【导读】工业作为物联网技术的第一批“重量级试点”，因为数据来源更广、数据价值更高、流程的系统性更高，更应该注重安全内功的修炼。

所谓哪里有钱赚，哪里就有犯罪分子的身影。

　　在移动互联网时代，中国电商蓬勃发展，诸如全球最大的在线交易市场阿里巴巴等购物网站，通过包括支付宝在内的支付系统每年创造数以亿计的收入，这为黑客提供了天然的“犯罪温床”。

　　然而，随着互联网技术深入到无处不在的“物物”，启迪新物种“边缘智能”基因的同时，网络攻击势力也惊喜地发现了物联网这片更加广袤的“处女地”，并瞄准几个物联网重点领域，准备撸起袖子大干一番。

　　工业作为物联网技术的第一批“重量级试点”，因为数据来源更广、数据价值更高、流程的系统性更高，更应该注重安全内功的修炼。

过时技术和安全错觉

　　在中国，诸如化工厂和电站等工业设施受到黑客袭击，并不会引起太多公众关注，但这些攻击仍然构成重大威胁。中国企业往往用的是过时技术将系统连接至办公室台式机，或通过互联网连接远程维护中心，这些技术的设计初衷从未考虑到这样的应用场合。换句话说，在没有完善保护措施的情况下，入侵办公室计算机的恶意软件，可以通过工业以太网和互联网协议，轻而易举地进入联网的机器控制系统。

　　2014年，西门子对中国100多家工业企业开展了一项调查，结果显示了中国制造业深受网络犯罪的威胁。报告称，80%以上的被调查企业声称曾遭遇计算机病毒感染或其他类型的袭击。部分受攻击的企业甚至表示它们不得不临时停产，并因此蒙受经济损失。

　　之所以产生这种现象，不仅仅是因为技术陈旧，也有安全意识薄弱的问题。中国一家大型炼油厂的经理曾经表示：他所在的炼油厂根本不需要采取任何网络安全措施，因为他们从未受到攻击。

　　在那些实际上实施了初步安全措施的企业，情况也不妙。许多这样的企业仅仅购置了防火墙和防病毒软件，就认为自己得到了一劳永逸的保护，这实际上是一种“安全错觉”。IT安全不可能一蹴而就，它是一个持续的过程，涉及安全意识、管理、解决方案和产品等诸多方面。尽管那些持续关注IT安全的企业不能指望完全防范攻击，但这样做能加大黑客攻击的难度，以至于让他们打消攻击念头。

维护工业安全的三步走战略

　　今年五月，WannaCry蠕虫病毒肆虐全球。它感染计算机后进行勒索，受害者必须支付价值相当于2000多人民币的比特币才能解锁计算机中被锁定的文件。据了解，WannaCry的这次攻击至少波及150个国家，导致数十万台计算机受到侵害。

　　风波虽过，余悸犹存。针对工业信息安全问题，小编与西门子中国研究院信息安全部总监胡建钧进行了一次访谈。

　　胡建钧表示，如果说2010年的“震网”病毒事件拉开了保卫工业信息安全的序幕，那么WannaCry则再次拉响了保卫工业信息安全的警报。

　　“震网”病毒是第一个专门定向攻击真实世界中基础（能源）设施的“蠕虫”病毒，比如核电站、水坝和电网等等。截止2011年，全球超过45000个网络以及60%的个人电脑感染了这种病毒。而WannaCry作为另一个里程碑事件，则打开了一个以经济利益为驱动，与地下黑色产业链对接的潘多拉魔盒。它将对工业企业带来更大的威胁。

　　今年年初，专注于安全领域的研究中心Ponemon发表了一份美国石油天然气行业网络安全调查报告，超过2/3的受访者都表示在过去的一年里遭受过至少一次安全损害，导致关键信息丢失或生产中断。而胡建钧认为，这种情况还算是好的。

　　“至少他知道有人在发起攻击。其实我们很多客户面临的现状是不清楚他的网络里发生了什么，完全对自己的网络和数字资产没有感知能力，这是更加可怕的。一个常见的例子是，在很长一段时间里，企业可能觉得网络和系统不稳定，但不知道是产品质量问题，还是网络系统感染了病毒，或者有异常流量攻击。”他解释说。

　　工业安全从来不是一蹴而就的。西门子以“评估、实施、持续监控”的理念保障客户和西门子内部的工业信息安全。

　　“评估”是第一步，即了解现状，就像我们要保持健康，需要先做个体检一样。西门子会根据IEC62443，国家信息安全等级保护、行业最佳实践等进行评估对标，找出差距，定义下一步行动项。

　　第二步“实施”，即按照纵深防御的理念，设计实施信息安全方案，从管理与技术两个方面将信息安全提升至目标水平，就像我们生了病要对症下药一样。以往的工业信息安全保护到这里就停止了，但这只能达到静态的安全，无法实现持续的安全。西门子在此基础上延伸了自己的理念，加入了“持续监控”，利用大数据关联的技术，将工厂的运行状态和外界环境的变化结合起来，持续保障客户的安全水平。这就像我们会佩戴可穿戴设备持续监测自己的健康水平一样。西门子利用领先的技术和管理水平让客户是关键数字资产可感知、可控制、可管理。