工業(yè)控制系統(tǒng)（ICS）中的網(wǎng)絡(luò)安全有望推遲工業(yè)4.0的采用。許多企業(yè)領(lǐng)導(dǎo)者發(fā)現(xiàn)很難理解ICS網(wǎng)絡(luò)安全挑戰(zhàn)，因?yàn)橛性S多因素導(dǎo)致其復(fù)雜性。此外，為工業(yè)控制系統(tǒng)開發(fā)解決方案的工程師可能沒有看到設(shè)備級(jí)別的重大網(wǎng)絡(luò)安全要求。保護(hù)工業(yè)控制系統(tǒng)的傳統(tǒng)方法依賴于限制對(duì)網(wǎng)絡(luò)和設(shè)備的訪問，并通過信息技術(shù)（IT）解決方案監(jiān)控網(wǎng)絡(luò)流量。在工廠中處理設(shè)備的產(chǎn)品負(fù)責(zé)人會(huì)發(fā)現(xiàn)很容易將網(wǎng)絡(luò)安全視為IT問題。然而，隨著工業(yè)4.0的到來，保護(hù)工業(yè)控制系統(tǒng)的傳統(tǒng)方法將不再足夠。如果公司沒有解決邊緣設(shè)備安全問題的戰(zhàn)略，ICS網(wǎng)絡(luò)安全的挑戰(zhàn)最終將推遲工業(yè)4.0的采用。為了采用和利用工業(yè)4.0，網(wǎng)絡(luò)安全需要成為業(yè)務(wù)計(jì)劃的關(guān)鍵部分。ADI公司認(rèn)識(shí)到工業(yè)4.0給市場(chǎng)帶來的挑戰(zhàn)。盡管工業(yè)市場(chǎng)傳統(tǒng)上變化緩慢，但工業(yè)4.0的采用速度超過了預(yù)期。隨著這些變化，網(wǎng)絡(luò)安全正在成為采用工業(yè)4.0最具挑戰(zhàn)性的障礙之一。ICS網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和指南已經(jīng)到位或正在建立，以保護(hù)工廠的安全，但它們沒有提供有關(guān)如何加速工業(yè)4.0計(jì)劃的指導(dǎo)。我們的使命是通過擴(kuò)展安全邊緣并使其更容易實(shí)施安全性，使我們的客戶能夠更快地采用工業(yè) 4.0 解決方案。

圖1.邊緣設(shè)備需要過渡才能采用工業(yè) 4.0。

工業(yè)4.0正在改變工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全

工業(yè)4.0正在改變ICS網(wǎng)絡(luò)安全問題是有原因的。工業(yè)4.0的本質(zhì)是增加工廠中設(shè)備的控制訪問和可訪問性。這意味著增加對(duì)數(shù)據(jù)的訪問，以擴(kuò)大透明度、減少網(wǎng)絡(luò)規(guī)劃、降低資本支出、降低運(yùn)營(yíng)支出、提高帶寬并優(yōu)化機(jī)器互通。增加控制的可訪問性和可訪問性意味著工廠系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估正在發(fā)生變化。ICS網(wǎng)絡(luò)安全解決方案需要適應(yīng)不斷變化的風(fēng)險(xiǎn)，而應(yīng)用于系統(tǒng)的傳統(tǒng)對(duì)策，如防火墻和將設(shè)備放在鎖著的門后面，與工業(yè)4.0的目標(biāo)背道而馳。這意味著設(shè)備需要經(jīng)過安全強(qiáng)化，才能以安全方法啟用增強(qiáng)功能。身份和完整性將成為現(xiàn)場(chǎng)每臺(tái)設(shè)備的核心，以實(shí)現(xiàn)可信數(shù)據(jù)和安全操作。

工業(yè)市場(chǎng)上有許多不同的標(biāo)準(zhǔn)，為在工業(yè)控制系統(tǒng)中實(shí)施安全性提供指導(dǎo)。例如，NIST為美國(guó)治理提供安全指導(dǎo)。IEC 62443是針對(duì)歐洲治理的國(guó)際市場(chǎng)的草案安全標(biāo)準(zhǔn)。這是兩個(gè)最主要的標(biāo)準(zhǔn)，為實(shí)施安全和評(píng)估工業(yè)控制系統(tǒng)的安全狀況提供了有用的指南;但是，它們沒有就如何加速工業(yè)4.0的采用提供指導(dǎo)。IEC 62443目前沒有任何在PLC以下實(shí)施安全性的指南，最近成立了一個(gè)ISA99工作組，以解決IEC 62443框架內(nèi)工廠底層的網(wǎng)絡(luò)安全問題。如今，為了滿足可接受的系統(tǒng)安全狀況，必須對(duì)未達(dá)到足夠安全級(jí)別的設(shè)備應(yīng)用對(duì)策。這些對(duì)策通常依賴于防火墻等方法來限制訪問以及隔離或隔離易受攻擊的設(shè)備。未來，設(shè)備將需要達(dá)到更高的安全級(jí)別，以實(shí)現(xiàn)向工業(yè)4.0的過渡。

ADI公司：擴(kuò)展工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全邊緣

ADI公司在擴(kuò)展安全邊緣方面處于獨(dú)特的地位。我們的傳統(tǒng)市場(chǎng)空間處于物理邊緣，現(xiàn)實(shí)世界被轉(zhuǎn)換為數(shù)字信號(hào)，數(shù)據(jù)誕生。這使我們有機(jī)會(huì)通過在信號(hào)鏈中更早地提供身份和完整性來建立對(duì)數(shù)據(jù)的信任，并建立安全邊緣的新定義。傳統(tǒng)上，安全邊緣起源于工業(yè)控制系統(tǒng)安全框架中的網(wǎng)關(guān)、PLC 甚至服務(wù)器。

圖2.實(shí)現(xiàn)最高的決策可信度：在物理到數(shù)字轉(zhuǎn)換發(fā)生的地方。

這種觀點(diǎn)讓人想起工廠的傳統(tǒng)IT網(wǎng)絡(luò)安全觀點(diǎn)，但它在整個(gè)行業(yè)中仍然存在。在信號(hào)鏈中降低安全邊沿的前景是誘人的，因?yàn)樗梢蕴岣邔?duì)根據(jù)該數(shù)據(jù)做出的決策的信心。在信號(hào)鏈中越早建立身份和完整性，對(duì)驅(qū)動(dòng)決策的數(shù)據(jù)就越信任和信心。

ICS網(wǎng)絡(luò)安全不能通過一刀切的解決方案來解決，必須根據(jù)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估采用和應(yīng)用深入的防御方法。ADI公司制定了擴(kuò)展ICS網(wǎng)絡(luò)安全深度的戰(zhàn)略，因?yàn)?a target="_blank">以太網(wǎng)在邊緣采用。實(shí)現(xiàn)工業(yè)4.0需要工廠采用新的連接方法。這意味著以太網(wǎng)已經(jīng)并將繼續(xù)在工業(yè)控制系統(tǒng)中發(fā)揮更大的作用。ADI公司的安全策略是關(guān)注以太網(wǎng)連接的位置，因?yàn)檫@會(huì)顯著改變網(wǎng)絡(luò)上任何一個(gè)設(shè)備對(duì)系統(tǒng)的影響。我們當(dāng)前的工業(yè)以太網(wǎng)解決方案和TSN解決方案系列一直是我們安全開發(fā)的重點(diǎn)。在短期內(nèi)，提供2端口，多協(xié)議連接的RapID平臺(tái)fido5000將啟用安全功能，提供密鑰生成/管理，安全啟動(dòng)，安全更新和安全內(nèi)存訪問，以防止網(wǎng)絡(luò)綁定攻擊。該產(chǎn)品系列路線圖包括單芯片解決方案，這些解決方案具有硬件信任根、安全設(shè)備生命周期管理、安全通信/相互身份驗(yàn)證和篡改保護(hù)。隨著行業(yè)繼續(xù)采用具有更高智能性的傳感器，連接性將在工廠中延伸，從而在設(shè)備級(jí)別提出額外的安全要求。ADI公司致力于開發(fā)安全產(chǎn)品組合，使ICS安全解決方案的采用更加容易，并在邊緣建立信任，以加速工業(yè)4.0的采用。

審核編輯：郭婷