在工業網絡中構建強大的安全性時要考慮什麼？

IIoT正在將一切從風力渦輪機和工廠自動化轉變爲關鍵基礎設施。可是，在這個智能、互聯的世界中，網絡***的威脅日益增長，並且很是真實。雖然須要創建對此類***的防護，但組織自己可能沒有開發安全措施的工具、技能集或帶寬。相反，許多公司尋求的解決方案容許將適當的安全性快速，輕鬆地集成到其系統中，從而使他們能夠自由地專一於核心競爭力並提供競爭優點。

他們如何保護他們的工業網絡，同時最小化管理費用和成本?

工業物聯網(IIoT)日益成爲網絡***的目標

對於許多公司而言，經過IIoT實施數字化轉型被視爲提供具備競爭力的產品、優化生產力和不斷提升業務績效的基礎。不幸的是，工業物聯網(IIoT)上的設備爲***者提供了破壞業務、形成財產和人員損失的額外機會。

截取來自工業控制系統的數據能夠揭示製造祕密，從而有可能暴露出競爭優點。若是設備能夠被接管、克隆或欺騙，則漏洞利用可能包括破壞傳感器數據、關閉關鍵系統以及發送可能對安全構成嚴重威脅的錯誤控制命令。主要例子包括影響伊朗核計劃的Stuxnet***，據報道關閉了烏克蘭部分電網的BlackEnergy3。

對網絡***的研究讓該行業對其利用的弱點有了更多的瞭解。隨着知識的增加，安全最佳實踐和標準也隨之發展。這些幫助系統架構師瞭解其資產所需的保護以及抵抗***的技術。例如，IEC62443創建在對潛在威脅進行基於風險的分析的基礎之上，正在成爲網絡安全的國際標準。

圖1.IEC62443對IIoT設備的安全需求採起了務實的方法
經過根據成功***的後果和影響評估系統的風險，IEC62443定義了五個安全級別(圖1)，涵蓋了從不須要保護的設備到須要最高威脅抵抗能力的設備。

對於IEC62443的更高安全級別(即第3和第4級)，須要基於硬件的安全性來保護設備身份驗證器、私有密鑰以及關鍵對稱密鑰。在專用硬件芯片中針對邏輯和物理***進行加固的同時，將關鍵機密和數據存儲在分立的硬件芯片中的優點還具備加強的保護，而對於僅軟件方法而言，邏輯***的障礙要低得多。

一切都在網絡安全中

終端節點，它們所鏈接的設備(例如網關)或雲之間的相互身份驗證僅容許真正的，絕不妥協的設備進行通訊–如圖2所示。

圖2：加強設備標識以確保與雲的安全鏈接
若是沒有可靠的身份驗證，則有可能將惡意軟件鏈接、克隆或加載到正版設備上。隨後，「不良行爲者」能夠利用該鏈接來破壞產品或服務的正常運行，或攔截數據。此外，身份驗證還能夠保護產品或服務的提供者免遭客戶濫用。當使用非原裝零配件或插入僞造的設備或試圖進行未經受權的維修時，可能會致使現場故障。身份認證凸顯了惡意行爲，最終節省了提供商承擔整改爲本。

實際上，有效的網絡保護依賴於幾種經常使用的防護措施，如圖3所示。這些措施包括安全通訊、鏈接設備的安全啓動順序以及無線應用固件更新(OTA)的安全過程。

圖3.常見的網絡安全防護
確保通訊安全對於防止惡意代理與鏈接的設備進行交互或竊聽以獲取情報或竊取IP相當重要。除了對組件和人員進行身份驗證以及使鏈接的設備具備惟一的憑據以外，還必須對交換的數據進行加密以防止這些類型的***。在設備要接收OTA(無線)更新的地方，確保此過程的安全對於防止引入惡意軟件相當重要。身份驗證和完整性檢查一樣很是重要，同時還要確保加載機制的安全性以及對要加載的代碼進行簽名或加密。當鏈接的設備最容易受到***時，使用諸如代碼簽名之類的技術的安全啓動過程可爲它們提供進一步的保護。

結論

儘管數字化轉型可帶來不可阻擋的業務收益，但必須有效應對IIoT帶來的安全挑戰。全面分析網絡安全威脅是開發可靠而持久的網絡安全實施的關鍵。專用安全芯片在網絡安全組合中扮演着相當重要的角色，並有助於爲鏈接的資產提供強大的保護。他們受益於硬件的不變性和對行業標準的聽從性，同時也準備好快速高效地進行設計。

【編輯推薦】

1. 利用工業物聯網的4種方法
2. 5G和工業物聯網
3. 爲何工業物聯網在冠狀病毒大流行中相當重要
4. 炒做與現實：製造業中的工業物聯網到底發生了什麼？
5. 什麼是工業物聯網？IIoT的要點

【責任編輯：趙寧寧 TEL：（010）68476606】