2010年,“震网”蠕虫通过外围设备U盘,侵入控制网络,更改PLC中的程序和数据,对伊朗的核设施造成了严重的破坏;2014年,黑客集团Dragonfly制造“超级电厂”病毒,能够阻断电力供应或破坏、劫持工业控制设备,全球上千座发电站遭到攻击;2016年,乌克兰电力公司的网络系统遭到黑客攻击,导致大规模的停电,成千上万的家庭在黑暗中度过……
自德国汉诺威工业博览会提出工业4.0战略开始,全球都刮起了第四次工业革命的热潮,工业化与信息化的融合趋势日渐明显,但其孱弱的保护机制成为了工业网络的短板,如果不加以重视,上面的工业安全事故只会越来越多!根据Gartner旗下CEB最新的调查发现,近20%的企业机构在过去三年内至少观察到一次基于物联网的攻击,智能化工业要想继续稳定发展,首当其冲需要解决的就是工业控制系统的网络安全问题。对此,作为适应IIoT和工业4.0大趋势的面向未来产品的主要供应商之一的ADI提出了具体解决方案。
工业4.0的安全忧思下,ADI种入“信任根”
目前,为了有效解决问题,在整个工业领域中依旧存在将网络安全问题视为IT问题的情况,保障工业控制系统安全(ICS)依赖于限制对网络和设备的访问,通过信息技术(IT)解决方案监控网络流量。
然而随着工业4.0的出现,工厂中设备控制的访问权限和可访问性逐渐增加。这意味着对数据的访问权限增加以扩大透明度,减少网络规划,缩减资本支出,降低运营支出,提高带宽并优化机器互通。由此可见,传统方法(例如设置防火墙和将设备置于闭锁门之后)与工业4.0的目标相悖,将不再足以保障ICS安全。
ADI认为要保证数据的安全性,安全功能应当尽早实施,最好是在系统信号链开始的时候,也就是从实际的物理世界转向数字世界的时候。这个期间就是“最有效点”。这个最有效点要求高度有效的数据完整性和硬件身份识别,如此才能实现最高级别的数据安全性,使得操作系统对数据安全有信心。在硬件级别实现身份识别和完整性,即将保护特性嵌入硅片中,是产生适当数据安全性的最有希望的方法。这就是所谓信任根开始的地方。
信任根是一组相关的安全功能,其将设备中的加密过程作为一个很大程度上独立的计算单元加以控制。为实现安全数据传输,通常要按顺序一环套一环地执行一系列步骤,控制硬件和软件组件。各个步骤的顺序确保数据通信按照期望无害地进行。所有这些安全功能都应放在单独的受保护执行环境中,与设备的实际应用分开,保证代码中没有可能导致设备间接损坏的错误。
多个维度入手,ADI这样植入工业4.0的“信任根”
ADI公司为了满足工业环境中日益增长的安全需求,一直致力于在其产品和开发中植入信任根的概念,在所有联网的地方引入安全性。为其关注的领域或行业提供适当的抗攻击产品,从而确保客户信任度最高,并显著提高其应用的价值。
植入“信任根”,可以从可靠性和功能安全入手。ADI认为功能安全在工业 4.0 中发挥着重要作用,ADI还将工业应用中所用集成电路设计的功能安全标准IEC 61508来扩展业已非常严格的新产品开发流程,确保 IEC61508 要求的额外安全计划、安全分析、验证和确认得以执行。
信号隔离是实现工业功能安全中的一个重要方面。ADI专利的数字隔离技术iCoupler®很好的替代了传统的光耦隔离,实现了更加安全、可靠且EMC鲁棒的解决方案。iCoupler系列数字隔离产品已经过测试,并获得多家监管机构认证,包括UL、CSA、VDE、TüV、CQC、ATEX和IECEx,不会因为电气条件恶劣的工业环境中可能出现的高压瞬变和电涌等而受到影响。这种增强的EMC鲁棒性可缩短系统的设计和测试时间,从而加快上市时间。
工业4.0,网络连接将是安全最重要的部分之一。为解决工业以太网的连接,ADI推出了多协议交换芯片fido5000系列,以应对未来的工业4.0应用各种常见的网络拓扑,而所有这些都由单个硅片解决方案实现。更关键的是fido5000支持时间敏感型网络 (TSN),未来基于TSN的工业以太网应用的需求将能够满足运动控制或安全等应用非常苛刻的实时要求。
除此之外,ADI还提供了基于fido5000电路板级完整解决方案的RapID平台。RapID平台实现了所有常见的工业以太网协议,可轻松集成到非以太网现场设备中,使得现场设备能够满足工业4.0应用的要求。RapID平台另一个重要功能是动态集成的Web服务器。通过此功能,它允许用户很方便得读取和修改网络参数,输入及输出数据。并且能够实现多项安全功能,包括提供密钥生成/管理、安全启动、安全更新和安全存储器访问,从而防止网络绑定攻击。
工业应用中无线网络连接的安全性更加敏感,而ADI的SmartMesh嵌入式无线传感器网络在最具挑战性的环境中>99.999% 的数据可靠性,从而从功能上确保数据传输的可靠安全性。而特别值得一提的是,SmartMesh还具有加密、身份验证和消息完整性检查功能,更进一步保证传感器网络在数据前端传输的安全性。
此外,ADI现提供基于硬件的新型身份识别解决方案,可在工厂控制环路内实现网络边缘的安全性,并改善现场设备的安全状况以满足安全标准和要求。通过将安全功能与TSN特性相结合,ADI在工业网络边缘实现了最先进的现场设备通信解决方案,以易于使用的模式加快客户产品上市和工业4.0的采用,ADI将来的1Gbps TSN (switch 芯片 + PHY芯片) 将进一步帮助解决工业现场高可靠性网络带宽问题。
本文结语
如何在工业4.0的应用中尽早植入信任根?一个决定性因素是在项目定义阶段及早与这方面的领先解决方案企业展开合作。这样,最基本的安全要求将能被纳入设计中,从而保护整个信号链。因此,身份可能直接在信号链的传感器节点处就已经嵌入物理层面,确保用户对数据通信的安全性更有信心。本文从工业应用中的安全考虑着手,给出了ADI的思考和方法论,对迎接即将到来的未来工业变革将有借鉴意义。
(转载)
