IEC 62443 系列标准：如何防御基础设施网络攻击

本文探讨了IEC 62443系列标准的基本推理和优势，这是一组旨在确保网络安全弹性的协议 保护关键基础设施和数字化工厂。这一领先的标准提供了广泛的安全层;然而，它给那些寻求认证的人带来了一些挑战。我们将解释安全IC如何为努力实现工业自动化控制系统（IACS）组件认证目标的组织提供必要的帮助。

介绍

尽管网络攻击可能越来越复杂，但IACS以前在采取安全措施方面进展缓慢。这部分是由于缺乏此类系统的设计者和操作员的共同参考。IEC 62443系列标准为更安全的工业基础设施提供了一条前进的道路，但企业必须学习如何应对其复杂性并了解这些新挑战，以便成功利用它。

工业系统面临风险

配水、污水和电网等关键基础设施的数字化使得不间断的访问对日常生活至关重要。然而，网络攻击仍然是这些系统中断的原因之一，预计它们还会增长。

工业 4.0 需要高度连接的传感器、执行器、网关和聚合器。这种增加的连接性增加了潜在网络攻击的风险，使安全措施比以往任何时候都更加重要。美国网络安全和基础设施安全局（CISA）等组织的成立说明了其重要性，并表明了对保护关键基础设施和确保 他们抵御网络攻击的弹性。2

为什么选择IEC 62443？

2010年，Stuxnet的出现将工业基础设施推向了脆弱状态。3Stuxnet是世界上第一个公开的网络攻击，表明攻击可以成功地从远处针对IACS。随后的攻击巩固了工业基础设施可能通过针对特定类型设备的远程攻击而受到损害的认识。

政府机构、公用事业公司、IACS 用户和设备制造商很快明白 IACS 需要得到保护。虽然政府和用户自然倾向于组织措施和安全策略，但设备制造商调查了可能的硬件和软件对策。然而，由于以下原因，安全措施的采用缓慢：

基础设施的复杂性

利益相关者的不同利益和关注点

各种实施和可用选项

缺乏可衡量的目标

总体而言，利益相关者在确定适当的安全级别方面面临着不确定性，即如何仔细平衡保护与成本。

国际自动化学会（ISA）成立了工作组，在ISA99倡议下建立共同参考，最终导致了IEC 62443系列标准的发布。这组标准目前分为四个级别和类别，如图 1 所示。由于其全面的范围，IEC 62443标准包括组织政策，程序，风险评估， 以及硬件和软件组件的安全性。该标准的完整范围使其具有独特的适应性并反映了当前的现实。此外，ISA在解决IACS中涉及的所有利益相关者的各种利益时采取了综合方法。一般来说，安全问题因利益相关者而异。例如，如果我们考虑知识产权盗窃，IACS 运营商 将对保护制造过程感兴趣，而设备制造商可能关心保护人工智能 （AI） 算法免受逆向工程。

图1.IEC 62443 是一项全面的安全标准。

此外，由于 IACS 本质上很复杂，因此必须考虑整个安全范围。如果没有安全设备的支持，仅靠程序和策略是不够的，而如果程序没有正确定义其安全使用，则健壮的组件将毫无用处。

图 2 中的图表显示了 IEC 62443 标准通过 ISA 认证的采用率。正如预期的那样，由行业主要利益相关者定义的标准加速了安全措施的实施。

图2.一段时间内的 ISA 认证数量。4

获得IEC 62443合规性：一项复杂的挑战

IEC 62443 是一个非常全面和有效的网络安全标准，但其复杂性可能是压倒性的。文件本身的长度接近1000页。获得对网络安全协议的清晰理解涉及学习曲线，并且超出了吸收技术语言的范围。IEC 62443中的每个部分都必须理解为一个更大整体的一部分，因为这些概念是相互依赖的（如图3所示）。

例如，根据IEC 62443-4-2，必须针对整个IACS进行风险评估，其结果将决定确定设备目标安全级别的决策。5

图3.认证过程的高级视图。

设计符合IEC 62443标准的设备

最高安全级别要求实施硬件

IEC 62443 以简单的语言定义了安全级别，如图 4 所示。

图4.IEC 62443 安全级别。

IEC 62443-2-1 要求进行安全风险评估。作为此过程的结果，每个组件都被分配一个目标安全级别 （SL-T）。

如图1和图3所示，标准的某些部分涉及流程和程序，而IEC 62443-4-1和IEC 62443-4-2则涉及组件的安全性。符合 IEC 62443-4-2 标准的组件类型包括软件应用程序、主机设备、嵌入式设备和网络设备。对于每种组件类型，IEC 62443-4-2 根据它们满足的组件要求 （CR） 和需求增强 （RE） 定义功能安全级别 （SL-C）。表1总结了SL-A，SL-C，SL-T及其关系。

 

	目标安全级别	功能安全级别	达到安全级别
缩写	（SL-T）	（SL-C）	（SL-A）
定义	设备应根据系统级风险评估达到的安全等级	安全级别设备能够根据其支持的 CR 符合 IEC 62443-4-2	设备达到的安全级别
目的	由风险评估定义的SL-T ≥水平	SL-C ≥ SL-T	SL-A ≥ SL-T

 

让我们以网络连接的可编程逻辑控制器（PLC）为例。网络安全要求对 PLC 进行身份验证，以免它成为攻击的入口。一种众所周知的技术是基于公钥的身份验证。关于IEC 62443-4-2：

级别 1 不考虑公钥加密

级别 2 需要常用的流程，例如证书签名验证

级别 3 和 4 要求对身份验证过程中使用的私钥进行硬件保护

从安全级别 2 开始，需要许多安全功能，包括基于涉及密钥或私钥的加密机制。对于安全级别 3 和 4，在许多情况下需要对安全或加密功能进行基于硬件的保护。这就是工业组件设计人员将从交钥匙安全IC中受益的地方，嵌入基本机制，例如：

安全密钥存储

侧信道攻击防护

负责功能（如）的命令

消息加密

数字签名计算

数字签名验证

这些交钥匙安全IC使IACS组件开发人员无需将资源投入到复杂的安全基元设计中。使用安全IC的另一个好处是，从本质上可以利用通用功能和专用安全功能之间的自然隔离。当安全集中在一个元素中而不是分散在整个系统中时，更容易评估安全功能的强度。从这种隔离中还可以保留对组件的软件和/或硬件修改的安全功能验证。无需执行升级 需要重新评估整个安全功能。

此外，安全IC供应商可以实现在PCB或系统级别无法实现的极强保护技术。强化的EEPROM或闪存或物理不可克隆功能（PUF）就是这种情况，可以实现对最复杂攻击的最高级别的抵抗力。总体而言，安全IC是构建系统安全性的良好基础。

边缘安全

工业 4.0 意味着随时随地进行传感，因此需要部署更多的边缘设备。IACS 边缘设备包括传感器、执行器、机械臂、带有 I/O 模块的 PLC 等。每个边缘设备都连接到高度网络化的基础设施，并成为黑客的潜在切入点。不仅攻击面与设备数量成比例地扩展，而且设备的不同组合本身也会扩展攻击媒介的多样性。“鉴于现有平台，有很多可行的攻击媒介，端点和边缘设备的暴露率都在增加，”应用程序安全和渗透测试供应商SEWORKS的首席技术官Yaniv Karta说。例如，在复杂的IACS中，并非所有传感器都来自同一供应商，也不共享相同的架构，在微控制器、操作系统或通信堆栈方面。每种架构都有其自身的弱点。结果，IACS积累并暴露在其所有漏洞中，如图所示 由 MITRE ATT&CK 数据库6 或 ICS-CERT 公告提供。7

此外，随着工业物联网物联网（IIoT）在边缘嵌入更多智能的趋势，8正在开发设备来做出自主系统决策。因此，确保设备硬件和软件可信更为重要，因为这些决策对安全、系统操作等至关重要。此外，保护 设备开发人员免受盗窃（例如，与AI算法相关）是一个常见的考虑因素，可以推动采用交钥匙安全IC可以支持的保护的决定。

另一个重要的一点是，网络安全不足可能会对功能安全产生负面影响。功能安全和网络安全交互很复杂，讨论它们值得单独写一篇文章，但我们可以强调以下内容：

IEC 61508：电气/电子/可编程电子安全相关系统的功能安全要求基于IEC 62443进行网络安全风险分析。

虽然IEC 61508主要侧重于危害和风险分析，但每次网络安全事件严重时，它都会要求进行后续的安全威胁分析和漏洞分析。

我们列出的IACS边缘设备是嵌入式系统。IEC 62443-4-2 定义了这些系统的特定要求，例如恶意代码保护机制、安全固件更新、物理防篡改和检测、信任根配置以及启动过程的完整性。

利用ADI的安全认证器满足您的IEC 62443目标

ADI公司的安全认证器（也称为安全元件）旨在满足这些要求，同时兼顾易于实施和成本效益。带有主机处理器完整软件堆栈的固定功能IC是交钥匙解决方案。

因此，安全实施委托给ADI，元件设计人员可以专注于其核心业务。安全身份验证器本质上是信任的根，提供安全且不可变的根密钥/机密和代表设备状态的敏感数据（例如固件哈希）的存储。它们具有一套全面的加密功能，包括身份验证、加密、安全数据存储、生命周期管理和安全启动/更新。

芯片基因™物理不可克隆功能（PUF）技术利用晶圆制造过程中自然发生的随机变化来生成加密密钥，而不是将其存储在传统的闪存EEPROM中。利用的变化是如此之小，以至于即使是用于芯片逆向工程的昂贵、最复杂、侵入性技术（扫描电子显微镜、聚焦离子束和微探测）提取密钥的效率也很低。集成电路以外的任何技术都无法达到这样的电阻水平。

安全身份验证器还支持证书和证书管理链。9

此外，ADI在其工厂提供高度安全的密钥和证书预编程服务，以便原始设备制造商（OEM）可以接收已经配置的器件，这些器件可以无缝加入其公钥基础设施（PKI）或启用离线PKI。其强大的加密功能可实现安全固件更新和安全启动。

安全认证器是为现有设计添加高级安全性的最佳选择。它们节省了以较低的BOM成本重新构建设备以确保安全性的研发工作。例如，它们不需要更换主微控制器。例如，DS28S60和MAXQ1065安全认证器满足IEC 62443-4-2的所有要求，如图5所示。

DS28S60和MAXQ1065采用3 mm×3 mm TDFN封装，适合空间受限的设计，其低功耗完美地满足了最受功耗限制的边缘器件的需求。

图5.安全认证器具有符合 IEC 62443 要求的功能。

 

设备特性	DS28S60/MAXQ1065
工作温度	–40°C 至 +105°C
主机接口	SPI （I2C 正在开发中）
电源电压	1.62 V 至 3.63 V
最大有功电流	3毫安
典型空闲电流 （25°C）	0.4毫安
掉电电流 （25°C）	100 nA

 

 

IACS组件架构已经具有满足IEC 62443-4-2要求的安全功能的微控制器，也可以从用于密钥和证书分发目的的安全身份验证器中受益。这将使OEM或其合同制造商免于投资处理秘密IC凭证所需的昂贵制造设施。这种方法还可以保护存储在微控制器中的密钥，以便通过JTAG等调试工具提取。

结论

通过整合和采用IEC 62443标准，IACS利益相关者为可靠和安全的基础设施铺平了道路。安全认证器是符合IEC 62443标准的组件未来的基石，这些组件需要强大的基于硬件的安全性。OEM 可以放心地进行设计，因为他们知道安全的身份验证器将帮助他们获得他们所寻求的认证。

审核编辑：郭婷