植入系統(tǒng)安全的“信任根”，ADI為工業(yè)4.0的未來保駕護(hù)航

　　2010年，“震網(wǎng)”蠕蟲通過外圍設(shè)備U盤，侵入控制網(wǎng)絡(luò)，更改PLC中的程序和數(shù)據(jù)，對伊朗的核設(shè)施造成了嚴(yán)重的破壞;2014年，黑客集團(tuán)Dragonfly制造“超級電廠”病毒，能夠阻斷電力供應(yīng)或破壞、劫持工業(yè)控制設(shè)備，全球上千座發(fā)電站遭到攻擊;2016年，烏克蘭電力公司的網(wǎng)絡(luò)系統(tǒng)遭到黑客攻擊，導(dǎo)致大規(guī)模的停電，成千上萬的家庭在黑暗中度過……

　　自德國漢諾威工業(yè)博覽會提出工業(yè)4.0戰(zhàn)略開始，全球都刮起了第四次工業(yè)革命的熱潮，工業(yè)化與信息化的融合趨勢日漸明顯，但其孱弱的保護(hù)機制成為了工業(yè)網(wǎng)絡(luò)的短板，如果不加以重視，上面的工業(yè)安全事故只會越來越多!根據(jù)Gartner旗下CEB最新的調(diào)查發(fā)現(xiàn)，近20%的企業(yè)機構(gòu)在過去三年內(nèi)至少觀察到一次基于物聯(lián)網(wǎng)的攻擊，智能化工業(yè)要想繼續(xù)穩(wěn)定發(fā)展，首當(dāng)其沖需要解決的就是工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題。對此，作為適應(yīng)IIoT和工業(yè)4.0大趨勢的面向未來產(chǎn)品的主要供應(yīng)商之一的ADI提出了具體解決方案。

　　工業(yè)4.0的安全憂思下，ADI種入“信任根”

　　目前，為了有效解決問題，在整個工業(yè)領(lǐng)域中依舊存在將網(wǎng)絡(luò)安全問題視為IT問題的情況，保障工業(yè)控制系統(tǒng)安全(ICS)依賴于限制對網(wǎng)絡(luò)和設(shè)備的訪問，通過信息技術(shù)(IT)解決方案監(jiān)控網(wǎng)絡(luò)流量。

　　然而隨著工業(yè)4.0的出現(xiàn)，工廠中設(shè)備控制的訪問權(quán)限和可訪問性逐漸增加。這意味著對數(shù)據(jù)的訪問權(quán)限增加以擴大透明度，減少網(wǎng)絡(luò)規(guī)劃，縮減資本支出，降低運營支出，提高帶寬并優(yōu)化機器互通。由此可見，傳統(tǒng)方法(例如設(shè)置防火墻和將設(shè)備置于閉鎖門之后)與工業(yè)4.0的目標(biāo)相悖，將不再足以保障ICS安全。

　　ADI認(rèn)為要保證數(shù)據(jù)的安全性，安全功能應(yīng)當(dāng)盡早實施，最好是在系統(tǒng)信號鏈開始的時候，也就是從實際的物理世界轉(zhuǎn)向數(shù)字世界的時候。這個期間就是“最有效點”。這個最有效點要求高度有效的數(shù)據(jù)完整性和硬件身份識別，如此才能實現(xiàn)最高級別的數(shù)據(jù)安全性，使得操作系統(tǒng)對數(shù)據(jù)安全有信心。在硬件級別實現(xiàn)身份識別和完整性，即將保護(hù)特性嵌入硅片中，是產(chǎn)生適當(dāng)數(shù)據(jù)安全性的最有希望的方法。這就是所謂信任根開始的地方。

　　信任根是一組相關(guān)的安全功能，其將設(shè)備中的加密過程作為一個很大程度上獨立的計算單元加以控制。為實現(xiàn)安全數(shù)據(jù)傳輸，通常要按順序一環(huán)套一環(huán)地執(zhí)行一系列步驟，控制硬件和軟件組件。各個步驟的順序確保數(shù)據(jù)通信按照期望無害地進(jìn)行。所有這些安全功能都應(yīng)放在單獨的受保護(hù)執(zhí)行環(huán)境中，與設(shè)備的實際應(yīng)用分開，保證代碼中沒有可能導(dǎo)致設(shè)備間接損壞的錯誤。

　　多個維度入手，ADI這樣植入工業(yè)4.0的“信任根”

　　ADI公司為了滿足工業(yè)環(huán)境中日益增長的安全需求，一直致力于在其產(chǎn)品和開發(fā)中植入信任根的概念，在所有聯(lián)網(wǎng)的地方引入安全性。為其關(guān)注的領(lǐng)域或行業(yè)提供適當(dāng)?shù)目构舢a(chǎn)品，從而確?？蛻粜湃味茸罡撸@著提高其應(yīng)用的價值。

　　植入“信任根”，可以從可靠性和功能安全入手。ADI認(rèn)為功能安全在工業(yè) 4.0 中發(fā)揮著重要作用，ADI還將工業(yè)應(yīng)用中所用集成電路設(shè)計的功能安全標(biāo)準(zhǔn)IEC 61508來擴展業(yè)已非常嚴(yán)格的新產(chǎn)品開發(fā)流程，確保 IEC61508 要求的額外安全計劃、安全分析、驗證和確認(rèn)得以執(zhí)行。

　　信號隔離是實現(xiàn)工業(yè)功能安全中的一個重要方面。ADI專利的數(shù)字隔離技術(shù)iCoupler?很好的替代了傳統(tǒng)的光耦隔離，實現(xiàn)了更加安全、可靠且EMC魯棒的解決方案。iCoupler系列數(shù)字隔離產(chǎn)品已經(jīng)過測試，并獲得多家監(jiān)管機構(gòu)認(rèn)證，包括UL、CSA、VDE、TüV、CQC、ATEX和IECEx，不會因為電氣條件惡劣的工業(yè)環(huán)境中可能出現(xiàn)的高壓瞬變和電涌等而受到影響。這種增強的EMC魯棒性可縮短系統(tǒng)的設(shè)計和測試時間，從而加快上市時間。

　　工業(yè)4.0，網(wǎng)絡(luò)連接將是安全最重要的部分之一。為解決工業(yè)以太網(wǎng)的連接，ADI推出了多協(xié)議交換芯片fido5000系列，以應(yīng)對未來的工業(yè)4.0應(yīng)用各種常見的網(wǎng)絡(luò)拓?fù)?，而所有這些都由單個硅片解決方案實現(xiàn)。更關(guān)鍵的是fido5000支持時間敏感型網(wǎng)絡(luò) (TSN)，未來基于TSN的工業(yè)以太網(wǎng)應(yīng)用的需求將能夠滿足運動控制或安全等應(yīng)用非?？量痰膶崟r要求。

　　除此之外，ADI還提供了基于fido5000電路板級完整解決方案的RapID平臺。RapID平臺實現(xiàn)了所有常見的工業(yè)以太網(wǎng)協(xié)議，可輕松集成到非以太網(wǎng)現(xiàn)場設(shè)備中，使得現(xiàn)場設(shè)備能夠滿足工業(yè)4.0應(yīng)用的要求。RapID平臺另一個重要功能是動態(tài)集成的Web服務(wù)器。通過此功能，它允許用戶很方便得讀取和修改網(wǎng)絡(luò)參數(shù)，輸入及輸出數(shù)據(jù)。并且能夠?qū)崿F(xiàn)多項安全功能，包括提供密鑰生成/管理、安全啟動、安全更新和安全存儲器訪問，從而防止網(wǎng)絡(luò)綁定攻擊。

　　工業(yè)應(yīng)用中無線網(wǎng)絡(luò)連接的安全性更加敏感，而ADI的SmartMesh嵌入式無線傳感器網(wǎng)絡(luò)在最具挑戰(zhàn)性的環(huán)境中>99.999% 的數(shù)據(jù)可靠性，從而從功能上確保數(shù)據(jù)傳輸?shù)目煽堪踩?。而特別值得一提的是，SmartMesh還具有加密、身份驗證和消息完整性檢查功能，更進(jìn)一步保證傳感器網(wǎng)絡(luò)在數(shù)據(jù)前端傳輸?shù)陌踩浴?/P>

　　此外，ADI現(xiàn)提供基于硬件的新型身份識別解決方案，可在工廠控制環(huán)路內(nèi)實現(xiàn)網(wǎng)絡(luò)邊緣的安全性，并改善現(xiàn)場設(shè)備的安全狀況以滿足安全標(biāo)準(zhǔn)和要求。通過將安全功能與TSN特性相結(jié)合，ADI在工業(yè)網(wǎng)絡(luò)邊緣實現(xiàn)了最先進(jìn)的現(xiàn)場設(shè)備通信解決方案，以易于使用的模式加快客戶產(chǎn)品上市和工業(yè)4.0的采用，ADI將來的1Gbps TSN (switch 芯片 + PHY芯片) 將進(jìn)一步幫助解決工業(yè)現(xiàn)場高可靠性網(wǎng)絡(luò)帶寬問題。

　　本文結(jié)語

　　如何在工業(yè)4.0的應(yīng)用中盡早植入信任根?一個決定性因素是在項目定義階段及早與這方面的領(lǐng)先解決方案企業(yè)展開合作。這樣，最基本的安全要求將能被納入設(shè)計中，從而保護(hù)整個信號鏈。因此，身份可能直接在信號鏈的傳感器節(jié)點處就已經(jīng)嵌入物理層面，確保用戶對數(shù)據(jù)通信的安全性更有信心。本文從工業(yè)應(yīng)用中的安全考慮著手，給出了ADI的思考和方法論，對迎接即將到來的未來工業(yè)變革將有借鑒意義。

（轉(zhuǎn)載）