设计师需要了解的有关 IIoT 安全的知识

编者按：本文是 AspenCore Media 的 IIoT 网络安全特别报告的一部分。

EE Times 欧洲记者 Nitin Dahad

我们都听说过物联网 (IoT) 和工业物联网 (IIoT)。我们知道两者是不同的：物联网通常用于消费者用途，而工业物联网用于工业用途。 

但是像工业互联网联盟（IIC）这样的专业团体实际上是如何定义 IIoT 的呢？ 

该组织将 IIoT 视为一个将包括工业控制系统 (ICS) 在内的运营技术 (OT) 环境与企业系统、业务流程和分析相连接和集成的系统。 

这些 IIoT 系统与 ICS 和 OT 不同，因为它们广泛连接到其他系统和人员。它们与 IT 系统的不同之处在于它们使用与物理世界交互的传感器和执行器，其中不受控制的变化可能导致危险情况。 

IIoT 的好处是传感器或连接设备能够作为闭环系统的一部分收集和分析数据，然后根据数据显示的内容进行操作。然而，这种连接性也增加了攻击的风险——以及越来越多的网络攻击——那些可能想要破坏系统的人。 

能源部 (DoE) 计划下 的 众多减少网络事件的项目之一是由英特尔推动的，旨在增强电力系统边缘的安全性。

由于网格边缘设备直接通过云相互通信，因此该研究正在开发安全增强功能，以强调互操作性并提供实时态势感知。 

首先，这需要以用于棕地或传统电力系统设备的安全网关的形式完成，然后作为设计为绿地或当今设备的一部分的内部现场可编程门阵列 (FPGA) 升级。 

目标是以不妨碍关键能量输送功能正常运作的方式减少网络攻击面。 

英特尔物联网安全解决方案首席架构师兼 IIC 安全工作组联合主席 Sven Schrecker 表示，在为 IIoT 系统设计和部署设备时，安全性不应成为唯一考虑因素，开发人员应该更广泛地考虑五个总体关键因素： 

安全

可靠性

安全

隐私

弹力

虽然设计工程师可能必须在芯片、软件或平台中实现安全元素，但他们可能不一定知道他们的工作如何适应公司更大的安全策略。“安全策略必须由 IT 团队和 OT 团队共同制定，以便每个人都知道允许哪些设备与哪些设备进行通信，”Schrecker 说。 

建立信任链一个共同的主题是从一开始就建立安全策略和信任链，然后确保它在设备的设计、开发、生产和整个生命周期中得到维护。信任必须建立在设备、网络和整个供应链中。 

物联网安全基金会董事会成员、Secure Thingz 首席执行官兼创始人 Haydn Povey 表示，需要从四个层面解决安全问题： 

CxO 水平

安全架构师

开发工程师

运营经理

开发或设计工程师是需要采取公司安全策略的人。他们还可以定义一些因素，例如如何识别和验证产品是否属于他们，以及如何安全地提供软件和硬件更新并在芯片或软件中实现这一点。 

链条的第四部分是 OEM 参与制造 IIoT 网络产品或部署这些产品的地方。在这里，生产或运营经理需要确保每个电子元件都有自己的唯一身份，并且可以在供应链的每个环节安全地进行身份验证。 

在讨论缺乏对硬件和软件的信任链时，MITRE 公司高级首席工程师兼 IIC 指导委员会成员罗伯特·马丁说：“互联工业系统有很多不同的技术堆栈。” 

事实上，他警告说，“微处理器中的微小变化可能会对运行在其上的软件产生意想不到的影响。如果我们重新编译软件并在不同的操作系统上运行它，它的工作方式会有所不同，但没有人会对更改导致的软件故障负责。” 

他补充说：“将这与建筑行业进行比较，你会因为做出影响安全的改变而受到惩罚——有法规、认证。但我们只是在基于软件的技术方面没有相同的制度。” 

工业物联网安全的设计考虑那么从哪里开始为工业物联网设计安全性，以及必须考虑哪些设计考虑？ 

存在各种行业指南，例如 IIC 的物联网安全框架 及其 制造配置文件 ，为在工厂中实施该框架或美国 国家标准与技术研究院网络安全框架提供了详细信息。 

设计工程师的主要任务是确定如何将安全策略或安全框架转化为构成 IIoT 端点的全部或一部分的设备的设计和生命周期管理。 

考虑范围从启用具有唯一身份的设备到能够保护设备、识别攻击、从中恢复、修复和修补设备。 

“这个过程与保护其他系统没有什么不同，”Arm 物联网设备解决方案副总裁 Chet Bablalk 说。“我们需要从头开始考虑安全性。” 

他解释说：“第一部分是分析——威胁向量是什么，你想保护什么？” 

Arm 去年推出了自己的平台安全架构 (PSA)，以支持物联网设备的开发人员。Babla 说，PSA 与设备无关，因为该公司正试图鼓励行业考虑安全性。 

分析、架构、实施PSA 框架包括三个阶段——分析、架构和实施。“分析是我们试图强调的核心部分，”巴布拉说。 

这意味着，例如，进行威胁模型分析，Arm 为资产跟踪器、水表和网络摄像机的常见用例引入了三个分析文档。这种分析是必不可少的，并得到其他人的赞同。 

MITRE Corp. 的 Martin 评论说：“我们需要开始讨论硬件中的潜在弱点，并能够模拟攻击模式并制作测试用例。”

设计工程师需要考虑从芯片到云的整个生态系统，以实现包含不可变设备或具有不可更改身份的设备的系统；启用可信启动；并确保可以安全地执行无线 (OTA) 更新和身份验证。“然后你可以考虑在硅、接入点和云中进行缓解，”Babla 说。

Arm 的 PSA 框架鼓励设计人员首先考虑威胁，然后再考虑设计和实施。（来源：手臂）

生命周期管理有人说将 IIoT 安全与传统 IoT 安全问题区分开来的一个重要考虑因素是生命周期管理 (LCM)。 

Secure Thingz 的 Povey 表示，LCM 会影响何时将软件更新或配置更改部署到 IIoT 设备。在 IIoT 环境中，通常连接的设备、传感器和控制系统不会或不应该连接到开放的互联网。 

因此，某种类型的设备 LCM 控制层需要成为 IIoT 设备的一部分。这可能是用于报告、配置和管理设备的复杂软件。 

但 IIoT 网络中的安全需求因系统中的端点而异，因为它可能包括非基于 IP 的智能控制器的离线内部网络和与外部互联网的某种类型的保护或隔离，并且还会有无线可能基于也可能不基于 IP 的设备和传感器。 

作为 LCM 功能的一部分，所有端点设备都需要在工业系统中进行管理和控制。 

这允许工业工厂控制添加到内部工厂网络的端点设备/产品的引入、配置和管理。 

IIoT 安全解决方案的一些高级目标是： 

产品端点认证（设备、传感器、控制系统）——端点产品是真实的，而不是复制品吗？提供追溯到产品制造商、制造日期和任何其他相关信息的可追溯性。

产品端点配置和使用控制——端点的安全管理和配置控制，具有受控或限制的各种权限和使用模型。

端点控制状态的安全控制

端点的维护——这包括安全的软件更新。

控制系统和端点之间的安全通信以及控制系统数据的安全存储。

高级安全保护——入侵检测和安全监控。

在较低级别启用此端点产品安全性的基础是对端点设备的以下要求： 

不可变的设备身份——设备必须具有不可更改/受保护的身份，该身份必须可以通过加密方式进行验证。这允许产品识别自己并验证制造者、相关日期和其他信息。

不可变信任根 (RoT) — 除了设备身份之外，产品中还配置了 RoT。其中包括允许设备支持双边身份验证并启用安全软件更新的低级安全引导加载程序、证书和非对称密钥对。RoT 的某些部分要求将密钥和其他物品保存在某种类型的安全存储区域中，以便它们不能轻易地从产品中取出。

不可变的安全引导加载程序——某种类型的低级安全引导管理器，在应用之前验证设备/产品的所有固件和配置更新。只有安全启动管理器可以安装低级配置更新并将其应用到端点设备/产品。

LCM 软件/服务——某种类型的低级 LCM 控制服务，可以管理端点产品，包括软件更新和配置更改。

安全飞地 Secure Thingz 的 Povey 说：“设备采购受诸如启用标准机制以推出更新、更新将如何存储在边缘设备上以及设备和内存资源影响等因素的影响。” 

他补充说，“你需要考虑安全飞地，隐藏秘密和基本密钥的位置，如何给设备加水印。” 工程师应考虑允许独立于芯片供应商和架构考虑这些因素的开发环境。 

普遍的行业共识是，安全元素确实需要在硬件中以确保嵌入式信任，因为可以强制执行和保护芯片级加密。 

GE 电力、自动化和控制部控制和边缘平台总经理 Rich Carpenter 说：“我们试图建立从硬件层面开始的信任根。我们的‘纵深防御’方法要求，如果发生妥协，它不会通过系统传播。” 

他说，通用电气使用现成的可信平台模块 (TPM)，并与英特尔和 AMD 处理器合作。 

不出所料，英特尔专注于硬件方法。Schrecker 说：“拥有硬件信任根至关重要。基于硬件的身份被刻录到系统中，并且在芯片级别拥有身份意味着可以对其进行跟踪。但关键是要能够确保芯片是真实的，以便能够进行身份验证和更新。” 

他补充说，基于硬件的安全不会取代软件安全。它只是增强了它。 

总之，在设计 IIoT 设备安全性时的关键考虑因素是使设备不可变、能够提供可信和安全的启动，以及在包括 OTA 软件更新和补丁在内的整个生命周期内管理设备安全性。

如果发生攻击，需要有一种方法来准确识别设备，将其恢复到以前已知的良好状态，然后能够在攻击点适当地解决问题。考虑到这些原则是进行下一步——硬件实施的良好开端。

审核编辑  黄昊宇