IEC 62443

✍ dations ◷ 2025-04-14 19:20:33 #IEC 62443

IEC 62443是针对“工业通信网络-网络和系统的IT安全性”(Industrial communication networks - IT security for networks and systems)的一系列的国际标准。其中有许多有关控制系统安全性的技术及流程相关议题。其中会将工业应用分为三种不同的角色:操作者、整合者(整合服务及维护服务的提供者)及制造商。每个角色都有其以风险为基础的研究方式,可以在其活动中管理通讯安全相关的风险。

这些标准会由许多不同产业的从业人员使用,以此来设计和评估自动化系统,以提高网络安全性。许多标准已用在个人、工程流程、产生以及系统网络安全验证计划(cybersecurity certification programs,也称为合格评定计划,conformity assessment program)中。

IEC 62443标准的产生是依IEC标准创建过程,所有参与国家组织都同意的共同标准。在创立的过程中,委员会提供资料到IEC工作组,也有益于IEC 62443的形成。

自2002年开始,国际自动化学会(英语:International Society of Automation)中的工业自动化及控制系统安全委员会(Industrial Automation and Control System Security Committee,简称ISA99)发展了一系列的标准及技术报告,内容都和工业自动化及控制系统(IACS)安全性有关。这些工作文件提交给ISA核可,以美国国家标准协会(ANSI)文件的型式发布。文件一开始的名称是ANSI/ISA-99或ISA99标准,后来在2010年重新编号为ANSI/ISA-62443系列。其中的内容也提交给IEC工作组,也有用在IEC 62443标准里。

德国的工程组织德国工程师协会(英语:Verein Deutscher Ingenieure)(VDI)及德国电气工程师协会(英语:VDE e.V.)(VDE)在2011年发布了VDI/VDE 2182指引。指引中有叙述如何在工业自动化环境处理资讯安全相关议题,其中的内容也提交给IEC工作组,也有用在IEC 62443标准里。

IEC 62443标准分为许多部分:

IEC 62443叙述了相关流程及技术需要的成熟度。流程的成熟度是以CMMI的成熟度为基础。

以CMMI为基础,IEC 62443也列出了不同的流程成熟度(maturity levels)。若要达到成熟度中的特定程度,在产品开发及整合时需要进行所有和流程相关的要求,若只选择特定的准则,不符合标准的要求。

成熟度叙述如下:

系统(IEC 62443-3-3)及产品(IEC 62443-4-2)的技术要求会以四个安全等级(Security Level,简称SL)来区分,也会称为网络安全等级。四个等级是指可以抵抗不同层级攻击者的能力。此标准强调等级需要以每一个技术需求来评估(参考IEC 62443-1-1),不适用于产品的通用分类。

标准中有说明一些各角色在不同活动,都需要考虑的基本原则。

深度防御(Defense in Depth)是指在系统中分散配置多个不同安全等级的防护对策,目的是在任一安全对策失效或是有弱点被攻击者利用时,仍有冗余的功能。

IEC 62443会将系统区分为几个同质性的区域(Zone),每个区域是用实体及逻辑性资产,配合适当的安全性需求所组成。安全性需求是由安全等级(SL)所定义。每一个区域需要的安全等级可以用风险分析来确认。

区域有其边界,区分边界内外的元素。资讯可以流进区域内,也可以从区域流出。区域中也可以再区分子区域,定义不同的安全等级,因此可以达到深度防御

管道(Conduits)可以将二区域之间允许通讯的元素编成群组。可以提供安全通讯的机能,也可以让同一区域内数个不同安全等级的元素可以共存。

工业自动化环境中的流程、系统及产品可以依IEC 62443进行认证。例如国际IECEE CB架构的一些认证架构完全符合IEC 62443,不过专有的ISCI ISASecure只有部分符合。

IEC 62443认证架构是由全球许多的验证单位(Certification Bodies、CB)所建立的。架构是以其参考标准及程序为主,其中会描述其测试方法、监督审核政策、公开文件政策及及其他计划相关的议题。全球已有数个认证单位可以进行IEC 62443标准的网络安全认证计划,包括LCIE、Intertek、SGS-TÜV Saar、TÜV Nord、TÜV Rheinland、TÜV SÜD及UL。

针对IEC 62443的评估,为了确保全球的评估是一致的,已有建立全球的相关基础服务。验证会由依照ISO/IEC 17065及ISO/IEC 17025合格的验证单位(Certification Bodies、CB)授予。验证单位是由认证机构(Accreditation Body、AB)认可,可以进行审核、评估及测试工作。认证机构会依照ISO/IEC 17011的要求运作。此标准中有包括认证机构在认可合格评定单位(conformity assessment bodies),有关的能力、一致性及公正性的要求。认证机构(AB)一般会是有关管理系统,产品,服务和人员认证方面的国际认证论坛(International Accreditation Forum、IAF)的成员,或是认证实验室的国际实验室认证合作组织(International Laboratory Accreditation Cooperation、ILAC)的成员。有关各认证机构(AB)之间,有多边认可安排(Multilateral Recognition Arrangement、MLA),以确保验证单位的认可可受到其他国家认证机构(AB)的承认。

目前全球通过认证取得 IEC 62443-4-1的CBTL共有13家、取得IEC 62443-4-2的CBTL共有10家。

IEC电工设备及零件认证架构系统(英语:IECEE)(IEC System for Conformity Assessment Schemes for Electrotechnical Equipment and Components,简称IECEE)的认证机构方案(CB Scheme)是多文本的协定,让电子及电机产品的制造商可以将其产品销往各市场。在CB架构程序下,产品及系统可以依IEC 62443进行认证。

CB架构是起源自CEE(之前欧盟的电气设备合格性测试委员会),在1985年整合到IEC。目前在IECCC内有54个成员体,88个国家级认证体(NCB)及534 CB测试实验室(CBTL)。在产品认证领域,CB架构程序是用来协调各标准,简化制造商测试以及验证的复杂性。依照协调后标准(例如IEC 62443)经CB测试实验室认证过的产品,可以用CB报告作为 GS、PSE、CCC、NOM、GOST/R、BSMIA等国家认证的基础。

国际资讯安全符合性机构(The International Security Compliance Institute、ISCI)有建立针对ANSI/ISA 62443标准的认证评估架构。此架构可以用在工业自动化控制系统、零件以及程序。ISASecure架构中有一部分是以IEC 62443及ISCI开发程序为基础,包括维护政策在内,目的是要确保ISASecure和ISASecure在演进的过程中,ISASecure仍然不会和ISASecure差距太大。

在ISASecure下,ISCI有以下的认证:

相关

  • 母校母校(拉丁语:alma mater,美式英语发音:/ˈælmə ˈmeɪtər/,英式英语发音:/ˈɑːlmə ˈmɑːtər/),源自拉丁语,本意“母亲的哺乳”,词源与校歌相通,是一个使用于古罗马各式地母神
  • 沂南县沂南县在中国山东省临沂市中北部,沂蒙山区东南脚下,沂河、汶河流贯全境,是临沂市所辖的一个县。因地处沂水县南部得名。古称阳都。总面积为1774.08平方千米。县政府驻地界湖街
  • 新竹市文化局影像博物馆坐标:24°48′18″N 120°58′11″E / 24.804907°N 120.969603°E / 24.804907; 120.969603新竹市文化局影像博物馆(英语:Image Museum of Hsinchu City)位于台湾新竹市,于1933
  • A19公路A19公路、A19高速公路可以指:
  • 施瓦茨塞山 (采尔马特)坐标:45°59′29″N 7°42′35″E / 45.991384°N 7.709669°E / 45.991384; 7.709669施瓦茨塞山(Lago Schwarzsee),是瑞士的山峰,位于该国西南部,由瓦莱州负责管辖,属于本宁阿尔卑
  • 萨帕塔半岛坐标:22°18′N 81°23′W / 22.30°N 81.38°W / 22.30; -81.38萨帕塔半岛是古巴的半岛,位于该国南部,处于布罗阿湾以南、巴塔瓦诺湾以东,由马坦萨斯省负责管辖,东面以猪猡湾为
  • 深山龟三郎深山龟三郎(日语:深山 亀三郎,みやま かめさぶろう、1889年11月19日- 1929年8月15日)是一名日本陆军军人。最终军衔为陆军中佐。陆士24期卒业。同期有陆军中将土桥勇逸、陆军中
  • 硫红球菌属硫红弧菌属(),是光合细菌下的着色杆菌科的一属革兰氏阴性菌。单个细胞球形。生长于海洋及湖泊含硫化氢的黑色沉积物表层。该属的模式种也是
  • 扬·布利斯扬·布利斯(捷克语:Jan Bulis,1978年3月18日-),捷克男子冰球运动员,场上位置是中锋。他曾代表捷克国家队参加2006年冬季奥林匹克运动会冰球比赛,获得一枚铜牌。
  • 乙酰丙酮铊(I)乙酰丙酮铊(I)是乙酰丙酮形成的铊(I)盐,化学式为2。乙酰丙酮铊(I)在固态为二聚体,通过Tl…Tl相互作用和氧桥连接。乙酰丙酮铊(I)可由乙酰丙酮和氢氧化亚铊在乙醇中反应得到: