工業(yè)網(wǎng)絡安全IEC 62443認證

    隨著工業(yè)自動化和控制系統(tǒng)(Industry Automation & Control System, 簡稱IACS)與運營技術(OT)的數(shù)字化和互聯(lián)化，傳統(tǒng)封閉的工業(yè)環(huán)境逐漸暴露于網(wǎng)絡攻擊之下。2010年“震網(wǎng)”(Stuxnet)病毒攻擊伊朗核設施事件，揭示了關鍵基礎設施的脆弱性，迫使全球重新審視工業(yè)網(wǎng)絡安全。然而，傳統(tǒng)IT安全標準（如ISO 27001）難以應對OT場景的獨特需求（如實時性、設備長生命周期、物理安全耦合等）。為此，國際電工委員會(IEC)聯(lián)合行業(yè)專家制定IEC 62443標準，旨在為工業(yè)自動化和控制系統(tǒng)(IACS)提供定制化安全框架，填補行業(yè)空白，并于2009年發(fā)布首版，后續(xù)持續(xù)迭代以適應新興威脅。
 
IEC 62443標準統(tǒng)一了工業(yè)網(wǎng)絡安全術語和方法論，推動能源、制造、交通等行業(yè)建立可落地的安全體系，例如通過“安全等級(SL)”量化防護目標，指導企業(yè)按需投資。同時要求設備供應商（如PLC制造商）和系統(tǒng)集成商遵循安全開發(fā)流程(IEC 62443-4-1)，從源頭減少漏洞，提升工業(yè)產(chǎn)品全生命周期安全性。并且與NIST SP 800-82, ISO 27001等標準互補，形成跨領域解決方案。IEC 62443已成為全球工業(yè)項目招投標的常見要求（如歐洲能源設施），第三方認證（如TüV）加速了市場對可信產(chǎn)品和服務的篩選。企業(yè)獲得IEC 62443的認證將得以強化安全防護能力，獲得合規(guī)與市場準入優(yōu)勢，接入提升商業(yè)競爭力。
 
IEC 62443的誕生標志著工業(yè)網(wǎng)絡安全從“被動響應”轉(zhuǎn)向“主動防護”，通過標準化方法論和技術要求，為全球關鍵基礎設施筑起動態(tài)防御屏障，成為工業(yè)4.0時代不可或缺的安全基石。

什么是IEC 62443？

為降低工業(yè)通訊網(wǎng)絡中存在的風險，國際標準IEC 62443對工業(yè)信息安全提供了結(jié)構(gòu)性方法。該標準原本是針對工業(yè)自動化及控制系統(tǒng)供應鏈開發(fā)的。如今，該標準已成為各個行業(yè)的各類工廠、設施和系統(tǒng)普遍采用的工業(yè)網(wǎng)絡安全標準。該標準適用于部件供應商、系統(tǒng)集成商以及資產(chǎn)所有者。

通過一系列明確的過程要求，該標準旨在以一種結(jié)構(gòu)化的方式，處理所有的相關信息安全問題。包括涵蓋技術參數(shù)制定、集成、運行、維護和停運各個階段的系統(tǒng)化網(wǎng)絡安全方法。此外，該標準預期建立相關過程以實現(xiàn)所有必要的技術信息安全功能。IEC 62443可根據(jù)相關的項目范圍進行調(diào)整，從而為實現(xiàn)產(chǎn)品和系統(tǒng)全生命周期的信息安全奠定了基礎。

執(zhí)行IEC 62443也提升了供應商和系統(tǒng)集成商的競爭力：第三方認證可向資產(chǎn)所有者和運營者證明其采購的部件或系統(tǒng)是基于系統(tǒng)化的清晰的信息安全方法構(gòu)建的，符合行業(yè)最佳實踐的要求。

IEC 62443 標準介紹：

2005年，國際自動化學會(International Society of Automation)ISA成立了ISA99 -工業(yè)自動化和控制系統(tǒng)安全委員會，負責制定工業(yè)自動化和控制系統(tǒng) (Industry Automation & Control System)的網(wǎng)絡安全標準。2007年，ISA99與IEC TC 65 WG 10成立聯(lián)合工作組，共同制定并繼續(xù)開發(fā)ISA/IEC 62443系列標準和技術報告(Technical Report，TR)，并陸續(xù)發(fā)布了IEC 62443系列標準。2018年底，聯(lián)合國歐洲經(jīng)濟委員會(UNECE)在其年會上確認，將把廣泛使用的ISA/IEC 62443系列納入其即將推出的網(wǎng)絡安全共同監(jiān)管框架(CRF)。CRF將作為聯(lián)合國在歐洲的官方政策立場聲明，為歐盟貿(mào)易市場內(nèi)的網(wǎng)絡安全實踐建立一個共同的立法基礎。IEC 62443 逐漸成為國際通行的工控網(wǎng)絡安全標準，并在不同工業(yè)行業(yè)和領域?qū)崿F(xiàn)了應用。我國由也由全國工業(yè)過程測量和控制標準化技術委員會在開展相關標準的全國性標準化技術工作。

IEC 62443工業(yè)自動化和控制系統(tǒng)安全作為一個國際標準，全面涵蓋了自動化領域的信息安全問題，正逐步被越來越多的國際制造商、系統(tǒng)集成商、運維商、業(yè)主、設計單位所采用，以確保其產(chǎn)品、系統(tǒng)在整個生命周期中的網(wǎng)絡安全。為工廠運營商和設備制造商有效實施安全防護提供了方向性指導，IEC 62443 系列標準一共分為四個部分，共計十四個文檔。


第一部分描述了工業(yè)自動化和控制系統(tǒng)（IACS）信息安全的通用方面，如術語、概念、模型、縮略語、系統(tǒng)符合性度量及工控設備的安全生命周期。

第二部分描述了針對用戶的信息安全程序，主要包括建立IACS安全管理系統(tǒng)的要求、安全管理系統(tǒng)實施指南、環(huán)境中補丁更新管理 以及IACS 供應商的安裝和維護要求。

第三部分描述了針對系統(tǒng)集成商保護系統(tǒng)所需的技術性信息安全要求。它主要是系統(tǒng)集成商在把系統(tǒng)組裝到一起時需要處理的內(nèi)容。包括將整體工業(yè)自動化控制系統(tǒng)設計分配到各個區(qū)域(Zone)和管道 (Conduit) 的方法，以及安全等級(Security Level)的定義和要求。

第四部分描述了針對制造商提供的單個部件的技術性信息安全要求。包括系統(tǒng)的硬件、軟件和信息部分，以及當開發(fā)或獲取這些類型的部件時需要考慮的特定技術性信息安全要求。

目前應用較多的子標準，介紹如下：

● IEC 62443-1-1：術語、概念和模型，該技術規(guī)范介紹了整個IEC 62443系列標準所使用的概念和模型，特別描述了IEC 62443系列標準所涉及的基礎要求，用來組織整個系列的技術要求。

● IEC 62443-2-1：建立工業(yè)自動化和控制系統(tǒng)安全程序，該國際標準規(guī)定了對IACS資產(chǎn)所有者的要求，如何實施安全有效的安全程序。安全程序必須適用于IACS安全操作的安全功能，這些安全功能的實施通常需要服務提供商和產(chǎn)品供應商的支持。然而，資產(chǎn)所有者仍然對IACS的安全負責。

● IEC 62443-2-4 IACS服務提供商的安全程序要求，該國際標準為集成或維護IACS相關的所有類型的服務提供商詳細規(guī)定了一套全面的安全能力要求。由于多數(shù)安全要求與具體行業(yè)和領域相關，該標準提供了“配置文件”的開發(fā)，可用于解決具體行業(yè)和領域特定環(huán)境的安全特征。

● IEC 62443-3-2 系統(tǒng)設計的安全風險評估，該國際標準規(guī)定了設計IACS系統(tǒng)的要求，將系統(tǒng)(SuC)劃分為區(qū)域(Zone)和管道(Conduit)，評估每個區(qū)域和管道的風險，并建立各自的目標安全等級。

● IEC 62443-3-3 系統(tǒng)安全要求和安全等級，該國際標準定義了適用于自動化和控制系統(tǒng)的網(wǎng)絡安全要求。這些安全要求基于IEC 62443-1-1中定義的7個基本要求(FR1-7)，包括①標識和鑒別控制；

②使用控制；

③系統(tǒng)完整性；

④數(shù)據(jù)保密性；

⑤受限的數(shù)據(jù)流；

⑥對事件的及時響應；

⑦資源可用性。IEC 62443-3-3中的安全等級(Security Level)是IEC 62443-3-2網(wǎng)絡安全風險評估的輸出。

● IEC 62443-4-1 安全產(chǎn)品的開發(fā)生命周期要求， 該國際標準描述了與工業(yè)自動化和控制系統(tǒng)環(huán)境中適用的產(chǎn)品、網(wǎng)絡安全有關的產(chǎn)品的開發(fā)生命周期要求。該標準中涉及的產(chǎn)品生命周期包括安全管理、安全需求、安全設計、安全實施、驗證和確認、缺陷管理、安全升級/補丁管理和安全指南等注意事項。

● IEC 62443-4-2 IACS組件的技術安全要求，該國際標準將IEC 62443-3-3中提出的安全要求和安全等級應用于IACS組件，這些組件類型包括應用軟件、嵌入式設備(如PLC)、網(wǎng)絡設備(如防火墻)、主機設備。該標準的目的是規(guī)定組件的安全能力，以減輕特定安全級別的威脅，而無需額外采取特定的安全補償措施和對策。

證書樣本：