工業(yè)物聯(lián)網(wǎng)的安全現(xiàn)狀與背后原因

如今，移動技術的應用和增長創(chuàng)造了一個快節(jié)奏的社會，人們對即時信息和即時反饋已經(jīng)習以為常，工業(yè)物聯(lián)網(wǎng)涉及物聯(lián)網(wǎng)技術在制造工藝和供應鏈中的應用。除了來自設備和傳感器的數(shù)據(jù)外，工業(yè)物聯(lián)網(wǎng)戰(zhàn)略還應該結(jié)合機器學習和大數(shù)據(jù)技術，利用現(xiàn)有傳感器、機器對機器（M2M）通信、自動化技術的組合，可以為企業(yè)提供更多見解。

被廣泛視為“智慧工廠”核心支柱的工業(yè)4．0無疑是實現(xiàn)適應性、自動化與敏捷性的新型聯(lián)網(wǎng)硬件基礎。LNS方面發(fā)現(xiàn)，大多數(shù)工業(yè)企業(yè)都有計劃實施數(shù)字化轉(zhuǎn)型，而這意味著網(wǎng)絡安全問題正變得比以往任何時間都更加重要。遺憾的是，大多數(shù)計劃邁入工業(yè)物聯(lián)網(wǎng)領域的企業(yè)都未能考慮到安全性這項因素，這主要是由于運營技術與信息技術之間存在嚴重隔閡，而這道鴻溝甚至有可能嚴重影響到工業(yè)數(shù)字化轉(zhuǎn)型浪潮的未來命運。

報告指出，40％的工業(yè)企業(yè)已經(jīng)啟動工業(yè)物聯(lián)網(wǎng)計劃，另有24％則計劃在明年之內(nèi)開始著手。眾多下一代工業(yè)物聯(lián)網(wǎng)平臺都將以即服務（＊aaS）方式運行，這將帶來更突出的靈活性、易用性并生成大量可量化數(shù)據(jù)。但這一切在網(wǎng)絡安全層面又會帶來新的軟肋——特別是考慮到工業(yè)企業(yè)通常將安全保護視為一種附加因素，而非工業(yè)物聯(lián)網(wǎng)PaaS體系中的固有部分。

LNS方面就工業(yè)物聯(lián)網(wǎng)安全所面臨的巨大風險給出了三項原因，首先是企業(yè)并不了解相關威脅的嚴重程度，再者是IT與OT在各自的孤島內(nèi)運作，還有就是嚴重缺乏網(wǎng)絡安全最佳實踐的實施經(jīng)驗。

1、威脅態(tài)勢

研究結(jié)果顯示，企業(yè)對威脅態(tài)勢并不清楚：47％的受訪企業(yè)沒有處理過任何安全違規(guī)事件。其中19％的企業(yè)曾因便攜式存儲介質(zhì)上的惡意軟件而遭遇安全事故，相比之下直接攻擊活動則非常罕見。這使得眾多企業(yè)面對網(wǎng)絡安全工作抱有一種“迷之自信”。但這種自信顯然站不住腳，例如美國國土安全部就曾警告稱，目前每一家主要自動化方案供應商的產(chǎn)品中都包含有已知軟件漏洞。這意味著直接攻擊必將發(fā)生，只是或早或晚的問題。

2、IT與OT間的彼此孤立

導致網(wǎng)絡安全挑戰(zhàn)的另一大問題在于IT與OT間的彼此孤立。OT包括工廠當中非企業(yè)模式的一切元素，例如控制系統(tǒng)、監(jiān)控系統(tǒng)、工廠硬件以及機器等等。

報告指出，“即使企業(yè)開始以認真態(tài)度對待工業(yè)網(wǎng)絡安全，如果不能在IT與OT之間建立起真正的合作關系，問題仍然不可能得到充分解決。”IT技能與OT專業(yè)知識應當加以結(jié)合，從而為下一代工業(yè)技術創(chuàng)造行之有效的安全規(guī)劃。

3、缺乏網(wǎng)絡安全實施經(jīng)驗

而在最佳實踐方面，這里還列出了一系列令人沮喪的數(shù)字。只有35％的受訪企業(yè)擁有專門的首席信息安全官（簡稱CISO），其余企業(yè)則將這部分職責歸入首席信息官的職能范疇。報告指出：“為了使得IT與OT的融合成為現(xiàn)實，并確保企業(yè)實施有效的工業(yè)網(wǎng)絡安全解決方案，CISO與CIO這兩大角色必須同時存在且協(xié)同工作。”除了缺乏CISO之外，工業(yè)企業(yè)在其它安全領域也較為落后。只有49％的企業(yè)擁有廠內(nèi)帳戶管理政策，而只有38％企業(yè)擁有聯(lián)網(wǎng)設備清單并記錄往來流量，另外38％企業(yè)并未進行任何網(wǎng)絡安全監(jiān)控。

無論是哪個行業(yè)，其原本的所謂下一代技術都是簡單將舊有、過時的成果拼湊在新的系統(tǒng)之上，而這類系統(tǒng)往往根本無法與現(xiàn)代數(shù)字化世界進行對接。而這一輪技術變革浪潮在給我們帶來無限可能性之余，亦提醒人們其必須配合新的且能夠相互聯(lián)系的基礎方可實現(xiàn)成功——此外，將安全元素視為其核心組成部分同樣至關重要。

總結(jié)：因此無論是工業(yè)企業(yè)抑或其它領域機構(gòu)，都應當認真聽取建議，包括確保網(wǎng)絡安全成為數(shù)字化轉(zhuǎn)型戰(zhàn)略中的基本組成部分，著重于采用最佳實踐（立足現(xiàn)有及未來即將出現(xiàn)的系統(tǒng)），最終消除IT與OT（或者其它需要與IT建立合作關系的相關方）間的孤島。