IEC62443工业自动化与控制系统标准介绍、构建与应用

工业安全守望者

已于 2025-01-15 10:43:14 修改

阅读量2.4k

点赞数 29

文章标签：自动化安全网络网络安全

于 2025-01-15 09:49:12 首次发布

本文链接：https://blog.csdn.net/weixin_55893548/article/details/145152814

版权

当前，许多工业控制系统（ICS）的所有者和运营商均意识到优化和有效管理 ICS 网络安全的必要性。因为工控系统的设计、部署和操作均基于传统技术、方法和意识形态，导致 ICS 中潜藏大量安全问题和漏洞。如今，意识形态虽有所改变，但核心 ICS 技术尚未迎来重大改变，因此针对ICS 的网络安全发展依旧缓慢。远程访问和针对 ICS 的攻击等明确而现实的危险，迫使我们对方法进行调整，但也仅限于文化、劳动力资源和技术限制允许的范围内。对工控系统进行全面调查以检查其安全性已属常规操作，与此同时，还应关注操作人员操作这些大型复杂控制设备以及可能全天候持续运行的物理系统时所面临的复杂性和挑战。对于关键基础设施而言，全天候不间断运行意味着系统需持续提供服务。而挑战不仅源自网络安全问题的管理，还源自运营风险和网络安全问题的管理。

在未了解网络安全问题与运营风险关系的情况下，专注于识别和修复网络安全问题，只是将安全问题简化为一系列调查结果，这些调查结果仅能代表整个 ICS 网络安全态势的一小部分，而不能展示其全貌。审查这些调查结果后发现，考虑到当前 ICS 网络安全成熟度、敏捷性和可用预算等因素，缓解措施可能需长达一年甚至三年才能完成。届时，又需进行新一轮安全评估，尽管无法衡量先前的努力是否有益于安全或是否能够确保面临网络攻击威胁依然保持运营有效性。一些必要的优化可能得以实施，但依旧缺乏紧密协同优势。

优化ICS 网络安全并非仅简单增加安全对策以期应对薄弱环节。应仔细筛选安全对策，以有效缓解 ICS 运营风险，并在操作人员努力维持缓解措施并挫败活动威胁时，能够持续补充安全操作。这些对策应共同协作，使网络安全事件的预防、监控、检测和响应工作流更加清晰直观。优化整个 ICS 的网络安全无法一蹴而就，不能归结为一个简单、连续的阶段路线图。理想情况下，应考虑持续风险评估过程中确定的安全要求，将 ICS 划分为不同成熟度阶段运行的安全区域。

IEC 62443（以下简称“标准”）是由 ICS 专家为不同应用领域和行业的 ICS 所有者、制造商和集成商编写的一套 ICS 网络安全标准。该标准提供了开展 ICS 网络安全计划设计的建议和技术指南，以推动构建一种支持紧密协同的安全解决方案，该解决方案充分考虑了组织推进 ICS 网络安全计划过程中的不同成熟度阶段。该标准采用包含成熟度阶段的分步流程，概述了作为 ICS 网络安全计划一部分的生命周期方法。通过将 ICS 划分为安全区域，组织可在整个 ICS 环境中，从局部和全局的角度更好地关注与风险、漏洞和合规性相关的威胁缓解举措。

接下来，我们将共同探究该标准，详细了解其内容。

IEC 62443 概述

IEC 62443-3-2 根据风险评估将 ICS 组织划分为不同安全区域（Security Zones）和管道（Conduit）。该标准提供了有关如何选择或设计安全区域和管道以及如何确定安全等级（SL：Security Level）的相关指导。需采取某些对策来达成每个区域的 SL。典型的 ICS 所有者和运营商组织必须评估其现有安全控制与所确定的安全等级标准定义之间的差距。然后按SL1 到 SL4 为这些区域确定安全等级，如图 1 所示。

图 1. IEC62443安全等级

即便组织将其 ICS 环境化分为多个区域，所有区域之间的完美风险隔离通常无法实现，因为一个薄弱区域可能通过两种方式影响相邻区域。首先，薄弱区域内的服务或运营中断可能会级联到与这些服务有业务关联的其他区域。其次，由于通信路径可能存在于区域之间，一个区域被攻陷会使威胁横向传播至其他区域。为有效克服此类挑战，该标准引入了一种特殊类型的区域，称为“通信管道（Communications Conduit，以下简称“管道”）。

通过识别和分析这些管道内存在的通信信道，组织可明确区域内和区域间适当的通信保护等级。

IEC 62443 标准入门

该标准提供了建立 ICS 安全计划的完整流程，称为“ 网络安全管理系统（CSMS：cybersecurity management system）”。本文重点讨论 CSMS 各组成要素之间的高阶关系：风险分析、利用 CSMS 缓解风险以及监控和优化 CSMS。

如简介中所述，网络安全是帮助组织管理 ICS 环境风险的有效工具。这种管理需全盘了解风险，以便选择和部署有效的应对措施。标准中概述的过程包括许多步骤，但本文将重点介绍一些关键步骤。例如，高级风险评估将根据受损的 ICS 情况确定财务、运行健康状况、安全性和环境影响。这一关键步骤将帮助组织清晰了解每种风险被触发后可能产生的负面影响。掌握这些内容，组织即可基于每种风险创建优先级列表，帮助组织在环境漏洞评估期间或之后，集中精力和资源应对高危等级风险。组织面临的风险并非一成不变，可能因内部和外部影响随时发生变化。必须定期触发风险流程，以响应风险相关事件，如系统设计或功能的变化、新兴威胁和组织内部变化等。

CSMS 通过三种并行方法应对风险：安全策略和意识、安全对策和对策执行。在许多 ICS 网络安全活动中，安全策略和意识方法经常被忽视。实际而言，安全策略的存在不仅是为了确保人们的行为符合预期要求；还可用于帮助组织确保并维持已执行对策的有效性。例如，许多防火墙已部署至 ICS 网络，但之后却失去有效性，主要原因是组织未采取有效的对策执行以确保通过严格、可重复的流程部署和/或禁用安全规则。

鉴于业务或财务等多种因素影响，组织 ICS 环境中的部分系统可能处于不同的成熟阶段。如标准中所述，“组织可通过评估工业自动化和控制系统各阶段和步骤取得的成果，获得更详尽的安全成熟度评估。”表 1 列出了与该标准对应的成熟度阶段和步骤，以及已设定的假定风险缓解目标。

遵循 CSMS 可确保构建原生的紧密协同优势，最终优化 ICS 网络整体安全态势。