IEC 62443
IEC 62443是針對「工業通信網路-網路和系統的IT安全性」(Industrial communication networks - IT security for networks and systems)的一系列的國際標準。其中有許多有關控制系統安全性的技術及流程相關議題。其中會將工業應用分為三種不同的角色:操作者、整合者(整合服務及維護服務的提供者)及製造商。每個角色都有其以風險為基礎的研究方式,可以在其活動中管理通訊安全相關的風險。
這些標準會由許多不同產業的從業人員使用,以此來設計和評估自動化系統,以提高網絡安全性。許多標準已用在個人、工程流程、產生以及系統網路安全驗證計劃(cybersecurity certification programs,也稱為合格評定計劃,conformity assessment program)中。
歷史 编辑
IEC 62443標準的產生是依IEC標準創建過程,所有參與國家組織都同意的共同標準。在創立的過程中,委員會提供資料到IEC工作組,也有益於IEC 62443的形成。
自2002年開始,國際自動化學會中的工業自動化及控制系統安全委員會(Industrial Automation and Control System Security Committee,簡稱ISA99)發展了一系列的標準及技術報告,內容都和工業自動化及控制系統(IACS)安全性有關。這些工作文件提交給ISA核可,以美國國家標準協會(ANSI)文件的型式發布。文件一開始的名稱是ANSI/ISA-99或ISA99標準,後來在2010年重新編號為ANSI/ISA-62443系列。其中的內容也提交給IEC工作組,也有用在IEC 62443標準裡。
德國的工程組織德國工程師協會(VDI)及德國電氣工程師協會(VDE)在2011年發佈了VDI/VDE 2182指引。指引中有敘述如何在工業自動化環境處理資訊安全相關議題,其中的內容也提交給IEC工作組,也有用在IEC 62443標準裡。
結構 编辑
IEC 62443標準分為許多部份:
- Part 1-1是說明名詞及相關概念[1]
- Part 2在說明架構工業自動化及控制系統(industrial automation and control system)的安全計劃[2]、其運作方式、補丁管理[3]及安全計劃需求[4]
- Part 3在說明資訊安全相關技術[5]、系統設計的資安風險評估[6]、系統資安需求以及資安等級[7]。
- Part 4在說明安全產品開發生命週期的需求[8]、組件的技術資訊安全需求[9]。其中除了技術需求外,也定義了共用零件的資訊安全限制(common component security constraints,CCSC),若要和IEC 62443-4-2相容的,需符合以下限制:
- CCSC 1是指零件需考慮其安裝系統的通用資訊安全特性。
- CCSC 2指出若零件本身無法符合技術需求,需要在系統層級加入相當的補償對策(列在IEC 62443-3-3)。因此,此對策需要列在零件的說明文件上。
- CCSC 3要求此零件需應用「最小特權」原則。
- CCSC 4要求此零件需要由和IEC 62443-4-1相容的開發程序所開發及支持。
成熟度及安全等級 编辑
IEC 62443敘述了相關流程及技術需要的成熟度。流程的成熟度是以CMMI的成熟度為基礎。
成熟度 编辑
以CMMI為基礎,IEC 62443也列出了不同的流程成熟度(maturity levels)。若要達到成熟度中的特定程度,在產品開發及整合時需要進行所有和流程相關的要求,若只選擇特定的準則,不符合標準的要求。
成熟度敘述如下:
- 成熟度1 - Initial(初始級):產品供應商可以提供產品,不過沒有依照流程,沒有文件或是只有部份文件。
- 成熟度2 - Managed(已管理): 產品供應商可以依照文件化的準則來管控產品的開發。準則的敘述方式需要讓進行該程序的人有適當的專業知識,訓練人員依照文件中的程序作業,程序需要是可重覆的。
- 成熟度3 - Defined(已定義):程序在供應商的組織內是可以複製重現的。程序已實做過,而且有已實做過的證據。
- 成熟度4 - Improving:供應商用適合的程序評量方式來監控程序的有效性及效果,並且進行持續改善。
安全等級 编辑
系統(IEC 62443-3-3)及產品(IEC 62443-4-2)的技術要求會以四個安全等級(Security Level,簡稱SL)來區分,也會稱為網路安全等級。四個等級是指可以抵抗不同層級攻擊者的能力。此標準強調等級需要以每一個技術需求來評估(參考IEC 62443-1-1),不適用於產品的通用分類。
- 安全等級0:不需要任何安全需求及保護。
- 安全等級1:需可以防護無意或是意外的異常使用。
- 安全等級2:需可以防護利用較少資源、一般技術、動機不強,利用簡單作法的刻意異常使用。
- 安全等級3:需可以防護利用中等程度資源、有IACS相關技術、動機中等,利用複雜作法的刻意異常使用。
- 安全等級4:需可以防護利用高度資源、有IACS相關技術、動機強烈,利用複雜作法的刻意異常使用。
概念 编辑
標準中有說明一些各角色在不同活動,都需要考慮的基本原則。
深度防禦 编辑
深度防禦(Defense in Depth)是指在系統中分散配置多個不同安全等級的防護對策,目的是在任一安全對策失效或是有弱點被攻擊者利用時,仍有冗餘的功能。
安全區域及管道 编辑
IEC 62443會將系統區分為幾個同質性的區域(Zone),每個區域是用實體及邏輯性資產,配合適當的安全性需求所組成。安全性需求是由安全等級(SL)所定義。每一個區域需要的安全等級可以用風險分析來確認。
區域有其邊界,區分邊界內外的元素。資訊可以流進區域內,也可以從區域流出。區域中也可以再區分子區域,定義不同的安全等級,因此可以達到深度防禦
管道(Conduits)可以將二區域之間允許通訊的元素編成群組。可以提供安全通訊的機能,也可以讓同一區域內數個不同安全等級的元素可以共存。
認證架構 编辑
工業自動化環境中的流程、系統及產品可以依IEC 62443進行認證。例如國際IECEE CB架構的一些認證架構完全符合IEC 62443,不過專有的ISCI ISASecure只有部份符合。
核可認證架構 编辑
IEC 62443認證架構是由全球許多的驗證單位(Certification Bodies、CB)所建立的。架構是以其參考標準及程序為主,其中會描述其測試方法、監督審核政策、公開文件政策及及其他計劃相關的議題。全球已有數個認證單位可以進行IEC 62443標準的網路安全認證計劃,包括LCIE、Intertek、SGS-TÜV Saar、TÜV Nord、TÜV Rheinland、TÜV SÜD及UL。
針對IEC 62443的評估,為了確保全球的評估是一致的,已有建立全球的相關基礎服務。驗證會由依照ISO/IEC 17065及ISO/IEC 17025合格的驗證單位(Certification Bodies、CB)授予。驗證單位是由認證機構(Accreditation Body、AB)認可,可以進行審核、評估及測試工作。認證機構會依照ISO/IEC 17011的要求運作。此標準中有包括認證機構在認可合格評定單位(conformity assessment bodies),有關的能力、一致性及公正性的要求。認證機構(AB)一般會是有關管理系統,產品,服務和人員認證方面的國際認證論壇(International Accreditation Forum、IAF)的成員,或是認證實驗室的國際實驗室認證合作組織(International Laboratory Accreditation Cooperation、ILAC)的成員。有關各認證機構(AB)之間,有多邊認可安排(Multilateral Recognition Arrangement、MLA),以確保驗證單位的認可可受到其他國家認證機構(AB)的承認。
目前全球通過認證取得 IEC 62443-4-1的CBTL共有13家、取得IEC 62443-4-2的CBTL共有10家。
IECEE CB架構 编辑
IEC電工設備及零件認證架構系統(IEC System for Conformity Assessment Schemes for Electrotechnical Equipment and Components,簡稱IECEE)的認證機構方案(CB Scheme)是多文本的協定,讓電子及電機產品的製造商可以將其產品銷往各市場。在CB架構程序下,產品及系統可以依IEC 62443進行認證。
CB架構是起源自CEE(之前歐盟的電氣設備合格性測試委員會),在1985年整合到IEC。目前在IECCC內有54個成員體,88個國家級認證體(NCB)及534 CB測試實驗室(CBTL)。在產品認證領域,CB架構程序是用來協調各標準,簡化製造商測試以及驗證的複雜性。依照協調後標準(例如IEC 62443)經CB測試實驗室認證過的產品,可以用CB報告作為 GS、PSE、CCC、NOM、GOST/R、BSMIA等國家認證的基礎。
ISCI ISASecure 编辑
國際資訊安全符合性機構(The International Security Compliance Institute、ISCI)有建立針對ANSI/ISA 62443標準的認證評估架構。此架構可以用在工業自動化控制系統、零件以及程序。ISASecure架構中有一部份是以IEC 62443及ISCI開發程序為基礎,包括維護政策在內,目的是要確保ISASecure和ISASecure在演進的過程中,ISASecure仍然不會和ISASecure差距太大。
在ISASecure下,ISCI有以下的認證:
- SSA(系統安全性確保、System Security Assurance),是依IEC 62443-3-3的系統認證
- CSA(零件安全性確保、SComponent Security Assurance),是依IEC 62443-4-1, 62443-4-2 的自動化零件認證
- SDLA(安全開發生命週期確保、Secure Development Lifecycle Assurance),是依IEC 62443-4-1 的自動化系統開發組織認證
- EDSA(嵌入式裝置安全性確保,Embedded Device Security Assurance)是依IEC 62443-4-2的零件認證。這不完全符合IEC 62443-4-2。IEC 62443-4-2要求零件要依和IEC 62443-4-1相容的開發生命周期來開發,但EDSA沒有這樣的要求。
相關條目 编辑
參考資料 编辑
- ^ IEC62443-1-1, Industrial communication networks – Network and system security – Part 1-1: Terminology, concepts and models (页面存档备份,存于互联网档案馆) Seite 1-10 (PDF 263KB) auf webstore.iec.ch
- ^ IEC62443-2-1, Industrial communication networks – Network and system security – Part 2-1: Establishing an industrial automation and control system security program (PDF). [2021-01-03]. (原始内容 (PDF)于2016-03-07).
- ^ IEC62443-2-3, Security for industrial automation and control systems - Part 2-3: Patch management in the IACS environment (PDF). [2021-01-03]. (原始内容 (PDF)于2017-10-02).
- ^ IEC62443-2-4, Security for industrial automation and control systems - Part 2-4: Security program requirements for IACS service providers (PDF). [2021-01-03]. (原始内容 (PDF)于2017-10-02).
- ^ IEC62443-3-1, Industrial communication networks – Network and system security – Part 3-1: Security technologies for industrial automation and control systems (PDF). [2021-01-03]. (原始内容 (PDF)于2020-12-21).
- ^ Security for industrial automation and control systems - Part 3-2: Security risk assessment for system design Seite 1-13 (PDF 330KB) auf webstore.iec.ch
- ^ IEC62443-3-3 Industrial communication networks – Network and system security – Part 3-3: System security requirements and security levels (PDF). [2021-01-03]. (原始内容 (PDF)于2017-10-02).
- ^ IEC62443-3-3 IEC62443-41 Security for industrial automation and control systems – Part 4-1: Secure product development lifecycle requirements (PDF). [2021-01-03]. (原始内容 (PDF)于2018-08-09).
- ^ (PDF). [2021-01-03]. (原始内容 (PDF)存档于2021-10-07).