IEC62443,工业网络安全标准

IEC62443,工业网络安全标准

IEC62443 是国际电工委员会制定的一系列标准,旨在为工业自动化和控制系统的网络安全提供全面的技术要求和指导。以下是对该标准的详细介绍:

  1. 起源和发展:

    • 2005 年,国际自动化学会(ISA)成立了 ISA99 - 工业自动化和控制系统安全委员会,负责制定工业自动化和控制系统的网络安全标准。

    • 2007 年,ISA99 与 IEC TC65 WG10 成立联合工作组,共同制定并继续开发 ISA/IEC62443 系列标准和技术报告(TR),并陆续发布了 IEC62443 系列标准。

    • 2018 年底,联合国欧洲经济委员会(UNECE)在其年会上确认,将把广泛使用的 ISA/IEC62443 系列纳入其即将推出的网络安全共同监管框架(CRF)。CRF 将作为联合国在欧洲的官方政策立场声明,为欧盟贸易市场内的网络安全实践建立一个共同的立法基础。IEC62443 逐渐成为国际通行的工控网络安全标准,并在不同工业行业和领域实现了应用。


  2. 范围和目的:

    • IEC62443 系列标准对工业自动化和控制系统的网络安全定义是与工业过程运行有关的人员、硬件和政策、程序以及流程等因素的集合,这些因素将会影响工业过程的安全性和可靠性。

    • 该标准的读者包括所有的 IACS 用户(包括设施运行、维护、施工和用户组织公司的一部分)、生产者、供应商、政府组织在内的、被影响的、控制系统计算机安全、控制系统实践者和安全实践者。

    • IEC62443 系列标准不仅提出了对 IACS 的软硬件的技术要求,同时为确保 IACS 的安全性、完整性、可用性和保密性,对其所需的人员和流程也做出了规定。

    • IEC62443 系列标准提供了一个清晰、灵活且全面的框架,以减少和解决工业自动化和控制系统(IACS)中现有和未来的安全漏洞。该系列标准为提供了一个有效的、系统的、完整的方法应对网络安全挑战,可以弥合运营技术网络安全(OT cybersecurity)和信息技术网络安全(IT cybersecurity)的差距,以及实现网络安全和功能安全的融合。


  3. 安全框架:

    • 通用:该类别(IEC62443-1-x)的部分包括四份文件,描述了工业自动化和控制系统(IACS)网络安全的通用方面的内容,如术语、概念、模型、缩略语、系统符合性度量及工控设备的安全生命周期。

    • 政策和程序:该类别(IEC62443-2-x)的部分包括五份文件,详细规定了 IACS 安全管理系统的要求、安全管理系统实施指南、IACS 环境中补丁更新管理以及对资产所有者和 服务提供商 的安全程序(SP)要求。

    • 系统:该类别(IEC62443-3-x)的部分包括三份文件,提供了系统安全要求、安全等级和安全风险管理以及系统设计的基本指导和原则,包括将整体工业自动化和控制系统设计分配到各个区域(zone)和管道(conduit)的方法,以及安全等级(security level)的定义和要求。

    • 组件:该类别(IEC62443-4-x)的部分包括两份文件,IEC62443-4-2 部分详细规定了系统组件的技术安全要求,IEC62443-4-1 部分规定了安全产品开发生命周期要求。


  4. 应用最多的子标准:

    • IEC62443-1-1:术语、概念和模型,介绍了整个 IEC62443 系列标准所使用的概念和模型,特别描述了所涉及的基础要求,用来组织整个系列的技术要求。

    • IEC62443-2-1:建立工业自动化和控制系统安全程序,规定了对 IACS 资产所有者的要求,如何实施安全有效的安全程序。安全程序必须适用于 IACS 安全操作的安全功能,这些安全功能的实施通常需要服务提供商和产品供应商的支持,然而,资产所有者仍然对 IACS 的安全负责。

    • IEC62443-2-4:IACS 服务提供商的安全程序要求,为集成或维护 IACS 相关的所有类型的服务提供商详细规定了一套全面的安全能力要求。由于多数安全要求与具体行业和领域相关,该标准提供了 “配置文件” 的开发,可用于解决具体行业和领域特定环境的安全特征。

    • IEC62443-3-2:系统设计的安全风险评估,规定了设计 IACS 系统的要求,将系统(SUC)划分为区域(zone)和管道(conduit),评估每个区域和管道的风险,并建立各自的目标安全等级。

    • IEC62443-3-3:系统安全要求和安全等级,定义了适用于自动化和控制系统的网络安全要求。这些安全要求基于 IEC62443-1-1 中定义的 7 个基本要求(FR1-7),包括标识和鉴别控制、使用控制、系统完整性、数据保密性、受限的数据流、对事件的及时响应、资源可用性。其中的安全等级(security level)是 IEC62443-3-2 网络安全风险评估的输出。

    • IEC62443-4-1:安全产品的开发生命周期要求,描述了与工业自动化和控制系统环境中适用的产品、网络安全有关的产品的开发生命周期要求。该标准中涉及的产品生命周期包括安全管理、安全需求、安全设计、安全实施、验证和确认、缺陷管理、安全升级 / 补丁管理和安全指南等注意事项。

    • IEC62443-4-2:IACS 组件的技术安全要求,将 IEC62443-3-3 中提出的安全要求和安全等级应用于 IACS 组件,这些组件类型包括软件应用(software application)、嵌入式设备(embedded device)、网通设备(network device)以及控制设备(host device)四类。