1、制造領(lǐng)域的工業(yè)物聯(lián)網(wǎng)

制造業(yè)需要采集并處理大量數(shù)據(jù)，通過對(duì)數(shù)據(jù)進(jìn)行分析和可視化，有助于優(yōu)化運(yùn)營和成本。數(shù)據(jù)是工業(yè)物聯(lián)網(wǎng)(IIoT)的基石，而制造業(yè)能夠從IIoT中獲得利益最大化。在制造領(lǐng)域，智能傳感器、分布式控制及復(fù)雜安全軟件提供的安全方案是這次革命的黏合劑。

為了實(shí)現(xiàn)IIoT的愿景，我們必須將大量數(shù)據(jù)，甚至老舊系統(tǒng)置于云端。這將帶來巨大的安全隱患，因?yàn)檫m用于工業(yè)控制系統(tǒng)的安全措施尚未跟上步伐，甚至在某些情況下根本不存在。當(dāng)參與者知道(無論是否惡意)某個(gè)工廠或車間實(shí)際上已經(jīng)聯(lián)網(wǎng)，并充分利用各種不同的攻擊手段時(shí)，這一切將發(fā)生變化。

安全措施必須是軟件和嵌入式硬件的結(jié)合，保護(hù)關(guān)鍵的控制系統(tǒng)免受各種攻擊。關(guān)鍵挑戰(zhàn)有三種：采用密鑰的硬件安全認(rèn)證、采用TLS的安全通信，以及安全裝載。由于連通性(支持IIoT的能力)將任何安全漏洞暴露無遺，為了保護(hù)IIoT利益，安全問題就不能是亡羊補(bǔ)牢式的方案。

2、IIOT為工廠帶來的便利

IIoT在工廠建設(shè)中的一個(gè)很好案例是通用電氣(General Electric)在紐約北部設(shè)立的價(jià)值1.7億美元的現(xiàn)代化工廠。該工廠在2015年開始運(yùn)營，為手機(jī)通信塔等設(shè)備生產(chǎn)先進(jìn)的鈉鎳電池。工廠布設(shè)了10000多個(gè)傳感器，分布于180000平方英尺廠房;所有傳感器都連接到內(nèi)部高速以太網(wǎng)。傳感器監(jiān)測(cè)一切過程，例如：使用哪個(gè)批次的原材料、烘烤溫度是多少、制造每節(jié)電池的耗能多少，甚至當(dāng)?shù)氐臍鈮旱葏?shù)。在生產(chǎn)車間，員工利用平板電腦即可通過遍布全廠的Wi-Fi節(jié)點(diǎn)獲得所有數(shù)據(jù)。

制造業(yè)的另一個(gè)例子是西門子的安貝格電子廠，該工廠生產(chǎn)可編程邏輯控制器(PLC)。生產(chǎn)過程的自動(dòng)化程度很高，機(jī)器和計(jì)算機(jī)處理價(jià)值鏈的75%工作，其它則由人工完成。只有在生產(chǎn)過程的起始階段需要人工處理，員工將基本件(裸電路板)放在生產(chǎn)線上。此后，一切均自動(dòng)完成。值得一提的是，Simatic單元控制Simatic設(shè)備的生產(chǎn)。整個(gè)制程大約有1000個(gè)這樣的控制單元。

IIoT收集傳感器數(shù)據(jù)、支持機(jī)器間(M2M)通信及自動(dòng)化進(jìn)程。智能化機(jī)器在諸多方面優(yōu)于人工操作，例如，可以精確采集數(shù)據(jù)、傳輸數(shù)據(jù)，并保持高度一致性，從而解決了效率低下、保持長期運(yùn)轉(zhuǎn)、合理規(guī)劃設(shè)備維護(hù)等問題，以獲得更高的生產(chǎn)效率。Maxim Integrated將IIoT按堆棧形式進(jìn)行劃分，如圖1所示。IIoT堆棧最底層是工廠或生產(chǎn)車間的設(shè)備(系統(tǒng))。這些設(shè)備可以是現(xiàn)場傳感器、控制器、工業(yè)PC等，所有這些均為硬件系統(tǒng)，包括硬件的安全保護(hù)功能。這些終端設(shè)備必須提供有效的數(shù)據(jù)通信，連接至通信集線器、網(wǎng)關(guān)和交換機(jī)，從而將這些數(shù)據(jù)作為大數(shù)據(jù)存放在云端(或企業(yè)網(wǎng))。

IIoT的目標(biāo)是將數(shù)據(jù)可集成到企業(yè)的ERP和CRM軟件中，不僅能夠高效規(guī)劃制造過程、降低成本，甚至利用客戶/市場信息來改變裝配線和過程參數(shù)。

堆棧的頂層影響到軟件開發(fā)和集成，底層影響系統(tǒng)設(shè)計(jì)。IIoT的主要利益可分為三部分(圖2)：資產(chǎn)、過程和企業(yè)優(yōu)化。優(yōu)化一臺(tái)電機(jī)要比優(yōu)化鉆臺(tái)操作更容易，而后者又比優(yōu)化大型產(chǎn)線容易。而對(duì)所有環(huán)節(jié)進(jìn)行優(yōu)化是IIoT的終極夢(mèng)想。

第一級(jí)分析和交互操作發(fā)生在第一線：從傳感器(例如渦輪傳感器、電機(jī)編碼器或振動(dòng)特征信號(hào))數(shù)據(jù)采集，然后在本地進(jìn)行數(shù)據(jù)處理，幫助操作者掌握如何調(diào)節(jié)參數(shù)以實(shí)現(xiàn)最高效率，或提供故障隱患的早期征兆。

第二級(jí)分析在控制室或工廠完成，將來自多個(gè)終端設(shè)備甚至多個(gè)組裝線的傳感器數(shù)據(jù)整合在一起，從而制定決策，提高工廠或過程效率。例如，控制室做出讓各種終端設(shè)備空閑或休眠的決策，降低過程的總體功耗?！　?/p>

　　圖1 :自動(dòng)化產(chǎn)業(yè)的工業(yè)物聯(lián)網(wǎng)

英文解釋：

ERP/CRM intergration ERP/CRM集成

Analytics and optimization sofeware 分析和優(yōu)化軟件

BIG DATA 大數(shù)據(jù)

Software design 軟件設(shè)計(jì)

Communication hubs，gateways，switchs通信接口、網(wǎng)關(guān)、交換機(jī)

Field sensors，distributed PLCs，industrial PCs 磁傳感器，分布式PLC、工業(yè)電腦

System design 系統(tǒng)設(shè)計(jì)　　

　　圖2 :潛在的工業(yè)物聯(lián)網(wǎng)利益

英文解釋：

Higher performance/early failure indication 高性能/早期故障指示

Energy/process efficiency 能量/過程效率

Business enterprise integration 企業(yè)整合

Asset optimization 資產(chǎn)優(yōu)化

Process optimization 工藝優(yōu)化

Business optimization 業(yè)務(wù)優(yōu)化

數(shù)據(jù)的運(yùn)用對(duì)運(yùn)營的正面影響表現(xiàn)在前兩個(gè)階段，我們已經(jīng)比較熟悉，并且以一定的方式、形式在使用。然而，IIoT的目的不僅改進(jìn)前兩個(gè)階段的數(shù)據(jù)采集和分析，而且將過程數(shù)據(jù)與企業(yè)數(shù)據(jù)進(jìn)行整合，從而做出在此之前未能實(shí)現(xiàn)的決策。

觀察一個(gè)公司如何從市場獲利，我們不難推斷應(yīng)該靈活地對(duì)生產(chǎn)線進(jìn)行調(diào)整，根據(jù)市場需求讓生產(chǎn)線全速運(yùn)轉(zhuǎn)，或徹底關(guān)閉不受市場歡迎的附件功能。將運(yùn)營和財(cái)務(wù)數(shù)據(jù)相結(jié)合，能夠?yàn)镃FO提供更深入的洞察力。公司重心調(diào)整及轉(zhuǎn)變的靈活性是產(chǎn)業(yè)保持快速、可持續(xù)發(fā)展的關(guān)鍵。這是一個(gè)極富吸引力的市場趨勢(shì)，但當(dāng)前的安全措施還跟不上IIoT系統(tǒng)發(fā)展的需求。

3、工業(yè)物聯(lián)網(wǎng)系統(tǒng)的薄弱環(huán)節(jié)

IIoT系統(tǒng)有若干渠道容易遭受攻擊，其中最突出的兩個(gè)方面是云存儲(chǔ)和網(wǎng)絡(luò)架構(gòu)。

將數(shù)據(jù)放在云端(公有或私有)是IIoT的關(guān)鍵，但同時(shí)也帶來了嚴(yán)重的安全隱患。傳統(tǒng)上，工業(yè)控制系統(tǒng)(ICS)廠商在系統(tǒng)中保留一定的間隙。當(dāng)這些系統(tǒng)直接或間接連接到互聯(lián)網(wǎng)時(shí)，情況會(huì)大不相同。IIoT使人們認(rèn)識(shí)到，ICS需要嵌入式安全認(rèn)證和安全保護(hù)。

圖3所示為工廠或生產(chǎn)過程的現(xiàn)場設(shè)備最終如何連接到網(wǎng)絡(luò)的頂層視圖。通常有控制網(wǎng)絡(luò)、現(xiàn)場傳感器主機(jī)，以及連接至PLC或DCS的執(zhí)行機(jī)構(gòu)或伺服驅(qū)動(dòng)(及其它類似設(shè)備)。一般而言，該控制網(wǎng)絡(luò)是隔離網(wǎng)絡(luò)的一個(gè)分支。但是，管理工廠或過程不同部分的控制網(wǎng)絡(luò)越來越多地連接在一起，形成工廠網(wǎng)絡(luò)。

工廠網(wǎng)絡(luò)使監(jiān)管者能夠了解整個(gè)工廠的運(yùn)營情況，判斷工廠各個(gè)環(huán)節(jié)之間的相互影響。這一層的信息支持對(duì)整個(gè)工廠或油田運(yùn)營的優(yōu)化。最終，工廠網(wǎng)絡(luò)信息被整合到企業(yè)/業(yè)務(wù)網(wǎng)絡(luò)，實(shí)現(xiàn)真正的IIoT?！　?/p>

　　圖3 :按工程分層的安全性映射

英文解釋：

Level of security 安全級(jí)別

OPEN-NO SECURITY 打開-無安全級(jí)別

Enterprise network 企業(yè)網(wǎng)絡(luò)

Plant floor network 工廠網(wǎng)絡(luò)

Control network 控制網(wǎng)絡(luò)

Field devices：sensors，actuators，servo drives 現(xiàn)場設(shè)備：傳感器，執(zhí)行器，伺服驅(qū)動(dòng)器

控制網(wǎng)絡(luò)中的每一層都需要評(píng)估其安全性——每一層的安全性都不同。如果您從頂層開始，即IT域，需要的是已更新至最新軟件和補(bǔ)丁的安全交換機(jī)和服務(wù)器。

在工廠層，安全防護(hù)不是最新技術(shù)。然而，IT仍然具有一定的控制。

在控制網(wǎng)絡(luò)層，PLC架構(gòu)的年齡已經(jīng)有數(shù)十年。一般很少更新，并且也不能對(duì)負(fù)責(zé)100%工廠運(yùn)營時(shí)間的系統(tǒng)進(jìn)行頻繁修補(bǔ)。此處的安全性通常較弱。

在現(xiàn)場層，安全防護(hù)措施幾乎根本不存在?，F(xiàn)場設(shè)備是開放式、受信任的，由于互操作性最為重要，所以實(shí)際上不能實(shí)施任何加密措施。觀察現(xiàn)場的從設(shè)備，例如傳感器和執(zhí)行器，這些系統(tǒng)(大部分)的安全性為零，使用的還是上世紀(jì)70年代至90年代期間開發(fā)的協(xié)議。

4、應(yīng)對(duì)工業(yè)現(xiàn)場控制系統(tǒng)的風(fēng)險(xiǎn)

我們更深入地討論現(xiàn)場環(huán)節(jié)，給ICS帶來風(fēng)險(xiǎn)的主要兩點(diǎn)是：遠(yuǎn)端現(xiàn)場傳感器和IO模塊。成敗的關(guān)鍵在于正常運(yùn)營時(shí)間、預(yù)測(cè)維護(hù)以及總體效率：IIoT的基石。

4.1、遠(yuǎn)端現(xiàn)場傳感器的風(fēng)險(xiǎn)

實(shí)際應(yīng)用中，不能保證所有傳感器的物理安全，尤其當(dāng)傳感器安裝在非常偏遠(yuǎn)的位置，比如監(jiān)測(cè)石油和天然氣現(xiàn)場等。位置偏遠(yuǎn)使其很容易受到物理攻擊，所以在接受傳感器數(shù)據(jù)之前對(duì)其進(jìn)行安全認(rèn)證至關(guān)重要。多數(shù)情況下，現(xiàn)場傳感器，甚至關(guān)鍵設(shè)施中使用的傳感器都是開放式、受信任的。現(xiàn)場傳感器的這一弱點(diǎn)依然普遍存在。

2014年，在眾所周知的黑帽駭客大會(huì)上，發(fā)表了俄羅斯研究人員的一片文章，作者認(rèn)為直接攻擊企業(yè)系統(tǒng)太麻煩。相反，他們策劃并介紹了一種“中間人”攻擊方法：欺騙并更換一個(gè)開放、受信任的HART調(diào)制解調(diào)器現(xiàn)場傳感器3。他們介紹了詳細(xì)的過程，甚至制作了軟件庫供下載。

我們重視IIoT的安全系統(tǒng)就必須首先關(guān)注向云端或PLC發(fā)送數(shù)據(jù)的可信任傳感器。這些安全漏洞對(duì)遠(yuǎn)端設(shè)備的影響是深遠(yuǎn)的。

4.2、IO模塊的風(fēng)險(xiǎn)

訪問開放式受信任系統(tǒng)的另一種途徑是利用克隆IO模塊注入惡意軟件。工人已經(jīng)習(xí)慣于更換PLC IO模塊的操作。亞洲市場上就曾發(fā)生過出售克隆IO模塊的情況(假冒頂級(jí)自動(dòng)化廠商的牌子)。同樣，由于是傳統(tǒng)上幾乎沒有內(nèi)置安全性的受信任系統(tǒng)，這些模塊成為向主PLC CPU注入惡意軟件的有效載體。物理安全(確保只有設(shè)定的一組人員才能更新PLC系統(tǒng))可防止這種行為，但請(qǐng)不要忘記，這并不一定是惡意行為。因?yàn)槟踔敛恢浪媚K的真實(shí)性。

4.3、對(duì)現(xiàn)場傳感器實(shí)施硬件安全認(rèn)證

解決上述潛在風(fēng)險(xiǎn)的系統(tǒng)方案非常簡單：子系統(tǒng)的數(shù)據(jù)只有通過安全認(rèn)證才會(huì)被信任。有簡單的嵌入式硬件方法可保證此類受信任系統(tǒng)的安全。幾年前，建立了醫(yī)療和耗材(例如打印機(jī)墨盒)的安全認(rèn)證方法。這些系統(tǒng)傳統(tǒng)上采用基于標(biāo)準(zhǔn)的安全認(rèn)證過程，使用定制安全器件。

這種安全方法基于主機(jī)和從機(jī)之間的質(zhì)詢-應(yīng)答。主機(jī)系統(tǒng)發(fā)送一個(gè)質(zhì)詢，從機(jī)系統(tǒng)利用該質(zhì)詢來計(jì)算應(yīng)答。主機(jī)系統(tǒng)對(duì)該應(yīng)答進(jìn)行驗(yàn)證，確保從機(jī)系統(tǒng)不是克隆或假冒品。只有經(jīng)過驗(yàn)證后，主機(jī)才會(huì)與從機(jī)系統(tǒng)進(jìn)行通信。

圖5所示的簡化概念方框圖為采用類似SHA 256算法的硬件安全認(rèn)證方案。SHA-256協(xié)議基于安全認(rèn)證器件之間的質(zhì)詢-應(yīng)答交換，在接收和讀取傳感器數(shù)據(jù)之前，對(duì)傳感器進(jìn)行安全認(rèn)證。SHA-256安全認(rèn)證使攻擊者不能連接到網(wǎng)絡(luò)，冒充傳感器甚至利用受損系統(tǒng)代替?zhèn)鞲衅?，除非其擁有已寫入合法私鑰的安全認(rèn)證器件。

Maxim Integrated等廠商在美國本土工廠提供密鑰編程服務(wù)，然后將編程后的安全認(rèn)證器件發(fā)送給您。該器件將擁有唯一的密鑰，只有我們的用戶知道。儲(chǔ)存有密鑰的器件內(nèi)置各種有源和無源防篡改措施。

　　圖4 :對(duì)從機(jī)模塊進(jìn)行安全認(rèn)證：可用于現(xiàn)場傳感器和IO模塊

英文解釋：

Printer 打印機(jī)

Challenge 挑戰(zhàn)

Response 響應(yīng)

Accept/reject 接受/拒絕

Cartridge 墨盒

　　圖5 :采用SHA-256 (私鑰)的傳感器安全認(rèn)證

英文解釋：

Photo courtesy of emerson process management 艾默生過程管理提供圖片

Upon power up... 在上電時(shí)...

Tamper-proof authenticator DS28E15/22/25 防篡改認(rèn)證DS28E15/22/25

Digital signature 數(shù)字簽名

Challenge 挑戰(zhàn)

Host 主機(jī)

Match 匹配

5、PLC CPU的風(fēng)險(xiǎn)及解決方案

控制工廠或過程的是PLC和主CPU，執(zhí)行所有的控制算法。但這些系統(tǒng)并非設(shè)計(jì)用于承受安全攻擊和破壞。所以，這些系統(tǒng)一旦接入網(wǎng)絡(luò)，就有許多途徑會(huì)危及PLC的CPU。其中有些攻擊面可能是應(yīng)用軟件、OS或硬件，但大部分攻擊面是固件。如果固件被更改或感染，惡意軟件引起的任何變化不但難以發(fā)現(xiàn)，而且即使發(fā)現(xiàn)，也難以確定背后的目的或意圖。

大多數(shù)PLC在固件裝載時(shí)都不進(jìn)行來源和數(shù)據(jù)安全認(rèn)證。有的PLC甚至沒有校驗(yàn)和驗(yàn)證固件的傳輸是否正確。如果攻擊者能夠更改PLC固件，就能夠：

完全接管被攻擊的系統(tǒng);

掌握生產(chǎn)過程;

選擇性地破壞制造操作(又名震網(wǎng));

從受信任制造系統(tǒng)傳播至企業(yè)。

不是任何人都只會(huì)通過控制系統(tǒng)來破壞您的工廠。風(fēng)險(xiǎn)可能更加微妙。有許多知識(shí)產(chǎn)權(quán)嵌入在制造設(shè)施中，有時(shí)候其目的僅僅是獲得這些IP。這種惡意軟件不會(huì)通過在生產(chǎn)過程中引發(fā)問題而使自己暴露。

自動(dòng)化世界雜志曾報(bào)道：“關(guān)于蜻蜓(Dragonfly)，有意思的是其瞄準(zhǔn)ICS信息的目的不是為引起停工，而是為了竊取知識(shí)產(chǎn)權(quán)。潛在損害可能包括剽竊專利配方和生產(chǎn)批次步驟，以及表示廠商產(chǎn)能和能力的網(wǎng)絡(luò)、設(shè)備信息。

緩解此類問題的系統(tǒng)方案是為主PLC CPU實(shí)施安全裝載。這是對(duì)固件進(jìn)行安全認(rèn)證，保證只接受帶有效數(shù)字簽名軟件的一種途徑。根據(jù)設(shè)備的不同，用戶也可以對(duì)固件加密。安全處理需求很容易超過傳統(tǒng)PLC CPU的MIPS，甚至產(chǎn)生延遲問題。最好的解決方案是將安全功能交給專門針對(duì)這些功能設(shè)計(jì)的低成本、商用安全處理器，如圖所示。圖6所示系統(tǒng)利用外部安全處理器驗(yàn)證固件的數(shù)字簽名。

以上方案使用密鑰支持安全認(rèn)證，也就帶來了密鑰保護(hù)問題。密鑰的物理安全是許多應(yīng)用中的首要考慮事項(xiàng)，因?yàn)橐坏┟荑€遭到威脅，安全將不復(fù)存在。

為正確解決物理安全，必須考慮諸多事項(xiàng)。其中包括：生成隨時(shí)加密的物理機(jī)制、防止授權(quán)代理之間傳輸密鑰被截取的物理機(jī)制;以及儲(chǔ)存密鑰的安全方法，能夠防止物理偵測(cè)、機(jī)械探測(cè)等。

各種密鑰存儲(chǔ)器件為系統(tǒng)設(shè)計(jì)者提供豐富的功能，涵蓋了從封裝設(shè)計(jì)到外部傳感器接口，以及內(nèi)部電路架構(gòu)，參見軍用標(biāo)準(zhǔn)FIPS 140規(guī)范，許多芯片廠商，例如Maxim Integrated，提供非常全面的防篡改能力，可用于工業(yè)控制系統(tǒng)。

6、IoT安全的未來

安全保障措施還有其他途徑，并且當(dāng)我們開始認(rèn)識(shí)到安全性對(duì)于互聯(lián)工廠環(huán)境的重要性時(shí)，最終將圍繞少數(shù)幾個(gè)方法展開研究。

制造業(yè)領(lǐng)域的IIoT具有旺盛需求，并且呈現(xiàn)不斷增長的趨勢(shì)。安全性的發(fā)展必將克服薄弱環(huán)節(jié)，但需求已經(jīng)切切實(shí)實(shí)地存在。