对于关键基础设施来说,网络攻击的后果可能是毁灭性的。
IEC制定IEC 62443系列标准是为了确保工业自动化和控制系统(IACS)在整个生命周期的安全。这一系列标准目前包括9项标准、技术报告(TR)和技术规范(TS)。
IEC 62443最初是为工业生产过程领域制定的,但是越来越多的领域和行业开始认识到IACS的重要性,例如电力和能源的供应、分配和运输业。IACS技术是关键基础设施的核心。
IT标准不适合IACS和其他OT(运营技术)环境。首先,它们具有不同的性能和可获取性要求,以及设备寿命。其次,网络攻击IT系统主要导致经济损失,但是网络攻击关键基础设施可能会造成严重的环境影响,甚至威胁公共卫生和生命。
国际标准是以行业最佳实践为基础,并以协商一致方式达成。实施IEC 62443可以减轻网络攻击的负面影响,并经常成功阻止网络攻击。它可以增强系统在使用期内的安全性并降低成本。
IEC 62443不仅涉及构成控制系统的组成技术,而且涉及其工作流程、应对措施和工作人员。因为并非所有风险都是技术问题导致的,所以该标准采用了整体性的方法:负责IACS的员工必须具备确保安全所要求的培训、知识和技能。
IEC 62443对网络安全采取了一种基于风险的方法,该方法基于这样一种理念:付出同等力量保护所有资产不仅低效,而且持续不了多久。相反,让用户确定最有价值的东西,给予最大程度的保护,并找出漏洞。
之后,他们必须建立深度防御结构来确保业务能连续进行。
IEC 62443系列标准分为四个部分:
总则
第1部分涉及这一系列标准通用的主题:
• 1-1:术语、概念和模型
• 1-2:术语和缩写的主术语表
• 1-3:系统安全一致性指标
• 1-4(TR):IACS的安全使用周期和使用案例
政策与程序
第2部分重点介绍与IACS安全相关的方法和程序:
• 2-1:搭建IACS安全计划
• 2-2:IACS安全计划评级
• 2-3(TR):IACS运行环境中的补丁管理
• 2-4:IACS服务供应商的安全计划要求
• 2-5(TR):IACS资产所有者的应用指南
系统
第3部分是关于系统等级的要求:
• 3-1:IACS的安全技术
• 3-2:系统设计的安全风险评估
• 3-3:系统安全要求和安全等级
组件和要求
第4部分提出了IACS产品的具体要求:
• 4-1:安全开发产品的生命周期要求
• 4-2:IACS组件的技术安全要求
合格评定
此外,IEC的合格评定验证了标准在实际的技术系统中得到正确应用。为此,IECEE工业网络安全计划对工业自动化领域的网络安全进行了测试和认证。
它包括一个提供IEC 62443系列标准认证的计划。