close
当前位置: 物联网在线 > 行业应用 > 智能安防 >

善用物联网安全方案 让黑客无机可乘

不可讳言,从以往各自独立运作的系统,迈入万物皆可互联的物联网时代,其间转变确实相当剧烈,而且这般的变革,对于不论是企业竞争力、人类生活质量,都可谓美事一桩。

 
在物联网热潮延烧下,接续繁衍工业4.0、Bank 3.0、金融科技(FinTech)与零售4.0等崭新的产业浪潮;若以物联网信息安全议题而论,尤其以工业4.0跳跃幅度最大,只因制造业过往采用封闭的序列通讯协议,尚可忽视安全课题无妨,如今走向IP通讯化,即需面对从零分到满分的快速进化需求。
 
不可讳言,从以往各自独立运作的系统,迈入万物皆可互联的物联网时代,其间转变确实相当剧烈,而且这般的变革,对于不论是企业竞争力、人类生活质量,都可谓美事一桩,此乃由于,经由物联网设备所产生数据的分析探勘,可望从中挖掘宝贵的信息,一旦加以善用,将能提升企业组织运作效率,连带强化运营竞争力,同时有助于促使人类生活更趋精采多姿。
 

善用物联网安全方案 让黑客无机可乘


随着工厂内部机台设备走向IP通讯化,固然有助于拓展诸如远程除错、预知保养等进阶智慧应用,但同时也开始接触网络恶意攻击,亟需透过防火墙捍卫工业网络安全。

 
尽管从过去一座座筒仓(Silo)(意指独立封闭的系统架构),迈入万物互联新局,确实可望触发无穷效益,但在转折过程中,不乏有严峻挑战亟待面对,最显著的考验,无疑正是信息安全,主要是由于,过去筒仓采用自成一格的通讯协议,鲜与外界沟通,黑客对这些封闭语言一无所知,所以无从出手制造任何安全威胁,今天工厂设备走向IP通讯化,不再是与世隔绝的筒仓,至此情势出现大幅逆转。
 
以现今热门的工业4.0议题为例,制造业导入工业物联网后,使以往蜷缩在一个个不同筒仓里头的机台设备,开始试图藉助工业界标准语言,与外面的世界沟通,沟通的对象不仅含括异质设备、制造执行系统(MES),同时还有更上层的ERP、云端大数据平台,旨在满足远程监控与预防保养等需求;但在追求创新突破之际,也背负门户洞开的安全风险。
 
筒仓走向开放  安全挑战接踵而至
 

曾有厂务主管透露,伴随工厂设备开始联网,诸如跳电、机器故障等意外插曲,似乎也跟着增多,虽然增加的幅度看似不大,造成的停机时间也不算长,但制造企业对于产线的持续高效率运转,一向极为倚重,只因为停机时间与次数一旦增加,轻则影响产能、压低稼动率,重则导致制程整个报废,让原物料付之一炬,因而蒙受可观财务损失,甚至造成交期延宕、冲击商誉,后果着实不容小觑;深究个中原因,不乏肇因于病毒或恶意软件而引发机台设备故障之例,更可怕的是,如果诸如此类现象一再发生,合理怀疑已有黑客侵门踏户,此时企业便需提高警觉,检视是否有机密智财出现外泄。
 
意欲清除这些负面因子,则负责企业操作技术(Operation Technology;OT)的人士,实有必要向执掌信息科技(IT)事务的同仁看齐,认真考虑部署相关安全防护设备,从VPN与防火墙的架设作为起步;众所周知,防火墙并非新颖技术,迄今发展历程已超过20年,而且防护实力日益强大,但问题是,制造业者欲以一般商用VPN防火墙系统保护工业控制网络,显然并不适合。
 
业者解释,一般常见商用防火墙,擅于守护Intranet之内的服务器、个人计算机等众多运算节点,也成为这些节点通向因特网的唯一出入闸口,因进出流量大,所以防火墙不可能逐一拦阻并详查每个封包,仅能藉由封包来源与目的地来验证其合法与合理性;反观工业控制网络,与Intranet情况大异其趣,内含的设备数量相对有限,传输的数据量也较小,不过单一封包所蕴含的价值,却远比Intranet进出流量要大上许多,所以单凭商用防火墙查看封包地址与去向之模式,肯定不敷需求,必须导入工业用防火墙,藉以辨识诸如EtherCAD、Profinet等工业通讯协议,理解不同机台设备惯用的沟通话术,从而深入剖析与细腻检查数据流量,如此才能实时察觉异常现象。
 
善用工业协议防火墙  有助遏止黑客进犯
 
比方说,假设工厂内部所采用的机械手臂,按常理所需执行的作业步骤,依序包含了A、B、C、D、E等五道程序,此时如果出现黑客入侵现象,透过恶意软件的施放,意图控制机械手臂将执行步骤改为A、B、C、D、F,等于更动了个中一道程序;对于这般变化,商用防火墙理当难以察觉,只因这类系统对于工业通讯协议的辨认能力不足,反观工业防火墙,即可在第一时间断然制止,不允许有人擅自更改控制规则。
 
事实上也有少部份商用防火墙,在成立之初,便誓言跳脱单纯的TCP/IP协议,养成足以解析所有网络流量内容的实力,如今得以朝向物联网安全、工业4.0安全等领域靠拢,譬如Palo Alto Networks便是一例。制造企业若将Palo Alto Networks网关设备布建于工业控制网络,即使面对「Modbus Read Only」(仅容许读取Modbus端信息、不允许写入)的规则条件,也有能力加以辨识,并且落实执行,单凭这点,便与一般商用防火墙产品大不相同。
 
另一方面,Palo Alto Networks面对工业控制网络的防护重任,不管守护对象是工业计算机、SCADA或ICS(工业控制系统),都坚守零信任原则,是假定所有内部使用者都是不安全的,因以每个同仁的一举一动,都必须完全符合既定行为规范,不容许有任何差池,所以万一有任何使用者节点,不慎遭黑客植入恶意软件,意图做出超乎规范的行径,只要踏出第一步,必定立即遭到Palo Alto Networks系统遏阻。
 
借助单向网关  实现实体网络隔离
 
Intel Security(原名McAfee)也是甚早跨足物联网安全防护的业者,其标榜以白名单为管控基础,与前述零信任架构颇有异曲同工之妙;所谓白名单,主要是透过一套动态白名单机制,用以锁定物联网设备的原始软件设定,避免被纳管的设备擅自执行未经授权的程序代码,藉此确保设备的安全性;之所以必须这么做,道理其实很简单,因为世上没有任何一个安全解决方案,足以100%解决现今与未来所有风险,面对发展方兴未艾的物联网应用,欲妥善管理如此大的不确定性,「强力限缩访问权限」无疑是最理想的做法。
 
此外,类似像发电厂等以往走封闭路线、如今开始联网(基于智慧电力调度)的关键基础设施,由于关键性非同小可,完全不容许一丝一毫遭到黑客染指,故防护措施必须更加严谨;着眼于此,有业者开始援引Waterfall单向网络安全网关,形塑一种诉求「实体网络隔离」的解决方案。
 
据悉,现阶段面对关键维运作业数据实时交换需求,意欲防止遭受网络攻击,企业通常采取两种做法。一是藉由防火墙,将该网络区域划分成一个隔离的网络环境,接着运用防火墙规则来限制个中存取行为,然而此做法的疑虑,在于隔离与非隔离网络环境的物理层依然相通,倘若防火墙规则有所疏漏,仍可能导致两个网络环境的界线趋于模糊。另一做法,则是直接以实体隔离方式,切断机敏网络区段的对外通讯,但此举将对内外网数据交换构成阻碍,这时企业只好以可携式储存设备来满足交换需求,反而导致追踪与稽核不易,衍生更大风险。
 
通过单向网络安全网关,则迫使任何数据仅能从TX Gateway复写到RX Gateway,完全杜绝了任何反向通讯的可能性,如此一来,黑客欲利用传统三向交握机制的盲点,从中找寻可供切入的缝隙,势将铩羽而归。






(责任编辑:ioter)

用户喜欢...

IMC将在2018年CES大会上举办物联网基础设施展览会

物联网机对机协会(IoT M2M Council,简称“IMC”)将在全球最大的消费科技商业展2018年 CES(国际消费电子展)大会上,...


富士康、Keyssa和三星联合推出颠覆性的“Connected World”智能手机生态系统

多家领先的科技公司及Keyssa投资者日前宣布发起“Connected World”计划,它是一个着眼于在移动设备和与日俱增的联网...


安富利收购 Dragon Innovation

全球领先的技术分销商安富利(NYSE:AVT)宣布收购 Dragon Innovation,旨在扩展其在客户从设计、原型创建到大规模生产的...


华为发布首个全面云化、全网智能的视频云方案

在HUAWEI CONNECT 2017期间,华为携手依图、商汤、东方网力、华尊、MIMOS、Qognify等合作伙伴发布业界首个全面云化、全网...


《物联网发展趋势展示内容》研究报告:(十) 物联网工厂的应用

为了反应日益复杂的外部市场和内部生产环境,制造商必须要快速发展。制造商的新种类正在兴起以迎接这些挑战并...


Ayla 物联网平台全面支持主流智能语音系统

企业级物联网平台供货商Ayla Networks宣布全面支持目前市面上主流的智能语音助理生态系统,包括Apple Siri、亚马逊Al...


RFID在物联网应用的瓶颈与机会

RFID推了超过十年,仍存在许多应用瓶颈。在成本方面,虽然标签成本已大幅下滑,但读取器价格仍居高不下,而应用...


韩国SK推LoRa物联网智能行车管理服务

韩国SK集团(SK Group)旗下SK电信(SK Telecom;SKT)与车辆租赁子公司SK Rent-a-car,领先全球共同发表采用LoRa物联网(IoT)的车辆...


物联网支付技术架构和发展趋势

当为推动物联网所发展出的创新技术与应用越来越多时,将对我们的生活型态产生怎样的影响?又会带来哪种新型态...


Silicon Labs磁性传感器为物联网时代带来现代化霍尔效应开关和位置感应

Silicon Labs日前推出磁性传感器产品组合,带领现代化霍尔效应传感技术进入21世纪,提供业内领先的电源效率、最佳的...