IEC 62443系列標準：如何防禦基礎設施網路攻擊

本文探討了IEC 62443系列標準的基本原理和優勢。該標準包含了目的在確保網路安全韌性，以及保護關鍵基礎設施和數位工廠的一系列協定。此一領先標準提供了全面性的安全層，不過也為尋求認證的相關人員帶來了一些挑戰。本文將詳細闡釋安全IC如何為需達成工業自動化控制系統(IACS)元件認證目標的組織提供必要的説明。

儘管網路攻擊的潛在威脅日益增加，但工業自動化控制系統(IACS)在採納安全措施方面進展緩慢。部分原因在於此類系統的設計人員和營運人員缺乏共同的參照標準。IEC 62443系列標準為建構更安全的工業基礎設施提供了一條途徑，但企業必須學會如何因應其複雜性，並理解這些新挑戰，以成功加以應用。

供水、汙水處理和電網等關鍵基礎設施進行了數位化轉型，因此不間斷存取這些關鍵基礎設施對於日常生活非常重要。然而，網路攻擊仍在為這些系統帶來威脅，且其攻擊能力預計還會提高¹。

工業4.0需要高度互聯的感測器、執行器、閘道和聚合器。而如此更高程度的互聯進一步增加了潛在網路攻擊的風險，因此進行安全措施比以往任何時候都更加重要。美國網路安全和基礎設施安全局(CISA)等組織的成立體現了保護關鍵基礎設施、確保在防禦網路攻擊時具備強韌的恢復能力的重要性，同時也進一步表示了對此目標的決心²。

2010年，Stuxnet的出現突顯了工業基礎設施的脆弱性³ 。Stuxnet是首個全球範圍內廣為人知的網路攻擊病毒，此次事件也表示從遠處針對IACS發起攻擊是可行的。隨後的攻擊再次強化了大眾對於網路病毒的認識，人們由此確認針對特定類型設備的遠端攻擊也可能會對工業基礎設施造成損害。

於是，政府機構、公共事業公司、IACS使用者和設備製造商很快意識到：IACS需要得到保護。政府和使用者理所當然地傾向於在組織層面採取安全相關措施並制定政策，而設備製造商則是針對硬體和軟體研究了可能的反制措施。然而，由於以下原因，安全措施的採納進展緩慢：

• 基礎設施的複雜性
• 利益相關方的利益點和關注點不同
• 建置方案和選項過於多樣
• 缺乏可衡量的目標

總體而言，利益相關方難以確定目標的安全級別，需要謹慎權衡防護強度與成本。

為圍繞ISA99倡議建立共同參照標準，國際自動化協會(ISA)成立了相關工作組，最終共同發表了IEC 62443系列標準。該標準目前分為四個級別和類別，如圖1所示。IEC 62443標準涉及面廣，包含了組織政策、程式、風險評估以及硬體和軟體元件的安全性。該標準涵蓋安全防護的各個層面，切合目前實際需求，具有的超強適應性。此外，ISA採取綜合方法來應對IACS涉及的所有利益相關方的各種利益問題。一般來說，不同利益相關方的安全關注點各不相同。以IP盜竊為例，IACS營運商會特別關注如何保護製造製程，而設備製造商則可能更在意如何保護人工智慧(AI)演算法，使其免遭逆向工程。

此外，由於IACS本質上很複雜，因此必須全盤考慮各個安全層面。如果沒有安全設備的支援，僅靠程式和政策是不夠的。另一方面，如果程式沒有正確規定如何安全使用元件，那麼再堅固耐用的元件也將毫無用處。

圖2中的圖表顯示了IEC 62443標準通過ISA認證的採用率情況。正如預期的那樣，產業主要利益相關方定義的標準加速了安全措施的實施。

圖2. ISA認證數量隨著時間推移不斷增加⁴

IEC 62443是一個非常全面而有效的網路安全標準，但其複雜性可能超乎我們的想像。該檔本身長達近1000頁。要清楚地瞭解該網路安全協定，就需要花時間學習。除了掌握技術語言之外，還必須注意將IEC 62443的每個小部分放在整體的上下文中進行考慮，因為各個概念都是相互依存的（如圖3所示）。

例如，根據IEC 62443-4-2，必須針對整個IACS開展風險評估，評估結果將決定設備的目標安全級別。⁵

硬體實現的最高安全級別要求

IEC 62443以直白的語言定義了安全級別，如圖4所示。

IEC 62443-2-1要求進行安全風險評估。在此過程的結果中，每個元件都將被分配一個目標安全級別(SL-T)。

根據圖1和圖3，標準的某些部分與流程和程式相關，而IEC 62443-4-1和IEC 62443-4-2則側重於組件的安全性。根據IEC 62443-4-2，元件類型包括軟體應用、主機裝置、嵌入式裝置和網路設備。對於各個元件類型，IEC 62443-4-2根據其滿足的元件要求(CR)和增強要求(RE)定義了能力安全級別(SL-C)。表1總結了SL-A、SL-C、SL-T及三者之間的關係。

工業4.0表示隨時隨地進行感測，因此需要部署更多邊緣裝置。IACS邊緣裝置包括感測器、執行器、機械手臂、具有I/O模組的PLC等。每個邊緣裝置都連接到高度網路化的基礎設施，也成為了駭客的潛在切入點。不僅攻擊面隨裝置數量成比例地擴大，而且裝置的多元化也不可避免地提高了攻擊途徑的多樣性。應用安全和滲透測試供應商SEWORKS技術長Yaniv Karta表示：「現有平台存在許多可行的攻擊途徑，而且端點和邊緣裝置的風險曝露也持續提高。」例如，在複雜的IACS中，並非所有感測器都來自同一供應商，這些感測器的微控制器、作業系統或通訊協定棧等也未共用相同的架構。每種架構本身都可能存在弱點。如此一來，所有漏洞不斷積累在IACS之中，導致風險大幅增加，如MITRE ATT&CK資料庫⁶或ICS-CERT公告⁷所示。

此外，工業物聯網IoT (IIoT)逐漸在邊緣嵌入更多的智慧功能⁸ ，業界正在開發可做出自主系統決策的裝置。有鑑於這些決策對於安全、系統運行等非常重要，確保裝置硬體和軟體可以被信任就顯得更為關鍵。另外，常常還需要考慮如何保護裝置開發人員的研發IP投資免遭盜竊（例如與AI演算法相關的成果）。基於此，他們可能會決定採用受統包式安全IC支援的保護措施。

另外一個重要的觀點是，網路安全防護不足可能會對功能安全產生負面影響。功能安全和網路安全之間的相互作用關係非常複雜，需要以更多篇幅才足以詳細說明，但我們可以著重關注以下幾點：

• IEC 61508：「電氣/電子/可編程電子安全相關系統的功能安全」要求根據IEC 62443開展網路安全風險分析。
• 雖然IEC 61508主要側重於危害和風險分析，但也要求在每次發生嚴重網路安全事件後，進行後續的安全威脅分析和漏洞分析。

我們列出的IACS邊緣裝置是嵌入式系統。IEC 62443-4-2規定了對這些系統的具體要求，例如惡意程式碼保護機制、安全韌體更新、物理防篡改和檢測、信任根配置以及引導過程完整性。

ADI的安全認證器（也稱為安全元件）專為滿足上述要求而設計，同時還兼顧了易建置性和成本效益。這些固定功能IC具有用於主機處理器的完整軟體協定棧，屬於全包式解決方案。

採用ADI的安全建置方案後，元件設計人員將能更專注於其核心業務。安全認證器本質上是信任根，能夠安全且不可變地儲存根金鑰/秘密和代表裝置狀態的敏感性資料（如韌體雜湊值）。安全認證器包含一套全面的加密功能，包括身份驗證、加密、安全資料儲存、生命週期管理和安全引導/更新。

ChipDNA^™ 採用ADI的安全建置方案後，元件設計人員將能更專注於其核心業務。安全認證器本質上是信任根，能夠安全且不可變地儲存根金鑰/秘密和代表裝置狀態的敏感性資料（如韌體雜湊值）。安全認證器包含一套全面的加密功能，包括身份驗證、加密、安全資料儲存、生命週期管理和安全引導/更新。

安全認證器還支援證書和憑證連結管理⁹。

此外，ADI提供高度安全的金鑰和證書預編程服務，以便可以為原始設備製造商(OEM)提供已配置完畢、能夠無縫加入其公開金鑰基礎設施(PKI)或啟用離線PKI的元件。該元件的穩健加密功能還為安全韌體更新和安全引導提供支援。

安全認證器是為現有設計增加進階安全性的上佳之選。不僅有助於減少為安全性而重新設計裝置架構的研發工作，而且BOM成本也較低。例如無需更改主微控制器即可使用該元件。舉個例子，DS28S60 和 MAXQ1065 安全認證器滿足IEC 62443-4-2的所有級別要求，如圖5所示。

DS28S60和MAXQ1065採用3 mm × 3 mm TDFN封裝，適用於空間非常受限的設計，同時還具有低功耗特性，因此也十分適合於功耗較低的邊緣裝置。

為滿足IEC 62443-4-2要求，有些IACS元件架構已經配備具有安全功能的微控制器，安全認證器的金鑰和證書分發功能也將讓這些架構大受裨益。OEM或其契約製造商無需再為處理秘密IC憑證購買所需的昂貴製造設施。此種方法還會保護微控制器中儲存的可通過JTAG等偵錯工具存取的金鑰。

如需完整的產品系列和產品詳情，請瀏覽：analog.com/en/product-category/secure-authenticators.html.

透過整合並採用IEC 62443標準，IACS利益相關方為建構可信賴且安全性強的基礎設施鋪平了道路。安全認證器為未來打造符合IEC 62443標準的元件建立堅實基礎，也為這些元件提供了更為穩健的基於硬體的安全性。安全認證器將協助OEM獲得所需的認證，讓其更有信心進行設計。