看看工业物联网安全应该防范的个风险类别

dlzye0

许多垂直行业已经采用了工业物联，但这并不意味着他们的部署是安全的。工业物联向传统IT系统引入了具有不同威胁向量和相关风险的各种运营技术(OT)架构。许多风险已经存在了几十年，并且已经进入速发展的工业物联的领域。[url=http:///www.siptrunk.cn/]SIP中继[/url]的最新消息可以到我们平台网站了解一下，也可以咨询客服人员进行详细的解答！[align=center]

                               
登录/注册后可看大图

[/align]









工业物联设备和相关技术给企业带来的常见安全风险可以分为类：管理和运营风险、技术风险、物理风险。





1 管理和运营风险





这种类型的风险涉及人为风险，论是意外的还是有意的，例如工业物联设备的不当使用或络攻击者入侵络。





缺乏全面的工业物联安全风险管理计划会使企业的业务安全性变得脆弱。该计划必须包括安全政策、程序和定期培训，以在可能的情况下识别、管理和消除络安全风险。





人为造成的事故和错误可能会造成安全漏洞，例如滥用或错误安装工业物联设备，以及使用遗留系统。怀有恶意的企业内部人员和外部人员也将工业物联设备作为破坏目标。





工业物联设备和系统制造商可能会倒闭、消失或停止支持，而企业却仍在使用他们的工业物联技术。这可能会使用于关键场景的工业物联设备存在一些被攻击利用的漏洞。





2 技术风险





日益增长的物联设备扩大了攻击面而这些设备往往存在用户未知且可被络攻击者发现的漏洞。





工业物联部署在IT和OT之间建立了新的连接，这增加了部署的复杂性和安全风险，尤其是对于非标准化的工业物联硬件、软件和固件。工业物联缺乏全球采用的安全性和互操作性技术标准导致设备、控制器和支持系统的安全性不一致。





许多工业物联设备使用弱密码或没有加密，身份验证较弱或没有身份验证，并且运行在容易受到络攻击的软件上。





  物理风险





自然灾害、突发事件或络攻击可能会中断或改变工业物联系统的工作方式。





络攻击者可能会以物理安全性较差的设备为目标，并直接对其进行更改，从而以有害的方式影响物理世界。例如，络攻击者会以控制石油管道或其他资源的物联设备为目标。





许多工业物联设备需要人工完成维护或更新，这对于使用它们的员工来说可能是不可能现的。





遵循推荐的工业物联安全践





某些络安全目标应该是每个工业物联安装的一部分。首先，企业必须使用安全的工业物联设备和系统。物联团队必须配置设备以防止它们被用作络攻击的一部分，例如分布式拒绝服务(DDS)、数据露或设备设置的修改。





企业还应建立数据安全控制。他们必须保护由工业物联技术收集、处理、存储、传输的所有数据的机密性、完整性和可用性。部署中缺乏数据完整性和不一致是工业物联的固有风险。每个施工业物联设备的企业都必须具有以下领域的安全功能：









◆ 管理和运营安全控制。这些是确保工业物联部署安全所必需的基于人员的行动。控制措施包括管理设备的选择、开发、施和维护所需的行动。安全措施必须保护工业物联数据和设备功能，并管理使用工业物联设备的劳动力。采取的一些措施包括工业物联安全控制设置文档、政策和程序、设备安全使用培训或执行工业物联风险评估。







◆ 技术安全。这些是确保有效的工业物联安全和保护作为工业物联系统一部分的技术元素(例如云计算服务或供应链)所必需的基于技术的组件。这包括使用多因素身份验证、加密、安全启动和设备识别技术进行工业物联设备身份验证等控制。







◆ 物理安全。物理措施和工具可以保护工业物联设备以及相关服务器、控制器、显示屏、输入和输出设备以及构成工业物联环境设施的所有硬件。企业必须建立设施和工业物联设备附近访问控制，仅允许授权使用和访问专有数据，并限制对工业物联设备和系统控制进行修改的能力。这些示例包括保护对存储卡的访问、禁用不必要的USB端口、仅允许授权体查看工业物联设备的屏幕，以及控制对工业物联设备和相关硬件的物理访问。







如果没有针对这类的安全控制措施，工业物联设备和系统就不会保证安全。





IT管理员的特定工业物联安全问题





IT管理员需要将工业物联设备、控制器和支持系统纳入其整体络管理计划。这包括测试和风险管理活动、风险评估、漏洞评估、渗透测试、备份和恢复、所有使用工业物联设备的人员的安全培训，以及全面安全计划所需的其他安全活动。





IT管理员需要确保施并遵循基本的安全践。用于改进关键基础设施络安全的NIST框架11版，通常称为络安全框架(CSF)，已被全球各行各业的大部分组织使用。企业还可以考虑其他框架，例如ISO、工业互联联盟的工业互联安全框架或ISA99工业自动化和控制系统安全。





企业可以自定义和使用七个络安全框架(CSF)类别来组织和调整其安全策略，并将安全控制扩展到包括工业物联设备、系统、应用程序和云平台：









◆ 资产管理;







◆ 业务环境;







◆ 治理;







◆ 风险评估;







◆ 风险管理策略;







◆ 供应链风险管理;







◆ 信息保护流程和程序。