IIoT正在將一切從風(fēng)力渦輪機和工廠自動化轉(zhuǎn)變?yōu)殛P(guān)鍵基礎(chǔ)設(shè)施。但是，在這個智能、互聯(lián)的世界中，網(wǎng)絡(luò)攻擊的威脅日益增加，而且非常真實。雖然需要建立對此類攻擊的防御，但組織本身可能沒有開發(fā)安全措施的工具、技能集或帶寬。相反，許多公司尋求的解決方案允許將適當(dāng)?shù)陌踩钥焖?，輕松地集成到其系統(tǒng)中，從而使他們可以自由地專注于核心競爭力并提供競爭優(yōu)勢。

他們?nèi)绾伪Ｗo(hù)他們的工業(yè)網(wǎng)絡(luò)，同時最小化管理費用和成本?

[[336773]]

工業(yè)物聯(lián)網(wǎng)(IIoT)日益成為網(wǎng)絡(luò)攻擊的目標(biāo)

對于許多公司而言，通過IIoT實施數(shù)字化轉(zhuǎn)型被視為提供具有競爭力的產(chǎn)品、優(yōu)化生產(chǎn)力和不斷提高業(yè)務(wù)績效的基礎(chǔ)。不幸的是，工業(yè)物聯(lián)網(wǎng)(IIoT)上的設(shè)備為攻擊者提供了破壞業(yè)務(wù)、造成財產(chǎn)和人員損失的額外機會。

截取來自工業(yè)控制系統(tǒng)的數(shù)據(jù)可以揭示制造秘密，從而有可能暴露出競爭優(yōu)勢。如果設(shè)備可以被接管、克隆或欺騙，則漏洞利用可能包括破壞傳感器數(shù)據(jù)、關(guān)閉關(guān)鍵系統(tǒng)以及發(fā)送可能對安全構(gòu)成嚴(yán)重威脅的錯誤控制命令。主要例子包括影響伊朗核計劃的Stuxnet攻擊，據(jù)報道關(guān)閉了烏克蘭部分電網(wǎng)的BlackEnergy3。

對網(wǎng)絡(luò)攻擊的研究讓該行業(yè)對其利用的弱點有了更多的了解。隨著知識的增長，安全最佳實踐和標(biāo)準(zhǔn)也隨之發(fā)展。這些幫助系統(tǒng)架構(gòu)師了解其資產(chǎn)所需的保護(hù)以及抵抗攻擊的技術(shù)。例如，IEC62443建立在對潛在威脅進(jìn)行基于風(fēng)險的分析的基礎(chǔ)之上，正在成為網(wǎng)絡(luò)安全的國際標(biāo)準(zhǔn)。

通過根據(jù)成功攻擊的后果和影響評估系統(tǒng)的風(fēng)險，IEC62443定義了五個安全級別(圖1)，涵蓋了從不需要保護(hù)的設(shè)備到需要最高威脅抵抗能力的設(shè)備。

對于IEC62443的更高安全級別(即第3和第4級)，需要基于硬件的安全性來保護(hù)設(shè)備身份驗證器、私有密鑰以及關(guān)鍵對稱密鑰。在專用硬件芯片中針對邏輯和物理攻擊進(jìn)行加固的同時，將關(guān)鍵機密和數(shù)據(jù)存儲在分立的硬件芯片中的優(yōu)勢還具有增強的保護(hù)，而對于僅軟件方法而言，邏輯攻擊的障礙要低得多。

一切都在網(wǎng)絡(luò)安全中

終端節(jié)點，它們所連接的設(shè)備(例如網(wǎng)關(guān))或云之間的相互身份驗證僅允許真正的，毫不妥協(xié)的設(shè)備進(jìn)行通信–如圖2所示。

如果沒有可靠的身份驗證，則有可能將惡意軟件連接、克隆或加載到正版設(shè)備上。隨后，“不良行為者”可以利用該連接來破壞產(chǎn)品或服務(wù)的正常運行，或攔截數(shù)據(jù)。此外，身份驗證還可以保護(hù)產(chǎn)品或服務(wù)的提供者免遭客戶濫用。當(dāng)使用非原裝零配件或插入偽造的設(shè)備或試圖進(jìn)行未經(jīng)授權(quán)的維修時，可能會導(dǎo)致現(xiàn)場故障。身份認(rèn)證凸顯了惡意行為，最終節(jié)省了提供商承擔(dān)整改成本。

實際上，有效的網(wǎng)絡(luò)保護(hù)依賴于幾種常用的防御措施，如圖3所示。這些措施包括安全通信、連接設(shè)備的安全啟動順序以及無線應(yīng)用固件更新(OTA)的安全過程。

確保通信安全對于防止惡意代理與連接的設(shè)備進(jìn)行交互或竊聽以獲取情報或竊取IP至關(guān)重要。除了對組件和人員進(jìn)行身份驗證以及使連接的設(shè)備具有唯一的憑據(jù)之外，還必須對交換的數(shù)據(jù)進(jìn)行加密以防止這些類型的攻擊。在設(shè)備要接收OTA(無線)更新的地方，確保此過程的安全對于防止引入惡意軟件至關(guān)重要。身份驗證和完整性檢查同樣非常重要，同時還要確保加載機制的安全性以及對要加載的代碼進(jìn)行簽名或加密。當(dāng)連接的設(shè)備最容易受到攻擊時，使用諸如代碼簽名之類的技術(shù)的安全啟動過程可為它們提供進(jìn)一步的保護(hù)。

結(jié)論

盡管數(shù)字化轉(zhuǎn)型可帶來不可阻擋的業(yè)務(wù)收益，但必須有效應(yīng)對IIoT帶來的安全挑戰(zhàn)。全面分析網(wǎng)絡(luò)安全威脅是開發(fā)可靠而持久的網(wǎng)絡(luò)安全實施的關(guān)鍵。專用安全芯片在網(wǎng)絡(luò)安全組合中扮演著至關(guān)重要的角色，并有助于為連接的資產(chǎn)提供強大的保護(hù)。他們受益于硬件的不變性和對行業(yè)標(biāo)準(zhǔn)的遵從性，同時也準(zhǔn)備好快速高效地進(jìn)行設(shè)計。