企业动态
行业资讯

工业物联网时代来临 智能制造将面对的网络信息安全挑战与机会


随着人工智能技术的进步,智能化(intelligentization)已经成为21世纪最重要的科技主轴。而智能制造主要的核心技术便是物联网技术与虚实整合系统(Cyber-Physical System,CPS),再结合大数据分析、人工智能及云计算等技术,将生产过程的每一个环节智能化,借此达到定制化的业务目标,以适应外部市场少量多样的需求。

过去的制造概念是追求生产自动化,并以SOP(Standard Operation Procedure)标准作业流程大量生产公版化的产品。而智能制造概念则不然,为顺应消费群体的购物观念变化,可快速地定制化生产的制造方式逐渐受到欢迎,这是工业4.0当中相当重要的核心概念。未来的智能工厂将并不单指工业技术的提升,而是整合了技术、销售以及产品体验等,使得制造、销售、物流、售后服务等商业概念连为一体,最终构建出一个具有感知意识的智能世界,而「需求定制化」将是智能制造所追求的主要目标之一。

三中网安:工业物联网时代来临 智能制造将面对的网络信息安全挑战与机会1

快速、定制化的生产方式是工业4.0的核心概念

除了需求定制化外,结合大数据分析的智能制造甚至可以通过大量数据来分析出市场的走向、天气预测、原物料的数量与库存、运输的进程及瑕疵改善等,借此精准把握生产量或调度现有资源、减少多余成本与浪费,以此达到生产最佳化。 [1]

工业4.0的来临,使得世界各国纷纷出台政策。工业革命的发源地英国早在2008年便提出「高价值制造战略」,鼓励英国本土企业制造更多世界级的高附加值产品。2013年更提出「英国工业2050年战略」,为英国在2050年以前的制造业打造一份方针,其中的核心概念便是以高度定制化、快速响应消费者需求为主。

同样曾是工业大国的美国也不落人后,2011年联邦政府开始启动「先进制造伙伴计划」(AMP,Advanced Manufacturing Partnership)政策,同样也是根据旧有制造业概念的不适用所提出的计划,更于2014年提出AMP 2.0,强调具体实施对策。其中先进制造的核心重点在于,希望藉由智能制造带来的新商业模式,使得设立于国外的厂商可以开始回流。同样的概念也在法国绽开,就在德国正式发表工业4.0报告后,法国政府也发表了「工业新法国」的计划,主要目的与美国相似。

除了上述老牌工业强国外,日本也提出了诸如「产业重振计划」、「日本工业4.1J」、「社会5.0」等政策。而中国身为21世纪的制造大国,在2015年则提出了为期十年的「中国制造2025」计划。金砖四国之一的印度同样跟上工业4.0的潮流,祭出「印度制造计划」以重整印度的经商环境以及制造产业的问题。[2]

智能制造伴随而来的安全问题

然而在研究与构建的过程中,随着系统结构的复杂度提升,网络信息安全风险也伴随而来。在融合物联网、大数据、云计算及人工智能等技术后的领域,将会扩增出大量的信息流空间,而智能制造的主要实行方式,便是以物联网作为架构基础,将之应用于制造产业,形成「工业物联网」(Industrial Internet of Things)体系。经布建后,网络信息安全漏洞的分布率自然会开始上升,潜在威胁便更容易通过缺口影响到工业物联网系统,使得整套系统即便仅有一小部分受到损毁,也会影响整体系统的运作;若遭受到黑客入侵,甚至可以瘫痪整套生产系统,造成庞大的金额损失及商誉的损害。

目前与智能制造相关的国际标准规范有国际自动化学会(International Society of Automation,ISA)与国际电工委员会(International Electrotechnical Commission,IEC)颁布的ISA/IEC 62443系列标准,针对工业化自动控制系统(Industrial Automation Control System,IACS)的政策与流程面、系统安全面、元件开发面制定相关规范与指南。美国国家标准暨技术研究院(National Institute of Standards and Technology,NIST)也颁布了NIST.SP.800-82,为SCADA(Supervisory Control And Data Acquisition)、DCS(Distributed Control System)、PLC(Programmable Logic Controller )等工业控制系统标志了相关的安全指南,除了这项指导手册外,还有诸如NIST.IR.8200、NIST.IR.8228等规范都已发布。而欧盟网络信息安全局(European Union Agency for Cybersecurity,ENISA)也针对物联网与网络安全出版许多相关指导建议以及标准。

工业物联网面临的网络信息安全问题与挑战

工业物联网主要专注于M2M(Machine to Machine)、CPS、大数据以及机器学习等技术,也是IT(Information Technology)与OT(Operational Technology)两大技术领域整合的开端。然而IT与OT本身各自早已具有数百种不同的协定与标准,加上物联网本身的复杂特性,将会造成网络安全的责任分配问题。且由于使用生命周期中涉及大量利益相关者,诸如元件供应商可能就有数十间不等,元件分别适用不同的规范或标准,设备又可能因分布在不同的地理位置而适用不同的法律约束,导致工业物联网产生在标准规范上难以统一,造成「技术碎片化」的问题,而这些标准该如何进行整合或协作,将会是首要面临的挑战。 [4]

再者,工业物联网是一项新兴技术,目前仍然在研发及测试阶段,针对过去已在OT领域工作数十年的技术人员该如何建立足够的工业物联网相关网络信息安全意识,投入合适的人员培训将会是另一项值得研究的课题。

人员安全意识不足的问题,同样也涉及到公司制度层面。目前仍有许多企业对于信息安全的议题不够重视,未来智能制造建构后伴随而来的风险将有别以往,然而企业的高级管理层对于网络信息安全的认识不足,会是未来对工业物联网的一大挑战。因为进行网络信息安全防护工作较难以察觉甚至难以量化其效益值,且还需投入相当成本,所以管理层容易忽视信息安全这项要素,并不将网络信息安全的重要性与具业务价值的建设并列。这样的弊端并不是因工业4.0的发展而出现的,而是一个老问题。

三中网安:工业物联网时代来临 智能制造将面对的网络信息安全挑战与机会2

对网络信息安全的认识不足是未来工业物联网的一大挑战

以上问题属建设阶段所面临的困难,建设的过程中如果没有针对这些问题做出适当的措施,将可能使系统未来承受巨大的网络信息安全风险。而建置成熟的工业物联网即便事先排除了上述困难,也不代表风险就此消失。在大量且丰富的信息流不断相互传输运作之下,一旦发生资料外泄,或者资料遭到恶意篡改,便会对工业物联网系统造成不良的连锁反应。且智能制造将会使虚拟与实体两个世界做出更紧密的连接,如物联网系统发生网络信息安全事件,对于实体世界的破坏也会相当显著。

由于智能制造的环境会变得更为复杂多端,加上物联网系统本身的互联性,使得攻击面也将扩大许多,除了一些非人为的风险外,还须特别注意人为造成的威胁,其中黑客入侵便是一种典型的状况。不安全的连接端口、久未更新的组件、不完整的更新机制等,都会是黑客可能下手的缺口。尤其传统的工业领域对于更新的接受度相当低落,因为一次更新所引起的停运将会造成企业亏损,所以对于工业物联网来说,安全的更新会是一项重要的议题。

此外,网络通讯通道如果疏忽了网络信息安全防护,诸如分布式阻断服务攻击(Distributed Denial-of-Service attack,DDoS)、信息窜改、窃听、植入恶意程序等网络攻击也会是黑客很可能使用的手法,这些攻击都会造成资产的严重破坏或是资料外泄。

领域在转型的过程当中,一些老旧的设备、传统的工业系统也会是一项需要关注的网络信息安全漏洞,在旧有系统的基础上构建新系统后,可能导致过时的保护措施仍然被使用,以及旧有系统中出现多年未被发现的未知漏洞,这可能使攻击者找到一种新的方式来危害系统。 [5]

最后,应用程序在开发和设计上如果没注意安全开发的观念,软件上的漏洞也将是黑客入侵系统的大门。而硬件设备在设计中若没有将网络信息安全元素纳入,也会是攻击者入侵的缺口。从以上种种示例可以得知,工业物联网可能遭受的攻击面十分广泛,且无论在工业物联网的哪一端进行破坏皆可能瘫痪整体系统,最后造成的损害甚至伤亡将难以估计。 [6]

自2020年物联网技术开始全面进行布建。随着科技日新月异,人们的生活也变得越来越便利。也因科技所带来的效益,过去数十年间各企业全力追赶将信息技术深入全球各大领域,却忽略长期稳定运作所须满足的安全要求,一次次重大网络信息安全事故的爆发已经证明,仅靠安装防护软件无法保证组织的安全以及生产系统的运营安全。

未来智能制造的建设架构将比现在大多数的生产架构都更为错综复杂,然而水能载舟、亦能覆舟,一味地追求创新科技所带来的营利和效果,却忽略背后隐藏的巨大风险,那么网络信息安全威胁终会重蹈覆辙,成为一颗不定时炸弹,一旦触发,损害势必更胜以往,智能制造所带来的益处也将化为乌有。

若在危害发生以前便做好完善的网络信息安全管理措施及方案,且人员具备足够的网络信息安全意识,软硬件设备皆在开发时便将信息安全要素纳入考量,那么智能制造将会是一纸美好的蓝图,也会是值得你我共同努力的未来。

媒体报导

·物联网世界

参考资料:

[1] http://topic.cw.com.tw/2016industry4.0/article.html.

[2] https://scitechvista.nat.gov.tw/c/skZM.htm.

[3] http://class.nchu.edu.tw/bulletin/MOE/105_MoE_re_allr.pdf.

[4] ENISA,“Industry 4.0 - Cybersecurity Challenges and Recommendations”,2019.05。

[5] ENISA,“Good Practices for Security of Internets of Things”,2018.11。

[6] https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/the-iot-attack-surface-threats-and-security-solutions.

来源:仲至信息科技

 
版权所有:郑州三中网安科技有限公司 豫ICP备2020036495号-1    豫公网安备 41019702002241号 | 站点地图 | 人才招聘 | 联系我们