加入收藏 | 设为首页 | 会员中心 | 我要投稿 新余站长网 (https://www.0790zz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 创业 > 点评 > 正文

万物联网时代来临 打破封闭内网提升网络安全

发布时间:2020-09-03 15:54:50 所属栏目:点评 来源:网络整理
导读:智慧工厂(Smart Factories)是工业物联网(IIoT) 改造传统制造业的最佳展现,在万物联网(图 1)、大数据与 AI 等技术的结合下,智能制造、智能医疗、智能交通已成为台湾转型升级目标。然而,所面对的操作科技(OT)资安威胁会更严苛,只要遭遇一次重大
副标题[/!--empirenews.page--]

智慧工厂(Smart Factories)是工业物联网(IIoT) 改造传统制造业的最佳展现,在万物联网(图 1)、大数据与 AI 等技术的结合下,智能制造、智能医疗、智能交通已成为台湾转型升级目标。然而,所面对的操作科技(OT)资安威胁会更严苛,只要遭遇一次重大网络攻击,原本物联装置所带来的效益,恐怕瞬间就会化为乌有,例如:机密资料外泄、营运生产停顿、供应链断炊。近年来锁定智能工厂的病毒越来越多,全球都有受害的灾情不断传出,不只影响生产线运作,更甚者会危及国家基础设施,并要当心成为勒索软件目标。

万物联网时代来临 打破封闭内网提升网络安全

图 1:物联网运用遍及各种产业

打破封闭内网是安全的观念

过去多数工厂因设备老旧、缺乏专业整合人才,或因其为封闭系统而缺乏资安防护观念。在工业物联网的建置下,企业 IT 与厂房 OT 系统相互串连,使长久以来一直是被认为封闭网络的 OT 环境,暴露在可能遭受网络攻击风险下,包括商业机密遭窃取、恶意中断营运、攻击基础设施造成生产损失、甚至造成工安事件危害人员健康与安全等。

有些工厂开放机台可以透过防火墙直接对外,任何人皆可以对机台进行联机管理,甚至从外部亦可以透过 IE 联机,进行管制。由于机台物联网化后加速生产力,但是对于网络的管理并没有严格要求与落实,容易造成后续资安维护管理上漏洞。因此在导入装置物联网后,联网的机具、人员管理识别、网络流量检测、LOG 纪录追踪都是需改善的要点,所以需要在原来的系统上加入信息安全的防护,除了原本防火墙基础网络防护外,建议区隔 IT 与 OT 的网络架构(图 2)、做好定期弱点扫描及人员资安教育训练课程等,除了保护企业的信息外也保护自己的网络财产,万一真的不幸发生攻击事件,可以将损害降到最低。

万物联网时代来临 打破封闭内网提升网络安全

图 2:强化 OT 内网安全

智能工厂(OT 厂域)存在的资安威胁

攻击的来源来自几个地方,每个方向的目的并不一样,整个系统的问题分析如下:

(1) 来自网络黑客的攻击:

可能带有炫耀或是威胁意图,例如:黑客发出勒索邮件,要求交付比特币当赎金,如果不从就不定期发出瘫痪攻击,瘫痪战情中心或是阻断客户端的网络。勒索金额相对于工作上的损失,通常小很多,所以企业都会付赎金息事宁人,这样更助长这类的恶意行为。

(2) 恶意人士攻击:

客户端的现场通常是无人的环境,有心人士进入专属的内部网络根本不费吹灰之力,在这个状况下,要窃取、伪造数据或是瘫痪网络运作,就像开了一道任意门畅通无阻。

(3) 人员疏忽:

因为内部计算机跟厂房机台网络是没有任何管制,万一有人被引诱点了钓鱼邮件后,装入后门程序,让恶意攻击者有窃取机密数据与发动勒索攻击的机会,例如,把服务器的数据加密藉以勒索。

(4) 不安全的身分认证:

在 IT 的网络环境中,对身分的权限管理是相当重视的,常见以相当多的认证机制严谨管控身分权限。不过,传统的 OT 环境架构,注重系统的运行与稳定度,面对资安的风险问题相对较低。因此在认证权限方面就容易忽略,产生许多不安全的联机,让厂内的人员或是设备的技术人员,只要利用计算机,就能轻松登入生产设备。

(5) 不安全的协议:

一般生产设备之间的工业通讯协议,因发展的比较早,并未考虑与设计网络安全的相关功能。例如只要持有内建 Modbus 通讯协议的计算机,就能透过 Modbus 对生产设备发出任何指令并执行。

(6) 事件纪录跟搜寻:

现况,每一个设备都是独立运作,并各自保留记录,能记录的项目及时间就看设备本身的储存装置,当需要事后查询时,就需要进入每一个设备中,用他的方式去查询,费时耗力。

(7) 过期设备系统安全更新:

设备厂商会对设备的操作系统进行例行的安全性更新,当设备厂商宣布设备停产或是倒闭后,就不会对设备进行安全性更新,例如,Microsoft 对 Windows 7 就不会进行任何安全性更新,此时 Windows 7 的漏洞就暴露出来,让有心人士有机可趁。

但是在工业环境中,因为整体系统软硬件一起运作的因素,设备更替的速度跟 IT 环境是不一样,往往 10-20 年的设备依旧在运作,没连网前没问题,一旦上因特网就有潜在的威胁。

(8) 无专业维护人员:

多数 OT 管理者对 IT 维护不熟悉,很担心设备发生故障或出现问题时,无法实时处理而影响产线的运作。

区隔 IT 与 OT 网络架构,保护 OT 内网安全胁

攻击的来源来自四面八方,在信息跟网络安全的考虑下,众至建议导入智慧联网工厂将目前的网络架构进行调整,每一个不同目的的网络区块,执行不同安全等级的信息安全防护,例如,OT 网络联机的对象都是固定,所以在防火墙上就可以执行严格的白名单策略,非允许的 IP 地址都会被拒绝联机。将对外供应链的服务器、OT 网络跟内部网络进行实体网络的区隔,新的网络架构示意图(图 3)如下:

万物联网时代来临 打破封闭内网提升网络安全

图 3:区隔 IT 与 OT 网络环境

面对传统制造业的升级转型,智能工厂中的 IT 与 OT 的整合也扩大了企业的攻击面,传统安全措施不太会充分考虑这些,例如,可能不适用于 OT 的区隔安全解决方案。正因如此,智慧工厂不仅容易受操作问题影响,也易受到 DDoS、勒索软件、网络钓鱼、系统漏洞、恶意软件、装置遭害等影响。

IT 与 OT 的思维不同,IT 要的是创新,OT 要的是稳定。为了有效让 OT 环境维持稳定运作,除了区隔 IT 与 OT 网络环境外,建议在强化威胁情报信息通知,以达到【事前防范】、【事中阻挡】及【事后追踪】运作目标(图 4),减少被黑客、病毒入侵及攻击的机会让整个网络达到可控、可管的目标,就算被瘫痪,也能把损失控制在一个小区域,不会外散到整个网络环境。

(编辑:新余站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

推荐文章
    热点阅读