确保工业4.0安全，如何在软件端落实？

强大的安全性是工业物联网(IIoT)的基本要求。安全挑战可以被视为在一个虚拟的生产工厂中，对系统的基础设施存在许多要求，感测器则可为操作人员提供接近即时校勘有关其所有资产的各种位置、方位、速度、温度、压力、锁定状态和振动等资料...

在设计、开发和部署具有互通性、安全且可靠的工业网际网路时，几乎每个工业领域中的工程组织机构都不缺少指导方针。

特别是工业网际网路联盟(IIC)和工业4.0工作小组都制订相应的指南和建议，分别是工业网际网路参考架构(IIRA)和工业4.0参考架构模型(RAMI 4.0)。鉴于这些档案内容的相似性，两种架构之间必然存在相同和重复的内容，这在针对两大组织之间共同合作的现场讨论中即可反映出来。

两大机构都坦承，强大的安全性是工业物联网(IIoT)的基本要求。事实上，IIC最近推出了工业网际网路安全架构(IISF)，提供在这方面的指导原则，同时，随着两大组织不断深入合作而在许多领域达成一致，安全已经被公认为是一个关键问题。

安全挑战可以被视为在一个虚拟的生产工厂中，对系统的基础设施存在许多要求。感测器为操作人员提供了接近即时校勘有关其所有资产的各种位置、方位、速度、温度、压力、锁定状态和振动等资料的能力。

在更高的安全层级，可以根据这些资料的变化或不同的生产要求，对制程工厂设置或甚至韧体进行远端更新。而生产数字和获利能力更显示出不同商业类型面临安全问题；敏感资讯必须要与感测器的工程资料分开。

图1显示RAMI 4.0如何将这方面的考虑归纳为3D矩阵——由不同的分层、生命周期与价值流程，以及层次结构共同组组成。

图1：工业4.0的参考架构模型(RAMI 4.0)

这与IIC IIRA模型中描述的“功能域”和“观点”不谋而合(图2)。

图2：IIC功能域和观点描述

为了理解如何为两种机制更有效地提供安全基础，最好的方式是说明这两种归纳结果代表了传统上各自为政的资讯技术(IT)和操作技术(OT)的融合。传统的OT包含利用隔离形成的内建安全性，而IT安全专注于保护企业资产。将二者结合在一起时，将会暴露出两种系统的安全问题，因为融合相当于提供了一种潜在的方式存取各自较疏忽之处。

因此，很显然地，不管两种架构之间存在什么样的差异和相似性，两个域彼此之间的隔离是任何相容性建置的一个重要特性。尤其是资料的划分极其重要，目的在于让资料只保留给知情的一方存取。

专为控制和限制存取资讯的安全中介韧体解决方案，显然在这样的系统中扮演着潜在的角色。但他们只是复杂软体阶层中的一个元件，如果建置在不够安全的基础设施上，那么它们所提供的任何保护会立即失效。值得争论的是，IT领域中盛行的复杂、单一软体堆叠由于原本具有较大的攻击面，在应用到OT领域时将无法提供需要的安全等级。换句话说，建置任何可行的解决方案都需要安全且无需绕行的基础，以支援中介软体提供的隔离作用。

也许关键点是，资料是使得IIoT成功且安全工作的推手。这意味着系统中固有的价值是在端点创造的——无论是会计的资料库还是感测器的温度读数。因此，确保它们尽可能安全是十分合理的想法。

为了不牺牲这些不同的资料来源，IIoT的基础必须为OT提供确定的安全性、弹性和可靠性，而且必须提升受保护的隐私和安全等级，以保护整合方案的IT侧。相反地，IT侧必须确保改善弹性和安全等级，以搭配其在隐私性、安全性和可靠性等方面的良好记录。

如果所有这些互连系统都从头开始设计，而且设计时考虑到这种连线性，那么所有的目的都可以达成。但很显然这并不是实用性主张！更好的建议是透过基于隔离核心的闸道来保护端点本身。

隔离核心

虽然这种方法所根据的原则对于工业领域来说还比较新，但在其它领域已经非常成熟了。隔离核心用于保护政府通讯系统的机密资讯已经有近10年的时间了，所以非常值得借鉴这种学术性理论的成功之道。

隔离核心的概念最早是John Rushby在1981年提出来的，他认为，“应该将硬体和软体结合在一起，以便在共同的实体资源上实现多种功能，而不至于发生有害的相互干扰。”这种方法的优点确实令人信服，以致于隔离核心的原则形成了多级独立安全(MILS)计画的基础。

同样地，在30年前，Saltzer和Schroeder就建议“系统的每个程式和每个使用者都应该使用完成任务所需的最小权限进行操作”。这种简单而又常用的“最小权限”(least privilege)原则在重要性不同的应用彼此紧密执行时变得势在必行。

因此，隔离核心和最小权限的概念着重于模组化的优势，前者重点在于资源，后者则强调系统功能——这是Levin、Irvine和Nguyen在其“隔离核心中的最小权限”一文中提出这两个概念融合时所强调的要点。

图3：在隔离核心模组上叠加最小权限原则，可根据主体与资源精确地形成流程控制

图4显示在隔离核心“区块”(block)上叠加最小特权“主体”(主动的、可执行的实体)和“资源”，显示可根据主体与资源支援流程控制。

图4：简化隔离核心的实际应用

硬体虚拟化

虽然隔离核心和最小权限的原则早已建立，但早期的建置试图依赖于软体虚拟化层，这通常会导致性能不稳，而且无法支援即时应用。虚拟化曾经在企业领域的流行之势不可挡，使得晶片设计公司(包括Intel、AMD和ARM)不断地增加每个CPU上的核心数量，并在硬体中建置对于虚拟化的先进支援。从那时起，隔离核心才从只是一种纯理论想法转变成一种真正实用的方法。

市场上有几种嵌入式虚拟机管理程式(hypervisor)产品，致力于在修订后的作业系统(OS)架构上达到类似的目标。然而，为了使隔离核心的安全认证达到最佳化，必须部署最小权限原则，以尽量减小受信赖运算基础(TCB)及其表面攻击，从而最佳化闸道提供的保护。

隔离核心的实用性

考虑到实用性，以用于产生生产资料的机床为例(图5)。这些资料必须透过云端与待命的工厂工程师共用。在此例中的云端面主体可能是一个通用的作业系统，例如Windows或Linux。也许这种作业系统容易受到自称骇客者的攻击。但重要的是骇客不能存取工厂面的主体——也许是一个即时作业系统(RTOS)或裸金属应用——即使云端面的主体受到威胁。依照最小权限原则建置的隔离核心具有几个关键属性，可以在这种场合得到最佳化的结果。

快速　为了获得接近原有的性能，隔离核心必须导入尽可能少的开销，并尽量发挥硬体的虚拟化功能。

轻量　确保诸如驱动程式、I/O和流程管理等作业系统功能由专案所接管，隔离核心将变得非常轻量，而且较不容易受到攻击。

实用　隔离核心将透过向主体提交“虚拟主机板”以支援传统软体的重复利用，从而使这些主体的安装和执行像原有的一样。

安全　静态配置可以确保隔离核心在完成搭建和部署后不再变化，并具有最佳的小攻击面。

物联网端点

我们很容易就能瞭解如何在简单的机床范例(图4)中建立原则，而这也可应用于保护IoT端点。图5说明了任意数量的资料来源和IT世界之间的介面如何受到基于隔离核心的IoT闸道保护。

图5：利用隔离核心保护IoT端点

在这种场合中，工厂面对“受信任主体”的原则可进一步扩展，以支援平台配置管理、监测与分析等服务，以及支援闲时资料(DAR)和移动资料(DIM)的裸金属安全服务(如加密)。安全启动技术确保了闸道在启动时不至于较执行时更易于受到攻击。

图6：IoT端点面临的IISF威胁和弱点

此外，利用经验证的隔离核心技术，所开发的IoT闸道可为基于IIRA或RAMI 4.0的相容性解决方案提供了理想的基础，因为它具有安全认证、使用效率高，更实际的是，它能够支援传统软体。