【導(dǎo)讀】工業(yè)控制系統(tǒng)(ICS)中的網(wǎng)絡(luò)安全問(wèn)題勢(shì)必延緩工業(yè)4.0的采用。許多企業(yè)領(lǐng)導(dǎo)者發(fā)現(xiàn)ICS網(wǎng)絡(luò)安全挑戰(zhàn)非常難以理解,因?yàn)楸姸嘁蛩貙?dǎo)致其非常復(fù)雜。此外,開(kāi)發(fā)工業(yè)控制系統(tǒng)解決方案的工程師可能尚未看到在設(shè)備層面的重大網(wǎng)絡(luò)安全要求。
工業(yè)控制系統(tǒng)(ICS)中的網(wǎng)絡(luò)安全問(wèn)題勢(shì)必延緩工業(yè)4.0的采用。許多企業(yè)領(lǐng)導(dǎo)者發(fā)現(xiàn)ICS網(wǎng)絡(luò)安全挑戰(zhàn)非常難以理解,因?yàn)楸姸嘁蛩貙?dǎo)致其非常復(fù)雜。此外,開(kāi)發(fā)工業(yè)控制系統(tǒng)解決方案的工程師可能尚未看到在設(shè)備層面的重大網(wǎng)絡(luò)安全要求。保障工業(yè)控制系統(tǒng)安全的傳統(tǒng)方法依賴于限制對(duì)網(wǎng)絡(luò)和設(shè)備的訪問(wèn),并通過(guò)信息技術(shù)(IT)解決方案監(jiān)控網(wǎng)絡(luò)流量。在工廠中使用設(shè)備的產(chǎn)品負(fù)責(zé)人會(huì)發(fā)現(xiàn)如果將網(wǎng)絡(luò)安全問(wèn)題視為IT問(wèn)題,就很容易解決。
然而,隨著工業(yè)4.0的出現(xiàn),傳統(tǒng)方法將不再足以保障工業(yè)控制系統(tǒng)的安全。如果公司沒(méi)有應(yīng)對(duì)終端設(shè)備安全問(wèn)題的策略,ICS網(wǎng)絡(luò)安全面臨的挑戰(zhàn)最終將延緩工業(yè)4.0的采用。為了采用并充分利用工業(yè)4.0,網(wǎng)絡(luò)安全必將成為企業(yè)規(guī)劃的關(guān)鍵部分。ADI認(rèn)識(shí)到工業(yè)4.0為市場(chǎng)帶來(lái)的挑戰(zhàn)。盡管工業(yè)市場(chǎng)歷來(lái)變化緩慢,但工業(yè)4.0的采用卻以創(chuàng)紀(jì)錄的速度大大超出了預(yù)期。伴隨著這些變化,網(wǎng)絡(luò)安全正成為采用工業(yè)4.0最具挑戰(zhàn)性的障礙之一。ICS網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和準(zhǔn)則已經(jīng)付諸實(shí)施或正在建立中,以確保工廠的安全,但它們沒(méi)有提供有關(guān)如何加速工業(yè)4.0計(jì)劃的指導(dǎo)。我們的使命是通過(guò)擴(kuò)展安全終端并使其更易于實(shí)施安全性,使我們的客戶能夠更快速地采用工業(yè)4.0解決方案。
圖1. 終端設(shè)備需要轉(zhuǎn)型以適應(yīng)工業(yè)4.0的采用。
1. 工業(yè)4.0正在改變工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全
工業(yè)4.0正在改變ICS網(wǎng)絡(luò)安全問(wèn)題是有原因的。工業(yè)4.0的本質(zhì)是增加對(duì)工廠中設(shè)備控制的訪問(wèn)權(quán)限和可訪問(wèn)性。這意味著對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限增加以擴(kuò)大透明度,減少網(wǎng)絡(luò)規(guī)劃,縮減資本支出,降低運(yùn)營(yíng)支出,提高帶寬并優(yōu)化機(jī)器互通。增加對(duì)控制的訪問(wèn)權(quán)限和可訪問(wèn)性意味著工廠系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估正在發(fā)生變化。ICS網(wǎng)絡(luò)安全解決方案需要適應(yīng)不斷變化的風(fēng)險(xiǎn),而傳統(tǒng)實(shí)施于系統(tǒng)的防范措施(例如設(shè)置防火墻和將設(shè)備置于閉鎖門(mén)之后)與工業(yè)4.0的目標(biāo)相背。這意味著需要對(duì)設(shè)備進(jìn)行安全加固,以便在確保安全的方法中實(shí)現(xiàn)更多功能。為了實(shí)現(xiàn)可信數(shù)據(jù)和安全操作,身份和完整性將成為此領(lǐng)域中每個(gè)設(shè)備的核心。
工業(yè)市場(chǎng)中有許多不同的標(biāo)準(zhǔn),為工業(yè)控制系統(tǒng)安全性的實(shí)施提供指導(dǎo)。例如,NIST為美國(guó)管理的市場(chǎng)提供安全指導(dǎo)。
IEC62443是針對(duì)歐洲管理的國(guó)際市場(chǎng)的安全標(biāo)準(zhǔn)草案。這是兩個(gè)最主要的標(biāo)準(zhǔn),為工業(yè)控制系統(tǒng)安全性的實(shí)施和安全狀況評(píng)估提供了有用的準(zhǔn)則;但是,它們并沒(méi)有就如何加速工業(yè)4.0的采用提供指導(dǎo)。IEC 62443目前沒(méi)有提供有關(guān)在PLC下實(shí)施安全性的任何準(zhǔn)則,最近成立的ISA99工作組旨在解決IEC 62443框架內(nèi)工廠底層的網(wǎng)絡(luò)安全問(wèn)題。當(dāng)前,為了實(shí)現(xiàn)系統(tǒng)可接受的安全狀態(tài),必須在未達(dá)到足夠安全級(jí)別的設(shè)備上實(shí)施防范措施。這些防范措施通常依賴于諸如防火墻之類的方法來(lái)限制訪問(wèn),并切斷或隔離易受攻擊的設(shè)備。將來(lái),設(shè)備需要達(dá)到更高的安全級(jí)別才能實(shí)現(xiàn)向工業(yè)4.0的過(guò)渡。
2. ADI擴(kuò)展工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全終端
ADI在擴(kuò)展安全終端方面擁有獨(dú)特的優(yōu)勢(shì)。我們的傳統(tǒng)市場(chǎng)空間位于物理終端,即將現(xiàn)實(shí)世界轉(zhuǎn)換為數(shù)字信號(hào)并生成數(shù)據(jù)的地方。這使我們有機(jī)會(huì)通過(guò)在信號(hào)鏈中更早地提供身份和完整性來(lái)建立可信數(shù)據(jù),并構(gòu)建安全終端的全新定義。傳統(tǒng)上,安全終端始于工業(yè)控制系統(tǒng)安全框架中的網(wǎng)關(guān)、PLC乃至服務(wù)器。這種觀點(diǎn)讓人聯(lián)想到工廠的傳統(tǒng)IT網(wǎng)絡(luò)安全觀點(diǎn),而它仍然存在于整個(gè)工業(yè)領(lǐng)域中。在信號(hào)鏈中將安全終端進(jìn)一步向下擴(kuò)展,其前景非常有吸引力,因?yàn)檫@使得基于該數(shù)據(jù)的決策具有更高的可信度。在信號(hào)鏈中越早建立身份和完整性,就可以在驅(qū)動(dòng)決策的數(shù)據(jù)中建立更高的信任和可信度。
圖2. 實(shí)現(xiàn)最高可信度的決策:就在實(shí)現(xiàn)從物理到數(shù)字轉(zhuǎn)換的地方。
這種觀點(diǎn)讓人聯(lián)想到工廠的傳統(tǒng)IT網(wǎng)絡(luò)安全觀點(diǎn),而它仍然存在于整個(gè)工業(yè)領(lǐng)域中。在信號(hào)鏈中將安全終端進(jìn)一步向下擴(kuò)展,其前景非常有吸引力,因?yàn)檫@使得基于該數(shù)據(jù)的決策具有更高的可信度。在信號(hào)鏈中越早建立身份和完整性,就可以在驅(qū)動(dòng)決策的數(shù)據(jù)中建立更高的信任和可信度。
ICS網(wǎng)絡(luò)安全無(wú)法以一體適用的解決方案來(lái)應(yīng)對(duì),必須采用深入的防御方法并根據(jù)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估加以應(yīng)用。隨著以太網(wǎng)應(yīng)用于終端,ADI的策略是擴(kuò)展ICS網(wǎng)絡(luò)安全的深度。實(shí)現(xiàn)工業(yè)4.0需要工廠采用新的連接方法。這意味著以太網(wǎng)已經(jīng)并將繼續(xù)在工業(yè)控制系統(tǒng)中發(fā)揮更大的作用。ADI的安全策略是關(guān)注以太網(wǎng)連接的位置,因?yàn)檫@會(huì)顯著改變網(wǎng)絡(luò)中任何一臺(tái)設(shè)備對(duì)系統(tǒng)的影響。我們當(dāng)前的工業(yè)以太網(wǎng)解決方案和TSN解決方案系列一直是公司安全開(kāi)發(fā)的重點(diǎn)。
近期,可提供雙端口、多協(xié)議連接的fido5000 RapID?平臺(tái)將能夠?qū)崿F(xiàn)多項(xiàng)安全功能,包括提供密鑰生成/管理、安全啟動(dòng)、安全更新和安全存儲(chǔ)器訪問(wèn),從而防止網(wǎng)絡(luò)綁定攻擊。此產(chǎn)品系列路線圖包括單芯片解決方案,該方案具有硬件可信根、安全設(shè)備生命周期管理、安全通信/相互身份驗(yàn)證和防篡改保護(hù)。隨著工業(yè)領(lǐng)域不斷采用智能化程度更高的傳感器,工廠連接將越來(lái)越向下擴(kuò)展,從而推動(dòng)了設(shè)備層面額外的安全需求。ADI致力于開(kāi)發(fā)安全產(chǎn)品組合,以便使ICS安全解決方案的采用更加輕松,并在終端建立信任,以便加速工業(yè)4.0的采用。
(來(lái)源:亞德諾半導(dǎo)體)
免責(zé)聲明:本文為轉(zhuǎn)載文章,轉(zhuǎn)載此文目的在于傳遞更多信息,版權(quán)歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權(quán)問(wèn)題,請(qǐng)電話或者郵箱editor@52solution.com聯(lián)系小編進(jìn)行侵刪。
推薦閱讀:
使用集成雙向電流檢測(cè)放大器實(shí)現(xiàn)有效的電流監(jiān)控
如何運(yùn)用升降壓芯片CS5517實(shí)現(xiàn)鋰電池穩(wěn)定輸出3.3V/3.6V(1.2-5V)的電壓?
如何設(shè)計(jì)汽車信息娛樂(lè)系統(tǒng)電源方案一體化高壓控制器?
采用嶄新結(jié)構(gòu)的升壓充電泵,想了解一下嗎?