1制造領域的工業物聯網

制造業需要采集并處理大量數據，通過對數據進行分析和可視化，有助于優化運營和成本。數據是工業物聯網（IIoT）的基石，而制造業能夠從IIoT中獲得利益最大化。在制造領域，智能傳感器、分布式控制及復雜安全軟件提供的安全方案是這次革命的黏合劑。

為了實現IIoT的愿景，我們必須將大量數據，甚至老舊系統置于云端。這將帶來巨大的安全隱患，因為適用于工業控制系統的安全措施尚未跟上步伐，甚至在某些情況下根本不存在。當參與者知道（無論是否惡意）某個工廠或車間實際上已經聯網，并充分利用各種不同的攻擊手段時，這一切將發生變化。

安全措施必須是軟件和嵌入式硬件的結合，保護關鍵的控制系統免受各種攻擊。關鍵挑戰有三種：采用密鑰的硬件安全認證、采用TLS的安全通信，以及安全裝載。由于連通性（支持IIoT的能力）將任何安全漏洞暴露無遺，為了保護IIoT利益，安全問題就不能是亡羊補牢式的方案。

2 IIOT為工廠帶來的便利

IIoT在工廠建設中的一個很好案例是通用電氣（General Electric）在紐約北部設立的價值1.7億美元的現代化工廠。該工廠在2015年開始運營，為手機通信塔等設備生產先進的鈉鎳電池。工廠布設了10000多個傳感器，分布于180000平方英尺廠房;所有傳感器都連接到內部高速以太網。傳感器監測一切過程，例如：使用哪個批次的原材料、烘烤溫度是多少、制造每節電池的耗能多少，甚至當地的氣壓等參數。在生產車間，員工利用平板電腦即可通過遍布全廠的Wi-Fi節點獲得所有數據。

制造業的另一個例子是西門子的安貝格電子廠，該工廠生產可編程邏輯控制器（PLC）。生產過程的自動化程度很高，機器和計算機處理價值鏈的75%工作，其它則由人工完成。只有在生產過程的起始階段需要人工處理，員工將基本件（裸電路板）放在生產線上。此后，一切均自動完成。值得一提的是，Simatic單元控制Simatic設備的生產。整個制程大約有1000個這樣的控制單元。

IIoT收集傳感器數據、支持機器間（M2M）通信及自動化進程。智能化機器在諸多方面優于人工操作，例如，可以精確采集數據、傳輸數據，并保持高度一致性，從而解決了效率低下、保持長期運轉、合理規劃設備維護等問題，以獲得更高的生產效率。Maxim Integrated將IIoT按堆棧形式進行劃分，如圖1所示。IIoT堆棧最底層是工廠或生產車間的設備（系統）。這些設備可以是現場傳感器、控制器、工業PC等，所有這些均為硬件系統，包括硬件的安全保護功能。這些終端設備必須提供有效的數據通信，連接至通信集線器、網關和交換機，從而將這些數據作為大數據存放在云端（或企業網）。

IIoT的目標是將數據可集成到企業的ERP和CRM軟件中，不僅能夠高效規劃制造過程、降低成本，甚至利用客戶/市場信息來改變裝配線和過程參數。

堆棧的頂層影響到軟件開發和集成，底層影響系統設計。IIoT的主要利益可分為三部分（圖2）：資產、過程和企業優化。優化一臺電機要比優化鉆臺操作更容易，而后者又比優化大型產線容易。而對所有環節進行優化是IIoT的終極夢想。

第一級分析和交互操作發生在第一線：從傳感器（例如渦輪傳感器、電機編碼器或振動特征信號）數據采集，然后在本地進行數據處理，幫助操作者掌握如何調節參數以實現最高效率，或提供故障隱患的早期征兆。

第二級分析在控制室或工廠完成，將來自多個終端設備甚至多個組裝線的傳感器數據整合在一起，從而制定決策，提高工廠或過程效率。例如，控制室做出讓各種終端設備空閑或休眠的決策，降低過程的總體功耗。

數據的運用對運營的正面影響表現在前兩個階段，我們已經比較熟悉，并且以一定的方式、形式在使用。然而，IIoT的目的不僅改進前兩個階段的數據采集和分析，而且將過程數據與企業數據進行整合，從而做出在此之前未能實現的決策。

觀察一個公司如何從市場獲利，我們不難推斷應該靈活地對生產線進行調整，根據市場需求讓生產線全速運轉，或徹底關閉不受市場歡迎的附件功能。將運營和財務數據相結合，能夠為CFO提供更深入的洞察力。公司重心調整及轉變的靈活性是產業保持快速、可持續發展的關鍵。這是一個極富吸引力的市場趨勢，但當前的安全措施還跟不上IIoT系統發展的需求。

3工業物聯網系統的薄弱環節

IIoT系統有若干渠道容易遭受攻擊，其中最突出的兩個方面是云存儲和網絡架構。

將數據放在云端（公有或私有）是IIoT的關鍵，但同時也帶來了嚴重的安全隱患。傳統上，工業控制系統（ICS）廠商在系統中保留一定的間隙。當這些系統直接或間接連接到互聯網時，情況會大不相同。IIoT使人們認識到，ICS需要嵌入式安全認證和安全保護。

圖3所示為工廠或生產過程的現場設備最終如何連接到網絡的頂層視圖。通常有控制網絡、現場傳感器主機，以及連接至PLC或DCS的執行機構或伺服驅動（及其它類似設備）。一般而言，該控制網絡是隔離網絡的一個分支。但是，管理工廠或過程不同部分的控制網絡越來越多地連接在一起，形成工廠網絡。

工廠網絡使監管者能夠了解整個工廠的運營情況，判斷工廠各個環節之間的相互影響。這一層的信息支持對整個工廠或油田運營的優化。最終，工廠網絡信息被整合到企業/業務網絡，實現真正的IIoT。

控制網絡中的每一層都需要評估其安全性——每一層的安全性都不同。如果您從頂層開始，即IT域，需要的是已更新至最新軟件和補丁的安全交換機和服務器。

在工廠層，安全防護不是最新技術。然而，IT仍然具有一定的控制。

在控制網絡層，PLC架構的年齡已經有數十年。一般很少更新，并且也不能對負責100%工廠運營時間的系統進行頻繁修補。此處的安全性通常較弱。

在現場層，安全防護措施幾乎根本不存在。現場設備是開放式、受信任的，由于互操作性最為重要，所以實際上不能實施任何加密措施。觀察現場的從設備，例如傳感器和執行器，這些系統（大部分）的安全性為零，使用的還是上世紀70年代至90年代期間開發的協議。

4　應對工業現場控制系統的風險

我們更深入地討論現場環節，給ICS帶來風險的主要兩點是：遠端現場傳感器和IO模塊。成敗的關鍵在于正常運營時間、預測維護以及總體效率：IIoT的基石。

4.1遠端現場傳感器的風險

實際應用中，不能保證所有傳感器的物理安全，尤其當傳感器安裝在非常偏遠的位置，比如監測石油和天然氣現場等。位置偏遠使其很容易受到物理攻擊，所以在接受傳感器數據之前對其進行安全認證至關重要。多數情況下，現場傳感器，甚至關鍵設施中使用的傳感器都是開放式、受信任的。現場傳感器的這一弱點依然普遍存在。

2014年，在眾所周知的黑帽駭客大會上，發表了俄羅斯研究人員的一片文章，作者認為直接攻擊企業系統太麻煩。相反，他們策劃并介紹了一種“中間人”攻擊方法：欺騙并更換一個開放、受信任的HART調制解調器現場傳感器3。他們介紹了詳細的過程，甚至制作了軟件庫供下載。

我們重視IIoT的安全系統就必須首先關注向云端或PLC發送數據的可信任傳感器。這些安全漏洞對遠端設備的影響是深遠的。

4.2 IO模塊的風險

訪問開放式受信任系統的另一種途徑是利用克隆IO模塊注入惡意軟件。工人已經習慣于更換PLC IO模塊的操作。亞洲市場上就曾發生過出售克隆IO模塊的情況（假冒頂級自動化廠商的牌子）。同樣，由于是傳統上幾乎沒有內置安全性的受信任系統，這些模塊成為向主PLC CPU注入惡意軟件的有效載體。物理安全（確保只有設定的一組人員才能更新PLC系統）可防止這種行為，但請不要忘記，這并不一定是惡意行為。因為您甚至不知道所用模塊的真實性。

4.3對現場傳感器實施硬件安全認證

解決上述潛在風險的系統方案非常簡單：子系統的數據只有通過安全認證才會被信任。有簡單的嵌入式硬件方法可保證此類受信任系統的安全。幾年前，建立了醫療和耗材（例如打印機墨盒）的安全認證方法。這些系統傳統上采用基于標準的安全認證過程，使用定制安全器件。

這種安全方法基于主機和從機之間的質詢-應答。主機系統發送一個質詢，從機系統利用該質詢來計算應答。主機系統對該應答進行驗證，確保從機系統不是克隆或假冒品。只有經過驗證后，主機才會與從機系統進行通信。

圖5所示的簡化概念方框圖為采用類似SHA 256算法的硬件安全認證方案。SHA-256協議基于安全認證器件之間的質詢-應答交換，在接收和讀取傳感器數據之前，對傳感器進行安全認證。SHA-256安全認證使攻擊者不能連接到網絡，冒充傳感器甚至利用受損系統代替傳感器，除非其擁有已寫入合法私鑰的安全認證器件。

Maxim Integrated等廠商在美國本土工廠提供密鑰編程服務，然后將編程后的安全認證器件發送給您。該器件將擁有唯一的密鑰，只有我們的用戶知道。儲存有密鑰的器件內置各種有源和無源防篡改措施。

英文解釋：

Printer 打印機

Challenge 挑戰

Response 響應

Accept/reject 接受/拒絕

Cartridge 墨盒

英文解釋：

Photo courtesy of emerson process management 艾默生過程管理提供圖片

Upon power up.。. 在上電時。..

Tamper-proof authenticator DS28E15/22/25 防篡改認證DS28E15/22/25

Digital signature 數字簽名

Challenge 挑戰

Host 主機

Match 匹配

5 PLC CPU的風險及解決方案

控制工廠或過程的是PLC和主CPU，執行所有的控制算法。但這些系統并非設計用于承受安全攻擊和破壞。所以，這些系統一旦接入網絡，就有許多途徑會危及PLC的CPU。其中有些攻擊面可能是應用軟件、OS或硬件，但大部分攻擊面是固件。如果固件被更改或感染，惡意軟件引起的任何變化不但難以發現，而且即使發現，也難以確定背后的目的或意圖。

大多數PLC在固件裝載時都不進行來源和數據安全認證。有的PLC甚至沒有校驗和驗證固件的傳輸是否正確。如果攻擊者能夠更改PLC固件，就能夠：

完全接管被攻擊的系統;

掌握生產過程;

選擇性地破壞制造操作（又名震網）;

從受信任制造系統傳播至企業。

不是任何人都只會通過控制系統來破壞您的工廠。風險可能更加微妙。有許多知識產權嵌入在制造設施中，有時候其目的僅僅是獲得這些IP。這種惡意軟件不會通過在生產過程中引發問題而使自己暴露。

自動化世界雜志曾報道：“關于蜻蜓（Dragonfly），有意思的是其瞄準ICS信息的目的不是為引起停工，而是為了竊取知識產權。潛在損害可能包括剽竊專利配方和生產批次步驟，以及表示廠商產能和能力的網絡、設備信息。

緩解此類問題的系統方案是為主PLC CPU實施安全裝載。這是對固件進行安全認證，保證只接受帶有效數字簽名軟件的一種途徑。根據設備的不同，用戶也可以對固件加密。安全處理需求很容易超過傳統PLC CPU的MIPS，甚至產生延遲問題。最好的解決方案是將安全功能交給專門針對這些功能設計的低成本、商用安全處理器，如圖所示。圖6所示系統利用外部安全處理器驗證固件的數字簽名。

以上方案使用密鑰支持安全認證，也就帶來了密鑰保護問題。密鑰的物理安全是許多應用中的首要考慮事項，因為一旦密鑰遭到威脅，安全將不復存在。

為正確解決物理安全，必須考慮諸多事項。其中包括：生成隨時加密的物理機制、防止授權代理之間傳輸密鑰被截取的物理機制;以及儲存密鑰的安全方法，能夠防止物理偵測、機械探測等。

各種密鑰存儲器件為系統設計者提供豐富的功能，涵蓋了從封裝設計到外部傳感器接口，以及內部電路架構，參見軍用標準FIPS 140規范，許多芯片廠商，例如Maxim Integrated，提供非常全面的防篡改能力，可用于工業控制系統。

6 IoT安全的未來

安全保障措施還有其他途徑，并且當我們開始認識到安全性對于互聯工廠環境的重要性時，最終將圍繞少數幾個方法展開研究。

制造業領域的IIoT具有旺盛需求，并且呈現不斷增長的趨勢。安全性的發展必將克服薄弱環節，但需求已經切切實實地存在。