Moxa：工業(yè)互聯(lián)網(wǎng)時(shí)代的網(wǎng)絡(luò )安全

　　互聯(lián)網(wǎng)改變了人們的生活與工作，并影響到人類(lèi)社會(huì )的各個(gè)角落；隨著(zhù)萬(wàn)物智聯(lián)時(shí)代的來(lái)臨，我們身邊聯(lián)網(wǎng)的智能設備數量劇增。根據 Gartner 的數據，2017全球物聯(lián)網(wǎng)設備的數量多達84億，已遠遠超過(guò)全球人口總數。而到了2020年，物聯(lián)網(wǎng)設備數量將達到204億，這意味著(zhù)每個(gè)人身邊都有數個(gè)乃至數十個(gè)聯(lián)網(wǎng)設備，可見(jiàn)物聯(lián)網(wǎng)在未來(lái)的連網(wǎng)世界中將扮演關(guān)鍵的角色。

　　全球工業(yè)正邁入一個(gè)全新的物聯(lián)網(wǎng)時(shí)代，業(yè)者對于提升各種作業(yè)流程自動(dòng)化的需求越來(lái)越高，進(jìn)而部署傳感器、機器人和遠程控制等各種智能連網(wǎng)設備，實(shí)現了無(wú)縫連接、被管理、并且借助網(wǎng)絡(luò )安全地進(jìn)行交互工作，也就是目前被稱(chēng)為工業(yè)物聯(lián)網(wǎng) （IIoT） 或工業(yè)4.0的產(chǎn)業(yè)變革和趨勢。然而這股產(chǎn)業(yè)自動(dòng)化的新趨勢也擴大了網(wǎng)絡(luò )安全的范疇，將網(wǎng)絡(luò )安全的議題延伸至講求運維技術(shù) （Operation Technology, OT） 的工業(yè)領(lǐng)域中，包括能源、石油與天然氣、運輸和制造業(yè)等。

　　隨著(zhù)工業(yè)領(lǐng)域進(jìn)入工業(yè)4.0時(shí)代，運維技術(shù) （OT） 和信息技術(shù) （Information Technology, IT） 趨于并駕齊驅?zhuān)琁T 部門(mén)部署軟件的目標也是為了讓 OT 通訊更佳以提升工廠(chǎng)設備的生產(chǎn)效率。這種工業(yè)化和信息化的融合也意味著(zhù)未來(lái)的安全漏洞將會(huì )不僅是數據遺失，甚至擴散和滲透到城市安全、人身安全、關(guān)鍵基礎設施安全，乃至國家安全等更廣泛的層面，造成的后果日益嚴重。

　　例如黑客會(huì )運用工廠(chǎng)的網(wǎng)絡(luò )來(lái)散布惡意軟件，擾亂通訊協(xié)議，打亂生產(chǎn)線(xiàn)上的機器人作業(yè)或制造流程，釀成災難性的安全危機，或導致停機而引起代價(jià)高昂的經(jīng)濟損失。根據企業(yè)增長(cháng)咨詢(xún)公司 Frost & Sullivan 的估算，一家石油和天然氣公司遭到網(wǎng)絡(luò )攻擊的平均損失高達1,300萬(wàn)美元。更糟的情況是，當一個(gè)城市的自來(lái)水系統遭受網(wǎng)絡(luò )攻擊時(shí)，則可能會(huì )讓用以?xún)羲�的化學(xué)物質(zhì)混合而改變成分。網(wǎng)絡(luò )黑客也可能盯上智能型供電和供水系統，或者是一個(gè)城市的智能交通信號網(wǎng)絡(luò )，而造成斷電、斷水或交通癱瘓。

　　物聯(lián)網(wǎng)存在的各種安全問(wèn)題需要物聯(lián)網(wǎng)設備制造商和終端用戶(hù)聯(lián)合采取措施確保設備安全。物聯(lián)網(wǎng)設備有太多組件，包括處理器、云與 Web 服務(wù)、設備與應用程序，這導致很難兼顧所有這些組件的安全問(wèn)題。系統的每部分都至關(guān)重要，漏洞可能就存在于應用程序、平臺、設備、傳感器和云中。因此，我們需要接受一種新的安全觀(guān)念，即“沒(méi)有一勞永逸的安全防護，安全是個(gè)持續對抗的過(guò)程”。

　　設備服務(wù)提供商同樣需要注重培養防范意識，監控威脅和安全事件，并遵守適當的報告流程，特別是在出現影響其客戶(hù)的安全漏洞和事件時(shí)更要及時(shí)報告，與此同時(shí)，定期升級操作系統和應用對于確保網(wǎng)絡(luò )安全也是很重要的。

　　伴隨著(zhù)國家政策的指引以及行業(yè)內對工控安全的行業(yè)引導，在相關(guān)因素驅動(dòng)下，工控安全產(chǎn)品應用實(shí)例的增多及實(shí)際應用效果得到業(yè)界的認可，預計在不久的將來(lái)，工業(yè)控制系統的安全必將迅猛發(fā)展。

　　雖然面對網(wǎng)絡(luò )安全并沒(méi)有百分之百安全的解決方案，但目前已經(jīng)有很多專(zhuān)業(yè)組織出版了很多關(guān)于工業(yè)網(wǎng)絡(luò )信息安全的建議要求可以參考。如國家標準的《信息系統安全等級保護基本要求》，或是專(zhuān)門(mén)針對工業(yè)自動(dòng)化和工業(yè)安全的國際標準 IEC 62443。而 IEC 62443 更是目前在全球被廣泛采納和認可的工控系統標準。各國、各行業(yè)制定工控相關(guān)標準政策都會(huì )參考和吸收該標準提供的概念、方法、模型。不論是想有系統地了解工控安全問(wèn)題及其應對措施，還是想了解部分內容，都可以從該標準入手。

　　IEC 62443 標準涉及完整的工業(yè)自動(dòng)化控制生態(tài)系統，并描述了安全從業(yè)人員，系統集成商和控制系統制造商應如何交互并確保其設施和組件的安全性。該標準根據區域和管道模型細分網(wǎng)絡(luò )，以使用良好定義的接口（信道），更好地控制系統網(wǎng)絡(luò )內的接入和安全性。它為工業(yè)自動(dòng)化控制系統安全提供了一個(gè)通用準則，專(zhuān)門(mén)用于工業(yè)自動(dòng)化的安全管理系統，工業(yè)網(wǎng)絡(luò )安全體系結構指南，以及定義整個(gè)系統和整個(gè)組件生命周期的安全要求。它的實(shí)施有利于組織解決工業(yè)網(wǎng)絡(luò )安全風(fēng)險。

　　以 Moxa 為例，不僅有專(zhuān)職的產(chǎn)品安全功能設計工作小組依照國際規范（如IEC 62443）設計產(chǎn)品以滿(mǎn)足客戶(hù)規劃系統時(shí)的需求，提升產(chǎn)品的安全性和加強產(chǎn)品本身的強固，而且設有產(chǎn)品資產(chǎn)安全實(shí)驗室，針對產(chǎn)品進(jìn)行已知漏洞測試及模糊測試 （Fuzzy Test） 以確保產(chǎn)品沒(méi)有已知漏洞并有效降低資產(chǎn)安全風(fēng)險。因此，Moxa 的工業(yè)通訊產(chǎn)品 -- 工業(yè)用交換機、設備服務(wù)器、通訊協(xié)議交換機，和用于關(guān)鍵系統保護和訪(fǎng)問(wèn)的防火墻及 VPN 產(chǎn)品，已廣泛地應用在上海地鐵各個(gè)系統中，如 PSCADA，而這些地鐵線(xiàn)路都經(jīng)過(guò)等保測評機構評定均符合《信息系統安全等級保護基本要求》二級或三級標準要求。

　　此外，Moxa 更投入眾多資源成立專(zhuān)門(mén)的網(wǎng)絡(luò )安全響應小組，匯聚了相關(guān)的專(zhuān)家快速響應產(chǎn)品在網(wǎng)絡(luò )安全方面的事宜；在發(fā)現安全漏洞時(shí)，以最快的速度回應，協(xié)助客戶(hù)的產(chǎn)品保持在最佳的安全狀態(tài)，并主動(dòng)在 Moxa 企業(yè)網(wǎng)站主動(dòng)公布相關(guān)產(chǎn)品、產(chǎn)品弱點(diǎn)與 Moxa 提出的安全解決方案。而 Moxa 的客戶(hù)也可透過(guò)訂閱 RSS 收到最新的產(chǎn)品安全相關(guān)消息。

　　產(chǎn)品資產(chǎn)及相關(guān)網(wǎng)絡(luò )安全議題一直是 Moxa 成立30多年來(lái)關(guān)注的議題，Moxa 很歡迎與各行業(yè)的伙伴在工業(yè)網(wǎng)絡(luò )安全方面進(jìn)行共同探討、合作。

　　Moxa 是工業(yè)自動(dòng)化的領(lǐng)導廠(chǎng)商，提供完整的工業(yè)設備連網(wǎng)、工業(yè)計算機及工業(yè)網(wǎng)絡(luò )解決方案，致力于工業(yè)互聯(lián)網(wǎng)的共同推動(dòng)與實(shí)踐。Moxa 以逾30年的產(chǎn)業(yè)經(jīng)驗、連結全球逾5,000萬(wàn)臺的工業(yè)設備，跨越70余國，提供全球完善的經(jīng)銷(xiāo)和服務(wù)網(wǎng)絡(luò )；Moxa 以“可靠連網(wǎng)，真誠服務(wù)”的品牌承諾，協(xié)助客戶(hù)打造工業(yè)通訊基礎建置，提升工業(yè)自動(dòng)化與通訊應用，創(chuàng )造長(cháng)遠的競爭優(yōu)勢及商業(yè)價(jià)值。