【2018工博会专辑】工业物联网“后盾” 企业与工厂资安威胁与防护策略(2)

推动工业物联网建制的关键之一，就是制造系统与资讯系统要做到完美连接，因此在资安策略的规划上，不仅是资讯部门的工作，必须由OT、IT相关人员协力合作，重新建立物联网架构的资安政策。

[好文分享：www.ii77.com]

[本文来自：www.ii77.com]

对于制造业来说，工厂内的生产制造系统就是企业营运命脉，对高度自动化、高度连动的物联网生产线来说，任何设备一旦无预警故障停机，不止造成整条生产线的停摆，也会造成原物料、半成品的损失，影响到订单延迟出货的赔偿问题、公司商誉损失…等问题。OT与IT在运作上本来就有明显差异，各自需要不同的资安处理原则；因此，在推动工业物联网资安时，不能忽视以制造系统稳定为前提，以及制造部门的管理特性和作业需求。

制造业若要有效推动工业物联网的资安建制，大致可以注意下列四个重点：

首先，要做好设备资产的盘点工作。盘点项目在于机台厂牌、型号、韧体、软件版本型号等等的列表统计，盘点重点则应针对工业控制系统、数据采集与分析系统、资料库结构等，分析出可能的弱点或漏洞，进行改善。

其次，在完成资产盘点之后，应配合标准生产SOP，检视生产流程中所有可能遭受攻击的弱点，预测黑客或病毒的攻击流程和扩散方式，完成风险评估和威胁场景，建立资安威胁模型，然后进行漏洞扫描、渗透测试、模拟攻击、完成系统安全性验证工作、危机处理演练。

第三，病毒技术与病毒变种总是“日新月异”，黑客攻击手法令人防不胜防，因此在完成资产盘点、资安威胁模型后，也要随时注意系统安全更新，调整资安威胁模型、并且作好人员的资安观念训练及安全作业的SOP、权限管理。因为，唯有随时保持资安意识与能力的与时俱进，才能防患于未然。

第四，在资安防护的工作上，莫存自扫门前雪的心态，企业应与各方资安单位保持互动，掌握专业领域最新的物联网资安问题与技术，分享学习资安情报与策略作法，例如Critical Intelligence、ICSCERT、Infragard、IoTSF、ISAC、OWASP、SCADAHacker…等组织。

各地积极研拟物联网资安举措

随着物联网应用的普及，病毒与黑客攻击的案件频传，资安厂商积极布局物联网资安服务外，产品与设备制造商也开始将资安防护列入技术研发重点。不止如此，各国与国际组织也正视物联网资安问题，针对个资泄露、殭尸攻击等问题，推动立法规范。

2017年美国发布“强化联邦网路与关键基础设施网路安全”命令，要求公私企业及政府单位必须分享黑客攻击情资，8月再提出物联网安全强化法案，规定机关单位采购物联网设备时，必须符合网路安全操作标准安全需求。

欧盟组织在2017年则提出了联网器材后门加密禁令，要求传输端点对点两端都提供加密程序，并且禁止卖给终端用户的联网器材“偷开后门”。

中国于2017年3月，中国联通联合众多企业与研究机构，在ITU-T SG20订出全球第一个物联网区块链（Blockchain of Things；BOT）标准，定义去中心化的可信赖物联网服务..框架，用区块链技术为物联网资安问题提出一道解方。

中国..地区也在2017年年底，公告“IPCAM资安产业标准及检测规范”正式版，推动网路摄影机的安全验证工作；并在2018年中发布IoT设备资安验证标章制度，列为资安采购优先原则。

各地IoT产品规范纷纷上路，在法规要求下，未来厂商生产的设备需具备资安设计。物联网市场正从功能优先进入实用导向，用户对资讯安全设计重视度，也将进一步推进到产业标准规范，厂商也更积极重视设备的资安保护设计，及早建构其产品优势。

关注DIGITIMES，产业资讯一手掌握