【转】IEC 62443简述

大家好，欢迎来到IT知识分享网。

        IEC 62443是国际电工委员会制定的一系列标准，旨在为工业控制系统（ICS）提供安全性的技术要求和指导。

        对于资产所有者、服务供应商、产品供应商分别如下图形式展开：

  一、IEC62443标准分为四个部分

● 第一部分描述了网络安全的通用方面，如术语、概念、模型、缩略语、符合性度量。

● 第二部分主要针对用户的网络安全程序，主要包括整改网络安全系统的管理、人员和程序设计方面，是用户建立其网络安全程序时需要考虑的。

● 第三部分主要针对系统集成商保护系统所需的技术性网络安全要求。它主要是系统集成商在把系统组装到一起时需要处理的内容。包括将整体工业自动化控制系统设计分配到各个区域和通道的方法，以及网络安全保障等级的定义和要求。

● 第四部分主要针对制造商提供的单个部件的技术性网络安全要求。包括系统的硬件、软件和网络部分，以及当开发或获取这些类型的部件时需要考虑的特定技术性网络安全要求。

二、标准解析

         这一系列标准包括多个部分，其中最常见的是IEC 62443-2和IEC 62443-3。

        IEC62443可以认证的标准包含程序流程及产品安全两个类别，如下表所示:

表一：认证类别与系统标准

       与一般的ISO/IEC标准不同的是，若想取得IEC 62443-4-2与IEC 62443-3-3的证书，必须先通过IEC 62443-4-1的认证，也就是说对产品供应商而言，必须先确保机构内产品开发流程的安全，才能申请产品安全认证。目前有愈来愈多IoT设备已在国外市场陆续被要求提供设备安全等级(Security Level)证明，而IEC 62443-4-2规范便是对应安全等级(Security Level)的要求细节，因此随着市场对安全需求的增加，IEC62443-4-2认证也日显重要。

       验证IEC 62443-4-2，首先须依据IEC 62443-4-1定义的开发流程来实际制作IEC 62443-4-2的组件，组件涵盖软件应用(Software Application)、嵌入式设备(Embedded device)、网通设备(Network device)以及控制设备(Host device)四类；再者技术安全也需满足自订的安全等级(Security Level)目标下的所有要求项目，才能顺利取得证书。

        IEC 62443-2
        IEC 62443-2主要涉及工业控制系统安全的管理要求，包括了从策略制定、风险评估、安全措施实施、监测、审计和持续改进等方面的要求。这个标准要求企业要实现完整的安全管理系统，来确保工业控制系统的安全性。
        1策略和程序：企业需要建立和实施ICS安全管理政策和程序，包括ICS安全目标和安全需求的定义、风险评估和管理、安全控制措施的选择和实施、安全培训和教育等方面的要求。

        2组织结构和职责：企业需要为ICS安全设立组织结构，并明确相应的职责和权限。这些职责和权限应涵盖ICS安全管理、ICS安全评估和测试、ICS安全事件的响应和报告等方面。

        3人员：企业需要为ICS安全提供足够的人员和资源，并确保这些人员具备必要的技能和知识，能够胜任其职责。

        4评估：企业需要定期进行ICS安全评估，并根据评估结果制定相应的改进计划。ICS安全评估的范围应涵盖ICS的所有方面，包括网络、硬件、软件、人员等。

        5安全控制措施：企业需要根据ICS安全评估的结果，选择并实施适当的安全控制措施，包括物理安全、逻辑安全、网络安全等。

        6信息保护：企业需要确保ICS的关键信息和系统数据得到保护，并采取措施防止信息泄漏和非授权访问。

        7安全培训和教育：企业需要为所有与ICS有关的人员提供ICS安全培训和教育，以提高其安全意识和技能。

        8监测和审计：企业需要定期监测ICS的安全状态，并实施ICS安全审计，以发现和纠正安全问题。

        IEC 62443-3
        IEC 62443-3则主要关注于安全控制系统的技术要求和建议。它包括了控制系统的安全功能和防御机制的设计、实现和验证等方面的要求。这个标准还指导企业应如何选择和使用合适的安全技术措施。
        1安全控制系统的设计：企业需要根据ICS安全需求，设计ICS安全控制系统的体系结构和安全控制措施，包括物理层面和逻辑层面的安全控制措施。

        2安全控制系统的实现：企业需要根据ICS安全需求和设计，实现ICS安全控制系统的体系结构和安全控制措施，包括系统的硬件和软件的实现和配置。

        3安全控制系统的验证：企业需要验证ICS安全控制系统的实现是否符合ICS安全需求和设计，包括功能测试、安全测试和安全评估。

        4安全控制系统的维护和更新：企业需要定期维护ICS安全控制系统，包括系统的更新、修复、漏洞管理等。

        5安全控制系统的文档：企业需要记录ICS安全控制系统的相关信息和文档，包括系统的体系结构、设计、实现、验证、维护和更新等方面。

        6安全控制系统的选择和使用：企业需要根据ICS安全需求，选择适当的ICS安全控制系统，并在使用过程中注意ICS安全的维护和更新。

链接：https://www.zhihu.com/question//answer/