新标解读 | 工业“智造”护盾——国际标准IEC 62443-2-1:2024

挪亚检测认证集团有限公司 2024-09-26 点击 58 次

导读近日，IEC发布了62443-2-1:2024 版本，对IACS资产所有者的安全计划要求的部分内容进行了更新。

随着大数据、云计算、物联网、5G等现代技术的蓬勃发展与广泛应用，网络安全已成为所有行业和领域必须直面的问题。工业控制系统作为现代基础设施运转的重中之重，更是网络安全防护的重要阵地，一旦遭到远程攻击，轻则设备故障，重则可能造成停工停产并引发一系列事故和灾难，其风险之大不言而喻。

由国际电工组织委员会(简称IEC)发布的IEC 62443系列标准规定了工业自动化和控制系统(Industrial automation and control system，简称IACS)的网络安全要求，提供了一套全面而系统的网络安全防护建议，以保护IACS免受网络安全威胁，是世界各国工控安全领域广泛应用的标准化宝典。

近日，IEC发布了62443-2-1:2024 版本，对IACS资产所有者的安全计划要求的部分内容进行了更新。为了使IACS产品制造商、系统集成商、服务提供商以及资产所有者更好地理解和应用相关技术，本文将选取IEC 62443国际标准的关键内容展开分析，并针对IEC 62443-2-1:2024新版标准进行详细解读。

IEC 62443 的内容与框架

作为网络安全产品和服务的国际公认标准，IEC 62443包含了国际密码技术、安全令牌、安全身份、安全信任链等IACS安全相关的软硬件技术要求，也包含了保障IACS安全运行的有关人员、政策、程序以及流程等相关规定，以确保该系列标准更加全面、更加适用，被视为工业自动化和控制系统网络安全的最佳实践。

IEC 62443 系列标准通过定义安全级别（SL），评估IACS的网络安全风险并确定适当的安全措施，它不仅提供了一种确保 IACS 安全的结构化方法，还建立了一个共同责任模型，以优化各种利益相关者（包括资产所有者、自动化产品供应商、集成商和服务提供商）在保障 IACS 安全过程中的相互协作。

通过实施IEC 62443系列标准，组织可以在确保其系统满足监管要求的同时，增强其网络安全态势。同时，IEC 62443系列标准的整体框架还能够使各行业免受不断变化的网络攻击威胁、有效保护关键基础设施，并提高设备运行性能、减少停机时间、保持运营效率。2021年，IEC 62443系列被IEC正式采用为横向标准，确保其在各个行业领域和关键基础设施中的适用性。

IEC 62443分为概述（IEC 62443-1）、政策和程序（IEC 62443-2）、系统设计（IEC 62443-3）、组件要求（IEC 62443-4）四个主要类别，分别对应通用安全级SL1、安全策略级SL2、系统安全级SL3和终端安全级SL4：

概述：该类别定义了网络分段的区域和管道等基本概念，这对于理解如何有效实施安全措施至关重要。

政策和程序：该类别概述了针对 IACS 环境的独特需求建立稳健的网络安全政策的要求，包括风险评估、事件响应计划和持续改进流程的指导。

系统设计：该类别提供了有关设计安全工业控制系统的详细建议。它涵盖了网络架构、安全技术以及将安全性集成到系统开发生命周期的最佳实践。

组件要求：该类别重点关注 IACS 内各个组件所需的技术规范，建立了工业防火墙和安全网关等设备的安全要求。例如，IEC 62443-4-2 定义了这些组件必须满足的特定安全功能，以确保它们能够抵御潜在的网络威胁。

IEC 62443 的应用

IEC 62443 系列是保护工业自动化和控制系统 (IACS) 免受网络威胁的关键框架，其综合方法涵盖制造业、能源、水处理和运输等各个行业，提供适合每个行业特定风险和运营环境的指导方针。

制造业：在制造工厂中，可以实施 IEC 62443 来保护可编程逻辑控制器 (PLC)以及监控和数据采集 (SCADA) 系统。例如，通过应用标准中概述的网络分段原则，制造商可以将关键生产系统与不太安全的网络隔离，从而降低未经授权的访问和潜在中断的风险。

能源行业：由于智能电网技术的集成，能源行业面临着独特的网络安全挑战。IEC 62443 提供了一种结构化方法，用于评估变电站智能电表和控制单元等组件的安全级别，确保了相关设备能够抵御可能导致服务中断的安全隐患或网络攻击。

水处理设施：这些设施可以利用 IEC 62443 指南来保护其运营技术免受网络威胁。通过实施标准中建议的网络安全管理系统（CSMS），运营商可以持续监控和管理与其 IACS 相关的安全风险，以保障供水安全可靠。

交通系统：在铁路或机场等交通网络中，IEC 62443 可以指导管理交通控制、信号和乘客信息集成系统的安全。实施标准有助于定义访问控制和事件响应策略，这对于维护运营完整性和公共安全至关重要。

IEC 62443-2-1:2024 新标解读

近期IEC更新了62443-2-1部分内容：IACS 资产所有者的安全计划要求。在IEC 62443系列标准中，IEC 62443-2-1（建立工业自动化和控制系统安全程序）对IACS资产所有者的相关要求及如何安全有效的实施安全程序进行了规范。它规定，安全程序必须适用于IACS安全操作的安全功能，这些安全功能的实施通常需要服务提供商和产品供应商的支持。然而，资产所有者仍然对IACS的安全负责。

IEC 62443-2-1:2024 更新了运行中IACS的资产所有者安全计划（SP）政策和程序要求。更新的文件中使用了 IEC TS 62443-1-1 中IACS 构成的广泛定义和范围，在文件中，资产所有者还包括IACS的经营者。

由于在实际运行中，IACS 的使用寿命可能超过 20 年，并且许多遗留系统包含不再受支持的硬件和软件。因此，大多数遗留系统的 SP 仅满足标准中定义的要求的一部分。例如，如果不再支持 IACS 或组件软件，则无法满足安全补丁要求。同样，许多旧系统的备份软件并非对 IACS 的所有组件都可用。因此，更新文件指出：资产所有者需要围绕这些类型的要求制定政策和程序。如果资产所有者的遗留系统不具备本地技术能力，则补偿安全措施可以成为本文档中指定的策略和程序的一部分。

与上一版本相比，此版本还包括以下重大技术更改：

将需求结构修订为 SP 元素（SPE）。

为消除信息安全管理系统（ISMS）的重复而修订的要求，以及定义了用于评估需求的成熟度模型。

随着IACS技术的不断发展，IEC 62443标准体系也在不断的修订与完善。及时跟踪IEC 62443相关动态，正确理解实施标准并使用相关技术，将有效提高IACS的网络安全防护能力，全面保障IACS全生命周期的安全与可靠运行。

欲了解更多，点击进入挪亚检测认证集团有限公司 >>

[来源：挪亚检测认证集团有限公司]

点赞：0

下一条：重磅！环评迎来重大改革

上一条：市场监管总局：通过标准制定实施和配套政策支持，更好支撑消费品以旧换新

关键词： IEC62443 网络安全 IACS