工控安全
IEC 62443
工控安全标准 IEC 62443
国际电工组织委员会针对工控安全特别参照ISA 99制定IEC 62443,之后ISA 99也将标准更名为ISA/IEC 62443。 ISA/IEC 62443有不同系列标准,除了能让各个工控领域的上、中、下游厂商能有各自对应的标准外,未来在标准更新时,拿证单位也只需要针对适用于该更新标准的单位,依需求再决定是否需要标准更新的证书,而不需要一体适用于全部厂商,对厂商而言可以分散资安风险、减少导入网络安全标准的成本与人力,同时也可在发生网络安全事件时,快速找出原因,并进行适当的处理措施。
Why ISA/IEC 62443
工业自动化和控制系统的网络安全(IACS)
- 系统设计不够安全,通过技术手段亦无法解决,需辅以适当的管理及程序。
- 企业高度依赖IT科技,安全威胁无力抵抗,风险避无可避。
【人】永远都是网络网络安全管理中最大的问题。 - 攻击技术日趋复杂,攻击來源相当广泛。
- 公用及私用网络互相连接分享信息,增加访问控制的难度。
- 分散式计算机作业的趋势削弱了集中式专责管控的效果。
导入执行流程
工控产品安全开发服务
采用国际标准 IEC 62443-4-1的方法论协助建立产品安全开发计划
1. 差异分析
1. 差异分析
- 网络安全作业可行性评估
- 产品网络安全测试(Pretest)
2. IEC 62443 4-1 导入
- 现况访谈
- 组织建立与政策制订
- 规划产品开发安全作业流程
3. IEC 62443 4-2 测试
- 网络安全检测培训
- 符合性测试
IEC 62443-4-1 产品开发要求
8 Practices, 47 Requirements
IEC 62443-4-2 工控系统(IACS)组件的技术安全要求
7项基本要求 95项安全要求
- IAC - 身份鉴别和认证控制
- RA - 资源可用性
- TRE - 实时事件响应
- RDF - 受限数据流
- DC - 数据机密性
- SI - 系统完整性
- UC - 用户管控
组件要求 (CR)
- 软件应用要求 (SAR)
- 嵌入式设备要求 (EDR)
- 主机设备要求 (HDR)
- 网络设备要求 (NDR)
