IIoT正在將一切從風(fēng)力渦輪機和工廠自動化轉(zhuǎn)變?yōu)殛P(guān)鍵基礎(chǔ)設(shè)施。但是，在這個智能、互聯(lián)的世界中，網(wǎng)絡(luò)攻擊的威脅日益增加，而且非常真實。雖然需要建立對此類攻擊的防御，但組織本身可能沒有開發(fā)安全措施的工具、技能集或帶寬。相反，許多公司尋求的解決方案允許將適當?shù)陌踩�性快速，輕松地集成到其系統(tǒng)中，從而使他們可以自由地專注于核心競爭力并提供競爭優(yōu)勢。

他們?nèi)绾伪Ｗo他們的工業(yè)網(wǎng)絡(luò)，同時最小化管理費用和成本？

工業(yè)物聯(lián)網(wǎng)（IIoT）日益成為網(wǎng)絡(luò)攻擊的目標

對于許多公司而言，通過IIoT實施數(shù)字化轉(zhuǎn)型被視為提供具有競爭力的產(chǎn)品、優(yōu)化生產(chǎn)力和不斷提高業(yè)務(wù)績效的基礎(chǔ)。不幸的是，工業(yè)物聯(lián)網(wǎng)（IIoT）上的設(shè)備為攻擊者提供了破壞業(yè)務(wù)、造成財產(chǎn)和人員損失的額外機會。

截取來自工業(yè)控制系統(tǒng)的數(shù)據(jù)可以揭示制造秘密，從而有可能暴露出競爭優(yōu)勢。如果設(shè)備可以被接管、克隆或欺騙，則漏洞利用可能包括破壞傳感器數(shù)據(jù)、關(guān)閉關(guān)鍵系統(tǒng)以及發(fā)送可能對安全構(gòu)成嚴重威脅的錯誤控制命令。主要例子包括影響伊朗核計劃的Stuxnet攻擊，據(jù)報道關(guān)閉了烏克蘭部分電網(wǎng)的BlackEnergy3。

對網(wǎng)絡(luò)攻擊的研究讓該行業(yè)對其利用的弱點有了更多的了解。隨著知識的增長，安全最佳實踐和標準也隨之發(fā)展。這些幫助系統(tǒng)架構(gòu)師了解其資產(chǎn)所需的保護以及抵抗攻擊的技術(shù)。例如，IEC62443建立在對潛在威脅進行基于風(fēng)險的分析的基礎(chǔ)之上，正在成為網(wǎng)絡(luò)安全的國際標準。

圖1．IEC62443對IIoT設(shè)備的安全需求采取了務(wù)實的方法

通過根據(jù)成功攻擊的后果和影響評估系統(tǒng)的風(fēng)險，IEC62443定義了五個安全級別（圖1），涵蓋了從不需要保護的設(shè)備到需要最高威脅抵抗能力的設(shè)備。

對于IEC62443的更高安全級別（即第3和第4級），需要基于硬件的安全性來保護設(shè)備身份驗證器、私有密鑰以及關(guān)鍵對稱密鑰。在專用硬件芯片中針對邏輯和物理攻擊進行加固的同時，將關(guān)鍵機密和數(shù)據(jù)存儲在分立的硬件芯片中的優(yōu)勢還具有增強的保護，而對于僅軟件方法而言，邏輯攻擊的障礙要低得多。

一切都在網(wǎng)絡(luò)安全中

終端節(jié)點，它們所連接的設(shè)備（例如網(wǎng)關(guān)）或云之間的相互身份驗證僅允許真正的，毫不妥協(xié)的設(shè)備進行通信–如圖2所示。

圖2：增強設(shè)備標識以確保與云的安全連接

如果沒有可靠的身份驗證，則有可能將惡意軟件連接、克隆或加載到正版設(shè)備上。隨后，“不良行為者”可以利用該連接來破壞產(chǎn)品或服務(wù)的正常運行，或攔截數(shù)據(jù)。此外，身份驗證還可以保護產(chǎn)品或服務(wù)的提供者免遭客戶濫用。當使用非原裝零配件或插入偽造的設(shè)備或試圖進行未經(jīng)授權(quán)的維修時，可能會導(dǎo)致現(xiàn)場故障。身份認證凸顯了惡意行為，最終節(jié)省了提供商承擔整改成本。

實際上，有效的網(wǎng)絡(luò)保護依賴于幾種常用的防御措施，如圖3所示。這些措施包括安全通信、連接設(shè)備的安全啟動順序以及無線應(yīng)用固件更新（OTA）的安全過程。

圖3．常見的網(wǎng)絡(luò)安全防御

確保通信安全對于防止惡意代理與連接的設(shè)備進行交互或竊聽以獲取情報或竊取IP至關(guān)重要。除了對組件和人員進行身份驗證以及使連接的設(shè)備具有唯一的憑據(jù)之外，還必須對交換的數(shù)據(jù)進行加密以防止這些類型的攻擊。在設(shè)備要接收OTA（無線）更新的地方，確保此過程的安全對于防止引入惡意軟件至關(guān)重要。身份驗證和完整性檢查同樣非常重要，同時還要確保加載機制的安全性以及對要加載的代碼進行簽名或加密。當連接的設(shè)備最容易受到攻擊時，使用諸如代碼簽名之類的技術(shù)的安全啟動過程可為它們提供進一步的保護。

結(jié)論

盡管數(shù)字化轉(zhuǎn)型可帶來不可阻擋的業(yè)務(wù)收益，但必須有效應(yīng)對IIoT帶來的安全挑戰(zhàn)。全面分析網(wǎng)絡(luò)安全威脅是開發(fā)可靠而持久的網(wǎng)絡(luò)安全實施的關(guān)鍵。專用安全芯片在網(wǎng)絡(luò)安全組合中扮演著至關(guān)重要的角色，并有助于為連接的資產(chǎn)提供強大的保護。他們受益于硬件的不變性和對行業(yè)標準的遵從性，同時也準備好快速高效地進行設(shè)計。