【導讀】工業(yè)作為物聯(lián)網(wǎng)技術(shù)的第一批“重量級試點”，因為數(shù)據(jù)來源更廣、數(shù)據(jù)價值更高、流程的系統(tǒng)性更高，更應該注重安全內(nèi)功的修煉。

所謂哪里有錢賺，哪里就有犯罪分子的身影。

　　在移動互聯(lián)網(wǎng)時代，中國電商蓬勃發(fā)展，諸如全球最大的在線交易市場阿里巴巴等購物網(wǎng)站，通過包括支付寶在內(nèi)的支付系統(tǒng)每年創(chuàng)造數(shù)以億計的收入，這為黑客提供了天然的“犯罪溫床”。

　　然而，隨著互聯(lián)網(wǎng)技術(shù)深入到無處不在的“物物”，啟迪新物種“邊緣智能”基因的同時，網(wǎng)絡(luò)攻擊勢力也驚喜地發(fā)現(xiàn)了物聯(lián)網(wǎng)這片更加廣袤的“處女地”，并瞄準幾個物聯(lián)網(wǎng)重點領(lǐng)域，準備擼起袖子大干一番。

　　工業(yè)作為物聯(lián)網(wǎng)技術(shù)的第一批“重量級試點”，因為數(shù)據(jù)來源更廣、數(shù)據(jù)價值更高、流程的系統(tǒng)性更高，更應該注重安全內(nèi)功的修煉。

過時技術(shù)和安全錯覺

　　在中國，諸如化工廠和電站等工業(yè)設(shè)施受到黑客襲擊，并不會引起太多公眾關(guān)注，但這些攻擊仍然構(gòu)成重大威脅。中國企業(yè)往往用的是過時技術(shù)將系統(tǒng)連接至辦公室臺式機，或通過互聯(lián)網(wǎng)連接遠程維護中心，這些技術(shù)的設(shè)計初衷從未考慮到這樣的應用場合。換句話說，在沒有完善保護措施的情況下，入侵辦公室計算機的惡意軟件，可以通過工業(yè)以太網(wǎng)和互聯(lián)網(wǎng)協(xié)議，輕而易舉地進入聯(lián)網(wǎng)的機器控制系統(tǒng)。

　　2014年，西門子對中國100多家工業(yè)企業(yè)開展了一項調(diào)查，結(jié)果顯示了中國制造業(yè)深受網(wǎng)絡(luò)犯罪的威脅。報告稱，80%以上的被調(diào)查企業(yè)聲稱曾遭遇計算機病毒感染或其他類型的襲擊。部分受攻擊的企業(yè)甚至表示它們不得不臨時停產(chǎn)，并因此蒙受經(jīng)濟損失。

　　之所以產(chǎn)生這種現(xiàn)象，不僅僅是因為技術(shù)陳舊，也有安全意識薄弱的問題。中國一家大型煉油廠的經(jīng)理曾經(jīng)表示：他所在的煉油廠根本不需要采取任何網(wǎng)絡(luò)安全措施，因為他們從未受到攻擊。

　　在那些實際上實施了初步安全措施的企業(yè)，情況也不妙。許多這樣的企業(yè)僅僅購置了防火墻和防病毒軟件，就認為自己得到了一勞永逸的保護，這實際上是一種“安全錯覺”。IT安全不可能一蹴而就，它是一個持續(xù)的過程，涉及安全意識、管理、解決方案和產(chǎn)品等諸多方面。盡管那些持續(xù)關(guān)注IT安全的企業(yè)不能指望完全防范攻擊，但這樣做能加大黑客攻擊的難度，以至于讓他們打消攻擊念頭。

維護工業(yè)安全的三步走戰(zhàn)略

　　今年五月，WannaCry蠕蟲病毒肆虐全球。它感染計算機后進行勒索，受害者必須支付價值相當于2000多人民幣的比特幣才能解鎖計算機中被鎖定的文件。據(jù)了解，WannaCry的這次攻擊至少波及150個國家，導致數(shù)十萬臺計算機受到侵害。

　　風波雖過，余悸猶存。針對工業(yè)信息安全問題，小編與西門子中國研究院信息安全部總監(jiān)胡建鈞進行了一次訪談。

　　胡建鈞表示，如果說2010年的“震網(wǎng)”病毒事件拉開了保衛(wèi)工業(yè)信息安全的序幕，那么WannaCry則再次拉響了保衛(wèi)工業(yè)信息安全的警報。

　　“震網(wǎng)”病毒是第一個專門定向攻擊真實世界中基礎(chǔ)（能源）設(shè)施的“蠕蟲”病毒，比如核電站、水壩和電網(wǎng)等等。截止2011年，全球超過45000個網(wǎng)絡(luò)以及60%的個人電腦感染了這種病毒。而WannaCry作為另一個里程碑事件，則打開了一個以經(jīng)濟利益為驅(qū)動，與地下黑色產(chǎn)業(yè)鏈對接的潘多拉魔盒。它將對工業(yè)企業(yè)帶來更大的威脅。

　　今年年初，專注于安全領(lǐng)域的研究中心Ponemon發(fā)表了一份美國石油天然氣行業(yè)網(wǎng)絡(luò)安全調(diào)查報告，超過2/3的受訪者都表示在過去的一年里遭受過至少一次安全損害，導致關(guān)鍵信息丟失或生產(chǎn)中斷。而胡建鈞認為，這種情況還算是好的。

　　“至少他知道有人在發(fā)起攻擊。其實我們很多客戶面臨的現(xiàn)狀是不清楚他的網(wǎng)絡(luò)里發(fā)生了什么，完全對自己的網(wǎng)絡(luò)和數(shù)字資產(chǎn)沒有感知能力，這是更加可怕的。一個常見的例子是，在很長一段時間里，企業(yè)可能覺得網(wǎng)絡(luò)和系統(tǒng)不穩(wěn)定，但不知道是產(chǎn)品質(zhì)量問題，還是網(wǎng)絡(luò)系統(tǒng)感染了病毒，或者有異常流量攻擊?！彼忉屨f。

　　工業(yè)安全從來不是一蹴而就的。西門子以“評估、實施、持續(xù)監(jiān)控”的理念保障客戶和西門子內(nèi)部的工業(yè)信息安全。

　　“評估”是第一步，即了解現(xiàn)狀，就像我們要保持健康，需要先做個體檢一樣。西門子會根據(jù)IEC62443，國家信息安全等級保護、行業(yè)最佳實踐等進行評估對標，找出差距，定義下一步行動項。

　　第二步“實施”，即按照縱深防御的理念，設(shè)計實施信息安全方案，從管理與技術(shù)兩個方面將信息安全提升至目標水平，就像我們生了病要對癥下藥一樣。以往的工業(yè)信息安全保護到這里就停止了，但這只能達到靜態(tài)的安全，無法實現(xiàn)持續(xù)的安全。西門子在此基礎(chǔ)上延伸了自己的理念，加入了“持續(xù)監(jiān)控”，利用大數(shù)據(jù)關(guān)聯(lián)的技術(shù)，將工廠的運行狀態(tài)和外界環(huán)境的變化結(jié)合起來，持續(xù)保障客戶的安全水平。這就像我們會佩戴可穿戴設(shè)備持續(xù)監(jiān)測自己的健康水平一樣。西門子利用領(lǐng)先的技術(shù)和管理水平讓客戶是關(guān)鍵數(shù)字資產(chǎn)可感知、可控制、可管理。