IEC 62443标准系列网络安全标准的基本原理和优势

　　本文探讨了IEC 62443标准系列的基本原理和优势，这是一套旨在确保网络安全弹性和保护关键基础设施和数字工厂的协议。这个领先的标准提供了广泛的安全层；然而，这对寻求认证的人提出了几个挑战。我们将解释安全IC如何为努力实现工业自动化控制系统（IACS）元件认证目标的组织提供重要帮助。

　　尽管潜在的网络攻击越来越复杂，但IACS此前在采取安全措施方面行动迟缓。这部分是由于这种系统的设计者和操作者缺乏共同的参考。IEC 62443标准系列为更安全的工业基础设施提供了一条前进的道路，但企业必须学会如何驾驭其复杂性，并理解这些新的挑战，以便成功地利用它。

　　工业系统处于危险之中

　　水分配、污水处理和电网等关键基础设施的数字化使不间断接入成为日常生活的必要条件。然而，网络攻击仍然是导致这些系统中断的原因之一，而且预计还会增加。［1］

　　工业4.0呼唤高度互联的传感器、执行器、网关和聚合器。连通性的提高增加了潜在网络攻击的风险，使得安全措施比以往任何时候都更加重要。美国网络安全和基础设施安全局（CISA）等组织的成立表明了保护关键基础设施并确保其抵御网络攻击的重要性和决心。［2］

　　为什么选择IEC 62443？

　　2010年，震网病毒的出现使工业基础设施陷入脆弱状态。［3］ Stuxnet是世界上第一次公开的网络攻击，表明攻击可以成功地从远处瞄准IACSs。随后的攻击巩固了这样一种认识，即工业基础设施可以通过针对特定类型设备的远程攻击而受到损害。

　　政府机构、公用事业公司、IACS用户和设备制造商很快意识到IACS需要保护。政府和用户自然倾向于组织措施和安全政策，而设备制造商则研究可能的硬件和软件对策。然而，采取安全措施的速度很慢，原因是：

　　基础设施的复杂性

　　利益相关者的不同利益和关注

　　各种实现和可用选项

　　缺乏可衡量的目标

　　总的来说，利益相关者面临着不确定性，无法确定目标的正确安全级别，这是一个在保护和成本之间小心平衡的级别。

　　国际自动化协会（ISA）成立了工作组，在ISA99倡议下建立共同参考，最终导致了IEC 62443系列标准的发布。这组标准目前分为四个级别和类别，如图1所示。由于范围广泛，IEC 62443标准涵盖了组织政策、程序、风险评估以及硬件和软件组件的安全性。该标准的完整范围使其具有独特的适应性并反映了当前的现实。此外，国际海底管理局在处理IACS所涉所有利益攸关方的各种利益时，采取了全面的方针。一般来说，不同的利益相关者对安全性的关注是不同的。例如，如果我们考虑知识产权盗窃，IACS运营商将对保护制造过程感兴趣，而设备制造商可能关心保护人工智能（AI）算法免受逆向工程。

　　图一。IEC 62443是一个全面的安全标准。

　　此外，因为IACS本质上是复杂的，所以必须考虑整个安全范围。如果没有安全设备的支持，仅有程序和政策是不够的，而如果程序没有正确定义安全使用，健壮的组件是无用的。

　　图2中的图表显示了通过ISA认证的IEC 62443标准的采用率。正如预期的那样，由行业关键利益相关者定义的标准加速了安全措施的实施。

　　图二。一段时间内ISA认证的数量。［4］

　　符合IEC 62443：一项复杂的挑战

　　IEC 62443是一个非常全面和有效的网络安全标准，但它的复杂性令人难以置信。这份文件本身长达近1000页。获得对网络安全协议的清晰理解需要一个学习过程，并且不仅仅是吸收技术语言。IEC 62443的每个部分都必须被理解为一个更大的整体的一部分，因为这些概念是相互依赖的（如图3所示）。

　　例如，根据IEC 62443-4-2，必须进行针对整个IACS的风险评估，评估结果将决定设备的目标安全级别。［5］

　　图3。认证流程的高级视图。

　　最高安全级别要求硬件实施

　　IEC 62443用直白的语言定义了安全级别，如图4所示。

　　图4。IEC 62443安全等级。

　　IEC 62443-2-1要求进行安全风险评估。作为该过程的结果，每个组件被分配一个目标安全级别（SL-T）。

　　根据图1和图3，标准的某些部分处理流程和程序，而IEC 62443-4-1和IEC 62443-4-2则处理组件的安全性。根据IEC 62443-4-2，组件类型包括软件应用程序、主机设备、嵌入式设备和网络设备。对于每个组件类型，IEC 62443-4-2根据它们满足的组件需求（CR）和需求增强（RE）定义了能力安全级别（SL-C）。表1总结了SL-A、SL-C、SL-T及其关系。

　　表1。安全级别摘要

　　让我们以联网的可编程逻辑控制器（PLC）为例。网络安全要求对PLC进行认证，这样它就不会成为攻击的入口。一种众所周知的技术是基于公钥的认证。关于IEC 62443-4-2：

　　级别1不考虑公钥加密

　　第2级要求通常采用的过程，如证书签名验证

　　第3级和第4级要求对身份验证过程中使用的私钥进行硬件保护

　　从安全级别2开始，需要许多安全功能，包括基于涉及秘密或私有密钥的加密机制。对于安全级别3和4，在许多情况下需要基于硬件的安全保护或加密功能。这就是工业元件设计人员将从全包式安全IC中受益的地方，其中嵌入了以下基本机制：

　　安全密钥存储

　　侧信道攻击保护

　　负责以下功能的命令

　　消息加密

　　数字签名计算

　　数字签名验证

　　这些交钥匙安全IC使IACS组件开发人员无需将资源投入复杂的安全原始设计。使用安全IC的另一个好处是固有地利用了通用功能和专用安全功能之间的自然隔离。当安全集中在一个元素中而不是分散在整个系统中时，安全功能的强度更容易评估。从这种隔离中还获得了跨组件的软件和/或硬件修改的安全功能验证的保持。无需重新评估整个安全功能即可进行升级。

　　此外，安全IC供应商可以实施非常强大的保护技术，这在PCB或系统级是无法实现的。这是加固的EEPROM或闪存或物理不可克隆功能（PUF）的情况，可以实现对最复杂的攻击的最高级别的抵抗。总的来说，安全IC是构建系统安全性的重要基础。

　　在边缘固定

　　工业4.0意味着随时随地感知，因此需要部署更多的边缘设备。IACS边缘设备包括传感器、执行器、机械臂、带I/O模块的PLC等。每个边缘设备都连接到高度网络化的基础设施，成为黑客的潜在入口。不仅攻击面会随着设备数量的增加而成比例扩大，而且设备的多样化构成也必然会扩大攻击媒介的种类。应用安全和渗透测试供应商SEWORKS的首席技术官Yaniv Karta表示：“鉴于现有的平台，存在许多可行的攻击媒介，终端和边缘设备的暴露程度都有所增加。例如，在复杂的IACS中，并非所有传感器都来自同一个供应商，它们在微控制器、操作系统或通信堆栈方面也不共享相同的架构。每种架构都有潜在的弱点。因此，IACS积累并暴露于其所有的弱点，如米特ATT和CK数据库［6］或ICS-CERT咨询所述。［7］

　　此外，随着工业物联网（IIoT）在边缘嵌入更多智能的趋势，［8］设备正在开发中，以做出自主系统决策。因此，更重要的是确保设备硬件和软件可信，因为这些决策对系统的安全、运行等至关重要。此外，保护设备开发人员的R&D知识产权投资免遭盗窃——例如与人工智能算法相关的盗窃——是一个常见的考虑因素，可以促使他们决定采用交钥匙安全IC所能支持的保护措施。

　　另一个要点是，网络安全不足可能会对功能安全产生负面影响。功能安全和网络安全的交互是复杂的，讨论它们需要一篇单独的文章，但我们可以强调以下几点：

　　：C 61508：电气/电子/可编程电子安全相关系统的功能安全要求根据IEC进行网络安全风险分析

　　虽然IEC 61508主要侧重于危害和风险分析，但每当发生严重的网络安全事件时，它都会要求进行后续的安全威胁分析和漏洞分析。

　　我们列出的IACS edge设备是嵌入式系统。：C 62443-4-2为这些系统定义了特定要求，例如恶意代码保护机制、安全固件更新、物理防篡改和检测、信任根供应以及引导过程的完整性。

　　利用ADI公司的安全认证器实现您的IEC 62443目标

　　ADI公司的安全认证器（也称为安全元件）旨在满足这些要求，同时兼顾易于实施和成本效益。为主机处理器提供完整软件堆栈的固定功能IC是交钥匙解决方案。

　　因此，安全实施工作委托给ADI公司，器件设计师可以专注于自己的核心业务。安全授权码本质上是信任的根源，提供根密钥/秘密和代表设备状态的敏感数据（如固件散列）的安全和不可变存储。它们具有一套全面的加密功能，包括身份验证、加密、安全数据存储、生命周期管理和安全引导/更新。

　　芯片DNA物理不可克隆功能（PUF）技术利用晶圆制造过程中自然发生的随机变化来生成密钥，而不是将它们存储在传统的闪存EEPROM中。所利用的变异是如此之小，以至于即使是用于芯片逆向工程的最昂贵、最复杂、侵入性的技术（扫描电子显微镜、聚焦离子束和微探针）也不足以提取密钥。集成电路之外的任何技术都无法达到这样的电阻水平。

　　安全授权码还支持证书和证书链管理。［9］

　　此外，ADI公司在其工厂提供高度安全的密钥和证书预编程服务，因此原始设备制造商（OEM）可以接收已经提供的器件，这些器件可以无缝加入其公钥基础设施（PKI）或支持离线PKI。它们强大的加密功能支持安全固件更新和安全引导。

　　安全授权码是为现有设计增加高级别安全性的最佳选择。他们省去了R&D为低BOM成本重新构建安全设备的努力。例如，它们不需要改变主微控制器。例如，在DS28S60和MAXQ1065如图5所示，安全授权码满足所有级别的IEC 62443-4-2要求。

　　DS28S60和MAXQ1065 3 mm × 3 mm TDFN封装使其适合最受空间限制的设计，其低功耗完美解决了最受功耗限制的边缘器件。

　　表二。DS28S60和MAXQ1065主要参数汇总

　　已经具有满足IEC 62443-4-2要求的安全功能的微控制器的IACS组件架构也可以受益于用于密钥和证书分发目的的安全认证器。这将使原始设备制造商或其合同制造商不必投资处理秘密IC证书所需的昂贵制造设备。这种方法还可以保护存储在微控制器中的密钥，以便通过调试工具（如JTAG）提取。

　　图5。符合IEC 62443要求的安全授权码功能。

　　结论

　　通过制定和采用IEC 62443标准，IACS利益相关方为可靠和安全的基础设施铺平了道路。安全授权码是未来符合IEC 62443标准的组件的基石，这些组件需要强大的基于硬件的安全性。OEM可以放心地进行设计，因为他们知道安全授权码将帮助他们获得他们所寻求的认证。

　　审核编辑：黄飞