創(chuàng)新永不停歇。工業(yè)4.0尚未完全落地，我們已開始向工業(yè)5.0加速邁進。不過，這一步轉(zhuǎn)型更多是理念層面的突破，而非工程技術(shù)層面的革新。工業(yè)4.0的核心，在于通過互聯(lián)互通、數(shù)字化、大數(shù)據(jù)和自動化等技術(shù)進步，實現(xiàn)流程優(yōu)化、成本降低和質(zhì)量提升。

而工業(yè)5.0背后的理念，則在于成功的工業(yè)運營不僅需要提高生產(chǎn)力和效率。它的三大支柱——以人為本的設(shè)計、可持續(xù)發(fā)展和韌性，正是企業(yè)提升敏捷性、增強適應(yīng)變革能力的關(guān)鍵環(huán)節(jié)。踐行這些方面，將帶來顯著效益，包括滿足員工技能培訓(xùn)需求、吸引更優(yōu)秀的人才、通過更高效利用自然資源助力應(yīng)對氣候變化，以及重構(gòu)供應(yīng)鏈與能源消耗模式，增強各行各業(yè)抵御外部沖擊的能力。

本文將從運營技術(shù) (OT) 而非信息技術(shù) (IT) 的視角，探討韌性在工業(yè)5.0中的重要性，研究抵御網(wǎng)絡(luò)攻擊的防護與韌性機制。

韌性

工業(yè)4.0的做法可以匯集各種必要數(shù)據(jù)，為中央計算設(shè)施提供所需的信息，使之能夠?qū)Ω鱾€流程做出明智決策。這意味著需要連接數(shù)十億臺設(shè)備，其中許多設(shè)備原本并非為對外連接而設(shè)計或開發(fā)。這些設(shè)備構(gòu)成了企業(yè)OT業(yè)務(wù)的骨干，負責(zé)監(jiān)管物理流程和工業(yè)設(shè)備。以往，OT系統(tǒng)通常與外部環(huán)境隔離。工業(yè)4.0到來之際，這些系統(tǒng)需要實現(xiàn)外部連接能力，才能向企業(yè)網(wǎng)絡(luò)和云服務(wù)傳輸實時數(shù)據(jù)。更廣泛的連接性，帶來了令人振奮的新機遇，但同時也為更多的安全漏洞打開了大門。這種風(fēng)險是當初的設(shè)計者從未預(yù)見的，畢竟OT系統(tǒng)初時開發(fā)的目的是提供可靠性與安全性，而非實現(xiàn)網(wǎng)絡(luò)安全。

自互聯(lián)網(wǎng)誕生以來，網(wǎng)絡(luò)攻擊幾乎一直對企業(yè)構(gòu)成威脅。在此期間，IT行業(yè)開發(fā)了各種工具，使未經(jīng)授權(quán)的訪問變得困難，即便是經(jīng)驗豐富的黑客也難以得逞。然而，隨著數(shù)十億OT系統(tǒng)設(shè)備的接入，新的攻擊途徑應(yīng)運而生，黑客們也很快就注意到了這一點。網(wǎng)絡(luò)安全供應(yīng)商Semperis近期的一項研究顯示，2024年美國和英國62%的水電運營商遭受過網(wǎng)絡(luò)攻擊，其中80%的企業(yè)多次成為攻擊目標。研究人員還指出，自稱未受攻擊的企業(yè)很可能已經(jīng)遭到入侵而不自知，因為他們?nèi)狈z測惡意活動的技術(shù)或?qū)I(yè)能力。

網(wǎng)絡(luò)攻擊的來源多種多樣。在一起典型案例中，黑客通過入侵魚缸里的智能溫度計，成功滲透到了某賭場的IT系統(tǒng)中，竊取了10GB的數(shù)據(jù)。OT系統(tǒng)與IT系統(tǒng)的一大關(guān)鍵差異，在于OT網(wǎng)絡(luò)攻擊不僅危及數(shù)據(jù)安全，更可能危害公共健康和安全、破壞機械設(shè)備與環(huán)境，并導(dǎo)致生產(chǎn)中斷。例如，在佛羅里達州奧爾茲馬的一家水處理廠，其監(jiān)控與數(shù)據(jù)采集系統(tǒng) (SCADA) 就曾遭到入侵，攻擊者企圖向城鎮(zhèn)供水系統(tǒng)中添加大量堿液。所幸廠方人員迅速阻斷了這起技術(shù)含量并不高的攻擊，但該事件也凸顯了缺乏保護的OT系統(tǒng)所蘊含的風(fēng)險，以及此類攻擊對公眾的潛在威脅。

更復(fù)雜的攻擊不僅危害更大，同時也更難防范。2022年，一個名為Gonjeshke Darande的組織對伊朗一家鋼鐵生產(chǎn)設(shè)施發(fā)動網(wǎng)絡(luò)攻擊，引發(fā)了一場大規(guī)模火災(zāi)。如此復(fù)雜的攻擊行為此前被認為只有敵對國家行為體才能夠?qū)嵤?。這起網(wǎng)絡(luò)攻擊事件表明，OT系統(tǒng)正成為混合戰(zhàn)爭中打擊敵國工業(yè)能力的目標，而實施攻擊的組織背后往往擁有國家級的資源支持。

此類攻擊正促使各國和行業(yè)組織著手研究如何像管理IT系統(tǒng)那樣保護OT系統(tǒng)。歐盟網(wǎng)絡(luò)與信息安全指令（NIS，即歐盟2016/1148號指令）于2016年7月經(jīng)歐洲議會通過，并于次月正式生效。該指令適用于能源、交通、醫(yī)療、金融、水務(wù)管理和數(shù)字基礎(chǔ)設(shè)施等關(guān)鍵服務(wù)運營商和數(shù)字服務(wù)提供商，旨在提升歐盟關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)與信息系統(tǒng)安全標準。指令要求適用范圍內(nèi)的企業(yè)保障IT系統(tǒng)安全，并對影響服務(wù)連續(xù)性或可用性的安全事件進行監(jiān)測與報告。2020年，歐盟委員會啟動NIS指令修訂工作，而后出臺了NIS2（2022/2555號指令），該法規(guī)于2023年1月正式生效。各成員國須在2024年10月前將NIS2指令轉(zhuǎn)化為國內(nèi)法律，屆時該項指令將取代NIS指令。

NIS2擴大了適用行業(yè)范圍，新增公共電子通信服務(wù)提供商、附加數(shù)字服務(wù)、廢棄物與廢水管理、關(guān)鍵產(chǎn)品制造、郵政快遞服務(wù)、公共行政以及航天領(lǐng)域。同時，新法規(guī)還涵蓋了中型和大型企業(yè)，規(guī)定了風(fēng)險管理和事件報告義務(wù)，強制要求企業(yè)采取主動措施降低網(wǎng)絡(luò)攻擊風(fēng)險、在24小時內(nèi)報告重大事件，并制定詳細恢復(fù)計劃。該指令還規(guī)定高級管理層須直接承擔(dān)網(wǎng)絡(luò)安全合規(guī)責(zé)任，并授權(quán)成員國對違規(guī)行為處以罰款和制裁。為確保企業(yè)采取有效措施并提升歐盟整體網(wǎng)絡(luò)安全能力，NIS2指令還包含監(jiān)督機制、執(zhí)法條款以及自愿同行評審機制。

實施

NIS2是一項總體性法規(guī)，旨在為身處巨變中的管理者提供指導(dǎo)，而非為實施者提供細節(jié)規(guī)范。盡管如此，當今IT網(wǎng)絡(luò)安全系統(tǒng)的諸多實踐經(jīng)驗仍可作為模板，為OT系統(tǒng)供應(yīng)商提供先機。例如，保障OT系統(tǒng)安全的首要步驟通常是明確了解系統(tǒng)的構(gòu)成，這可能涉及數(shù)千臺聯(lián)網(wǎng)設(shè)備，其中許多會在常規(guī)維護中進行更換。為此，企業(yè)應(yīng)建立一份全面的資產(chǎn)清單，包含固件詳情、配置數(shù)據(jù)和網(wǎng)絡(luò)身份等內(nèi)容。然后，就是實施零信任架構(gòu)，這對于防范未經(jīng)授權(quán)的訪問至關(guān)重要。OT系統(tǒng)需配備嚴格的訪問控制措施（如多因素認證），并部署安全的遠程訪問解決方案，以便維護供應(yīng)商等外部人員能夠進行操作。這些解決方案需要記錄并管控所有交互行為。

OT系統(tǒng)需要持續(xù)運行，部署補丁可能會造成中斷，然而忽視補丁更新將使系統(tǒng)暴露于風(fēng)險之中。企業(yè)應(yīng)建立針對OT環(huán)境的系統(tǒng)化補丁管理計劃，在部署前通過離線環(huán)境進行嚴格測試，并且策略性地利用維護窗口期。關(guān)鍵OT資產(chǎn)應(yīng)通過防火墻等工具與其他系統(tǒng)隔離，以降低黑客在系統(tǒng)各部分間橫向轉(zhuǎn)移的威脅。

保障OT網(wǎng)絡(luò)安全，就如同追逐移動靶標。新型黑客技術(shù)層出不窮，新的設(shè)備和人員也持續(xù)接入，因而網(wǎng)絡(luò)安全防護必須持續(xù)進行。為了始終領(lǐng)先于威脅，企業(yè)可以實施主動式網(wǎng)絡(luò)風(fēng)險評估與威脅建模，以識別漏洞、模擬各類攻擊場景并測試響應(yīng)能力。IEC/ISA 62443和NIST SP 800-82等標準有助于構(gòu)建這些測試，并推進NIS2的文檔化流程。

而后，人為因素往往是任何安全體系的第一道防線，同時也是極其薄弱的環(huán)節(jié)。全體員工都應(yīng)接受網(wǎng)絡(luò)安全極佳實踐培訓(xùn)，包括威脅識別和響應(yīng)預(yù)案。IT團隊可以向OT團隊和負責(zé)實施NIS2的高管傳授相關(guān)知識。

結(jié)語

隨著工業(yè)5.0的蓬勃發(fā)展，韌性已成為企業(yè)運營的重要方面。曾經(jīng)孤立的OT系統(tǒng)如今已深度融入IT網(wǎng)絡(luò)和更廣泛的數(shù)字生態(tài)系統(tǒng)。這種融合既創(chuàng)造了新機遇，也帶來了新風(fēng)險。NIS2指令強調(diào)，企業(yè)在工業(yè)環(huán)境中不能將網(wǎng)絡(luò)安全視為可選或次要事項。對于工程師和決策者而言，當下都需要強化防御體系、審計系統(tǒng)漏洞、實施更智能且兼顧人因因素的安全策略。相關(guān)技術(shù)早已存在，框架體系也已經(jīng)建立?，F(xiàn)在需要的，就是積極主動、持續(xù)改進。在OT安全領(lǐng)域，不作為的代價不僅是停機損失，更關(guān)乎關(guān)鍵基礎(chǔ)設(shè)施的安全性、可靠性與韌性。