IEC 62443

✍ dations ◷ 2025-08-26 04:28:24 #IEC 62443

IEC 62443是针对“工业通信网络-网络和系统的IT安全性”(Industrial communication networks - IT security for networks and systems)的一系列的国际标准。其中有许多有关控制系统安全性的技术及流程相关议题。其中会将工业应用分为三种不同的角色:操作者、整合者(整合服务及维护服务的提供者)及制造商。每个角色都有其以风险为基础的研究方式,可以在其活动中管理通讯安全相关的风险。

这些标准会由许多不同产业的从业人员使用,以此来设计和评估自动化系统,以提高网络安全性。许多标准已用在个人、工程流程、产生以及系统网络安全验证计划(cybersecurity certification programs,也称为合格评定计划,conformity assessment program)中。

IEC 62443标准的产生是依IEC标准创建过程,所有参与国家组织都同意的共同标准。在创立的过程中,委员会提供资料到IEC工作组,也有益于IEC 62443的形成。

自2002年开始,国际自动化学会(英语:International Society of Automation)中的工业自动化及控制系统安全委员会(Industrial Automation and Control System Security Committee,简称ISA99)发展了一系列的标准及技术报告,内容都和工业自动化及控制系统(IACS)安全性有关。这些工作文件提交给ISA核可,以美国国家标准协会(ANSI)文件的型式发布。文件一开始的名称是ANSI/ISA-99或ISA99标准,后来在2010年重新编号为ANSI/ISA-62443系列。其中的内容也提交给IEC工作组,也有用在IEC 62443标准里。

德国的工程组织德国工程师协会(英语:Verein Deutscher Ingenieure)(VDI)及德国电气工程师协会(英语:VDE e.V.)(VDE)在2011年发布了VDI/VDE 2182指引。指引中有叙述如何在工业自动化环境处理资讯安全相关议题,其中的内容也提交给IEC工作组,也有用在IEC 62443标准里。

IEC 62443标准分为许多部分:

IEC 62443叙述了相关流程及技术需要的成熟度。流程的成熟度是以CMMI的成熟度为基础。

以CMMI为基础,IEC 62443也列出了不同的流程成熟度(maturity levels)。若要达到成熟度中的特定程度,在产品开发及整合时需要进行所有和流程相关的要求,若只选择特定的准则,不符合标准的要求。

成熟度叙述如下:

系统(IEC 62443-3-3)及产品(IEC 62443-4-2)的技术要求会以四个安全等级(Security Level,简称SL)来区分,也会称为网络安全等级。四个等级是指可以抵抗不同层级攻击者的能力。此标准强调等级需要以每一个技术需求来评估(参考IEC 62443-1-1),不适用于产品的通用分类。

标准中有说明一些各角色在不同活动,都需要考虑的基本原则。

深度防御(Defense in Depth)是指在系统中分散配置多个不同安全等级的防护对策,目的是在任一安全对策失效或是有弱点被攻击者利用时,仍有冗余的功能。

IEC 62443会将系统区分为几个同质性的区域(Zone),每个区域是用实体及逻辑性资产,配合适当的安全性需求所组成。安全性需求是由安全等级(SL)所定义。每一个区域需要的安全等级可以用风险分析来确认。

区域有其边界,区分边界内外的元素。资讯可以流进区域内,也可以从区域流出。区域中也可以再区分子区域,定义不同的安全等级,因此可以达到深度防御

管道(Conduits)可以将二区域之间允许通讯的元素编成群组。可以提供安全通讯的机能,也可以让同一区域内数个不同安全等级的元素可以共存。

工业自动化环境中的流程、系统及产品可以依IEC 62443进行认证。例如国际IECEE CB架构的一些认证架构完全符合IEC 62443,不过专有的ISCI ISASecure只有部分符合。

IEC 62443认证架构是由全球许多的验证单位(Certification Bodies、CB)所建立的。架构是以其参考标准及程序为主,其中会描述其测试方法、监督审核政策、公开文件政策及及其他计划相关的议题。全球已有数个认证单位可以进行IEC 62443标准的网络安全认证计划,包括LCIE、Intertek、SGS-TÜV Saar、TÜV Nord、TÜV Rheinland、TÜV SÜD及UL。

针对IEC 62443的评估,为了确保全球的评估是一致的,已有建立全球的相关基础服务。验证会由依照ISO/IEC 17065及ISO/IEC 17025合格的验证单位(Certification Bodies、CB)授予。验证单位是由认证机构(Accreditation Body、AB)认可,可以进行审核、评估及测试工作。认证机构会依照ISO/IEC 17011的要求运作。此标准中有包括认证机构在认可合格评定单位(conformity assessment bodies),有关的能力、一致性及公正性的要求。认证机构(AB)一般会是有关管理系统,产品,服务和人员认证方面的国际认证论坛(International Accreditation Forum、IAF)的成员,或是认证实验室的国际实验室认证合作组织(International Laboratory Accreditation Cooperation、ILAC)的成员。有关各认证机构(AB)之间,有多边认可安排(Multilateral Recognition Arrangement、MLA),以确保验证单位的认可可受到其他国家认证机构(AB)的承认。

目前全球通过认证取得 IEC 62443-4-1的CBTL共有13家、取得IEC 62443-4-2的CBTL共有10家。

IEC电工设备及零件认证架构系统(英语:IECEE)(IEC System for Conformity Assessment Schemes for Electrotechnical Equipment and Components,简称IECEE)的认证机构方案(CB Scheme)是多文本的协定,让电子及电机产品的制造商可以将其产品销往各市场。在CB架构程序下,产品及系统可以依IEC 62443进行认证。

CB架构是起源自CEE(之前欧盟的电气设备合格性测试委员会),在1985年整合到IEC。目前在IECCC内有54个成员体,88个国家级认证体(NCB)及534 CB测试实验室(CBTL)。在产品认证领域,CB架构程序是用来协调各标准,简化制造商测试以及验证的复杂性。依照协调后标准(例如IEC 62443)经CB测试实验室认证过的产品,可以用CB报告作为 GS、PSE、CCC、NOM、GOST/R、BSMIA等国家认证的基础。

国际资讯安全符合性机构(The International Security Compliance Institute、ISCI)有建立针对ANSI/ISA 62443标准的认证评估架构。此架构可以用在工业自动化控制系统、零件以及程序。ISASecure架构中有一部分是以IEC 62443及ISCI开发程序为基础,包括维护政策在内,目的是要确保ISASecure和ISASecure在演进的过程中,ISASecure仍然不会和ISASecure差距太大。

在ISASecure下,ISCI有以下的认证:

相关

  • 面心立方堆积立方晶系,也叫等轴晶系,它有4个三重对称轴以及3个互相垂直的4次对称轴或者3个相互垂直的二重对称轴。其中的3个互相垂直的4次对称轴或者3个相互垂直的二重对称轴是晶体结晶轴
  • ATC代码解剖学治疗学及化学分类系统(英语:Anatomical Therapeutic Chemical Classification System, ATC),是世界卫生组织对药品的官方分类系统。ATC系统由世界卫生组织药物统计方法整
  • 血管紧张素转化酶23SCL、​1R42、​1R4L、​2AJF、​3D0G、​3D0H、​3D0I、​3KBH、​3SCI、​3SCJ、​3SCK5927270008ENSG00000130234ENSMUSG00000015405Q9BYF1Q8R0I0XM_011545552、NM_0218
  • 长尾水獭长尾水獭(Lontra longicaudis)是分布在中美洲、南美洲及特立尼达的水獭。长尾水獭栖息在不同的河流环境,包括落叶林及常绿森林、大草原等。它们似乎较喜欢清澈的河流,较少在污浊
  • 东园基敬东园基敬(1820年11月28日-1883年5月24日),是江户时代末期的公卿,也是藤原北家中御门流(日语:中御門流)堂上家的东园家(日语:東園家)当主。东园基敬在文政三年(1820年)出生,是父母东园基贞
  • 新加坡口香糖禁令新加坡自1992年起实施口香糖禁令,但从2004年起允许食用疗法用途和治疗牙科疾病的口香糖及尼古丁口香糖。符合这些标准的口香糖可以向医生或注册药剂师购买。新加坡前总理李光
  • 儒家八派儒家八派是东周战国时期的儒家学说内部分化出的八个学派。这种说法第一次是在《韩非子·显学》提到的,“自孔子之死也,有子张之儒,有子思之儒,有颜氏之儒,有孟氏之儒,有漆雕氏之儒
  • 国际爱地芽协会国际爱地芽协会(International Association for Integration Dignity and Economic Advancement,简写为IDEA)是一个以争取汉生病患人权为宗旨的国际组织。1991年在巴西成立,1994
  • 弃(?-?),姬姓,名弃,又称后.mw-parser-output ruby>rt,.mw-parser-output ruby>rtc{font-feature-settings:"ruby"1}.mw-parser-output ruby.large{font-size:250%}.mw-parser-output ruby.larger{font-size:300%}.mw-parser-output ruby.large>rt,.mw-parser-output ruby.large>rtc{fo
  • 宣信国家宣信国家(Confessional state)是指官方制定或推行一特定宗教的国家,该国家通常会进行公众崇拜,或至少鼓励公民进行该行为。历史上,有不少国家为宣信国家,其中以基督教、伊斯兰教和佛教最为突出。由于宗教多元主义是近现代后才流行起来的,20世纪前大多数国家即使实际上允许其他宗教信仰,在宪法中都设立有国教。