NO.57 | 2019.07.31
banner
title有備而來 友善列印>>
工業自動化系統資訊安全標準IEC 62443介紹_檢測暨網通技術組 董勁吾工程師

  工業自動化系統資訊安全標準IEC 62443所涵蓋之範圍相當廣泛,且會因人、事、時、地、物、環境與技術等而使得資訊安全的條件有所不同。如無合適的指引,該如何運用這些標準將成為難題。以下概要說明IEC62443應用範疇對應圖,及其保護範疇與適用標準:
  1. 資產擁有者(企業):適用62443-1-1、-2-1、-3-2、-3-3
  2. 系統整合者(工廠):適用62443-2-4、-3-2、-3-3
  3. 系統整合方案(產品面):適用 62443-4-1、-3-3
  4. 設備(產品面):適用 62443-4-1、-4-2
  5. 設備供應商:適用 62443-4-1
     

圖1:IEC 62443應用範疇
(資料來源:ISA,由本中心整理及註解)

  上述範疇中的第1、2項管理面,尚無核發驗證的機制;企業主及系統管理人可洽第三方工業自動化資安顧問公司,以獲得專業諮詢並提升資安等級,且可由第三方出具評估報告,以證明該企業為資安所做的努力。

  IEC 62443之標準屬於質化的要求,因此較難採用制式且量化的方式執行檢測驗證。為此,ISA設立了ISA安全符合性機構 (ISA Security Compliance Institute ,ISCI)管理一個名為ISASecure® 的驗證程序,並提供三個面向的驗證方案與指南:嵌入式裝置安全保障(Embedded Device Security Assurance, EDSA)、系統安全保障(System Security Assurance, SSA)與開發生命周期安全保障(Security Development Lifecycle Assurance, SDLA)。其內涵整理如下表:
 
驗證方案 驗證對象 主要安全規範
EDSA 設備 IEC 62443-4-1
IEC 62443-4-2
Communication Robustness Test Vulnerability Identification Test
SSA 系統 IEC 62443-3-3
IEC 62443-4-1
IEC 62443-4-2
Communication Robustness Test Vulnerability Identification Test
SDLA 供應商 IEC 62443-4-1
表 1:ISASecure驗證方案
(資料來源:ISASecure®、由本中心整理)

  目前通過 ISASecure® EDSA 驗證之產品均公佈於 ISASecure®的網頁上。通過驗證之產品製造商如ABB、Hitachi、  Honeywell、Shineider 等 10 間國際公司,其被驗證之產品包含有分散式系統控制器、場域設備控制器、管理器等共34項。自2011年至2016年間,每年約有2到4項產品通過認證,於2017年有6項產品通過認證,至2018年更增加為14項。可見產業界越來越重視IEC 62443的驗證需求。

結語

 「資訊安全」所給予我的第一印象,是需要瞭解一堆程式編碼與駭客技術;然而,實際研讀資訊安全管理的文章及資料後,體會其內涵實為一套風險管理的程序。透過「評估、導入、維護」的資安管理生命週期循環,不論資安環境和駭客技術如何演變,都可確保系統有一定的安全等級。