IIoT嵌入式設(shè)備的安全性

工業(yè)世界處理過(guò)程管理和控制的方式正在發(fā)生變化。消費(fèi)世界中智能設(shè)備互聯(lián)的概念正在滲透到工業(yè)領(lǐng)域。由此產(chǎn)生的相互關(guān)聯(lián)的工業(yè)環(huán)境帶來(lái)了一系列好處 - 其中效率，安全性和盈利能力。然而，雖然物聯(lián)網(wǎng)（IoT）概念可以應(yīng)用于工業(yè)設(shè)備，資產(chǎn)和基礎(chǔ)設(shè)施，但工業(yè)物聯(lián)網(wǎng)（IIoT）在質(zhì)量，安全性，可靠性，同步等方面有更嚴(yán)格的要求。因此，這些系統(tǒng)更加復(fù)雜和具有挑戰(zhàn)性。

將智能更接近關(guān)鍵流程的需求推動(dòng)了物聯(lián)網(wǎng)概念在行業(yè)中的采用，從而能夠及時(shí)響應(yīng)關(guān)鍵事件，有效減少數(shù)據(jù)并安全傳播信息。低成本智能系統(tǒng)的日益普及，具有用于控制和數(shù)據(jù)聚合操作的異構(gòu)計(jì)算架構(gòu)，使這一目標(biāo)成為可能。這些系統(tǒng)不是在孤島中運(yùn)行的，而是系統(tǒng)系統(tǒng)的一部分，該系統(tǒng)生成用于預(yù)測(cè)情況并做出更明智，更明智的決策的數(shù)據(jù)。

從架構(gòu)的角度來(lái)看，IIoT嵌入式設(shè)備必須具有引人注目的處理能力才能提供顯著的結(jié)果。異構(gòu)計(jì)算架構(gòu)包含通用處理器和大規(guī)模并行元件的組合（圖 2），適用于高級(jí) IIoT 應(yīng)用。通用處理器提供強(qiáng)大的獨(dú)立浮點(diǎn)運(yùn)算、數(shù)據(jù)記錄和連接執(zhí)行。FPGA和圖形處理單元等大規(guī)模并行元件用于減少數(shù)據(jù)，定制算法并快速響應(yīng)關(guān)鍵事件。

［圖2 |異構(gòu)計(jì)算架構(gòu)示例］

從安全角度來(lái)看，由于IIoT嵌入式設(shè)備在邊緣運(yùn)行，因此它們也代表了抵御攻擊者的最后一道防線。在此類設(shè)備的設(shè)計(jì)周期中，這一點(diǎn)經(jīng)常被忽視，因?yàn)橹T如缺乏領(lǐng)域?qū)I(yè)知識(shí)、實(shí)施成本和上市時(shí)間限制等更直接的問(wèn)題將安全性降級(jí)為重要的次要層面。因此，2010年的Stuxnet攻擊暴露了這些系統(tǒng)的真正脆弱性，展示了工業(yè)漏洞可能造成的損害，并公開(kāi)將工業(yè)應(yīng)用程序定位為潛在目標(biāo)。

風(fēng)力渦輪機(jī)、核電站、石油和天然氣管道以及類似的工業(yè)資產(chǎn)現(xiàn)在是利用工業(yè)設(shè)備漏洞的政府和黑客組織的目標(biāo)。美國(guó)國(guó)土安全部工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組（ICS-CERT）估計(jì)，對(duì)美國(guó)工業(yè)目標(biāo)的攻擊從2010年的41起攀升至2011年的198起和2014年的245起。隨著這一趨勢(shì)的持續(xù)，至關(guān)重要的是考慮一種不同的方法，從嵌入式設(shè)備設(shè)計(jì)的早期階段引入網(wǎng)絡(luò)安全概念，以防止、減輕和預(yù)測(cè)針對(duì)高度敏感工業(yè)運(yùn)營(yíng)的攻擊。

所描述的問(wèn)題既敦促改變嵌入式設(shè)備的開(kāi)發(fā)方式，也要求重新評(píng)估適用于此類設(shè)備的安全標(biāo)準(zhǔn)。需要集成開(kāi)發(fā)平臺(tái)和標(biāo)準(zhǔn)化來(lái)保證安全要求的無(wú)縫實(shí)施，同時(shí)保持與其他IIoT實(shí)體的互操作性。IIoT和工業(yè)4.0等舉措為應(yīng)對(duì)這些挑戰(zhàn)提供了最佳實(shí)踐和建議。然而，將這些建議整合到一個(gè)開(kāi)放的開(kāi)發(fā)平臺(tái)中，仍然是該行業(yè)必須克服的一大挑戰(zhàn)。

支持標(biāo)準(zhǔn)化、開(kāi)放安全技術(shù)的靈活平臺(tái)將大大減少開(kāi)發(fā)IIoT應(yīng)用所需的專業(yè)知識(shí)，同時(shí)提高工業(yè)系統(tǒng)的安全性。使該平臺(tái)對(duì)IIoT有用的關(guān)鍵是集成正確的安全功能，以便應(yīng)用程序可以自動(dòng)從中受益。不幸的是，廣泛適用的IIoT安全標(biāo)準(zhǔn)仍然不完整和不成熟（圖3）。在該標(biāo)準(zhǔn)準(zhǔn)備就緒之前，設(shè)計(jì)人員必須在現(xiàn)有相關(guān)標(biāo)準(zhǔn)之間尋找通用性，并填補(bǔ)集成解決方案的任何空白。今天，通過(guò)Linux等開(kāi)放技術(shù)，一組廣泛認(rèn)可的安全功能是可能的。

［圖3|IIoT 嵌入式設(shè)備的核心安全要求集建議］

實(shí)現(xiàn)IIoT作為提高工業(yè)流程效率的可行方法需要使用平臺(tái)和標(biāo)準(zhǔn)?；谄脚_(tái)的方法對(duì)于為嵌入式設(shè)計(jì)人員提供足夠靈活的開(kāi)發(fā)框架以滿足多個(gè)應(yīng)用領(lǐng)域的要求至關(guān)重要。不應(yīng)區(qū)別對(duì)待這些應(yīng)用程序的安全方面。一個(gè)能夠?qū)崿F(xiàn)跨多個(gè)應(yīng)用領(lǐng)域通用的核心安全要求的平臺(tái)是實(shí)現(xiàn)IIoT安全最佳實(shí)踐標(biāo)準(zhǔn)化的第一步。安全功能必須完全集成到開(kāi)發(fā)框架中，才能對(duì)不熟悉安全概念的領(lǐng)域?qū)＜液颓度胧焦こ處熡杏谩Ｉ逃卯悩?gòu)計(jì)算架構(gòu)與開(kāi)放、靈活的操作系統(tǒng)（如 Linux）配對(duì)（圖 4）可以為開(kāi)發(fā)平臺(tái)提供滿足 IIoT 安全需求的元素。

［圖4|基于 IIoT Linux 的嵌入式平臺(tái)示例］

審核編輯：郭婷