物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)的安全挑戰(zhàn)范圍從不安全的web和移動接口以及網(wǎng)絡(luò)服務(wù)，到糟糕的加密、身份驗(yàn)證和物理安全。特別是在工業(yè)環(huán)境中，組織意識到他們必須解決整個物聯(lián)網(wǎng)生態(tài)系統(tǒng)，包括:在工廠地板上運(yùn)行的操作技術(shù)(OT);連接到物聯(lián)網(wǎng)云平臺的新設(shè)備;連接到業(yè)務(wù)系統(tǒng)的IT系統(tǒng);新的設(shè)備和傳感器，以及介于兩者之間的一切。

美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)和國際自動化學(xué)會(ISA)等組織曾試圖通過發(fā)布物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)來提供幫助，但這些指導(dǎo)方針非常復(fù)雜，難以理解，也難以實(shí)施，因?yàn)樗鼈兺狈γ鞔_的實(shí)施建議。設(shè)備制造商和集成商可以自行決定如何在其設(shè)備所需的安全級別上實(shí)現(xiàn)適當(dāng)?shù)陌踩?、可靠性、彈性和私密性。通常情況下，這意味著標(biāo)準(zhǔn)沒有被實(shí)際應(yīng)用，因?yàn)槿藗冋J(rèn)為它們太復(fù)雜了。

例如，可信計(jì)算組的TPM2.0標(biāo)準(zhǔn)提供了在微芯片和固件中嵌入唯一密鑰的指導(dǎo)，以幫助證明物聯(lián)網(wǎng)設(shè)備的身份，但該技術(shù)文檔長達(dá)3000多頁。

這些挑戰(zhàn)使得業(yè)界對以IOT為中心的攻擊毫無準(zhǔn)備。事實(shí)上，最近的一項(xiàng)調(diào)查發(fā)現(xiàn)，97%的受訪者認(rèn)為，不安全的物聯(lián)網(wǎng)設(shè)備對他們的組織會構(gòu)成重大風(fēng)險(xiǎn)。

工業(yè)物聯(lián)網(wǎng)尤其重要，甚至更難獲得安全保障

從2010年的超級工廠病毒(Stuxnet)，一直到2018年擴(kuò)大的Triton式攻擊，工業(yè)系統(tǒng)已成為首要攻擊目標(biāo)——這一事實(shí)尤其令人不安，也具有重大影響。雖然Target或Equifax的數(shù)據(jù)泄露可能是毀滅性的，會危及數(shù)百萬客戶的隱私和財(cái)務(wù)，但對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊可能造成無法估量的損害、操作故障，甚至是生命損失。

想想1979年的三里島核事故和2010年英國石油公司深水地平線漏油事故;它們可能都是意外，但所涉及的控制系統(tǒng)故障與執(zhí)行良好的網(wǎng)絡(luò)攻擊很容易造成的故障類型相同。事實(shí)上，據(jù)稱2014年德國一家鋼廠發(fā)生的黑客攻擊，破壞了一座高爐，導(dǎo)致高爐發(fā)生故障，對高爐設(shè)施造成重大損害。

請記住，對于煉油廠和其他一些復(fù)雜的工業(yè)企業(yè)來說，緊急停產(chǎn)可能需要一年或更長時(shí)間才能恢復(fù)。這意味著收入損失，名譽(yù)受損，甚至可能破產(chǎn)。

不幸的是，工業(yè)物聯(lián)網(wǎng)安全特別難以實(shí)現(xiàn)。許多工業(yè)部件是很久以前制造的，設(shè)計(jì)成可以連續(xù)運(yùn)行。這使得為安全而改造系統(tǒng)變得十分困難;一些工業(yè)控制系統(tǒng)已經(jīng)存在了幾十年，每年的維護(hù)時(shí)間僅有4個小時(shí)。

保護(hù)物聯(lián)網(wǎng)安全的正確方法

企業(yè)越來越意識到，為了保護(hù)組織和維護(hù)運(yùn)營，它們必須跨整個物聯(lián)網(wǎng)生態(tài)系統(tǒng)實(shí)現(xiàn)安全性——尤其是在工業(yè)環(huán)境中。

最大的挑戰(zhàn)是將安全性覆蓋到涉及舊設(shè)備和遺留系統(tǒng)的“棕地”問題空間。與此同時(shí)，對于制造商來說，從一開始就確保正在開發(fā)的新“綠地”設(shè)備的安全性至關(guān)重要。

協(xié)調(diào)連接到“棕地”和“綠地”系統(tǒng)的物聯(lián)網(wǎng)基礎(chǔ)設(shè)施的安全性說起來容易做起來難。在棕地方面，一些系統(tǒng)根本無法升級——這意味著你唯一的選擇是更換系統(tǒng)，或者找到一種方法在系統(tǒng)前面放置一個安全網(wǎng)關(guān)。其他棕地元素可以通過更強(qiáng)的身份驗(yàn)證、更多的加密或更好的web、移動或物理安全性逐步升級。在綠地方面，在所有設(shè)備和組件的開發(fā)和生產(chǎn)周期中，應(yīng)盡早將安全性納入其設(shè)計(jì)。

最后，開發(fā)人員應(yīng)該明白，即使一個全新的系統(tǒng)從工廠獲得了安全認(rèn)證，如果它進(jìn)入的環(huán)境沒有全面的安全性，那么它的運(yùn)營能力仍然可能受到影響。

在您自己的組織中實(shí)現(xiàn)更好的物聯(lián)網(wǎng)安全性

到目前為止，應(yīng)該清楚的是，沒有一種萬能的解決方案，人們可以簡單地購買，然后輕輕一按開關(guān)就能打開。相反，物聯(lián)網(wǎng)安全是必須用適合您組織及其漏洞的正確策略和行業(yè)伙伴關(guān)系來實(shí)現(xiàn)的。

無論您的具體實(shí)現(xiàn)方法是什么，它都應(yīng)該包括一個安全堆棧，該堆?？梢钥绮煌亩它c(diǎn)環(huán)境處理需求。另外，確保您的安全解決方案足夠強(qiáng)大，能夠增強(qiáng)存儲、通信和容器化應(yīng)用程序的安全性。并確保任何工業(yè)設(shè)備滿足美國NIST800-63BAAL3的要求(最高級別的認(rèn)證保證)。

最重要的是，您實(shí)現(xiàn)這些高級別安全性的能力不應(yīng)該被大量復(fù)雜的標(biāo)準(zhǔn)和指導(dǎo)手冊所拖累。合適的行業(yè)合作伙伴可以將這種復(fù)雜性打包，以確保您獲得適當(dāng)?shù)陌踩院妥駨男浴粫蜎]在文檔中。要求供應(yīng)商提供全面的安全性，這種安全性仍然足夠簡單，易于理解和實(shí)現(xiàn)。

開發(fā)更強(qiáng)大的物聯(lián)網(wǎng)安全性已成為所有組織的主要關(guān)注點(diǎn)——尤其是那些處理關(guān)鍵基礎(chǔ)設(shè)施的組織。無論您是設(shè)備制造商還是服務(wù)提供商，每個人都可以更好地了解現(xiàn)有物聯(lián)網(wǎng)安全領(lǐng)域，以及如何加強(qiáng)它。(IT168)

聲明：本文為轉(zhuǎn)載類文章，如涉及版權(quán)問題，請及時(shí)聯(lián)系我們刪除（QQ: 2737591964），不便之處，敬請諒解！