工业物联网(IIoT)技术是工业4.0革命的基础。智能技术可提高生产力和效率,降低制造成本。然而,如果保护不当,智能技术的自动化性质也会增加潜在的攻击面。
每台互联设备都是攻击者进入工业系统的潜在入口点。以勒索软件为例。生产线停机造成的损失可能高达每分钟数千美元。研究表明,如果勒索软件网络攻击成功,超过一半的案例中支付了赎金,其中超过50%的案例至少支付50万美元。同样发生在这些工业领域的其他类型的网络恐怖攻击可能带来灾难性的环境影响,甚至造成人员伤亡。显然,随着全世界的数字化转型,工业网络安全领域变得非常重要。
IEC 62443的重要性和结构
这就是IEC 62443的用武之地。IEC 62443是由安全专家制定的一套标准,旨在为工业自动化和控制系统(IACS)与操作技术(OT)环境的网络安全提供基于风险的整体方法。IEC 62443标准广泛适用,可应用于系统内的组件或更精密的设备内的嵌入式部件(例如单个微处理器)。然而,这套标准也介绍了如何保护整个系统和设施,包括工厂、加工厂、楼宇自动化系统、化学设施、医疗系统设施等。
IEC 62443标准有助于确保整个系统和设施的安全。
标准分为四个部分,每个部分分别涉及IACS和其他OT环境的安全问题。具体如下:
第一部分
定义了标准其他部分使用的术语、概念和模型。它为利益相关者在IACS生命周期的不同阶段合作提供了共同的基础。这部分定义的术语和概念支持相关方之间进行高效的沟通。
第二部分
介绍与IACS安全有关的方法和流程的角色和要求。它指定资产所有者如何建立IACS安全计划、如何评估IACS的安全保护效果以及如何修补IACS。它还提出了集成商和维护服务提供商的安全计划应支持的安全功能要求。
第三部分
重点介绍系统层面的网络安全要求。它使用第一部分定义的区域和管道(zones and conduits)的概念。基于安全风险将系统分为较小的区域,有助于重点保护系统风险最高的部分。风险水平取决于影响后果的严重程度。
第四部分
介绍安全开发组件的技术要求,以及每个组件的安全功能,旨在确保工业系统使用的产品能够安全运行。除了定义组件的技术要求外,第四部分还描述了组件必须满足的4个通用组件网络安全约束(CCSC),以符合IEC 62443-4-2标准要求。CCSC 4规定,产品开发流程必须符合IEC 62443-4-1。
IEC 62443还描述了IACS系统所能达到的不同安全级别。对于每个安全级别,系统或组件都必须满足一组特定的要求。最低级别SL0适用于不需要特殊保护的系统。相比之下,最高级别SL4则适用于需要使用复杂手段和扩展资源来防止蓄意安全违规行为的系统。例如,对于易受勒索软件攻击的系统而言,建议使用SL4。勒索软件攻击由具有高级设备或其他资源的专业黑客发起。
安全级别用于确定产品或组件是否满足系统或系统内部区域的安全需求。例如,符合SL2 62443-4-2的产品不能用于要求最低SL3安全级别的系统或系统内的区域。这种依赖性可能会影响产品开发,因为使用需要SL3保护的系统的客户会选择符合SL3安全要求的产品或组件。
恩智浦为嵌入式系统提供可信的解决方案。了解有关保护工业物联网的详情,请下载并阅读此白皮书>>
如何助力实现IEC 62443合规?
规划和设计符合IEC 62443的产品可能既费时又费钱,因为它需要在网络安全方面同时了解标准和产品。这意味着,开发人员需要从一开始就考虑安全性,并遵循安全设计模式。可使用符合产品安全相关要求的组件来加快这一流程。
恩智浦定义了一套安全原语 ,目的是在工业物联网领域为安全术语建立共同基础。文档介绍了多个级别的安全功能,并阐述了一个框架,该框架允许开发人员以结构化方式考虑其产品的安全需求。系统设计人员可使用此方法将认证和标准以及用例要求与产品功能一一对应,反之亦然。该框架帮助工程师选择和整合满足其要求的解决方案,同时自动实现IEC 62443-4-2合规。
除了帮助工程师找到符合其安全相关要求的组件外,恩智浦还在生产中积极践行以安全为中心的文化,以提高工业物联网安全。例如,恩智浦安全成熟度业务和事件响应流程已通过IEC 62443-4-1:安全产品开发生命周期要求的认证。恩智浦产品根据62443-4-1标准设计和开发,可集成到旨在符合62443-4-2的产品中,因为它们已经满足CCSC 4的要求。
使用符合产品安全相关要求的组件有助于实现IEC 62443合规性。
某些按照62443-4-1认证流程设计和开发的恩智浦产品具有满足62443-4-2要求的安全功能。因此,只需集成恩智浦产品作为组件,旨在符合62443-4-2的产品便能够满足更新标准的各种要求。
我们名为《借助EdgeLock SE05x简化ISA/IEC 62443合规流程》的应用笔记概要介绍了恩智浦产品如何帮助实现62443-4-2合规。点击下载阅读>>
此外,特定的恩智浦组件(如EdgeLock SE051安全元件)已通过62443-4-2(IACS组件的技术安全要求)认证。使用经过认证的方法和组件有助于促进合规性,对于集成了这些组件的更复杂的最终产品而言尤为如此。
总而言之,工业4.0普及率与日俱增,这意味着网络攻击对每一家现代企业都是日益严重的威胁。这些网络攻击很常见,而恢复工作往往繁重、耗时长且成本高昂。IEC 62443是一套通用标准,旨在应对各种机构(从工业设施到医疗使用场景)中不断增加的网络攻击威胁。
为了帮助工程师达到IEC 62443合规,恩智浦提供了一个框架,将认证和标准以及用例要求与产品功能一一对应,反之亦然。此外,许多恩智浦生产工艺和设备已通过了IEC 62443认证,这进一步缩短了开发时间,并简化了通过IEC 62443认证所需的工作。
▼▼▼
本文作者
Joppe W. Bos是恩智浦半导体公司技术总监兼CTO机构的密码与安全能力中心(CCC&S)的译码员。他常驻比利时,是后量子密码学团队的技术负责人,拥有20多项专利,发表过50篇学术论文。他是IACR Cryptoology ePrint Archive的联合编辑。
本文作者
Christine Cloostermans是恩智浦半导体公司CTO机构的密码与安全能力中心(CCC&S)的高级译码员。她在图埃因霍温大学(TU Eindhoven)获得了基于晶格的密码学相关的博士学位。Christine参与发布过10多篇科学文章,并发表过多场后量子密码学领域的公开演讲。除了PQC,她还积极参与多项标准化工作,包括工业领域的IEC 62443、移动驾驶执照的ISO 18013以及连接标准联盟的访问控制工作组。
本文作者
Sara Aylin Buyruk是恩智浦半导体公司CTO机构的密码与安全能力中心(CCC&S)的成员。她现居荷兰,拥有埃因霍温理工大学(Eindhoven University of Technology)网络安全硕士学位,从事工业和物联网安全领域的工作。
本文作者
Daniel Kiraly是恩智浦半导体公司CTO机构的密码与安全能力中心(CCC&S)站点与流程认证安全经理。他现居奥地利,负责确保多个站点和流程认证的合规性,包括ISO/IEC 62443-4-1、ISO/SAE 21434、TISAX和ISO 27001。他是经过意大利IT安全认证机构(OCSI)认证的合格评估员,并成功通过了德国联邦信息安全局(BSI)的认证通用标准评估员考试。
