許多垂直行業(yè)已經采用了工業(yè)物聯網，但這并不意味著他們的部署是安全的。工業(yè)物聯網向傳統(tǒng)IT系統(tǒng)引入了具有不同威脅向量和相關風險的各種運營技術(OT)架構。許多風險已經存在了幾十年，并且已經進入快速發(fā)展的工業(yè)物聯網的領域。

工業(yè)物聯網設備和相關技術給企業(yè)帶來的常見安全風險可以分為三類：管理和運營風險、技術風險、物理風險。

1.管理和運營風險

這種類型的風險涉及人為風險，無論是意外的還是有意的，例如工業(yè)物聯網設備的不當使用或網絡攻擊者入侵網絡。 缺乏全面的工業(yè)物聯網安全風險管理計劃會使企業(yè)的業(yè)務安全性變得脆弱。該計劃必須包括安全政策、程序和定期培訓，以在可能的情況下識別、管理和消除網絡安全風險。 人為造成的事故和錯誤可能會造成安全漏洞，例如濫用或錯誤安裝工業(yè)物聯網設備，以及使用遺留系統(tǒng)。懷有惡意的企業(yè)內部人員和外部人員也將工業(yè)物聯網設備作為破壞目標。 工業(yè)物聯網設備和系統(tǒng)制造商可能會倒閉、消失或停止支持，而企業(yè)卻仍在使用他們的工業(yè)物聯網技術。這可能會使用于關鍵場景的工業(yè)物聯網設備存在一些被攻擊利用的漏洞。

2.技術風險

日益增長的物聯網設備擴大了攻擊面而這些設備往往存在用戶未知且可被網絡攻擊者發(fā)現的漏洞。

工業(yè)物聯網部署在IT和OT之間建立了新的連接，這增加了部署的復雜性和安全風險，尤其是對于非標準化的工業(yè)物聯網硬件、軟件和固件。工業(yè)物聯網缺乏全球采用的安全性和互操作性技術標準導致設備、控制器和支持系統(tǒng)的安全性不一致。

許多工業(yè)物聯網設備使用弱密碼或沒有加密，身份驗證較弱或沒有身份驗證，并且運行在容易受到網絡攻擊的軟件上。

3.物理風險

自然災害、突發(fā)事件或網絡攻擊可能會中斷或改變工業(yè)物聯網系統(tǒng)的工作方式。 網絡攻擊者可能會以物理安全性較差的設備為目標，并直接對其進行更改，從而以有害的方式影響物理世界。例如，網絡攻擊者會以控制石油管道或其他資源的物聯網設備為目標。 許多工業(yè)物聯網設備需要人工完成維護或更新，這對于使用它們的員工來說可能是不可能實現的。

遵循推薦的工業(yè)物聯網安全實踐

某些網絡安全目標應該是每個工業(yè)物聯網安裝的一部分。首先，企業(yè)必須使用安全的工業(yè)物聯網設備和系統(tǒng)。物聯網團隊必須配置設備以防止它們被用作網絡攻擊的一部分，例如分布式拒絕服務(DDoS)、數據泄露或設備設置的修改。 企業(yè)還應建立數據安全控制。他們必須保護由工業(yè)物聯網技術收集、處理、存儲、傳輸的所有數據的機密性、完整性和可用性。部署中缺乏數據完整性和不一致是工業(yè)物聯網的固有風險。每個實施工業(yè)物聯網設備的企業(yè)都必須具有以下領域的安全功能：

• 管理和運營安全控制。這些是確保工業(yè)物聯網部署安全所必需的基于人員的行動?？刂拼胧┌ü芾碓O備的選擇、開發(fā)、實施和維護所需的行動。安全措施必須保護工業(yè)物聯網數據和設備功能，并管理使用工業(yè)物聯網設備的勞動力。采取的一些措施包括工業(yè)物聯網安全控制設置文檔、政策和程序、設備安全使用培訓或執(zhí)行工業(yè)物聯網風險評估。
• 技術安全。這些是確保有效的工業(yè)物聯網安全和保護作為工業(yè)物聯網系統(tǒng)一部分的技術元素(例如云計算服務或供應鏈)所必需的基于技術的組件。這包括使用多因素身份驗證、加密、安全啟動和設備識別技術進行工業(yè)物聯網設備身份驗證等控制。
• 物理安全。物理措施和工具可以保護工業(yè)物聯網設備以及相關服務器、控制器、顯示屏、輸入和輸出設備以及構成工業(yè)物聯網環(huán)境設施的所有硬件。企業(yè)必須建立設施和工業(yè)物聯網設備附近訪問控制，僅允許授權使用和訪問專有數據，并限制對工業(yè)物聯網設備和系統(tǒng)控制進行修改的能力。這些示例包括保護對存儲卡的訪問、禁用不必要的USB端口、僅允許授權實體查看工業(yè)物聯網設備的屏幕，以及控制對工業(yè)物聯網設備和相關硬件的物理訪問。

如果沒有針對這三類的安全控制措施，工業(yè)物聯網設備和系統(tǒng)就不會保證安全。

IT管理員的特定工業(yè)物聯網安全問題

IT管理員需要將工業(yè)物聯網設備、控制器和支持系統(tǒng)納入其整體網絡管理計劃。這包括測試和風險管理活動、風險評估、漏洞評估、滲透測試、備份和恢復、所有使用工業(yè)物聯網設備的人員的安全培訓，以及全面安全計劃所需的其他安全活動。

IT管理員需要確保實施并遵循基本的安全實踐。用于改進關鍵基礎設施網絡安全的NIST框架1.1版，通常稱為網絡安全框架(CSF)，已被全球各行各業(yè)的大部分組織使用。企業(yè)還可以考慮其他框架，例如ISO、工業(yè)互聯網聯盟的工業(yè)互聯網安全框架或ISA99工業(yè)自動化和控制系統(tǒng)安全。(瀚云科技)

企業(yè)可以自定義和使用七個網絡安全框架(CSF)類別來組織和調整其安全策略，并將安全控制擴展到包括工業(yè)物聯網設備、系統(tǒng)、應用程序和云平臺：

(1)資產管理;

(2)業(yè)務環(huán)境;

(3)治理;

(4)風險評估;

(5)風險管理策略;

(6)供應鏈風險管理;

(7)信息保護流程和程序。