網絡安全已成為所有行業和領域的一個至關重要的問題。隨著生活智能化和工業數字化、自動化的發展,物理網絡系統在交通、物流、電網、家居等各行業日益普及的應用,導致網絡病毒和惡意攻擊的威脅和影響隨之增加。21世紀以來,陸續發生的制造業,以及能源、電力、交通、水利、醫療等關鍵信息基礎設施行業的網絡安全事件,讓眾多網絡安全廠商和研究機構針對重大民生基礎設施的網絡安全風險與應對策略進行研究。自2013年開始,國際電工組織委員會(IEC)陸續發布了IEC 62443系列標準,其目標是致力于從根本上減少工控網絡安全風險的發生,降低工控網絡安全風險的影響。
第一章:什么是IEC 62443?
1. IEC 62443起源和發展
2005年,國際自動化學會(International Society of Automation)ISA成立了ISA99 -工業自動化和控制系統安全委員會,負責制定工業自動化和控制系統 (Industry Automation & Control System)的網絡安全標準。2007年,ISA99與IEC TC 65 WG 10成立聯合工作組,共同制定并繼續開發ISA/IEC 62443系列標準和技術報告(Technical Report,TR),并陸續發布了IEC 62443系列標準。2018年底,聯合國歐洲經濟委員會(UNECE)在其年會上確認,將把廣泛使用的ISA/IEC 62443系列納入其即將推出的網絡安全共同監管框架(CRF)。CRF將作為聯合國在歐洲的官方政策立場聲明,為歐盟貿易市場內的網絡安全實踐建立一個共同的立法基礎。IEC 62443 逐漸成為國際通行的工控網絡安全標準,并在不同工業行業和領域實現了應用。
2. IEC 62443范圍和目的
為實現廣泛應用,IEC 62443-1-1對工業自動化和控制系統(IACS)和安全(Security)做出了說明。其中工業自動化和控制系統(IACS),包括了用于制造業和流程工業的控制系統、樓宇控制系統、地理上分散的操作諸如公共設施(例如: 電力、天然氣和供水)、管道和石油生產及分配設施、其他工業和應用如交通運輸網絡,那些使用自動化的或遠程被控制或監視的資產。而安全(Security)是指防止非法或有害的滲透,有意或無意的妨礙正常的和預期的運行、或不適宜的訪問IACS的保密信息。同時IEC 62443系列標準的讀者包括所有的IACS用戶(包括設施運行、維護、施工和用戶組織公司的一部分)、生產者、供應商、政府組織在內的、被影響的、控制系統計算機安全、控制系統實踐者和安全實踐者。
由此我們可以看出:IEC 62443系列標準對工業自動化和控制系統的網絡安全定義是與工業過程運行有關的人員、硬件和政策、程序以及流程等因素的集合,這些因素將會影響工業過程的安全性和可靠性。IEC 62443系列標準不僅提出了對IACS的軟硬件的技術要求,同時為確保IACS的安全性、完整性、可用性和保密性,對其所需的人員和流程也做出了規定。這也是為什么IEC 62443系列標準更加全面、更加適用,被視為工業自動化和控制系統網絡安全的最佳實踐的原因。
IEC 62443系列標準提供了一個清晰、靈活且全面的框架,以減少和解決工業自動化和控制系統(IACS)中現有和未來的安全漏洞。IEC 62443系列標準為我們提供了一個有效的、系統的、完整的方法應對網絡安全挑戰,可以彌合運營技術網絡安全(OT Cybersecurity)和信息技術網絡安全(IT Cybersecurity)的差距,以及實現網絡安全和功能安全的融合。
3. IEC 62443 安全框架
IEC 62443系列標準的文件包括四個分屬類別,分別是:通用、政策和程序、系統、組件。
通用:該類別(IEC 62443-1-x)的部分包括四份文件,描述了工業自動化和控制系統(IACS)網絡安全的通用方面的內容,如術語、概念、模型、縮略語、系統符合性度量及工控設備的安全生命周期。
政策和程序:該類別(IEC 62443-2-x)的部分包括五份文件,詳細規定了IACS安全管理系統的要求、安全管理系統實施指南、IACS環境中補丁更新管理以及對資產所有者和服務提供商的安全程序(SP)要求。
系統:該類別(IEC 62443-3-x)的部分包括三份文件,提供了系統安全要求、安全等級和安全風險管理以及系統設計的基本指導和原則。包括將整體工業自動化和控制系統設計分配到各個區域(Zone)和管道 (Conduit) 的方法,以及安全等級(Security Level)的定義和要求。
組件:該類別(IEC 62443-4-x)的部分包括兩份文件,IEC 62443-4-2部分詳細規定了系統組件的技術安全要求,IEC 62443-4-1部分規定了安全產品開發生命周期要求。
——參考ISAGCA-Security Lifecycles in the ISA/IEC 62443 Series Security of Industrial Automation and Control Systems, Oct. 2020.
目前應用最多的子標準,介紹如下:
IEC 62443-1-1:術語、概念和模型,該技術規范介紹了整個IEC 62443系列標準所使用的概念和模型,特別描述了IEC 62443系列標準所涉及的基礎要求,用來組織整個系列的技術要求。
IEC 62443-2-1:建立工業自動化和控制系統安全程序,該國際標準規定了對IACS資產所有者的要求,如何實施安全有效的安全程序。安全程序必須適用于IACS安全操作的安全功能,這些安全功能的實施通常需要服務提供商和產品供應商的支持。然而,資產所有者仍然對IACS的安全負責。
IEC 62443-2-4 IACS服務提供商的安全程序要求,該國際標準為集成或維護IACS相關的所有類型的服務提供商詳細規定了一套全面的安全能力要求。由于多數安全要求與具體行業和領域相關,該標準提供了“配置文件”的開發,可用于解決具體行業和領域特定環境的安全特征。
IEC 62443-3-2 系統設計的安全風險評估,該國際標準規定了設計IACS系統的要求,將系統(SuC)劃分為區域(Zone)和管道(Conduit),評估每個區域和管道的風險,并建立各自的目標安全等級。
IEC 62443-3-3 系統安全要求和安全等級,該國際標準定義了適用于自動化和控制系統的網絡安全要求。這些安全要求基于IEC 62443-1-1中定義的7個基本要求(FR1-7),包括①標識和鑒別控制;②使用控制;③系統完整性;④數據保密性;⑤受限的數據流;⑥對事件的及時響應;⑦資源可用性。IEC 62443-3-3中的安全等級(Security Level)是IEC 62443-3-2網絡安全風險評估的輸出。
IEC 62443-4-1 安全產品的開發生命周期要求, 該國際標準描述了與工業自動化和控制系統環境中適用的產品、網絡安全有關的產品的開發生命周期要求。該標準中涉及的產品生命周期包括安全管理、安全需求、安全設計、安全實施、驗證和確認、缺陷管理、安全升級/補丁管理和安全指南等注意事項。
IEC 62443-4-2 IACS組件的技術安全要求,該國際標準將IEC 62443-3-3中提出的安全要求和安全等級應用于IACS組件,這些組件類型包括應用軟件、嵌入式設備(如PLC)、網絡設備(如防火墻)、主機設備。該標準的目的是規定組件的安全能力,以減輕特定安全級別的威脅,而無需額外采取特定的安全補償措施和對策。
第二章:如何運用IEC 62443?
IEC 62443系列標準在工業自動化和控制系統 (IACS)整個生命周期中,采用基于風險的和基于設計安全的理念,以提高IACS系統的安全性、完整性、可用性和保密性。
基于風險是IACS系統網絡安全的前提,同時也是設計安全的輸入。基于風險的理念是在產品和系統的全生命周期的各個階段,都需要風險評估的參與,以確定不同生命周期d階段的產品和系統存在的脆弱性、面臨的威脅和風險,從而導出安全等級和安全要求,以持續的網絡安全風險管理來確保安全與風險的平衡。
基于設計安全的理念是一個設計原則,即在IACS系統的生命周期早期實施安全措施。其目的是在開發早期通過建立強大的安全策略、安全架構和安全實踐,保證整個產品/系統生命周期內安全的實施。這一設計原則同樣適用于產品開發和自動化解決方案。當采用基于設計安全的理念時,安全措施會在控制系統或組件中自然運行,而無需額外增加安全補償措施。
通過下圖,我們可以看到各標準之間的關系,特別是風險評估(IEC 62443-3-2)的基礎性和重要性。
——參考ISAGCA-Security Lifecycles in the ISA/IEC 62443 Series Security of Industrial Automation and Control Systems, Oct. 2020.
IEC 62443系列標準,面向資產所有者、服務提供商、產品供應商,對工業自動化和控制系統(IACS)各層級的系統、產品及產品供應商所采用的安全開發生命周期進行安全要求,典型的如DCS、SCADA等IACS系統,以及應用軟件、嵌入式設備、網絡設備、主機設備等IACS組件。
企業可基于自身提供的服務類型、IACS系統和組件類型,采用不同標準中的網絡安全要求。如何運用IEC 62443系列標準,需要理解不同角色、控制系統、自動化解決方案和IACS之間的基本關系。下圖為總結的關系圖示:
——參考 IEC 62443-4-1:2018 Security for industrial automation and control systems Part 4-1: Secure product development lifecycle requirements,15th Jan. 2018.
根據上圖左側內容,IEC 62443系列標準涉及的角色包括:
資產所有者,對IACS負責的組織。資產所有者也是IACS和受控設備的使用、操作、運營方。
服務提供商,根據為自動化解決方案不同生命周期提供服務類型,可以分為集成服務商和運維服務商。
集成服務商,為自動化解決方案和控制系統或組件提供集成服務的服務提供商,包括設計、安裝、配置、測試、調試和移交。集成服務商還可以協助資產所有者,通過風險評估將系統合理地劃分為區域和管道。
運維服務商,自動化解決方案和控制系統或組件安裝并移交后,為其提供支持活動的服務供應商。包括更新、升級、廢棄,以及風險評估活動。
產品供應商,是生產硬件和/或軟件產品的組織。產品可以包括IACS系統和IACS系統組件,包括應用軟件、嵌入式設備、網絡設備、主機設備。
IEC 62443系列標準雖然定義區分了不同的角色,但應該注意的是,一個組織可能具有多個角色,角色的職責也可以由多個組織承擔。在具體實施過程中,可由資產所有者定義服務提供商和產品供應商的角色和職責。
IEC 62443 系列標準應用于自動化解決方案、控制系統和產品,根據上圖右側內容,這些自動化解決方案、系統和產品包括:
組件(Components),由產品供應商提供,分為:
應用軟件,用于與控制系統或受控設備連接的一個或多個軟件程序及其附屬程序。
嵌入式設備,用于直接監測或控制工業過程的特殊用途設備,典型如PLC。
網絡設備,用于促進或限制設備間數據流的設備,但不得直接有控制過程交互,典型如防火墻。
主機設備,通過運行操作系統承載一個或多個軟件應用程序的通用設備。
控制系統 (Control Systems)/子系統, 由一系列組件組成的集成套件。
自動化解決方案( Automation Solution),是控制系統和產品在特定環境、設施或項目的具體實現。它包括功能安全功能和控制功能等基本功能,以及歷史記錄和工程配置等其他輔助功能。自動化解決方案由資產所有者指定的集成服務商提供。
工業自動化和控制系統(IACS) 包括自動化解決方案,以及支持該解決方案所需的操作和維護政策與程序。它由資產所有者操作,并由資產所有者和/或維護運維服務商維護和運營。
上圖最右側部分,闡述了不同角色涉及的IACS系統/產品類型所匹配的IEC62443子標準。同時,根據IEC 62443系列標準,我們將工業自動化和控制系統生命周期劃分為需求階段、設計階段、實施階段、驗證&確認階段、運行階段、維護階段以及退役階段。在應用IEC 62443 系列標準時,建議企業可以結合自身在工業自動化和控制系統生命周期的角色和職責,考慮標準的具體應用:
第三章:運用IEC 62443的收益?
IEC 62443系列標準通過提出一系列的安全要求、規范、準則,以供資產所有者、服務供應商、產品供應商用于確保IACS系統及組件的安全。不同角色通過采用IEC 62443子標準,可以獲得切合自身的網絡安全收益。
資產所有者可以采用的子標準包括: IEC 62443-2-1,IEC 62443-2-3,IEC 62443-2-4,IEC 62443-3-2,IEC 62443-3-3。資產所有者的收益體現在:
簡化采購規范化要求和程序
基于國際標準,易于理解產品、系統的網絡安全能力
獲得外部實體提供的獨立安全認證
提升安全能力可隨時間推移不斷發展的信心
采用開放、公正的標準和實施流程
實現標準安全要求和企業具體安全需求的融合,形成最佳安全實踐
服務提供商可以采用的子標準包括: IEC 62443-2-1,IEC 62443-2-3,IEC 62443-2-4,IEC 62443-3-2,IEC 62443-3-3。服務供應商的收益體現在:
建立并維持自動化解決方案安全計劃
設計和實施符合具體網絡安全要求的自動化解決方案
具備提供符合資產所有者制定的IACS安全政策和程序的服務能力
產品供應商可以采用的子標準包括:IEC 62443-4-1,IEC 62443-4-2,IEC 62443-3-3,IEC 62443-3-2。產品供應商的收益體現在:
清晰定義產品的安全性能,并符合IEC 62443要求
增強系統/產品健壯性、安全性、可靠性,有效解決已知網絡安全漏洞,抵御安全威脅
提供系統/產品全生命周期的安全能力保證
