當前位置:首頁 > 物聯(lián)網(wǎng) > 智能應用
[導讀] 在物聯(lián)網(wǎng)熱潮延燒下,接續(xù)繁衍工業(yè)4.0、Bank 3.0、金融科技(FinTech)與零售4.0等嶄新的產(chǎn)業(yè)浪潮;若以物聯(lián)網(wǎng)信息安全議題而論,尤其以工業(yè)4.0跳躍幅度最大,只因制造業(yè)過往采用封閉的序列通訊協(xié)議,尚可忽視安全課題無妨,如今走向IP通訊化,即需面對從零分到滿分的快速進化需求。

 在物聯(lián)網(wǎng)熱潮延燒下,接續(xù)繁衍工業(yè)4.0、Bank 3.0、金融科技(FinTech)與零售4.0等嶄新的產(chǎn)業(yè)浪潮;若以物聯(lián)網(wǎng)信息安全議題而論,尤其以工業(yè)4.0跳躍幅度最大,只因制造業(yè)過往采用封閉的序列通訊協(xié)議,尚可忽視安全課題無妨,如今走向IP通訊化,即需面對從零分到滿分的快速進化需求。

不可諱言,從以往各自獨立運作的系統(tǒng),邁入萬物皆可互聯(lián)的物聯(lián)網(wǎng)時代,其間轉(zhuǎn)變確實相當劇烈,而且這般的變革,對于不論是企業(yè)競爭力、人類生活質(zhì)量,都可謂美事一樁,此乃由于,經(jīng)由物聯(lián)網(wǎng)設備所產(chǎn)生數(shù)據(jù)的分析探勘,可望從中挖掘?qū)氋F的信息,一旦加以善用,將能提升企業(yè)組織運作效率,連帶強化運營競爭力,同時有助于促使人類生活更趨精采多姿。

隨著工廠內(nèi)部機臺設備走向IP通訊化,固然有助于拓展諸如遠程除錯、預知保養(yǎng)等進階智慧應用,但同時也開始接觸網(wǎng)絡惡意攻擊,亟需透過防火墻捍衛(wèi)工業(yè)網(wǎng)絡安全。

盡管從過去一座座筒倉(Silo)(意指獨立封閉的系統(tǒng)架構(gòu)),邁入萬物互聯(lián)新局,確實可望觸發(fā)無窮效益,但在轉(zhuǎn)折過程中,不乏有嚴峻挑戰(zhàn)亟待面對,最顯著的考驗,無疑正是信息安全,主要是由于,過去筒倉采用自成一格的通訊協(xié)議,鮮與外界溝通,黑客對這些封閉語言一無所知,所以無從出手制造任何安全威脅,今天工廠設備走向IP通訊化,不再是與世隔絕的筒倉,至此情勢出現(xiàn)大幅逆轉(zhuǎn)。

以現(xiàn)今熱門的工業(yè)4.0議題為例,制造業(yè)導入工業(yè)物聯(lián)網(wǎng)后,使以往蜷縮在一個個不同筒倉里頭的機臺設備,開始試圖藉助工業(yè)界標準語言,與外面的世界溝通,溝通的對象不僅含括異質(zhì)設備、制造執(zhí)行系統(tǒng)(MES),同時還有更上層的ERP、云端大數(shù)據(jù)平臺,旨在滿足遠程監(jiān)控與預防保養(yǎng)等需求;但在追求創(chuàng)新突破之際,也背負門戶洞開的安全風險。

筒倉走向開放 安全挑戰(zhàn)接踵而至

曾有廠務主管透露,伴隨工廠設備開始聯(lián)網(wǎng),諸如跳電、機器故障等意外插曲,似乎也跟著增多,雖然增加的幅度看似不大,造成的停機時間也不算長,但制造企業(yè)對于產(chǎn)線的持續(xù)高效率運轉(zhuǎn),一向極為倚重,只因為停機時間與次數(shù)一旦增加,輕則影響產(chǎn)能、壓低稼動率,重則導致制程整個報廢,讓原物料付之一炬,因而蒙受可觀財務損失,甚至造成交期延宕、沖擊商譽,后果著實不容小覷;深究個中原因,不乏肇因于病毒或惡意軟件而引發(fā)機臺設備故障之例,更可怕的是,如果諸如此類現(xiàn)象一再發(fā)生,合理懷疑已有黑客侵門踏戶,此時企業(yè)便需提高警覺,檢視是否有機密智財出現(xiàn)外泄。

意欲清除這些負面因子,則負責企業(yè)操作技術(Operation Technology;OT)的人士,實有必要向執(zhí)掌信息科技(IT)事務的同仁看齊,認真考慮部署相關安全防護設備,從VPN與防火墻的架設作為起步;眾所周知,防火墻并非新穎技術,迄今發(fā)展歷程已超過20年,而且防護實力日益強大,但問題是,制造業(yè)者欲以一般商用VPN防火墻系統(tǒng)保護工業(yè)控制網(wǎng)絡,顯然并不適合。

業(yè)者解釋,一般常見商用防火墻,擅于守護Intranet之內(nèi)的服務器、個人計算機等眾多運算節(jié)點,也成為這些節(jié)點通向因特網(wǎng)的唯一出入閘口,因進出流量大,所以防火墻不可能逐一攔阻并詳查每個封包,僅能藉由封包來源與目的地來驗證其合法與合理性;反觀工業(yè)控制網(wǎng)絡,與Intranet情況大異其趣,內(nèi)含的設備數(shù)量相對有限,傳輸?shù)臄?shù)據(jù)量也較小,不過單一封包所蘊含的價值,卻遠比Intranet進出流量要大上許多,所以單憑商用防火墻查看封包地址與去向之模式,肯定不敷需求,必須導入工業(yè)用防火墻,藉以辨識諸如EtherCAD、Profinet等工業(yè)通訊協(xié)議,理解不同機臺設備慣用的溝通話術,從而深入剖析與細膩檢查數(shù)據(jù)流量,如此才能實時察覺異?,F(xiàn)象。

善用工業(yè)協(xié)議防火墻 有助遏止黑客進犯

比方說,假設工廠內(nèi)部所采用的機械手臂,按常理所需執(zhí)行的作業(yè)步驟,依序包含了A、B、C、D、E等五道程序,此時如果出現(xiàn)黑客入侵現(xiàn)象,透過惡意軟件的施放,意圖控制機械手臂將執(zhí)行步驟改為A、B、C、D、F,等于更動了個中一道程序;對于這般變化,商用防火墻理當難以察覺,只因這類系統(tǒng)對于工業(yè)通訊協(xié)議的辨認能力不足,反觀工業(yè)防火墻,即可在第一時間斷然制止,不允許有人擅自更改控制規(guī)則。

事實上也有少部份商用防火墻,在成立之初,便誓言跳脫單純的TCP/IP協(xié)議,養(yǎng)成足以解析所有網(wǎng)絡流量內(nèi)容的實力,如今得以朝向物聯(lián)網(wǎng)安全、工業(yè)4.0安全等領域靠攏,譬如Palo Alto Networks便是一例。制造企業(yè)若將Palo Alto Networks網(wǎng)關設備布建于工業(yè)控制網(wǎng)絡,即使面對「Modbus Read Only」(僅容許讀取Modbus端信息、不允許寫入)的規(guī)則條件,也有能力加以辨識,并且落實執(zhí)行,單憑這點,便與一般商用防火墻產(chǎn)品大不相同。

另一方面,Palo Alto Networks面對工業(yè)控制網(wǎng)絡的防護重任,不管守護對象是工業(yè)計算機、SCADA或ICS(工業(yè)控制系統(tǒng)),都堅守零信任原則,是假定所有內(nèi)部使用者都是不安全的,因以每個同仁的一舉一動,都必須完全符合既定行為規(guī)范,不容許有任何差池,所以萬一有任何使用者節(jié)點,不慎遭黑客植入惡意軟件,意圖做出超乎規(guī)范的行徑,只要踏出第一步,必定立即遭到Palo Alto Networks系統(tǒng)遏阻。

借助單向網(wǎng)關 實現(xiàn)實體網(wǎng)絡隔離

Intel Security(原名McAfee)也是甚早跨足物聯(lián)網(wǎng)安全防護的業(yè)者,其標榜以白名單為管控基礎,與前述零信任架構(gòu)頗有異曲同工之妙;所謂白名單,主要是透過一套動態(tài)白名單機制,用以鎖定物聯(lián)網(wǎng)設備的原始軟件設定,避免被納管的設備擅自執(zhí)行未經(jīng)授權(quán)的程序代碼,藉此確保設備的安全性;之所以必須這么做,道理其實很簡單,因為世上沒有任何一個安全解決方案,足以100%解決現(xiàn)今與未來所有風險,面對發(fā)展方興未艾的物聯(lián)網(wǎng)應用,欲妥善管理如此大的不確定性,「強力限縮訪問權(quán)限」無疑是最理想的做法。

此外,類似像發(fā)電廠等以往走封閉路線、如今開始聯(lián)網(wǎng)(基于智慧電力調(diào)度)的關鍵基礎設施,由于關鍵性非同小可,完全不容許一絲一毫遭到黑客染指,故防護措施必須更加嚴謹;著眼于此,有業(yè)者開始援引Waterfall單向網(wǎng)絡安全網(wǎng)關,形塑一種訴求「實體網(wǎng)絡隔離」的解決方案。

據(jù)悉,現(xiàn)階段面對關鍵維運作業(yè)數(shù)據(jù)實時交換需求,意欲防止遭受網(wǎng)絡攻擊,企業(yè)通常采取兩種做法。一是藉由防火墻,將該網(wǎng)絡區(qū)域劃分成一個隔離的網(wǎng)絡環(huán)境,接著運用防火墻規(guī)則來限制個中存取行為,然而此做法的疑慮,在于隔離與非隔離網(wǎng)絡環(huán)境的物理層依然相通,倘若防火墻規(guī)則有所疏漏,仍可能導致兩個網(wǎng)絡環(huán)境的界線趨于模糊。另一做法,則是直接以實體隔離方式,切斷機敏網(wǎng)絡區(qū)段的對外通訊,但此舉將對內(nèi)外網(wǎng)數(shù)據(jù)交換構(gòu)成阻礙,這時企業(yè)只好以可攜式儲存設備來滿足交換需求,反而導致追蹤與稽核不易,衍生更大風險。

通過單向網(wǎng)絡安全網(wǎng)關,則迫使任何數(shù)據(jù)僅能從TX Gateway復寫到RX Gateway,完全杜絕了任何反向通訊的可能性,如此一來,黑客欲利用傳統(tǒng)三向交握機制的盲點,從中找尋可供切入的縫隙,勢將鎩羽而歸。

本站聲明: 本文章由作者或相關機構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫毥谦F公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務中斷的風險,如企業(yè)系統(tǒng)復雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務連續(xù)性,提升韌性,成...

關鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關鍵字: 華為 12nm EDA 半導體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務引領增長 以科技創(chuàng)新為引領,提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強核心競爭優(yōu)勢...

關鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術學會聯(lián)合牽頭組建的NVI技術創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術創(chuàng)新聯(lián)...

關鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(集團)股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關鍵字: BSP 信息技術
關閉
關閉