【導讀】本文探討了IEC 62443xiliebiaozhundejibenyuanliheyoushi。gaibiaozhunbaohanlezhizaiquebaowangluoanquanrenxingbingbaohuguanjianjichusheshiheshuzigongchangdeyixiliexieyi。zheyilingxianbiaozhuntigongleyigequanmiandeanquanceng；不過也為尋求認證的相關人員帶來了一些挑戰。本文將詳細闡釋安全IC如何為需達成工業自動化控製係統(IACS)組件認證目標的組織提供必要的幫助。

摘要

本文探討了IEC 62443xiliebiaozhundejibenyuanliheyoushi。gaibiaozhunbaohanlezhizaiquebaowangluoanquanrenxingbingbaohuguanjianjichusheshiheshuzigongchangdeyixiliexieyi。zheyilingxianbiaozhuntigongleyigequanmiandeanquanceng
；不過也為尋求認證的相關人員帶來了一些挑戰。本文將詳細闡釋安全IC如何為需達成工業自動化控製係統(IACS)組件認證目標的組織提供必要的幫助。

簡介

盡管網絡攻擊的潛在威脅日益增加
，但工業自動化控製係統（IACS）在采納安全措施方麵進展緩慢。部分原因在於此類係統的設計人員和運營人員缺乏共同的參照標準。IEC 62443係列標準為構建更安全的工業基礎設施提供了一條途徑
，但企業必須學會如何應對其複雜性，並理解這些新挑戰，以成功地加以應用。

工業係統麵臨風險

供水、汙wu水shui處chu理li和he電dian網wang等deng關guan鍵jian基ji礎chu設she施shi進jin行xing了le數shu字zi化hua轉zhuan型xing，因yin此ci不bu間jian斷duan訪fang問wen這zhe些xie關guan鍵jian基ji礎chu設she施shi對dui於yu日ri常chang生sheng活huo至zhi關guan重zhong要yao。然ran而er，網wang絡luo攻gong擊ji仍reng在zai給gei這zhe些xie係xi統tong帶dai來lai威wei脅xie
，且qie其qi攻gong擊ji能neng力li預yu計ji還hai會hui提ti高gao1。

工業4.0需要高度互聯的傳感器
、執行器、網(wang)關(guan)和(he)聚(ju)合(he)器(qi)。而(er)這(zhe)種(zhong)更(geng)高(gao)程(cheng)度(du)的(de)互(hu)聯(lian)進(jin)一(yi)步(bu)增(zeng)加(jia)了(le)潛(qian)在(zai)網(wang)絡(luo)攻(gong)擊(ji)的(de)風(feng)險(xian)
，因(yin)此(ci)實(shi)施(shi)安(an)全(quan)措(cuo)施(shi)比(bi)以(yi)往(wang)任(ren)何(he)時(shi)候(hou)都(dou)更(geng)加(jia)重(zhong)要(yao)。美(mei)國(guo)網(wang)絡(luo)安(an)全(quan)和(he)基(ji)礎(chu)設(she)施(shi)安(an)全(quan)局(ju)(CISA)等組織的成立體現了保護關鍵基礎設施、確保在防禦網絡攻擊時具備強韌的恢複能力的重要性，同時也進一步表明了對此目標的決心2。

為什麼需要IEC 62443？

2010年，Stuxnet的出現凸顯了工業基礎設施的脆弱性3。Stuxnet是首個全球範圍內廣為人知的網絡攻擊病毒，這次事件也表明從遠處針對IACS發fa起qi攻gong擊ji是shi可ke行xing的de。隨sui後hou的de攻gong擊ji再zai次ci強qiang化hua了le大da眾zhong對dui於yu網wang絡luo病bing毒du的de認ren識shi
，人ren們men由you此ci確que認ren針zhen對dui特te定ding類lei型xing設she備bei的de遠yuan程cheng攻gong擊ji也ye可ke能neng會hui對dui工gong業ye基ji礎chu設she施shi造zao成cheng損sun害hai。

於是
，政府機構、公用事業公司
、IACS用戶和設備製造商很快意識到：IACSxuyaodedaobaohu。zhengfuheyonghulisuodangrandiqingxiangyuzaizuzhicengmiancaiquanquanxiangguancuoshibingzhidingzhengce，ershebeizhizaoshangzeshizhenduiyingjianheruanjianyanjiulekenengdefanzhicuoshi。raner
，youyuyixiayuanyin
，anquancuoshidecainajinzhanhuanman：

► 基礎設施的複雜性

► 利益相關方的利益點和關注點不同

► 實施方案和選項過於多樣

► 缺乏可衡量的目標

總的來說，利益相關方難以確定目標的安全級別，需要謹慎權衡防護強度與成本。

為圍繞ISA99倡議建立共同參照標準，國際自動化協會(ISA)成立了相關工作組，最終共同發布了IEC 62443係列標準。該標準目前分為四個級別和類別，如圖1所示。IEC 62443標準涉及麵廣
，包含了組織政策、程序、風險評估以及硬件和軟件組件的安全性。該標準涵蓋安全防護的方方麵麵，切合當前實際需求

，具有的超強適應性。此外，ISA采取綜合方法來應對IACS涉及的所有利益相關方的各種利益問題。一般來說，不同利益相關方的安全關注點各不相同。以IP盜竊為例，IACS運營商會特別關注如何保護製造工藝，而設備製造商則可能更在意如何保護人工智能(AI)算法，使其免遭逆向工程。

圖1.IEC 62443是一項全麵的安全標準

此外
，由於IACSbenzhishanghenfuza，yincibixuquanpankaolvanquandegegefangmian。ruguomeiyouanquanshebeidezhichi，jinkaochengxuhezhengceshibugoude。lingyifangmian
，ruguochengxumeiyouzhengqueguidingruheanquanshiyongzujian，namezaijiangunaiyongdezujianyejianghaowuyongchu。

圖2中的圖表顯示了IEC 62443標準通過ISA認證的采用率情況。正如預期的那樣，行業主要利益相關方定義的標準加速了安全措施的實施。

圖2.ISA認證數量隨著時間推移不斷增加4

符合IEC 62443標準：複雜的挑戰

IEC 62443是一個非常全麵而有效的網絡安全標準，但其複雜性可能超乎我們的想象。該文件本身長達近1000頁。要清楚地了解該網絡安全協議，就需要花時間學習。除了掌握技術語言之外，還必須注意將IEC 62443的每個小部分放在整體的上下文中進行考慮

，因為各個概念都是相互依存的（如圖3所示）。

例如，根據IEC 62443-4-2，必須針對整個IACS開展風險評估

，評估結果將決定設備的目標安全級別5。

圖3.認證過程概要視圖

設計符合IEC 62443標準的設備

硬件實現的最高安全級別要求

IEC 62443以直白的語言定義了安全級別，如圖4所示。

圖4.IEC 62443安全級別

IEC 62443-2-1要求進行安全風險評估。在此過程的結果中，每個組件都將被分配一個目標安全級別(SL-T)。

根據圖1和圖3，標準的某些部分與流程和程序相關，而IEC 62443-4-1和IEC 62443-4-2則側重於組件的安全性。根據IEC 62443-4-2，組件類型包括軟件應用、主機設備、嵌入式設備和網絡設備。對於各個組件類型，IEC 62443-4-2根據其滿足的組件要求(CR)和增強要求(RE)定義了能力安全級別(SL-C)。表1總結了SL-A、SL-C、SL-T及三者之間的關係。

表1.安全級別總結

定義 根據係統級風險評估，設備應達到的安全級別 依照IEC 62443-4-2，根據設備支持的CR
，設備能夠實現的安全級別

設備達到的安全級別

目標 SL-T ≥ 風險評估定義的水平 SL-C ≥ SL-T SL-A ≥ SL-T

以聯網的可編程邏輯控製器(PLC)為例。網絡安全要求對PLC進行身份驗證，避免其成為攻擊的入口。基於公鑰的身份驗證是一項廣為人知的技術。根據IEC 62443-4-2標準：

► 1級不考慮公鑰加密

► 2級要求使用普遍采用的流程，例如證書簽名驗證

► 3級和4級要求對身份驗證過程中使用的私鑰進行硬件保護

從2級安全開始
，設備需要具備許多安全功能，包括基於秘鑰或私鑰的加密機製。對於3級和4級安全，設備在多數情況下需要具備基於硬件的安全保護或加密功能。在這方麵，統包式安全IC將為工業組件設計人員帶來許多優勢

，此類IC嵌入了基本安全機製
，例如：

► 安全密鑰存儲

► 側信道攻擊防護

► 負責執行功能的命令

，例如

■ 消息加密

■ 數字簽名計算

■ 數字簽名驗證

有了這些統包式安全IC，IACS組件開發人員便無需將資源投入到複雜的安全原語設計中。安全ICdelingyigehaochushikeyicongbenzhishangrangtongyonggongnengyuzhuanyonganquangongnengzhijianxingchengzirangeli。danganquangongnengjizhongzaimougebufenzhongerbushibianbuzhenggexitongshi，jiangnenggengrongyidipingguanquangongnengdeqiangdu。zhezhonggelihaikeyidailaidehaochuzaiyu
，wulunruhexiugaizujianderuanjianhe/或硬件
，都可以得到保留安全功能的驗證。無需重新評估完整安全功能即可執行升級。

此外，安全IC供應商可以實施PCB級或係統級無法實現的超強保護技術。比如加固的EEPROM或閃存或物理不可克隆功能(PUF)，這些技術可以實現更高等級的防禦能力
，從而抵禦更複雜的攻擊。總體而言，安全IC是構建係統安全性的重要基礎。

保護邊緣安全

工業4.0意味著隨時隨地進行檢測

，因此需要部署更多邊緣設備。IACS邊緣設備包括傳感器、執行器、機械臂
、帶有I/O模塊的PLC等(deng)。每(mei)個(ge)邊(bian)緣(yuan)設(she)備(bei)都(dou)連(lian)接(jie)到(dao)高(gao)度(du)網(wang)絡(luo)化(hua)的(de)基(ji)礎(chu)設(she)施(shi)
，也(ye)成(cheng)為(wei)了(le)黑(hei)客(ke)的(de)潛(qian)在(zai)切(qie)入(ru)點(dian)。不(bu)僅(jin)攻(gong)擊(ji)麵(mian)隨(sui)設(she)備(bei)數(shu)量(liang)成(cheng)比(bi)例(li)地(di)擴(kuo)大(da)，而(er)且(qie)設(she)備(bei)的(de)多(duo)元(yuan)化(hua)也(ye)不(bu)可(ke)避(bi)免(mian)地(di)提(ti)高(gao)了(le)攻(gong)擊(ji)途(tu)徑(jing)的(de)多(duo)樣(yang)性(xing)。應(ying)用(yong)安(an)全(quan)和(he)滲(shen)透(tou)測(ce)試(shi)供(gong)應(ying)商(shang)SEWORKS的首席技術官Yaniv Karta表示：“現有平台存在許多可行的攻擊途徑，而且端點和邊緣設備的風險敞口也都在增加。”例如，在複雜的IACS中，並非所有傳感器都來自同一供應商，這些傳感器的微控製器、操作係統或通信協議棧等也未共享相同的架構。每種架構本身都可能存在弱點。如此一來，所有這些漏洞不斷積累在IACS之中，導致風險大大增加，如MITRE ATT&CK數據庫6或ICS-CERT公告7所示。

此外
，工業物聯網IoT (IIoT)逐漸在邊緣嵌入更多的智能功能8，業界正在開發可做出自主係統決策的設備。鑒於這些決策對於安全、係統運行等至關重要
，確保設備硬件和軟件可以被信任就顯得更為關鍵。另外
，常常還需要考慮如何保護設備開發人員的研發IP投資免遭盜竊（例如與AI算法相關的成果）。基於此
，他們可能會決定采用受統包式安全IC支持的保護措施。

lingwaiyigezhongyaodeguandianshi，wangluoanquanfanghubuzukenenghuiduigongnenganquanchanshengfumianyingxiang。gongnenganquanhewangluoanquanzhijiandexianghuzuoyongguanxifeichangfuza，xuyaolingxieyipianwenzhangcaizuyixiangxishuoming，danwomenkeyizhezhongguanzhuyixiajidian：

► IEC 61508：“電氣/電子/可編程電子安全相關係統的功能安全”要求根據IEC 62443開展網絡安全風險分析。

► 雖然IEC 61508主要側重於危害和風險分析，但也要求在每次發生嚴重網絡安全事件後，進行後續的安全威脅分析和漏洞分析。

我們列出的IACS邊緣設備是嵌入式係統。IEC 62443-4-2規定了對這些係統的具體要求，例如惡意代碼保護機製、安全固件更新、物理防篡改和檢測
、信任根配置以及引導過程完整性。

使用ADI的安全認證器達成IEC 62443目標

ADI公司的安全認證器（也稱為安全元件）專為滿足上述要求而設計，同時還兼顧了易實施性和成本效益。這些固定功能IC帶有用於主機處理器的完整軟件協議棧，屬於全包式解決方案。

采用ADI公司的安全實施方案後，組件設計人員將能更專注於其核心業務。安全認證器本質上是信任根，能夠安全且不可變地存儲根密鑰/秘密和代表設備狀態的敏感數據（如固件哈希值）。安全認證器包含一套全麵的加密功能，包括身份驗證、加密、安全數據存儲、生命周期管理和安全引導/更新。

ChipDNA™物理不可克隆功能(PUF)技術利用晶圓製造過程中自然發生的隨機變化來生成加密密鑰，而不是將其存儲在傳統的閃存EEPROM中。該隨機變化非常小，以至於即使是芯片逆向工程領域的高成本、超複雜
、侵入性強的技術（掃描電子顯微鏡、聚焦離子束和微探測等）也無法有效地提取密鑰。集成電路之外的任何技術都無法達到這樣的防禦水平。

安全認證器還支持證書和證書鏈管理9。

此外，ADI提供高度安全的密鑰和證書預編程服務，以便可以為原始設備製造商(OEM)提供已配置完畢、能夠無縫加入其公鑰基礎設施(PKI)或啟用離線PKI的器件。該器件的穩健加密功能還為安全固件更新和安全引導提供支持。

安全認證器是為現有設計添加高級安全性的上佳之選。不僅有助於減少為安全性而重新設計設備架構的研發工作，而且BOM成本也較低。例如無需更改主微控製器即可使用該器件。舉個例子
，DS28S60 和MAXQ1065 安全認證器滿足IEC 62443-4-2的所有級別要求，如圖5所示。

DS28S60和MAXQ1065采用3 mm × 3 mm TDFN封裝，適用於空間非常受限的設計
，同時還具有低功耗特性
，因此也十分適合於功耗較低的邊緣設備。

表2.DS28S60和MAXQ1065關鍵參數彙總

為滿足IEC 62443-4-2要求

，有些IACS組件架構已經配備帶安全功能的微控製器，安全認證器的密鑰和證書分發功能也將讓這些架構大受裨益。OEM或其合同製造商無需再為處理秘密IC憑證購買所需的昂貴製造設施。這種方法還會保護微控製器中存儲的可通過JTAG等調試工具提取的密鑰。

圖5.安全認證器具有符合IEC 62443要求的功能

結論

通過整合並采用IEC 62443標準，IACS利益相關方為構建可信賴且安全性強的基礎設施鋪平了道路。安全認證器為未來打造符合IEC 62443標準的組件打下了堅實基礎
，也為這些組件提供了更為穩健的基於硬件的安全性。安全認證器將幫助OEM獲得所需的認證，讓其更有信心地進行設計。

參考資料

1. Lorenzo Franceschi-Bicchierai。“Ransomware Gang Accessed Water Supplier’s Control System（勒索軟件團夥侵入供水公司控製係統）”。Vice，2022年8月。

2. “Protecting Critical Infrastructure（保護關鍵基礎設施）”。美國網絡安全和基礎設施安全局。

3. Bruce Schneier。“The Story Behind The Stuxnet Virus（Stuxnet病毒背後的故事）”。Forbes
，2010年10月。

4. “ISASecure CSA Certified Components（ISASecure CSA認證組件）”。ISASecure。

5. Patrick O’Brien。“Cybersecurity Risk Assessment According to ISA/IEC 62443-3-2（根據ISA/IEC 62443-3-2開展網絡安全風險評估）”。全球網絡安全聯盟。

6. ATT&CK Matrix for Enterprise（企業ATT&CK矩陣）”。MITRE ATT&CK®。

7. “Cybersecurity Alerts & Advisories（網絡安全警報和公告）”。美國網絡安全和基礎設施安全局。

8. Ian Beavers。“邊緣智能第1部分：邊緣節點”。ADI公司，2017年8月。

9. “Trust Your Digital Certificates—Even When Offline（相信您的數字證書——哪怕處於離線狀態）”。Design Solutions
，第56期，2017年5月。

免責聲明：本文為轉載文章

，轉載此文目的在於傳遞更多信息，版權歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權問題，請聯係小編進行處理。

推薦閱讀：

如何對數據轉換器進行建模以進行係統仿真？

如何為數字信號處理應用選擇微控製器

了解開關模式調節：降壓轉換器

控製電機控製器的微控製器

板載電源：定製還是標準
？