技術(shù)控 | 工控信息安全標(biāo)準(zhǔn)ISA/IEC 62443體系初探

DarkSide勒索軟件

震網(wǎng)(Stuxnet)病毒

　　信息安全

　　2021年5月初，美國最大的成品油管道運(yùn)營商之一Colonial Pipeline公司遭到DarkSide勒索軟件組織網(wǎng)絡(luò)攻擊，美國東海岸45%的燃油管道被迫關(guān)停，美國政府宣布進(jìn)入緊急狀態(tài)。這是美國首次因網(wǎng)絡(luò)攻擊宣布進(jìn)入緊急狀態(tài)。此次攻擊造成原油飆漲，經(jīng)濟(jì)損失巨大。

　　2021年第一季度，有14家工業(yè)企業(yè)和基礎(chǔ)設(shè)施運(yùn)營遭到網(wǎng)絡(luò)攻擊，是2020年第四季度的200%。

(數(shù)據(jù)和圖片來自關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心)

　　Part 01

　　工控信息安全

　　從以往的情況來看，勒索軟件組織重點(diǎn)攻擊對象是關(guān)鍵基礎(chǔ)設(shè)施，比如電力、能源、鐵路等重點(diǎn)行業(yè)的信息系統(tǒng)或者工業(yè)控制系統(tǒng)，一旦遭受攻擊，對國家政治經(jīng)濟(jì)和人民生命財(cái)產(chǎn)造成巨大影響。

　　隨著5G、大數(shù)據(jù)，云計(jì)算，物聯(lián)網(wǎng)等新技術(shù)的蓬勃發(fā)展，各個信息孤島已經(jīng)被打通，這時候信息安全的重要性不言而喻。中國在2019年開始實(shí)施等保2.0(網(wǎng)絡(luò)安全等級保護(hù)2.0制度)，從被動防御走向了主動防御，覆蓋了網(wǎng)絡(luò)信息安全和工控信息安全等等。

　　其中工業(yè)控制系統(tǒng)是基礎(chǔ)設(shè)施的重中之重，一旦遭到遠(yuǎn)程攻擊，輕則設(shè)備停止運(yùn)行，重則造成事故和災(zāi)難。典型事件就是伊朗鈾濃縮設(shè)備遭到震網(wǎng)病毒攻擊事件，這是ICS(工控信息安全)里程碑事件。

　　工控信息安全受到越來越多的重視，相關(guān)標(biāo)準(zhǔn)也隨之出爐。國際通行標(biāo)準(zhǔn)是ISA/IEC 62443，用于指導(dǎo)系統(tǒng)集成商、產(chǎn)品供應(yīng)商和服務(wù)供應(yīng)商等對自己的產(chǎn)品和服務(wù)進(jìn)行安全評估。

　　Part 02

　　ISA/IEC 6244體系

　　2007年，IEC/TC65/ WG 10與ISA 99成立聯(lián)合工作組，共同制定IEC 62443系列標(biāo)準(zhǔn)。2011年，IEC/TC65年會整合IEC 62443標(biāo)準(zhǔn)結(jié)構(gòu)，優(yōu)化標(biāo)準(zhǔn)體系，修改IEC 62443系列標(biāo)準(zhǔn)名稱為《工業(yè)過程測量、控制和自動化網(wǎng)絡(luò)與系統(tǒng)信息安全》。

　　ISA/IEC 62443系列標(biāo)準(zhǔn)分為四部分。

　　ISA/IEC 62443-1-*通用部分

　　主要是術(shù)語、概念和模型等,共分為四部分，已發(fā)布1-1。

　　# 1-1 術(shù)語、概念和模型

　　ISA/IEC 62443-2-*政策和法規(guī)

　　重點(diǎn)介紹與IACS (industrial automation and control systems) 安全相關(guān)的方法和過程。已發(fā)布2-1,2-3,2-4。

　　# 2-1: 建立IACS信息安全程序

　　# 2-3: IACS環(huán)境中的補(bǔ)丁管理

　　# 2-4: IACS服務(wù)供應(yīng)商認(rèn)證。

　　ISA/IEC 62443-3-*系統(tǒng)集成

　　重點(diǎn)介紹系統(tǒng)集成商在集成過程中對信息安全的技術(shù)要求、方法和信息安全保護(hù)等級的劃分等。共分為三部分，都已經(jīng)發(fā)布

　　3-1: 信息安全技術(shù)要求

　　3-2: 系統(tǒng)設(shè)計(jì)信息安全風(fēng)險評估

　　3-3: 系統(tǒng)安全要求和安全級別

　　ISA/IEC 62443-4-*元器件

　　該部分是關(guān)于供應(yīng)商對軟硬件等器件的信息安全技術(shù)要求。分為兩部分，都已經(jīng)發(fā)布。

　　# 4-1: 信息安全產(chǎn)品開發(fā)生命周期要求

　　# 4-2: IACS信息安全產(chǎn)品技術(shù)要求

　　綜上所述，ISA/IEC 62443標(biāo)準(zhǔn)涵蓋了從供應(yīng)商、系統(tǒng)集成商到用戶關(guān)于工控信息安全的要求，以實(shí)現(xiàn)全方位的保護(hù)。

　　Part 03

　　安全解決方案

　　菲尼克斯電氣很多工控產(chǎn)品已經(jīng)通過了IEC 62443多個部分的認(rèn)證，可為客戶提供定制化安全解決方案。

　　mGuard

　　菲尼克斯電氣提供專業(yè)的工控信息安全產(chǎn)品mGuard，可為工業(yè)網(wǎng)絡(luò)提供定制安全解決方案。菲尼克斯電氣堅(jiān)固耐用的工業(yè)安全裝置提供防火墻、路由和VPN功能，可防止惡意網(wǎng)絡(luò)襲擊和誤操作導(dǎo)致的故障。此外，它們還可通過公用網(wǎng)絡(luò)實(shí)現(xiàn)安全遠(yuǎn)程維護(hù)。

　　PLCnext

　　除了專門的工控信息安全產(chǎn)品外，菲尼克斯電氣PLCnext也通過了IEC 62443工控信息安全認(rèn)證。PLCnext控制器自帶nf-tables防火墻，并包含基于TPM專用可信平臺模塊。通過Linux配置即可實(shí)現(xiàn)VPN通訊，另外用戶在PLCnext上通過Web方式即可進(jìn)行防火墻、加密存儲、用戶權(quán)限管理等安全設(shè)置。

（轉(zhuǎn)載）