IEC62443系列标准是国际上广泛认可的工业控制系统网络安全标准,为全球能源、电力、水利等关键基础设施建设,以及飞机、汽车、火车、船舶、工程机械等重要设备提供了全面的安全框架。该标准通过定义安全级别(SL),评估网络安全风险,并确定适当的安全措施,确保相应系统安全运行。
欧盟于2019年6月开始施行《欧盟网络安全法》,2024年10月10日颁布实施了网络弹性法案、人工智能法案、《通用数据保护条例》等管制政策,欧盟各成员国以及美、日、韩、埃及、澳大利亚、香港等国家和地区已要求所有项目必须按IEC 62443来实施或流程或系统或产品的网络空间安全建设,并由第三方机构做认证。
IEC62443系列标准从2009年开始陆续发布,全称为“工业通信网络和系统安全” (从2015年开始称为“工业自动化和控制系统的安全”),是全球公认的工业信息安全的系列标准,在兼顾ISO 27001(信息安全管理体系)、NIST SP800(美国信息安全指南系列)等多个行业或多个国家、地区标准的情况下,形成了一个完备的标准体系。IEC 62443系列标准从流程、管理、系统、产品和技术等多个角度,面向资产拥有者、服务提供商、系统集成商和产品供应商,提供工业信息安全的指导。IEC 62443系列标准分为通用标准(IEC 62443-1)、政策和程序标准(IEC 62443-2)、系统标准(IEC 62443-3)和部件标准(IEC 62443-4)4部分,共涉及14个标准。
在已经发布的标准中,可进行认证的有IEC 62443-2-4(流程验证和解决方案认证)、IEC 62443-3-3(系统认证)、IEC 62443-4-1 (流程验证)和IEC 62443-4-2(产品认证)。一般情况下,系统集成商要做IEC 62443-3-3系统认证,服务提供商要做IEC62443-2-4,产品供应商做IEC 62443-4-1和IEC 62443-4-2,同时系统集成商也可做IEC62443-2-4。
IEC 62443-3-3是系统安全需求和安全标准,是针对系统的认证,也是3系中唯一可进行认证的部分。它划分了5个安全等级(Security Levels,SLs),即SL0:没有特定的要求或安全保护需要;SL1:抵御某些具有偶然性或巧合性的威胁攻击;SL2:抵御简单的故意性威胁攻击,这种威胁攻击具有通用方法,使用低资源并具有低动机的特点;SL3:抵御复杂的故意性威胁攻击,这种威胁攻击采用系统性特定的方法,使用中等资源并具有中动机的特点;SL4:抵御复杂的故 意性威胁攻击,这种威胁攻击采用系统性特定的方法,使用扩展性资源并具有高动机的特点。从5个安全等级可以看到,它是按照抵御攻击的能力来划分等级的。目前,全球各大系统集成商多以SL2为目标进行研发、设计和部署,各资产拥有者一般需求为SL2或者没有明确的需求(与系统集成商协商),在将来可能会出现SL3的要求。
IEC 62443-3-3从识别与认证控制、使用控制、系统完整性、数据保密性、数据流限制、事件实时响应和资源可用性7个维度,阐述了系统安全的基础需求(Foundational Requirements,FRs)。在基础需求下是系统需求( System Requirements,SRs),SL2共有60个系统需求, SL3有90个系统需求,均为技术类需求。这些系统需求一般描述为在某种场景下需具备某种功能,并且不提供测试用例,比如SR1.6无线接入管理,需求是“控制系统应提供识别和认证所有从事无线通信的用户(人员、软件 过程或设备)的能力”,并没有对实现此目的的技术手段做任何限制。
IEC 62443-3-3认证就是按照这些系统需求进行审计和测试,任意一项系统需求未通过就无法拿到证。认证主要分为审计、工厂测试(FAT) 和现场测试(SAT)环节,具体流程为:标准培训-文档审核-GA分析-整改-复审-FAT-整改-SAT-整改-验证-报告编制-证书颁发;整个认证周期一般为1 2个月。具备资质的认证机构可以从IECEE官网上查得。认证分为两种,即CB和VOC,前者 证书可在IECEE官网上查到,但是费用更高、周期更长;后者证书仅在认证机构官网上能查到,费用相对便宜、周期相对短,在一定条件下VOC证可以转为CB证。证书在3年内有效,若3年内系统的结构、功能和资产等有变化时,需要重新评估和更新证书。取得IECEE颁证资格的认证机构,目前也都是知名的跨国公司,费用相对昂贵。
我国等保2.0是一套系列标准,主要由GB/T22239基本要求、GB/T22240定级指南、GB/T 25058实施指南、GB/T 25070安全设计技术要求、GB/T 28448测评要求和GB/T 28449测评过程指南等标准组成,这些标准的制定基本参考了IEC62443和ISO 2700x 、NIST SP800的要求。符合IEC62443要求,基本符合国内等保2.0要求,也基本符合其它国家、地区工业控制安全。
近年来,和中科技跟踪研究欧盟CRA法案、RED指令、NIST2、EN 18031、工控系统IEC 62443标准、车联网ISO 21434标准,以及英联邦国家PSTI、日本JCSTAR等安全更新、安全存储、安全启动、安全传输、漏洞管理政策及技术要求。我司自主研发的“基于AI大模型的内核级终端威胁监测及响应系统(EDR)”、“可视化数字资产管理及安全运营系统”、“基于国产密码高强度加密的工业安全网关”、“入侵与攻击模拟安全验证系统”、“基于AI的自动化渗透系统”、“网络安全基础能力平台”的产品研发、生产和应用推广,落实境内相关国标、有关行标要求,落实IEC 62443通用国际化要求。我司产品可直接以功能模块、组件、嵌入等方式融合到工业产品中去,也可根据进入国特殊政策要求适当调整,协助国内能源、电力、工控等设备通过境外信息安全认证,服务国内工业产品在境外销售。
当前,我国大部分工业生产企业存在对境外工业控制、大型项目工程、关键基础设施的信息安全政策、管理理念以及产品认证要求不太熟悉,境外机构安全认证费用高、难度大、时间长、程序复杂,沟通协调困难等问题,有的企业及产品重复4、5次都难以过检。面对这些问题,我司与挪威船级社、TÜV南德、必维BV、兰德、天祥的国际知名第三方检测机构合作,为我国工业生产企业及其产品又好、又快、又省通过境外安全检测认证,提供信息安全加固、过检、维护以及相关咨询服务。目前,国内已有部分能源、电力、工控、汽车、工程机械、数控机床客户通过与我司合作顺利通过境外、境内信息安全认证。我司热诚欢迎更多企业与我们合作,不断提高双方海外业务拓展能力。
