1258
伴随着工业自动化以及产能的进一步升级,大型工厂也将向高度集成化方向转变。与之相关,电子行业的转变则主要集中在供电方案,IOT控制,与信息安全层面。
本文则主要讨论在工业4.0发展进程下,工业领域的信息安全,以及与之相关的电子方案对比:
大型工业网络正由单纯的OT向OT+IT的整合形式改变,行业领先的服务商已经开始综合布局相关产业。大型工业包含大量小型连接传感器,都可能成为系统的潜在入口点,受感染的个人电脑也可能对合并OT和IT流量的工厂造成问题。因此不论是物联网,亦或是集成化工业,面对产业升级,势必增强整体集成商安全防护,进而带动新的市场需求。
信息安全,主要针对的是Cyber Attack,对象是通过连接互联网的设备和系统访问系统,例如传感器、可编程逻辑控制器(plc)、分布式控制系统(dcs)以及IIoT(工业物联网)设备中的其他传感器,例如智能报警器、智能断路器等。这些工业自动化和控制系统(IACS)容易受到恶意软件、数据泄露和泄露的攻击。随着工业物联网设备在传统系统和解决方案中的集成不断增加,关键基础设施和其他工业控制系统网络越来越容易受到网络攻击。
对抗这种日益增长的威胁的最佳方法是在产品或系统级别建立保护。从本质上讲,使用设计安全的理念、标准和对策,可以在网络攻击开始之前就阻止它。这里就引入了信息安全的概念以及行业标准。
信息安全概念解读:
其实,信息安全本身就是一个很宽泛的概念。早在这个概念被引入工业领域之前,工业领域,本身就根据应用存在安全标准。笔者从比较容易理解和区分的角度切入——信息安全概念的产生,主要因为产品设备开始联网之后,网络攻击成为一种真正的风险,因此引入信息安全的概念,并制定相关标准,指导企业生产设计,提高工业系统之间的互连和兼容性,规范标标准通信协议。
这里,引入行业最为广泛应用的标准——ISA/IEC 62443系列标准作为讨论主体,此标准定义了实施和维护电子安全工业自动化和控制系统(IACS)的要求和流程。是应对网络安全挑战整体的方法,弥合了运营和信息技术之间的差距,以及流程安全和网络安全之间的差距。(笔者注:针对全部IACS工业自动化和控制系统(Industrial automation and control systems)的行业设定了网络安全基准,包括楼宇自动化、发电和配电、医疗设备、运输以及化工、石油和天然气等流程行业。参与机构则包含:国际自动化学会(ISA)、国际标准化组织(ISO)和国际电工委员会(IEC)。)
其实这样解读还是过于书面化,笔者在翻看ISA的官网介绍时也觉得略有拗口,如果稍微侠义地理解,信息安全的本质是——通过算法加密以及安全验证,保证信息传输,命令控制不被第三方篡改。
如果广义全面的理解,信息安全标准包含很多,涵盖了工厂在人员、流程和技术等多方面指导。ISA/IEC 62443系列涉及工业自动化和控制系统(IACS)整个生命周期的安全性(适用于所有自动化和控制系统,而不仅仅是工业系统,所以其实IEC62443标准已经包含了信息安全,与安全生产(功能安全包含其中)等综合信息。这也比较好理解,单纯的算法加密不能绝对保证系统安全运行,要在其他区块有序工作的前提下。(It is important to introduce the three basic roles that help protect industrial facilities from cyber attacks.)(笔者注:这里涉及较多的终端需求客户包括Equifax、Target、SolarWinds等行业巨头,以及世界各地的大学、公用事业和政府机构。这些攻击包括数据泄露和盗窃、勒索软件、系统渗透和身份盗窃,以及全国范围内对电力和水等关键基础设施的攻击。)
Picture from ISA website.
行业标准解读:
ISA/IEC 62443分为四个层次(通用、策略和过程、系统和组件)。其实是分四个部分,一般根据经验,企业产品需要通过3-3以及4-2认证,与设备,以及组件相关的重点是第四部分4-1和4-2。
从更宏观的概念,ISA/IEC 62443定义了工业控制系统的概念,引入了一个五级功能参考模型,将这些功能级别划分为区域和管道,并定义了系统安全的基本要求(基本要求- FR)。同样也被认为是工业自动化和控制系统(IACS) industrial automation and control system的是任何控制系统及其相关的通信手段(OSI模型的第2级或第3级)以及对其实现有用的接口。本地和/或分布式工业控制系统(也称为SCADA)通常由以下部分组成:
- DCS(分布式控制系统)
- PLC(可编程逻辑控制器)
- RTU(远程终端单元)
- BPCS(基本过程控制系统)
- 安全仪表系统(SIS)
- 通信系统(L2和L3 OSI模型,如交换机、调制解调器、路由器、无线通信设备、防火墙等)。
对应在安全方面的表现为——
- FR1—识别、身份验证控制和访问控制(AC)—在允许访问IACS之前识别和验证所有用户(人工、流程和设备)。
- FR2 -用户控制(UC):确保所有识别的用户(人、进程和设备)都有权限在系统上执行所需的操作,并监控这些权限的使用。
- FR3 -数据完整性(DI):确保通信通道和存储目录中设备和信息的完整性(防止未经授权的更改)。
- FR4 -数据机密性(DC):确保通过通信通道和存储目录的信息不被分散。
- FR5 -限制数据流(RDF) -将系统划分为区域和管道,以避免不必要的数据传播。
- FR6 -事件及时响应(TRE):通过及时报告和及时决策来响应安全漏洞。
- FR7 -资源可用性(RA) -在拒绝服务攻击期间确保系统和资产可用性。
Physical architecture model of an industrial network Picture from Cisco Lab website.
在市面上,集合服务系统与网络设备一起工作的公司,可以提供对应整体解决方案,包含用户、时间、位置、威胁、漏洞和访问类型等属性的全面上下文身份。这个身份(人的或其他身份)可用于执行与身份的业务角色匹配的高度安全的访问策略。管理员可以对允许网络上的端点的人员、内容、时间、位置和方式进行精确控制。同时操作系统可以集成多个外部身份提供者,举例如Microsoft Active Directory。
具体在应用层面的安全流程为——集成商(提供操作系统和网络设备的方案公司)提供了易于部署的内部证书颁发机构。(笔者注:这里大部分均可支持独立部署,也支持证书颁发机构与现有企业公钥基础设施集成的部署,并支持手动创建批量或单个证书和密钥对,以高度安全的方式将设备连接到网络。)对于人类用户访问工厂车间的Windows工作站或远程进入网络,平台可以提供多因素身份验证(MFA),在授予访问权限之前验证用户身份。为Windows登录安装Duo身份验证会为所有交互式用户Windows登录尝试添加MFA,无论是在本地控制台还是通过远程桌面协议(RDP)均可。
同时,方案商还会提供资产清单和流量数据的可见性。它还可以检测使用明文协议发送的凭据的存在,使管理员有机会在中间人攻击发生之前补救这种情况。
从产品设备层面:
与一般的ISO/IEC标准不同的是,若想取得IEC 62443-4-2与IEC 62443-3-3的证书,必须先通过IEC 62443 -4-1的认证,也就是说对产品供应商而言,必须先确保机构内产品开发流程的安全,才能申请产品安全认证。目前优先经受市场考验的主要为IoT设备。海外市场越来越多的被要求提供安全等级(Security Level)证明,而IEC 62443 -4-2规范便是对应安全等级(Security Level)的要求细节,因此随着市场对安全需求的增加,IEC62443-4-2认证也日显重要。
验证IEC 62443-4-2,首先须依据IEC 62443-4-1定义的开发流程来实际制作IEC 62443-4-2的组件,组件涵盖软件应用(Software Application)、嵌入式设备(Embedded device)、网通设备(Network device)以及控制设备(Host device)四类,同时技术安全也需满足自订的安全等级(Security Level)目标下的所有要求项目,才能顺利取得证书。(笔者注:关于安全流程评估,会有第三方专业公司例如Security Pattern等公司可以提供评估的指导资源,以解决威胁、漏洞和潜在后果)
ISA/IEC 62443标准通常指安全密钥存储或加密密钥保护。加密算法是用于执行数学函数的指令,从硬件的角度来说,如果没有触发数学运算的相关密钥的保护,实际上根本没有安全性,因此安全的密钥存储立即变得至关重要。安全密钥存储既保护设备物理边界内的加密操作,也保护加密密钥。密钥和算法必须包含在设备中的相同安全边界中,以便在事务期间不能暴露它们。安全密钥存储的鲁棒性测试符合定义密钥保护鲁棒性的通用标准联合解释库(JIL)评级量表。
ISA/IEC 62443要求“安全密钥存储”或保护加密密钥。这不是含糊不清的安全术语,而不是硅设计的特定功能。一种安全的密钥存储或保护行为。密钥包括实现一个物理安全边界,其中包括加密操作和加密键。如果密钥和算法不在同一安全边界中,则密钥将在期间的某个时刻暴露事务。
ISA/IEC 62443-4-2中,有专门列出安全要求以及对应描述:
那些适用于所有类型组件的组件需求被标记为“CR”,而其他的要求根据所适用的组件类型进行标记(分别为:EDR嵌入式设备、SAR软件应用、HDR主机设备、NDR(Network Devices).
IEC 62443-4-1标准定义了有效的如标识和身份验证、代码签名、开发环境安全和硬件安全。组织可以为每个需求选择成熟度级别;然而,为了获得认证,遵守所有要求是很重要的。一个组织获得IEC62443-4-1认证从任何IEC/ISA批准的全球认证机构,如Underwriters Laboratories (UL), Intertek, TÜV, CertX和其他,为安全开发生命周期保证(SDLA),当它证明符合所有要求。
这些具象化到系统集成商的能力体现,可以表现为几个方面,有些包含硬件设计,有些则主要体现在系统架构方面比如:
最小化攻击面积。每当向现有产品或系统添加新特性时,都会给整个系统增加一定数量的安全风险。从安全的角度来看,组织通过各种可能的方法来寻找减少和最小化攻击面的总体大小的方法是非常重要的,具体减少接口的方式包含:减少用户角色数量,避免存储不需要的机密数据,禁用不需要或不总是需要的特性,引入操作控制,如Web应用程序防火墙(WAF)和其他入侵检测和防御系统。例如,一个产品从功能设计上,是可以使用各种开放端口和服务进行操作的。但是在安全原则下,可以反思是否所有端口和服务都需要,甚至在任何时候都可以使用,进而删除不需要的端口和服务来减少攻击面,使其更加安全。这点转化到硬件上,则体现为——从生产硬件的开发过程中使用的电路板上删除调试端口、标头和迹线。这些方式可以规避转储固件或提取关键信息(如密钥和密码)来破坏产品或系统。
Turn Key solution默认关闭不需要运行的端口和服务。还是有些抽象,具体到行为可以包含,默认为仅http,第一次登录时立即提示修改密码,禁用所有不安全服务等,发生风险行为时弹窗提示等等。(备注:IEC62443-4-1中提到,默认情况下直接启用密码老化或密码复杂性等安全特性)。
3)限制权限,比如限制用户权限,限制资源权限,比如CPU限制、内存、网络和文件系统权限,以及服务器上的应用程序对数据库只读访问,对审计日志文件的读写访问等。举例说明,在Linux系统中,默认情况下,所有进程都不应该以root特权运行。类似地,在Microsoft Windows中,所有应用程序都不应该总是需要Admin系统特权才能运行。
4)纵深防御,以分层的方式部署更多的安全控制。例如,系统集成产品安装在单独的网络上,防火墙被放置在不同的网络之间,安全事件和访问记录在产品、系统和网络级别。
5)使用安全的组件和设计,对于产品和系统开发,只应该使用经过验证的设计或设计模式。开发人员应该使用行业标准和经过批准的加密算法(如国家标准与技术研究所(NIST)和联邦信息处理标准出版物(FIPS)),安全协议的操作模式必须用于所有功能,如加密或固件真实性检查。只要存在经过验证的安全设计解决方案,开发人员就应该避免创建自己的算法。当使用第三方开源代码或商用现货硬件或软件时,确保尽可能只使用安全组件是很重要的。确认固件和应用软件只包含所需功能的代码——识别并删除死代码。确保从生产中的产品或系统中删除任何调试或开发特性(硬件或软件)。
6)软件的完整性,产品的软件或固件更新应该使用标准的加密机制来建立真实性和完整性。这通常是使用数字签名实现的,例如非对称加密技术和公钥基础设施(PKI),可用于检测针对原始预安装版本的软件或固件完整性的任何更改。数字签名算法,如RSA或DSA,是公钥加密。在公钥加密(非对称加密)中,使用一个与公钥配对的私钥进行身份验证。旧的私钥密码学(称为对称加密)使用单个密钥对数据传输进行加密和解密。在物联网系统中,经常的情况是如密钥对于所有产品都不是唯一的,将有可能允许恶意用户为该领域中的所有此类产品创建有效的固件映像,公钥密码学则不存在这种情况。
综上其中的1,2,5,6几点,均与硬件设计和安全芯片息息相关,那么下文将尝试横向对比,比如与Security Pattern合作的安全芯片以及提供的能力,简单了解安全芯片能做的事情。
从安全芯片以技术支持层面:
行业内较为全面领先,并与Security Pattern有合作的芯片头部公司包含NXP,Microchip,以及华大半导体,因为部分资料并非完全公开,因此如下图做出简单对比。综合来看,从完整对信息安全的理解,代码支持,API接口调用支持,demo板等层面,Microchip与NXP相对完善,也各自推出了适应平台。(笔者注:以上信息来源于互联网公开AN,以及新闻资料和官网内容,不全面部分欢迎读者伙伴帮忙补充参考。)
这种现成的解决方案与广泛的mcu和mpu兼容,还可以支持高级操作系统,如Linux、Windows、Android和实时操作系统。此外,工程师可以从广泛的开发工具、代码示例、硬件开发工具包和详细的文档中受益,以减少开发成本和上市时间。
参考资料:
ISA-62443-1-1-2007, Security for industrial automation and control systems, Part 1-1: Terminology, concepts, and models
ISA-62443-2-1-2009, Security for industrial automation and control systems, Part 2-1: Establishing an industrial automation and control systems security program
ANSI/ISA-62443-3-2-2020, Security for industrial automation and control systems, Part 3-2: Security risk assessment for system design
ANSI/ISA-62443-3-3-2013, Security for industrial automation and control systems, Part 3-3: System security requirements and security levels
ANSI/ISA-62443-4-1-2018, Security for industrial automation and control systems, Part 4-1: Secure product development lifecycle requirements
(Editorial corrigendum issued in December 2020 changed title from ANSI/ISA-62443-4-1-2018, Security for industrial automation and control systems, Part 4-1: Product security development life-cycle requirements, to parallel IEC 62443-4-1 title; there were no other changes.)
ANSI/ISA-62443-4-2-2018, Security for industrial automation and control systems, Part 4-2: Technical security requirements for IACS components
注解:
RSA、DSA、ECDSA、EdDSA和Ed25519都可以用于数字签名,加密只能使用RSA。
RSA (Rivest-Shamir-Adleman)是最早的公钥密码系统之一,广泛用于安全的数据传输。它的安全性依赖于整数分解,因此永远不需要安全的RNG(随机数生成器)。与DSA相比,RSA验证签名的速度更快,但生成签名的速度较慢。
DSA (Digital Signature Algorithm)是美国联邦政府制定的数字签名信息处理标准。它的安全性取决于离散对数问题。DSA生成签名的速度比RSA快,但验证速度比RSA慢。如果使用了错误的号码生成器,安全性可能会受到损害。
椭圆曲线数字签名算法(ECDSA)是数字签名算法(DSA)的椭圆曲线实现。椭圆曲线密码学可以用更小的密钥提供与RSA相对相同的安全级别。DSA也有对不良rng敏感的缺点。
EdDSA (Edwards Curve Digital Signature Algorithm)是一种基于扭曲Edwards曲线的Schnorr签名变体的数字签名方案。在EdDSA中,签名的创建是确定性的,其安全性基于某些离散对数问题的棘手性,因此它比DSA和ECDSA更安全,后者要求每个签名都具有高质量的随机性。
Ed25519是一个EdDSA签名方案,但是使用了SHA-512/256和Curve25519;它是一条安全的椭圆曲线,提供了比DSA、ECDSA和EdDSA更好的安全性,具有更好的性能(人的注意力)。
ECC(Elliptic Curves Cryptography)
椭圆曲线密码编码学。ECC和RSA相比,具有多方面的绝对优势,主要有:抗攻击性强。相同的密钥长度,其抗攻击性要强很多倍。计算量小,处理速度快。
DES(Data Encryption Standard)
数据加密标准,速度较快,适用于加密大量数据的场合
SHA1:是由NISTNSA设计为同DSA一起使用的,它对长度小于264的输入,产生长度为160bit的散列值,因此抗穷举(brute-force)性更好。
