今日頭條
官方微信
官方抖音
資訊頻道在工業物聯網(IIOT)的推動下,全球制造業已逐漸進入互聯工業時代,這意味著工廠設備層的聯網裝置之間將實現自動通信,而且將與市場層、工廠管理層進行無縫信息連接。但是,越來越網絡化連接的工業環境使工控系統、聯網設備及工業云端更容易遭受攻擊者和破壞者入侵,給工廠造成停機和運營中斷威脅的情況日益增多,而且知識產權、專用流程知識以及客戶數據也將可能泄露。
毋庸置疑,現代化的智能工廠急需從系統、硬件和軟件層面的工業安全方案來避免和應對日益復雜化的工業網絡安全威脅。本刊特邀半導體芯片廠商、互聯設備制造商和系統架構集成商及第三方測試認證企業的技術專家和a&s傳媒智能電子集成共同探討互聯工業時代下的工業安全解決方案以及在實際應用中遇到的挑戰。
1工業物聯網:誘惑與陷阱同共存
如果說PC技術將人類帶入互聯網時代,3G、4G技術的發展推動了移動互聯網絡的普及,那么物聯網則開啟了萬物互聯時代,實現了人與人、人與物、物與物的相互溝通,其應用涉及到消費、醫療、智能家居及工業等領域,給各行業市場帶來顛覆性的變革。
物聯網具體結合到工業領域來看,它使傳統封閉工廠轉向智能互聯工廠,大大推動了全球制造業的數字化轉型變革。無論是“中國制造2025”還是德國工業4.0,或是美國工業互聯網,其核心都是通過工業物聯網(IIOT)將嵌入式系統技術、智能生產工藝與工業云端平臺相結合,打造網絡化、智能化、數字化的智能互聯工廠,以提升工廠的總體生產效率。因此,工業物聯網(IIOT)在傳統制造業向數字化工業轉型中起著重要的作用。
對于工業企業來說,工業物聯網(IIoT)前所未有的透明性和效率前景確實非常誘人。但是,工業物聯網中的工業系統和聯網設備都將成為潛在的攻擊目標。而且,與消費領域IoT不同的是,IIoT發生故障可能造成災難性甚至致命的后果。英飛凌科技股份公司智能卡與安全事業部北美區嵌入式安全產品線負責人Steve表示,如果黑客成功攻破網絡并控制工業系統,將對工業系統及相關智能設備構成嚴重威脅,不僅效率、靈活性和可靠性會有所下降,還可能危及人身安全,同時,知識產權及重要數據信息也將面臨被竊取的風險。
霍尼韋爾智能建筑與家居集團以及安全與生產力解決方案集團大中華區研發創新總監Henry表示,網絡攻擊呈現出組織化的趨勢,80%的黑客都是來自于有組織的犯罪集團,他們可能不像黑客那樣對設備或系統進行破壞,而是純粹以營利為目的。德國萊茵TUV大中華區工業服務部項目經理Fancy表示,與傳統意義上的安全威脅不同,工業物聯網帶來的安全威脅是不斷演變,發展的,并且安全威脅來自多個方面,包括技術方面的危險,如軟件缺陷;人為因素的危險,例如犯罪集團、黑客等。這些威脅都會危及系統的機密性、完整性及功能的有效性,因此,應對工業網絡威脅,必須要對網絡威脅進行分析,首先認清這些威脅,然后分析這些威脅對業務構成的風險,最后對風險相關的問題加以預防和解決。
工業物聯網安全漏洞造成的風險并非臆測。據IBM MSS(Managed Security Service)數據統計,2016年對工業控制系統的攻擊同比增加了110%。從美國國土安全部工業控制系統安全應急中心ICS-CERT網站公布的信息看,很多世界知名公司的產品和系統都曾被發現存在潛在網絡信息安全風險。2015年,黑客被指控為導致烏克蘭電網三個區域超過22.5萬戶用戶斷電數小時的罪魁禍首。當然,還有眾所周知的震網病毒(Stuxnet)襲擊,導致Natanz核工廠的多臺鈾濃縮離心機停止工作。這些在現實世界中真實發生的威脅事件已經對工業生產、人們生活造成了不可計量的嚴重后果。
2半導體芯片與工業安全有何“瓜葛”?
半導體芯片與工業4.0關系親密
半導體芯片與工業4.0關系密不可分。可以說,前者是整個工業4.0架構的基礎,半導體芯片如工業傳感器、執行器、微控制器及功率器件等產品解決了工業4.0中的感知、通信、控制等基礎問題和執行問題,同時保證了數據的安全交換。另外,通過硬件安全芯片可以有效保障智能生產中的數據和信息安全。可以說,半導體芯片廠商在工業4.0中擔當著底層基礎架構師的角色。
目前全球半導體芯片廠商如英飛凌、瑞薩電子、英特爾等都在積極布局工業領域。其中,英飛凌不僅是一家半導體芯片公司,同時也是德國工業4.0執行和指導委員會初創成員,其提供領先的半導體產品和解決方案在工業領域中起著不可或缺的作用,比如,通過功率半導體高效率地生產;通過高性能微控制器進行智能地控制;通過安全芯片保障智能生產中的數據和信息安全等。這些正是英飛凌在中國制造業轉型升級中重點關注的合作機會。
安全芯片硬件是工業安全底層架構
隨著工業物聯網席卷工業領域,如何打造安全高效的工業連接網絡成為全球工業企業關注的重點。對工業網絡來說,若要確保網絡可靠性和正常運行時間,采用多層安全方案是必須的。英飛凌Steve認為,“深度防御”是最好的方法,即利用多重安全措施來防止攻擊得逞,正如IEC 62443等標準所要求的,工業網絡應當劃分為不同區域,在分區內部和分區之間確保通信安全,而且,最重要的是,機器設備和關鍵數據信息的安全需要依靠軟+硬結合的安全方案。其中,硬件,也就是指安全芯片,是獨立于軟件存放數據和安全密鑰的嚴密保護區。
過去的純軟體安全設計,僅能抵抗基本軟件攻擊,而且很容易被識破,但如果同時結合硬體安全設計的話,即能對抗硬體攻擊,而且,由于安全硬體芯片本身有安全設計,可有效防止程式碼被讀取、拷貝、反組譯和分析。因此,在設計安全關鍵型設備和系統時,必須考慮硬件安全設計,而嵌入式應用除了通過微控制器加強安全外,硬件安全芯片也是重要的安全設計。有鑒于此,為了提升工業物聯網的安全性,英飛凌、意法半導體等芯片半導體廠商近年積極投入開發硬體安全設計產品,為工業物聯網設備制造商和服務提供商提供基于硬件的安全解決方案。
另外,工業物聯網應用環境十分復雜,網絡具有很大的靈活性,而且工業設施的壽命相對來說比較長,制造商需要能夠應對不斷變化的和新出現的攻擊方式。因此,工廠設備和工業裝置中的數據和安全相關的信息必須能夠隨時加以更新,也就是說,基于硬件的安全芯片架構要隨之不斷演變。硬件安全芯片提供商需要針對嵌入式系統應用開發可隨時升級更新的芯片安全解決方案。據了解,英飛凌參與的ALESSIO項目的研究合作伙伴目前正在開發用于復雜可編程邏輯設備(現場可編程門陣列FPGA)的安全模塊,未來3年將開發搭載可升級軟件的硬件型安全芯片。
3集成架構商在工業安全領域擔當什么角色?
軟件集成架構實現工廠上下層互聯
眾所周知,工業物聯網助力工業領域開啟了智能互聯工業時代,它所帶來的變革也可以稱之為第四次工業革命,其以廣泛連接通信、云平臺、海量數據、數據處理、智能計算為主要特征。在此背景下,霍尼韋爾、羅克韋爾自動化、西門子等工業設備制造商開始走上數字化工業轉型之路,這與我們國家近幾年大力倡導的數字經濟非常匹配。
在工業互聯時代下,控制和自動化系統將以云端的控制系統組件為基礎的智能工廠將不再是夢想,其不但意味著工廠設備層和業務層數據實時同步連接至云端平臺,同時意味著從底層的工業傳感器、控制器到分布式I/O、機器設備、冗余、儀表、電力系統等各層級整合至多功能集成架構平臺。可以說,集成架構平臺向下集成底層各部件、機器設備及基礎設施層,向上連接應用層的云端平臺,從而更好的幫助機器設備制造商實現設備與上下游操作的連接。因此,現代工廠工業系統引入功能化、集成化的概念是必然趨勢,在工業世界里,這一概念意味著傳感、通信、控制、可視化與信息化等各部分的集成,這是關乎到工業互聯落地的關鍵因素。
“技術+人員+ 流程”全周期安全管控
互聯工廠由不同組件、產品、系統及信息等層級構成,它們之間相互通信并與工廠外界建立聯系,其包含設計階段,繼而延伸到生產、實施以及使用和維護對象/資產。因此,工業安全保護需要工廠整個生命周期的不同層級的產品和系統共同決定,換句話來講,“設計安全性”涉及到芯片半導體廠商、設備商、集成商以及資產所有者等不同的角色。在規定標準和開發組件時,必須首先正確規劃安全性,并使之與需求相一致,這些無論在技術方面還是組織措施方面都是適用的。
如果說芯片半導體廠商在工業安全領域扮演底層安全架構師的話,那么軟件架構集成商則擔當工廠各層級產品和系統全生命周期的整體安全維護者。霍尼韋爾Henry表示,互聯設備制造商及軟件架構集成商必須從技術、人員、流程等諸方面來提高產品和系統的網絡信息安全,即加強網絡信息安全意識、提高網絡安全設計能力和增強網絡安全控制能力。其中,網絡信息安全設計包括對產品及系統進行威脅模型建模(Threat Modeling),以確保設計實現安全可靠,并通過代碼分析、安全測試等進行網絡系統安全驗證,同時還需要產品和系統能夠記錄網絡信息日志和系統安全模塊的實時更新,并保證系統實時備份和恢復等等;網絡信息安全控制包括反病毒系統維護、復雜密碼設定、訪問權限控制、數據加密、防火墻、網絡入侵檢測、設備供應鏈管控、網絡攻擊對策等。
據Henry透露,作為智能互聯設備制造商及軟件架構商,霍尼韋爾在整個互聯產品的生命周期中全方位的貫徹實施網絡安全策略,從單個產品生產、系統集成和終端用戶使用等各個環節進行網絡信息安全需求分析、網絡信息安全風險分析及實施流程管控等。通過技術、流程、實踐來保護網絡、計算機、移動設備、控制系統、程序、以及數據免受攻擊、破壞或者非法訪問,以確保系統和信息的完整性、可用性和保密性。
4測試與認證技術是工業安全的“保護傘”?
測試與認證技術如何“保駕護航”
工業安全主要包括功能安全和信息安全。與消費領域不同,由于工業控制系統工作環境應用的技術非常復雜,僅僅保護設備本身,比如底層硬件組件、操作系統或應用程序是遠遠不夠的,網絡信息安全產品和系統方案也是工業企業必須要重視的。在部件、產品到系統整個開發周期里,從需求規格、設計開發到系統實現和最后投入運行及維護層面都需要第三方機構的測試和認證,從而有效保證智能工廠的功能安全和信息安全。
隨著工業市場正在向數字化快速發展,產品和系統的性能、安全性以及智能化水平也在不斷提升。從工業傳感器、工業通信網絡、控制單元的處理器到工控系統等部署,設計人員不但要考慮在節省空間的同時降低系統功耗,而且同時面臨著遵從嚴苛的安全標準的挑戰,這對保證工業企業的產品和系統長期可靠性至關重要。德國萊TUV Fancy表示,無論對功能安全還是信息安全,第三方測試與認證機構都必須嚴格按照國際安全標準進行測試和認證。比如,針對產品和系統開發過程中防范網絡威脅采用的技術,必須根據國際安全標準的具體要求并借助智能化的自動化工具去測試,測試工具本身把安全標準中的測試要求和項目高度集成到測試軟件平臺,通過軟件測試系統去完成相應產品和系統測試和認證。
在工業功能安全領域,必須按照相關標準(如IEC61508、 IEC61511、 ISO13489-1)規定的安全等級(如安全完整性等級(SIL)、性能等級(PL)等)要求,從而保證產品性能可靠性的同時,滿足其安全相關的應用;在工業信息安全領域,按照相關標準對產品的開發、整合應符合規定的安全等級要求(安全等級SL1 -SL4),為防止操作和干擾提供充分保護。工業通信網絡信息安全主要考慮標準IEC 62443-3-3、IEC 62443-4-1、IEC62443-4-2的要求,以上標準分別考慮系統的安全要求、安全級別、產品的開發要求及部件的技術安全等方面內容。
應對工業安全產品測試的挑戰
眾所周知,全球性的工業網絡威脅持續增長,種類也越加復雜化,導致近幾年網絡事件層出不窮,對工業企業造成重大的損失。同時,這對工業網絡安全產品和系統的測試和認證技術水平也提出了更高的要求和挑戰,第三方測試認證機構必須不斷加深對工業領域的功能安全和工業網絡安全標準的了解和掌握,時刻關注網絡安全的威脅、更新,確保不斷提升自身的認證測試的知識和技術水平,從而更有效的保障智能工廠的工業安全。
Fancy表示,把國際領先的工業安全標準引入中國市場時,由于國內大部分工業企業對工業信息安全框架及標準認知十分缺乏,在一定程度上,嚴重影響國內工業企業對工業安全產品和系統的快速部署,作為第三方測試及認證機構,除了幫助工廠測試技術設計、產品開發及系統安全的功能外,還需要對企業的管理和操作人員進行培訓,提升他們對工業安全的認知。
據了解,德國萊茵TUV拓展了基于工業自動化與控制網絡安全標準IEC 62443的測認證服務范圍,是ISASecure EDSA認證機構認可的EDSA CRT 實驗室,其服務既包含人員資格的培訓、資格鑒定,產品的功能和信息安全認證,也包括全生命周期的功能安全和信息安全的管理系統評估。
來源:as智慧生活
北京市公安局海淀分局備案號:11010802023656號