工业物联网安全性设计师指南

我们都听说过物联网(IoT)和工业物联网(IIoT)，也知道这两者是不同的，因为物联网通常应用于消费市场，而IIoT则应用于工业领域。但是，像工业因特网联盟(Industrial Internet Consortium；IIC)这样的专业团体到底如何定义IIoT？

此团体将IIoT视为一个连接和整合操作技术(Operational Technology；OT)环境的体系，例如工业控制系统(ICS)，包含企业系统、商务流程与分析系统。这些IIoT体系与ICS和OT不同，因为它们与其他系统和人员广泛连接，而它们与信息技术(IT)系统不同之处在于，它们使用的传感器和致动器与实体世界相互作用，若产生不可控制的变化时可能会导致危险。

传感器或连网设备为封闭系统的一部分，而IIoT的好处是能够收集和分析数据，然后根据数据显示的内容来执行任务。然而，这种连接性也增加了那些可能想要攻击系统的风险，以及越来越多的网络攻击，进而瘫痪系统。

英特尔(Intel)正在推动美国能源部(DoE)计划中，减少网络事件的其中一个项目，以提高电力系统边缘(power system edge)的安全性。由于电网边缘(grid edge)设备直接并透过云端平台相互沟通，因此该计划的研究在于提升安全性，着重在互操作性并提供实时情境认知(situational awareness)。

首先，在棕地(brownfield)需要透过安全的网关或传统电力系统设备来实现，然后作为绿地(greenfield)的内部现场可程序化逻辑门阵列(field programmable gate array；FPGA)的升级设计，或是做为目前设备的一部分，目标是在不妨碍重要电力输送功能的正常运作方式下，减少网络攻击。

英特尔物联网安全解决方案首席架构师兼IIC安全工作小组联合主席Sven Schrecker表示，在为IIoT系统设计和部署设备时，安全不应该是唯一的考虑因素，开发人员应该更广泛地思考以下五个总体关键因素：

●功能安全(safety)
●信赖性(reliability)
●信息安全(security)
●隐私性(privacy)
●恢复性(resilience)

虽然开发工程师可能必须将安全功能加入到芯片、软件或平台中，但他们不一定能意识到他们的工作符合公司对于安全性政策方面所规划的远大目标。Schrecker说：“安全策略必须由IT团队和OT团队共同拟定，以便每个人都知道那些设备能互相沟通。”。

建立信任链(Chain of Trust)

主要重点是从一开始就建立安全性政策和信任链，然后在设备的整个生命周期中，透过设计、开发、生产过程来维护它。信任必须建立在设备、网络和整个供应链上。

物联网安全基金会(IoT Security Foundation)董事会成员暨Secure Thingz首席执行官和创办人Haydn Povey表示，安全性需要由四个层面着手：

●CxO级别(CxO level)
●安全架构师(security architect)
●开发工程师(development engineer)
●营运经理(operations manager)

开发或设计工程师需要采用公司的安全性政策，他们也许能定义如何辨识和验证自己的产品、如何安全地提供软件和硬件更新，以及在芯片或软件中加入这些元素。信任链的第四个层面是OEM参与制造IIoT网络产品或部署这些产品的部分。在这里，生产或营运经理需要确认每个电子零件都有自己独特的身份，并且可以在供应链的每个环节进行安全认证。

当谈论到硬件和软件缺乏信任链时，MITRE资深主任工程师兼IIC的指导委员会成员Robert Martin说：“连接工业系统有很多不同的技术堆栈(tech stacks)。”他并警告：“事实上，微处理器的微小变化，会对于在此运作的软件产生意想不到的影响。如果我们重新编译软件，在不同的操作系统中执行，将会有不同的运作方式，但没有人能对这些变化所导致的软件故障情况加以解释。”

他补充：“在建筑产业，有相应的法规与认证，若进行的变更会影响到安全性，将因此受到处罚。但在软件技术方面则没有类似的管理体制。”

IIoT安全性设计考虑因素

那么，从哪里开始为IIoT进行安全性设计，以及必须考虑哪些设计因素？

目前有各种产业指南，例如IIC的物联网安全架构及其制造概况，提供在工厂中实施此架构的详细信息，或是美国国家标准暨技术研究院(NIST)的网络安全架构(Cybersecurity Framework)。开发工程师的首要任务是确定如何将安全策略或安全架构应用在IIoT端点的全部或部分设备的设计和生命周期管理上面。

考虑范围包含从启用具有唯一身份的设备，到能够保护设备、辨识攻击，并恢复、修复和修补设备。Arm物联网设备解决方案副总裁Chet Babla表示：“此过程与保护其他系统没有什么不同，需要从头开始考虑安全性问题。”

他解释：“第一部分是分析什么是入侵载体(threat vectors)？你想保护什么？”Arm去年推出了自己的平台安全架构(PSA)，以支持物联网设备的开发人员。Babla表示，PSA与设备无关，因为该公司正在努力鼓励产业考虑安全性问题。

分析、架构、建置

PSA架构包括三个阶段——分析、架构和建置。Babla说：“分析是我们努力强调的核心部分。”举例来说，这代表着进行入侵模型分析，Arm已经为资产追踪器、水表和网络摄影机的常用案例导入了三个分析文件，此种分析相当重要，并且得到了其他人的回响。

Martin评论：“我们需要开始讨论硬件中潜在的弱点，并能够仿真攻击模式，以及制作测试案例。”设计工程师需要考虑整个生态系统，从芯片到云端，在实施一个包含不可变动的系统、或不可更改身份的设备方面，应启用信任根(RoT)，并确保可以安全地执行无线OTA更新和身份验证。Babla说：“然后可以考虑在芯片、接入点和云端进行缓解(mitigation)。”

Arm的PSA鼓励开发人员首先考虑入侵威胁，然后再考虑设计和履行(implementation)。(数据源：Arm)

生命周期管理(LCM)

有人认为，将IIoT安全性与传统物联网安全问题区分开来的一个重要考虑因素在于LCM。Povey表示，LCM在软件更新或更改IIoT设备配置时会有影响。在IIoT环境中，连网设备、传感器和控制系统不会或不应该连接到开放网络中。

因此，某些类型的设备LCM控制层需要成为IIoT设备的一部分，这可以是用于设备报告、配置和管理的复杂软件。但是，IIoT网络中的安全需求会根据系统中的端点而有所不同，因为它可能包含非IP的智能控制器脱机内部网络，和某种类型的保护或与外部网络隔离的设计，并且还可能有IP或非IP的无线设备和传感器。

作为LCM功能的一部分，所有端点设备都需要在工业系统中被管理和控制，这让工厂能在导入、配置和管理端点设备/产品，并加入到内部工厂网络时，能进行控制。

IIoT安全解决方案的高阶目标包含以下：

●产品端点认证(设备、传感器、控制系统)——端点产品是真的，并非伪造品？提供产品制造商的可追溯性、生产日期和任何其他相关信息。
●产品端点配置和使用控制——端点的安全管理和配置控制方面，有各种权限和使用模式之控制或限制。
●端点控制状态的安全控制。
●端点维护——包括安全的软件更新。控制系统和端点间的安全通讯，以及确保控制系统数据在储存方面的安全性。
●进阶安全防护——入侵检测和安全监控。

在较低层级启用此端点产品安全的基础，是以下对于端点设备的要求：

●不可变更的设备身份——设备必须具有不可更改/受保护的身份，必须透过加密方式进行验证。产品能辨识自己并验证出谁是制造者、相关日期和其他信息。
●不可变更的RoT——除了设备身份之外，还有配置到产品中的RoT。其中包括低阶的安全启动程序(secure boot manager)、认证和非对称密钥组，允许设备支持双边身份验证并启用安全软件更新。RoT的某些部分要求密钥和其他项目应在某种类型的安全储存区域中受到保护，以防止密钥信息从产品中被提取。
●不可变更的安全性启动程序——某种类型的低阶安全启动程序，可在应用之前，验证设备/产品的所有韧体和配置更新。只有安全启动管理程序才能安装并将低阶的配置更新应用于端点设备/产品。
●LCM软件/服务——某种类型的低阶LCM控制服务，可以管理端点产品，包括软件更新和配置更改。

设计时，考虑到设备层级的安全性与物联网设备的整个生命周期。(数据源：Secure Thingz)

安全区域(Security enclaves)

Povey表示：“在设备采购方面，受到一些因素影响，例如启用标准机制以推出更新、此更新将如何储存在边缘设备，以及设备和内存资源影响等因素。”

他并补充：“你需要考虑安全区域，以及隐藏秘密和基本密钥的位置，还有如何为设备添加水印。”工程师应该在不考虑芯片商与架构的情况下，在开发环境中将这些因素纳入考虑。一般的产业共识是，安全组件确实需要嵌入到硬件中，以确保其可信任度，因为芯片级加密可以被执行和保护。

GE电力、自动化和控制部门控制和边缘平台总经理Rich Carpenter说：“我们试图从硬件层开始建立RoT，且我们的深度防御(defense-in-depth)机制要求入侵发生时，不会透过系统进行传播。”他还提到，GE使用现成的可信任平台模块(TPM)，并采用英特尔和AMD处理器。

英特尔预期将从硬件着手。Schrecker说：“拥有硬件RoT非常重要。硬件身份刻录到系统中，并具有芯片层级的身份，这代表着它可以被追踪，而重要地是能确保芯片不是伪造的，并且能够进行身份验证和更新。”他补充，硬件安全性并不能取代软件安全性，只是提高了安全性。

总之，在设计IIoT设备的安全性时，关键的考虑因素是使设备不可变更(immutable)、能够提供可信任和安全的启动，并在整个生命周期内管理设备安全性，其中还包括OTA软件更新和修补。

在发生攻击的情况下，需要有一种方法可以准确地识别设备，将其恢复到之前已知的良好状态，然后能够适时在攻击点(point of attack)解决问题。将这些原则考虑在内，是进到下一步—硬件部署(hardware implementation)的良好开始。

关注最前沿的电子设计资讯，请关注“电子工程专辑微信公众号”