實現IEC 62443工業(yè)物聯(lián)網安全標準合規(guī)，如何做才能既省時又省錢？

工業(yè)物聯(lián)網（IIoT）技術是工業(yè)4.0革命的基礎。智能技術可提高生產力和效率，降低制造成本。然而，如果保護不當，智能技術的自動化性質也會增加潛在的攻擊面。

每臺互聯(lián)設備都是攻擊者進入工業(yè)系統(tǒng)的潛在入口點。以勒索軟件為例。生產線停機造成的損失可能高達每分鐘數千美元。研究表明，如果勒索軟件網絡攻擊成功，超過一半的案例中支付了贖金，其中超過50%的案例至少支付50萬美元。同樣發(fā)生在這些工業(yè)領域的其他類型的網絡恐怖攻擊可能帶來災難性的環(huán)境影響，甚至造成人員傷亡。顯然，隨著全世界的數字化轉型，工業(yè)網絡安全領域變得非常重要。

IEC 62443的重要性和結構

這就是IEC 62443的用武之地。IEC 62443是由安全專家制定的一套標準，旨在為工業(yè)自動化和控制系統(tǒng)（IACS）與操作技術（OT）環(huán)境的網絡安全提供基于風險的整體方法。IEC 62443標準廣泛適用，可應用于系統(tǒng)內的組件或更精密的設備內的嵌入式部件（例如單個微處理器）。然而，這套標準也介紹了如何保護整個系統(tǒng)和設施，包括工廠、加工廠、樓宇自動化系統(tǒng)、化學設施、醫(yī)療系統(tǒng)設施等。

IEC 62443標準有助于確保整個系統(tǒng)和設施的安全。

標準分為四個部分，每個部分分別涉及IACS和其他OT環(huán)境的安全問題。具體如下：

第一部分

定義了標準其他部分使用的術語、概念和模型。它為利益相關者在IACS生命周期的不同階段合作提供了共同的基礎。這部分定義的術語和概念支持相關方之間進行高效的溝通。

第二部分

介紹與IACS安全有關的方法和流程的角色和要求。它指定資產所有者如何建立IACS安全計劃、如何評估IACS的安全保護效果以及如何修補IACS。它還提出了集成商和維護服務提供商的安全計劃應支持的安全功能要求。

第三部分

重點介紹系統(tǒng)層面的網絡安全要求。它使用第一部分定義的區(qū)域和管道（zones and conduits）的概念?；诎踩L險將系統(tǒng)分為較小的區(qū)域，有助于重點保護系統(tǒng)風險最高的部分。風險水平取決于影響后果的嚴重程度。

第四部分

介紹安全開發(fā)組件的技術要求，以及每個組件的安全功能，旨在確保工業(yè)系統(tǒng)使用的產品能夠安全運行。除了定義組件的技術要求外，第四部分還描述了組件必須滿足的4個通用組件網絡安全約束（CCSC），以符合IEC 62443-4-2標準要求。CCSC 4規(guī)定，產品開發(fā)流程必須符合IEC 62443-4-1。

IEC 62443還描述了IACS系統(tǒng)所能達到的不同安全級別。對于每個安全級別，系統(tǒng)或組件都必須滿足一組特定的要求。最低級別SL0適用于不需要特殊保護的系統(tǒng)。相比之下，最高級別SL4則適用于需要使用復雜手段和擴展資源來防止蓄意安全違規(guī)行為的系統(tǒng)。例如，對于易受勒索軟件攻擊的系統(tǒng)而言，建議使用SL4。勒索軟件攻擊由具有高級設備或其他資源的專業(yè)黑客發(fā)起。

安全級別用于確定產品或組件是否滿足系統(tǒng)或系統(tǒng)內部區(qū)域的安全需求。例如，符合SL2 62443-4-2的產品不能用于要求最低SL3安全級別的系統(tǒng)或系統(tǒng)內的區(qū)域。這種依賴性可能會影響產品開發(fā)，因為使用需要SL3保護的系統(tǒng)的客戶會選擇符合SL3安全要求的產品或組件。

恩智浦為嵌入式系統(tǒng)提供可信的解決方案。了解有關保護工業(yè)物聯(lián)網的詳情，請下載并閱讀此白皮書>>

如何助力實現IEC 62443合規(guī)?

規(guī)劃和設計符合IEC 62443的產品可能既費時又費錢，因為它需要在網絡安全方面同時了解標準和產品。這意味著，開發(fā)人員需要從一開始就考慮安全性，并遵循安全設計模式。可使用符合產品安全相關要求的組件來加快這一流程。

恩智浦定義了一套安全原語 ，目的是在工業(yè)物聯(lián)網領域為安全術語建立共同基礎。文檔介紹了多個級別的安全功能，并闡述了一個框架，該框架允許開發(fā)人員以結構化方式考慮其產品的安全需求。系統(tǒng)設計人員可使用此方法將認證和標準以及用例要求與產品功能一一對應，反之亦然。該框架幫助工程師選擇和整合滿足其要求的解決方案，同時自動實現IEC 62443-4-2合規(guī)。

除了幫助工程師找到符合其安全相關要求的組件外，恩智浦還在生產中積極踐行以安全為中心的文化，以提高工業(yè)物聯(lián)網安全。例如，恩智浦安全成熟度業(yè)務和事件響應流程已通過IEC 62443-4-1：安全產品開發(fā)生命周期要求的認證。恩智浦產品根據62443-4-1標準設計和開發(fā)，可集成到旨在符合62443-4-2的產品中，因為它們已經滿足CCSC 4的要求。

使用符合產品安全相關要求的組件有助于實現IEC 62443合規(guī)性。

某些按照62443-4-1認證流程設計和開發(fā)的恩智浦產品具有滿足62443-4-2要求的安全功能。因此，只需集成恩智浦產品作為組件，旨在符合62443-4-2的產品便能夠滿足更新標準的各種要求。

我們名為《借助EdgeLock SE05x簡化ISA/IEC 62443合規(guī)流程》的應用筆記概要介紹了恩智浦產品如何幫助實現62443-4-2合規(guī)。點擊下載閱讀>>

此外，特定的恩智浦組件（如EdgeLock SE051安全元件）已通過62443-4-2（IACS組件的技術安全要求）認證。使用經過認證的方法和組件有助于促進合規(guī)性，對于集成了這些組件的更復雜的最終產品而言尤為如此。

總而言之，工業(yè)4.0普及率與日俱增，這意味著網絡攻擊對每一家現代企業(yè)都是日益嚴重的威脅。這些網絡攻擊很常見，而恢復工作往往繁重、耗時長且成本高昂。IEC 62443是一套通用標準，旨在應對各種機構（從工業(yè)設施到醫(yī)療使用場景）中不斷增加的網絡攻擊威脅。

為了幫助工程師達到IEC 62443合規(guī)，恩智浦提供了一個框架，將認證和標準以及用例要求與產品功能一一對應，反之亦然。此外，許多恩智浦生產工藝和設備已通過了IEC 62443認證，這進一步縮短了開發(fā)時間，并簡化了通過IEC 62443認證所需的工作。

如果您對此安全標準或工業(yè)物聯(lián)網的安全方面感興趣，希望了解有關IEC 62443工業(yè)網絡安全標準的更多信息, 可觀看視頻>>

▼▼▼

本文作者

Joppe W. Bos是恩智浦半導體公司技術總監(jiān)兼CTO機構的密碼與安全能力中心（CCC&S）的譯碼員。他常駐比利時，是后量子密碼學團隊的技術負責人，擁有20多項專利，發(fā)表過50篇學術論文。他是IACR Cryptoology ePrint Archive的聯(lián)合編輯。

本文作者

Christine Cloostermans是恩智浦半導體公司CTO機構的密碼與安全能力中心（CCC&S）的高級譯碼員。她在圖埃因霍溫大學（TU Eindhoven）獲得了基于晶格的密碼學相關的博士學位。Christine參與發(fā)布過10多篇科學文章，并發(fā)表過多場后量子密碼學領域的公開演講。除了PQC，她還積極參與多項標準化工作，包括工業(yè)領域的IEC 62443、移動駕駛執(zhí)照的ISO 18013以及連接標準聯(lián)盟的訪問控制工作組。

本文作者

Sara Aylin Buyruk是恩智浦半導體公司CTO機構的密碼與安全能力中心（CCC&S）的成員。她現居荷蘭，擁有埃因霍溫理工大學（Eindhoven University of Technology）網絡安全碩士學位，從事工業(yè)和物聯(lián)網安全領域的工作。

本文作者

Daniel Kiraly是恩智浦半導體公司CTO機構的密碼與安全能力中心（CCC&S）站點與流程認證安全經理。他現居奧地利，負責確保多個站點和流程認證的合規(guī)性，包括ISO/IEC 62443-4-1、ISO/SAE 21434、TISAX和ISO 27001。他是經過意大利IT安全認證機構（OCSI）認證的合格評估員，并成功通過了德國聯(lián)邦信息安全局（BSI）的認證通用標準評估員考試。