信息化觀察網(wǎng)

不能直接將物聯(lián)網(wǎng)安全機(jī)制移植到工業(yè)物聯(lián)網(wǎng)應(yīng)用中…

我們都聽說過物聯(lián)網(wǎng)(IoT)和工業(yè)物聯(lián)網(wǎng)(IIoT)，也知道這兩者是不同的，因?yàn)槲锫?lián)網(wǎng)通常應(yīng)用于消費(fèi)市場(chǎng)，而IIoT則應(yīng)用于工業(yè)領(lǐng)域。但是，像工業(yè)因特網(wǎng)聯(lián)盟(Industrial Internet Consortium；IIC)這樣的專業(yè)團(tuán)體到底如何定義IIoT？

此團(tuán)體將IIoT視為一個(gè)連接和整合操作技術(shù)(Operational Technology；OT)環(huán)境的體系，例如工業(yè)控制系統(tǒng)(ICS)，包含企業(yè)系統(tǒng)、商務(wù)流程與分析系統(tǒng)。這些IIoT體系與ICS和OT不同，因?yàn)樗鼈兣c其他系統(tǒng)和人員廣泛連接，而它們與信息技術(shù)(IT)系統(tǒng)不同之處在于，它們使用的傳感器和致動(dòng)器與實(shí)體世界相互作用，若產(chǎn)生不可控制的變化時(shí)可能會(huì)導(dǎo)致危險(xiǎn)。

傳感器或連網(wǎng)設(shè)備為封閉系統(tǒng)的一部分，而IIoT的好處是能夠收集和分析數(shù)據(jù)，然后根據(jù)數(shù)據(jù)顯示的內(nèi)容來執(zhí)行任務(wù)。然而，這種連接性也增加了那些可能想要攻擊系統(tǒng)的風(fēng)險(xiǎn)，以及越來越多的網(wǎng)絡(luò)攻擊，進(jìn)而癱瘓系統(tǒng)。

英特爾(Intel)正在推動(dòng)美國(guó)能源部(DoE)計(jì)劃中，減少網(wǎng)絡(luò)事件的其中一個(gè)項(xiàng)目，以提高電力系統(tǒng)邊緣(power system edge)的安全性。由于電網(wǎng)邊緣(grid edge)設(shè)備直接并透過云端平臺(tái)相互溝通，因此該計(jì)劃的研究在于提升安全性，著重在互操作性并提供實(shí)時(shí)情境認(rèn)知(situational awareness)。

首先，在棕地(brownfield)需要透過安全的網(wǎng)關(guān)或傳統(tǒng)電力系統(tǒng)設(shè)備來實(shí)現(xiàn)，然后作為綠地(greenfield)的內(nèi)部現(xiàn)場(chǎng)可程序化邏輯門陣列(field programmable gate array；FPGA)的升級(jí)設(shè)計(jì)，或是做為目前設(shè)備的一部分，目標(biāo)是在不妨礙重要電力輸送功能的正常運(yùn)作方式下，減少網(wǎng)絡(luò)攻擊。

英特爾物聯(lián)網(wǎng)安全解決方案首席架構(gòu)師兼IIC安全工作小組聯(lián)合主席Sven Schrecker表示，在為IIoT系統(tǒng)設(shè)計(jì)和部署設(shè)備時(shí)，安全不應(yīng)該是唯一的考慮因素，開發(fā)人員應(yīng)該更廣泛地思考以下五個(gè)總體關(guān)鍵因素：

˙功能安全(safety)

˙信賴性(reliability)

˙信息安全(security)

˙隱私性(privacy)

˙恢復(fù)性(resilience)

雖然開發(fā)工程師可能必須將安全功能加入到芯片、軟件或平臺(tái)中，但他們不一定能意識(shí)到他們的工作符合公司對(duì)于安全性政策方面所規(guī)劃的遠(yuǎn)大目標(biāo)。Schrecker說：“安全策略必須由IT團(tuán)隊(duì)和OT團(tuán)隊(duì)共同擬定，以便每個(gè)人都知道那些設(shè)備能互相溝通。”

建立信任鏈(Chain of Trust)

主要重點(diǎn)是從一開始就建立安全性政策和信任鏈，然后在設(shè)備的整個(gè)生命周期中，透過設(shè)計(jì)、開發(fā)、生產(chǎn)過程來維護(hù)它。信任必須建立在設(shè)備、網(wǎng)絡(luò)和整個(gè)供應(yīng)鏈上。

物聯(lián)網(wǎng)安全基金會(huì)(IoT Security Foundation)董事會(huì)成員暨Secure Thingz執(zhí)行官和創(chuàng)辦人Haydn Povey表示，安全性需要由四個(gè)層面著手：

˙CxO級(jí)別(CxO level)

˙安全架構(gòu)師(security architect)

˙開發(fā)工程師(development engineer)

˙營(yíng)運(yùn)經(jīng)理(operations manager)

開發(fā)或設(shè)計(jì)工程師需要采用公司的安全性政策，他們也許能定義如何辨識(shí)和驗(yàn)證自己的產(chǎn)品、如何安全地提供軟件和硬件更新，以及在芯片或軟件中加入這些元素。信任鏈的第四個(gè)層面是OEM參與制造IIoT網(wǎng)絡(luò)產(chǎn)品或部署這些產(chǎn)品的部分。在這里，生產(chǎn)或營(yíng)運(yùn)經(jīng)理需要確認(rèn)每個(gè)電子零件都有自己獨(dú)特的身份，并且可以在供應(yīng)鏈的每個(gè)環(huán)節(jié)進(jìn)行安全認(rèn)證。

當(dāng)談?wù)摰接布蛙浖狈π湃捂湑r(shí)，MITRE資深主任工程師兼IIC的指導(dǎo)委員會(huì)成員Robert Martin說：“連接工業(yè)系統(tǒng)有很多不同的技術(shù)堆棧(tech stacks)。”他并警告：“事實(shí)上，微處理器的微小變化，會(huì)對(duì)于在此運(yùn)作的軟件產(chǎn)生意想不到的影響。如果我們重新編譯軟件，在不同的操作系統(tǒng)中執(zhí)行，將會(huì)有不同的運(yùn)作方式，但沒有人能對(duì)這些變化所導(dǎo)致的軟件故障情況加以解釋。”

他補(bǔ)充：“在建筑產(chǎn)業(yè)，有相應(yīng)的法規(guī)與認(rèn)證，若進(jìn)行的變更會(huì)影響到安全性，將因此受到處罰。但在軟件技術(shù)方面則沒有類似的管理體制。”

IIoT安全性設(shè)計(jì)考慮因素

那么，從哪里開始為IIoT進(jìn)行安全性設(shè)計(jì)，以及必須考慮哪些設(shè)計(jì)因素？

目前有各種產(chǎn)業(yè)指南，例如IIC的物聯(lián)網(wǎng)安全架構(gòu)及其制造概況，提供在工廠中實(shí)施此架構(gòu)的詳細(xì)信息，或是美國(guó)國(guó)家標(biāo)準(zhǔn)暨技術(shù)研究院(NIST)的網(wǎng)絡(luò)安全架構(gòu)(Cybersecurity Framework)。開發(fā)工程師的首要任務(wù)是確定如何將安全策略或安全架構(gòu)應(yīng)用在IIoT端點(diǎn)的全部或部分設(shè)備的設(shè)計(jì)和生命周期管理上面。

考慮范圍包含從啟用具有唯一身份的設(shè)備，到能夠保護(hù)設(shè)備、辨識(shí)攻擊，并恢復(fù)、修復(fù)和修補(bǔ)設(shè)備。Arm物聯(lián)網(wǎng)設(shè)備解決方案副總裁Chet Babla表示："此過程與保護(hù)其他系統(tǒng)沒有什么不同，需要從頭開始考慮安全性問題。"

他解釋：“第一部分是分析什么是入侵載體(threat vectors)？你想保護(hù)什么？”Arm去年推出了自己的平臺(tái)安全架構(gòu)(PSA)，以支持物聯(lián)網(wǎng)設(shè)備的開發(fā)人員。Babla表示，PSA與設(shè)備無關(guān)，因?yàn)樵摴菊谂膭?lì)產(chǎn)業(yè)考慮安全性問題。

分析、架構(gòu)、建置

PSA架構(gòu)包括三個(gè)階段——分析、架構(gòu)和建置。Babla說：“分析是我們努力強(qiáng)調(diào)的核心部分。”舉例來說，這代表著進(jìn)行入侵模型分析，Arm已經(jīng)為資產(chǎn)追蹤器、水表和網(wǎng)絡(luò)攝影機(jī)的常用案例導(dǎo)入了三個(gè)分析文件，此種分析相當(dāng)重要，并且得到了其他人的回響。

Martin評(píng)論：“我們需要開始討論硬件中潛在的弱點(diǎn)，并能夠仿真攻擊模式，以及制作測(cè)試案例。”設(shè)計(jì)工程師需要考慮整個(gè)生態(tài)系統(tǒng)，從芯片到云端，在實(shí)施一個(gè)包含不可變動(dòng)的系統(tǒng)、或不可更改身份的設(shè)備方面，應(yīng)啟用信任根(RoT)，并確?？梢园踩貓?zhí)行無線OTA更新和身份驗(yàn)證。Babla說：“然后可以考慮在芯片、接入點(diǎn)和云端進(jìn)行緩解(mitigation)。”

Arm的PSA鼓勵(lì)開發(fā)人員首先考慮入侵威脅，然后再考慮設(shè)計(jì)和履行(implementation)。(數(shù)據(jù)源：Arm)

生命周期管理(LCM)

有人認(rèn)為，將IIoT安全性與傳統(tǒng)物聯(lián)網(wǎng)安全問題區(qū)分開來的一個(gè)重要考慮因素在于LCM。Povey表示，LCM在軟件更新或更改IIoT設(shè)備配置時(shí)會(huì)有影響。在IIoT環(huán)境中，連網(wǎng)設(shè)備、傳感器和控制系統(tǒng)不會(huì)或不應(yīng)該連接到開放網(wǎng)絡(luò)中。

因此，某些類型的設(shè)備LCM控制層需要成為IIoT設(shè)備的一部分，這可以是用于設(shè)備報(bào)告、配置和管理的復(fù)雜軟件。但是，IIoT網(wǎng)絡(luò)中的安全需求會(huì)根據(jù)系統(tǒng)中的端點(diǎn)而有所不同，因?yàn)樗赡馨荌P的智能控制器脫機(jī)內(nèi)部網(wǎng)絡(luò)，和某種類型的保護(hù)或與外部網(wǎng)絡(luò)隔離的設(shè)計(jì)，并且還可能有IP或非IP的無線設(shè)備和傳感器。

作為L(zhǎng)CM功能的一部分，所有端點(diǎn)設(shè)備都需要在工業(yè)系統(tǒng)中被管理和控制，這讓工廠能在導(dǎo)入、配置和管理端點(diǎn)設(shè)備/產(chǎn)品，并加入到內(nèi)部工廠網(wǎng)絡(luò)時(shí)，能進(jìn)行控制。

IIoT安全解決方案的高階目標(biāo)包含以下：

˙產(chǎn)品端點(diǎn)認(rèn)證(設(shè)備、傳感器、控制系統(tǒng))——端點(diǎn)產(chǎn)品是真的，并非偽造品？提供產(chǎn)品制造商的可追溯性、生產(chǎn)日期和任何其他相關(guān)信息。

˙產(chǎn)品端點(diǎn)配置和使用控制——端點(diǎn)的安全管理和配置控制方面，有各種權(quán)限和使用模式之控制或限制。

˙端點(diǎn)控制狀態(tài)的安全控制。

˙端點(diǎn)維護(hù)——包括安全的軟件更新?？刂葡到y(tǒng)和端點(diǎn)間的安全通訊，以及確?？刂葡到y(tǒng)數(shù)據(jù)在儲(chǔ)存方面的安全性。

˙進(jìn)階安全防護(hù)——入侵檢測(cè)和安全監(jiān)控。

在較低層級(jí)啟用此端點(diǎn)產(chǎn)品安全的基礎(chǔ)，是以下對(duì)于端點(diǎn)設(shè)備的要求：

˙不可變更的設(shè)備身份——設(shè)備必須具有不可更改/受保護(hù)的身份，必須透過加密方式進(jìn)行驗(yàn)證。產(chǎn)品能辨識(shí)自己并驗(yàn)證出誰(shuí)是制造者、相關(guān)日期和其他信息。

˙不可變更的RoT——除了設(shè)備身份之外，還有配置到產(chǎn)品中的RoT。其中包括低階的安全啟動(dòng)程序(secure boot manager)、認(rèn)證和非對(duì)稱密鑰組，允許設(shè)備支持雙邊身份驗(yàn)證并啟用安全軟件更新。RoT的某些部分要求密鑰和其他項(xiàng)目應(yīng)在某種類型的安全儲(chǔ)存區(qū)域中受到保護(hù)，以防止密鑰信息從產(chǎn)品中被提取。

˙不可變更的安全性啟動(dòng)程序——某種類型的低階安全啟動(dòng)程序，可在應(yīng)用之前，驗(yàn)證設(shè)備/產(chǎn)品的所有韌體和配置更新。只有安全啟動(dòng)管理程序才能安裝并將低階的配置更新應(yīng)用于端點(diǎn)設(shè)備/產(chǎn)品。

˙LCM軟件/服務(wù)——某種類型的低階LCM控制服務(wù)，可以管理端點(diǎn)產(chǎn)品，包括軟件更新和配置更改。

設(shè)計(jì)時(shí)，考慮到設(shè)備層級(jí)的安全性與物聯(lián)網(wǎng)設(shè)備的整個(gè)生命周期。(數(shù)據(jù)源：Secure Thingz)

安全區(qū)域(Security enclaves)

Povey表示：“在設(shè)備采購(gòu)方面，受到一些因素影響，例如啟用標(biāo)準(zhǔn)機(jī)制以推出更新、此更新將如何儲(chǔ)存在邊緣設(shè)備，以及設(shè)備和內(nèi)存資源影響等因素。”

他并補(bǔ)充：“你需要考慮安全區(qū)域，以及隱藏秘密和基本密鑰的位置，還有如何為設(shè)備添加水印。”工程師應(yīng)該在不考慮芯片商與架構(gòu)的情況下，在開發(fā)環(huán)境中將這些因素納入考慮。一般的產(chǎn)業(yè)共識(shí)是，安全組件確實(shí)需要嵌入到硬件中，以確保其可信任度，因?yàn)樾酒?jí)加密可以被執(zhí)行和保護(hù)。

GE電力、自動(dòng)化和控制部門控制和邊緣平臺(tái)總經(jīng)理Rich Carpenter說：“我們?cè)噲D從硬件層開始建立RoT，且我們的深度防御(defense-in-depth)機(jī)制要求入侵發(fā)生時(shí)，不會(huì)透過系統(tǒng)進(jìn)行傳播。”他還提到，GE使用現(xiàn)成的可信任平臺(tái)模塊(TPM)，并采用英特爾和AMD處理器。

英特爾預(yù)期將從硬件著手。Schrecker說：“擁有硬件RoT非常重要。硬件身份刻錄到系統(tǒng)中，并具有芯片層級(jí)的身份，這代表著它可以被追蹤，而重要地是能確保芯片不是偽造的，并且能夠進(jìn)行身份驗(yàn)證和更新。”他補(bǔ)充，硬件安全性并不能取代軟件安全性，只是提高了安全性。

總之，在設(shè)計(jì)IIoT設(shè)備的安全性時(shí)，關(guān)鍵的考慮因素是使設(shè)備不可變更(immutable)、能夠提供可信任和安全的啟動(dòng)，并在整個(gè)生命周期內(nèi)管理設(shè)備安全性，其中還包括OTA軟件更新和修補(bǔ)。

在發(fā)生攻擊的情況下，需要有一種方法可以準(zhǔn)確地辨識(shí)設(shè)備，將其恢復(fù)到之前已知的良好狀態(tài)，然后能夠適時(shí)在攻擊點(diǎn)(point of attack)解決問題。將這些原則考慮在內(nèi)，是進(jìn)到下一步—硬體建置(hardware implementation)的良好開始。