Industrial 自動化與控制系統 (IACS 或 ICS) 技術對於關鍵基礎建設和作業技術 (OT) 環境而言至關重要。此類系統由透過網路協定彼此通訊的多個元件組成,因此容易受到網路攻擊。即使是 IACS 內的空氣隔離區域,也仍然容易受到惡意軟體透過周邊和可移動多媒體的攻擊。
ISA/IEC 62443 系列網路安全標準是 IACS 和 OT 網路的營運商、系統整合商和元件製造商的共同框架。這些標準包含多套要求、指示、控制和最佳實務,以確保 IACS 的操作、開發、維護和元件製造的安全。
ISA/IEC 62443 適用於哪些人?
ISA/IEC 62443 在上下文中定義了三個主要的主要角色,旨在定義可從中獲益的利害關係人:
- 資產所有者:擁有並操作 IACS 的組織。
- 系統整合商:提供系統整合、維護或其他 IACS 相關服務的組織或顧問。
- 產品製造商:提供產品以符合安全需求、提供產品元件或生命週期支援的組織。
ISA/ IEC62443 的元件
ISA/IEC 62443 系列分為四個主要部分:一般、政策與程序、系統和元件。每一部分都針對不同的主要角色,並包含涵蓋 ICS 安全特定方面或階段的指示與準則。
ISA/ IEC62443 系列的四個部分
一般 62443-1
第一部分包括一般概述,並介紹在 IACS 中設計及實施網路安全的基本概念、需求、術語及指導方針。
它以 62443-1-1 節開始,定義了整個標準系列使用的基礎術語、概念和參考模型。接著,62443-1-2 附有詞彙表和縮寫,以及 62443-1-3 討論評估和衡量系統安全性的安全指標。最後,62443-1-4 提供了在整個系統中處理網路安全問題時應遵循的準則。
政策與程序 62443-2
第二部分著重於治理與風險管理,提供建立、維護與管理網路安全計畫的指引。
第 62443-2-1 節說明建立、實施與維護 IACS 網路安全管理系統的流程,而第 62443-2-2 節則提供組織在建立 IACS 安全計畫時應遵循的詳細實施指引。接著,62443-2-3 提供管理軟體和韌體修補程式以維護系統安全的最佳實務,最後,62443-2-4 列出在工業環境中工作的服務供應商的網路安全要求和最佳實務。
系統 62443-3
本部分提供設計和實施安全系統的指導,並處理 IACS 的網路安全需求。本部分涵蓋風險評估、系統安全需求與策略,以及系統安全層級。
第 62443-3-1 節檢視與 IACS 相關的現有和新興安全技術。接著,62443-3-2 介紹在系統設計期間評估和管理網路安全風險的方法。最後,62443-3-3 建立詳細的系統安全需求,並將其分為四個安全層級 (SL1-SL4)。
元件 62443-4
本系列的第四部分,也是最後一部分,將介紹產品開發生命週期。它著重於 IACS 個別元件的安全性,例如 SCADA (監控與資料擷取)、PLC (可程式邏輯控制器) 和感測器。
它包括兩個部分。62443-4-1 概述了產品開發生命週期的流程,包括 IACS 元件的設計、開發和維護;第 62443-4-2 節規定了系統內個別 IACS 元件所需的技術安全需求和能力。
基本要求
本系列的第一部分 (IEC 62443-1-1) 指出了七個基本要求 (FR)。這些 FR 是 ISA/IEC62443 的基石,本系列之後的每一部分都以這些 FR 為基礎,包括以 IACS 系統 (3-3) 和元件 (4-2) 安全需求為重點的部分。
- 識別和認證控制
- 使用控制
- 系統完整性
- 資料保密性
- 受限制的資料流
- 及時回應事件
- 資源可用性
ISA/IEC 62443 的優點與應用
這些標準已被各行各業所採用,包括製造業、關鍵基礎設施、石油與天然氣、醫療保健和廢水處理。組織運用 ISA/IEC 62443 系列的方式取決於組織在特定產業中的角色,無論是 IACS 的操作、維護、整合或元件製造。
資產所有者
建立安全協定並操作 IACS 的資產擁有者可參考 ISA/IEC 62443 的第 2 節,以制定對系統整合商的要求。這些準則可協助他們確定產品中特別需要的安全功能。
針對系統整合商
由於執行整合、維護及類似的 ICS 相關服務,系統整合商主要使用 62443-3 標準來評估資產所有者的安全層級,並處理他們的需求。此外,62443-3-3 標準也可用於評估產品製造商所生產元件的安全性,並判斷這些元件是否包含資產所有者所要求的功能。
產品製造商
產品製造商建立並維護 SDL (安全開發生命週期),提供符合所需安全層級的產品,提供元件產品,並提供生命週期支援。產品製造商是生產 IACS 硬體和軟體元件的公司。產品製造商可將 62443-4 標準作為明確的參考,以了解產品應包含哪些功能和安全特性。
ISA/IEC 62443-3-3 對於關鍵基礎設施保護的重要性
62443-3-3 標準提供關鍵的技術安全要求和安全等級,以作為達到安全等級的參考。本節供系統整合商使用,以符合其開發系統的標準。
主要安全需求
深度防禦
一種需要多層防禦技術來防止或減緩網路攻擊的技術。例如,安全層可包括實體檢查、頻繁掃描、確保檔案傳輸安全,以及使用防火牆。
區域與管道
ISA/IEC-62443 系列利用Purdue 模型(也稱為 Purdue 企業參考架構 (PERA)),將區域 (zone) 識別為功能或實體單位,而管道 (conduit) 則是區域之間通訊通道的集合。
風險分析
除了傳統的風險分析實務外,ISA/IEC-62443-3-2 也為 IACS 的安全風險評估方法帶來更多詳細資訊。
最低特權
最小權限原則限制使用者存取系統中的特定元件或應用程式,防止不必要的存取,並在發生網路攻擊時,將攻擊面降至最低。
利用安全元件
ISA/IEC-62443-3-3 部分並非一套獨立的要求,它也利用了該系列的其他部分。它假設已依據 IEC 62443-2-1 制定安全計畫,並假設安全元件將依據 ISA/IEC-62443-4-2 和 ISA/IEC-62443-4-1 部署,以確保符合規定。
安全等級
所定義的安全等級旨在衡量 OT 和 IACS 系統的強度,並強調任何風險因素。62443-3-3 定義了四種安全等級,從最低等級的 1 到最高等級的 4。
安全等級 1
所定義的安全等級旨在衡量 OT 和 IACS 系統的強度,並強調任何風險因素。62443-3-3 定義了四種安全等級,從最低等級的 1 到最高等級的 4。
安全等級 2
用於防範不需要特定技能或密集資源的一般網路攻擊,例如個別駭客。
安全等級 3
涵蓋防範使用複雜技術和特定技能的蓄意攻擊,動機溫和。
安全等級 4
防範需要高度精密、具備 IACS 專屬技能並可存取延伸資源的蓄意攻擊,例如有組織駭客集團或敵國對高度關鍵系統的攻擊。
系統整合商通常會將 62443-3-3 與 62443-4-2 標準一併考慮,因為這些標準為生命週期內每個元件的安全性提供了進一步的指引。
邊界和可攜式 媒體 保護
USB 和外接式硬碟機等可攜式多媒體經常被用作 IACS 和 OT 網路傳輸資料的管道,儘管這些媒體會帶來重大的安全風險。可攜式多媒體曾造成顯著的網路攻擊,例如針對伊朗納坦茲核子設施的Stuxnet攻擊 (2010 年)、印度Kudankulam 核電廠攻擊 (2019 年),以及透過美國國防部網路傳播的Agent.BTZ攻擊 (2008 年)。
將周邊設備和可攜式多媒體防護納入為深度防禦策略的一部份,對於減緩此類攻擊、符合 ISA/IEC 62443 標準、減少資料外洩和系統中斷的風險,都能發揮重要的作用。舉例來說,像MetaDefender Kiosk™ 這種實體解決方案可以使用多重防惡意軟體引擎掃描可攜式多媒體,以確保其安全性。其他解決方案,如MetaDefender Drive™、MetaDefender 多媒體 Firewall™、MetaDefender Endpoint™ 和MetaDefender Managed File Transfer™可在提升您的安全層級和深度防禦策略方面發揮舉足輕重的作用。
總結:關鍵OT系統受到保護 服務不間斷
ISA/IEC 62443 標準被認為是最全面的網路安全標準,可解決 IACS 和 OT 環境的網路安全挑戰。透過 ISA/IEC 62443 系列標準,組織可以有系統地辨識環境中最有價值的部分、提高可視性,以及識別極易受到網路攻擊的資產。
OPSWAT 提供全面的周邊設備與可攜式多媒體安全解決方案,以加強深度防禦保護,並將攻擊面降到最低。若要瞭解為何世界各地的組織、政府和機構都信任OPSWAT,請立即與我們的專家聯絡,瞭解我們如何能協助您的周邊設備和可攜式多媒體安全。
