【導讀】本文探討了IEC 62443系列標準的基本原理和優(yōu)勢。該標準包含了旨在確保網(wǎng)絡(luò )安全韌性并保護關(guān)鍵基礎設施和數字工廠(chǎng)的一系列協(xié)議。這一領(lǐng)先標準提供了一個(gè)全面的安全層；不過(guò)也為尋求認證的相關(guān)人員帶來(lái)了一些挑戰。本文將詳細闡釋安全IC如何為需達成工業(yè)自動(dòng)化控制系統(IACS)組件認證目標的組織提供必要的幫助。

摘要

本文探討了IEC 62443系列標準的基本原理和優(yōu)勢。該標準包含了旨在確保網(wǎng)絡(luò )安全韌性并保護關(guān)鍵基礎設施和數字工廠(chǎng)的一系列協(xié)議。這一領(lǐng)先標準提供了一個(gè)全面的安全層；不過(guò)也為尋求認證的相關(guān)人員帶來(lái)了一些挑戰。本文將詳細闡釋安全IC如何為需達成工業(yè)自動(dòng)化控制系統(IACS)組件認證目標的組織提供必要的幫助。

簡(jiǎn)介

盡管網(wǎng)絡(luò )攻擊的潛在威脅日益增加，但工業(yè)自動(dòng)化控制系統（IACS）在采納安全措施方面進(jìn)展緩慢。部分原因在于此類(lèi)系統的設計人員和運營(yíng)人員缺乏共同的參照標準。IEC 62443系列標準為構建更安全的工業(yè)基礎設施提供了一條途徑，但企業(yè)必須學(xué)會(huì )如何應對其復雜性，并理解這些新挑戰，以成功地加以應用。

工業(yè)系統面臨風(fēng)險

供水、污水處理和電網(wǎng)等關(guān)鍵基礎設施進(jìn)行了數字化轉型，因此不間斷訪(fǎng)問(wèn)這些關(guān)鍵基礎設施對于日常生活至關(guān)重要。然而，網(wǎng)絡(luò )攻擊仍在給這些系統帶來(lái)威脅，且其攻擊能力預計還會(huì )提高1。

工業(yè)4.0需要高度互聯(lián)的傳感器、執行器、網(wǎng)關(guān)和聚合器。而這種更高程度的互聯(lián)進(jìn)一步增加了潛在網(wǎng)絡(luò )攻擊的風(fēng)險，因此實(shí)施安全措施比以往任何時(shí)候都更加重要。美國網(wǎng)絡(luò )安全和基礎設施安全局(CISA)等組織的成立體現了保護關(guān)鍵基礎設施、確保在防御網(wǎng)絡(luò )攻擊時(shí)具備強韌的恢復能力的重要性，同時(shí)也進(jìn)一步表明了對此目標的決心2。

為什么需要IEC 62443？

2010年，Stuxnet的出現凸顯了工業(yè)基礎設施的脆弱性3。Stuxnet是首個(gè)全球范圍內廣為人知的網(wǎng)絡(luò )攻擊病毒，這次事件也表明從遠處針對IACS發(fā)起攻擊是可行的。隨后的攻擊再次強化了大眾對于網(wǎng)絡(luò )病毒的認識，人們由此確認針對特定類(lèi)型設備的遠程攻擊也可能會(huì )對工業(yè)基礎設施造成損害。

于是，政府機構、公用事業(yè)公司、IACS用戶(hù)和設備制造商很快意識到：IACS需要得到保護。政府和用戶(hù)理所當然地傾向于在組織層面采取安全相關(guān)措施并制定政策，而設備制造商則是針對硬件和軟件研究了可能的反制措施。然而，由于以下原因，安全措施的采納進(jìn)展緩慢：

? 基礎設施的復雜性

? 利益相關(guān)方的利益點(diǎn)和關(guān)注點(diǎn)不同

? 實(shí)施方案和選項過(guò)于多樣

? 缺乏可衡量的目標

總的來(lái)說(shuō)，利益相關(guān)方難以確定目標的安全級別，需要謹慎權衡防護強度與成本。

為圍繞ISA99倡議建立共同參照標準，國際自動(dòng)化協(xié)會(huì )(ISA)成立了相關(guān)工作組，最終共同發(fā)布了IEC 62443系列標準。該標準目前分為四個(gè)級別和類(lèi)別，如圖1所示。IEC 62443標準涉及面廣，包含了組織政策、程序、風(fēng)險評估以及硬件和軟件組件的安全性。該標準涵蓋安全防護的方方面面，切合當前實(shí)際需求，具有的超強適應性。此外，ISA采取綜合方法來(lái)應對IACS涉及的所有利益相關(guān)方的各種利益問(wèn)題。一般來(lái)說(shuō)，不同利益相關(guān)方的安全關(guān)注點(diǎn)各不相同。以IP盜竊為例，IACS運營(yíng)商會(huì )特別關(guān)注如何保護制造工藝，而設備制造商則可能更在意如何保護人工智能(AI)算法，使其免遭逆向工程。

圖1.IEC 62443是一項全面的安全標準

此外，由于IACS本質(zhì)上很復雜，因此必須全盤(pán)考慮安全的各個(gè)方面。如果沒(méi)有安全設備的支持，僅靠程序和政策是不夠的。另一方面，如果程序沒(méi)有正確規定如何安全使用組件，那么再堅固耐用的組件也將毫無(wú)用處。

圖2中的圖表顯示了IEC 62443標準通過(guò)ISA認證的采用率情況。正如預期的那樣，行業(yè)主要利益相關(guān)方定義的標準加速了安全措施的實(shí)施。

圖2.ISA認證數量隨著(zhù)時(shí)間推移不斷增加4

符合IEC 62443標準：復雜的挑戰

IEC 62443是一個(gè)非常全面而有效的網(wǎng)絡(luò )安全標準，但其復雜性可能超乎我們的想象。該文件本身長(cháng)達近1000頁(yè)。要清楚地了解該網(wǎng)絡(luò )安全協(xié)議，就需要花時(shí)間學(xué)習。除了掌握技術(shù)語(yǔ)言之外，還必須注意將IEC 62443的每個(gè)小部分放在整體的上下文中進(jìn)行考慮，因為各個(gè)概念都是相互依存的（如圖3所示）。

例如，根據IEC 62443-4-2，必須針對整個(gè)IACS開(kāi)展風(fēng)險評估，評估結果將決定設備的目標安全級別5。

圖3.認證過(guò)程概要視圖

設計符合IEC 62443標準的設備

硬件實(shí)現的最高安全級別要求

IEC 62443以直白的語(yǔ)言定義了安全級別，如圖4所示。

圖4.IEC 62443安全級別

IEC 62443-2-1要求進(jìn)行安全風(fēng)險評估。在此過(guò)程的結果中，每個(gè)組件都將被分配一個(gè)目標安全級別(SL-T)。

根據圖1和圖3，標準的某些部分與流程和程序相關(guān)，而IEC 62443-4-1和IEC 62443-4-2則側重于組件的安全性。根據IEC 62443-4-2，組件類(lèi)型包括軟件應用、主機設備、嵌入式設備和網(wǎng)絡(luò )設備。對于各個(gè)組件類(lèi)型，IEC 62443-4-2根據其滿(mǎn)足的組件要求(CR)和增強要求(RE)定義了能力安全級別(SL-C)。表1總結了SL-A、SL-C、SL-T及三者之間的關(guān)系。

表1.安全級別總結

定義 根據系統級風(fēng)險評估，設備應達到的安全級別 依照IEC 62443-4-2，根據設備支持的CR，設備能夠實(shí)現的安全級別

設備達到的安全級別

目標 SL-T ≥ 風(fēng)險評估定義的水平 SL-C ≥ SL-T SL-A ≥ SL-T

以聯(lián)網(wǎng)的可編程邏輯控制器(PLC)為例。網(wǎng)絡(luò )安全要求對PLC進(jìn)行身份驗證，避免其成為攻擊的入口?；诠€的身份驗證是一項廣為人知的技術(shù)。根據IEC 62443-4-2標準：

? 1級不考慮公鑰加密

? 2級要求使用普遍采用的流程，例如證書(shū)簽名驗證

? 3級和4級要求對身份驗證過(guò)程中使用的私鑰進(jìn)行硬件保護

從2級安全開(kāi)始，設備需要具備許多安全功能，包括基于秘鑰或私鑰的加密機制。對于3級和4級安全，設備在多數情況下需要具備基于硬件的安全保護或加密功能。在這方面，統包式安全IC將為工業(yè)組件設計人員帶來(lái)許多優(yōu)勢，此類(lèi)IC嵌入了基本安全機制，例如：

? 安全密鑰存儲

? 側信道攻擊防護

? 負責執行功能的命令，例如

■ 消息加密

■ 數字簽名計算

■ 數字簽名驗證

有了這些統包式安全IC，IACS組件開(kāi)發(fā)人員便無(wú)需將資源投入到復雜的安全原語(yǔ)設計中。安全IC的另一個(gè)好處是可以從本質(zhì)上讓通用功能與專(zhuān)用安全功能之間形成自然隔離。當安全功能集中在某個(gè)部分中而不是遍布整個(gè)系統時(shí)，將能更容易地評估安全功能的強度。這種隔離還可以帶來(lái)的好處在于，無(wú)論如何修改組件的軟件和/或硬件，都可以得到保留安全功能的驗證。無(wú)需重新評估完整安全功能即可執行升級。

此外，安全IC供應商可以實(shí)施PCB級或系統級無(wú)法實(shí)現的超強保護技術(shù)。比如加固的EEPROM或閃存或物理不可克隆功能(PUF)，這些技術(shù)可以實(shí)現更高等級的防御能力，從而抵御更復雜的攻擊?？傮w而言，安全IC是構建系統安全性的重要基礎。

保護邊緣安全

工業(yè)4.0意味著(zhù)隨時(shí)隨地進(jìn)行檢測，因此需要部署更多邊緣設備。IACS邊緣設備包括傳感器、執行器、機械臂、帶有I/O模塊的PLC等。每個(gè)邊緣設備都連接到高度網(wǎng)絡(luò )化的基礎設施，也成為了黑客的潛在切入點(diǎn)。不僅攻擊面隨設備數量成比例地擴大，而且設備的多元化也不可避免地提高了攻擊途徑的多樣性。應用安全和滲透測試供應商SEWORKS的首席技術(shù)官Yaniv Karta表示：“現有平臺存在許多可行的攻擊途徑，而且端點(diǎn)和邊緣設備的風(fēng)險敞口也都在增加?！崩?，在復雜的IACS中，并非所有傳感器都來(lái)自同一供應商，這些傳感器的微控制器、操作系統或通信協(xié)議棧等也未共享相同的架構。每種架構本身都可能存在弱點(diǎn)。如此一來(lái)，所有這些漏洞不斷積累在IACS之中，導致風(fēng)險大大增加，如MITRE ATT&CK數據庫6或ICS-CERT公告7所示。

此外，工業(yè)物聯(lián)網(wǎng)IoT (IIoT)逐漸在邊緣嵌入更多的智能功能8，業(yè)界正在開(kāi)發(fā)可做出自主系統決策的設備。鑒于這些決策對于安全、系統運行等至關(guān)重要，確保設備硬件和軟件可以被信任就顯得更為關(guān)鍵。另外，常常還需要考慮如何保護設備開(kāi)發(fā)人員的研發(fā)IP投資免遭盜竊（例如與AI算法相關(guān)的成果）?；诖?，他們可能會(huì )決定采用受統包式安全IC支持的保護措施。

另外一個(gè)重要的觀(guān)點(diǎn)是，網(wǎng)絡(luò )安全防護不足可能會(huì )對功能安全產(chǎn)生負面影響。功能安全和網(wǎng)絡(luò )安全之間的相互作用關(guān)系非常復雜，需要另寫(xiě)一篇文章才足以詳細說(shuō)明，但我們可以著(zhù)重關(guān)注以下幾點(diǎn)：

? IEC 61508：“電氣/電子/可編程電子安全相關(guān)系統的功能安全”要求根據IEC 62443開(kāi)展網(wǎng)絡(luò )安全風(fēng)險分析。

? 雖然IEC 61508主要側重于危害和風(fēng)險分析，但也要求在每次發(fā)生嚴重網(wǎng)絡(luò )安全事件后，進(jìn)行后續的安全威脅分析和漏洞分析。

我們列出的IACS邊緣設備是嵌入式系統。IEC 62443-4-2規定了對這些系統的具體要求，例如惡意代碼保護機制、安全固件更新、物理防篡改和檢測、信任根配置以及引導過(guò)程完整性。

使用ADI的安全認證器達成IEC 62443目標

ADI公司的安全認證器（也稱(chēng)為安全元件）專(zhuān)為滿(mǎn)足上述要求而設計，同時(shí)還兼顧了易實(shí)施性和成本效益。這些固定功能IC帶有用于主機處理器的完整軟件協(xié)議棧，屬于全包式解決方案。

采用ADI公司的安全實(shí)施方案后，組件設計人員將能更專(zhuān)注于其核心業(yè)務(wù)。安全認證器本質(zhì)上是信任根，能夠安全且不可變地存儲根密鑰/秘密和代表設備狀態(tài)的敏感數據（如固件哈希值）。安全認證器包含一套全面的加密功能，包括身份驗證、加密、安全數據存儲、生命周期管理和安全引導/更新。

ChipDNA?物理不可克隆功能(PUF)技術(shù)利用晶圓制造過(guò)程中自然發(fā)生的隨機變化來(lái)生成加密密鑰，而不是將其存儲在傳統的閃存EEPROM中。該隨機變化非常小，以至于即使是芯片逆向工程領(lǐng)域的高成本、超復雜、侵入性強的技術(shù)（掃描電子顯微鏡、聚焦離子束和微探測等）也無(wú)法有效地提取密鑰。集成電路之外的任何技術(shù)都無(wú)法達到這樣的防御水平。

安全認證器還支持證書(shū)和證書(shū)鏈管理9。

此外，ADI提供高度安全的密鑰和證書(shū)預編程服務(wù)，以便可以為原始設備制造商(OEM)提供已配置完畢、能夠無(wú)縫加入其公鑰基礎設施(PKI)或啟用離線(xiàn)PKI的器件。該器件的穩健加密功能還為安全固件更新和安全引導提供支持。

安全認證器是為現有設計添加高級安全性的上佳之選。不僅有助于減少為安全性而重新設計設備架構的研發(fā)工作，而且BOM成本也較低。例如無(wú)需更改主微控制器即可使用該器件。舉個(gè)例子，DS28S60 和MAXQ1065 安全認證器滿(mǎn)足IEC 62443-4-2的所有級別要求，如圖5所示。

DS28S60和MAXQ1065采用3 mm × 3 mm TDFN封裝，適用于空間非常受限的設計，同時(shí)還具有低功耗特性，因此也十分適合于功耗較低的邊緣設備。

表2.DS28S60和MAXQ1065關(guān)鍵參數匯總

為滿(mǎn)足IEC 62443-4-2要求，有些IACS組件架構已經(jīng)配備帶安全功能的微控制器，安全認證器的密鑰和證書(shū)分發(fā)功能也將讓這些架構大受裨益。OEM或其合同制造商無(wú)需再為處理秘密IC憑證購買(mǎi)所需的昂貴制造設施。這種方法還會(huì )保護微控制器中存儲的可通過(guò)JTAG等調試工具提取的密鑰。

圖5.安全認證器具有符合IEC 62443要求的功能

結論

通過(guò)整合并采用IEC 62443標準，IACS利益相關(guān)方為構建可信賴(lài)且安全性強的基礎設施鋪平了道路。安全認證器為未來(lái)打造符合IEC 62443標準的組件打下了堅實(shí)基礎，也為這些組件提供了更為穩健的基于硬件的安全性。安全認證器將幫助OEM獲得所需的認證，讓其更有信心地進(jìn)行設計。

參考資料

1. Lorenzo Franceschi-Bicchierai?！癛ansomware Gang Accessed Water Supplier’s Control System（勒索軟件團伙侵入供水公司控制系統）”。Vice，2022年8月。

2. “Protecting Critical Infrastructure（保護關(guān)鍵基礎設施）”。美國網(wǎng)絡(luò )安全和基礎設施安全局。

3. Bruce Schneier?！癟he Story Behind The Stuxnet Virus（Stuxnet病毒背后的故事）”。Forbes，2010年10月。

4. “ISASecure CSA Certified Components（ISASecure CSA認證組件）”。ISASecure。

5. Patrick O’Brien?！癈ybersecurity Risk Assessment According to ISA/IEC 62443-3-2（根據ISA/IEC 62443-3-2開(kāi)展網(wǎng)絡(luò )安全風(fēng)險評估）”。全球網(wǎng)絡(luò )安全聯(lián)盟。

6. ATT&CK Matrix for Enterprise（企業(yè)ATT&CK矩陣）”。MITRE ATT&CK?。

7. “Cybersecurity Alerts & Advisories（網(wǎng)絡(luò )安全警報和公告）”。美國網(wǎng)絡(luò )安全和基礎設施安全局。

8. Ian Beavers?！斑吘壷悄艿?部分：邊緣節點(diǎn)”。ADI公司，2017年8月。

9. “Trust Your Digital Certificates—Even When Offline（相信您的數字證書(shū)——哪怕處于離線(xiàn)狀態(tài)）”。Design Solutions，第56期，2017年5月。

免責聲明：本文為轉載文章，轉載此文目的在于傳遞更多信息，版權歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權問(wèn)題，請聯(lián)系小編進(jìn)行處理。

推薦閱讀：

如何對數據轉換器進(jìn)行建模以進(jìn)行系統仿真？

如何為數字信號處理應用選擇微控制器

了解開(kāi)關(guān)模式調節：降壓轉換器

控制電機控制器的微控制器

板載電源：定制還是標準？