江苏龙网

  1. 首页 > 资讯 > 科技 > >

物联网|万物联网时代来临 打破封闭内网提升网络安全


智慧工厂(Smart Factories)是工业物联网 (IIoT) 改造传统制造业的最佳展现 , 在万物联网(图 1)、大数据与 AI 等技术的结合下 , 智能制造、智能医疗、智能交通已成为台湾转型升级目标 。 然而 , 所面对的操作科技(OT)资安威胁会更严苛 , 只要遭遇一次重大网络攻击 , 原本物联装置所带来的效益 , 恐怕瞬间就会化为乌有 , 例如:机密资料外泄、营运生产停顿、供应链断炊 。 近年来锁定智能工厂的病毒越来越多 , 全球都有受害的灾情不断传出 , 不只影响生产线运作 , 更甚者会危及国家基础设施 , 并要当心成为勒索软件目标 。

物联网|万物联网时代来临 打破封闭内网提升网络安全
本文插图

图 1:物联网运用遍及各种产业
打破封闭内网是安全的观念
过去多数工厂因设备老旧、缺乏专业整合人才 , 或因其为封闭系统而缺乏资安防护观念 。 在工业物联网的建置下 , 企业 IT 与厂房 OT 系统相互串连 , 使长久以来一直是被认为封闭网络的 OT 环境 , 暴露在可能遭受网络攻击风险下 , 包括商业机密遭窃取、恶意中断营运、攻击基础设施造成生产损失、甚至造成工安事件危害人员健康与安全等 。
有些工厂开放机台可以透过防火墙直接对外 , 任何人皆可以对机台进行联机管理 , 甚至从外部亦可以透过 IE 联机 , 进行管制 。 由于机台物联网化后加速生产力 , 但是对于网络的管理并没有严格要求与落实 , 容易造成后续资安维护管理上漏洞 。 因此在导入装置物联网后 , 联网的机具、人员管理识别、网络流量检测、LOG 纪录追踪都是需改善的要点 , 所以需要在原来的系统上加入信息安全的防护 , 除了原本防火墙基础网络防护外 , 建议区隔 IT 与 OT 的网络架构(图 2)、做好定期弱点扫描及人员资安教育训练课程等 , 除了保护企业的信息外也保护自己的网络财产 , 万一真的不幸发生攻击事件 , 可以将损害降到最低 。

物联网|万物联网时代来临 打破封闭内网提升网络安全
本文插图

图 2:强化 OT 内网安全
智能工厂(OT 厂域)存在的资安威胁
攻击的来源来自几个地方 , 每个方向的目的并不一样 , 整个系统的问题分析如下:
(1) 来自网络黑客的攻击:
可能带有炫耀或是威胁意图 , 例如:黑客发出勒索邮件 , 要求交付比特币当赎金 , 如果不从就不定期发出瘫痪攻击 , 瘫痪战情中心或是阻断客户端的网络 。 勒索金额相对于工作上的损失 , 通常小很多 , 所以企业都会付赎金息事宁人 , 这样更助长这类的恶意行为 。
(2) 恶意人士攻击:
客户端的现场通常是无人的环境 , 有心人士进入专属的内部网络根本不费吹灰之力 , 在这个状况下 , 要窃取、伪造数据或是瘫痪网络运作 , 就像开了一道任意门畅通无阻 。
(3) 人员疏忽:
因为内部计算机跟厂房机台网络是没有任何管制 , 万一有人被引诱点了钓鱼邮件后 , 装入后门程序 , 让恶意攻击者有窃取机密数据与发动勒索攻击的机会 , 例如 , 把服务器的数据加密藉以勒索 。
(4) 不安全的身分认证:
在 IT 的网络环境中 , 对身分的权限管理是相当重视的 , 常见以相当多的认证机制严谨管控身分权限 。 不过 , 传统的 OT 环境架构 , 注重系统的运行与稳定度 , 面对资安的风险问题相对较低 。 因此在认证权限方面就容易忽略 , 产生许多不安全的联机 , 让厂内的人员或是设备的技术人员 , 只要利用计算机 , 就能轻松登入生产设备 。
(5) 不安全的协议:
一般生产设备之间的工业通讯协议 , 因发展的比较早 , 并未考虑与设计网络安全的相关功能 。 例如只要持有内建 Modbus 通讯协议的计算机 , 就能透过 Modbus 对生产设备发出任何指令并执行 。


推荐阅读


上一篇:华为手机|9月iPhone12上市,买不起怎么办,换华为小米帮你参考下

下一篇:晓刚影视迷|华为无奈做出决定,高通也释放“信号”,手机行业将迎“变天”?