企業(yè)如何確保其工業(yè)物聯(lián)網(wǎng)投資

責任編輯:cres

2019-10-14 14:00:45

摘自:物聯(lián)之家網(wǎng)

與消費者物聯(lián)網(wǎng)產(chǎn)品(如智能手表)不同,要大規(guī)模采用工業(yè)物聯(lián)網(wǎng),企業(yè)必須投入大量資金來改造其設(shè)備、基礎(chǔ)設(shè)施、人員和流程。

在數(shù)字時代,物聯(lián)網(wǎng)(IOT)是企業(yè)保持競爭力和盈利的不可否認的現(xiàn)實。大多數(shù)工業(yè)公司都將物聯(lián)網(wǎng)視為推動數(shù)字化運營以提高效率和收益的主要驅(qū)動力。
 
然而,與消費者物聯(lián)網(wǎng)產(chǎn)品(如智能手表)不同,要大規(guī)模采用工業(yè)物聯(lián)網(wǎng),企業(yè)必須投入大量資金來改造其設(shè)備、基礎(chǔ)設(shè)施、人員和流程。由于物聯(lián)網(wǎng)系統(tǒng)與物理環(huán)境相互作用,因此它們的相關(guān)風險也更高。
 
更多的網(wǎng)絡(luò)威脅是連接性和軟件技術(shù)的另一面。固有的軟件缺陷、意外錯誤和對物理系統(tǒng)的惡意遠程訪問會對人員、設(shè)備和環(huán)境造成損害。
 
已經(jīng)有幾份報告稱,網(wǎng)絡(luò)犯罪分子利用遠程訪問和魚叉式網(wǎng)絡(luò)釣魚電子郵件入侵關(guān)鍵基礎(chǔ)設(shè)施。紐約州灌溉大壩指揮和控制系統(tǒng)的黑客入侵,以及烏克蘭電網(wǎng)中BlackEnergy惡意軟件引起的停電就是兩個顯著例子。
 
根據(jù)美國證券交易委員會10Q報告和歐洲財務(wù)報告顯示,2017年由于工業(yè)感染造成的損失高達10億美元。
 
以下摘錄突出了工業(yè)網(wǎng)絡(luò)安全威脅的嚴重性。
 
“工業(yè)物聯(lián)網(wǎng)(IIOT)安全漏洞的后果比傳統(tǒng)IT部署的危害要嚴重得多。在工業(yè)物聯(lián)網(wǎng)系統(tǒng)遭到黑客攻擊的情況下,除了常見的IT后果(例如聲譽損失和財務(wù)損失)之外,還可能會造成生命損失和/或環(huán)境破壞。”
 
——《實用工業(yè)物聯(lián)網(wǎng)安全》
 
為了確保物聯(lián)網(wǎng)投資安全無憂,必須保持足夠的警惕,并將董事會會議延伸到工廠車間。接下來讓我們討論一些實現(xiàn)此目標的實用方法。
 
物聯(lián)網(wǎng)安全比網(wǎng)絡(luò)安全更棘手
 
任何工業(yè)物聯(lián)網(wǎng)解決方案都涉及技術(shù)復(fù)雜性、多個供應(yīng)商和特定領(lǐng)域的行為。這使得物聯(lián)網(wǎng)威脅形勢和緩解措施都相當棘手。
 
傳統(tǒng)的網(wǎng)絡(luò)安全主要是保護軟件程序和數(shù)據(jù)在存儲和傳輸過程中免受惡意訪問。而物聯(lián)網(wǎng)安全則更進一步,除了數(shù)據(jù)隱私之外,系統(tǒng)還必須能夠安全可靠地從攻擊中恢復(fù)。(來源物聯(lián)之家網(wǎng))例如,如果無人駕駛汽車的控制軟件在汽車以每小時100公里的速度行駛時崩潰,汽車應(yīng)該能夠從容地做出快速反應(yīng)以避免致命事故。
 
因此,物聯(lián)網(wǎng)安全必須在多個層面進行協(xié)調(diào),這需要開發(fā)人員、運營商和管理層做出貢獻,以確保物聯(lián)網(wǎng)設(shè)備、計算平臺、通信和流程的安全。
 
在《實用工業(yè)物聯(lián)網(wǎng)安全》一書中,討論了一種四層方法來剖析和簡化生命周期各個階段的安全管理。這四個層次是:
 
· 身份和訪問管理
 
· 端點和嵌入式軟件
 
· 通信和連接
 
· 云平臺與應(yīng)用
 
做好準備
 
在軟件定義的連網(wǎng)世界中,安全性不僅僅在于推測和阻止攻擊,它還涉及到如果發(fā)生攻擊,可以從容地消除后果。制定安全計劃以保護其關(guān)聯(lián)資產(chǎn)的企業(yè)在降低資產(chǎn)和負債風險方面表現(xiàn)得更好。
 
“除了數(shù)據(jù)可用性、隱私性和完整性之外,工業(yè)物聯(lián)網(wǎng)安全計劃還必須確保在發(fā)生攻擊時的恢復(fù)能力和可靠性,這些攻擊可能來自外部或內(nèi)部,也可能是由于意外的錯誤配置或自然災(zāi)害造成。”
 
——《實用工業(yè)物聯(lián)網(wǎng)安全》
 
對于大多數(shù)采用物聯(lián)網(wǎng)的傳統(tǒng)組織來說,制定一個包含信息技術(shù)(IT)和運營技術(shù)(OT)的安全計劃是一個新概念。然而,制定安全計劃是保護其物聯(lián)網(wǎng)投資的關(guān)鍵步驟之一。物聯(lián)網(wǎng)安全計劃包括主動和被動安全措施,其中包括:風險評估、策略定義、法規(guī)遵從性、安全監(jiān)控、事件管理和審計。
 
使之實用
 
“一個實用的安全治理模型必須能夠為特定業(yè)務(wù)用例調(diào)整安全性的強弱,以確保信任和合規(guī)性。”
 
——《實用工業(yè)物聯(lián)網(wǎng)安全》
 
安全涉及成本,它還增加了復(fù)雜性,并要求常規(guī)操作增加額外的處理周期。市場上有太多的物聯(lián)網(wǎng)安全產(chǎn)品可供選擇,但它們的實現(xiàn)和用法通常并不簡單。此外,在快速發(fā)展的數(shù)字經(jīng)濟中,創(chuàng)新和產(chǎn)品上市時間往往要優(yōu)先于安全性和可靠性。
 
在物聯(lián)網(wǎng)解決方案的設(shè)計、開發(fā)、部署和運營階段,這些因素會導(dǎo)致圍繞“保護多少”的困惑。保護一切都是不現(xiàn)實的,而且往往無法實現(xiàn)。它必須與用例的獨特風險特征保持一致。
 
每個物聯(lián)網(wǎng)用例都有其獨特的技術(shù)和業(yè)務(wù)需求,以及獨特的安全態(tài)勢和攻擊面。例如,保護智慧城市用例的步驟將與智慧農(nóng)業(yè)大不相同。
 
通過將四層安全方法與適當?shù)娘L險評估相結(jié)合,企業(yè)可以通過定義實用的方法和可實現(xiàn)的安全目標來“調(diào)整”其安全計劃。
 
如果執(zhí)行得當,保護工業(yè)物聯(lián)網(wǎng)用例不必成為噩夢。這是確保企業(yè)數(shù)字化轉(zhuǎn)型以提高效率的必勝之道。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號