随着大数据、云计算、物联网、5G等现代技术的蓬勃发展与广泛应用,网络安全已成为所有行业和领域必须直面的问题。工业控制系统作为现代基础设施运转的重中之重,更是网络安全防护的重要阵地,一旦遭到远程攻击,轻则设备故障,重则可能造成停工停产并引发一系列事故和灾难,其风险之大不言而喻。
由国际电工组织委员会(简称IEC)发布的IEC 62443系列标准规定了工业自动化和控制系统(Industrial automation and control system,简称IACS)的网络安全要求,提供了一套全面而系统的网络安全防护建议,以保护IACS免受网络安全威胁,是世界各国工控安全领域广泛应用的标准化宝典。
近日,IEC发布了62443-2-1:2024 版本,对IACS资产所有者的安全计划要求的部分内容进行了更新。为了使IACS产品制造商、系统集成商、服务提供商以及资产所有者更好地理解和应用相关技术,本文将选取IEC 62443国际标准的关键内容展开分析,并针对IEC 62443-2-1:2024新版标准进行详细解读。
IEC 62443 的内容与框架
作为网络安全产品和服务的国际公认标准,IEC 62443包含了国际密码技术、安全令牌、安全身份、安全信任链等IACS安全相关的软硬件技术要求,也包含了保障IACS安全运行的有关人员、政策、程序以及流程等相关规定,以确保该系列标准更加全面、更加适用,被视为工业自动化和控制系统网络安全的最佳实践。
IEC 62443 系列标准通过定义安全级别(SL),评估IACS的网络安全风险并确定适当的安全措施,它不仅提供了一种确保 IACS 安全的结构化方法,还建立了一个共同责任模型,以优化各种利益相关者(包括资产所有者、自动化产品供应商、集成商和服务提供商)在保障 IACS 安全过程中的相互协作。
通过实施IEC 62443系列标准,组织可以在确保其系统满足监管要求的同时,增强其网络安全态势。同时,IEC 62443系列标准的整体框架还能够使各行业免受不断变化的网络攻击威胁、有效保护关键基础设施,并提高设备运行性能、减少停机时间、保持运营效率。2021年,IEC 62443系列被IEC正式采用为横向标准,确保其在各个行业领域和关键基础设施中的适用性。
IEC 62443分为概述(IEC 62443-1)、政策和程序(IEC 62443-2)、系统设计(IEC 62443-3)、组件要求(IEC 62443-4)四个主要类别,分别对应通用安全级SL1、安全策略级SL2、系统安全级SL3和终端安全级SL4:
概述:该类别定义了网络分段的区域和管道等基本概念,这对于理解如何有效实施安全措施至关重要。
政策和程序:该类别概述了针对 IACS 环境的独特需求建立稳健的网络安全政策的要求,包括风险评估、事件响应计划和持续改进流程的指导。
系统设计:该类别提供了有关设计安全工业控制系统的详细建议。它涵盖了网络架构、安全技术以及将安全性集成到系统开发生命周期的最佳实践。
组件要求:该类别重点关注 IACS 内各个组件所需的技术规范,建立了工业防火墙和安全网关等设备的安全要求。例如,IEC 62443-4-2 定义了这些组件必须满足的特定安全功能,以确保它们能够抵御潜在的网络威胁。
IEC 62443 的应用
IEC 62443 系列是保护工业自动化和控制系统 (IACS) 免受网络威胁的关键框架,其综合方法涵盖制造业、能源、水处理和运输等各个行业,提供适合每个行业特定风险和运营环境的指导方针。
制造业:在制造工厂中,可以实施 IEC 62443 来保护可编程逻辑控制器 (PLC)以及监控和数据采集 (SCADA) 系统。例如,通过应用标准中概述的网络分段原则,制造商可以将关键生产系统与不太安全的网络隔离,从而降低未经授权的访问和潜在中断的风险。
能源行业:由于智能电网技术的集成,能源行业面临着独特的网络安全挑战。IEC 62443 提供了一种结构化方法,用于评估变电站智能电表和控制单元等组件的安全级别,确保了相关设备能够抵御可能导致服务中断的安全隐患或网络攻击。
水处理设施:这些设施可以利用 IEC 62443 指南来保护其运营技术免受网络威胁。通过实施标准中建议的网络安全管理系统(CSMS),运营商可以持续监控和管理与其 IACS 相关的安全风险,以保障供水安全可靠。
交通系统:在铁路或机场等交通网络中,IEC 62443 可以指导管理交通控制、信号和乘客信息集成系统的安全。实施标准有助于定义访问控制和事件响应策略,这对于维护运营完整性和公共安全至关重要。
IEC 62443-2-1:2024 新标解读
近期IEC更新了62443-2-1部分内容:IACS 资产所有者的安全计划要求。在IEC 62443系列标准中,IEC 62443-2-1(建立工业自动化和控制系统安全程序)对IACS资产所有者的相关要求及如何安全有效的实施安全程序进行了规范。它规定,安全程序必须适用于IACS安全操作的安全功能,这些安全功能的实施通常需要服务提供商和产品供应商的支持。然而,资产所有者仍然对IACS的安全负责。
IEC 62443-2-1:2024 更新了运行中IACS的资产所有者安全计划 (SP) 政策和程序要求。 更新的文件中使用了 IEC TS 62443-1-1 中IACS 构成的广泛定义和范围,在文件中,资产所有者还包括IACS的经营者。
由于在实际运行中,IACS 的使用寿命可能超过 20 年,并且许多遗留系统包含不再受支持的硬件和软件。因此,大多数遗留系统的 SP 仅满足标准中定义的要求的一部分。例如,如果不再支持 IACS 或组件软件,则无法满足安全补丁要求。同样,许多旧系统的备份软件并非对 IACS 的所有组件都可用。因此,更新文件指出:资产所有者需要围绕这些类型的要求制定政策和程序。如果资产所有者的遗留系统不具备本地技术能力,则补偿安全措施可以成为本文档中指定的策略和程序的一部分。
与上一版本相比,此版本还包括以下重大技术更改:
将需求结构修订为 SP 元素(SPE)。
为消除信息安全管理系统(ISMS)的重复而修订的要求,以及定义了用于评估需求的成熟度模型。
随着IACS技术的不断发展,IEC 62443标准体系也在不断的修订与完善。及时跟踪IEC 62443相关动态,正确理解实施标准并使用相关技术,将有效提高IACS的网络安全防护能力,全面保障IACS全生命周期的安全与可靠运行。
欲了解更多,点击进入 挪亚检测认证集团有限公司 >>
评论