任何沒有采取適當安全措施而連接到工業(yè)物聯(lián)網(wǎng)（IIoT） 的資產(chǎn)都將面臨網(wǎng)絡(luò)攻擊的風險。除了會造成財產(chǎn)損失或引起不便，篡改工業(yè)系統(tǒng)還有可能對工作人員或公眾人物造成人身傷害或死亡。如果沒有足夠的網(wǎng)絡(luò)保護，安全關(guān)鍵型系統(tǒng)就不能被視為真正意義上的安全。

聯(lián)網(wǎng)信息物理系統(tǒng)的生產(chǎn)商正在快速采取行動，為產(chǎn)品建立強大的保護功能。但是，盡管所有人都贊同對網(wǎng)絡(luò)安全不可抱有僥幸心理，但開發(fā)者怎樣才能知道應(yīng)該提供多大程度的安全？系統(tǒng)成本中有多大比例能夠用于網(wǎng)絡(luò)安全的應(yīng)對措施？以及該如何回答“該器件足夠安全嗎”這個問題？

安全工程師一直在努力回答這些問題，并根據(jù)標準證實自己的答案。自 IEC 62443 發(fā)布以后，這種情況有所改變。IEC 62443 可提供：一系列威脅模型，以及每種標準定義的安全等級所需的應(yīng)對措施。

該標準讓工業(yè)安全工程師能夠討論共同指標。隨著越來越多的企業(yè)在尋求可驗證的安全解決方案，這些類型的認證將成為客戶定義的要求。

該標準的 IEC 62443-4-2 部分定義的是組件層面的平臺要求。這些要求可通過基于 FPGA 的片上系統(tǒng)（SoC） 等可配置硬件實現(xiàn)或進行加速。

1 安全與安保

網(wǎng)絡(luò)安全影響著系統(tǒng)的各個方面，包括安全系統(tǒng)。這一攻擊媒介在對施耐德電氣的 Triconix 安全系統(tǒng)的攻擊中得以體現(xiàn)。幸運的是，這次攻擊并沒有成功，但確實提高了人們對安全系統(tǒng)作為網(wǎng)絡(luò)目標的意識。

鑒于網(wǎng)絡(luò)攻擊往往試圖修改系統(tǒng)行為，如果不能保證網(wǎng)絡(luò)安全，就不可能擁有功能安全系統(tǒng)。雖然技術(shù)上可以建立不屬于 IEC-61508 定義的功能安全系統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)。

2 保護與反應(yīng)

操作技術(shù) （OT） 領(lǐng)域的嵌入式控制器不能簡單地利用標準的 IT 安全解決方案。雖然 IT 系統(tǒng)重視保密性，但 OT 設(shè)備最關(guān)注的是可用性。可用性始于硬件的功能。

3 生命周期硬件安全

為確保充分考慮對聯(lián)網(wǎng)工業(yè)設(shè)備的所有潛在威脅，應(yīng)分4個階段考慮安全生命周期（圖 1）。

強有力的保護是首要階段。對于新部署的設(shè)備，其保護強度應(yīng)與當前的技術(shù)許可相當。應(yīng)實施包括軟硬件并覆蓋啟動時和運行時操作的多層保護，以提供深度防護。

然而，器件設(shè)計師必須假定由于安全狀態(tài)隨使用年限的增長而下降，黑客最終將成功發(fā)起攻擊。因此，檢測是生命周期的第2階段，包括使用安全認證和測量技術(shù)查找對系統(tǒng)的意外更改或未經(jīng)授權(quán)的更改。

第3階段是恢復(fù)力，指設(shè)備能夠回退到安全工作模式并向操作人員發(fā)出狀況告警。無論是出于安全原因還是僅僅為了避免停機成本，這對于工業(yè)系統(tǒng)在遭受攻擊后繼續(xù)工作非常重要。

第4階段是為設(shè)備預(yù)先采取措施，便于報告安全攻擊的詳細情況。然后，就有可能采取補救措施，包括應(yīng)用安全補丁，以及從總體上改善類似現(xiàn)場系統(tǒng)的安全狀況。

賽靈思可配置硬件具有支持完整安全生命周期的功能，包括強大的硬件信任根、集成加密加速器、物理獨特功能 （PUF）、集成安全存儲和密鑰管理功能。此外，賽靈思 IP 合作伙伴可提供基于 FPGA 的安全監(jiān)控器（例如 MicroArx），它能通過基于 FPGA 的監(jiān)控功能增強關(guān)鍵軟件應(yīng)用的檢測功能和恢復(fù)力。

4 保護嵌入式器件

無論采用何種技術(shù)保障系統(tǒng)安全，這些技術(shù)都必須建立在牢固的基礎(chǔ)上。根據(jù) Ukil、Sen 和Koilakonda 在 2011 年提出的方案（如圖 2 所示），首先是建立嵌入式平臺信任鏈。

為了在硬件層面和啟動時軟件層面建立穩(wěn)固的安全基礎(chǔ)，賽靈思 Zynq UltraScale+ 片上系統(tǒng) （SoC）可提供的功能包括不可變設(shè)備身份和啟動 ROM、防篡改功能、eFuse 內(nèi)的集成型安全密鑰存儲，以及用于安全硬件加載的比特流身份驗證與加密。然后，受保護的啟動固件實施第一階段啟動加載程序的安全啟動和執(zhí)行。如果檢測到軟件完整性被破壞，則表明已發(fā)生篡改，那么將會停止進程。在更高層面上，只加載經(jīng)認證的數(shù)字簽名操作系統(tǒng)鏡像。

一旦系統(tǒng)啟動并與任何其他設(shè)備建立通信后，就應(yīng)該使用認證通信渠道加以保護，而且如果有必要對傳輸中的數(shù)據(jù)進行保護，還需要采取加密措施。賽靈思 FPGA 針對業(yè)界標準加密算法（例如 RSA-SHA 和AES）提供集成硬件加速器，為安全的加密通信提供支持。使用用戶無法讀取的設(shè)備唯一密鑰，也能保護與非易失性內(nèi)存 （NVM） 芯片等系統(tǒng)內(nèi)其他 IC 的數(shù)據(jù)交換。

最后，還可支持多種系統(tǒng)監(jiān)控功能，例如測量啟動、測量應(yīng)用啟動和可信平臺模塊 （TPM） 的使用。在端到端安全架構(gòu)中，該鏈條中的這些鏈接對保護每個設(shè)備的運行和完整性都是必要的。

除了保護設(shè)備運行狀態(tài)，這些安全特性的互聯(lián)層還可以保護與 FPGA 硬件設(shè)計和運行在其上的 SoC軟件有關(guān)的知識產(chǎn)權(quán)。

5 提升安全性的最佳實踐

自從國際工業(yè)控制系統(tǒng)安全標準 IEC 62443發(fā)布以來，設(shè)備設(shè)計人員能更深入地理解和實施嵌入式系統(tǒng)的最佳實踐?？尚庞嬎憬M織 （TCG） 和工業(yè)互聯(lián)網(wǎng)聯(lián)盟 （IIC） 等組織也正在有效地開展工作，以實現(xiàn) IIoT 安全實踐的正式化。

意識到將工業(yè)設(shè)備連接到互聯(lián)網(wǎng)所帶來的風險后，TCG 成立了工業(yè)分組（Industrial Sub Group） 來制定相關(guān)的安全指導。Sub Group 與 IIC（以及許多其他合作伙伴）結(jié)盟，幫助創(chuàng)建 IIC 的工業(yè)互聯(lián)網(wǎng)安全框架 （IISF）。除了傳統(tǒng) IT 環(huán)境的需求外，該框架還能滿足 IIoT 系統(tǒng)對安全、可靠性和恢復(fù)力的更高需求。

賽靈思在制定 IEC 62443 的工作中起到了幫助作用，同時也是 TCG 和 IIC的活躍會員，包括參加 TCGIndustrial Sub Group。FPGA SoC 芯片和設(shè)計工具所支持的重要安全功能讓用戶能夠創(chuàng)建符合 IEC 62443-4-2 標準的工業(yè)控制平臺，并幫助他們加速上市進程。此外，我們正在引入新機制，讓客戶密鑰和唯一設(shè)備標識符能夠安全地安裝到供應(yīng)鏈中。IEC 62433-4-2 規(guī)定的部分重要安全性特性與賽靈思對它們提供的支持之間的對應(yīng)關(guān)系如圖 3 所示。

6 結(jié)論

當今的工業(yè)控制系統(tǒng)正面臨著越來越多的來自網(wǎng)絡(luò)攻擊的威脅。有效的安全解決方案必須從嵌入式硬件平臺出發(fā)。強大的硬件認證功能和支持安全啟動、軟件測量和加密的功能，為最大限度地減小攻擊面并提高每個設(shè)備完整性的驗證能力奠定了基礎(chǔ)。這種認識是維持工業(yè)系統(tǒng)安全的關(guān)鍵。