涉及工廠數(shù)字化的工業(yè)4.0對工業(yè)市場領(lǐng)域的組織領(lǐng)導(dǎo)者來說可能意味著許多不同的事情，隨著工廠設(shè)備變得智能和互聯(lián)，數(shù)字化的影響可能會對網(wǎng)絡(luò)安全產(chǎn)生廣泛影響。例如，這可能意味著對您的工廠進行轉(zhuǎn)型，以實現(xiàn)更高水平的自主性和定制，從而改善總運營成本并為客戶帶來更高的價值。這也可能意味著系統(tǒng)和子系統(tǒng)的供應(yīng)商正在使工廠設(shè)備更加智能，以實現(xiàn)更大的多單元系統(tǒng)和企業(yè)系統(tǒng)內(nèi)制造單元的實時決策和自主交互。根據(jù)您希望如何利用工業(yè)4.0解決方案，采用這些解決方案的策略將取決于它們在價值鏈中的集成位置以及工廠內(nèi)集成的深度。

工廠的數(shù)字化正在改變價值鏈的各個方面，并直接影響業(yè)務(wù)的頂線和底線。最常討論的是釋放新收入線的創(chuàng)新，例如新產(chǎn)品、服務(wù)或兩者的某種組合。數(shù)字化生產(chǎn)、邊緣處理和分析數(shù)據(jù)需要新產(chǎn)品創(chuàng)新，而元數(shù)據(jù)的收集正在產(chǎn)生優(yōu)化控制、維護和使用的新服務(wù)。數(shù)字生產(chǎn)的兩個方面都存在于直接影響收入績效的價值鏈的不同部分。另一方面，降低成本的舉措側(cè)重于提高供應(yīng)鏈效率和優(yōu)化運營績效。這些改進需要在自己的工廠中采用更有能力的產(chǎn)品和服務(wù)。新產(chǎn)品創(chuàng)新的消耗是實現(xiàn)工業(yè)4.0線下效益的必要條件。根據(jù)人們渴望如何利用工業(yè)4.0解決方案，網(wǎng)絡(luò)安全策略將發(fā)生變化，以確保在工廠中成功采用和擴展數(shù)字解決方案。

網(wǎng)絡(luò)安全策略也將根據(jù)工業(yè)控制回路邊緣的普遍數(shù)字解決方案的集成方式而改變。傳統(tǒng)的工業(yè)自動化架構(gòu)高度不同，依賴于將現(xiàn)場設(shè)備的控制與工廠的其余信息系統(tǒng)、服務(wù)和應(yīng)用程序隔離開來，以防范網(wǎng)絡(luò)安全威脅。此外，實際的現(xiàn)場設(shè)備通常是點對點解決方案，數(shù)據(jù)交換和邊緣處理有限，這限制了任何一個設(shè)備對系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險。破壞這種典型的架構(gòu)并非易事，需要分階段進行。工業(yè)4.0解決方案的積極采用者將需要確定他們希望在工廠中集成新技術(shù)的深度，并推動實現(xiàn)這些愿望的網(wǎng)絡(luò)安全戰(zhàn)略。新的工業(yè)自動化架構(gòu)看起來將大不相同。傳統(tǒng)上，工廠使用普渡模型或類似模型分為五個不同的級別，未來的工廠架構(gòu)可能不會等同于相同的模型。未來的現(xiàn)場設(shè)備將傳感和致動與制造執(zhí)行和控制相結(jié)合。這些設(shè)備不僅將在工廠聯(lián)網(wǎng)成集成的連接架構(gòu)，而且其中一些將直接連接到企業(yè)系統(tǒng)、互聯(lián)網(wǎng)和云服務(wù)，這大大增加了任何一個設(shè)備對系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險。無論以何種方式看待未來的工業(yè)4.0架構(gòu)，實現(xiàn)最終目標都將采用多階段的方法和網(wǎng)絡(luò)安全策略，該策略與工廠中集成數(shù)字解決方案所需的深度相關(guān)聯(lián)。

實現(xiàn)網(wǎng)絡(luò)安全工業(yè)4.0的三個步驟

關(guān)于工業(yè)4.0的解決方案完全集成后，有許多不同的觀點。一些人認為傳統(tǒng)的工廠設(shè)計將在很大程度上保持不變，而另一些人則更激進地認為，按照傳統(tǒng)標準，新工廠幾乎無法識別。每個人都可以同意的是，工廠正在發(fā)生變化，這不會在一夜之間發(fā)生。這種轉(zhuǎn)變有一些明顯的原因，但主要原因是當今現(xiàn)場設(shè)備的使用壽命。這些設(shè)備的設(shè)計運行時間超過20年，并且可以保持更長的運行時間。可以努力改造這些設(shè)備以實現(xiàn)額外的功能和連接性，但它們將受到其硬件設(shè)計的限制，工廠系統(tǒng)架構(gòu)將不得不彌補其不足。從網(wǎng)絡(luò)安全的角度來看，這些設(shè)備將始終受到限制，并存在網(wǎng)絡(luò)風(fēng)險。安全設(shè)備需要安全的架構(gòu)和系統(tǒng)設(shè)計方法。改造具有安全功能的設(shè)備是一種權(quán)宜之計，總是會留下網(wǎng)絡(luò)安全漏洞。完全過渡到數(shù)字化工廠將需要設(shè)備達到高水平的安全強化，以抵御網(wǎng)絡(luò)攻擊，而不會妨礙它們實時共享信息和做出決策的能力。彈性 - 從困難中快速恢復(fù)的能力 - 對網(wǎng)絡(luò)安全的實施方式以及網(wǎng)絡(luò)安全工業(yè)4.0的必要步驟具有巨大影響。

圖2.過渡到完全數(shù)字化的工業(yè) 4.0 工廠。

要克服的第一個主要障礙是遵守新的網(wǎng)絡(luò)安全行業(yè)標準和最佳實踐。為了在不斷變化的工廠內(nèi)實現(xiàn)合規(guī)性，需要一種不同的方法。應(yīng)用信息技術(shù) （IT） 安全解決方案隔離、監(jiān)控和配置網(wǎng)絡(luò)流量的傳統(tǒng)方法將無法在工業(yè) 4.0 工廠中提供所需的彈性。隨著設(shè)備連接并共享實時信息，將需要硬件安全解決方案來實現(xiàn)自主實時決策，同時保持工廠的彈性。隨著網(wǎng)絡(luò)安全方法的變化，組織也需要適應(yīng)以應(yīng)對新的挑戰(zhàn)。許多組織正在重組，以建立網(wǎng)絡(luò)安全能力，該能力既與傳統(tǒng)工程組織分開管理，又集成在整個組織的項目團隊中。建立一個能夠?qū)嵤┚W(wǎng)絡(luò)安全解決方案戰(zhàn)略以滿足行業(yè)標準和最佳實踐的組織是實現(xiàn)工業(yè)4.0愿望的第一步。

在組織為新興的安全標準奠定了堅實的基礎(chǔ)之后，當他們有能力跨產(chǎn)品生命周期和跨組織邊界管理安全需求時，他們可以將重點轉(zhuǎn)向提高工廠單元內(nèi)的自主性。只有當工廠中的設(shè)備變得足夠智能，可以根據(jù)它們收到的數(shù)據(jù)做出決策時，才能實現(xiàn)自主性。網(wǎng)絡(luò)安全方法是一種系統(tǒng)設(shè)計，它構(gòu)建了能夠證實對數(shù)據(jù)來源地數(shù)據(jù)的信任的邊緣設(shè)備。其結(jié)果是通過網(wǎng)絡(luò)安全系統(tǒng)做出實時決策的信心，該系統(tǒng)能夠接受來自現(xiàn)實世界的輸入，評估其可信度并自主行動。

最后一個問題是建立一個工廠，它不僅連接到云，而且通過云服務(wù)與其他工廠系統(tǒng)同步運行。這需要更廣泛地采用數(shù)字解決方案，并且由于完全過渡到數(shù)字工廠所需的時間，最終將成為最后的障礙。今天的設(shè)備已經(jīng)連接到云，但在大多數(shù)情況下，這只是為了接收數(shù)據(jù)。這些數(shù)據(jù)經(jīng)過分析，并在工廠車間遠程做出決策。這些決策的產(chǎn)物可能是加速或延遲維護或微調(diào)自動化過程。如今，這些決策很少從云端執(zhí)行，因為現(xiàn)場控制是工廠本地的，與企業(yè)系統(tǒng)隔離。隨著工廠車間采用更多的自治權(quán)，通過云服務(wù)監(jiān)視和控制工廠以及在企業(yè)系統(tǒng)之間共享實時信息將更加相關(guān)。

圖3.在工廠車間采用自主性。

為互聯(lián)工廠提供硬件安全性

對硬件安全的需求是由行業(yè)標準驅(qū)動的，這些標準達到了更高的安全級別，以便在工廠中實現(xiàn)連接解決方案。增加控制的訪問和可訪問性意味著傳統(tǒng) IT 安全解決方案如果不將設(shè)備級安全性與硬件信任根相結(jié)合，就無法抵御新的風(fēng)險。當設(shè)備連接到網(wǎng)絡(luò)時，這些設(shè)備成為整個系統(tǒng)的接入點。這些接入點中的任何一個都可能造成的損害延伸到整個網(wǎng)絡(luò)，并可能使關(guān)鍵基礎(chǔ)設(shè)施容易受到攻擊。依賴于防火墻、惡意軟件檢測和異常檢測的傳統(tǒng)安全方法需要不斷更新和配置，并且容易出現(xiàn)人為錯誤。在當今的環(huán)境中，應(yīng)該假設(shè)對手已經(jīng)在網(wǎng)絡(luò)中。為了防御這些對手，需要采用深度防御和零信任方法。若要實現(xiàn)連接的設(shè)備按預(yù)期運行的最高置信度，設(shè)備中需要硬件信任根。如今，在設(shè)備中安裝正確的硬件掛鉤對于實現(xiàn)向未來數(shù)字工廠的過渡至關(guān)重要。

利用賽靈思 Zinq UltraScale+???MPSoC （ZUS+） FPGA系列，ADI公司開發(fā)了Sypher?-Ultra，通過具有多層安全控制的高保證加密系統(tǒng)，為生成和處理的數(shù)據(jù)的完整性提供更高水平的置信度。它利用ZUS+的安全基礎(chǔ)以及ADI公司開發(fā)的其他安全功能，促進滿足NIST FIPS 140-2、IEC 62443或汽車EVITA HSM等安全要求的最終產(chǎn)品。Sypher-Ultra位于嵌入式ZUS+功能和最終應(yīng)用之間，為設(shè)計團隊提供單芯片解決方案，以實現(xiàn)安全操作。為了提供高保證安全性，Sypher-Ultra平臺利用可信執(zhí)行環(huán)境（TEE），為靜態(tài)和動態(tài)數(shù)據(jù)的安全奠定了基礎(chǔ)。與安全相關(guān)的功能主要在實時處理單元和可編程邏輯中執(zhí)行，使設(shè)計團隊能夠在應(yīng)用程序處理單元中輕松添加其應(yīng)用程序。該設(shè)計消除了產(chǎn)品團隊掌握安全設(shè)計和認證的所有復(fù)雜性的需要，同時為安全操作提供了高度的信心。

圖4.ADI公司的Sypher-Ultra實現(xiàn)。

制定實現(xiàn)更高設(shè)備級安全性的途徑具有挑戰(zhàn)性，特別是考慮到滿足數(shù)字工廠苛刻步伐的上市時間限制。實施安全性的復(fù)雜性需要獨特的技能集和流程。ADI公司的安全平臺為設(shè)計團隊提供了一種解決方案，可在更靠近工業(yè)控制環(huán)路邊緣的地方實現(xiàn)安全性。減輕產(chǎn)品設(shè)計團隊實施的復(fù)雜性，如安全設(shè)計、安全標準認證和漏洞分析，大大降低了風(fēng)險和設(shè)計時間。ADI公司的解決方案在常用平臺上提供易于使用的安全API，可在單個FPGA上實現(xiàn)高保證安全性和更高級別的應(yīng)用共存。ADI公司的Sypher-Ultra產(chǎn)品支持安全使用Xilinx Zynq UltraScale+ MPSoC （ZUS+）系列，以隔離敏感的加密操作并防止未經(jīng)授權(quán)訪問敏感IP，從而通過邊緣的硬件安全提供通往連接工廠的路徑。

審核編輯：郭婷