- 2025年4月 | 272期
- 2025年3月 | 271期
- 2025年2月 | 270期
- 2025年1月 | 269期
- 2024年12月 | 268期
- 2024年11月 | 267期
- 2024年10月 | 266期
- 2024年9月 | 265期
- 2024年8月 | 264期
- 2024年7月 | 263期
- 2024年6月 | 262期
- 2024年5月 | 261期
- 2024年4月 | 260期
- 2024年3月 | 259期
- 2024年2月 | 258期
- 2024年1月 | 257期
- 2023年12月 | 256期
- 2023年11月 | 255期
- 2023年10月 | 254期
- 2023年9月 | 253期
- 2023年8月 | 252期
- 2023年7月 | 251期
- 2023年6月 | 250期
- 2023年5月 | 249期
- 2023年4月 | 248期
- 2023年3月 | 247期
- 2023年2月 | 246期
- 2023年1月 | 245期
- 2022年12月 | 244期
- 2022年11月 | 243期
- 2022年10月 | 242期
- 2022年9月 | 241期
- 2022年8月 | 240期
- 2022年7月 | 239期
- 2022年6月 | 238期
- 2022年5月 | 237期
- 2022年4月 | 236期
- 2022年3月 | 235期
- 2022年2月 | 234期
- 2022年1月 | 233期
- 2021年12月 | 232期
- 2021年11月 | 231期
- 2021年10月 | 230期
- 2021年9月 | 229期
- 2021年8月 | 228期
- 2021年7月 | 227期
- 2021年6月 | 226期
- 2021年5月 | 225期
- 2021年4月 | 224期
- 2021年3月 | 223期
- 2021年2月 | 222期
- 2021年1月 | 221期
- 2020年12月 | 220期
- 2020年11月 | 219期
- 2020年10月 | 218期
- 2020年9月 | 217期
- 2020年8月 | 216期
- 2020年7月 | 215期
- 2020年6月 | 214期
- 2020年5月 | 213期
- 2020年4月 | 212期
- 2020年3月 | 211期
- 2020年2月 | 210期
- 2020年1月 | 209期
- 2019年12月 | 208期
- 2019年11月 | 207期
- 2019年10月 | 206期
- 2019年9月 | 205期
- 2019年8月 | 204期
- 2019年7月 | 203期
- 2019年6月 | 202期
國際自動化協會(ISA)於 2002 年成立了 ISA99 標準委員會,基於保護關鍵基礎設施的設備和運作避免遭受網絡攻擊,從那時起,ISA99 發布了一系列專門用於解決自動化和控制系統安全問題的標準和技術報告。其中 IEC 62443 標準提交給國際電工委員會(IEC),作為專門為解決工業自動化和控制系統(IACS)和營運技術(OT)安全問題的標準。
IEC 62443 系列標準分為四個部分
第一部分 → 一般:說明名詞及相關概念
● 62443-1-1 術語、概念和模型:介紹整個 62443 系列所有相關術語、概念和模型。目的是讓讀者瞭解構成該系列的基礎觀念。
● 62443-1-2 術語和縮寫主要術語表:提供整個 62443 系列術語和縮寫定義。
● 62443-1-3 系統安全符合性指標:描述對過程與技術要求所發展出量化指標的方法。
● 62443-1-4 工業自動化與控制系統安全生命週期和範例:提供了 IACS 安全性構成的生命週期的詳細描述,以及幾個不同的應用例子。
第二部分 → 政策和程序:說明架構 IACS 的安全計劃、運作方式、程式修補管理及安全計劃需求
● 62443-2-1 建立 IACS 安全計畫:描述定義和實施有效的 IACS 安全計劃所要的需求。對象針對資產所有者,負責設計和實施這樣的安全計劃。
● 62443-2-2 IACS 安全計畫等級:提供了一個方法,用以評估運作 ISA/IEC 62443 系列標準中,提供保護的等級。
● 62443-2-3 IACS 中的修補程式管理:針對任何要設計和實施修補程式管理程序的負責人。
● 62443-2-4 IACS 服務供應商的安全程序要求:針對 IACS 服務商如系統整合廠商或維護廠商。
● 62443-2-5 IACS 資產所有者實施指南:提供有效操作 IACS 安全計劃指南,對象包括負責操作此程序的資產所有者。
第三部分 → 系統要求:說明資訊安全相關技術、系統設計的資安風險評估、系統資安需求及資安等級
● 62443-3-1 IAC 安全技術:描述各種安全的應用 IACS 的技術。對象包括任何希望了解更多有關應用在控制系統環境中的特定技術。
● 62443-3-2 系統設計的安全風險評鑑:強調網絡安全問題風險評估和 IACS 系統設計。該標準的輸出是區域與管道模型、附帶風險評估和安全等級的目標,這些記載在網絡安全要求規範中。本標準主要針對資產所有者和系統整合者。
● 62443-3-3 系統安全要求和安全等級:描述基於安全等級,IACS 系統的需求。主要對象包括控制系統供應商,系統集成商和資產所有者。
第四部分 → 組件要求:介紹對產品供應商的要求,它涵蓋了程序方面,例如設置安全的開發生命週期和組件應滿足的技術要求
● 62443-4-1 產品安全開發生命週期要求:描述對產品開發安全生命週期的要求,主要對象包括控制系統和組件產品廠商。
● 62443-4-2 IACS 組件技術的安全要求:描述基於安全等級 IACS 組件的要求。組件包括嵌入式設備,主機設備、網絡設備和應用軟件。主要對象包括用於控制系統的組件供應商。
IACS 利益相關者
● 產品供應商:開發和分銷組件或系統自動化解決方案。
● 系統整合商:開發和分銷組件或系統自動化解決方案。
● 維護服務商:維護自動化解決方案。
● 資產擁有者:操作、營運和停用自動化解決方案。
這些角色與控制系統/自動化解決方案間彼此的關係如圖一所示。
▲ 圖一【資料來源:《工業自動化和控制系統的國際安全標準 - ISA/IEC 62443 介紹》資訊工業策進會資安科技研究所 】
安全等級(Security Level, SL)
IEC 62443-3-3 根據以下標準定義安全等級:
(1)安全等級 0:沒有特定要求或安全保護的必要性。
(2)安全等級 1:防止偶然或巧合的事件。
(3)安全等級 2:防止惡意用戶使用簡單的方法、低資源、通用技能和低動機進行故意事件。
(4)安全等級 3:防止惡意用戶使用複雜的手段、適度的資源、特定的技能和中度動機進行故意事件。
(5)安全等級 4:防止惡意用戶使用複雜的手段、廣泛的資源、特定的技能和高積極性進行蓄意事件。
基礎要求(Foundational Requirements, FR
IEC-62443-3-3 中為每個基礎要求定義系統要求(SR),以實現合規性,包括:
● 識別和身份驗證控制(IAC):可靠地識別和驗證所有試圖訪問 IACS 的用戶。
● 使用控制(UC):強制執行經身份驗證用戶的操作權限,監控這些權限的使用。
● 系統完整性(SI):阻止未經授權的操作,確保 IACS 每個組件的完整性。
● 數據機密性(DC):保護數據在傳輸或存儲時,避免遭未 經授權的洩露。
● 受限數據流(RDF):通過區域和管道對控制系統進行分段,以限制不必要的流量數據。
● 及時回應事件(TRE):確保 IACS 組件得到適當監控,及時採取糾正措施。
● 資源可用性(RA):確保 IACS 組件維持基本功能,在降級環境中運行時仍繼續安全操作。
為了讓產品供應者在設計產品時有具體的設計條件,去符合所謂的安全等級而每個基礎需求皆有條列具體的細項進行說明,該些細項分為組件需求(CR)和進階需求(RE),這兩者的組合將決定一個組件能夠達到的目標安全級別。其中 CR 又被指定為以下內容:(1)軟體應用需求(SAR);(2)主機設備需求(HDR);(3)嵌入式設需要求(EDR);(4)網路設備需求(NDR)。
參考來源:
● hhttps://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards
● https://zh.m.wikipedia.org/zh-tw/IEC_62443
● http://www.ctimes.com.tw/DispArt-tw.asp?O=HK6AR9ATYJ4ARASTDN
● https://www.cisco.com/c/en/us/products/collateral/security/isaiec-62443-3-3-wp.html
延伸閱讀:
HOT 熱門文章
-
「福州明芳汽車部件工業有限公司」順利通過 IATF 16949:2016 汽車業品質管理系統複評稽核
【企業驗證訊息】2022-05-11
-
從知名企業舞弊案 探討內控重要性(上)
【財稅專欄】2022-07-28
-
食品營養標示眉角多,不可不知關鍵技巧!(下)
【專欄文章】2022-09-19
-
掌握 ISO/IEC 27001,資安韌性更升級(下)
【專欄文章】2024-12-25
-
環境部新版溫室氣體盤查規範解析(上)
【國際標準新知】2024-12-05