• 晶片資安第一站

工控資安標準 IEC 62443 導入經驗談

口述:漢德資深技術經理 林正偉/整理:曾華銳

  • IEC 62443 標準概況

IEC 62443是一個很龐大的標準,轄下有非常多的子標準。那它又可以分成四個子章節。目前台灣標檢局也正在積極針對這些標準進行解讀,並且各位有可能在接下來會看到相關標準在台灣發行。

除此之外,IEC 62443 仍有相當的部分尚未完成、發行。因此未來幾年內在工控資安領域,各位還可以看到非常多的標準陸續公告出來。

  • 導入經驗:資產擁有者

就如同前面提到的 IEC 62443 是很大的一套標準;其中的子章節針對不同的角色,有各自適用的部分。

第一個是資產擁有者。所謂的資產擁有者就是場域的擁有者,比方我擁有一座工廠、一個電廠或一個油廠。針對這個場域,我就應該要有工控資安的標準、相關要項需要遵守。

針對資產擁有者,他必須遵守 62443-2-1 ,也就是所謂的管理系統。進一步來說,他需要針對工控系統準備一個類似於 IT 產業常見的資訊安全管理系統(ISMS)類似的系統。

其次,假設你是資產擁有者,你需要針對自己場域的設備做一些服務的時候,比方說子公司為母公司提供部署或是維運服務的工作,那也必須遵守 62443-2-4。同時,在自建這類的場域的時候,你額外需要參考的一份技術標準,就是 62443-3-2;它是透過風險分析,將場域網路標識出不同的網路區段,達到創造縱深防禦的目的。

而在 62443-2-1 裡面,它設定了很大的一個資安管理系統(CSMS)框架。不過,事實上它就是一個簡單的 P-D-C-A 結構。也就是說,透過簡單的風險分析,資產擁有者需要建構管理系統、相關流程,以及要重視的項目,並且去實作、監控、稽核與改良。因此,所以 62443-2-1 所謂的 CSMS 要求規範,跟傳統 ISMS 基本上雷同。因此,假設對於有導入 ISMS 經驗的企業來說,在導入 CSMS 的作業也會非常的熟悉。

  • 導入經驗:服務提供商

第二個角色是服務提供商。這個角色基本上提供部署的服務:他們把所謂的工控設備導入到現場,並提供導入部署以及後續的維修、維運服務。在這樣的情況之下,他們首先需要適用的是 62443-2-4,也就是針對工控場域調整的 ISMS 類服務規範。

其次,因為導入場域的生產流程設備必須要符合一定的安全要求,這部份就對應到 62443-3-3 的規定。而若服務提供商的業務是協助網路佈建、區隔與分析,則需要額外參考 62443-3-2。最後,服務提供商應依據 62443-2-4 的服務流程去部署產線與設備,確認部署是否符合安全要求。

以下是服務提供商他在 62443-2-4 需要遵守的各大面向;其中,在「架構」、「安全儀表系統」跟「組態管理」的部分就是在針對工控場域的特殊架構需要特別去注意的地方。因為在佈建網路的時候,這個架構跟傳統的 IT 是不一樣的。

其次,安全儀表系統 SIS ,就是負責安全(Safety)因素控制的部分。比方説發生災難的時候,監測裝置必須要告警,並且要截斷控制閥的相關系統。那這樣的系統不能跟其他系統介接,而這種特殊的 SIS 也是工控領域裡面的特殊概念。另外一個是我們的組態設定。因為不同工控設備的設定是跟它在 ISMS 裡面是有差異的。所以以上這三個項目特別標示出來,是為了讓各位清楚知道,同樣是在做服務流程,但是在傳統的 IT 資訊安全, 跟OT 資訊安全其實考量重點並不完全相同。

  • 導入經驗:產品供應(開發)商

最後是所謂的產品供應(開發)商。台灣開發了許多產品輸出國際,所以我們有非常多的大型企業,甚至中小型企業一直以來在做的是就是產品供應者這樣子的角色,當然身為一個產品的供應者、開發者,你必然需要有一套開發流程需要遵守,以及產品必須符合一定的安全要求。

開發商首先需要遵守的是一套產品開發的作業流程個我們稱之為 62443-4-1 管理流程開發。進一步來說,依照業務範圍的不同,需要參照的標準也略有差異。若企業開發的是大系統,要參考 62443-3-3;而若企業開發的是大系統裡面的零組件,則需要遵守的是 62443-4-2。

下圖是 62443-4-1 的標準開發流程。各位可以看到中間形成一個V字的形狀。這個V形在講的是產品的重要開發過程:從需求到架構、架構如何被實現,乃至於如何被測試。

這之所以特別重要,是因為近年歐美一直著墨於開發流程。這個目的在於透過開發流程的要求規範,破除黑箱測試結果的資訊不透明性,得到更加確實、可驗證、可追溯的結果與安全性。這也是目前台灣在開發流程中最弱的環節。這並不是說台灣不會開發,而是我們不善於留存開發過程的證據,乃至於互相勾稽。因此,在解讀 IEC 62443 標準的時候 ─ 尤其是開發流程標準 ─ 要很需要去確定每一個環節是否存在一定的追溯性。

  • 安全標準與安全等級

IEC 62443 將安全要求分為四大等級(SL 1-4),而不同的安全等級對應的需求也會有所不同。下表是關於 62443-3-3,也就是針對大系統的安全要求 ─ 安全等級對應表。你可以在確定開發系統是屬於哪一個安全等級之後,再來對照應該要實作的安全需求。

若將同樣的概念帶入 62443-4-2,由於它從系統要求往下延展到組件的要求,所以會進一步分成四個部分,分別是:軟體應用程式、嵌入式系統、主控設備,以及網路設備。針對這四種組件,它又有額外延伸的要求,可以從下表參考。

  • 認驗證

在 2020 年之後 IEC 62443 的發證數量開始爆炸性成長。而隨著越來越多的業界供應鏈開始相繼提出資安要求,相信 IEC 62443 的發證成長力道在接下來的五年內仍不會停歇。

在這樣的趨勢下,目前業界有三種認證管道可供選擇。第一個是 ISCI 的 ISA Secure  認證;第二個是 IEC 認證,第三個就是一般驗證單位,它們也可以提出所謂的合規實驗室所屬相關的驗證。

從上圖可以看到,ISA Secure 可以驗證的是紅色匡列的三個標準;IEC 則是黃色框列的四個標準;一般合規實驗室最多可以驗證的標準達到六個。由於不同單位所能驗證的標準是不同的,因此投入驗證之前建議先釐清企業預計打入的市場所需要的規範,再去找可以處理相應標準的驗證單位完成驗證。

Share:
This site is registered on wpml.org as a development site.