摘要
本文探討了IEC 62443系列標準的基本原理和優(yōu)勢。該標準包含了旨在確保網(wǎng)絡(luò)安全韌性并保護關(guān)鍵基礎(chǔ)設(shè)施和數(shù)字工廠的一系列協(xié)議���。這一領(lǐng)先標準提供了一個全面的安全層;不過也為尋求認證的相關(guān)人員帶來了一些挑戰(zhàn)���。本文將詳細闡釋安全IC如何為需達成工業(yè)自動化控制系統(tǒng)(IACS)組件認證目標的組織提供必要的幫助���。
簡介
(資料圖片僅供參考)
盡管網(wǎng)絡(luò)攻擊的潛在威脅日益增加,但工業(yè)自動化控制系統(tǒng)(IACS)在采納安全措施方面進展緩慢���。部分原因在于此類系統(tǒng)的設(shè)計人員和運營人員缺乏共同的參照標準���。IEC 62443系列標準為構(gòu)建更安全的工業(yè)基礎(chǔ)設(shè)施提供了一條途徑,但企業(yè)必須學(xué)會如何應(yīng)對其復(fù)雜性���,并理解這些新挑戰(zhàn)���,以成功地加以應(yīng)用���。
工業(yè)系統(tǒng)面臨風險
供水、污水處理和電網(wǎng)等關(guān)鍵基礎(chǔ)設(shè)施進行了數(shù)字化轉(zhuǎn)型���,因此不間斷訪問這些關(guān)鍵基礎(chǔ)設(shè)施對于日常生活至關(guān)重要。然而���,網(wǎng)絡(luò)攻擊仍在給這些系統(tǒng)帶來威脅���,且其攻擊能力預(yù)計還會提高1。
工業(yè)4.0需要高度互聯(lián)的傳感器���、執(zhí)行器、網(wǎng)關(guān)和聚合器���。而這種更高程度的互聯(lián)進一步增加了潛在網(wǎng)絡(luò)攻擊的風險���,因此實施安全措施比以往任何時候都更加重要。美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)等組織的成立體現(xiàn)了保護關(guān)鍵基礎(chǔ)設(shè)施���、確保在防御網(wǎng)絡(luò)攻擊時具備強韌的恢復(fù)能力的重要性���,同時也進一步表明了對此目標的決心2���。
為什么需要IEC 62443?
2010年���,Stuxnet的出現(xiàn)凸顯了工業(yè)基礎(chǔ)設(shè)施的脆弱性3���。Stuxnet是首個全球范圍內(nèi)廣為人知的網(wǎng)絡(luò)攻擊病毒,這次事件也表明從遠處針對IACS發(fā)起攻擊是可行的���。隨后的攻擊再次強化了大眾對于網(wǎng)絡(luò)病毒的認識���,人們由此確認針對特定類型設(shè)備的遠程攻擊也可能會對工業(yè)基礎(chǔ)設(shè)施造成損害。
于是���,政府機構(gòu)���、公用事業(yè)公司、IACS用戶和設(shè)備制造商很快意識到:IACS需要得到保護���。政府和用戶理所當然地傾向于在組織層面采取安全相關(guān)措施并制定政策���,而設(shè)備制造商則是針對硬件和軟件研究了可能的反制措施���。然而,由于以下原因���,安全措施的采納進展緩慢:
? 基礎(chǔ)設(shè)施的復(fù)雜性
? 利益相關(guān)方的利益點和關(guān)注點不同
? 實施方案和選項過于多樣
? 缺乏可衡量的目標
總的來說���,利益相關(guān)方難以確定目標的安全級別,需要謹慎權(quán)衡防護強度與成本���。
為圍繞ISA99倡議建立共同參照標準���,國際自動化協(xié)會(ISA)成立了相關(guān)工作組,最終共同發(fā)布了IEC 62443系列標準���。該標準目前分為四個級別和類別,如圖1所示���。IEC 62443標準涉及面廣���,包含了組織政策���、程序、風險評估以及硬件和軟件組件的安全性���。該標準涵蓋安全防護的方方面面���,切合當前實際需求,具有的超強適應(yīng)性���。此外���,ISA采取綜合方法來應(yīng)對IACS涉及的所有利益相關(guān)方的各種利益問題。一般來說���,不同利益相關(guān)方的安全關(guān)注點各不相同���。以IP盜竊為例,IACS運營商會特別關(guān)注如何保護制造工藝���,而設(shè)備制造商則可能更在意如何保護人工智能(AI)算法���,使其免遭逆向工程���。
圖1.IEC 62443是一項全面的安全標準
此外,由于IACS本質(zhì)上很復(fù)雜���,因此必須全盤考慮安全的各個方面���。如果沒有安全設(shè)備的支持,僅靠程序和政策是不夠的���。另一方面���,如果程序沒有正確規(guī)定如何安全使用組件,那么再堅固耐用的組件也將毫無用處���。
圖2中的圖表顯示了IEC 62443標準通過ISA認證的采用率情況���。正如預(yù)期的那樣,行業(yè)主要利益相關(guān)方定義的標準加速了安全措施的實施���。
圖2.ISA認證數(shù)量隨著時間推移不斷增加4
符合IEC 62443標準:復(fù)雜的挑戰(zhàn)
IEC 62443是一個非常全面而有效的網(wǎng)絡(luò)安全標準,但其復(fù)雜性可能超乎我們的想象���。該文件本身長達近1000頁���。要清楚地了解該網(wǎng)絡(luò)安全協(xié)議���,就需要花時間學(xué)習(xí)。除了掌握技術(shù)語言之外���,還必須注意將IEC 62443的每個小部分放在整體的上下文中進行考慮���,因為各個概念都是相互依存的(如圖3所示)。
例如���,根據(jù)IEC 62443-4-2���,必須針對整個IACS開展風險評估,評估結(jié)果將決定設(shè)備的目標安全級別5���。
圖3.認證過程概要視圖
設(shè)計符合IEC 62443標準的設(shè)備
硬件實現(xiàn)的最高安全級別要求
IEC 62443以直白的語言定義了安全級別���,如圖4所示。
圖4.IEC 62443安全級別
IEC 62443-2-1要求進行安全風險評估。在此過程的結(jié)果中���,每個組件都將被分配一個目標安全級別(SL-T)���。
根據(jù)圖1和圖3,標準的某些部分與流程和程序相關(guān)���,而IEC 62443-4-1和IEC 62443-4-2則側(cè)重于組件的安全性���。根據(jù)IEC 62443-4-2,組件類型包括軟件應(yīng)用���、主機設(shè)備���、嵌入式設(shè)備和網(wǎng)絡(luò)設(shè)備。對于各個組件類型���,IEC 62443-4-2根據(jù)其滿足的組件要求(CR)和增強要求(RE)定義了能力安全級別(SL-C)���。表1總結(jié)了SL-A、SL-C���、SL-T及三者之間的關(guān)系���。
表1.安全級別總結(jié)
定義 根據(jù)系統(tǒng)級風險評估,設(shè)備應(yīng)達到的安全級別 依照IEC 62443-4-2���,根據(jù)設(shè)備支持的CR���,設(shè)備能夠?qū)崿F(xiàn)的安全級別
設(shè)備達到的安全級別
目標 SL-T ≥ 風險評估定義的水平 SL-C ≥ SL-T SL-A ≥ SL-T
以聯(lián)網(wǎng)的可編程邏輯控制器(PLC)為例。網(wǎng)絡(luò)安全要求對PLC進行身份驗證���,避免其成為攻擊的入口���。基于公鑰的身份驗證是一項廣為人知的技術(shù)���。根據(jù)IEC 62443-4-2標準:
? 1級不考慮公鑰加密
? 2級要求使用普遍采用的流程���,例如證書簽名驗證
? 3級和4級要求對身份驗證過程中使用的私鑰進行硬件保護
從2級安全開始,設(shè)備需要具備許多安全功能���,包括基于秘鑰或私鑰的加密機制���。對于3級和4級安全���,設(shè)備在多數(shù)情況下需要具備基于硬件的安全保護或加密功能。在這方面���,統(tǒng)包式安全IC將為工業(yè)組件設(shè)計人員帶來許多優(yōu)勢���,此類IC嵌入了基本安全機制,例如:
? 安全密鑰存儲
? 側(cè)信道攻擊防護
? 負責執(zhí)行功能的命令���,例如
■ 消息加密
■ 數(shù)字簽名計算
■ 數(shù)字簽名驗證
有了這些統(tǒng)包式安全IC���,IACS組件開發(fā)人員便無需將資源投入到復(fù)雜的安全原語設(shè)計中。安全IC的另一個好處是可以從本質(zhì)上讓通用功能與專用安全功能之間形成自然隔離���。當安全功能集中在某個部分中而不是遍布整個系統(tǒng)時���,將能更容易地評估安全功能的強度。這種隔離還可以帶來的好處在于���,無論如何修改組件的軟件和/或硬件���,都可以得到保留安全功能的驗證���。無需重新評估完整安全功能即可執(zhí)行升級。
此外���,安全IC供應(yīng)商可以實施PCB級或系統(tǒng)級無法實現(xiàn)的超強保護技術(shù)。比如加固的EEPROM或閃存或物理不可克隆功能(PUF)���,這些技術(shù)可以實現(xiàn)更高等級的防御能力���,從而抵御更復(fù)雜的攻擊?��?傮w而言���,安全IC是構(gòu)建系統(tǒng)安全性的重要基礎(chǔ)。
保護邊緣安全
工業(yè)4.0意味著隨時隨地進行檢測���,因此需要部署更多邊緣設(shè)備���。IACS邊緣設(shè)備包括傳感器���、執(zhí)行器、機械臂���、帶有I/O模塊的PLC等���。每個邊緣設(shè)備都連接到高度網(wǎng)絡(luò)化的基礎(chǔ)設(shè)施,也成為了黑客的潛在切入點���。不僅攻擊面隨設(shè)備數(shù)量成比例地擴大���,而且設(shè)備的多元化也不可避免地提高了攻擊途徑的多樣性。應(yīng)用安全和滲透測試供應(yīng)商SEWORKS的首席技術(shù)官Yaniv Karta表示:“現(xiàn)有平臺存在許多可行的攻擊途徑���,而且端點和邊緣設(shè)備的風險敞口也都在增加���。”例如���,在復(fù)雜的IACS中���,并非所有傳感器都來自同一供應(yīng)商���,這些傳感器的微控制器、操作系統(tǒng)或通信協(xié)議棧等也未共享相同的架構(gòu)���。每種架構(gòu)本身都可能存在弱點���。如此一來,所有這些漏洞不斷積累在IACS之中���,導(dǎo)致風險大大增加,如MITRE ATT&CK數(shù)據(jù)庫6或ICS-CERT公告7所示���。
此外���,工業(yè)物聯(lián)網(wǎng)IoT (IIoT)逐漸在邊緣嵌入更多的智能功能8,業(yè)界正在開發(fā)可做出自主系統(tǒng)決策的設(shè)備���。鑒于這些決策對于安全���、系統(tǒng)運行等至關(guān)重要,確保設(shè)備硬件和軟件可以被信任就顯得更為關(guān)鍵���。另外���,常常還需要考慮如何保護設(shè)備開發(fā)人員的研發(fā)IP投資免遭盜竊(例如與AI算法相關(guān)的成果)���。基于此���,他們可能會決定采用受統(tǒng)包式安全IC支持的保護措施���。
另外一個重要的觀點是,網(wǎng)絡(luò)安全防護不足可能會對功能安全產(chǎn)生負面影響���。功能安全和網(wǎng)絡(luò)安全之間的相互作用關(guān)系非常復(fù)雜���,需要另寫一篇文章才足以詳細說明,但我們可以著重關(guān)注以下幾點:
? IEC 61508:“電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全”要求根據(jù)IEC 62443開展網(wǎng)絡(luò)安全風險分析���。
? 雖然IEC 61508主要側(cè)重于危害和風險分析���,但也要求在每次發(fā)生嚴重網(wǎng)絡(luò)安全事件后,進行后續(xù)的安全威脅分析和漏洞分析。
我們列出的IACS邊緣設(shè)備是嵌入式系統(tǒng)���。IEC 62443-4-2規(guī)定了對這些系統(tǒng)的具體要求���,例如惡意代碼保護機制、安全固件更新���、物理防篡改和檢測���、信任根配置以及引導(dǎo)過程完整性。
使用ADI的安全認證器達成IEC 62443目標
ADI公司的安全認證器(也稱為安全元件)專為滿足上述要求而設(shè)計���,同時還兼顧了易實施性和成本效益���。這些固定功能IC帶有用于主機處理器的完整軟件協(xié)議棧���,屬于全包式解決方案���。
采用ADI公司的安全實施方案后,組件設(shè)計人員將能更專注于其核心業(yè)務(wù)���。安全認證器本質(zhì)上是信任根���,能夠安全且不可變地存儲根密鑰/秘密和代表設(shè)備狀態(tài)的敏感數(shù)據(jù)(如固件哈希值)���。安全認證器包含一套全面的加密功能,包括身份驗證���、加密���、安全數(shù)據(jù)存儲、生命周期管理和安全引導(dǎo)/更新���。
ChipDNA?物理不可克隆功能(PUF)技術(shù)利用晶圓制造過程中自然發(fā)生的隨機變化來生成加密密鑰���,而不是將其存儲在傳統(tǒng)的閃存EEPROM中。該隨機變化非常小���,以至于即使是芯片逆向工程領(lǐng)域的高成本���、超復(fù)雜、侵入性強的技術(shù)(掃描電子顯微鏡���、聚焦離子束和微探測等)也無法有效地提取密鑰���。集成電路之外的任何技術(shù)都無法達到這樣的防御水平���。
安全認證器還支持證書和證書鏈管理9。
此外���,ADI提供高度安全的密鑰和證書預(yù)編程服務(wù)���,以便可以為原始設(shè)備制造商(OEM)提供已配置完畢、能夠無縫加入其公鑰基礎(chǔ)設(shè)施(PKI)或啟用離線PKI的器件���。該器件的穩(wěn)健加密功能還為安全固件更新和安全引導(dǎo)提供支持���。
安全認證器是為現(xiàn)有設(shè)計添加高級安全性的上佳之選。不僅有助于減少為安全性而重新設(shè)計設(shè)備架構(gòu)的研發(fā)工作���,而且BOM成本也較低���。例如無需更改主微控制器即可使用該器件���。舉個例子���,DS28S60 和MAXQ1065 安全認證器滿足IEC 62443-4-2的所有級別要求���,如圖5所示。
DS28S60和MAXQ1065采用3 mm × 3 mm TDFN封裝���,適用于空間非常受限的設(shè)計���,同時還具有低功耗特性,因此也十分適合于功耗較低的邊緣設(shè)備���。
表2.DS28S60和MAXQ1065關(guān)鍵參數(shù)匯總
為滿足IEC 62443-4-2要求���,有些IACS組件架構(gòu)已經(jīng)配備帶安全功能的微控制器,安全認證器的密鑰和證書分發(fā)功能也將讓這些架構(gòu)大受裨益���。OEM或其合同制造商無需再為處理秘密IC憑證購買所需的昂貴制造設(shè)施���。這種方法還會保護微控制器中存儲的可通過JTAG等調(diào)試工具提取的密鑰。
圖5.安全認證器具有符合IEC 62443要求的功能
結(jié)論
通過整合并采用IEC 62443標準���,IACS利益相關(guān)方為構(gòu)建可信賴且安全性強的基礎(chǔ)設(shè)施鋪平了道路���。安全認證器為未來打造符合IEC 62443標準的組件打下了堅實基礎(chǔ)���,也為這些組件提供了更為穩(wěn)健的基于硬件的安全性。安全認證器將幫助OEM獲得所需的認證���,讓其更有信心地進行設(shè)計���。
關(guān)鍵詞:
上一篇:現(xiàn)在的精英 精英前程
下一篇:最后一頁
