广告

工业物联网安全性设计师指南

时间:2018-10-21 作者:Nitin Dahad 阅读:
不能直接将物联网安全机制移植到工业物联网应用中…
EETC https://www.eet-china.com

我们都听说过物联网(IoT)和工业物联网(IIoT),也知道这两者是不同的,因为物联网通常应用于消费市场,而IIoT则应用于工业领域。但是,像工业因特网联盟(Industrial Internet Consortium;IIC)这样的专业团体到底如何定义IIoT?bBAEETC-电子工程专辑

此团体将IIoT视为一个连接和整合操作技术(Operational Technology;OT)环境的体系,例如工业控制系统(ICS),包含企业系统、商务流程与分析系统。这些IIoT体系与ICS和OT不同,因为它们与其他系统和人员广泛连接,而它们与信息技术(IT)系统不同之处在于,它们使用的传感器和致动器与实体世界相互作用,若产生不可控制的变化时可能会导致危险。bBAEETC-电子工程专辑

传感器或连网设备为封闭系统的一部分,而IIoT的好处是能够收集和分析数据,然后根据数据显示的内容来执行任务。然而,这种连接性也增加了那些可能想要攻击系统的风险,以及越来越多的网络攻击,进而瘫痪系统。bBAEETC-电子工程专辑

英特尔(Intel)正在推动美国能源部(DoE)计划中,减少网络事件的其中一个项目,以提高电力系统边缘(power system edge)的安全性。由于电网边缘(grid edge)设备直接并透过云端平台相互沟通,因此该计划的研究在于提升安全性,着重在互操作性并提供实时情境认知(situational awareness)。bBAEETC-电子工程专辑

首先,在棕地(brownfield)需要透过安全的网关或传统电力系统设备来实现,然后作为绿地(greenfield)的内部现场可程序化逻辑门阵列(field programmable gate array;FPGA)的升级设计,或是做为目前设备的一部分,目标是在不妨碍重要电力输送功能的正常运作方式下,减少网络攻击。bBAEETC-电子工程专辑

英特尔物联网安全解决方案首席架构师兼IIC安全工作小组联合主席Sven Schrecker表示,在为IIoT系统设计和部署设备时,安全不应该是唯一的考虑因素,开发人员应该更广泛地思考以下五个总体关键因素:bBAEETC-电子工程专辑

●功能安全(safety)bBAEETC-电子工程专辑
●信赖性(reliability)bBAEETC-电子工程专辑
●信息安全(security)bBAEETC-电子工程专辑
●隐私性(privacy)bBAEETC-电子工程专辑
●恢复性(resilience)bBAEETC-电子工程专辑

虽然开发工程师可能必须将安全功能加入到芯片、软件或平台中,但他们不一定能意识到他们的工作符合公司对于安全性政策方面所规划的远大目标。Schrecker说:“安全策略必须由IT团队和OT团队共同拟定,以便每个人都知道那些设备能互相沟通。”。bBAEETC-电子工程专辑

建立信任链(Chain of Trust)

主要重点是从一开始就建立安全性政策和信任链,然后在设备的整个生命周期中,透过设计、开发、生产过程来维护它。信任必须建立在设备、网络和整个供应链上。bBAEETC-电子工程专辑

物联网安全基金会(IoT Security Foundation)董事会成员暨Secure Thingz首席执行官和创办人Haydn Povey表示,安全性需要由四个层面着手:bBAEETC-电子工程专辑

●CxO级别(CxO level)bBAEETC-电子工程专辑
●安全架构师(security architect)bBAEETC-电子工程专辑
●开发工程师(development engineer)bBAEETC-电子工程专辑
●营运经理(operations manager)bBAEETC-电子工程专辑

开发或设计工程师需要采用公司的安全性政策,他们也许能定义如何辨识和验证自己的产品、如何安全地提供软件和硬件更新,以及在芯片或软件中加入这些元素。信任链的第四个层面是OEM参与制造IIoT网络产品或部署这些产品的部分。在这里,生产或营运经理需要确认每个电子零件都有自己独特的身份,并且可以在供应链的每个环节进行安全认证。bBAEETC-电子工程专辑

当谈论到硬件和软件缺乏信任链时,MITRE资深主任工程师兼IIC的指导委员会成员Robert Martin说:“连接工业系统有很多不同的技术堆栈(tech stacks)。”他并警告:“事实上,微处理器的微小变化,会对于在此运作的软件产生意想不到的影响。如果我们重新编译软件,在不同的操作系统中执行,将会有不同的运作方式,但没有人能对这些变化所导致的软件故障情况加以解释。”bBAEETC-电子工程专辑

他补充:“在建筑产业,有相应的法规与认证,若进行的变更会影响到安全性,将因此受到处罚。但在软件技术方面则没有类似的管理体制。”bBAEETC-电子工程专辑

IIoT安全性设计考虑因素

那么,从哪里开始为IIoT进行安全性设计,以及必须考虑哪些设计因素?bBAEETC-电子工程专辑

目前有各种产业指南,例如IIC的物联网安全架构及其制造概况,提供在工厂中实施此架构的详细信息,或是美国国家标准暨技术研究院(NIST)的网络安全架构(Cybersecurity Framework)。开发工程师的首要任务是确定如何将安全策略或安全架构应用在IIoT端点的全部或部分设备的设计和生命周期管理上面。bBAEETC-电子工程专辑

考虑范围包含从启用具有唯一身份的设备,到能够保护设备、辨识攻击,并恢复、修复和修补设备。Arm物联网设备解决方案副总裁Chet Babla表示:“此过程与保护其他系统没有什么不同,需要从头开始考虑安全性问题。”bBAEETC-电子工程专辑

他解释:“第一部分是分析什么是入侵载体(threat vectors)?你想保护什么?”Arm去年推出了自己的平台安全架构(PSA),以支持物联网设备的开发人员。Babla表示,PSA与设备无关,因为该公司正在努力鼓励产业考虑安全性问题。bBAEETC-电子工程专辑

分析、架构、建置

PSA架构包括三个阶段——分析、架构和建置。Babla说:“分析是我们努力强调的核心部分。”举例来说,这代表着进行入侵模型分析,Arm已经为资产追踪器、水表和网络摄影机的常用案例导入了三个分析文件,此种分析相当重要,并且得到了其他人的回响。bBAEETC-电子工程专辑

Martin评论:“我们需要开始讨论硬件中潜在的弱点,并能够仿真攻击模式,以及制作测试案例。”设计工程师需要考虑整个生态系统,从芯片到云端,在实施一个包含不可变动的系统、或不可更改身份的设备方面,应启用信任根(RoT),并确保可以安全地执行无线OTA更新和身份验证。Babla说:“然后可以考虑在芯片、接入点和云端进行缓解(mitigation)。”bBAEETC-电子工程专辑

ARM_Platform_Security_Architecture_Flow.pngbBAEETC-电子工程专辑

Arm的PSA鼓励开发人员首先考虑入侵威胁,然后再考虑设计和履行(implementation)。(数据源:Arm)bBAEETC-电子工程专辑

生命周期管理(LCM)

有人认为,将IIoT安全性与传统物联网安全问题区分开来的一个重要考虑因素在于LCM。Povey表示,LCM在软件更新或更改IIoT设备配置时会有影响。在IIoT环境中,连网设备、传感器和控制系统不会或不应该连接到开放网络中。bBAEETC-电子工程专辑

因此,某些类型的设备LCM控制层需要成为IIoT设备的一部分,这可以是用于设备报告、配置和管理的复杂软件。但是,IIoT网络中的安全需求会根据系统中的端点而有所不同,因为它可能包含非IP的智能控制器脱机内部网络,和某种类型的保护或与外部网络隔离的设计,并且还可能有IP或非IP的无线设备和传感器。bBAEETC-电子工程专辑

作为LCM功能的一部分,所有端点设备都需要在工业系统中被管理和控制,这让工厂能在导入、配置和管理端点设备/产品,并加入到内部工厂网络时,能进行控制。bBAEETC-电子工程专辑

IIoT安全解决方案的高阶目标包含以下:bBAEETC-电子工程专辑

●产品端点认证(设备、传感器、控制系统)——端点产品是真的,并非伪造品?提供产品制造商的可追溯性、生产日期和任何其他相关信息。bBAEETC-电子工程专辑
●产品端点配置和使用控制——端点的安全管理和配置控制方面,有各种权限和使用模式之控制或限制。bBAEETC-电子工程专辑
●端点控制状态的安全控制。bBAEETC-电子工程专辑
●端点维护——包括安全的软件更新。控制系统和端点间的安全通讯,以及确保控制系统数据在储存方面的安全性。bBAEETC-电子工程专辑
●进阶安全防护——入侵检测和安全监控。bBAEETC-电子工程专辑

在较低层级启用此端点产品安全的基础,是以下对于端点设备的要求:bBAEETC-电子工程专辑

●不可变更的设备身份——设备必须具有不可更改/受保护的身份,必须透过加密方式进行验证。产品能辨识自己并验证出谁是制造者、相关日期和其他信息。bBAEETC-电子工程专辑
●不可变更的RoT——除了设备身份之外,还有配置到产品中的RoT。其中包括低阶的安全启动程序(secure boot manager)、认证和非对称密钥组,允许设备支持双边身份验证并启用安全软件更新。RoT的某些部分要求密钥和其他项目应在某种类型的安全储存区域中受到保护,以防止密钥信息从产品中被提取。bBAEETC-电子工程专辑
●不可变更的安全性启动程序——某种类型的低阶安全启动程序,可在应用之前,验证设备/产品的所有韧体和配置更新。只有安全启动管理程序才能安装并将低阶的配置更新应用于端点设备/产品。bBAEETC-电子工程专辑
●LCM软件/服务——某种类型的低阶LCM控制服务,可以管理端点产品,包括软件更新和配置更改。bBAEETC-电子工程专辑

SecureThingzSecureDeviceFramework.jpgbBAEETC-电子工程专辑
bBAEETC-电子工程专辑
设计时,考虑到设备层级的安全性与物联网设备的整个生命周期。(数据源:Secure Thingz)bBAEETC-电子工程专辑

安全区域(Security enclaves)

Povey表示:“在设备采购方面,受到一些因素影响,例如启用标准机制以推出更新、此更新将如何储存在边缘设备,以及设备和内存资源影响等因素。”bBAEETC-电子工程专辑

他并补充:“你需要考虑安全区域,以及隐藏秘密和基本密钥的位置,还有如何为设备添加水印。”工程师应该在不考虑芯片商与架构的情况下,在开发环境中将这些因素纳入考虑。一般的产业共识是,安全组件确实需要嵌入到硬件中,以确保其可信任度,因为芯片级加密可以被执行和保护。bBAEETC-电子工程专辑

GE电力、自动化和控制部门控制和边缘平台总经理Rich Carpenter说:“我们试图从硬件层开始建立RoT,且我们的深度防御(defense-in-depth)机制要求入侵发生时,不会透过系统进行传播。”他还提到,GE使用现成的可信任平台模块(TPM),并采用英特尔和AMD处理器。bBAEETC-电子工程专辑

英特尔预期将从硬件着手。Schrecker说:“拥有硬件RoT非常重要。硬件身份刻录到系统中,并具有芯片层级的身份,这代表着它可以被追踪,而重要地是能确保芯片不是伪造的,并且能够进行身份验证和更新。”他补充,硬件安全性并不能取代软件安全性,只是提高了安全性。bBAEETC-电子工程专辑

总之,在设计IIoT设备的安全性时,关键的考虑因素是使设备不可变更(immutable)、能够提供可信任和安全的启动,并在整个生命周期内管理设备安全性,其中还包括OTA软件更新和修补。bBAEETC-电子工程专辑

在发生攻击的情况下,需要有一种方法可以准确地识别设备,将其恢复到之前已知的良好状态,然后能够适时在攻击点(point of attack)解决问题。将这些原则考虑在内,是进到下一步—硬件部署(hardware implementation)的良好开始。bBAEETC-电子工程专辑

qrcode_EETCwechat_120.jpgbBAEETC-电子工程专辑

关注最前沿的电子设计资讯,请关注“电子工程专辑微信公众号”bBAEETC-电子工程专辑

EETC https://www.eet-china.com
本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
Nitin Dahad
EE Times欧洲记者。Nitin Dahad是EE Times的欧洲记者。
您可能感兴趣的文章
  • 五步打造关键战略合作伙伴,ADI突破工业4.0落地的普遍焦 很明显,这是一场技术变革的竞速赛,在政策和市场的双重推动下,全球各大厂商纷纷大力发展智能制造技术,加速其落地。然而,就如F1赛道,如果缺乏娴熟的技术则会欲速不达,而跟随观望注定提前出局。“当下是投资的合适时机吗?能否升级现有系统,还是必须全部安装新系统?今天投资真会有回报吗……这是当前面临工业4.0即将落地的趋势下企业普遍存在的困惑。”ADI中国区工业自动化行业市场部经理于常涛(Roger)指出。
  • 老旧工业系统的智能化春天何时到来? “很多客户都认为自己的老旧设备其实状况还不错,希望尽可能保留原有的架构。如果要转型使用新系统、新架构,他们必须要考虑成本。”风河(Wind River)公司工业解决方案副总裁Ricky Watts日前在接受《电子工程专辑》采访时表示,成本,是全球工业市场在转型时面临的首要问题。
  • 实现中国芯智能制造,需要什么样的AI? 人类社会在经历了三次工业革命后,当前在工业4.0的推动下,各国正展开新一轮的工业转型竞赛。中国正处于智能制造初期,大部分企业还处于工业2.0迈向3.0阶段,这些企业在转型期间最关注实现工业自动化的软件。什么样的工业自动化软件,能帮助中国半导体和电子产品制造厂商实现智能制造呢?
  • 史上最高集成度PLC平台重构智能工厂网络 在尺寸只有信用卡一半大小的封装中集成了17个可配置IO,与Pocket IO相比,方案尺寸缩小10倍,功耗降低50%。
  • 如何建立从传感到云的自主工业系统 作为物联网和机器人设备的硬件支持模块,其最主要的构建组块包括感知、连接、控制和处理三部分,而TI则是业界为数不多的几家能够“实现从传感器到云的自治系统”的公司之一……
  • 四大颠覆力量,塑造汽车电子的变与不变 在刚刚结束的2018年第一季度中,赛普拉斯(Cypress)汽车电子业务取得了骄人的业绩。汽车电子营收占公司总营收的34%,同比增长15%。
相关推荐
    广告
    近期热点
    广告
    广告
    广告
    可能感兴趣的话题
    广告