本文探討了IEC 62443標(biāo)準(zhǔn)系列的基本原理和優(yōu)勢，這是一套旨在確保網(wǎng)絡(luò)安全彈性和保護關(guān)鍵基礎(chǔ)設(shè)施和數(shù)字工廠的協(xié)議。這個領(lǐng)先的標(biāo)準(zhǔn)提供了廣泛的安全層；然而，這對尋求認(rèn)證的人提出了幾個挑戰(zhàn)。我們將解釋安全IC如何為努力實現(xiàn)工業(yè)自動化控制系統(tǒng)（IACS）元件認(rèn)證目標(biāo)的組織提供重要幫助。

　　盡管潛在的網(wǎng)絡(luò)攻擊越來越復(fù)雜，但IACS此前在采取安全措施方面行動遲緩。這部分是由于這種系統(tǒng)的設(shè)計者和操作者缺乏共同的參考。IEC 62443標(biāo)準(zhǔn)系列為更安全的工業(yè)基礎(chǔ)設(shè)施提供了一條前進的道路，但企業(yè)必須學(xué)會如何駕馭其復(fù)雜性，并理解這些新的挑戰(zhàn)，以便成功地利用它。

　　工業(yè)系統(tǒng)處于危險之中

　　水分配、污水處理和電網(wǎng)等關(guān)鍵基礎(chǔ)設(shè)施的數(shù)字化使不間斷接入成為日常生活的必要條件。然而，網(wǎng)絡(luò)攻擊仍然是導(dǎo)致這些系統(tǒng)中斷的原因之一，而且預(yù)計還會增加。［1］

　　工業(yè)4.0呼喚高度互聯(lián)的傳感器、執(zhí)行器、網(wǎng)關(guān)和聚合器。連通性的提高增加了潛在網(wǎng)絡(luò)攻擊的風(fēng)險，使得安全措施比以往任何時候都更加重要。美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）等組織的成立表明了保護關(guān)鍵基礎(chǔ)設(shè)施并確保其抵御網(wǎng)絡(luò)攻擊的重要性和決心。［2］

　　為什么選擇IEC 62443？

　　2010年，震網(wǎng)病毒的出現(xiàn)使工業(yè)基礎(chǔ)設(shè)施陷入脆弱狀態(tài)。［3］ Stuxnet是世界上第一次公開的網(wǎng)絡(luò)攻擊，表明攻擊可以成功地從遠處瞄準(zhǔn)IACSs。隨后的攻擊鞏固了這樣一種認(rèn)識，即工業(yè)基礎(chǔ)設(shè)施可以通過針對特定類型設(shè)備的遠程攻擊而受到損害。

　　政府機構(gòu)、公用事業(yè)公司、IACS用戶和設(shè)備制造商很快意識到IACS需要保護。政府和用戶自然傾向于組織措施和安全政策，而設(shè)備制造商則研究可能的硬件和軟件對策。然而，采取安全措施的速度很慢，原因是：

　　基礎(chǔ)設(shè)施的復(fù)雜性

　　利益相關(guān)者的不同利益和關(guān)注

　　各種實現(xiàn)和可用選項

　　缺乏可衡量的目標(biāo)

　　總的來說，利益相關(guān)者面臨著不確定性，無法確定目標(biāo)的正確安全級別，這是一個在保護和成本之間小心平衡的級別。

　　國際自動化協(xié)會（ISA）成立了工作組，在ISA99倡議下建立共同參考，最終導(dǎo)致了IEC 62443系列標(biāo)準(zhǔn)的發(fā)布。這組標(biāo)準(zhǔn)目前分為四個級別和類別，如圖1所示。由于范圍廣泛，IEC 62443標(biāo)準(zhǔn)涵蓋了組織政策、程序、風(fēng)險評估以及硬件和軟件組件的安全性。該標(biāo)準(zhǔn)的完整范圍使其具有獨特的適應(yīng)性并反映了當(dāng)前的現(xiàn)實。此外，國際海底管理局在處理IACS所涉所有利益攸關(guān)方的各種利益時，采取了全面的方針。一般來說，不同的利益相關(guān)者對安全性的關(guān)注是不同的。例如，如果我們考慮知識產(chǎn)權(quán)盜竊，IACS運營商將對保護制造過程感興趣，而設(shè)備制造商可能關(guān)心保護人工智能（AI）算法免受逆向工程。

　　圖一。IEC 62443是一個全面的安全標(biāo)準(zhǔn)。

　　此外，因為IACS本質(zhì)上是復(fù)雜的，所以必須考慮整個安全范圍。如果沒有安全設(shè)備的支持，僅有程序和政策是不夠的，而如果程序沒有正確定義安全使用，健壯的組件是無用的。

　　圖2中的圖表顯示了通過ISA認(rèn)證的IEC 62443標(biāo)準(zhǔn)的采用率。正如預(yù)期的那樣，由行業(yè)關(guān)鍵利益相關(guān)者定義的標(biāo)準(zhǔn)加速了安全措施的實施。

　　圖二。一段時間內(nèi)ISA認(rèn)證的數(shù)量。［4］

　　符合IEC 62443：一項復(fù)雜的挑戰(zhàn)

　　IEC 62443是一個非常全面和有效的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，但它的復(fù)雜性令人難以置信。這份文件本身長達近1000頁。獲得對網(wǎng)絡(luò)安全協(xié)議的清晰理解需要一個學(xué)習(xí)過程，并且不僅僅是吸收技術(shù)語言。IEC 62443的每個部分都必須被理解為一個更大的整體的一部分，因為這些概念是相互依賴的（如圖3所示）。

　　例如，根據(jù)IEC 62443-4-2，必須進行針對整個IACS的風(fēng)險評估，評估結(jié)果將決定設(shè)備的目標(biāo)安全級別。［5］

　　圖3。認(rèn)證流程的高級視圖。

　　最高安全級別要求硬件實施

　　IEC 62443用直白的語言定義了安全級別，如圖4所示。

　　圖4。IEC 62443安全等級。

　　IEC 62443-2-1要求進行安全風(fēng)險評估。作為該過程的結(jié)果，每個組件被分配一個目標(biāo)安全級別（SL-T）。

　　根據(jù)圖1和圖3，標(biāo)準(zhǔn)的某些部分處理流程和程序，而IEC 62443-4-1和IEC 62443-4-2則處理組件的安全性。根據(jù)IEC 62443-4-2，組件類型包括軟件應(yīng)用程序、主機設(shè)備、嵌入式設(shè)備和網(wǎng)絡(luò)設(shè)備。對于每個組件類型，IEC 62443-4-2根據(jù)它們滿足的組件需求（CR）和需求增強（RE）定義了能力安全級別（SL-C）。表1總結(jié)了SL-A、SL-C、SL-T及其關(guān)系。

　　表1。安全級別摘要

　　讓我們以聯(lián)網(wǎng)的可編程邏輯控制器（PLC）為例。網(wǎng)絡(luò)安全要求對PLC進行認(rèn)證，這樣它就不會成為攻擊的入口。一種眾所周知的技術(shù)是基于公鑰的認(rèn)證。關(guān)于IEC 62443-4-2：

　　級別1不考慮公鑰加密

　　第2級要求通常采用的過程，如證書簽名驗證

　　第3級和第4級要求對身份驗證過程中使用的私鑰進行硬件保護

　　從安全級別2開始，需要許多安全功能，包括基于涉及秘密或私有密鑰的加密機制。對于安全級別3和4，在許多情況下需要基于硬件的安全保護或加密功能。這就是工業(yè)元件設(shè)計人員將從全包式安全IC中受益的地方，其中嵌入了以下基本機制：

　　安全密鑰存儲

　　側(cè)信道攻擊保護

　　負(fù)責(zé)以下功能的命令

　　消息加密

　　數(shù)字簽名計算

　　數(shù)字簽名驗證

　　這些交鑰匙安全IC使IACS組件開發(fā)人員無需將資源投入復(fù)雜的安全原始設(shè)計。使用安全IC的另一個好處是固有地利用了通用功能和專用安全功能之間的自然隔離。當(dāng)安全集中在一個元素中而不是分散在整個系統(tǒng)中時，安全功能的強度更容易評估。從這種隔離中還獲得了跨組件的軟件和/或硬件修改的安全功能驗證的保持。無需重新評估整個安全功能即可進行升級。

　　此外，安全IC供應(yīng)商可以實施非常強大的保護技術(shù)，這在PCB或系統(tǒng)級是無法實現(xiàn)的。這是加固的EEPROM或閃存或物理不可克隆功能（PUF）的情況，可以實現(xiàn)對最復(fù)雜的攻擊的最高級別的抵抗?？偟膩碚f，安全IC是構(gòu)建系統(tǒng)安全性的重要基礎(chǔ)。

　　在邊緣固定

　　工業(yè)4.0意味著隨時隨地感知，因此需要部署更多的邊緣設(shè)備。IACS邊緣設(shè)備包括傳感器、執(zhí)行器、機械臂、帶I/O模塊的PLC等。每個邊緣設(shè)備都連接到高度網(wǎng)絡(luò)化的基礎(chǔ)設(shè)施，成為黑客的潛在入口。不僅攻擊面會隨著設(shè)備數(shù)量的增加而成比例擴大，而且設(shè)備的多樣化構(gòu)成也必然會擴大攻擊媒介的種類。應(yīng)用安全和滲透測試供應(yīng)商SEWORKS的首席技術(shù)官Yaniv Karta表示：“鑒于現(xiàn)有的平臺，存在許多可行的攻擊媒介，終端和邊緣設(shè)備的暴露程度都有所增加。例如，在復(fù)雜的IACS中，并非所有傳感器都來自同一個供應(yīng)商，它們在微控制器、操作系統(tǒng)或通信堆棧方面也不共享相同的架構(gòu)。每種架構(gòu)都有潛在的弱點。因此，IACS積累并暴露于其所有的弱點，如米特ATT和CK數(shù)據(jù)庫［6］或ICS-CERT咨詢所述。［7］

　　此外，隨著工業(yè)物聯(lián)網(wǎng)（IIoT）在邊緣嵌入更多智能的趨勢，［8］設(shè)備正在開發(fā)中，以做出自主系統(tǒng)決策。因此，更重要的是確保設(shè)備硬件和軟件可信，因為這些決策對系統(tǒng)的安全、運行等至關(guān)重要。此外，保護設(shè)備開發(fā)人員的R&D知識產(chǎn)權(quán)投資免遭盜竊——例如與人工智能算法相關(guān)的盜竊——是一個常見的考慮因素，可以促使他們決定采用交鑰匙安全IC所能支持的保護措施。

　　另一個要點是，網(wǎng)絡(luò)安全不足可能會對功能安全產(chǎn)生負(fù)面影響。功能安全和網(wǎng)絡(luò)安全的交互是復(fù)雜的，討論它們需要一篇單獨的文章，但我們可以強調(diào)以下幾點：

　　：C 61508：電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全要求根據(jù)IEC進行網(wǎng)絡(luò)安全風(fēng)險分析

　　雖然IEC 61508主要側(cè)重于危害和風(fēng)險分析，但每當(dāng)發(fā)生嚴(yán)重的網(wǎng)絡(luò)安全事件時，它都會要求進行后續(xù)的安全威脅分析和漏洞分析。

　　我們列出的IACS edge設(shè)備是嵌入式系統(tǒng)。：C 62443-4-2為這些系統(tǒng)定義了特定要求，例如惡意代碼保護機制、安全固件更新、物理防篡改和檢測、信任根供應(yīng)以及引導(dǎo)過程的完整性。

　　利用ADI公司的安全認(rèn)證器實現(xiàn)您的IEC 62443目標(biāo)

　　ADI公司的安全認(rèn)證器（也稱為安全元件）旨在滿足這些要求，同時兼顧易于實施和成本效益。為主機處理器提供完整軟件堆棧的固定功能IC是交鑰匙解決方案。

　　因此，安全實施工作委托給ADI公司，器件設(shè)計師可以專注于自己的核心業(yè)務(wù)。安全授權(quán)碼本質(zhì)上是信任的根源，提供根密鑰/秘密和代表設(shè)備狀態(tài)的敏感數(shù)據(jù)（如固件散列）的安全和不可變存儲。它們具有一套全面的加密功能，包括身份驗證、加密、安全數(shù)據(jù)存儲、生命周期管理和安全引導(dǎo)/更新。

　　芯片DNA物理不可克隆功能（PUF）技術(shù)利用晶圓制造過程中自然發(fā)生的隨機變化來生成密鑰，而不是將它們存儲在傳統(tǒng)的閃存EEPROM中。所利用的變異是如此之小，以至于即使是用于芯片逆向工程的最昂貴、最復(fù)雜、侵入性的技術(shù)（掃描電子顯微鏡、聚焦離子束和微探針）也不足以提取密鑰。集成電路之外的任何技術(shù)都無法達到這樣的電阻水平。

　　安全授權(quán)碼還支持證書和證書鏈管理。［9］

　　此外，ADI公司在其工廠提供高度安全的密鑰和證書預(yù)編程服務(wù)，因此原始設(shè)備制造商（OEM）可以接收已經(jīng)提供的器件，這些器件可以無縫加入其公鑰基礎(chǔ)設(shè)施（PKI）或支持離線PKI。它們強大的加密功能支持安全固件更新和安全引導(dǎo)。

　　安全授權(quán)碼是為現(xiàn)有設(shè)計增加高級別安全性的最佳選擇。他們省去了R&D為低BOM成本重新構(gòu)建安全設(shè)備的努力。例如，它們不需要改變主微控制器。例如，在DS28S60和MAXQ1065如圖5所示，安全授權(quán)碼滿足所有級別的IEC 62443-4-2要求。

　　DS28S60和MAXQ1065 3 mm × 3 mm TDFN封裝使其適合最受空間限制的設(shè)計，其低功耗完美解決了最受功耗限制的邊緣器件。

　　表二。DS28S60和MAXQ1065主要參數(shù)匯總

　　已經(jīng)具有滿足IEC 62443-4-2要求的安全功能的微控制器的IACS組件架構(gòu)也可以受益于用于密鑰和證書分發(fā)目的的安全認(rèn)證器。這將使原始設(shè)備制造商或其合同制造商不必投資處理秘密IC證書所需的昂貴制造設(shè)備。這種方法還可以保護存儲在微控制器中的密鑰，以便通過調(diào)試工具（如JTAG）提取。

　　圖5。符合IEC 62443要求的安全授權(quán)碼功能。

　　結(jié)論

　　通過制定和采用IEC 62443標(biāo)準(zhǔn)，IACS利益相關(guān)方為可靠和安全的基礎(chǔ)設(shè)施鋪平了道路。安全授權(quán)碼是未來符合IEC 62443標(biāo)準(zhǔn)的組件的基石，這些組件需要強大的基于硬件的安全性。OEM可以放心地進行設(shè)計，因為他們知道安全授權(quán)碼將幫助他們獲得他們所尋求的認(rèn)證。

　　審核編輯：黃飛