通过设计保护物联网

随着设备、系统和流程日益数字化和互联，物联网(IoT)为工业提供了机会。然而，同样的技术在创造价值的同时，也为网络罪犯提供了新的攻击面。例如，设备上的开放端口使黑客能够渗透到公司的网络和连接的生产设施的关键基础设施。

在物联网时代，每个支持无线的产品都对数据安全和隐私构成潜在威胁，但积极、强大的安全规划使制造商能够管理网络安全风险以减轻攻击。

预防性保安措施应从设计阶段甚至概念阶段开始，采用“设计安全”的原则。顾名思义，虽然这是针对设计阶段的，但重要的是要理解安全性是一个连续的过程。

安全设计原则是合理的。然而，它本身必须被定义。因此，这个过程应该从评估业务影响和风险的可能性开始。如果不清楚地了解风险并确定风险的优先级，就不可能确定该产品乃至整个物联网系统的适当安全要求。

网络安全评估

了解风险后，下一步是评估硬件和软件——“攻击面”。根据风险评估确定的需求对单个组件进行测试是安全产品的基础。在产品开发之后，安全性很难作为软件附加组件进行安装。因此，必须评估每个方面的漏洞，包括设备硬件(芯片组、传感器和执行器)、无线通信模块和协议、设备固件(操作系统和嵌入式应用程序)、云平台和应用程序。

在组件测试之后，应该执行端到端评估，以确定各个组件和支持服务的攻击弹性。重要的是，这个过程是连续的。问题是，“我们找到所有的漏洞了吗?”或者“我们引入了新的漏洞吗?”总是在空气中。因此，在产品生命周期中实现更新的安全验证过程也很重要。

行业网络安全标准

通常有一种看法认为，因为系统很复杂，所以它自然是安全的。不幸的是，情况并非总是如此。

在欧洲引入NIS指令(网络和信息系统安全)旨在改善这种情况，但吸收缓慢，因为引入了协助改善网络安全所需的标准。然而，国际组织确实存在或正在制定旨在提供基线保护的标准，这些标准将有助于为网络防御的第一线提供基本安全保障。

物联网设备的两个主要标准是NIST 8259(美国)和EN 303 645草案(欧盟)。NIST的范围旨在解决广泛的物联网类型产品，这些产品至少有一个传感器。因此，它可以适用于工业4.0产品。这一标准已在加利福尼亚州强制执行，并可能在美国各地普及。

然而，EN 3030645草案标准的范围仅针对消费者物联网设备，因此不适用于工业产品，尽管其中的一般原则当然可以普遍应用以提供一些保护。

做好网络安全防范工作

有一些争论认为，目前的网络安全标准在应用上缺乏细节和适当性，并且没有充分覆盖典型工业应用的范围。因此，制造商应该考虑自己的方案，起点是:

• 考虑“设计安全”，并采取积极主动的网络安全方法，认识到攻击是“何时而不是如果”。
• 确保符合最新的所有标准。
• 不断审查“网络抵抗”状态。

在网络安全方面的持续投资对于保持竞争优势的技术发展，以及对抗针对关键IT基础设施的新形式的黑客攻击的有效措施至关重要。例如，公司经常忽视对员工的it安全培训，尽管社会工程长期以来一直是每个网络犯罪分子的标准武器。

随着新的IT投资或公司收购，企业也经常忘记断开过时或未使用的设备。这些可能运行不受支持的操作系统，并且缺少更新的安全补丁，这为黑客攻击打开了漏洞。

模式匹配已被用于识别IT基础设施中的安全风险，但随着网络攻击越来越多地使用机器学习和人工智能来实施，这已经不够了。因此，企业应该专注于通过在网络安全工作中部署人工智能来识别异常情况。

网络安全不仅是IT经理的焦点话题，也是c级管理的焦点话题。然而，管理人员和IT专家经常不能有效地沟通，并且在许多问题上采用不同的观点。在这种情况下，采用适合各自目标群体的交流级别是有帮助的。否则，通信问题可能会延迟必要的IT安全投资。

虽然拥有一定程度的内部安全知识，但许多制造商将从与外部专家合作中受益，这些专家对评估各种类型的产品或基础设施有更广泛的了解，并能更好地帮助管理新的和不断发展的网络威胁。解决网络安全风险问题只能通过全面规划、定期评估、更新和监控——从设计到淘汰——来实现。

本文原载于欧洲控制工程的网站。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。