强大的安全性是电动工具批发市场工业物联网(IIoT)的基本要求。安全挑战可以被视为在一个虚拟的生产工厂中,对系统的基础设施存在许多要求,传感器则可为操作人员提供接近实时校勘有关其所有资产的各种位置、方位、速度、温度、压力、锁定状态和振动等数据。
在设计、开发和部署具有互操作性、安全且可靠的工业因特网时,几乎每个电动工具批发市场工业领域中的工程组织机构都不缺少指导方针。特别是工业因特网联盟(IIC)和工业4.0工作小组都制订相应的指南和建议,分别是工业因特网参考架构(IIRA)和工业4.0参考架构模型(RAMI 4.0)。鉴于这些档案内容的相似性,两种架构之间必然存在相同和重复的内容,这在针对两大组织之间共同合作的现场讨论中即可反映出来。
两大机构都坦承,强大的安全性是工业物联网(IIoT)的基本要求。事实上,IIC最近推出了工业因特网安全架构(IISF),提供在这方面的指导原则,同时,随着两大组织不断深入合作而在许多领域达成一致,安全已经被公认为是一个关键问题。安全挑战可以被视为在一个虚拟的生产工厂中,对系统的基础设施存在许多要求。传感器为操作人员提供了接近实时校勘有关其所有资产的各种位置、方位、速度、温度、压力、锁定状态和振动等数据的能力。
在更高的安全层级,可以根据这些数据的变化或不同的生产要求,对电动工具批发网工艺工厂设置或甚至固件进行远程更新。而生产数字和获利能力更显示出不同商业类型面临安全问题;敏感信息必须要与传感器的工程数据分开。图1显示RAMI 4.0如何将这方面的考虑归纳为3D矩阵——由不同的分层、生命周期与价值流程,以及层次结构共同组组成。
图1:工业4.0的参考架构模型(RAMI 4.0)这与IIC IIRA模型中描述的“功能域”和“观点”不谋而合(图2)。
图2:IIC功能域和观点描述为了理解如何为两种机制更有效地提供安全基础,最好的方式是说明这两种归纳结果代表了传统上各自为政的信息技术(IT)和操作技术(OT)的融合。传统的OT包含利用隔离形成的内建安全性,而IT安全专注于保护企业资产。将二者结合在一起时,将会暴露出两种系统的安全问题,因为融合相当于提供了一种潜在的方式存取各自较疏忽之处。因此,很显然地,不管两种架构之间存在什么样的差异和相似性,两个域彼此之间的隔离是任何兼容性建置的一个重要特性。尤其是数据的划分极其重要,目的在于让数据只保留给知情的一方存取。
专为控制和限制存取信息的安全中介固件解决方案,显然在这样的系统中扮演着潜在的角色。但他们只是复杂软件阶层中的一个组件,如果建置在不够安全的基础设施上,那么它们所提供的任何保护会立即失效。值得争论的是,IT领域中盛行的复杂、单一软件堆栈由于原本具有较大的攻击面,在应用到OT领域时将无法提供需要的安全等级。换句话说,建置任何可行的解决方案都需要安全且无需绕行的基础,以支持中间件提供的隔离作用。也许关键点是,数据是使得IIoT成功且安全工作的推手。这意味着系统中固有的价值是在端点创造的——无论是会计的数据库还是传感器的温度读数。
因此,确保它们尽可能安全是十分合理的想法。为了不牺牲这些不同的数据源,IIoT的基础必须为OT提供确定的安全性、弹性和可靠性,而且必须提升受保护的隐私和安全等级,以保护整合方案的IT侧。相反地,IT侧必须确保改善弹性和安全等级,以搭配其在隐私性、安全性和可靠性等方面的良好记录。如果所有这些互连系统都从头开始设计,而且设计时考虑到这种连接性,那么所有的目的都可以达成。但很显然这并不是实用性主张!更好的建议是透过基于隔离核心的网关来保护端点本身。隔离核心虽然这种方法所根据的原则对于工业领域来说还比较新,但在其它领域已经非常成熟了。
隔离核心用于保护政府通讯系统的机密信息已经有近10年的时间了,所以非常值得借鉴这种学术性理论的成功之道。隔离核心的概念最早是John Rushby在1981年提出来的,他认为,“应该将硬件和软件结合在一起,以便在共同的实体资源上实现多种功能,而不至于发生有害的相互干扰。”这种方法的优点确实令人信服,以致于隔离核心的原则形成了多级独立安全(MILS)计划的基础。同样地,在30年前,Saltzer和Schroeder就建议“系统的每个程序和每个用户都应该使用完成任务所需的最小权限进行操作”。这种简单而又常用的“最小权限”(least privilege)原则在重要性不同的应用彼此紧密执行时变得势在必行。因此,隔离核心和最小权限的概念着重于模块化的优势,前者重点在于资源,后者则强调系统功能——这是Levin、Irvine和Nguyen在其“隔离核心中的最小权限”一文中提出这两个概念融合时所强调的要点。