保卫数字堡垒

网络犯罪正愈发频繁地攻击工业设施，试图在企业的安全防护措施中找到漏洞。为应对这些威胁，专家们正不断升级防御措施。西门子已开发出一套防御策略来协助他们。

2017年是令所有安全专家难忘的一年。5月，WannaCry勒索病毒爆发，所到之处一片狼藉，全球为之震惊。在德国，许多火车站的电子告示牌一度关闭，英国一些医院不得不推迟手术，世界各地的汽车制造商的装配线陷入停滞。但事情远未结束。时隔短短一个月，6月，一个与类似WannaCry类似，名为NotPetya的病毒再次爆发。这里仅举一例来说明其影响之恶劣：受其影响，全球最大航运公司马士基（Maersk）无法知道哪些货物已出海，而哪些货物还在集装箱码头。此次网络攻击造成了高达3亿欧元的损失。

确保数字系统的安全至关重要，因为网络攻击不仅影响消费者，也正在影响越来越多的工业企业。俄罗斯网络犯罪专家卡巴斯基实验室收集的统计数据表明，2017年，在其在全球范围内调查的1000家公司中，有三分之一表示它们曾受到针对性的网络攻击，比上一年增长了8%。不仅如此，网络攻击正变得越来越“老练”，有些甚至要在几周之后才会被发现。

量身定制的网络攻击

今天，工业生产工厂不仅非常依赖数字化系统，联网也日益紧密。这样一来，效力于犯罪组织或其他机构的黑客将找到越来越多的薄弱点，从而进行蓄意破坏、工业间谍活动或敲诈勒索。他们不再使用随机扩散的分布式拒绝服务（DDoS）发动攻击，通过狂轰滥炸的问询导致网站崩溃。西门子销售工业信息安全服务负责人Stefan Woronka表示：“不法分子正越来越多地发起针对特定工业设施的量身定制的网络攻击。作为自动化解决方案的制造商，我们每天都会遭受这样的攻击，而确保所有系统的安全则是我们的日常工作。”

网络攻击正变得愈发复杂。它们不仅调动大量资源，也使用高度专业化的手段。要与之抗衡，西门子必须始终领先一步，先发制人。Woronka表示：“这是一场猫鼠游戏。这意味着安全措施必须跟上最新技术发展。”哪怕所保护的设备已不再先进，这一点也不会改变。办公设备的使用寿命通常为2到4年，而工业设施的使用寿命则长达20年乃至30年。

超百万台设备使用安全的MindSphere

有鉴于此，西门子工业信息安全服务部门的专家制定出一套基于“纵深防御”理念的阶段式防御策略，让西门子提供的工业技术和来自其他制造商的设备能够适应不断变化的网络安全威胁。这一策略包括三个相辅相成的连续保护功能。第一道防线是设施安全系统，如采用生物特征识别的物理门禁系统。第二道防线是网络安全系统，如借助防火墙和虚拟专用网络（VPN）等手段来保护生产网络和工业通信。第三道防线是系统集成，为终端和自动化系统提供保护。这些终端和自动化系统均设置密码保护，或只能经白名单杀毒软件访问。白名单杀毒软件仅为特定程序提供访问权限。

在1300名负责网络信息安全相关工作的同事的努力下，西门子已做好充分准备应对网络攻击。专家们发挥他们在数字化工厂领域的技术专长，充分利用西门子基于云的开放式物联网操作系统MindSphere，支持设施管理者进行预测性维护和能源数据管理，或优化资源使用。已有超过100万台设备被接入MindSphere。虽然“云”这个字听起来有些飘忽，但将数据保存在云端其实比将其保存在许多企业计算机中更为安全。MindSphere已达到IEC 62443等主要安全标准。IEC 62443国际标准明确了自动化系统的IT安全等级。MindSphere对数据流进行加密，并使用高度安全的计算机中心。

自适应的信息安全架构

然而，许多工业设施的安全之门仍然敞开，这让不法分子轻而易举就能向它们发起攻击。当Stefan Woronka 等专家拜访客户时，他们常常能看到客户设置“123456”或“Password”这样的密码。此外，许多公司也未及时下载安全更新。如果在2017年时大家都能及时安装类似更新，一些系统或许根本不会受到WannaCry和NotPetya的影响。

长远来看，西门子专家认为，仅确保主要生产设施的信息安全是不够的，还必须全天候监控信息安全系统。Woronka 说：“针对西门子的设施，我们使用的监控系统存有约40000种可能代表网络安全攻击的指标。”因为预算原因，一些公司可能无法实现这样的监控。但是，它们可以借助来自西门子等公司的分散的安全中心来获得监控服务。Woronka 表示：“未来，可自我学习的自适应安全架构也将为企业提供帮助。它们可利用最新数据来对运营者的系统进行测试。然而，现在，人工智能也被用到了网络犯罪中。”换言之，网络与信息安全的猫鼠游戏将会是一场旷日持久的战争。