因此面對黑客的攻擊，已具備一套成熟的信息安全技術。

而OT系統則存在著以下不足：

?? OT系統通常處于一個與世隔絕的網絡環境，在設計上數據會用低強度的加密方法來傳送，甚至是沒有加密;

?? 多采用客制化的作業系統，任何重大改動都有可能影響不同機器間的協調運作;

?? 在設計時未考慮黑客攻擊的風險，所以防護措施及相關的網絡安全發展相對落后。

?維護要求

IT系統在設計時一般會考慮“主副”機制，即使在主系統維護時需要重新啟動，副系統也能持續服務。

OT系統在運營上難以實施“主副”機制。若要在維護時停運OT系統，會影響生產。即使維修完成后，也需要進行安全測試，才能重新投入生產。與IT系統相比，OT系統在維護時需要考慮更多因素，為此造成其維護頻率相對較少，易留下安全隱患。

2.?IT系統/OT系統融合前后的建議

圖片來源：pexels

通過以上對IT系統和OT系統兩者的區別介紹，相信你對IT和OT融合存在的挑戰有了更深入的了解。正因為融合時存在各種挑戰，我們更需要做好充分的準備，以降低融合前后帶來的風險。香港計算機保安事故協調中心(HKCERT)對此提供以下建議：

?進行網絡及安全評估

對整個OT系統及IT系統進行網絡及安全評估。網絡評估是指對企業內所有系統資產、網絡結構及數據流向進行審查;安全評估則是對企業內的登錄賬號、遠程接入方法、系統存在的漏洞及網絡服務進行分析。

?撰寫風險評估報告

從運營及信息安全角度，把運營、流程、系統等風險進行確認及分類。對所有風險制定建議及解決方法，并撰寫一份全面的評估報告。

?制定實施計劃及嚴格執行

制定實施計劃前，需梳理各方的職責;融合前，需把評估報告提及的風險先清理;制定詳細及清晰的融合計劃和合適的時間表。操作人員需要嚴格執行實施計劃，并在操作完成后進行評估測試。

?更新運營政策

融合后，企業可以考慮重組IT團隊及OT團隊，或增聘IT及OT技術兼備的專家來協助運營;在維護方面，雙方團隊需要同步及統一信息安全標準。對過往未能監管的系統立即進行改正，以免黑客隱藏在企業系統進行攻擊。

企業在開展工業物聯網項目時，除了可以在上述方面自行做好準備，也可以尋求相關機構進行協助。我們生產力局在工業物聯網方面也有所布局。

物聯網(IoT)和運營技術(OT)

網絡安全測試服務

服務范圍：

● 識別企業物聯網(IoT)和運營技術(OT)系統

幫助企業尋找在應用程序中的潛在安全漏洞，并識別潛在的安全弱點，以防被惡意攻擊者利用。

● 建立相關法規和標準

全面技術測試和合規性評估，并建議企業實踐最佳行業標準。

● 網絡安全專家建議方案

使用手動測試、自動化工具和合規性評估結合的方案，徹底檢查IoT和OT系統上和移動應用程序的安全性，并提供解決修正方案。

● 一系列測試

包括測試潛在的技術威脅，設備通信的安全性、網絡和設備上未經授權的訪問、應用程序代碼的漏洞和移動應用程序中的安全問題，例如：加密不足、認證機制不強、數據存儲不安全等。

未來，將是一個萬物互聯的時代，一切都將被連接、被賦能。而工業物聯網正是大勢所趨，如何防范其產生的新的網絡安全問題，仍是當今和未來一段時間需要認真考慮的重要問題，網絡安全“任重而道遠”。

來源：香港生產力HKPC