滿(mǎn)足工業(yè)4.0的網(wǎng)絡(luò)安全戰(zhàn)略解決方案

工業(yè)4.0的愿望和網(wǎng)絡(luò)安全意義

工業(yè)4.0涉及工廠(chǎng)的數(shù)字化，對(duì)工業(yè)市場(chǎng)領(lǐng)域的組織領(lǐng)導(dǎo)者來(lái)說(shuō)意味著許多不同的事情，數(shù)字化的影響可以有一個(gè)隨著工廠(chǎng)設(shè)備的智能化和連接，對(duì)網(wǎng)絡(luò)安全的廣泛影響。例如，這可能意味著改造您的工廠(chǎng)以實(shí)現(xiàn)更高級(jí)別的自主性和定制，從而提高運(yùn)營(yíng)總成本并為客戶(hù)帶來(lái)更高價(jià)值。它還可能意味著系統(tǒng)和子系統(tǒng)的供應(yīng)商正在使工廠(chǎng)設(shè)備更加智能，以實(shí)現(xiàn)大型多鏈系統(tǒng)和企業(yè)系統(tǒng)內(nèi)制造單元的實(shí)時(shí)決策和自主交互。根據(jù)您希望如何利用工業(yè)4.0解決方案，采用這些解決方案的策略將取決于它們將在價(jià)值鏈中的集成位置以及工廠(chǎng)內(nèi)的集成深度。

數(shù)字化工廠(chǎng)正在改變價(jià)值鏈的各個(gè)方面，直接影響企業(yè)的頂線(xiàn)和底線(xiàn)。最常討論的是創(chuàng)新，它可以釋放新的收入，例如新產(chǎn)品，服務(wù)或兩者的某種組合。數(shù)字化生產(chǎn)，處理的使用以及邊緣數(shù)據(jù)的分析都需要新的產(chǎn)品創(chuàng)新，而元數(shù)據(jù)的收集則產(chǎn)生了優(yōu)化控制，維護(hù)和使用的新服務(wù)。數(shù)字化生產(chǎn)的兩個(gè)方面都存在于價(jià)值鏈的不同部分，直接影響收入績(jī)效。另一方面，降低成本的舉措側(cè)重于提高供應(yīng)鏈效率和優(yōu)化運(yùn)營(yíng)績(jī)效。這些改進(jìn)要求在自己的工廠(chǎng)中采用功能更強(qiáng)大的產(chǎn)品和服務(wù)。實(shí)現(xiàn)工業(yè)4.0的線(xiàn)下優(yōu)勢(shì)是實(shí)現(xiàn)新產(chǎn)品創(chuàng)新的必要條件。根據(jù)人們?nèi)绾卫霉I(yè)4.0解決方案的優(yōu)勢(shì)，網(wǎng)絡(luò)安全戰(zhàn)略將發(fā)生變化，以確保在工廠(chǎng)中成功采用和擴(kuò)展數(shù)字解決方案。

網(wǎng)絡(luò)安全戰(zhàn)略也將根據(jù)工業(yè)控制環(huán)路邊緣普及的數(shù)字解決方案的變化而變化。傳統(tǒng)的工業(yè)自動(dòng)化架構(gòu)非常不同，并且依賴(lài)于將現(xiàn)場(chǎng)設(shè)備的控制與工廠(chǎng)的其他信息系統(tǒng)，服務(wù)和應(yīng)用隔離，以防范網(wǎng)絡(luò)安全威脅。此外，實(shí)際的現(xiàn)場(chǎng)設(shè)備通常是具有有限數(shù)據(jù)交換和邊緣處理的點(diǎn)對(duì)點(diǎn)解決方案，這限制了任何一個(gè)設(shè)備對(duì)系統(tǒng)的貢獻(xiàn)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。破壞這種典型的架構(gòu)并非易事，需要采用分階段的方式。工業(yè)4.0解決方案的積極采用者將需要確定他們希望在工廠(chǎng)中集成新技術(shù)的深度，并推動(dòng)實(shí)現(xiàn)這些愿望的網(wǎng)絡(luò)安全戰(zhàn)略。新的工業(yè)自動(dòng)化架構(gòu)有望顯得與眾不同。傳統(tǒng)上使用普渡模型或類(lèi)似工廠(chǎng)將工廠(chǎng)劃分為五個(gè)不同的級(jí)別，未來(lái)的工廠(chǎng)架構(gòu)可能不等同于同一型號(hào)。未來(lái)的現(xiàn)場(chǎng)設(shè)備將感應(yīng)和執(zhí)行與制造執(zhí)行和控制相結(jié)合。這些設(shè)備不僅將在工廠(chǎng)中聯(lián)網(wǎng)成一個(gè)集成的連接架構(gòu)，而且其中一些將直接連接到企業(yè)系統(tǒng)，互聯(lián)網(wǎng)和云服務(wù)，這極大地增加了任何一臺(tái)設(shè)備對(duì)系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。無(wú)論以何種方式看待未來(lái)的工業(yè)4.0架構(gòu)，實(shí)現(xiàn)最終目標(biāo)將采用多階段方法和網(wǎng)絡(luò)安全策略，該策略與工廠(chǎng)中集成數(shù)字解決方案的期望深度相關(guān)聯(lián)。

三個(gè)步驟網(wǎng)絡(luò)安全行業(yè)4.0的實(shí)現(xiàn)

當(dāng)解決方案完全集成時(shí)，工業(yè)4.0將會(huì)是什么樣子。有些人認(rèn)為傳統(tǒng)的工廠(chǎng)設(shè)計(jì)將基本保持完整，而另一些人則認(rèn)為新工廠(chǎng)難以被傳統(tǒng)標(biāo)準(zhǔn)認(rèn)可。每個(gè)人都能達(dá)成共識(shí)的是工廠(chǎng)正在發(fā)生變化，而且不會(huì)在一夜之間發(fā)生。這種轉(zhuǎn)變有一些明顯的原因，但主要原因是當(dāng)今現(xiàn)場(chǎng)設(shè)備的使用壽命。這些設(shè)備的設(shè)計(jì)運(yùn)行時(shí)間超過(guò)20年，可以保持更長(zhǎng)時(shí)間的運(yùn)行?？梢耘Ω倪M(jìn)這些設(shè)備以實(shí)現(xiàn)額外的功能和連接，但是它們將受到其硬件設(shè)計(jì)的限制，并且工廠(chǎng)系統(tǒng)架構(gòu)將必須補(bǔ)償它們的不足。從網(wǎng)絡(luò)安全角度來(lái)看，這些設(shè)備將始終受到限制并存在網(wǎng)絡(luò)風(fēng)險(xiǎn)。安全設(shè)備需要安全的架構(gòu)和系統(tǒng)設(shè)計(jì)方法。對(duì)具有安全功能的設(shè)備進(jìn)行改造是一種間隙方法，它將始終存在網(wǎng)絡(luò)安全漏洞。完全過(guò)渡到數(shù)字化工廠(chǎng)將要求設(shè)備達(dá)到高水平的安全強(qiáng)化，以抵御網(wǎng)絡(luò)攻擊，同時(shí)不妨礙他們實(shí)時(shí)共享信息和做出決策的能力。彈性 - 從困難中快速恢復(fù)的能力 - 對(duì)網(wǎng)絡(luò)安全的實(shí)施方式和網(wǎng)絡(luò)安全工業(yè)4.0的必要步驟產(chǎn)生巨大影響。

要克服的第一個(gè)主要障礙是遵守新的網(wǎng)絡(luò)安全行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐。要在變化的工廠(chǎng)內(nèi)實(shí)現(xiàn)合規(guī)，需要采用不同的方法。應(yīng)用隔離，監(jiān)視和配置網(wǎng)絡(luò)流量的信息技術(shù)（IT）安全解決方案的傳統(tǒng)方法無(wú)法在工業(yè)4.0工廠(chǎng)中提供所需的彈性。隨著設(shè)備連接并共享實(shí)時(shí)信息，將需要硬件安全解決方案來(lái)實(shí)現(xiàn)自主實(shí)時(shí)決策，同時(shí)保持工廠(chǎng)的彈性。隨著網(wǎng)絡(luò)安全方法的變化，組織也需要適應(yīng)新的挑戰(zhàn)。許多組織正在進(jìn)行重組，以建立網(wǎng)絡(luò)安全能力，既可以從傳統(tǒng)的工程組織單獨(dú)管理，也可以整合到整個(gè)組織的項(xiàng)目團(tuán)隊(duì)中。建立一個(gè)能夠?qū)嵤┚W(wǎng)絡(luò)安全解決方案戰(zhàn)略以滿(mǎn)足行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐的組織是實(shí)現(xiàn)工業(yè)4.0愿望的第一個(gè)重要步驟。

組織在與新興安全標(biāo)準(zhǔn)建立穩(wěn)固的基礎(chǔ)之后他們能夠管理跨產(chǎn)品生命周期和跨組織邊界的安全要求，他們可以將注意力集中在工廠(chǎng)單元內(nèi)增加的自主權(quán)。只有當(dāng)工廠(chǎng)中的設(shè)備變得足夠智能以根據(jù)收到的數(shù)據(jù)做出決策時(shí)，才能實(shí)現(xiàn)自治。網(wǎng)絡(luò)安全方法是一種系統(tǒng)設(shè)計(jì)，可構(gòu)建能夠證實(shí)數(shù)據(jù)生成對(duì)數(shù)據(jù)的信任的邊緣設(shè)備。結(jié)果是有信心通過(guò)網(wǎng)絡(luò)安全系統(tǒng)提供實(shí)時(shí)決策，該系統(tǒng)能夠接受來(lái)自現(xiàn)實(shí)世界的輸入，評(píng)估其可信度并自主行動(dòng)。

最后一個(gè)問(wèn)題是建立一個(gè)不僅與云連接，而且通過(guò)云服務(wù)與其他工廠(chǎng)系統(tǒng)同步運(yùn)行的工廠(chǎng)。這需要更廣泛地采用數(shù)字解決方案，并且由于完全過(guò)渡到數(shù)字工廠(chǎng)所需的時(shí)間，最終將成為最后的障礙。今天的設(shè)備已經(jīng)連接到云，但在大多數(shù)情況下，這只是為了接收數(shù)據(jù)。分析這些數(shù)據(jù)并從工廠(chǎng)車(chē)間遠(yuǎn)程做出決策。這些決定的產(chǎn)物可能是加速或延遲維護(hù)或微調(diào)自動(dòng)化過(guò)程。今天，由于現(xiàn)場(chǎng)控制在工廠(chǎng)本地并與企業(yè)系統(tǒng)隔離，因此很少會(huì)從云中執(zhí)行這些決策。隨著工廠(chǎng)采用更多自主權(quán)，通過(guò)云服務(wù)監(jiān)控工廠(chǎng)，以及跨企業(yè)系統(tǒng)共享實(shí)時(shí)信息將更為相關(guān)。

啟用連接具有硬件安全性的工廠(chǎng)

硬件安全性的需求受到行業(yè)標(biāo)準(zhǔn)的推動(dòng)，這些標(biāo)準(zhǔn)達(dá)到了更高的安全級(jí)別，以便在工廠(chǎng)中實(shí)現(xiàn)連接的解決方案。增加控制的訪(fǎng)問(wèn)和可訪(fǎng)問(wèn)性意味著傳統(tǒng)IT安全解決方案無(wú)法在不將設(shè)備級(jí)安全性與硬件信任根相結(jié)合的情況下進(jìn)行防御的新風(fēng)險(xiǎn)。當(dāng)設(shè)備連接到網(wǎng)絡(luò)時(shí)，這些設(shè)備成為整個(gè)系統(tǒng)的接入點(diǎn)。這些接入點(diǎn)中的任何一個(gè)可能造成的損害擴(kuò)展到整個(gè)網(wǎng)絡(luò)，并且可能使關(guān)鍵基礎(chǔ)設(shè)施易受攻擊。依賴(lài)防火墻，惡意軟件檢測(cè)和異常檢測(cè)的傳統(tǒng)安全方法需要不斷更新和配置，并且容易出現(xiàn)人為錯(cuò)誤。在今天的環(huán)境中，應(yīng)該假設(shè)對(duì)手已經(jīng)在網(wǎng)絡(luò)中。為了抵御這些對(duì)手，需要采取縱深防御和零信任的方法。為了最大程度地確保連接設(shè)備按預(yù)期運(yùn)行，設(shè)備中需要硬件信任根。今天在設(shè)備中安裝正確的硬件掛鉤對(duì)于實(shí)現(xiàn)向明天的數(shù)字工廠(chǎng)的過(guò)渡至關(guān)重要。

利用Xilinx ? Zinq ? UltraScale + ? MPSoC（ZUS +）系列FPGA，ADI公司開(kāi)發(fā)了Sypher ?< / sup> -Ultra，通過(guò)具有多層安全控制的高保證加密系統(tǒng)，為正在生成和處理的數(shù)據(jù)的完整性提供更高的置信度。它利用了ZUS +的安全基礎(chǔ)以及ADI公司開(kāi)發(fā)的其他安全功能，以促進(jìn)滿(mǎn)足安全要求的終端產(chǎn)品，如NIST FIPS 140-2，IEC 62443或汽車(chē)EVITA HSM。 Sypher-Ultra位于嵌入式ZUS +功能和最終應(yīng)用之間，為設(shè)計(jì)團(tuán)隊(duì)提供單芯片解決方案，以實(shí)現(xiàn)安全操作。為了提供高度保障的安全性，Sypher-Ultra平臺(tái)采用可信執(zhí)行環(huán)境（TEE），為靜止和運(yùn)動(dòng)中的安全數(shù)據(jù)提供基礎(chǔ)。與安全相關(guān)的功能主要在實(shí)時(shí)處理單元和可編程邏輯中執(zhí)行，以使設(shè)計(jì)團(tuán)隊(duì)能夠在應(yīng)用處理單元內(nèi)輕松添加其應(yīng)用。該設(shè)計(jì)使產(chǎn)品團(tuán)隊(duì)無(wú)需掌握安全設(shè)計(jì)和認(rèn)證的所有復(fù)雜性，同時(shí)對(duì)安全操作提供高度自信。

制定實(shí)現(xiàn)更高設(shè)備級(jí)別安全性的途徑是具有挑戰(zhàn)性，特別是考慮到上市時(shí)間的限制，以滿(mǎn)足數(shù)字工廠(chǎng)的苛刻步伐。實(shí)施安全性的復(fù)雜性需要獨(dú)特的技能組合和流程。 ADI公司的安全平臺(tái)為設(shè)計(jì)團(tuán)隊(duì)提供了一種解決方案，可以在靠近工業(yè)控制環(huán)路的邊緣實(shí)現(xiàn)安全性。從產(chǎn)品設(shè)計(jì)團(tuán)隊(duì)卸載實(shí)施復(fù)雜性，例如安全設(shè)計(jì)，安全標(biāo)準(zhǔn)認(rèn)證和漏洞分析，可以大大降低風(fēng)險(xiǎn)和設(shè)計(jì)時(shí)間。 ADI公司的解決方案在通用平臺(tái)上提供易于使用的安全API，可在單個(gè)FPGA上實(shí)現(xiàn)高保證安全性和更高級(jí)別應(yīng)用的共存。 ADI公司的Sypher-Ultra產(chǎn)品可以安全地使用Xilinx Zynq UltraScale + MPSoC（ZUS +）系列，以隔離敏感的加密操作，防止對(duì)敏感IP的未授權(quán)訪(fǎng)問(wèn)，從而通過(guò)邊緣的硬件安全性為連接的工廠(chǎng)提供路徑。