構(gòu)筑工業(yè)物聯(lián)網(wǎng)安全生態(tài)閉環(huán) 做好檢測評(píng)估是關(guān)鍵

人、數(shù)據(jù)和機(jī)器構(gòu)成了工業(yè)物聯(lián)網(wǎng)的關(guān)鍵要素，三者密切連接開啟了設(shè)備與設(shè)備、設(shè)備與人的互聯(lián)互通，進(jìn)一步實(shí)現(xiàn)了現(xiàn)場生產(chǎn)與用戶遠(yuǎn)程運(yùn)維管理的無縫連接并協(xié)調(diào)數(shù)據(jù)分析與行動(dòng)。

工業(yè)物聯(lián)網(wǎng)關(guān)鍵要素的更深層次融合，助推傳統(tǒng)產(chǎn)業(yè)以更快的發(fā)展速度創(chuàng)造更卓越的價(jià)值，以及更高生產(chǎn)力和生產(chǎn)效率。而工業(yè)物聯(lián)網(wǎng)廣泛的深度應(yīng)用所引發(fā)的影響，也存在兩面性。在提高工業(yè)效能和推動(dòng)社會(huì)進(jìn)程發(fā)展的同時(shí)，由網(wǎng)絡(luò)的復(fù)雜性和不確定性引發(fā)的安全隱患就在“價(jià)值”的轉(zhuǎn)角處。

補(bǔ)足短板 夯實(shí)安全檢測和評(píng)估

　　構(gòu)筑工業(yè)物聯(lián)網(wǎng)安全生態(tài)閉環(huán) 做好檢測評(píng)估是關(guān)鍵

工業(yè)物聯(lián)網(wǎng)需要把數(shù)以億計(jì)的終端工業(yè)設(shè)備連入互聯(lián)網(wǎng)，使得原本相對(duì)封閉的工業(yè)控制網(wǎng)絡(luò)變得越來越開放，開放帶來便捷和效能的同時(shí)，漏洞數(shù)量和利用漏洞形成有效攻擊的數(shù)量也在不斷攀升。當(dāng)一個(gè)工業(yè)物聯(lián)網(wǎng)的系統(tǒng)中某個(gè)工業(yè)設(shè)備安全性較差時(shí)，系統(tǒng)中其他工業(yè)設(shè)備再安全也無濟(jì)于事，這就形成工業(yè)物聯(lián)網(wǎng)安全中的“短板效應(yīng)” ?！岸贪濉痹蕉啵c國計(jì)民生息息相關(guān)的工業(yè)物聯(lián)網(wǎng)安全就越岌岌可危。

構(gòu)筑工業(yè)物聯(lián)網(wǎng)安全生態(tài)閉環(huán)，首先需要做好安全檢測和評(píng)估，夯實(shí)工業(yè)物聯(lián)網(wǎng)系統(tǒng)及設(shè)備的安全檢測和風(fēng)險(xiǎn)評(píng)估。如果未進(jìn)行相關(guān)檢測就帶“病”運(yùn)行，一方面很容易在工業(yè)物聯(lián)網(wǎng)中被攻擊者利用進(jìn)行入侵和攻擊，輕則影響操作系統(tǒng)某些功能正常使用，重則大量隱私信息如核心工藝參數(shù)存在被竊取的風(fēng)險(xiǎn)，進(jìn)而控制和破壞關(guān)鍵基礎(chǔ)設(shè)施的工業(yè)設(shè)備，造成巨大的經(jīng)濟(jì)損失和人員傷亡，甚至威脅到國家安全。另一方面，在整個(gè)安全建設(shè)方案中如果未進(jìn)行檢測，也無法有效的“對(duì)癥下藥”進(jìn)行安全防護(hù)方案的設(shè)計(jì)和建設(shè)。安全檢測和評(píng)估，好比看病過程中的望聞問切和各種檢查，是確保藥到病除的重要基礎(chǔ)。

在2017年6月1日即將實(shí)施的《中華人民共和國網(wǎng)絡(luò)安全法》中，就明確提出國家將對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)以及對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全性和可能存在的風(fēng)險(xiǎn)進(jìn)行檢測評(píng)估。

不破不立 安全檢測要突破傳統(tǒng)局限

那么，現(xiàn)有的檢測手段或產(chǎn)品是否能對(duì)工業(yè)物聯(lián)網(wǎng)中系統(tǒng)及設(shè)備進(jìn)行有效的安全檢測呢？從工業(yè)物聯(lián)網(wǎng)中網(wǎng)絡(luò)、系統(tǒng)、設(shè)備復(fù)雜性特點(diǎn)來看，工業(yè)控制網(wǎng)絡(luò)中總線協(xié)議和應(yīng)用層協(xié)議有幾十種，同時(shí)這些協(xié)議的規(guī)約實(shí)現(xiàn)也不相同；另外，工業(yè)控制系統(tǒng)和設(shè)備的公開的漏洞較為有限，通過漏洞掃描方式進(jìn)行檢測有效性有待提升。具體來說，目前對(duì)工業(yè)物聯(lián)網(wǎng)中安全漏洞進(jìn)行檢測的手段是比較局限的，具體體現(xiàn)在：

1.現(xiàn)有檢測手段僅針對(duì)網(wǎng)絡(luò)中的外圍服務(wù)器和通用IT設(shè)備，無法觸及亟待保護(hù)的核心工業(yè)設(shè)備；

2.現(xiàn)有的端口服務(wù)掃描、漏洞特征掃描等技術(shù)對(duì)漏洞庫的依賴較大，但公開的工業(yè)控制網(wǎng)絡(luò)安全漏洞庫信息很少，導(dǎo)致無法實(shí)現(xiàn)深入、全面的檢測；

3.基于公開漏洞的掃描技術(shù)和機(jī)制無法有效發(fā)現(xiàn)未知漏洞，同時(shí)在時(shí)間上永遠(yuǎn)滯后于攻擊者利用的未知漏洞；

4.缺乏針對(duì)性檢測工具，無法有效證明工業(yè)設(shè)備上的潛在漏洞是否存在。

結(jié)合工業(yè)物聯(lián)網(wǎng)特點(diǎn)，我們建議對(duì)工業(yè)物聯(lián)網(wǎng)中系統(tǒng)及設(shè)備進(jìn)行安全檢測尤其是漏洞檢測需要考慮到以下幾方面：

1.具備按需定制特性：根據(jù)工業(yè)設(shè)備及系統(tǒng)進(jìn)行有針對(duì)性的定制化的檢測，比如根據(jù)設(shè)備的通訊協(xié)議、通訊接口不同進(jìn)行不同測試用例的定制；

2.具備全面的脆弱性檢測功能：由于已知工業(yè)控制安全漏洞較為有限，需要對(duì)潛在的漏洞也能進(jìn)行有效的檢測，如進(jìn)行基于工控協(xié)議的模糊測試來挖掘未知漏洞；

3.具備強(qiáng)大的可擴(kuò)展性：由于工業(yè)控制設(shè)備通訊協(xié)議和通訊接口不盡相同，因此安全檢測產(chǎn)品需要具備強(qiáng)大的可擴(kuò)展性，方便進(jìn)行支持的設(shè)備、協(xié)議、接口的擴(kuò)展；

4.具備較強(qiáng)的易用性：在工業(yè)物聯(lián)網(wǎng)中，能便捷地?zé)o需復(fù)雜的部署即可對(duì)工業(yè)物聯(lián)網(wǎng)中系統(tǒng)及設(shè)備進(jìn)行安全檢測，操作簡單且能及時(shí)生成和查看檢測結(jié)果。