在工业网络中构建强大的安全性时要考虑什么？

IIoT正在将一切从风力涡轮机和工厂自动化转变为关键基础设施。可是，在这个智能、互联的世界中，网络***的威胁日益增长，并且很是真实。虽然须要创建对此类***的防护，但组织自己可能没有开发安全措施的工具、技能集或带宽。相反，许多公司寻求的解决方案容许将适当的安全性快速，轻松地集成到其系统中，从而使他们能够自由地专一于核心竞争力并提供竞争优点。

他们如何保护他们的工业网络，同时最小化管理费用和成本?

工业物联网(IIoT)日益成为网络***的目标

对于许多公司而言，经过IIoT实施数字化转型被视为提供具备竞争力的产品、优化生产力和不断提升业务绩效的基础。不幸的是，工业物联网(IIoT)上的设备为***者提供了破坏业务、形成财产和人员损失的额外机会。

截取来自工业控制系统的数据能够揭示制造秘密，从而有可能暴露出竞争优点。若是设备能够被接管、克隆或欺骗，则漏洞利用可能包括破坏传感器数据、关闭关键系统以及发送可能对安全构成严重威胁的错误控制命令。主要例子包括影响伊朗核计划的Stuxnet***，据报道关闭了乌克兰部分电网的BlackEnergy3。

对网络***的研究让该行业对其利用的弱点有了更多的了解。随着知识的增加，安全最佳实践和标准也随之发展。这些帮助系统架构师了解其资产所需的保护以及抵抗***的技术。例如，IEC62443创建在对潜在威胁进行基于风险的分析的基础之上，正在成为网络安全的国际标准。

图1.IEC62443对IIoT设备的安全需求采起了务实的方法
经过根据成功***的后果和影响评估系统的风险，IEC62443定义了五个安全级别(图1)，涵盖了从不须要保护的设备到须要最高威胁抵抗能力的设备。

对于IEC62443的更高安全级别(即第3和第4级)，须要基于硬件的安全性来保护设备身份验证器、私有密钥以及关键对称密钥。在专用硬件芯片中针对逻辑和物理***进行加固的同时，将关键机密和数据存储在分立的硬件芯片中的优点还具备加强的保护，而对于仅软件方法而言，逻辑***的障碍要低得多。

一切都在网络安全中

终端节点，它们所链接的设备(例如网关)或云之间的相互身份验证仅容许真正的，绝不妥协的设备进行通讯–如图2所示。

图2：加强设备标识以确保与云的安全链接
若是没有可靠的身份验证，则有可能将恶意软件链接、克隆或加载到正版设备上。随后，“不良行为者”能够利用该链接来破坏产品或服务的正常运行，或拦截数据。此外，身份验证还能够保护产品或服务的提供者免遭客户滥用。当使用非原装零配件或插入伪造的设备或试图进行未经受权的维修时，可能会致使现场故障。身份认证凸显了恶意行为，最终节省了提供商承担整改为本。

实际上，有效的网络保护依赖于几种经常使用的防护措施，如图3所示。这些措施包括安全通讯、链接设备的安全启动顺序以及无线应用固件更新(OTA)的安全过程。

图3.常见的网络安全防护
确保通讯安全对于防止恶意代理与链接的设备进行交互或窃听以获取情报或窃取IP相当重要。除了对组件和人员进行身份验证以及使链接的设备具备惟一的凭据以外，还必须对交换的数据进行加密以防止这些类型的***。在设备要接收OTA(无线)更新的地方，确保此过程的安全对于防止引入恶意软件相当重要。身份验证和完整性检查一样很是重要，同时还要确保加载机制的安全性以及对要加载的代码进行签名或加密。当链接的设备最容易受到***时，使用诸如代码签名之类的技术的安全启动过程可为它们提供进一步的保护。

结论

尽管数字化转型可带来不可阻挡的业务收益，但必须有效应对IIoT带来的安全挑战。全面分析网络安全威胁是开发可靠而持久的网络安全实施的关键。专用安全芯片在网络安全组合中扮演着相当重要的角色，并有助于为链接的资产提供强大的保护。他们受益于硬件的不变性和对行业标准的听从性，同时也准备好快速高效地进行设计。

【编辑推荐】

1. 利用工业物联网的4种方法
2. 5G和工业物联网
3. 为何工业物联网在冠状病毒大流行中相当重要
4. 炒做与现实：制造业中的工业物联网到底发生了什么？
5. 什么是工业物联网？IIoT的要点

【责任编辑：赵宁宁 TEL：（010）68476606】