【導讀】工業作為物聯網技術的第一批“重量級試點”，因為數據來源更廣、數據價值更高、流程的系統性更高，更應該注重安全內功的修煉。

所謂哪里有錢賺，哪里就有犯罪分子的身影。

　　在移動互聯網時代，中國電商蓬勃發展，諸如全球最大的在線交易市場阿里巴巴等購物網站，通過包括支付寶在內的支付系統每年創造數以億計的收入，這為黑客提供了天然的“犯罪溫床”。

　　然而，隨著互聯網技術深入到無處不在的“物物”，啟迪新物種“邊緣智能”基因的同時，網絡攻擊勢力也驚喜地發現了物聯網這片更加廣袤的“處女地”，并瞄準幾個物聯網重點領域，準備擼起袖子大干一番。

　　工業作為物聯網技術的第一批“重量級試點”，因為數據來源更廣、數據價值更高、流程的系統性更高，更應該注重安全內功的修煉。

過時技術和安全錯覺

　　在中國，諸如化工廠和電站等工業設施受到黑客襲擊，并不會引起太多公眾關注，但這些攻擊仍然構成重大威脅。中國企業往往用的是過時技術將系統連接至辦公室臺式機，或通過互聯網連接遠程維護中心，這些技術的設計初衷從未考慮到這樣的應用場合。換句話說，在沒有完善保護措施的情況下，入侵辦公室計算機的惡意軟件，可以通過工業以太網和互聯網協議，輕而易舉地進入聯網的機器控制系統。

　　2014年，西門子對中國100多家工業企業開展了一項調查，結果顯示了中國制造業深受網絡犯罪的威脅。報告稱，80%以上的被調查企業聲稱曾遭遇計算機病毒感染或其他類型的襲擊。部分受攻擊的企業甚至表示它們不得不臨時停產，并因此蒙受經濟損失。

　　之所以產生這種現象，不僅僅是因為技術陳舊，也有安全意識薄弱的問題。中國一家大型煉油廠的經理曾經表示：他所在的煉油廠根本不需要采取任何網絡安全措施，因為他們從未受到攻擊。

　　在那些實際上實施了初步安全措施的企業，情況也不妙。許多這樣的企業僅僅購置了防火墻和防病毒軟件，就認為自己得到了一勞永逸的保護，這實際上是一種“安全錯覺”。IT安全不可能一蹴而就，它是一個持續的過程，涉及安全意識、管理、解決方案和產品等諸多方面。盡管那些持續關注IT安全的企業不能指望完全防范攻擊，但這樣做能加大黑客攻擊的難度，以至于讓他們打消攻擊念頭。

維護工業安全的三步走戰略

　　今年五月，WannaCry蠕蟲病毒肆虐全球。它感染計算機后進行勒索，受害者必須支付價值相當于2000多人民幣的比特幣才能解鎖計算機中被鎖定的文件。據了解，WannaCry的這次攻擊至少波及150個國家，導致數十萬臺計算機受到侵害。

　　風波雖過，余悸猶存。針對工業信息安全問題，小編與西門子中國研究院信息安全部總監胡建鈞進行了一次訪談。

　　胡建鈞表示，如果說2010年的“震網”病毒事件拉開了保衛工業信息安全的序幕，那么WannaCry則再次拉響了保衛工業信息安全的警報。

　　“震網”病毒是第一個專門定向攻擊真實世界中基礎（能源）設施的“蠕蟲”病毒，比如核電站、水壩和電網等等。截止2011年，全球超過45000個網絡以及60%的個人電腦感染了這種病毒。而WannaCry作為另一個里程碑事件，則打開了一個以經濟利益為驅動，與地下黑色產業鏈對接的潘多拉魔盒。它將對工業企業帶來更大的威脅。

　　今年年初，專注于安全領域的研究中心Ponemon發表了一份美國石油天然氣行業網絡安全調查報告，超過2/3的受訪者都表示在過去的一年里遭受過至少一次安全損害，導致關鍵信息丟失或生產中斷。而胡建鈞認為，這種情況還算是好的。

　　“至少他知道有人在發起攻擊。其實我們很多客戶面臨的現狀是不清楚他的網絡里發生了什么，完全對自己的網絡和數字資產沒有感知能力，這是更加可怕的。一個常見的例子是，在很長一段時間里，企業可能覺得網絡和系統不穩定，但不知道是產品質量問題，還是網絡系統感染了病毒，或者有異常流量攻擊。”他解釋說。

　　工業安全從來不是一蹴而就的。西門子以“評估、實施、持續監控”的理念保障客戶和西門子內部的工業信息安全。

　　“評估”是第一步，即了解現狀，就像我們要保持健康，需要先做個體檢一樣。西門子會根據IEC62443，國家信息安全等級保護、行業最佳實踐等進行評估對標，找出差距，定義下一步行動項。

　　第二步“實施”，即按照縱深防御的理念，設計實施信息安全方案，從管理與技術兩個方面將信息安全提升至目標水平，就像我們生了病要對癥下藥一樣。以往的工業信息安全保護到這里就停止了，但這只能達到靜態的安全，無法實現持續的安全。西門子在此基礎上延伸了自己的理念，加入了“持續監控”，利用大數據關聯的技術，將工廠的運行狀態和外界環境的變化結合起來，持續保障客戶的安全水平。這就像我們會佩戴可穿戴設備持續監測自己的健康水平一樣。西門子利用領先的技術和管理水平讓客戶是關鍵數字資產可感知、可控制、可管理。