工业物联网下的网络安全，应如何应对？

图片来源：pexels

随着时代的发展和科技的进步，物联网产业逐渐成为炙手可热的领域，并在近几年越来越广泛地应用于工业领域。有关企业主要是利用5G和物联网(IoT)技术将工业运营技术(Operational Technology，也称OT)系统连接到信息技术(Information Technology，也称IT)系统或互联网，从而提高效率和生产力，加强管理。

然而，随着物联网在工业领域的不断落地应用，其网络安全也变得愈发重要。尤其是OT系统及IT系统融合下，还会带来新的网络安全风险，面对这些挑战，应如何应对呢?跟着小编一起来瞧瞧吧~

1. IT系统/OT系统融合带来的挑战

图片来源：pexels

“工业4.0”当前最大的困难是如何稳妥地把OT系统及IT系统连接起来。因为这两者在诸多方面存在着不同，因此融合起来非常困难。

▶对安全的考量优次不同

IT系统着重保护用户数据，并以数据保密及保护数据不被篡改为主要目的。

OT系统则较少处理用户数据，更重视确保机器可持续地、可靠地和安全地运作，以及保护运作参数。

▶生命周期

IT系统的生命周期通常较短，大约是3至5年;而OT系统的生命周期可能长达20多年。

▶网络安全标准和作业系统

IT系统较早连接到互联网，因此面对黑客的攻击，已具备一套成熟的信息安全技术。

而OT系统则存在着以下不足：

 • OT系统通常处于一个与世隔绝的网络环境，在设计上数据会用低强度的加密方法来传送，甚至是没有加密;

 • 多采用客制化的作业系统，任何重大改动都有可能影响不同机器间的协调运作;

 • 在设计时未考虑黑客攻击的风险，所以防护措施及相关的网络安全发展相对落后。

▶维护要求

IT系统在设计时一般会考虑“主副”机制，即使在主系统维护时需要重新启动，副系统也能持续服务。

OT系统在运营上难以实施“主副”机制。若要在维护时停运OT系统，会影响生产。即使维修完成后，也需要进行安全测试，才能重新投入生产。与IT系统相比，OT系统在维护时需要考虑更多因素，为此造成其维护频率相对较少，易留下安全隐患。

2. IT系统/OT系统融合前后的建议

图片来源：pexels

通过以上对IT系统和OT系统两者的区别介绍，相信你对IT和OT融合存在的挑战有了更深入的了解。正因为融合时存在各种挑战，我们更需要做好充分的准备，以降低融合前后带来的风险。香港计算机保安事故协调中心(HKCERT)对此提供以下建议：

▶进行网络及安全评估

对整个OT系统及IT系统进行网络及安全评估。网络评估是指对企业内所有系统资产、网络结构及数据流向进行审查;安全评估则是对企业内的登录账号、远程接入方法、系统存在的漏洞及网络服务进行分析。

▶撰写风险评估报告

从运营及信息安全角度，把运营、流程、系统等风险进行确认及分类。对所有风险制定建议及解决方法，并撰写一份全面的评估报告。

▶制定实施计划及严格执行

制定实施计划前，需梳理各方的职责;融合前，需把评估报告提及的风险先清理;制定详细及清晰的融合计划和合适的时间表。操作人员需要严格执行实施计划，并在操作完成后进行评估测试。

▶更新运营政策

融合后，企业可以考虑重组IT团队及OT团队，或增聘IT及OT技术兼备的专家来协助运营;在维护方面，双方团队需要同步及统一信息安全标准。对过往未能监管的系统立即进行改正，以免黑客隐藏在企业系统进行攻击。

企业在开展工业物联网项目时，除了可以在上述方面自行做好准备，也可以寻求相关机构进行协助。我们生产力局在工业物联网方面也有所布局。

物联网(IoT)和运营技术(OT)

网络安全测试服务

服务范围：

● 识别企业物联网(IoT)和运营技术(OT)系统

帮助企业寻找在应用程序中的潜在安全漏洞，并识别潜在的安全弱点，以防被恶意攻击者利用。

● 建立相关法规和标准

全面技术测试和合规性评估，并建议企业实践最佳行业标准。

● 网络安全专家建议方案

使用手动测试、自动化工具和合规性评估结合的方案，彻底检查IoT和OT系统上和移动应用程序的安全性，并提供解决修正方案。

● 一系列测试

包括测试潜在的技术威胁，设备通信的安全性、网络和设备上未经授权的访问、应用程序代码的漏洞和移动应用程序中的安全问题，例如：加密不足、认证机制不强、数据存储不安全等。

未来，将是一个万物互联的时代，一切都将被连接、被赋能。而工业物联网正是大势所趋，如何防范其产生的新的网络安全问题，仍是当今和未来一段时间需要认真考虑的重要问题，网络安全“任重而道远”。

来源：香港生产力HKPC