好的軟件基礎可為工業4.0保駕護航

　　強大的安全性是工業物聯網（IIoT）的基本要求。安全挑戰可以被視為在一個虛擬的生產工廠中，對系統的基礎設施存在許多要求，傳感器則可為操作人員提供接近實時校勘有關其所有資產的各種位置、方位、速度、溫度、壓力、鎖定狀態和振動等數據．．．

　　在設計、開發和部署具有互操作性、安全且可靠的工業因特網時，幾乎每個工業領域中的工程組織機構都不缺少指導方針。

　　特別是工業因特網聯盟（IIC）和工業4.0工作小組都制訂相應的指南和建議，分別是工業因特網參考架構（IIRA）和工業4．0參考架構模型（RAMI 4．0）。鑒于這些檔案內容的相似性，兩種架構之間必然存在相同和重復的內容，這在針對兩大組織之間共同合作的現場討論中即可反映出來。

　　兩大機構都坦承，強大的安全性是工業物聯網（IIoT）的基本要求。事實上，IIC最近推出了工業因特網安全架構（IISF），提供在這方面的指導原則，同時，隨著兩大組織不斷深入合作而在許多領域達成一致，安全已經被公認為是一個關鍵問題。

　　安全挑戰可以被視為在一個虛擬的生產工廠中，對系統的基礎設施存在許多要求。傳感器為操作人員提供了接近實時校勘有關其所有資產的各種位置、方位、速度、溫度、壓力、鎖定狀態和振動等數據的能力。

　　在更高的安全層級，可以根據這些數據的變化或不同的生產要求，對工藝工廠設置或甚至固件進行遠程更新。而生產數字和獲利能力更顯示出不同商業類型面臨安全問題；敏感信息必須要與傳感器的工程數據分開。

　　圖1顯示RAMI 4．0如何將這方面的考慮歸納為3D矩陣——由不同的分層、生命周期與價值流程，以及層次結構共同組組成。

　　圖1：工業4．0的參考架構模型（RAMI 4．0）

　　這與IIC IIRA模型中描述的“功能域”和“觀點”不謀而合（圖2）。

　　圖2：IIC功能域和觀點描述

　　為了理解如何為兩種機制更有效地提供安全基礎，最好的方式是說明這兩種歸納結果代表了傳統上各自為政的信息技術（IT）和操作技術（OT）的融合。傳統的OT包含利用隔離形成的內建安全性，而IT安全專注于保護企業資產。將二者結合在一起時，將會暴露出兩種系統的安全問題，因為融合相當于提供了一種潛在的方式存取各自較疏忽之處。

　　因此，很顯然地，不管兩種架構之間存在什么樣的差異和相似性，兩個域彼此之間的隔離是任何兼容性建置的一個重要特性。尤其是數據的劃分極其重要，目的在于讓數據只保留給知情的一方存取。

　　專為控制和限制存取信息的安全中介固件解決方案，顯然在這樣的系統中扮演著潛在的角色。但他們只是復雜軟件階層中的一個組件，如果建置在不夠安全的基礎設施上，那么它們所提供的任何保護會立即失效。值得爭論的是，IT領域中盛行的復雜、單一軟件堆棧由于原本具有較大的攻擊面，在應用到OT領域時將無法提供需要的安全等級。換句話說，建置任何可行的解決方案都需要安全且無需繞行的基礎，以支持中間件提供的隔離作用。

　　也許關鍵點是，數據是使得IIoT成功且安全工作的推手。這意味著系統中固有的價值是在端點創造的——無論是會計的數據庫還是傳感器的溫度讀數。因此，確保它們盡可能安全是十分合理的想法。

　　為了不犧牲這些不同的數據源，IIoT的基礎必須為OT提供確定的安全性、彈性和可靠性，而且必須提升受保護的隱私和安全等級，以保護整合方案的IT側。相反地，IT側必須確保改善彈性和安全等級，以搭配其在隱私性、安全性和可靠性等方面的良好記錄。

　　如果所有這些互連系統都從頭開始設計，而且設計時考慮到這種連接性，那么所有的目的都可以達成。但很顯然這并不是實用性主張！更好的建議是透過基于隔離核心的網關來保護端點本身。

　　隔離核心

　　雖然這種方法所根據的原則對于工業領域來說還比較新，但在其它領域已經非常成熟了。隔離核心用于保護政府通訊系統的機密信息已經有近10年的時間了，所以非常值得借鑒這種學術性理論的成功之道。

　　隔離核心的概念最早是John Rushby在1981年提出來的，他認為，“應該將硬件和軟件結合在一起，以便在共同的實體資源上實現多種功能，而不至于發生有害的相互干擾。”這種方法的優點確實令人信服，以致于隔離核心的原則形成了多級獨立安全（MILS）計劃的基礎。

　　同樣地，在30年前，Saltzer和Schroeder就建議“系統的每個程序和每個用戶都應該使用完成任務所需的最小權限進行操作”。這種簡單而又常用的“最小權限”（least privilege）原則在重要性不同的應用彼此緊密執行時變得勢在必行。

　　因此，隔離核心和最小權限的概念著重于模塊化的優勢，前者重點在于資源，后者則強調系統功能——這是Levin、Irvine和Nguyen在其“隔離核心中的最小權限”一文中提出這兩個概念融合時所強調的要點。

　　圖3：在隔離核心模塊上迭加最小權限原則，可根據主體與資源精確地形成流程控制

　　圖4顯示在隔離核心“區塊”（block）上迭加最小特權“主體”（主動的、可執行的實體）和“資源”，顯示可根據主體與資源支持流程控制。

　　圖4：簡化隔離核心的實際應用

　　硬件虛擬化

　　雖然隔離核心和最小權限的原則早已建立，但早期的建置試圖依賴于軟件虛擬化層，這通常會導致性能不穩，而且無法支持實時應用。虛擬化曾經在企業領域的流行之勢不可擋，使得芯片設計公司（包括Intel、AMD和ARM）不斷地增加每個CPU上的核心數量，并在硬件中建置對于虛擬化的先進支持。從那時起，隔離核心才從只是一種純理論想法轉變成一種真正實用的方法。

　　市場上有幾種嵌入式虛擬機管理程序（hypervisor）產品，致力于在修訂后的操作系統（OS）架構上達到類似的目標。然而，為了使隔離核心的安全認證達到優化，必須部署最小權限原則，以盡量減小受信賴運算基礎（TCB）及其表面攻擊，從而優化網關提供的保護。

　　隔離核心的實用性

　　考慮到實用性，以用于產生生產數據的機床為例（圖5）。這些數據必須透過云端與待命的工廠工程師共享。在此例中的云端面主體可能是一個通用的操作系統，例如Windows或Linux。也許這種操作系統容易受到自稱黑客者的攻擊。但重要的是黑客不能存取工廠面的主體——也許是一個實時操作系統（RTOS）或裸金屬應用——即使云端面的主體受到威脅。依照最小權限原則建置的隔離核心具有幾個關鍵屬性，可以在這種場合得到優化的結果。

　　快速　為了獲得接近原有的性能，隔離核心必須導入盡可能少的開銷，并盡量發揮硬件的虛擬化功能。

　　輕量　確保諸如驅動程序、I／O和流程管理等操作系統功能由項目所接管，隔離核心將變得非常輕量，而且較不容易受到攻擊。

　　實用　隔離核心將透過向主體提交“虛擬主板”以支持傳統軟件的重復利用，從而使這些主體的安裝和執行像原有的一樣。

　　安全　靜態分配可以確保隔離核心在完成搭建和部署后不再變化，并具有最佳的小攻擊面。

　　物聯網端點

　　我們很容易就能了解如何在簡單的機床范例（圖4）中建立原則，而這也可應用于保護IoT端點。圖5說明了任意數量的數據源和IT世界之間的接口如何受到基于隔離核心的IoT網關保護。

　　圖5：利用隔離核心保護IoT端點

　　在這種場合中，工廠面對“受信任主體”的原則可進一步擴展，以支持平臺配置管理、監測與分析等服務，以及支持閑時數據（DAR）和移動數據（DIM）的裸金屬安全服務（如加密）。安全啟動技術確保了網關在啟動時不至于較執行時更易于受到攻擊。

　　圖6：IoT端點面臨的IISF威脅和弱點

　　此外，利用經驗證的隔離核心技術，所開發的IoT網關可為基于IIRA或RAMI 4．0的兼容性解決方案提供了理想的基礎，因為它具有安全認證、使用效率高，更實際的是，它能夠支持傳統軟件。