ISA/IEC 62443 网络安全标准新指南
工业网络安全标准已经发展到在其OT(操作技术)和工业控制系统(ICS)环境中为关键基础设施机构和工业部门提供既定的指南和最佳实践。IEC 62443系列和NERC可靠性法规等标准致力于为组织框架提供整体方法,该方法已从社区内利益相关者之间的共识中成熟,基于他们的专业知识和经验。
标准为行业利益相关者提供了一个公平的竞争环境,代表了多年的反复试验,同时提供了知识的实际应用并改善了沟通。它们导致创建一组描述产品、流程、服务、界面或材料特征的特征或品质,并通过提高性能、降低维护成本、减少停机时间、提高可操作性和节省资金来帮助实现卓越运营。
工业组织现在更有能力采用普遍接受的标准,并将注意力集中在执行其关键职能和流程上。这些工业网络安全标准是从技术专家之间的共识演变而来的,包括他们的说明、指南、规则或定义,然后跨工业和制造领域部署。
在一系列课程中,工业网络将为行业利益相关者提供有关工业,政府部门和关键基础设施领域目前可用的各种工业网络安全标准的详细指南。本系列的第一部分对IEC 62443网络安全标准进行了广泛的审查。
IEC 62443 工业网络安全标准
ISA/IEC 62443 标准
ISA/IEC 62443 标准是工业和制造业最全面、最详尽的工业网络安全标准,可解决工业自动化和控制系统 (IACS) 和 OT 环境的网络安全挑战。IACS 技术是关键基础设施和 OT 环境的核心。除了地理上分散的运营外,IACS还包括用于制造和加工厂和设施的控制系统,包括公用事业,管道,石油生产和分销设施中的控制系统。
IEC 62443标准在2021年11月得到了显着提升,当时国际自动化学会(ISA)和ISA全球网络安全联盟(ISAGCA)宣布国际电工委员会(IEC)承认工业网络安全标准系列具有“水平”能力。
传统上与OT环境相关,最新的验收将确保IEC 62443标准被认为是水平或基础的。因此,该系列与技术无关,可以应用于各个技术领域,从而扩大这些标准的覆盖范围,并为自动化和控制系统应用提供基于共识的网络安全优势。它还进一步推动了资产所有者和运营商之间的共识,将精力集中在协作和推进一系列标准上,以满足IIoT,传感器级安全性和供应链风险等各个领域的当前需求。
IEC 62443 标准提供网络安全参考架构、安全流程方向、要求、技术、控制、安全验收/工厂测试、产品开发、安全生命周期和网络安全管理系统 (CSMS)。它还规定了各组织可以纳入其框架的相关政策和程序,并提供了定期审查和具体要求,以灌输最佳做法。使用这些IEC 62443标准,组织可以更好地应对渗透到控制系统以及工作流程,对策和员工中不断上升的网络威胁和攻击。
工业和制造公司可以部署ISA / IEC 62443法规,以提供全面的组织框架,并提供足够的网络安全控制和措施。此外,使用国际公认的标准线,资产所有者和运营商可以为其基础设施设计可接受的完整技术解决方案,并具有集成的安全措施和功能。
采用 IEC 62443 标准来构建组织 IACS 安全成熟度和态势,同时为安全产品、程序和服务提供商提供一系列标准。IEC 62443的建议还定期补充涵盖特定技术情况和解决方案的技术报告。
通过采用ISA/IEC 62443系列标准作为基础,资产所有者和运营商将具有更高的风险敞口。此外,自动化系统供应商将使用基于该系列的标准一致性规范集,针对更广泛的应用认证其产品。这些标准的部署使组织能够专注于将安全性作为运营生命周期的一部分,同时在其供应链中更好地实现标准各个方面的合规性。它还在运营风险管理配置文件中提供网络安全。
IEC 62443 系列包括九项标准、技术报告 (TR) 和技术规范 (TS)。这九项标准可分为四组 - 通用,政策和程序,系统和组件。
前两组描述与 ICS 安全相关的概念、用例、策略和过程。相比之下,后两组侧重于网络和系统组件的技术要求。
“常规”类别定义了核心术语、概念和模型,并概述了标准一致性指标.
“政策和程序”定义了从设计到系统运行生命周期的有效ICS网络安全管理的要求
“系统”侧重于网络安全ICS系统级设计和风险评估。
“组件”注重确保 ICS 中智能设备的产品开发和持续生命周期维护。标准机构定期咨询IACS安全专家,以维护适用于所有工业和关键基础设施部门的相关指南。
IEC 62443标准细分
IEC 62443系列标准分为四个部分:
常规
第 1 部分涵盖了整个系列共有的主题:
1-1 (TS):术语、概念和模型
政策和程序
第 2 部分重点介绍与 IACS 安全性相关的方法和过程:
2-1:建立 IACS 安全计划
2-3 (TR):IACS 环境中的修补程序管理
2-4:IACS 服务提供商的安全计划要求
系统
第 3 部分是关于系统级别的需求:
3-1: IACS 的安全技术
3-2: 系统设计的安全风险评估
3-3:系统安全要求和安全级别
组件和要求
第 4 部分提供了 IACS 产品的详细要求:
4-1:确保产品开发生命周期要求
4-2:IACS 组件的技术安全要求
IEC/TS 62443-1-1 概述了 IACS 安全性的术语、概念和模型,并为 IEC 62443 系列中的其余标准奠定了基础。IEC 62443-1-1 于 2009 年 7 月发布,由 IEC 技术委员会 65 编制。它为IEC 62443系列中的其余标准奠定了基础。
62443-2-1 于 2010 年 11 月发布,旨在建立一个工业自动化和控制系统安全计划,该计划分析了为 IACS 环境启动网络安全管理系统 (CSMS) 所需的要素,同时就如何开发这些要素提供建议。该标准使用 IEC/TS 62443-1-1 中描述的构成 IACS 的广泛定义和范围。
IEC TR 62443-2-3 涵盖了已建立并正在维护 IACS 补丁管理计划的 IACS 产品供应商的安全性。该标准建议使用定义的格式将有关安全补丁的信息从资产所有者分发到IACS产品供应商,定义与IACS产品供应商开发补丁信息相关的一些活动,以及资产所有者部署和安装补丁。交换格式和操作是为在与安全相关的修补程序中使用的而定义的。但是,它也可能适用于与安全无关的修补程序或更新。
IEC 62443-2-4 涉及 IACS 服务提供商的安全计划要求,这些要求强调了 IACS 服务提供商在自动化解决方案的集成和维护活动期间向资产所有者提供的安全功能要求。它是由IEC技术委员会65与国际仪器用户协会(从其原始且现已过时的荷兰语名称中称为WIB)和ISA 99委员会成员合作开发的。
IEC 62443-3-1 处理 IACS 的安全技术,对各种网络安全工具、缓解对策以及可有效应用于现代电子式 IACS 的技术进行最新评估,以规范和监控众多行业和关键基础设施环境。
它描述了以控制系统为中心的网络安全技术的几个类别,这些类别中可用的产品类型,在自动化IACS环境中使用这些产品的优缺点,相对于预期的威胁和已知的网络漏洞,以及使用这些网络安全技术产品和/或对策的初步建议和指南。
IEC 62443-3-2 对为 IACS 及其关联网络定义正在考虑的系统 (SUC)、将 SUC 划分为区域和管道、评估每个区域和管道的风险以及为每个区域和管道建立技术度量安全级别目标 (SL-T) 提出了要求。它还记录了设计、实施、操作和维护适当的技术安全措施所需的安全要求。SL-T 是指特定自动化解决方案中区域和管道所需的安全级别。
IACS的风险管理始于基于公司标准和实践和/或认可和普遍接受的良好工程实践(RAGAGEP)的建议设计。它还要求了解如何识别漏洞、威胁、成功攻击的后果、对风险进行排名,并实施缓解措施以将风险降低到可容忍的水平。该标准本身被认为是一个RAGAGEP。
ISA 62443-3-2 标准基于对 IACS 安全性是风险管理问题的理解。每个IACS都会给组织带来不同的风险,这取决于它面临的威胁,出现这些威胁的可能性,系统内的固有漏洞以及系统受到损害的后续后果。此外,拥有和运营IACS的每个组织都有其风险承受能力。
IEC 62443-3-3 定义了详细的技术控制系统要求 (SR),与 IEC 62443-1-1 中描述的七个基本要求 (FR) 相关联,包括概述控制系统功能安全级别 SL-C(控制系统)的要求。这些要求将由IACS社区的各个利益相关者以及SuC定义的区域和管道使用,同时为特定资产开发针对SL,SL-T(控制系统)的适当控制系统。这些需求可以应用于集成的IACS,由最终用户在内部实施,也可以由服务提供商作为自动化解决方案提供。
IEC 62443-4-1 规定了 IACS 所用产品安全开发的过程要求。它定义了与用于工业自动化和控制系统环境的产品的网络安全相关的安全开发生命周期 (SDL) 要求。它指导如何满足为每个元素描述的要求。生命周期描述包括安全要求定义、安全设计、安全实施(包括编码指南)、验证和确认、缺陷管理、补丁管理和产品生命周期结束。这些要求可以应用于用于开发、维护和停用硬件、软件或固件的新进程或现有进程。
IEC 62443-4-2 提供了与 IEC TS 62443-1-1 中描述的七个 FR 相关的详细技术控制系统组件要求 (CR)。这些组件包括定义控制系统功能安全级别及其组件SL-C(组件)的要求。定义控制系统组件的安全功能级别是本文档的目标和目的,而不是 SL-T 或已实现的 SL (SL-A),后者超出了范围。
有关 IEC 62443 标准的常见问题
网络安全标准是什么?
网络安全标准旨在通过需求、控制和最佳实践,为工业组织提供OT(运营技术)和工业控制系统(ICS)网络运营商的通用框架。标准提供了一种整体方法,因为它们从技术专家之间的共识,其说明,指南,规则或定义在整个行业中用于设计,制造,安装,测试,认证,维护和维修电气和电子设备和系统。
借助 ISA/IEC 62443 标准,组织有机会识别其环境中最有价值的内容,提高资产可见性,识别需要更多保护的资产,并检测漏洞。此外,考虑到多年的经验,行业中采用标准有助于改善沟通并提供专业知识的实际应用。
标准通过提高性能、减少运营停机时间、提高可操作性、降低维护成本并最终节省资金,帮助组织实现卓越运营。
如何获得 IEC 62443 认证?
ISA工业网络安全培训课程和基于知识的证书认可计划基于ISA / IEC 62443系列自动化网络安全标准,是政府网络安全计划的关键组成部分。该时间表涵盖 IACS 评估、设计、实施、操作和维护的整个生命周期。它针对从事IT和控制系统安全角色的专业人员,帮助这些高管掌握工业网络安全术语,并深入了解ISA / IEC 62443系列标准的含义。
ISA 认证和证书计划为自动化行业内的关键主题提供基于标准的学习方法。由专家主导的实践工业网络安全课程利用行业供应商支持的真实设备来提高专业认可度并验证特定知识领域。
这些证书课程通过客观的第三方技能水平评估为安全专业人员提供教育、知识和经验。ISA的培训使用OT重点而不是IT重点,为网络安全工程师和技术专业人员提供了识别漏洞和保护系统免受网络安全攻击的能力。
安全专业人员可以参加 ISA 四项考试中的一项或全部考试,并有机会获得标准集合核心概念的认证,包括基础知识、风险评估、设计和维护。完成所有四个核心概念后,专业人员将获得“ISA / IEC网络安全专家”的称号。
供应商可以选择将其产品认证为符合各种安全级别的IEC 62443标准。这些措施将有助于加强在OT和ICS环境中部署的产品的性质。
资产所有者可以启动并采取措施,根据IEC 62443标准对其站点或系统进行认证。此外,可以立即检测和解决任何异常情况,以加强网络。
ISA/IEC 62443 标准的演变
IEC 62443标准由国际标准化组织(ISO)与IEC合作发布,是基于共识的一系列自动化网络安全标准。IEC 62443标准基于ISO 27001(ISO/IEC 27001),这是一个专注于信息安全的国际标准。2021年11月,这些IEC标准被接受为水平或基本标准,确保了技术独立性和跨技术领域的适用性。
IEC 62443标准由ISA的工业自动化和控制系统安全委员会(ISA99)开发并由IEC采用,旨在满足IACS在其整个生命周期内当前和未来的安全要求。2007年,在ISA 99委员会的倡议下,专门针对工业网络安全部门制定了最初的一套标准。
ISA于2010年与IEC联手,制定了集成了前ISA-99文档的综合标准ISA/IEC 62443。这些标准和技术报告最初是为工业过程部门制定的,但后来已应用于楼宇自动化、医疗设备和运输。
ISA99标准制定委员会召集了来自世界各地的工业网络安全专家,共同制定关于IACS安全的ISA标准。该委员会的协调中心是提高用于制造或控制的部件或系统的保密性、完整性和可用性,并为采购和实施安全控制系统提供标准。
根据 IEC 62443,OT 安全架构中定义了多少个安全级别?
IEC 62443标准的内置功能之一是用于评估每个OT和ICS系统的网络安全风险的安全级别(SL)。此功能使工业组织、资产所有者和运营商能够了解其资产、他们在基础架构中的工作方式、识别潜在的安全漏洞,并在攻击者识别和破坏这些漏洞之前解决这些安全漏洞。
有五个安全级别,范围从 0 到 4,其中 SL 0 标识为最低风险级别,SL 4 为最大或“最脆弱”级别。此模型要求与 SL 0 相比,SL 4 需要更重要的合规性措施。不同的等级表示对其他类别的攻击者的抵抗力。
为了满足每个安全级别的安全要求,工业系统必须为正常运行时间、安全性和知识产权提供适当的保护。因此,在工业生态系统中运营的工业利益相关者可以利用资产所有者和运营商,系统集成商,设备和服务提供商以及监管机构的明确期望。
安全级别为:
安全级别 0 表示不需要特殊要求或保护的地方。
安全级别 1 是启用防止无意或意外误用的地方。
安全级别 2 是指通过简单的方法防止故意滥用,只需很少的资源、一般技能和低动机。
安全级别 3 允许通过具有适度资源、特定于 IACS 的知识和合理动机的复杂手段防止故意滥用。
安全级别 4 允许使用具有广泛资源、特定于 IACS 的知识和高积极性的复杂手段防止故意滥用。
IEC 62443 安全级别
结论
虽然IEC 62443工业网络安全标准具有许多优点和好处,但工业利益相关者可能会发现,实地的实际实施也带来了相当大的挑战。例如,提高系统安全性可能导致需要升级旧的ICS设备和购买新的网络安全设备。此外,所需支出和执行复杂性将随着目标安全级别的增加而增加。
有些标准也不完全完整。其他一些正在更新过程中,其他一些尚未发布。此外,IEC 62443标准的范围和内容也很广泛。到目前为止,工业生态系统的总长度超过800页,并且即将推出更多规范,因此必须投入大量时间和精力来阅读和理解完整标准,以便正确实施。
数据合规创造业务价值
给我们一个开始了解需求的机会,共同来保护贵司的业务。
Copyright © 2025 上海数壳信息科技有限公司 All Rights Reserved.