本文探討了IEC 62443標準系列的基本原理和優勢，這是一套旨在確保網絡安全彈性和保護關鍵基礎設施和數字工廠的協議。這個領先的標準提供了廣泛的安全層；然而，這對尋求認證的人提出了幾個挑戰。我們將解釋安全IC如何為努力實現工業自動化控制系統（IACS）元件認證目標的組織提供重要幫助。

　　盡管潛在的網絡攻擊越來越復雜，但IACS此前在采取安全措施方面行動遲緩。這部分是由于這種系統的設計者和操作者缺乏共同的參考。IEC 62443標準系列為更安全的工業基礎設施提供了一條前進的道路，但企業必須學會如何駕馭其復雜性，并理解這些新的挑戰，以便成功地利用它。

　　工業系統處于危險之中

　　水分配、污水處理和電網等關鍵基礎設施的數字化使不間斷接入成為日常生活的必要條件。然而，網絡攻擊仍然是導致這些系統中斷的原因之一，而且預計還會增加。［1］

　　工業4.0呼喚高度互聯的傳感器、執行器、網關和聚合器。連通性的提高增加了潛在網絡攻擊的風險，使得安全措施比以往任何時候都更加重要。美國網絡安全和基礎設施安全局（CISA）等組織的成立表明了保護關鍵基礎設施并確保其抵御網絡攻擊的重要性和決心。［2］

　　為什么選擇IEC 62443？

　　2010年，震網病毒的出現使工業基礎設施陷入脆弱狀態。［3］ Stuxnet是世界上第一次公開的網絡攻擊，表明攻擊可以成功地從遠處瞄準IACSs。隨后的攻擊鞏固了這樣一種認識，即工業基礎設施可以通過針對特定類型設備的遠程攻擊而受到損害。

　　政府機構、公用事業公司、IACS用戶和設備制造商很快意識到IACS需要保護。政府和用戶自然傾向于組織措施和安全政策，而設備制造商則研究可能的硬件和軟件對策。然而，采取安全措施的速度很慢，原因是：

　　基礎設施的復雜性

　　利益相關者的不同利益和關注

　　各種實現和可用選項

　　缺乏可衡量的目標

　　總的來說，利益相關者面臨著不確定性，無法確定目標的正確安全級別，這是一個在保護和成本之間小心平衡的級別。

　　國際自動化協會（ISA）成立了工作組，在ISA99倡議下建立共同參考，最終導致了IEC 62443系列標準的發布。這組標準目前分為四個級別和類別，如圖1所示。由于范圍廣泛，IEC 62443標準涵蓋了組織政策、程序、風險評估以及硬件和軟件組件的安全性。該標準的完整范圍使其具有獨特的適應性并反映了當前的現實。此外，國際海底管理局在處理IACS所涉所有利益攸關方的各種利益時，采取了全面的方針。一般來說，不同的利益相關者對安全性的關注是不同的。例如，如果我們考慮知識產權盜竊，IACS運營商將對保護制造過程感興趣，而設備制造商可能關心保護人工智能（AI）算法免受逆向工程。

　　圖一。IEC 62443是一個全面的安全標準。

　　此外，因為IACS本質上是復雜的，所以必須考慮整個安全范圍。如果沒有安全設備的支持，僅有程序和政策是不夠的，而如果程序沒有正確定義安全使用，健壯的組件是無用的。

　　圖2中的圖表顯示了通過ISA認證的IEC 62443標準的采用率。正如預期的那樣，由行業關鍵利益相關者定義的標準加速了安全措施的實施。

　　圖二。一段時間內ISA認證的數量。［4］

　　符合IEC 62443：一項復雜的挑戰

　　IEC 62443是一個非常全面和有效的網絡安全標準，但它的復雜性令人難以置信。這份文件本身長達近1000頁。獲得對網絡安全協議的清晰理解需要一個學習過程，并且不僅僅是吸收技術語言。IEC 62443的每個部分都必須被理解為一個更大的整體的一部分，因為這些概念是相互依賴的（如圖3所示）。

　　例如，根據IEC 62443-4-2，必須進行針對整個IACS的風險評估，評估結果將決定設備的目標安全級別。［5］

　　圖3。認證流程的高級視圖。

　　最高安全級別要求硬件實施

　　IEC 62443用直白的語言定義了安全級別，如圖4所示。

　　圖4。IEC 62443安全等級。

　　IEC 62443-2-1要求進行安全風險評估。作為該過程的結果，每個組件被分配一個目標安全級別（SL-T）。

　　根據圖1和圖3，標準的某些部分處理流程和程序，而IEC 62443-4-1和IEC 62443-4-2則處理組件的安全性。根據IEC 62443-4-2，組件類型包括軟件應用程序、主機設備、嵌入式設備和網絡設備。對于每個組件類型，IEC 62443-4-2根據它們滿足的組件需求（CR）和需求增強（RE）定義了能力安全級別（SL-C）。表1總結了SL-A、SL-C、SL-T及其關系。

　　表1。安全級別摘要

　　讓我們以聯網的可編程邏輯控制器（PLC）為例。網絡安全要求對PLC進行認證，這樣它就不會成為攻擊的入口。一種眾所周知的技術是基于公鑰的認證。關于IEC 62443-4-2：

　　級別1不考慮公鑰加密

　　第2級要求通常采用的過程，如證書簽名驗證

　　第3級和第4級要求對身份驗證過程中使用的私鑰進行硬件保護

　　從安全級別2開始，需要許多安全功能，包括基于涉及秘密或私有密鑰的加密機制。對于安全級別3和4，在許多情況下需要基于硬件的安全保護或加密功能。這就是工業元件設計人員將從全包式安全IC中受益的地方，其中嵌入了以下基本機制：

　　安全密鑰存儲

　　側信道攻擊保護

　　負責以下功能的命令

　　消息加密

　　數字簽名計算

　　數字簽名驗證

　　這些交鑰匙安全IC使IACS組件開發人員無需將資源投入復雜的安全原始設計。使用安全IC的另一個好處是固有地利用了通用功能和專用安全功能之間的自然隔離。當安全集中在一個元素中而不是分散在整個系統中時，安全功能的強度更容易評估。從這種隔離中還獲得了跨組件的軟件和/或硬件修改的安全功能驗證的保持。無需重新評估整個安全功能即可進行升級。

　　此外，安全IC供應商可以實施非常強大的保護技術，這在PCB或系統級是無法實現的。這是加固的EEPROM或閃存或物理不可克隆功能（PUF）的情況，可以實現對最復雜的攻擊的最高級別的抵抗。總的來說，安全IC是構建系統安全性的重要基礎。

　　在邊緣固定

　　工業4.0意味著隨時隨地感知，因此需要部署更多的邊緣設備。IACS邊緣設備包括傳感器、執行器、機械臂、帶I/O模塊的PLC等。每個邊緣設備都連接到高度網絡化的基礎設施，成為黑客的潛在入口。不僅攻擊面會隨著設備數量的增加而成比例擴大，而且設備的多樣化構成也必然會擴大攻擊媒介的種類。應用安全和滲透測試供應商SEWORKS的首席技術官Yaniv Karta表示：“鑒于現有的平臺，存在許多可行的攻擊媒介，終端和邊緣設備的暴露程度都有所增加。例如，在復雜的IACS中，并非所有傳感器都來自同一個供應商，它們在微控制器、操作系統或通信堆棧方面也不共享相同的架構。每種架構都有潛在的弱點。因此，IACS積累并暴露于其所有的弱點，如米特ATT和CK數據庫［6］或ICS-CERT咨詢所述。［7］

　　此外，隨著工業物聯網（IIoT）在邊緣嵌入更多智能的趨勢，［8］設備正在開發中，以做出自主系統決策。因此，更重要的是確保設備硬件和軟件可信，因為這些決策對系統的安全、運行等至關重要。此外，保護設備開發人員的R&D知識產權投資免遭盜竊——例如與人工智能算法相關的盜竊——是一個常見的考慮因素，可以促使他們決定采用交鑰匙安全IC所能支持的保護措施。

　　另一個要點是，網絡安全不足可能會對功能安全產生負面影響。功能安全和網絡安全的交互是復雜的，討論它們需要一篇單獨的文章，但我們可以強調以下幾點：

　　：C 61508：電氣/電子/可編程電子安全相關系統的功能安全要求根據IEC進行網絡安全風險分析

　　雖然IEC 61508主要側重于危害和風險分析，但每當發生嚴重的網絡安全事件時，它都會要求進行后續的安全威脅分析和漏洞分析。

　　我們列出的IACS edge設備是嵌入式系統。：C 62443-4-2為這些系統定義了特定要求，例如惡意代碼保護機制、安全固件更新、物理防篡改和檢測、信任根供應以及引導過程的完整性。

　　利用ADI公司的安全認證器實現您的IEC 62443目標

　　ADI公司的安全認證器（也稱為安全元件）旨在滿足這些要求，同時兼顧易于實施和成本效益。為主機處理器提供完整軟件堆棧的固定功能IC是交鑰匙解決方案。

　　因此，安全實施工作委托給ADI公司，器件設計師可以專注于自己的核心業務。安全授權碼本質上是信任的根源，提供根密鑰/秘密和代表設備狀態的敏感數據（如固件散列）的安全和不可變存儲。它們具有一套全面的加密功能，包括身份驗證、加密、安全數據存儲、生命周期管理和安全引導/更新。

　　芯片DNA物理不可克隆功能（PUF）技術利用晶圓制造過程中自然發生的隨機變化來生成密鑰，而不是將它們存儲在傳統的閃存EEPROM中。所利用的變異是如此之小，以至于即使是用于芯片逆向工程的最昂貴、最復雜、侵入性的技術（掃描電子顯微鏡、聚焦離子束和微探針）也不足以提取密鑰。集成電路之外的任何技術都無法達到這樣的電阻水平。

　　安全授權碼還支持證書和證書鏈管理。［9］

　　此外，ADI公司在其工廠提供高度安全的密鑰和證書預編程服務，因此原始設備制造商（OEM）可以接收已經提供的器件，這些器件可以無縫加入其公鑰基礎設施（PKI）或支持離線PKI。它們強大的加密功能支持安全固件更新和安全引導。

　　安全授權碼是為現有設計增加高級別安全性的最佳選擇。他們省去了R&D為低BOM成本重新構建安全設備的努力。例如，它們不需要改變主微控制器。例如，在DS28S60和MAXQ1065如圖5所示，安全授權碼滿足所有級別的IEC 62443-4-2要求。

　　DS28S60和MAXQ1065 3 mm × 3 mm TDFN封裝使其適合最受空間限制的設計，其低功耗完美解決了最受功耗限制的邊緣器件。

　　表二。DS28S60和MAXQ1065主要參數匯總

　　已經具有滿足IEC 62443-4-2要求的安全功能的微控制器的IACS組件架構也可以受益于用于密鑰和證書分發目的的安全認證器。這將使原始設備制造商或其合同制造商不必投資處理秘密IC證書所需的昂貴制造設備。這種方法還可以保護存儲在微控制器中的密鑰，以便通過調試工具（如JTAG）提取。

　　圖5。符合IEC 62443要求的安全授權碼功能。

　　結論

　　通過制定和采用IEC 62443標準，IACS利益相關方為可靠和安全的基礎設施鋪平了道路。安全授權碼是未來符合IEC 62443標準的組件的基石，這些組件需要強大的基于硬件的安全性。OEM可以放心地進行設計，因為他們知道安全授權碼將幫助他們獲得他們所尋求的認證。

　　審核編輯：黃飛