1現(xiàn)代數(shù)字工廠的可信邊緣

隨著數(shù)字連接技術(shù)的普及，帶寬不斷提升，從工廠車間到生產(chǎn)流程的每個(gè)角落都能實(shí)時(shí)訪問(wèn)更深層次的信息。然而，這種技術(shù)紅利也帶來(lái)了日益嚴(yán)峻的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。新型工業(yè)以太網(wǎng)技術(shù)基礎(chǔ)設(shè)施通過(guò)為每個(gè)節(jié)點(diǎn)分配IP地址并移除網(wǎng)關(guān)設(shè)備，極大地簡(jiǎn)化了系統(tǒng)架構(gòu)，因此，保護(hù)設(shè)備和系統(tǒng)免受網(wǎng)絡(luò)攻擊顯得尤為重要。

在此背景下，企業(yè)需要認(rèn)真考慮如何構(gòu)建具備抗擊網(wǎng)絡(luò)攻擊能力的工業(yè)自動(dòng)化控制系統(tǒng)(IACS)。

2了解工業(yè)安全漏洞

在工業(yè)環(huán)境中，為了確保運(yùn)行基礎(chǔ)設(shè)施的完整性，需要對(duì)多個(gè)潛在的安全漏洞進(jìn)行防護(hù)。點(diǎn)擊“閱讀原文”，了解四種常見的安全風(fēng)險(xiǎn)。

所有這些風(fēng)險(xiǎn)都可以通過(guò)嵌入關(guān)鍵安全機(jī)制（如安全密鑰存儲(chǔ)）的整套安全I(xiàn)C加以防范，從而減輕IACS組件開發(fā)人員在設(shè)計(jì)復(fù)雜安全原型時(shí)的資源投入。在非安全系統(tǒng)中加入安全I(xiàn)C，可以在不對(duì)架構(gòu)進(jìn)行重新設(shè)計(jì)的情況下顯著提高系統(tǒng)安全性。這種芯片需要專門設(shè)計(jì)，不僅集成強(qiáng)大的加密功能，還需靈活支持多種系統(tǒng)級(jí)安全功能。

3數(shù)字證書和配置

發(fā)送方的數(shù)字簽名可用于證明消息確實(shí)由其發(fā)送，并且內(nèi)容未被篡改。然而，僅依靠數(shù)字簽名無(wú)法證明發(fā)送方的身份。身份證明需要通過(guò)數(shù)字證書實(shí)現(xiàn)。數(shù)字證書是包含公鑰和ID信息的數(shù)字文件，可用于驗(yàn)證密鑰的所有權(quán)。

ADI提供一項(xiàng)服務(wù)，即代表客戶對(duì)證書和密鑰進(jìn)行編程。通過(guò)利用數(shù)字證書和安全配置實(shí)踐，工業(yè)組織可以顯著增強(qiáng)其網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，確保其關(guān)鍵系統(tǒng)和數(shù)據(jù)的完整性、機(jī)密性與真實(shí)性。

4硬件身份驗(yàn)證和安全通信

硬件身份驗(yàn)證過(guò)程從主機(jī)(PLC)和客戶端（現(xiàn)場(chǎng)儀器儀表）之間交換密鑰對(duì)開始。在TLS協(xié)議中，完成服務(wù)器認(rèn)證后，利用對(duì)稱ECDH或ECDHE算法生成共享通信密鑰（即會(huì)話密鑰）。該會(huì)話密鑰進(jìn)一步用于加密有效載荷數(shù)據(jù)，以便服務(wù)器和客戶端可以交換機(jī)密信息。TLS通過(guò)認(rèn)證加密（例如AES GCM或AES CCM）或附加HMAC（基于哈希的消息認(rèn)證代碼）來(lái)保證通信的完整性。通信結(jié)束后，會(huì)話密鑰將被丟棄。

ADI Assure

ADI Assure是一套針對(duì)安全威脅提供強(qiáng)大保護(hù)的產(chǎn)品，提供持久的保證狀態(tài)。借助ADI的可信邊緣解決方案，安全邊界更接近數(shù)據(jù)的來(lái)源，有助于提高對(duì)其真實(shí)性和可信度的信心。ADI致力于幫助客戶快速滿足工業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和監(jiān)管要求，同時(shí)增強(qiáng)他們的防御能力，以應(yīng)對(duì)產(chǎn)品生命周期中不斷變化的安全威脅。ADI的前沿技術(shù)（如ChipDNA PUF、防篡改密鑰存儲(chǔ)和先進(jìn)的加密算法）增強(qiáng)了安全架構(gòu)，并提高了對(duì)侵入性和非侵入性攻擊的防御能力。