加速工业4.0：扩展工业控制系统的安全边缘

工业控制系统（ICS）中的网络安全有望推迟工业4.0的采用。许多企业领导者发现很难理解ICS网络安全挑战，因为有许多因素导致其复杂性。此外，为工业控制系统开发解决方案的工程师可能没有看到设备级别的重大网络安全要求。保护工业控制系统的传统方法依赖于限制对网络和设备的访问，并通过信息技术（IT）解决方案监控网络流量。在工厂中处理设备的产品负责人会发现很容易将网络安全视为IT问题。然而，随着工业4.0的到来，保护工业控制系统的传统方法将不再足够。如果公司没有解决边缘设备安全问题的战略，ICS网络安全的挑战最终将推迟工业4.0的采用。为了采用和利用工业4.0，网络安全需要成为业务计划的关键部分。ADI公司认识到工业4.0给市场带来的挑战。尽管工业市场传统上变化缓慢，但工业4.0的采用速度超过了预期。随着这些变化，网络安全正在成为采用工业4.0最具挑战性的障碍之一。ICS网络安全标准和指南已经到位或正在建立，以保护工厂的安全，但它们没有提供有关如何加速工业4.0计划的指导。我们的使命是通过扩展安全边缘并使其更容易实施安全性，使我们的客户能够更快地采用工业 4.0 解决方案。

图1.边缘设备需要过渡才能采用工业 4.0。

工业4.0正在改变工业控制系统网络安全

工业4.0正在改变ICS网络安全问题是有原因的。工业4.0的本质是增加工厂中设备的控制访问和可访问性。这意味着增加对数据的访问，以扩大透明度、减少网络规划、降低资本支出、降低运营支出、提高带宽并优化机器互通。增加控制的可访问性和可访问性意味着工厂系统的网络安全风险评估正在发生变化。ICS网络安全解决方案需要适应不断变化的风险，而应用于系统的传统对策，如防火墙和将设备放在锁着的门后面，与工业4.0的目标背道而驰。这意味着设备需要经过安全强化，才能以安全方法启用增强功能。身份和完整性将成为现场每台设备的核心，以实现可信数据和安全操作。

工业市场上有许多不同的标准，为在工业控制系统中实施安全性提供指导。例如，NIST为美国治理提供安全指导。IEC 62443是针对欧洲治理的国际市场的草案安全标准。这是两个最主要的标准，为实施安全和评估工业控制系统的安全状况提供了有用的指南;但是，它们没有就如何加速工业4.0的采用提供指导。IEC 62443目前没有任何在PLC以下实施安全性的指南，最近成立了一个ISA99工作组，以解决IEC 62443框架内工厂底层的网络安全问题。如今，为了满足可接受的系统安全状况，必须对未达到足够安全级别的设备应用对策。这些对策通常依赖于防火墙等方法来限制访问以及隔离或隔离易受攻击的设备。未来，设备将需要达到更高的安全级别，以实现向工业4.0的过渡。

ADI公司：扩展工业控制系统网络安全边缘

ADI公司在扩展安全边缘方面处于独特的地位。我们的传统市场空间处于物理边缘，现实世界被转换为数字信号，数据诞生。这使我们有机会通过在信号链中更早地提供身份和完整性来建立对数据的信任，并建立安全边缘的新定义。传统上，安全边缘起源于工业控制系统安全框架中的网关、PLC 甚至服务器。

图2.实现最高的决策可信度：在物理到数字转换发生的地方。

这种观点让人想起工厂的传统IT网络安全观点，但它在整个行业中仍然存在。在信号链中降低安全边沿的前景是诱人的，因为它可以提高对根据该数据做出的决策的信心。在信号链中越早建立身份和完整性，对驱动决策的数据就越信任和信心。

ICS网络安全不能通过一刀切的解决方案来解决，必须根据系统的风险评估采用和应用深入的防御方法。ADI公司制定了扩展ICS网络安全深度的战略，因为以太网在边缘采用。实现工业4.0需要工厂采用新的连接方法。这意味着以太网已经并将继续在工业控制系统中发挥更大的作用。ADI公司的安全策略是关注以太网连接的位置，因为这会显著改变网络上任何一个设备对系统的影响。我们当前的工业以太网解决方案和TSN解决方案系列一直是我们安全开发的重点。在短期内，提供2端口，多协议连接的RapID平台fido5000将启用安全功能，提供密钥生成/管理，安全启动，安全更新和安全内存访问，以防止网络绑定攻击。该产品系列路线图包括单芯片解决方案，这些解决方案具有硬件信任根、安全设备生命周期管理、安全通信/相互身份验证和篡改保护。随着行业继续采用具有更高智能性的传感器，连接性将在工厂中延伸，从而在设备级别提出额外的安全要求。ADI公司致力于开发安全产品组合，使ICS安全解决方案的采用更加容易，并在边缘建立信任，以加速工业4.0的采用。

审核编辑：郭婷