在工业网络中构建强大的安全性时要关注什么？

对于许多公司而言，通过IIoT实施数字化转型被视为提供具有竞争力的产品、优化生产力和不断提高业务绩效的基础。不幸的是，工业物联网(IIoT)上的设备为攻击者提供了破坏业务、造成财产和人员损失的额外机会。

截取来自工业控制系统的数据可以揭示制造秘密，从而有可能暴露出竞争优势。如果设备可以被接管、克隆或欺骗，则漏洞利用可能包括破坏传感器数据、关闭关键系统以及发送可能对安全构成严重威胁的错误控制命令。主要例子包括影响伊朗核计划的Stuxnet攻击，据报道关闭了乌克兰部分电网的BlackEnergy3。

对网络攻击的研究让该行业对其利用的弱点有了更多的了解。随着知识的增长，安全最佳实践和标准也随之发展。这些帮助系统架构师了解其资产所需的保护以及抵抗攻击的技术。例如，IEC62443建立在对潜在威胁进行基于风险的分析的基础之上，正在成为网络安全的国际标准。

通过根据成功攻击的后果和影响评估系统的风险，IEC62443定义了五个安全级别(图1)，涵盖了从不需要保护的设备到需要最高威胁抵抗能力的设备。

对于IEC62443的更高安全级别(即第3和第4级)，需要基于硬件的安全性来保护设备身份验证器、私有密钥以及关键对称密钥。在专用硬件芯片中针对逻辑和物理攻击进行加固的同时，将关键机密和数据存储在分立的硬件芯片中的优势还具有增强的保护，而对于仅软件方法而言，逻辑攻击的障碍要低得多。

一切都在网络安全中

终端节点，它们所连接的设备(例如网关)或云之间的相互身份验证仅允许真正的，毫不妥协的设备进行通信–如图2所示。

如果没有可靠的身份验证，则有可能将恶意软件连接、克隆或加载到正版设备上。随后，“不良行为者”可以利用该连接来破坏产品或服务的正常运行，或拦截数据。此外，身份验证还可以保护产品或服务的提供者免遭客户滥用。当使用非原装零配件或插入伪造的设备或试图进行未经授权的维修时，可能会导致现场故障。身份认证凸显了恶意行为，最终节省了提供商承担整改成本。

实际上，有效的网络保护依赖于几种常用的防御措施，如图3所示。这些措施包括安全通信、连接设备的安全启动顺序以及无线应用固件更新(OTA)的安全过程。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!