@火凤凰
2年前 提问
1个回答

工业互联网系统保护资源受限端点安全措施有哪些

007bug
2年前

工业互联网系统保护资源受限端点安全措施有以下这些:

  • 密码加速器和协处理器(如TPM)是专门用于安全和加密处理的独立硬件模块,它们由基于片上系统(SoC)设计的单个集成电路组成,所占的面积很小,这些模块可以减轻主CPU在安全操作上的压力,并且可以用于提高端点的处理能力和电池寿命。

  • 现场可编程门阵列(FPGA)包含在许多新器件中。FPGA可在现场进行重新编程,这是长期使用的IIoT器件关注的要点。

  • 通过加密算法的选择来为较短的密钥(强度/密钥)提供较高的强度,是资源受限设备需要考虑的另一个因素。例如,283位的ECC密钥等同于3072位的RSA密钥(SYM-ECC)。然而,这只是一个例子,在选择椭圆曲线算法时,还应考虑其他多个因素(RFC-6090)。

  • 对于资源受限的端点,可以将安全功能交给安全网关来实现。

  • 虚拟化是在同一物理平台上实例化多个端点的一种选择。在虚拟化环境中,可以用专用的虚拟机(VM)作为该平台中所有其他端点的安全代理。

  • 带宽的限制、通信信道的可用性,以及电源和工厂维护窗口的可用性使得在资源受限的环境中应用补丁和更新变得更加困难。使用增量更新而非全部更新是解决这些困难的方式之一。在基于PKI的方案中,可以考虑使用OCSP、OCSP装订、短期证书(SLC)或长期证书来代替CRL。

  • 在ICS/SCADA网络中,端点包括资源受限的传统设备,它们具有较低的计算能力和静态配置,根本无法进行升级。