工业4.0和关键基础设施都期望传感器、执行器、网关和汇接器能高度互联。然而,连通性的提高也增加了网络攻击的潜在风险,从而使得安全形势更加严峻。新发布的IEC 62443系列标准,是一套旨在确保网络安全弹性并保护关键基础设施和数字工厂的协议。本文探讨了IEC 62443系列标准的基本原理和优势,并旨在帮助工程师顺利通过符合认证。
尽管潜在的网络攻击越来越复杂,但此前工业自动化控制系统(IACS)在安全措施的采取方面行动迟缓。部分原因是相关系统的设计师和操作人员缺乏公共基准。新发布的IEC 62443系列标准是一套旨在确保网络安全弹性、并保护关键基础设施和数字工厂的协议。该系列标准提供了广泛的安全层,为工业基础设施的安全保护提供了一条发展道路。不过,其复杂性也给符合认证带来了一些挑战。企业要成功利用该标准,就必须学会如何驾驭其复杂性,并理解这些新的挑战。
工业系统风险
像配水、污水处理和电网等类关键基础设施的数字化,实现了不间断工作,这已成为人们日常生活的必要需求。然而,各种网络攻击却是导致这些系统中断的原因之一,而且预计未来攻击还会不断增加。
另一方面,工业4.0也在呼唤传感器、执行器、网关和汇接器的高度互联。然而,连通性的提高也增加了网络攻击的潜在风险,从而使得安全措施比以往任何时候都更加重要。美国网络安全和基础设施安全局(CISA)等组织的成立,也表明了保护关键基础设施并确保其抵御网络攻击的重要性。
为什么选择IEC 62443?
2010年Stuxnet病毒的出现,开始使工业基础设施陷入脆弱状态。Stuxnet是世界上首次公开的网络攻击,表明攻击可以成功地远程瞄准IACS。随后的多次攻击更加巩固了这样一种认知,即通过针对特定类型设备的远程攻击,可以使工业基础设施受到损害。
无论是政府机构和公用事业,还是IACS用户和设备制造商,很快都意识到了IACS需要保护。政府和用户自然倾向于组织措施和安全政策,而设备制造商则研究可能的硬件和软件对策。然而,采取安全措施的速度很慢,主要原因在于:
·基础设施的复杂性
·相关方的利益和关注点不同
·缺乏可实现或可用选项
·缺乏可衡量目标
总的来说,利益相关方面临着不确定性,无法确定合适的安全级别目标,使其能够在保护充分性与成本之间实现合理平衡。
国际自动化协会(ISA)成立了工作组,在ISA99倡议下建立了公共基准,最终导致了IEC 62443系列标准的面世。该标准目前分为四个层次和类别,详见图1。
由于范围广泛,IEC 62443标准涵盖了组织政策、程序、风险评估以及软硬件组件的安全性。该标准的完整范围使其具有独特的适应性,并反映了当前的现实。此外,国际海底管理局在处理IACS所有利益相关方的各种利益时,也采取了更全面的方针。
一般来说,不同利益相关方对安全性的关注是不同的。例如,如果考虑知识产权盗窃,IACS运营商的兴趣可能在于对制造过程进行保护,而设备制造商则可能更关心保护人工智能(AI)算法免受逆向工程。
图1:IEC 62443是一个全面的安全标准。
此外,因为IACS本质上是比较复杂的,所以必须考虑所有层次。如果没有安全设备的支持,仅有程序和政策是不够的;反之,如果程序没有正确定义安全用法,再好的组件也是无用的。
图2显示了通过ISA认证的IEC 62443标准利用率。正如预期的那样,行业各关键利益相关方共同定义的标准,加速了安全措施的实施。
图2:所示时间内ISA认证的数量。
符合IEC 62443:一项复杂的挑战
IEC 62443是一个非常全面和有效的网络安全标准,不过其复杂性也令人难以置信,单是文件本身就长达近千页。获得对网络安全协议的清晰理解,需要一个学习过程,并且不仅仅只是吸收技术语言。该标准的每个部分都必须被理解为整体的一部分,因为这些概念是相互依存的(如图3所示)。
例如,根据IEC 62443-4-2,必须针对整个IACS实施风险评估,评估结果将决定设备的目标安全级别。
图3:认证流程高级视图。
最高安全级别需要硬件实现
IEC 62443用直白的语言定义了安全级别,详见图4。
图4:IEC 62443安全级别。
IEC 62443-2-1要求进行安全风险评估。作为该过程的结果,将为每个组件分配一个目标安全级别(SL-T)。
根据图1和图3,标准的某些部分负责处理流程和程序,而IEC 62443-4-1和IEC 62443-4-2则处理组件安全性。根据IEC 62443-4-2,组件类型包括软件应用程序、主机设备、嵌入式设备和网络设备。对于每种组件类型,基于其需满足的组件要求(CR)和增强要求(RE),IEC 62443-4-2为其定义了能力安全级别(SL-C)。表1汇总了SL-A、SL-C、SL-T及其关系。
表1.安全级别汇总
以网络连接的可编程逻辑控制器(PLC)为例。网络安全要求PLC经过身份验证,这样它就不会成为攻击入口。一种众所周知的技术是基于公钥的身份验证。对于IEC 62443-4-2:
·1级不考虑公钥加密
·2级需要常用的流程,如证书签名验证
·3级和4级要求对身份验证过程中使用的私钥进行硬件保护
从安全级别2开始,需要许多安全功能,包括基于涉及秘钥或私钥的密码学机制。对于安全级别3和4,在许多情况下需要基于硬件的安全或加密功能保护。这正是工业设计师将从交钥匙安全IC中受益的地方,原因在于IC中已嵌入以下基本机制:
·安全密钥存储
·侧通道攻击保护
·负责以下功能的命令
·消息加密
·数字签名计算
·数字签名验证
这类交钥匙式安全IC使IACS组件开发人员无需将资源重复投入到复杂的原始安全设计。使用安全IC的另一好处是可顺便利用通用功能和专用安全功能之间的自然隔离。当安全性集中在一个单元而不是分散在整个系统中时,更容易评估安全功能的强度。从这种隔离中受益的还包括组件的软/硬件修改升级时安全验证功能的保留不变。这样,无需重新评估完整的安全功能即可进行升级。
此外,安全IC供应商可以实施在PCB或系统级别无法访问的极强保护技术。这包括硬化EEPROM、闪存或物理不可克隆功能(PUF),可以实现对最复杂攻击的最高级别抵御。总体而言,安全IC是构建系统安全性的重要基础。
边缘实施安全
工业4.0意味着随时随地感知,因此需要部署更多的边缘设备。IACS边缘设备包括传感器、执行器、机械臂、带I/O模块的PLC等。由于每个边缘设备都连接到高度网络化的基础设施,从而成为黑客攻击的潜在入口。不仅攻击面会随着设备数量的增加而成比例扩大,而且设备的多样化构成也必然会扩大攻击媒介的种类。应用安全和穿透测试供应商SEWORKS首席技术官Yaniv Karta表示:鉴于现有平台,存在许多可行的攻击媒介,终端和边缘设备的“暴露”程度都有所增加。例如,在复杂的IACS中,并非所有传感器都来自同一个供应商,它们在微控制器、操作系统或通信堆栈方面共享的架构也不同。每种架构都有潜在的弱点。因此,正如MITRE ATT&CK数据或ICS-CERT咨询所述,IACS已积累并暴露在其所有漏洞中。
此外,随着工业物联网(IIoT)在边缘嵌入更多智能的趋势,能够支持做出自主系统决策的设备也正在开发中。因此,更重要的是确保设备硬件和软件的可信度,因为这些决策对系统的安全、运行等至关重要。此外,保护设备开发人员的IP免遭窃取(例如与人工智能算法相关的窃取) 就是一个常见的考虑因素,这都可以促使交钥匙安全IC所支持的各种保护措施的利用。
另一要点是,网络安全的不足还会对功能安全产生负面影响。功能安全和网络安全的交互是复杂的,限于篇幅,这里不做讨论,但可以强调以下两点:
IEC 61508:电气/电子/可编程电子安全相关系统的功能安全,强制执行IEC网络安全风险分析。
虽然IEC 61508主要侧重于危害和风险分析,但每当发生严重的网络安全事件时,都会强制执行后续安全威胁和漏洞分析。
这里列出的IACS 边缘设备是嵌入式系统。IEC 62443-4-2为这些系统定义了特定要求,例如恶意代码保护机制、安全固件更新、物理防篡改和检测、信任根提供以及引导过程的完整性。
满足IEC 62443认证途径
ADI的安全鉴权器(也称为安全单元)旨在满足认证要求,同时兼顾易于实施和成本效益。为主机处理器提供完整软件堆栈的固定功能IC为交钥匙解决方案。
安全实施委托给ADI后,设计师可以专注于自己的核心业务。安全鉴权器本质上是信任根,可提供根密钥/秘密和代表设备状态的敏感数据(如固件哈希算法)的安全和不可变存储。它们具有一套全面的加密功能,包括身份验证、加密、安全数据存储、生命周期管理和安全引导/更新。
芯片DNA PUF技术,利用晶圆制造过程中自然发生的随机变化来生成密钥,而不是将其存储在传统的EEPROM闪存中。所能利用的变异极小,即使是用于芯片逆向工程的最昂贵、最复杂、侵入性技术(包括扫描电子显微镜、聚焦离子束和微探针等),也不足以提取密钥。集成电路之外的任何技术都无法达到这样的抵御水平。另外,安全鉴权器还支持证书和证书链管理。
此外,ADI在其工厂即可提供高度安全的密钥和证书预编程服务,原始设备制造商(OEM)可以接收已编好的器件,这些器件可以无缝加入其公钥基础设施(PKI)或支持离线PKI。其强大的加密功能支持安全固件更新和安全引导。
安全鉴权器是为现有设计增加高级别安全性的最佳选择。从而省去了R&D重新构建安全设备的努力,甚至连主微控制器都不需要改变。
可满足图5所示的IEC 62443-4-2所有级别要求的一个实例,就是DS28S60和MAXQ1065的安全授权。器件采用3×3mm TDFN封装,适合最受空间限制的设计,其低功耗也满足了最受限制的边缘应用。
表2:DS28S60/MAXQ1065主要参数汇总
已经具有满足IEC 62443-4-2要求安全功能的微控制器IACS组件架构,也可以受益于用于密钥和证书分发目的的安全认证器。这使得OEM厂商(或其合同制造商)不必再为处理加密IC证书而对所需的昂贵制造设备进行投资。这种方法还可以保护存储在微控制器中的密钥,以便通过调试工具(如JTAG)提取。
图5:符合IEC 62443要求的安全鉴权功能图。
结论
通过制定和采用IEC 62443标准,IACS利益相关各方为可靠和安全的基础设施铺平了道路。安全鉴权器是未来符合IEC 62443标准的组件之基石,这些组件需要强大的基于硬件的安全性。OEM可以放心地进行设计,因为安全鉴权器将帮助满足所期望的认证。
(参考原文:adopting-iec-62443-standards-for-infrastructure-cybersecurity)
本文为《电子工程专辑》2024年1月刊杂志文章,版权所有,禁止转载。点击申请免费杂志订阅
您可能感兴趣
