IIoT正在將一切從風力渦輪機和工廠自動化轉變?yōu)殛P鍵基礎設施。但是，在這個智能、互聯的世界中，網絡攻擊的威脅日益增加，而且非常真實。雖然需要建立對此類攻擊的防御，但組織本身可能沒有開發(fā)安全措施的工具、技能集或帶寬。相反，許多公司尋求的解決方案允許將適當的安全性快速，輕松地集成到其系統(tǒng)中，從而使他們可以自由地專注于核心競爭力并提供競爭優(yōu)勢。

他們如何保護他們的工業(yè)網絡，同時最小化管理費用和成本？

工業(yè)物聯網（IIoT）日益成為網絡攻擊的目標

對于許多公司而言，通過IIoT實施數字化轉型被視為提供具有競爭力的產品、優(yōu)化生產力和不斷提高業(yè)務績效的基礎。不幸的是，工業(yè)物聯網（IIoT）上的設備為攻擊者提供了破壞業(yè)務、造成財產和人員損失的額外機會。

截取來自工業(yè)控制系統(tǒng)的數據可以揭示制造秘密，從而有可能暴露出競爭優(yōu)勢。如果設備可以被接管、克隆或欺騙，則漏洞利用可能包括破壞傳感器數據、關閉關鍵系統(tǒng)以及發(fā)送可能對安全構成嚴重威脅的錯誤控制命令。主要例子包括影響伊朗核計劃的Stuxnet攻擊，據報道關閉了烏克蘭部分電網的BlackEnergy3。

對網絡攻擊的研究讓該行業(yè)對其利用的弱點有了更多的了解。隨著知識的增長，安全最佳實踐和標準也隨之發(fā)展。這些幫助系統(tǒng)架構師了解其資產所需的保護以及抵抗攻擊的技術。例如，IEC62443建立在對潛在威脅進行基于風險的分析的基礎之上，正在成為網絡安全的國際標準。

圖1．IEC62443對IIoT設備的安全需求采取了務實的方法

通過根據成功攻擊的后果和影響評估系統(tǒng)的風險，IEC62443定義了五個安全級別（圖1），涵蓋了從不需要保護的設備到需要最高威脅抵抗能力的設備。

對于IEC62443的更高安全級別（即第3和第4級），需要基于硬件的安全性來保護設備身份驗證器、私有密鑰以及關鍵對稱密鑰。在專用硬件芯片中針對邏輯和物理攻擊進行加固的同時，將關鍵機密和數據存儲在分立的硬件芯片中的優(yōu)勢還具有增強的保護，而對于僅軟件方法而言，邏輯攻擊的障礙要低得多。

一切都在網絡安全中

終端節(jié)點，它們所連接的設備（例如網關）或云之間的相互身份驗證僅允許真正的，毫不妥協的設備進行通信–如圖2所示。

圖2：增強設備標識以確保與云的安全連接

如果沒有可靠的身份驗證，則有可能將惡意軟件連接、克隆或加載到正版設備上。隨后，“不良行為者”可以利用該連接來破壞產品或服務的正常運行，或攔截數據。此外，身份驗證還可以保護產品或服務的提供者免遭客戶濫用。當使用非原裝零配件或插入偽造的設備或試圖進行未經授權的維修時，可能會導致現場故障。身份認證凸顯了惡意行為，最終節(jié)省了提供商承擔整改成本。

實際上，有效的網絡保護依賴于幾種常用的防御措施，如圖3所示。這些措施包括安全通信、連接設備的安全啟動順序以及無線應用固件更新（OTA）的安全過程。

圖3．常見的網絡安全防御

確保通信安全對于防止惡意代理與連接的設備進行交互或竊聽以獲取情報或竊取IP至關重要。除了對組件和人員進行身份驗證以及使連接的設備具有唯一的憑據之外，還必須對交換的數據進行加密以防止這些類型的攻擊。在設備要接收OTA（無線）更新的地方，確保此過程的安全對于防止引入惡意軟件至關重要。身份驗證和完整性檢查同樣非常重要，同時還要確保加載機制的安全性以及對要加載的代碼進行簽名或加密。當連接的設備最容易受到攻擊時，使用諸如代碼簽名之類的技術的安全啟動過程可為它們提供進一步的保護。

結論

盡管數字化轉型可帶來不可阻擋的業(yè)務收益，但必須有效應對IIoT帶來的安全挑戰(zhàn)。全面分析網絡安全威脅是開發(fā)可靠而持久的網絡安全實施的關鍵。專用安全芯片在網絡安全組合中扮演著至關重要的角色，并有助于為連接的資產提供強大的保護。他們受益于硬件的不變性和對行業(yè)標準的遵從性，同時也準備好快速高效地進行設計。