引 言
在数字化转型的浪潮中,工业领域正经历着前所未有的变革与创新。随着智能制造、工业互联网等新兴技术的蓬勃发展,工业系统的复杂性和互联性日益增强,这为工业生产带来了前所未有的效率与灵活性。然而,与此同时,工业网络安全问题也日益凸显,成为制约工业高质量发展的关键瓶颈。
为了应对这一挑战,全球范围内涌现出了一系列工业网络安全标准,旨在通过规范化的安全要求和措施,提升工业系统的安全防护能力。其中,IEC 62443、中国网络安全等级保护(以下简称等保)以及CLC/TS 50701《铁路应用-网络安全》(以下简称CLC/TS 50701)各自具有独特的制定背景、目标定位及核心要素,为工业网络安全提供了坚实的理论基础和实践指导。
本文旨在通过对比分析这三大标准,揭示它们在保障工业网络安全方面的异同与优劣,为工业企业和网络安全专业人员提供有价值的参考与借鉴。通过深入探讨各标准的核心内容、适用范围及技术要求侧重点,本文将进一步探讨企业在选择和实施这些标准时应考虑的关键因素,以期为推动工业网络安全标准的落地与实施贡献力量。
标 准 概 述
01
IEC 62443标准概述
IEC 62443是一系列标准,根据工业物联网系统的技术、流程和用户的最佳实践来解决这些系统的网络安全问题。它为不同网络安全用例定义了不同的安全级别,规定了实施并维护电子安全工业自动化和控制系统的要求和流程,可以说是衡量工业网络安全的准绳。
如图1所示,IEC 62443标准共有四个部分。
图1 IEC62443系列标准的结构
IEC 62443-1描述了信息安全的通用方面,如术语、概念、模型、缩略语、符合性度量;
IEC 62443-2主要针对用户的信息安全程序,主要包括整改信息安全系统的管理、人员和程序设计方面,是用户建立其信息安全程序时需要考虑的;
IEC 62443-3主要针对系统集成商保护系统所需的技术性信息安全要求。它主要是系统集成商在把系统组装到一起时需要处理的内容。包括将整体工业自动化控制系统设计分配到各个区域和通道的方法,以及信息安全保障等级的定义和要求;
IEC 62443-4主要针对制造商提供的单个部件的技术性信息安全要求。包括系统的硬件、软件和信息部分,以及当开发或获取这些类型的部件时需要考虑的特定技术性信息安全要求。
02
等保标准概述
“等保”,即网络安全等级保护,是我国网络安全领域的基本国策、基本制度。早在2017年8月,公安部评估中心就根据网信办和信安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《信息安全技术 网络安全等级保护基本要求》一个标准。(GB/T 22239-2019代替 GB/T 22239-2008)该标准于2019年5月10日发布,于2019年12月1日开始实施。图2所示为具体等级保护发展历程。
图2 等级保护发展历程
03
CLC/TS 50701 标准概述
CLC/TS 50701 标准由欧洲电工标准化委员会铁路电气和电子应用技术委员会制定,适用于铁路通信及信号处理、收费库存和固定安装领域,为铁路部门提供模型与概念参考以管理安全威胁风险。其涵盖铁路系统多方面关键主题,如铁路系统概述、铁路应用生命周期中的网络安全、风险评估、安全设计、网络安全保证和系统验收、漏洞管理和安全补丁管理等。其在制定过程中参考了铁路安全相关方面标准的内容(EN 50126),并从不同的标准和文件(如IEC 62443-3-3,CSM-RA)中汲取经验,使其适应铁路环境,推动铁路网络安全建设,提升整体安全性与可靠性。如图3所示为CLC/TS 50701标准。
图3 CLC/TS 50701标准
相 同 点
如图4所示,IEC 62443、等保以及CLC/TS 50701三大标准相同点分别为:核心目标一致、强调风险管理、注重管理体系建设。
图4 三大标准相同点
不 同 点
1. 标准制定机构、发布及生效时间
标准 | 制定机构 | 发布及生效时间 |
IEC 62443 | 国际电工委员会(IEC) | IEC 62443 系列标准中的具体标准发布及生效时间各有不同。从2009年开始陆续发布,其中IEC TS 62443-1-5:2023 由国际电工委员会 IX-IEC 发布于 2023-09-15,并于2023-09-15 实施。 |
等 保 | 本标准由全国信息安全标准化技术委员会提出并归口,起草单位包括公安部第三研究所、国家能源局信息中心等单位 | 2019年5月10日发布等保2.0; 2019年12月1日,等保2.0标准正式实施。 |
CLC/TS 50701 | 欧洲电工标准化委员会下属的铁路电气和电子应用技术委员会 | 2021版本发布(生效)于2021年; 2023版本发布(生效)于2023年; 2024版本发布(生效)于2024年。 |
2. 适用范围
标准 | 适用范围 |
IEC62443 | 适用于全球范围内的各种工业场所。 |
等 保 | 适用于我国境内建设、运营、维护和使用的网络,包括基础信息网络、重要信息系统、云计算平台、大数据平台、物联网系统、工业控制系统等。 |
CLC/TS50701 | 主要适用于欧洲的铁路系统。 |
3. 安全等级
IEC 62443-3-3与GB/T 22239-2019标准的安全等级对比见下表,两者对不同安全等级的攻击行为和保障方式进行分级,对于受到损害后的系统,根据标准中不同安全等级要求,对系统受到损害后的恢复功能也有不同要求。而CLC/TS 50701信息安全要求参考IEC62443工控信息安全标准,同样提供了SL信息安全等级0~4。
安全 等级 | IEC 62443-3-3 | 安全 等级 | GB/T 22239-2019 |
SL0 | 没有特定或必须的信息安全保护要求。 | 第一级 | 没有特定或必须的信息安全保护要求。 |
SL1 | 防止随机或巧合的违规。 | 第二级 | 能够防护拥有少量资源的威胁源发起的恶意攻击,并能够恢复部分功能。 |
SL2 | 安全防护防止使用少量资源、通用技能、低动机的简单手段进行蓄意破坏。 | 第三级 | 能够防护拥有少量资源的威胁源发起的恶意攻击,并能够在一段时间内恢复部分功能。 |
SL3 | 安全防护防止使用一般资源、IACS专业技能、一般动机的复杂手段进行故意入侵。 | 第四级 | 能够防护拥有较为丰富资源的威胁源发起的恶意攻击,并能够较快恢复绝大部分功能。 |
SL4 | 安全防护防止使用扩展资源、IACS特殊技能、高动机的复杂手段进行故意入侵。 | 第五级 | 能够防护拥有丰富资源的威胁源发起的恶意攻击,并能够迅速恢复所有功能。 |
4. 技术要求侧重点
IEC 62443
技术要求侧重点及具体内容
侧重于工业自动化和控制系统的网络安全。
1
强调网络分段的区域和导管概念,通过划分不同安全要求的区域和区域间的链接来实施安全措施。
2
定义了安全级别(SL),并提供了确保 IACS 安全的结构化方法。
3
涉及系统级主题,如安全控制系统的设计、实现、验证、维护和更新等方面的要求。
4
涵盖了识别和认证控制(IAC)、使用控制(UC)、系统完整性(SI)、数据保密性、受限数据流、及时响应事件(TRE)、资源可用性(RA)等多个方面的技术要求。
5
对组件供应商有详细要求,如 IEC 62443-4-2 定义了组件必须满足的特定安全功能,包括考虑系统的总体安全特性、通过系统级的补偿措施满足组件自身无法达到的技术要求等。
等 保
技术要求侧重点及具体内容
全面覆盖多个层面的技术要求。
1
安全物理环境方面,注重机房等物理环境的防火、防水、防尘、防电磁干扰等措施。同时,对于工业控制系统,在物理环境上需考虑特殊工业场景下的环境适应性,如高温、高湿、强震动等恶劣环境下设备的稳定运行保障,并且对工业控制设备所在区域要有严格的访问管控,防止非授权人员接近关键工业控制物理设施。
2
安全通信网络要求确保网络传输的安全性,如加密通信、访问控制、入侵检测与防御等。在工业控制系统中,需保障工业网络通信协议的安全性与稳定性,防止针对工业专有协议的攻击与篡改,对工业网络中的无线通信部分要进行严格的加密与身份认证,确保工业网络与外部网络连接时的边界安全与数据过滤,防止外部恶意网络流量流入工业控制网络。
3
安全区域边界通过防火墙、入侵防御系统等实现内外网络的有效隔离和安全访问控制。对于工业控制系统安全扩展要求,要着重对工业控制网络内部不同安全区域的划分与隔离,例如生产管理区、过程控制区、现场设备区等之间的隔离与访问控制,采用工业级防火墙等设备,依据工业生产流程与安全需求制定精细的访问策略,防止区域间的越权访问与安全风险传播。
4
安全计算环境要求操作系统、数据库、中间件等具备安全配置、访问控制、恶意代码防范等能力。在工业控制系统里,工业控制设备的操作系统、嵌入式软件等要具备针对工业场景的安全加固措施,如实时性要求下的漏洞修复机制、对工业控制指令的合法性校验,对关键工业控制计算资源要有严格的访问权限管理,防止非法操作与恶意代码注入影响工业生产的正常运行。
5
安全管理中心的技术要求,强调对安全设备、安全事件等进行集中监控和管理。针对工业控制系统,安全管理中心要能够对工业控制网络中的各类安全设备如工业防火墙、入侵检测系统等进行统一管理与策略分发,对工业生产过程中的安全事件进行实时监测与深度分析,以便及时发现并处理工业控制系统中的安全隐患与异常行为,保障工业生产的连续性与稳定性。
CLC/TS 50701
技术要求侧重点及具体内容
基于 IEC 62443 系列标准,更具体地针对铁路环境。
1
提供铁路系统的特定模型和概念,以帮助识别、监督和管理安全威胁的剩余风险。
2
安全模型、概念和风险评估流程基于或源自 IEC 62443 系列标准,但与铁路应用生命周期流程相结合,明确了各个阶段的网络安全活动和交付成果。
3
引入 “网络安全论据” 的概念,与现有的安全论据有所区别。
4
针对轨道交通应用,对 IEC 62443-3-3 的七类功能需求进行了说明性的补充,并明确了实施主体(产品供应方、系统集成方、运营方)以及需求类别(技术或管理)。
5
涵盖铁路系统概述、生命周期中的网络安全、风险评估、安全要求、安全保证和系统验收、运营和维护要求等内容。在生命周期活动中,第 6 和第 7 阶段将依据 IEC 62443-4-1 和 IEC 62443-4-2 组件级标准,遵循 IEC 62443 的开发过程和技术要求。
6
信息安全风险评估接受准则采用铁路通用的风险接受准则,采用了 IEC 62443-3-2 的风险评估方法,先评估区域和管道本身的 SL 等级,若风险不可接受则考虑对抗措施。
7
参考架构方面,按照 IEC 62443 的区域和管道定义,根据业务不同区分不同的分区和管道,建立铁路安全分区和管道的直观认识。
总 结
在工业网络安全范畴内,IEC 62443、等保标准与 CLC/TS 50701 标准意义非凡、价值独特,共同塑造防护体系。
IEC 62443 具国际权威性,网络分段架构明晰安全域与交互准则,以科学定义助企业精准规划。全生命周期规范保障各阶段安全连贯优化,多元技术要求严密防护,对组件供应商严格规范提升系统整体安全性。
等保标准契合我国战略,于物理环境强化机房防护,通信网络确保传输安全,区域边界严控交互,计算环境加固核心组件,安全管理中心提升运维与应急效能,全方位守护关键资产。
CLC/TS 50701 聚焦铁路,依铁路生命周期定制规范。以专属模型把控风险,融合创新形成方法体系,明确各方职责,统一风险评估,构建特色架构保障运行安全与信息传输,推动铁路数字化转型与安全协同。
威努特公司始终秉持严谨态度,全面深入地钻研并遵守 IEC 62443标准、等保标准、CLC/TS 50701 标准以及关保标准(GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》)等信息安全标准,深度融合其核心理念与技术要求,匠心打造契合不同企业特质的工业网络安全解决方案。
威努特公司作为全国信息安全标准化技术委员会成员单位,全面牵头和参与国家网络安全顶层设计,牵头制定了GB∕T 42457-2023 《工业自动化和控制系统信息安全 产品安全开发生命周期要求》等标准。凭借对 IEC 62443 的国际化视野,对等保标准的深度本地化理解以及对 CLC/TS 50701 的铁路专业洞察,威努特精准剖析企业需求,为跨国巨头定制全球协同的安全防护策略,助其畅行国际市场;为本土关键企业筑牢符合法规的安全壁垒,稳固业务根基;为铁路企业铺设精准高效的安全轨道,驱动铁路数字化转型。
通过标准协同赋能,威努特持续助力工业企业优化安全体系,稳健驰骋于数字化转型浪潮,在激烈的竞争中稳占鳌头、引领发展。
渠道合作咨询 田先生 15611262709
稿件合作 微信:shushu12121
?发表于:中国 北京
