本文探討了IEC 62443系列標(biāo)準(zhǔn)的基本推理和優(yōu)勢，這是一組旨在確保網(wǎng)絡(luò)安全彈性的協(xié)議 保護關(guān)鍵基礎(chǔ)設(shè)施和數(shù)字化工廠。這一領(lǐng)先的標(biāo)準(zhǔn)提供了廣泛的安全層;然而，它給那些尋求認(rèn)證的人帶來了一些挑戰(zhàn)。我們將解釋安全IC如何為努力實現(xiàn)工業(yè)自動化控制系統(tǒng)（IACS）組件認(rèn)證目標(biāo)的組織提供必要的幫助。

介紹

盡管網(wǎng)絡(luò)攻擊可能越來越復(fù)雜，但I(xiàn)ACS以前在采取安全措施方面進(jìn)展緩慢。這部分是由于缺乏此類系統(tǒng)的設(shè)計者和操作員的共同參考。IEC 62443系列標(biāo)準(zhǔn)為更安全的工業(yè)基礎(chǔ)設(shè)施提供了一條前進(jìn)的道路，但企業(yè)必須學(xué)習(xí)如何應(yīng)對其復(fù)雜性并了解這些新挑戰(zhàn)，以便成功利用它。

工業(yè)系統(tǒng)面臨風(fēng)險

配水、污水和電網(wǎng)等關(guān)鍵基礎(chǔ)設(shè)施的數(shù)字化使得不間斷的訪問對日常生活至關(guān)重要。然而，網(wǎng)絡(luò)攻擊仍然是這些系統(tǒng)中斷的原因之一，預(yù)計它們還會增長。

工業(yè) 4.0 需要高度連接的傳感器、執(zhí)行器、網(wǎng)關(guān)和聚合器。這種增加的連接性增加了潛在網(wǎng)絡(luò)攻擊的風(fēng)險，使安全措施比以往任何時候都更加重要。美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）等組織的成立說明了其重要性，并表明了對保護關(guān)鍵基礎(chǔ)設(shè)施和確保 他們抵御網(wǎng)絡(luò)攻擊的彈性。2

為什么選擇IEC 62443？

2010年，Stuxnet的出現(xiàn)將工業(yè)基礎(chǔ)設(shè)施推向了脆弱狀態(tài)。3Stuxnet是世界上第一個公開的網(wǎng)絡(luò)攻擊，表明攻擊可以成功地從遠(yuǎn)處針對IACS。隨后的攻擊鞏固了工業(yè)基礎(chǔ)設(shè)施可能通過針對特定類型設(shè)備的遠(yuǎn)程攻擊而受到損害的認(rèn)識。

政府機構(gòu)、公用事業(yè)公司、IACS 用戶和設(shè)備制造商很快明白 IACS 需要得到保護。雖然政府和用戶自然傾向于組織措施和安全策略，但設(shè)備制造商調(diào)查了可能的硬件和軟件對策。然而，由于以下原因，安全措施的采用緩慢：

基礎(chǔ)設(shè)施的復(fù)雜性

利益相關(guān)者的不同利益和關(guān)注點

各種實施和可用選項

缺乏可衡量的目標(biāo)

總體而言，利益相關(guān)者在確定適當(dāng)?shù)陌踩墑e方面面臨著不確定性，即如何仔細(xì)平衡保護與成本。

國際自動化學(xué)會（ISA）成立了工作組，在ISA99倡議下建立共同參考，最終導(dǎo)致了IEC 62443系列標(biāo)準(zhǔn)的發(fā)布。這組標(biāo)準(zhǔn)目前分為四個級別和類別，如圖 1 所示。由于其全面的范圍，IEC 62443標(biāo)準(zhǔn)包括組織政策，程序，風(fēng)險評估， 以及硬件和軟件組件的安全性。該標(biāo)準(zhǔn)的完整范圍使其具有獨特的適應(yīng)性并反映了當(dāng)前的現(xiàn)實。此外，ISA在解決IACS中涉及的所有利益相關(guān)者的各種利益時采取了綜合方法。一般來說，安全問題因利益相關(guān)者而異。例如，如果我們考慮知識產(chǎn)權(quán)盜竊，IACS 運營商 將對保護制造過程感興趣，而設(shè)備制造商可能關(guān)心保護人工智能 （AI） 算法免受逆向工程。

圖1.IEC 62443 是一項全面的安全標(biāo)準(zhǔn)。

此外，由于 IACS 本質(zhì)上很復(fù)雜，因此必須考慮整個安全范圍。如果沒有安全設(shè)備的支持，僅靠程序和策略是不夠的，而如果程序沒有正確定義其安全使用，則健壯的組件將毫無用處。

圖 2 中的圖表顯示了 IEC 62443 標(biāo)準(zhǔn)通過 ISA 認(rèn)證的采用率。正如預(yù)期的那樣，由行業(yè)主要利益相關(guān)者定義的標(biāo)準(zhǔn)加速了安全措施的實施。

圖2.一段時間內(nèi)的 ISA 認(rèn)證數(shù)量。4

獲得IEC 62443合規(guī)性：一項復(fù)雜的挑戰(zhàn)

IEC 62443 是一個非常全面和有效的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，但其復(fù)雜性可能是壓倒性的。文件本身的長度接近1000頁。獲得對網(wǎng)絡(luò)安全協(xié)議的清晰理解涉及學(xué)習(xí)曲線，并且超出了吸收技術(shù)語言的范圍。IEC 62443中的每個部分都必須理解為一個更大整體的一部分，因為這些概念是相互依賴的（如圖3所示）。

例如，根據(jù)IEC 62443-4-2，必須針對整個IACS進(jìn)行風(fēng)險評估，其結(jié)果將決定確定設(shè)備目標(biāo)安全級別的決策。5

圖3.認(rèn)證過程的高級視圖。

設(shè)計符合IEC 62443標(biāo)準(zhǔn)的設(shè)備

最高安全級別要求實施硬件

IEC 62443 以簡單的語言定義了安全級別，如圖 4 所示。

圖4.IEC 62443 安全級別。

IEC 62443-2-1 要求進(jìn)行安全風(fēng)險評估。作為此過程的結(jié)果，每個組件都被分配一個目標(biāo)安全級別 （SL-T）。

如圖1和圖3所示，標(biāo)準(zhǔn)的某些部分涉及流程和程序，而IEC 62443-4-1和IEC 62443-4-2則涉及組件的安全性。符合 IEC 62443-4-2 標(biāo)準(zhǔn)的組件類型包括軟件應(yīng)用程序、主機設(shè)備、嵌入式設(shè)備和網(wǎng)絡(luò)設(shè)備。對于每種組件類型，IEC 62443-4-2 根據(jù)它們滿足的組件要求 （CR） 和需求增強 （RE） 定義功能安全級別 （SL-C）。表1總結(jié)了SL-A，SL-C，SL-T及其關(guān)系。

讓我們以網(wǎng)絡(luò)連接的可編程邏輯控制器（PLC）為例。網(wǎng)絡(luò)安全要求對 PLC 進(jìn)行身份驗證，以免它成為攻擊的入口。一種眾所周知的技術(shù)是基于公鑰的身份驗證。關(guān)于IEC 62443-4-2：

級別 1 不考慮公鑰加密

級別 2 需要常用的流程，例如證書簽名驗證

級別 3 和 4 要求對身份驗證過程中使用的私鑰進(jìn)行硬件保護

從安全級別 2 開始，需要許多安全功能，包括基于涉及密鑰或私鑰的加密機制。對于安全級別 3 和 4，在許多情況下需要對安全或加密功能進(jìn)行基于硬件的保護。這就是工業(yè)組件設(shè)計人員將從交鑰匙安全I(xiàn)C中受益的地方，嵌入基本機制，例如：

安全密鑰存儲

側(cè)信道攻擊防護

負(fù)責(zé)功能（如）的命令

消息加密

數(shù)字簽名計算

數(shù)字簽名驗證

這些交鑰匙安全I(xiàn)C使IACS組件開發(fā)人員無需將資源投入到復(fù)雜的安全基元設(shè)計中。使用安全I(xiàn)C的另一個好處是，從本質(zhì)上可以利用通用功能和專用安全功能之間的自然隔離。當(dāng)安全集中在一個元素中而不是分散在整個系統(tǒng)中時，更容易評估安全功能的強度。從這種隔離中還可以保留對組件的軟件和/或硬件修改的安全功能驗證。無需執(zhí)行升級 需要重新評估整個安全功能。

此外，安全I(xiàn)C供應(yīng)商可以實現(xiàn)在PCB或系統(tǒng)級別無法實現(xiàn)的極強保護技術(shù)。強化的EEPROM或閃存或物理不可克隆功能（PUF）就是這種情況，可以實現(xiàn)對最復(fù)雜攻擊的最高級別的抵抗力。總體而言，安全I(xiàn)C是構(gòu)建系統(tǒng)安全性的良好基礎(chǔ)。

邊緣安全

工業(yè) 4.0 意味著隨時隨地進(jìn)行傳感，因此需要部署更多的邊緣設(shè)備。IACS 邊緣設(shè)備包括傳感器、執(zhí)行器、機械臂、帶有 I/O 模塊的 PLC 等。每個邊緣設(shè)備都連接到高度網(wǎng)絡(luò)化的基礎(chǔ)設(shè)施，并成為黑客的潛在切入點。不僅攻擊面與設(shè)備數(shù)量成比例地擴展，而且設(shè)備的不同組合本身也會擴展攻擊媒介的多樣性。“鑒于現(xiàn)有平臺，有很多可行的攻擊媒介，端點和邊緣設(shè)備的暴露率都在增加，”應(yīng)用程序安全和滲透測試供應(yīng)商SEWORKS的首席技術(shù)官Yaniv Karta說。例如，在復(fù)雜的IACS中，并非所有傳感器都來自同一供應(yīng)商，也不共享相同的架構(gòu)，在微控制器、操作系統(tǒng)或通信堆棧方面。每種架構(gòu)都有其自身的弱點。結(jié)果，IACS積累并暴露在其所有漏洞中，如圖所示 由 MITRE ATT&CK 數(shù)據(jù)庫6 或 ICS-CERT 公告提供。7

此外，隨著工業(yè)物聯(lián)網(wǎng)物聯(lián)網(wǎng)（IIoT）在邊緣嵌入更多智能的趨勢，8正在開發(fā)設(shè)備來做出自主系統(tǒng)決策。因此，確保設(shè)備硬件和軟件可信更為重要，因為這些決策對安全、系統(tǒng)操作等至關(guān)重要。此外，保護 設(shè)備開發(fā)人員免受盜竊（例如，與AI算法相關(guān)）是一個常見的考慮因素，可以推動采用交鑰匙安全I(xiàn)C可以支持的保護的決定。

另一個重要的一點是，網(wǎng)絡(luò)安全不足可能會對功能安全產(chǎn)生負(fù)面影響。功能安全和網(wǎng)絡(luò)安全交互很復(fù)雜，討論它們值得單獨寫一篇文章，但我們可以強調(diào)以下內(nèi)容：

IEC 61508：電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全要求基于IEC 62443進(jìn)行網(wǎng)絡(luò)安全風(fēng)險分析。

雖然IEC 61508主要側(cè)重于危害和風(fēng)險分析，但每次網(wǎng)絡(luò)安全事件嚴(yán)重時，它都會要求進(jìn)行后續(xù)的安全威脅分析和漏洞分析。

我們列出的IACS邊緣設(shè)備是嵌入式系統(tǒng)。IEC 62443-4-2 定義了這些系統(tǒng)的特定要求，例如惡意代碼保護機制、安全固件更新、物理防篡改和檢測、信任根配置以及啟動過程的完整性。

利用ADI的安全認(rèn)證器滿足您的IEC 62443目標(biāo)

ADI公司的安全認(rèn)證器（也稱為安全元件）旨在滿足這些要求，同時兼顧易于實施和成本效益。帶有主機處理器完整軟件堆棧的固定功能IC是交鑰匙解決方案。

因此，安全實施委托給ADI，元件設(shè)計人員可以專注于其核心業(yè)務(wù)。安全身份驗證器本質(zhì)上是信任的根，提供安全且不可變的根密鑰/機密和代表設(shè)備狀態(tài)的敏感數(shù)據(jù)（例如固件哈希）的存儲。它們具有一套全面的加密功能，包括身份驗證、加密、安全數(shù)據(jù)存儲、生命周期管理和安全啟動/更新。

芯片基因?物理不可克隆功能（PUF）技術(shù)利用晶圓制造過程中自然發(fā)生的隨機變化來生成加密密鑰，而不是將其存儲在傳統(tǒng)的閃存EEPROM中。利用的變化是如此之小，以至于即使是用于芯片逆向工程的昂貴、最復(fù)雜、侵入性技術(shù)（掃描電子顯微鏡、聚焦離子束和微探測）提取密鑰的效率也很低。集成電路以外的任何技術(shù)都無法達(dá)到這樣的電阻水平。

安全身份驗證器還支持證書和證書管理鏈。9

此外，ADI在其工廠提供高度安全的密鑰和證書預(yù)編程服務(wù)，以便原始設(shè)備制造商（OEM）可以接收已經(jīng)配置的器件，這些器件可以無縫加入其公鑰基礎(chǔ)設(shè)施（PKI）或啟用離線PKI。其強大的加密功能可實現(xiàn)安全固件更新和安全啟動。

安全認(rèn)證器是為現(xiàn)有設(shè)計添加高級安全性的最佳選擇。它們節(jié)省了以較低的BOM成本重新構(gòu)建設(shè)備以確保安全性的研發(fā)工作。例如，它們不需要更換主微控制器。例如，DS28S60和MAXQ1065安全認(rèn)證器滿足IEC 62443-4-2的所有要求，如圖5所示。

DS28S60和MAXQ1065采用3 mm×3 mm TDFN封裝，適合空間受限的設(shè)計，其低功耗完美地滿足了最受功耗限制的邊緣器件的需求。

圖5.安全認(rèn)證器具有符合 IEC 62443 要求的功能。

IACS組件架構(gòu)已經(jīng)具有滿足IEC 62443-4-2要求的安全功能的微控制器，也可以從用于密鑰和證書分發(fā)目的的安全身份驗證器中受益。這將使OEM或其合同制造商免于投資處理秘密IC憑證所需的昂貴制造設(shè)施。這種方法還可以保護存儲在微控制器中的密鑰，以便通過JTAG等調(diào)試工具提取。

結(jié)論

通過整合和采用IEC 62443標(biāo)準(zhǔn)，IACS利益相關(guān)者為可靠和安全的基礎(chǔ)設(shè)施鋪平了道路。安全認(rèn)證器是符合IEC 62443標(biāo)準(zhǔn)的組件未來的基石，這些組件需要強大的基于硬件的安全性。OEM 可以放心地進(jìn)行設(shè)計，因為他們知道安全的身份驗證器將幫助他們獲得他們所尋求的認(rèn)證。

審核編輯：郭婷