近年来,对OT环境的攻击越来越多。尽管几十年前首次引入这些系统时,物理隔离(AirGapping)已可以提供足够的保护,但不可忽视的事实是,关键任务和工业流程现在都容易受到入侵和破坏。随着伴随发展而面临的各种挑战,ICS(工业控制系统)安全已迅速成为大多数关键基础设施和工业组织的主流需求,无论其规模、位置或领域。虽然IT团队对信息安全并不陌生,但是通常在ICS中工作的OT同行却从未在连接互联网的网络中工作过。而伴随着现在越来越多的ICS和OT环境开始紧密相连,IT团队常常不知道如何在此类环境中处理威胁,从而使很多IT和OT团队不确定确切的安全责任在哪里。
虽然目前ICS网络安全标准和准则正在建立中,以确保工厂的安全,但它们却没有提供有关如何加速工业4.0计划的指导。作为高性能模拟技术提供商的ADI公司,工业应用在其营收中占据第一的份额,近年来ADI进一步加强布局工业4.0,他们迅速认识到了工业4.0为市场带来的相关安全挑战,因此通过扩展安全终端并使其更易于实施安全性,从而使客户能够更快速地采用工业4.0解决方案。
图1.终端设备需要转型以适应工业4.0的采用
认清工业4.0中的ICS安全本质
工业4.0的本质是增加对工厂中设备控制的访问权限和可访问性。这意味着对数据的访问权限增加以扩大透明度,减少网络规划,缩减资本支出,降低运营支出,提高带宽并优化机器互通。增加对控制的访问权限和可访问性意味着工厂系统的网络安全风险评估正在发生变化。ICS网络安全解决方案需要适应不断变化的风险,而传统实施于系统的防范措施(例如设置防火墙和将设备置于闭锁门之后)与工业4.0的目标相背。这意味着需要对设备进行安全加固,以便在确保安全的方法中实现更多功能。为了实现可信数据和安全操作,身份和完整性将成为此领域中每个设备的核心。
ADI公司在扩展安全终端方面拥有独特的优势。其传统市场空间位于物理终端,即将现实世界转换为数字信号并生成数据的地方。这使得ADI有机会通过在信号链中更早地提供身份和完整性来建立可信数据,并构建安全终端的全新定义。在信号链中将安全终端进一步向下扩展,其前景非常有吸引力,因为这使得基于该数据的决策具有更高的可信度。在信号链中越早建立身份和完整性,就可以在驱动决策的数据中建立更高的信任和可信度。
图2.实现最高可信度的决策:就在实现从物理到数字转换的地方
如何建立更高可信度?你需要全新的连接方法
因此,实现工业4.0需要工厂采用新的连接方法。这意味着以太网已经并将继续在工业控制系统中发挥更大的作用。ADI公司的安全策略是关注以太网连接的位置,因为这会显著改变网络中任何一台设备对系统的影响。
通常情况下,网络连接设备的连接方式需要能够通过网络上的其他设备进行验证,设置共享密钥,对数据执行签名,以及验证接收到的数据。我们可以使用标准方法做到上述这些,但是工厂存在一些限制,在某些用例中,实现安全性有一定难度。例如,运动控制应用对时间的敏感性会导致产生延迟容限,这导致使用传统方法实施设备间验证时遇到阻碍。通过使用标准公共密钥基础设施,设备间彼此挑战,以确立真实性,并使用TLS等方法来交换共享会话密钥。
许多工厂应用已采用这种方法,但是,这种方法不适合高速运动控制应用,因为许多设备都需要在特定的时间范围内进行互操作。当延迟要求以毫秒为单位时,必须选择合适的消息验证方案,以达到所需的安全和速度水平。从控制器到控制环路上所有设备的数据需要同时接收。有效实现这种数据流动的一种方法是所有设备都使用相同的共享会话密钥。这需要采用独特的网络配置,让所有设备都能够通过安全管理器实施验证,该安全管理器会为指定安全组中的所有设备提供相同的会话密钥。这些密钥使用标准TLS进行交换,并在时间关键型操作期间恢复使用替代协议。
图3.终端设备运行环境
确保每个网络节点的安全,ADI这样做
ADIChronous™工业以太网连接解决方案的产品系列支持在控制环路的边缘实现安全通信。其设备位于通信端点,能够保护系统内每个节点的网络通信安全,同时尽量减少在功率、性能和延迟之间的取舍。这些可扩展以太网解决方案提供在高度时间敏感型应用中扩展安全性的方法,以应对不断变化的安全风险,例如:
●保护工厂控制网络的边缘安全,以建立弹性和可信架构。
●允许在集成OT/ITTSN网络内安全连接机器人、驱动器和生产机器。
●在高度时间关键型应用环境中(根据需要)提供身份验证和加密方式。
利用ADI的安全开发流程,该工业以太网解决方案可确保安全设计支持系统应用,同时支持在整个产品生命周期内管理风险。ADI的工业以太网解决方案提供多种安全特性,例如密钥生成/管理、安全引导、安全更新和安全存储器访问。在工业控制环路边缘设备中集成安全性将提供扩展解决方案所需的数据可信度,从而能够在工厂环境中做出实时决定。通过确保达到以下各项要求,加速迈向工业4.0:
●机器/工人安全
●可靠操作
●产品质量
●正常运行时间和吞吐量
●生产效率
●生产指标和洞察力
总结
随着工业领域不断采用智能化程度更高的传感器,工厂连接将越来越向下扩展,从而推动了设备层面额外的安全需求。ADI通过开发安全产品组合,以使ICS安全解决方案的采用更加简单高效,并在终端建立信任,以便加速工业4.0的采用。
