• 晶片資安第一站

油水電基礎設施場域資安關鍵:IEC 62443 你一定要知道

口述:資策會資安所副主任 高傳凱/整理:曾華銳

  • IEC 62443 是什麼樣的安全標準?

IEC 62443的規範範疇專注於 ICS,也就是自動化控制系統。早期 ICS 只用於化學、電器這類工業開發、製造過程;但隨著應用領域逐漸擴張,如今它也成為油、水、電等等的關鍵基礎設施核心。

  • 為什麼我們要開始關注 OT 資安?

以往的資安標準都專注在 IT 領域,像是後台機房或雲端網路。然而,這些經驗與標準無法移植到 OT 資安,因為兩者抱持的理念與面對的情境並不相同。

比如說 OT 系統更注重可用性且設備壽命相當長,因此我們無法直接使用 IT 資安的控管方式。再者,若是 IT 資安遭遇威脅,通常只會產生經濟後果;OT 資安倘若發生事故,則可能影響生命安全,甚至是社會運作。

  • IEC 62443 如何估算安全性?

IEC 62443 是一個相對完整的資安標準。除了系統技術之外,它還涉及對於流程與員工的管理面要求。如果用座標系分析的話,IEC 62443 可分為安全技術強度的 X 軸與資安流程成熟度的 Y 軸;兩者綜合評比之後,才得出確切的資安等級。

等級一:具備避免內部人員誤操作而造成資安危害的能力

等級二:具備阻攔一般層級網路威脅者的能力(中小型企業)

等級三:具備防範職業駭客在刻意鎖定目標下所發動之攻擊的能力(大型企業)

等級四:具備不計成本、防堵一切攻擊的能力(關鍵基礎設施與重要政府單位)

在這麼複雜的情況下,資策會資安所將能量聚焦於控制系統的安全強度驗證。其中,資安所特別著重於資安檢測技術;也就是在控制系統技術給予廠商的輔導協助,並且提供 IEC62443 的測試認證服務。具體來說,我們透過透過安全功能測試、威脅環節測試、弱點測試跟滲透測試,來進行IEC62443的認證。

以台灣的現況來說,其實本土企業的資安技術都很高,只是通常都是不太清楚具體如何落實。這時資策會資安所的團隊便可根據我們多年經驗,協助實施防護方案。

  • IEC 62443 四大縱深測試簡述

我們根據 IEC62443 的縱深防禦精神,開發出從不同深度進行資安測試的方案。第一個是資安功能測試;簡單來說,這項測試就是單純測試系統是否導入符合規格的防護方案。接著,第二步是威脅緩解測試,也就是確認防護方案是否足以抵抗威脅。最後的兩個階段,分別是弱點測試與滲透測試;換言之,就是逐步以更貼近真實的情境進行模擬攻擊。

Share:
This site is registered on wpml.org as a development site.