大家2024年好。
以下内容是「OT安全新态势」系列的终篇。IEC62443标准的话题说起来不属于“新态势”范畴,我们将其作为知识点深入了解以及在工控系统安全中参考时,它是新且活的。同时推荐下载文末「通过IEC62443 标准实现有效的 ICS 网络安全」。
IEC62443 是确保工业自动化和控制系统(IACS)网络安全的关键标准,其整体性和结构化方法涵盖了从风险评估、安全运营、管理策略到技术要求的方方面面,使其成为IACS运营指南。随着网络安全威胁不断复杂化,IEC62443提供的原则和指南对于保护关键工业基础设施和工业控制系统仍然至关重要。
IEC62443标准的目标使用者主要面向工业自动化领域的工业设施运营商、系统集成商、产品供应商和服务提供商,适用于各个行业包括制造、能源、公共事业、水处理和运输等。作为工控系统的使用者,可以要求集成商与产品供应商提供的产品符合IEC62443,过滤产品与系统的选择;作为产品供应商同样可以提供符合IEC62443标准安全开发周期的产品,加速产品与服务在最终工控系统使用者侧的采购与部署,系统集成商也可以依赖该标准来开发及集成符合工控使用者的产品。
IEC62443标准架构概览
IEC62443标准提供了开展 ICS 网络安全计划设计的建议和技术指南,以推动构建一种支持紧密协同的安全解决方案,架构上分为四个部分:
通则 (62443-1-x)
● 基本概念:建立与 IEC62443 系列相关的定义、概念和模型。
策略与程序 (62443-2-x)
● 建立工业网络安全管理系统 (CSMS):有关建立和维护 CSMS 的指导。
● 风险评估和风险管理:识别、评估和管理网络安全风险的方法。
系统设计 (62443-3-x)
● 系统安全要求和级别:详细说明保护 IACS 组件和系统的具体要求。
● 系统安全合规性指标:概述了评估安全控制有效性的指标和合规性措施。
组件要求 (62443-4-x)
● 产品开发生命周期要求:概述了 IACS 产品安全开发的最佳实践。
● IACS 组件的技术安全要求:指定 IACS 内各个组件的技术要求。
IEC62443标准的关键概念
IEC62443-3-2 根据风险评估将工控系统划分为不同安全区域(Security Zones)和管道(Conduit),用于对IACS网络进行分段以及对网络访问进行控制,并提供了有关如何选择或设计安全区域和管道以及如何确定安全等级(SL:Security Level)的相关指导.
安全级别(SL1-SL4)代表了不同程度的安全措施强度,以防御不同水平的威胁。基于安全级别引出了具体的要求(Requests),要求是为满足安全级别SL而生,有三类分别是基本要求(Foundational Requests)、系统要求(System Requests)与增强要求(ER:Enhancement Requests)。基础要求FR是一组基本的安全措施,身份验证、访问控制、数据完整性、数据机密性、限制数据流、及时响应事件、资源可用性等,用于保护工控系统免受网络攻击的影响。系统要求SR是实现特定FR的具体技术和程序要求。增强要求ER是对特定FR或SR的补充或增强,用于提供更高级别的保护。工控系统所有者和运营商组织须评估其现有安全控制系统与安全等级标准定义之间的差距。
而安全级别与需求,正是IEC62443中“深度防御战略”关键概念的具体体现,通过评估安全级别并执行需求,从而达成深度防御的核心原则:分层网络防御、安全域网络分段、最小权限的网络访问权限、建立安全事件的快速响应机制,保持网络的弹性、持续保持对工控网络的监控。
同时,提出了生命周期的管理方法,强调工控系统从设计和开发到退役的生命周期的各个阶段考虑网络安全的重要性。
IEC62443标准与其他标准与框架的集成与互补
IEC62443 获得全球认可,并经常在监管和特定行业的网络安全框架中引用。因其足够灵活,可以应用于不同的工业环境,并适应不断变化的网络安全威胁。
IEC62443可以与其他标准结合使用,例如ISO27001,以实现全面的网络安全策略。IEC62443专注在工业控制系统安全,ISO27001专注在信息安全管理体系,虽然服务于不同的领域,有效地集成可提供更全面的安全策略,组织可以更全面地保护其信息资产和工业控制系统,从而建立一个更强大、更灵活的安全管理体系。两者都强调基于风险的方法来确定安全措施,更加全面地识别和管理风险。ISO27001提供了关于安全策略、流程和程序的广泛指导,这些被应用于ICS环境中,同时结合IEC62443对于特定ICS安全措施的具体要求。
普渡模型(Purdue Model)被视为IEC62443标准的参考架构,普渡模型提供了组织工业网络和流程的结构框架,而 IEC62443 提供了保护这些网络和流程免受网络安全威胁的标准和指南。通过将IEC62443 标准集成到普渡模型中,组织可以实现更强大、分层和全面的网络安全态势,以满足工业环境的独特需求。
基于IEC62443标准与普渡模型框架,Fortinet产品与方案映射
Fortinet的OT/ICS安全解决方案在满足IEC62443标准方面展示了广泛的兼容性。Fortinet的不同产品可以覆盖符合IEC62443标准功能要求(FR)的1至7,包括识别与认证控制、使用控制、系统完整性、数据保密、受限数据流、及时事件响应与资源可用性。
从普渡模型(Purdue Model)的框架来看,Fortinet 工控安全解决方案与产品同样得以覆盖。参照Purdue模型,将不同的设备进行分层在0-5的不同的层级上,它可能涉及到不同的一些工厂里面运行基础的设备,Fortinet的解决方案,是聚焦在2.5、3.5以及5.5层。
例如,3.5层通常认为是IT和OT边界的位置,这个位置通常来说非常的重要,是很多用户要做工控网络的第一步,Fortinet认为这是OT和IT网络的边界,在边界的位置,我们需要部署很多安全的解决方案,来发现和控制风险。
下沉到2.5的部分,是我们通常说的ICS,就是整个工业控制的边界。这个部分通常就是一个纯ICS的部分,这个部分里面,前面有提到像3.5的部分我们更关注的是南北向出入的流量的管控。在2.5边界的部分,我们更关注OT网络里面东西向流量之间的一些分布,在这一块我们也可以不仅仅是对南北向的流量,也可以对东西向的流量进行相应的管控。
IEC62443标准与普渡模型具有兼容性和互补性。IEC62443 中安全域和管道的概念用于分段和保护网络系统,这可以直接应用于普渡模型的分层架构,其中每一层(或一组层)都可以被视为一个单独的安全区域。普渡模型的分层结构天然支持纵深防御策略,这也是 IEC62443的关键原则,在普渡模型的不同级别应用多层安全控制,以实现深度防御。
扫描二维码下载白皮书
通过IEC 62443 标准实现有效的 ICS 网络安全
顺附上视频「白话IEC62443」
40分钟全面了解
IEC62443标准关键概念与架构内容
视频来源:https://www.youtube.com/watch?v=UNTmKT36cXQ&t=1281s
