工業4.0 與網絡安全漫談

工業4.0時代,數字化變得越來越重要,工業4.0的推廣也使數字化技術更加普及,但與此同時,不同機器間的邊界也變得模糊,信息安全問題愈發突出。雖然信息網絡是工業4.0的支撐,但卻並不是一張無憂的溫床。
相比於傳統的IT系統,當信息安全問題蔓延至工業系統時,工業控制系統自身存在的安全漏洞,物聯網化帶來的廣泛安全威脅,信息安全與可靠性的相互影響,傳統信息安全防護措施失效等,都使工業4.0的信息安全面臨極大的挑戰。
特別是由於安全制度的缺失,大量的工業控制系統在完全沒有保護的情況下被連接到互聯網中,而這些設備大都使用默認的用戶名和密碼,可以輕易地被登陸和訪問,這些控制系統往往非常脆弱,易於被攻擊,而最危險的是這些控制系統的使用者對這些危險毫無察覺。
由於操作維護人員、第三方的系統維護服務商或訪客的不當操作,有可能將隱藏在U盤、移動設備、筆記本電腦中的病毒傳播到工業控制系統中。如果沒有防護措施,這些病毒會利用系統的安全漏洞,在網絡中進行自我複製和傳播,感染工業控制計算機或攻擊可編程控制器。
工業4.0時代,工業控制系統面臨廣泛的外部安全威脅,需要建立全面、縱深的安全防護體系,嵌入式系統安全以及各種新的防護技術成為解決安全問題的重點。同時,工業4.0對信息安全提出了更多、更大的挑戰,它意味著更長的鏈條、更多維度的元素融入。
「工業4.0」中的所有要素,包括人、機器、生產設備、應用程序、產品和服務都會不斷產生數據。只有保證數據的實時整合和高效分析才能優化資源和生產鏈。大數據給企業信息保護和個人隱私保護帶來了無法迴避的問題。
但是挑戰的背後是機遇,工業4.0時代的信息安全問題也為企業解決這一問題提供了機會和空間。過去做安全的思路是被動式的抓「壞人」,而在工業4.0時代,應該化被動為主動,不讓「壞人」進入。
在工業4.0中,加強網絡安全有以下幾項建議:
人性化的信息安全:信息安全機制及方法應該人性化,具有良好的可用性,使研發人員、信息安全專家和普通人都能完成與安全相關的任務。
通過設計保護隱私:保護經濟、公司和個人隱私,應警惕網絡犯罪和網絡間諜行為,特別要考慮個人信息保護的重要意義,如客戶信息對於經濟發展的重要意義。可以通過適當辦法,按照「通過設計保護隱私」原則預防非法網絡入侵和信息濫用。
第三方檢測:為獲得可信賴的安全,支持研發新的技術方法,各工業控制企業可以對組件、產品、服務和解決方案在全生命週期的安全性進行檢查,並使已達到的安全性具有可證性。
信息技術取證:網絡作案者會留下痕跡。信息技術取證的任務就是發現、確定並分析這些痕跡。主要研究任務包括:研發可針對各種媒體類型自動高效識別禁止內容的程序以及在刪除信息後從信息碎片中識別禁止內容的程序;對大數據快速分類以及在大數據中快速自動檢索圖片和視頻內容的辦法。