1756-IB16
1756-IB16 面對(duì)正在快速發(fā)展的工業(yè)物聯(lián)網(wǎng),保障其安全性至關(guān)重要��。因?yàn)榘踩{是真實(shí)存在的����,設(shè)備、連接�����、網(wǎng)絡(luò)�����、數(shù)據(jù)中心�、設(shè)備管理,物聯(lián)網(wǎng)的每一個(gè)環(huán)節(jié)都有可能遭到攻擊���。那么��,用戶在部署工業(yè)物聯(lián)網(wǎng)方案時(shí)�,會(huì)遇到哪些關(guān)鍵性的安全挑戰(zhàn)���?
企業(yè)新舊設(shè)備優(yōu)化
工業(yè)物聯(lián)網(wǎng)需要面對(duì)各種各樣的設(shè)備��。有的是使用多年的舊設(shè)備和系統(tǒng)����,有的是在進(jìn)入物聯(lián)網(wǎng)時(shí)代后全新推出的設(shè)備,它們可能會(huì)遍布各地�,黑客可以直接對(duì)設(shè)備發(fā)起攻擊,傳統(tǒng)防火墻��、IPS等網(wǎng)關(guān)類防護(hù)設(shè)備用處不大�。
同時(shí),物聯(lián)網(wǎng)的通信協(xié)議�����,諸如ZigBee���、藍(lán)牙����、NB-IOT��、2/3/4/5G等在傳統(tǒng)互聯(lián)網(wǎng)應(yīng)用上并沒(méi)有使用到���,互聯(lián)網(wǎng)安全策略也無(wú)法覆蓋到這些協(xié)議��,因而帶來(lái)了新的安全風(fēng)險(xiǎn)����。
IT與OT融合的焦慮
物聯(lián)網(wǎng)轉(zhuǎn)型讓工業(yè)設(shè)備變得更加智能且集成度更高�,從而提高了生產(chǎn)制造的效率。隨著數(shù)十億設(shè)備通過(guò)物聯(lián)網(wǎng)連接起來(lái)���,信息技術(shù)(IT)和操作技術(shù)(OT)融合的時(shí)代已經(jīng)到來(lái)�����。
但工業(yè)物聯(lián)網(wǎng)對(duì)實(shí)時(shí)性�、可靠性和產(chǎn)品監(jiān)控質(zhì)量的要求極高����。作為工業(yè)自動(dòng)化的骨干系統(tǒng)之一,控制系統(tǒng)如何在保障安全的同時(shí)�����,進(jìn)行數(shù)字化升級(jí)����,是行業(yè)用戶和方案供應(yīng)商面臨的焦點(diǎn)問(wèn)題之一�。
標(biāo)準(zhǔn)
設(shè)備一旦進(jìn)入網(wǎng)絡(luò)�����,就會(huì)面臨各種安全性威脅�。目前,網(wǎng)絡(luò)攻擊已從針對(duì)遠(yuǎn)程企業(yè)IT云服務(wù)器和數(shù)據(jù)中心轉(zhuǎn)向傳感器���、邊緣節(jié)點(diǎn)和網(wǎng)關(guān)等本地設(shè)施����,攻擊媒介也不僅限于TCP/IP網(wǎng)絡(luò)和端口����。
考慮到在工業(yè)物聯(lián)網(wǎng)中存在大量有線和無(wú)線的標(biāo)準(zhǔn),所以安全設(shè)計(jì)不但應(yīng)該從設(shè)計(jì)之初貫徹到量產(chǎn)����,還需要在系統(tǒng)內(nèi)部建立多層獨(dú)立安全等級(jí)(Multiple Independent Levels of Security, MILS)的設(shè)計(jì)理念——在確保系統(tǒng)靈活性的前提下��,針對(duì)一個(gè)系統(tǒng)的不同層級(jí)都提供安全性����。
堅(jiān)決貫徹,而非倉(cāng)惶補(bǔ)救
如何充分利用芯片級(jí)的安全性��,實(shí)現(xiàn)全面的系統(tǒng)保護(hù)��?如何在最初的開發(fā)環(huán)節(jié)就把安全要素考慮進(jìn)去���,并貫穿其整個(gè)生命周期�?在Microchip��,我們也對(duì)此思考了很多���,例如:
可信平臺(tái)
隨著越來(lái)越多的設(shè)備連接到互聯(lián)網(wǎng)��,主要的云供應(yīng)商現(xiàn)在都鼓勵(lì)用戶使用安全元件來(lái)保護(hù)密鑰�。Microchip為CryptoAuthentication 系列推出的可信平臺(tái)提供了一套軟件和硬件開發(fā)工具��,該平臺(tái)結(jié)合了Microchip的安全元件和內(nèi)部的安全密鑰配置服務(wù)�����。Microchip的配置服務(wù)僅在其半導(dǎo)體供應(yīng)鏈工廠內(nèi)“裝載”密鑰���,這樣一來(lái)就消除了密鑰暴露給合同制造商或任何第三方的機(jī)會(huì)�。這種方法也提升了Microchip一直希望達(dá)到的加密密鑰、固件和人之間的“空氣間隙”(air gap)隔離����。
作為第一個(gè)為大眾市場(chǎng)提供隨時(shí)可用的安全身份驗(yàn)證解決方案,可信平臺(tái)由三層組成�,提供開箱即用的預(yù)配置安全元件或可完全量身定制的安全元件,開發(fā)人員可根據(jù)個(gè)人設(shè)計(jì)靈活選擇����。
該平臺(tái)第一層為Trust&GO,提供零接觸預(yù)配置安全元件�����,設(shè)備已在ATECC608B中預(yù)先編程���、裝載和鎖定�,用于自動(dòng)云登錄或LoRaWAN登錄時(shí)的身份驗(yàn)證��。與此同時(shí)�����,相應(yīng)的和公鑰以“清單”文件的形式交付,文件可從Microchip直銷網(wǎng)站和授權(quán)分銷商處下載����。除了節(jié)省長(zhǎng)達(dá)數(shù)月的開發(fā)時(shí)間外�,新解決方案還大幅省去其它繁瑣事項(xiàng),幫助大眾市場(chǎng)客戶輕松進(jìn)行邊緣設(shè)備保護(hù)及管理�����,無(wú)需第三方配置服務(wù)或頒發(fā)機(jī)構(gòu)的額外費(fèi)用��。
目前���,Microchip已與業(yè)界多家云供應(yīng)商合作�����,幫助其以更經(jīng)濟(jì)的方式輕松實(shí)現(xiàn)基于硬件的安全性���,消除之前配置設(shè)備時(shí)的各種障礙。如需了解更多信息�,請(qǐng)?jiān)L問(wèn)Microchip Trust&GO 平臺(tái)。
如果客戶有更多定制需求����,第二層TrustFLEX不但可靈活地使用客戶選擇的頒發(fā)機(jī)構(gòu)����,同時(shí)還可使用預(yù)先配置中的使用案例�,包括基線安全措施,如傳輸層安全協(xié)議(TLS)增強(qiáng)身份驗(yàn)證(用于使用任何鏈連接到任何基于IP的網(wǎng)絡(luò))�、LoRaWAN身份驗(yàn)證、安全啟動(dòng)��、無(wú)線(OTA)更新���、IP保護(hù)�����、用戶數(shù)據(jù)保護(hù)和密鑰輪換����,從而減少了設(shè)備定制的復(fù)雜性��,縮短定制時(shí)間���,同時(shí)無(wú)需定制的部件號(hào)���。針對(duì)只需要定制設(shè)計(jì)的客戶���,該平臺(tái)的第三層—TrustCUSTOM —可為客戶提供特定的配置功能和自定義憑據(jù)設(shè)置。
1756-IB16
