网络安全已成为所有行业和领域的一个至关重要的问题。随着生活智能化和工业数字化、自动化的发展,物理网络系统在交通、物流、电网、家居等各行业日益普及的应用,导致网络病毒和恶意攻击的威胁和影响随之增加。21世纪以来,陆续发生的制造业,以及能源、电力、交通、水利、医疗等关键信息基础设施行业的网络安全事件,让众多网络安全厂商和研究机构针对重大民生基础设施的网络安全风险与应对策略进行研究。自2013年开始,国际电工组织委员会(IEC)陆续发布了IEC 62443系列标准,其目标是致力于从根本上减少工控网络安全风险的发生,降低工控网络安全风险的影响。
第一章:什么是IEC 62443?
1. IEC 62443起源和发展
2005年,国际自动化学会(International Society of Automation)ISA成立了ISA99 -工业自动化和控制系统安全委员会,负责制定工业自动化和控制系统 (Industry Automation & Control System)的网络安全标准。2007年,ISA99与IEC TC 65 WG 10成立联合工作组,共同制定并继续开发ISA/IEC 62443系列标准和技术报告(Technical Report,TR),并陆续发布了IEC 62443系列标准。2018年底,联合国欧洲经济委员会(UNECE)在其年会上确认,将把广泛使用的ISA/IEC 62443系列纳入其即将推出的网络安全共同监管框架(CRF)。CRF将作为联合国在欧洲的官方政策立场声明,为欧盟贸易市场内的网络安全实践建立一个共同的立法基础。IEC 62443 逐渐成为国际通行的工控网络安全标准,并在不同工业行业和领域实现了应用。
2. IEC 62443范围和目的
为实现广泛应用,IEC 62443-1-1对工业自动化和控制系统(IACS)和安全(Security)做出了说明。其中工业自动化和控制系统(IACS),包括了用于制造业和流程工业的控制系统、楼宇控制系统、地理上分散的操作诸如公共设施(例如: 电力、天然气和供水)、管道和石油生产及分配设施、其他工业和应用如交通运输网络,那些使用自动化的或远程被控制或监视的资产。而安全(Security)是指防止非法或有害的渗透,有意或无意的妨碍正常的和预期的运行、或不适宜的访问IACS的保密信息。同时IEC 62443系列标准的读者包括所有的IACS用户(包括设施运行、维护、施工和用户组织公司的一部分)、生产者、供应商、政府组织在内的、被影响的、控制系统计算机安全、控制系统实践者和安全实践者。
由此我们可以看出:IEC 62443系列标准对工业自动化和控制系统的网络安全定义是与工业过程运行有关的人员、硬件和政策、程序以及流程等因素的集合,这些因素将会影响工业过程的安全性和可靠性。IEC 62443系列标准不仅提出了对IACS的软硬件的技术要求,同时为确保IACS的安全性、完整性、可用性和保密性,对其所需的人员和流程也做出了规定。这也是为什么IEC 62443系列标准更加全面、更加适用,被视为工业自动化和控制系统网络安全的最佳实践的原因。
IEC 62443系列标准提供了一个清晰、灵活且全面的框架,以减少和解决工业自动化和控制系统(IACS)中现有和未来的安全漏洞。IEC 62443系列标准为我们提供了一个有效的、系统的、完整的方法应对网络安全挑战,可以弥合运营技术网络安全(OT Cybersecurity)和信息技术网络安全(IT Cybersecurity)的差距,以及实现网络安全和功能安全的融合。
3. IEC 62443 安全框架
IEC 62443系列标准的文件包括四个分属类别,分别是:通用、政策和程序、系统、组件。
通用:该类别(IEC 62443-1-x)的部分包括四份文件,描述了工业自动化和控制系统(IACS)网络安全的通用方面的内容,如术语、概念、模型、缩略语、系统符合性度量及工控设备的安全生命周期。
政策和程序:该类别(IEC 62443-2-x)的部分包括五份文件,详细规定了IACS安全管理系统的要求、安全管理系统实施指南、IACS环境中补丁更新管理以及对资产所有者和服务提供商的安全程序(SP)要求。
系统:该类别(IEC 62443-3-x)的部分包括三份文件,提供了系统安全要求、安全等级和安全风险管理以及系统设计的基本指导和原则。包括将整体工业自动化和控制系统设计分配到各个区域(Zone)和管道 (Conduit) 的方法,以及安全等级(Security Level)的定义和要求。
组件:该类别(IEC 62443-4-x)的部分包括两份文件,IEC 62443-4-2部分详细规定了系统组件的技术安全要求,IEC 62443-4-1部分规定了安全产品开发生命周期要求。
——参考ISAGCA-Security Lifecycles in the ISA/IEC 62443 Series Security of Industrial Automation and Control Systems, Oct. 2020.
目前应用最多的子标准,介绍如下:
IEC 62443-1-1:术语、概念和模型,该技术规范介绍了整个IEC 62443系列标准所使用的概念和模型,特别描述了IEC 62443系列标准所涉及的基础要求,用来组织整个系列的技术要求。
IEC 62443-2-1:建立工业自动化和控制系统安全程序,该国际标准规定了对IACS资产所有者的要求,如何实施安全有效的安全程序。安全程序必须适用于IACS安全操作的安全功能,这些安全功能的实施通常需要服务提供商和产品供应商的支持。然而,资产所有者仍然对IACS的安全负责。
IEC 62443-2-4 IACS服务提供商的安全程序要求,该国际标准为集成或维护IACS相关的所有类型的服务提供商详细规定了一套全面的安全能力要求。由于多数安全要求与具体行业和领域相关,该标准提供了“配置文件”的开发,可用于解决具体行业和领域特定环境的安全特征。
IEC 62443-3-2 系统设计的安全风险评估,该国际标准规定了设计IACS系统的要求,将系统(SuC)划分为区域(Zone)和管道(Conduit),评估每个区域和管道的风险,并建立各自的目标安全等级。
IEC 62443-3-3 系统安全要求和安全等级,该国际标准定义了适用于自动化和控制系统的网络安全要求。这些安全要求基于IEC 62443-1-1中定义的7个基本要求(FR1-7),包括①标识和鉴别控制;②使用控制;③系统完整性;④数据保密性;⑤受限的数据流;⑥对事件的及时响应;⑦资源可用性。IEC 62443-3-3中的安全等级(Security Level)是IEC 62443-3-2网络安全风险评估的输出。
IEC 62443-4-1 安全产品的开发生命周期要求, 该国际标准描述了与工业自动化和控制系统环境中适用的产品、网络安全有关的产品的开发生命周期要求。该标准中涉及的产品生命周期包括安全管理、安全需求、安全设计、安全实施、验证和确认、缺陷管理、安全升级/补丁管理和安全指南等注意事项。
IEC 62443-4-2 IACS组件的技术安全要求,该国际标准将IEC 62443-3-3中提出的安全要求和安全等级应用于IACS组件,这些组件类型包括应用软件、嵌入式设备(如PLC)、网络设备(如防火墙)、主机设备。该标准的目的是规定组件的安全能力,以减轻特定安全级别的威胁,而无需额外采取特定的安全补偿措施和对策。
第二章:如何运用IEC 62443?
IEC 62443系列标准在工业自动化和控制系统 (IACS)整个生命周期中,采用基于风险的和基于设计安全的理念,以提高IACS系统的安全性、完整性、可用性和保密性。
基于风险是IACS系统网络安全的前提,同时也是设计安全的输入。基于风险的理念是在产品和系统的全生命周期的各个阶段,都需要风险评估的参与,以确定不同生命周期d阶段的产品和系统存在的脆弱性、面临的威胁和风险,从而导出安全等级和安全要求,以持续的网络安全风险管理来确保安全与风险的平衡。
基于设计安全的理念是一个设计原则,即在IACS系统的生命周期早期实施安全措施。其目的是在开发早期通过建立强大的安全策略、安全架构和安全实践,保证整个产品/系统生命周期内安全的实施。这一设计原则同样适用于产品开发和自动化解决方案。当采用基于设计安全的理念时,安全措施会在控制系统或组件中自然运行,而无需额外增加安全补偿措施。
通过下图,我们可以看到各标准之间的关系,特别是风险评估(IEC 62443-3-2)的基础性和重要性。
——参考ISAGCA-Security Lifecycles in the ISA/IEC 62443 Series Security of Industrial Automation and Control Systems, Oct. 2020.
IEC 62443系列标准,面向资产所有者、服务提供商、产品供应商,对工业自动化和控制系统(IACS)各层级的系统、产品及产品供应商所采用的安全开发生命周期进行安全要求,典型的如DCS、SCADA等IACS系统,以及应用软件、嵌入式设备、网络设备、主机设备等IACS组件。
企业可基于自身提供的服务类型、IACS系统和组件类型,采用不同标准中的网络安全要求。如何运用IEC 62443系列标准,需要理解不同角色、控制系统、自动化解决方案和IACS之间的基本关系。下图为总结的关系图示:
——参考 IEC 62443-4-1:2018 Security for industrial automation and control systems Part 4-1: Secure product development lifecycle requirements,15th Jan. 2018.
根据上图左侧内容,IEC 62443系列标准涉及的角色包括:
资产所有者,对IACS负责的组织。资产所有者也是IACS和受控设备的使用、操作、运营方。
服务提供商,根据为自动化解决方案不同生命周期提供服务类型,可以分为集成服务商和运维服务商。
集成服务商,为自动化解决方案和控制系统或组件提供集成服务的服务提供商,包括设计、安装、配置、测试、调试和移交。集成服务商还可以协助资产所有者,通过风险评估将系统合理地划分为区域和管道。
运维服务商,自动化解决方案和控制系统或组件安装并移交后,为其提供支持活动的服务供应商。包括更新、升级、废弃,以及风险评估活动。
产品供应商,是生产硬件和/或软件产品的组织。产品可以包括IACS系统和IACS系统组件,包括应用软件、嵌入式设备、网络设备、主机设备。
IEC 62443系列标准虽然定义区分了不同的角色,但应该注意的是,一个组织可能具有多个角色,角色的职责也可以由多个组织承担。在具体实施过程中,可由资产所有者定义服务提供商和产品供应商的角色和职责。
IEC 62443 系列标准应用于自动化解决方案、控制系统和产品,根据上图右侧内容,这些自动化解决方案、系统和产品包括:
组件(Components),由产品供应商提供,分为:
应用软件,用于与控制系统或受控设备连接的一个或多个软件程序及其附属程序。
嵌入式设备,用于直接监测或控制工业过程的特殊用途设备,典型如PLC。
网络设备,用于促进或限制设备间数据流的设备,但不得直接有控制过程交互,典型如防火墙。
主机设备,通过运行操作系统承载一个或多个软件应用程序的通用设备。
控制系统 (Control Systems)/子系统, 由一系列组件组成的集成套件。
自动化解决方案( Automation Solution),是控制系统和产品在特定环境、设施或项目的具体实现。它包括功能安全功能和控制功能等基本功能,以及历史记录和工程配置等其他辅助功能。自动化解决方案由资产所有者指定的集成服务商提供。
工业自动化和控制系统(IACS) 包括自动化解决方案,以及支持该解决方案所需的操作和维护政策与程序。它由资产所有者操作,并由资产所有者和/或维护运维服务商维护和运营。
上图最右侧部分,阐述了不同角色涉及的IACS系统/产品类型所匹配的IEC62443子标准。同时,根据IEC 62443系列标准,我们将工业自动化和控制系统生命周期划分为需求阶段、设计阶段、实施阶段、验证&确认阶段、运行阶段、维护阶段以及退役阶段。在应用IEC 62443 系列标准时,建议企业可以结合自身在工业自动化和控制系统生命周期的角色和职责,考虑标准的具体应用:
第三章:运用IEC 62443的收益?
IEC 62443系列标准通过提出一系列的安全要求、规范、准则,以供资产所有者、服务供应商、产品供应商用于确保IACS系统及组件的安全。不同角色通过采用IEC 62443子标准,可以获得切合自身的网络安全收益。
资产所有者可以采用的子标准包括: IEC 62443-2-1,IEC 62443-2-3,IEC 62443-2-4,IEC 62443-3-2,IEC 62443-3-3。资产所有者的收益体现在:
简化采购规范化要求和程序
基于国际标准,易于理解产品、系统的网络安全能力
获得外部实体提供的独立安全认证
提升安全能力可随时间推移不断发展的信心
采用开放、公正的标准和实施流程
实现标准安全要求和企业具体安全需求的融合,形成最佳安全实践
服务提供商可以采用的子标准包括: IEC 62443-2-1,IEC 62443-2-3,IEC 62443-2-4,IEC 62443-3-2,IEC 62443-3-3。服务供应商的收益体现在:
建立并维持自动化解决方案安全计划
设计和实施符合具体网络安全要求的自动化解决方案
具备提供符合资产所有者制定的IACS安全政策和程序的服务能力
产品供应商可以采用的子标准包括:IEC 62443-4-1,IEC 62443-4-2,IEC 62443-3-3,IEC 62443-3-2。产品供应商的收益体现在:
清晰定义产品的安全性能,并符合IEC 62443要求
增强系统/产品健壮性、安全性、可靠性,有效解决已知网络安全漏洞,抵御安全威胁
提供系统/产品全生命周期的安全能力保证