在物聯(lián)網(wǎng)熱潮延燒下，接續(xù)繁衍工業(yè)4.0、Bank 3.0、金融科技(FinTech)與零售4.0等嶄新的產(chǎn)業(yè)浪潮;若以物聯(lián)網(wǎng)信息安全議題而論，尤其以工業(yè)4.0跳躍幅度最大，只因制造業(yè)過往采用封閉的序列通訊協(xié)議，尚可忽視安全課題無妨，如今走向IP通訊化，即需面對從零分到滿分的快速進化需求。

　　不可諱言，從以往各自獨立運作的系統(tǒng)，邁入萬物皆可互聯(lián)的物聯(lián)網(wǎng)時代，其間轉變確實相當劇烈，而且這般的變革，對于不論是企業(yè)競爭力、人類生活質量，都可謂美事一樁，此乃由于，經(jīng)由物聯(lián)網(wǎng)設備所產(chǎn)生數(shù)據(jù)的分析探勘，可望從中挖掘寶貴的信息，一旦加以善用，將能提升企業(yè)組織運作效率，連帶強化運營競爭力，同時有助于促使人類生活更趨精采多姿。

　　隨著工廠設備向IP通信，它有助于開發(fā)諸如遠程調試、維護等先進的預測性智能應用，而且還通過防火墻與網(wǎng)絡接觸，抵御惡意攻擊、網(wǎng)絡安全行業(yè)。

　　雖然過去的倉(倉)(系統(tǒng)架構意味著獨立封閉)，在萬物互聯(lián)的新局，可能會引發(fā)無限的好處，但在轉型過程中，也面臨嚴峻的挑戰(zhàn)，最重要的挑戰(zhàn)，無疑是信息安全，主要得益于獨特的通信協(xié)議，在過去的筒倉，很少與外界溝通，黑客一無所知這些封閉的語言，所以沒有辦法做任何安全威脅的IP通信設備廠的今天，不再是孤立的孤島，這種情況出現(xiàn)急劇的逆轉。

　　在4個行業(yè)當前的熱點問題為例，制造業(yè)在工業(yè)網(wǎng)絡，蜷在里面的設備不同的筒倉，在試圖工業(yè)標準語言的幫助下，與外界溝通，交流的對象不僅包括異構設備，制造執(zhí)行系統(tǒng)(MES)，在同一時間有更上層的ERP、大數(shù)據(jù)云平臺，旨在滿足遠程監(jiān)控和預防性維護的需要;但在創(chuàng)新和追求突破之際，安全風險現(xiàn)在開放的熊。

　　筒倉開放的安全挑戰(zhàn)

　　有設備主管說，與工廠的設備，如啟動網(wǎng)絡、電機故障意外插曲似乎也跟著增加，雖然增加的幅度似乎不太可能，由停機時間造成的不長，但連續(xù)高效的制造企業(yè)生產(chǎn)線的運轉，已經(jīng)非常嚴重，因為停機時間一旦數(shù)量增加，就會影響產(chǎn)能，利用率低，而在報廢的過程中，讓火原料，遭受了巨大的經(jīng)濟損失，甚至造成交貨延遲，商譽的影響，后果真的不應該被低估;深究其原因，是由病毒感染或惡意軟件造成的由設備故障引起的案例，更讓人恐懼的是，如果反復出現(xiàn)這樣的現(xiàn)象，合理懷疑黑客是否侵入了門一步，企業(yè)就需要警惕，看有沒有泄漏有機智能?。

　　為了消除這些不利因素，負責企業(yè)技術的操作(操作技術;OT)的人，它負責信息技術(IT)事務需要銅仁線，認真考慮安全防護設備的部署，從防火墻設置為啟動;大家都知道的防火墻不是新技術發(fā)展至今，已超過20年，和保護的力度越來越強，但問題是，廠家一般商業(yè)VPN防火墻保護系統(tǒng)顯然是不適用于工業(yè)控制網(wǎng)絡。

　　業(yè)內人士解釋常見的防火墻，守衛(wèi)在網(wǎng)絡服務器、個人計算機和其他計算節(jié)點，這些節(jié)點將是唯一的入口門到互聯(lián)網(wǎng)，因為進口的流量，所以防火墻不能停下來仔細檢查每包一個接一個，只有數(shù)據(jù)包的來源和目的地驗證其合法性和合理性;在工業(yè)控制網(wǎng)絡中，與網(wǎng)絡有很大的不同，一個相對有限數(shù)量的設備包括，數(shù)據(jù)量小，但單一的包中包含的價值遠遠低于內網(wǎng)流量很多，所以只有通過防火墻的數(shù)據(jù)包的地址和目的地的模式，肯定沒有足夠的需求，工業(yè)用地必須進口的防火墻，如EtherCAD，PRofinet和其他工業(yè)識別協(xié)議，機器設備的常規(guī)通信方式的不同理解，因此，深入分析和數(shù)據(jù)業(yè)務的仔細檢查，以便實時檢測異常。

　　使用工業(yè)協(xié)議防火墻有助于防止黑客入侵

　　例如，在工廠里使用的機械臂的假設，根據(jù)要求完成常識工作的步驟，以包括A，B，C，D，E和其他五個程序，如果有盜號現(xiàn)象，通過惡意軟件陣容，意在控制機械臂將步為A和B，C，D，F(xiàn)，等于一個改變的過程;這一變化，防火墻應該很難發(fā)現(xiàn)，因為這類系統(tǒng)的工業(yè)通信協(xié)議識別能力不足，工業(yè)防火墻，能在第一時間斷然制止，等一個人改變規(guī)則不允許控制。

　　事實上，有幾個商業(yè)防火墻，在開始的時候，他發(fā)誓要跳出簡單的TCP / IP協(xié)議，開發(fā)解析所有網(wǎng)絡流量內容的力量，現(xiàn)在關閉向4工業(yè)網(wǎng)絡安全，安全和其他領域，如帕洛阿爾托網(wǎng)就是一個例子。如果帕洛阿爾托制造企業(yè)網(wǎng)絡的網(wǎng)關設備的部署，工業(yè)控制網(wǎng)絡，即使在“Modbus只讀“臉(只允許讀取Modbus信息，是不允許寫端)的規(guī)則和條件，同時也要確定和實施，獨自一人，能力和一般的防火墻產(chǎn)品是不一樣的。

　　另一方面，帕洛阿爾托網(wǎng)面保護任務的工業(yè)控制網(wǎng)絡，無論守護的對象是工業(yè)計算機，SCADA和ICS(工業(yè)控制系統(tǒng))，以信賴原則為零，不安全的假設，所有的內部用戶，由于每個銅仁的轉會，必須充分遵守既定的行為規(guī)范，不允許有任何錯誤，所以如果有任何用戶節(jié)點，小心黑客的惡意軟件，超出標準的行為意圖，只要邁出了第一步，必須立即通過帕洛阿爾托網(wǎng)絡控制系統(tǒng)。

　　用單向網(wǎng)關實現(xiàn)實體網(wǎng)絡隔離

　　英特爾安全(原McAfee)是一個非常早期的腳網(wǎng)絡安全行業(yè)白名單是標榜為控制基礎，和零信任結構頗有異曲同工的本質;所謂的白名單，主要是通過一套鎖定原軟件的網(wǎng)絡設備動態(tài)白名單設置機制。為了避免下水道設備沒有權限執(zhí)行未經(jīng)授權的代碼，以確保設備安全;這樣做的原因，原因很簡單，因為沒有安全的解決方案，解決100%的現(xiàn)在和未來都在面對風險的發(fā)展，方興未艾的網(wǎng)絡應用程序，妥善管理這種不確定性，“強限制訪問”無疑是最理想的方式。

　　此外，像發(fā)電廠，現(xiàn)在開始走過去的封閉路線網(wǎng)絡(基于智能電網(wǎng)調度)的關鍵基礎設施，關鍵是非同小可，不讓黑客完成一點點的，所以保護措施必須更加嚴格;在此基礎上，該行業(yè)開始調用瀑布單向網(wǎng)絡安全網(wǎng)關解決方案，形成“實體”的網(wǎng)絡隔離的要求。

　　據(jù)報道，在現(xiàn)階段，面對關鍵業(yè)務數(shù)據(jù)的實時交換要求，企業(yè)通常采用兩種方法來防止網(wǎng)絡攻擊。一個是通過防火墻，網(wǎng)絡區(qū)域劃分為一個獨立的網(wǎng)絡環(huán)境，然后使用防火墻規(guī)則來限制訪問的行為，但這種做法是懷疑，和非隔離的物理層網(wǎng)絡隔離仍然是連接，如果防火墻規(guī)則的疏漏，還可能導致兩網(wǎng)絡環(huán)境之間的邊界趨于模糊。另一種方法是直接的物理隔離，切斷了智能網(wǎng)絡通信部分，但它會在外部網(wǎng)絡的數(shù)據(jù)交換構成障礙，那么企業(yè)就便攜式存儲設備以滿足交流的需要，而導致跟蹤審計是不容易的，獲得更大的風險。

　　通過單向網(wǎng)絡安全網(wǎng)關，迫使任何數(shù)據(jù)只能從網(wǎng)關到網(wǎng)關碳RX TX，完全消除任何反向傳播的可能性，黑客使用傳統(tǒng)的三次握手機制為突破口的搜索盲區(qū)，將返回Shayu。