在數字時代，物聯網（IOT）是企業保持競爭力和盈利的不可否認的現實。大多數工業公司都將物聯網視為推動數字化運營以提高效率和收益的主要驅動力。

然而，與消費者物聯網產品（如智能手表）不同，要大規模采用工業物聯網，企業必須投入大量資金來改造其設備、基礎設施、人員和流程。由于物聯網系統與物理環境相互作用，因此它們的相關風險也更高。

更多的網絡威脅是連接性和軟件技術的另一面。固有的軟件缺陷、意外錯誤和對物理系統的惡意遠程訪問會對人員、設備和環境造成損害。

據羿戓信息所了解，已經有幾份報告稱，網絡犯罪分子利用遠程訪問和魚叉式網絡釣魚電子郵件入侵關鍵基礎設施。紐約州灌溉大壩指揮和控制系統的黑客入侵，以及烏克蘭電網中BlackEnergy惡意軟件引起的停電就是兩個顯著例子。

根據美國證券交易委員會10Q報告和歐洲財務報告顯示，2017年由于工業感染造成的損失高達10億美元。

以下摘錄突出了工業網絡安全威脅的嚴重性。

“工業物聯網（IIOT）安全漏洞的后果比傳統IT部署的危害要嚴重得多。在工業物聯網系統遭到黑客攻擊的情況下，除了常見的IT后果（例如聲譽損失和財務損失）之外，還可能會造成生命損失和/或環境破壞。”

——《實用工業物聯網安全》

為了確保物聯網投資安全無憂，必須保持足夠的警惕，并將董事會會議延伸到工廠車間。接下來讓我們討論一些實現此目標的實用方法。

物聯網安全比網絡安全更棘手

任何工業物聯網解決方案都涉及技術復雜性、多個供應商和特定領域的行為。這使得物聯網威脅形勢和緩解措施都相當棘手。

傳統的網絡安全主要是保護軟件程序和數據在存儲和傳輸過程中免受惡意訪問。而物聯網安全則更進一步，除了數據隱私之外，系統還必須能夠安全可靠地從攻擊中恢復。（來源物聯之家網）例如，如果無人駕駛汽車的控制軟件在汽車以每小時100公里的速度行駛時崩潰，汽車應該能夠從容地做出快速反應以避免致命事故。

因此，物聯網安全必須在多個層面進行協調，這需要開發人員、運營商和管理層做出貢獻，以確保物聯網設備、計算平臺、通信和流程的安全。

在《實用工業物聯網安全》一書中，討論了一種四層方法來剖析和簡化生命周期各個階段的安全管理。這四個層次是：

▲身份和訪問管理

▲端點和嵌入式軟件

▲通信和連接

▲云平臺與應用

做好準備

在軟件定義的連網世界中，安全性不僅僅在于推測和阻止攻擊，它還涉及到如果發生攻擊，可以從容地消除后果。制定安全計劃以保護其關聯資產的企業在降低資產和負債風險方面表現得更好。

“除了數據可用性、隱私性和完整性之外，工業物聯網安全計劃還必須確保在發生攻擊時的恢復能力和可靠性，這些攻擊可能來自外部或內部，也可能是由于意外的錯誤配置或自然災害造成。”

——《實用工業物聯網安全》

對于大多數采用物聯網的傳統組織來說，制定一個包含信息技術（IT）和運營技術（OT）的安全計劃是一個新概念。然而，制定安全計劃是保護其物聯網投資的關鍵步驟之一。物聯網安全計劃包括主動和被動安全措施，其中包括：風險評估、策略定義、法規遵從性、安全監控、事件管理和審計。

使之實用

“一個實用的安全治理模型必須能夠為特定業務用例調整安全性的強弱，以確保信任和合規性。”

——《實用工業物聯網安全》

安全涉及成本，它還增加了復雜性，并要求常規操作增加額外的處理周期。市場上有太多的物聯網安全產品可供選擇，但它們的實現和用法通常并不簡單。此外，在快速發展的數字經濟中，創新和產品上市時間往往要優先于安全性和可靠性。

在物聯網解決方案的產品設計、開發、部署和運營階段，這些因素會導致圍繞“保護多少”的困惑。保護一切都是不現實的，而且往往無法實現。它必須與用例的獨特風險特征保持一致。

每個物聯網用例都有其獨特的技術和業務需求，以及獨特的安全態勢和攻擊面。例如，保護智慧城市用例的步驟將與智慧農業大不相同。

通過將四層安全方法與適當的風險評估相結合，企業可以通過定義實用的方法和可實現的安全目標來“調整”其安全計劃。

如果執行得當，保護工業物聯網用例不必成為噩夢。這是確保企業數字化轉型以提高效率的必勝之道。