如何保護工業物聯網（IIoT）安全

工業物聯網（iiot）的主要挑戰之一是裝置無法在傳統的安全環境中長期部署。由於iiot端點裝置暴露在外部環境，其訪問控制通常無法放置在適當的位置；另外，iiot裝置通常有長達10-15年的工作生命週期。因此，iiot裝置需要系統後端和裝置本身進行多方位的防護。

這些安全挑戰由於不同安全解決方案之間缺乏結合力而不斷加劇。企業通常會組織乙個裝置部門和乙個後端部門，而兩者不一定會在一起協同工作，無法集中安全問題，共同解決。

真正堅固的安全不僅需要保護裝置安全，還需要保證資料、雲端、網路以及整個生命週期管理的安全。這就需要我們建立乙個強大的可信的物聯網生態系統。任何乙個環節的失敗都會威脅到整個專案的安全。

傳統的業務邊界正在發生改變。業務發展正在加速，建立了乙個快速變化的景觀，使得安全漏洞可以在發展**現的斷點處有機可乘。此外，越來越多的利益相關者參與產業鏈，裝置數量不斷增加，互聯規模越來越大，安全攻擊也如影隨行。

除了這些變化之外，資料普遍的激增導致了隱私洩漏問題的增加和不安全資料風險意識的提高。使用者和各類組織要求產品和服務提供者要有安全解決方案。當然，iiot**商更需要做好準備，為客戶提供更好的安全服務。

風險分析

越來越多的組織需要進行風險分析，確保他們能夠評估與其相關的業務和物聯網部署的威脅。這是確保物聯網基礎設施安全等級的最好方法。因此，解決乙個問題的關鍵是從頭開始。

通常，一些裝置或後端單一的安全防護措施被採取，很少能夠同時進行防護。然而，只做其一不做其二的防護將會給整個系統功能帶來很大安全漏洞。

例如一些企業在硬體裝置上提高了安全性，但在利用和依賴公有雲主機時，沒有考慮其提供的安全防護等級。

整合商通常很難預見的乙個非常重要的方面就是裝置客戶端認證。最為常見的安全漏洞之一就是裝置序列認證。這意味著罪犯一旦破解乙個裝置的序列認證，他們就可以計算整系列裝置的標識方案。這使得他們可以很簡單的做出裝置的轉殖體或者建立新的裝置並順利通過後端身份驗證。

智慧型能源安全

這種威脅已經威脅到了智慧型能源部門。這是乙個先進的行業，活躍的利益相關者充分意識到他們的裝置可以連線關鍵的基礎服務設施。因此，他們也了解罪犯訪問他們裝置將會帶來巨大的價值損害。因此，許多較為先進的安全系統正在向這個部門輸送。

智慧型能源部門在處理憑證保護方面通常面臨著巨大的挑戰。智慧型能源市場在監管方面高度碎片化，在憑證提供方面需要大量的個性化。在後端，需要生成大量的憑證來支援每一裝置，以防止一台裝置被破解後，罪犯建立轉殖體或假裝置。解決這一安全問題的思路是在基礎架構中提供大量的裝置憑證儲存，當智慧型儀表被安裝時，憑證可以直接部署。

智慧型能源是最先進的iiot行業之一。越來越多公共事業已經推出了智慧型能源計畫。僅德國將有有一千萬個智慧型能源閘道器被部署。智慧型電網的貢獻者——無論是小型還是大型的能源生產商，能源管理人員還是使用者都需要高度的信任。無論使用者還是小的能源企業都會安裝閘道器，所有的生產的能源被載入到電力網路上，被有效的安全管理。為了得到強有力的保護，閘道器需要整合防篡改的硬體環境和管理盒中的安全容器以確保整個生命週期的安全防護。

汽車行業安全

安全在汽車和車聯網行業將開啟新的機會。例如，虛擬汽車鑰匙使得智慧型手機能夠解鎖使用者私家車。或在公共區域解鎖租車或車隊車輛。但是，按需訪問許可權啟用需要強大安全作為保障，以確保只有授權的使用者才能訪問車輛，來進行驅動、修復等操作。

汽車oem廠商對這一能力產生了強烈的興趣，目前正在部署相應的解決方案。對於現有的車隊，可以把裝置新增到車輛中以支援基於藍芽技術和認證技術的無鑰匙啟動系統功能。雖然系統是以智慧型手機為中心，但對於提供遠端操作資訊處理和資訊娛樂服務的汽車製造商來說，通過esim卡和蜂窩模組進行通訊進行安全防護是乙個很有趣的方法。汽車製造商部署防篡改的安全元件或esim可以嵌入自己的憑證方案提供給後端進行管理。

在不成熟的市場中，仍存在待解決的安全問題。例如，如果車載診斷（obd）電子狗安全係數不高，則會影響車輛系統行為。一些汽車製造已經拒絕一些型別的電子狗接入，如果有一些未被授權的電子狗試圖連線，汽車將會無法被啟動，儀表組將會被關掉。因此，一些電子狗製造商利用安全容器型別的技術使電子狗只能連線到oem的後端。

碎片化的連線生態的安全

更多的成熟的物聯網安全技術主要集中在3gpp網路技術路線圖（包括基於物聯網優化的lte），但是**商越來越需要將安全技術帶入新興的低功耗廣域網路（lpwan）。這裡的安全在於開始建立流程裝置和身份驗證憑據提供的網路。隨著物聯網裝置數量的急速增加，自動化流程更有需求量。

一種能夠生成安全憑證的系統使金鑰能夠通過多種形式化的鏈結安全的傳遞，從而實現互相認證。也可以為lora網路實現這樣的系統，允許針對儲存在網路中的金鑰進行裝置認證。

這實質上帶來了可信賴的第三方，關注關鍵配置管理。當然，解決方案也可以部署在使用者端，進行全放方面的解決方案管理。

結論

完整的安全防護方法必須考慮連線物件整個安全生命週期，包括預安裝模組的所有階段，靜止狀態的資料以及從網路到雲端到後端的執行狀況。

實現iiot安全性有三個關鍵因素：

裝置必須保證訪問安全性，敏感資料安全性，通訊加密和軟體完整性。

雲端必須使用大資料加密，伺服器保護和雲應用安全技術。

必須使用軟體啟用和許可，身份驗證和加密動態金鑰管理及憑據進行全生命週期的管理。

只有將三種安全功能相結合，才能保證全面的安全性。然而，僅僅部署安全技術和系統是不夠的。關鍵是要將iiot安全性視為乙個持續的過程，伴隨基礎設施，資料，網路和裝置不斷發展，進行安全維護減輕和防止新型威脅。

這一過程必須依據專家知識和能力。組織應該依靠安全專家提供的諮詢服務評估自身所面臨的安全風險，理解裝置運作的監管環境。好的安全始於安全需求定義和驗證計畫檢查。

這種測試和評估應該包含所有系統和服務，使用方法應包括逆向工程、物理和邏輯操作。

最後的能力應該是持續的訓練，確保工作人員能夠快速了解可能存在的安全漏洞和解決方法，以及學習主要應對策略應對不同的安全問題。

安全不再是不受歡迎的額外成本，在物聯網業務發展過程中，安全部署至關重要。組織部署安全解決方案和灌輸良好的安全實踐還可以產生新的收入。物聯網安全不僅促進新的商業模式形式還使遠端應用部署更快、更容易，實現更好的客戶體驗。

iiot安全能力是物聯網應用和服務成功的關鍵所在。因為感測器、網路、後端it系統都是iiot業務的提供者，這些環節的安全問題永遠不會消失。因此，組織應該建立適當的安全防護，不僅僅是為了iiot的初期發展，更是為了大眾市場以及防範未知的安全威脅。

原文出處：物聯網智庫

如何保護工業物聯網（IIoT）安全

IIC公布工業物聯網安全架構

確保工業物聯網安全萬億美元的困境

工業物聯網與物聯網區別物聯網節約用水，第3部分

如何保護工業物聯網（IIoT）安全

IIC公布工業物聯網安全架構

確保工業物聯網安全 萬億美元的困境

工業物聯網與物聯網區別 物聯網節約用水，第3部分

相關推薦

確保工業物聯網安全萬億美元的困境

工業物聯網與物聯網區別物聯網節約用水，第3部分