在工業(yè)網(wǎng)絡(luò)中構(gòu)建強(qiáng)大的安全性時(shí)要考慮什么?
IIoT正在將一切從風(fēng)力渦輪機(jī)和工廠自動(dòng)化轉(zhuǎn)變?yōu)殛P(guān)鍵基礎(chǔ)設(shè)施。但是,在這個(gè)智能、互聯(lián)的世界中,網(wǎng)絡(luò)攻擊的威脅日益增加,而且非常真實(shí)。雖然需要建立對(duì)此類攻擊的防御,但組織本身可能沒(méi)有開(kāi)發(fā)安全措施的工具、技能集或帶寬。相反,許多公司尋求的解決方案允許將適當(dāng)?shù)陌踩钥焖,輕松地集成到其系統(tǒng)中,從而使他們可以自由地專注于核心競(jìng)爭(zhēng)力并提供競(jìng)爭(zhēng)優(yōu)勢(shì)。
他們?nèi)绾伪Wo(hù)他們的工業(yè)網(wǎng)絡(luò),同時(shí)最小化管理費(fèi)用和成本?
工業(yè)物聯(lián)網(wǎng)(IIoT)日益成為網(wǎng)絡(luò)攻擊的目標(biāo)
對(duì)于許多公司而言,通過(guò)IIoT實(shí)施數(shù)字化轉(zhuǎn)型被視為提供具有競(jìng)爭(zhēng)力的產(chǎn)品、優(yōu)化生產(chǎn)力和不斷提高業(yè)務(wù)績(jī)效的基礎(chǔ)。不幸的是,工業(yè)物聯(lián)網(wǎng)(IIoT)上的設(shè)備為攻擊者提供了破壞業(yè)務(wù)、造成財(cái)產(chǎn)和人員損失的額外機(jī)會(huì)。
截取來(lái)自工業(yè)控制系統(tǒng)的數(shù)據(jù)可以揭示制造秘密,從而有可能暴露出競(jìng)爭(zhēng)優(yōu)勢(shì)。如果設(shè)備可以被接管、克隆或欺騙,則漏洞利用可能包括破壞傳感器數(shù)據(jù)、關(guān)閉關(guān)鍵系統(tǒng)以及發(fā)送可能對(duì)安全構(gòu)成嚴(yán)重威脅的錯(cuò)誤控制命令。主要例子包括影響伊朗核計(jì)劃的Stuxnet攻擊,據(jù)報(bào)道關(guān)閉了烏克蘭部分電網(wǎng)的BlackEnergy3。
對(duì)網(wǎng)絡(luò)攻擊的研究讓該行業(yè)對(duì)其利用的弱點(diǎn)有了更多的了解。隨著知識(shí)的增長(zhǎng),安全最佳實(shí)踐和標(biāo)準(zhǔn)也隨之發(fā)展。這些幫助系統(tǒng)架構(gòu)師了解其資產(chǎn)所需的保護(hù)以及抵抗攻擊的技術(shù)。例如,IEC62443建立在對(duì)潛在威脅進(jìn)行基于風(fēng)險(xiǎn)的分析的基礎(chǔ)之上,正在成為網(wǎng)絡(luò)安全的國(guó)際標(biāo)準(zhǔn)。
圖1.IEC62443對(duì)IIoT設(shè)備的安全需求采取了務(wù)實(shí)的方法
通過(guò)根據(jù)成功攻擊的后果和影響評(píng)估系統(tǒng)的風(fēng)險(xiǎn),IEC62443定義了五個(gè)安全級(jí)別(圖1),涵蓋了從不需要保護(hù)的設(shè)備到需要最高威脅抵抗能力的設(shè)備。
對(duì)于IEC62443的更高安全級(jí)別(即第3和第4級(jí)),需要基于硬件的安全性來(lái)保護(hù)設(shè)備身份驗(yàn)證器、私有密鑰以及關(guān)鍵對(duì)稱密鑰。在專用硬件芯片中針對(duì)邏輯和物理攻擊進(jìn)行加固的同時(shí),將關(guān)鍵機(jī)密和數(shù)據(jù)存儲(chǔ)在分立的硬件芯片中的優(yōu)勢(shì)還具有增強(qiáng)的保護(hù),而對(duì)于僅軟件方法而言,邏輯攻擊的障礙要低得多。
一切都在網(wǎng)絡(luò)安全中
終端節(jié)點(diǎn),它們所連接的設(shè)備(例如網(wǎng)關(guān))或云之間的相互身份驗(yàn)證僅允許真正的,毫不妥協(xié)的設(shè)備進(jìn)行通信–如圖2所示。
圖2:增強(qiáng)設(shè)備標(biāo)識(shí)以確保與云的安全連接
如果沒(méi)有可靠的身份驗(yàn)證,則有可能將惡意軟件連接、克隆或加載到正版設(shè)備上。隨后,“不良行為者”可以利用該連接來(lái)破壞產(chǎn)品或服務(wù)的正常運(yùn)行,或攔截?cái)?shù)據(jù)。此外,身份驗(yàn)證還可以保護(hù)產(chǎn)品或服務(wù)的提供者免遭客戶濫用。當(dāng)使用非原裝零配件或插入偽造的設(shè)備或試圖進(jìn)行未經(jīng)授權(quán)的維修時(shí),可能會(huì)導(dǎo)致現(xiàn)場(chǎng)故障。身份認(rèn)證凸顯了惡意行為,最終節(jié)省了提供商承擔(dān)整改成本。
實(shí)際上,有效的網(wǎng)絡(luò)保護(hù)依賴于幾種常用的防御措施,如圖3所示。這些措施包括安全通信、連接設(shè)備的安全啟動(dòng)順序以及無(wú)線應(yīng)用固件更新(OTA)的安全過(guò)程。
圖3.常見(jiàn)的網(wǎng)絡(luò)安全防御
確保通信安全對(duì)于防止惡意代理與連接的設(shè)備進(jìn)行交互或竊聽(tīng)以獲取情報(bào)或竊取IP至關(guān)重要。除了對(duì)組件和人員進(jìn)行身份驗(yàn)證以及使連接的設(shè)備具有唯一的憑據(jù)之外,還必須對(duì)交換的數(shù)據(jù)進(jìn)行加密以防止這些類型的攻擊。在設(shè)備要接收OTA(無(wú)線)更新的地方,確保此過(guò)程的安全對(duì)于防止引入惡意軟件至關(guān)重要。身份驗(yàn)證和完整性檢查同樣非常重要,同時(shí)還要確保加載機(jī)制的安全性以及對(duì)要加載的代碼進(jìn)行簽名或加密。當(dāng)連接的設(shè)備最容易受到攻擊時(shí),使用諸如代碼簽名之類的技術(shù)的安全啟動(dòng)過(guò)程可為它們提供進(jìn)一步的保護(hù)。
結(jié)論
盡管數(shù)字化轉(zhuǎn)型可帶來(lái)不可阻擋的業(yè)務(wù)收益,但必須有效應(yīng)對(duì)IIoT帶來(lái)的安全挑戰(zhàn)。全面分析網(wǎng)絡(luò)安全威脅是開(kāi)發(fā)可靠而持久的網(wǎng)絡(luò)安全實(shí)施的關(guān)鍵。專用安全芯片在網(wǎng)絡(luò)安全組合中扮演著至關(guān)重要的角色,并有助于為連接的資產(chǎn)提供強(qiáng)大的保護(hù)。他們受益于硬件的不變性和對(duì)行業(yè)標(biāo)準(zhǔn)的遵從性,同時(shí)也準(zhǔn)備好快速高效地進(jìn)行設(shè)計(jì)。
發(fā)表評(píng)論
請(qǐng)輸入評(píng)論內(nèi)容...
請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字
圖片新聞
最新活動(dòng)更多
-
精彩回顧立即查看>> 【線下會(huì)議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會(huì)
-
精彩回顧立即查看>> 松下新能源中國(guó)布局:鋰一次電池新品介紹
-
精彩回顧立即查看>> 2024 智能家居出海論壇
-
精彩回顧立即查看>> 2024中國(guó)國(guó)際工業(yè)博覽會(huì)維科網(wǎng)·激光VIP企業(yè)展臺(tái)直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會(huì)暨展覽會(huì)
編輯推薦
- 高級(jí)軟件工程師 廣東省/深圳市
- 自動(dòng)化高級(jí)工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級(jí)銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門(mén)市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市