工業(yè)物聯(lián)網(wǎng)（IIoT）技術(shù)是工業(yè)4.0革命的基礎(chǔ)。智能技術(shù)可提高生產(chǎn)力和效率，降低制造成本。然而，如果保護不當，智能技術(shù)的自動化性質(zhì)也會增加潛在的攻擊面。

每臺互聯(lián)設備都是攻擊者進入工業(yè)系統(tǒng)的潛在入口點。以勒索軟件為例。生產(chǎn)線停機造成的損失可能高達每分鐘數(shù)千美元。研究表明，如果勒索軟件網(wǎng)絡攻擊成功，超過一半的案例中支付了贖金，其中超過50%的案例至少支付50萬美元。同樣發(fā)生在這些工業(yè)領(lǐng)域的其他類型的網(wǎng)絡恐怖攻擊可能帶來災難性的環(huán)境影響，甚至造成人員傷亡。顯然，隨著全世界的數(shù)字化轉(zhuǎn)型，工業(yè)網(wǎng)絡安全領(lǐng)域變得非常重要。

IEC 62443的重要性和結(jié)構(gòu)

這就是IEC 62443的用武之地。IEC 62443是由安全專家制定的一套標準，旨在為工業(yè)自動化和控制系統(tǒng)（IACS）與操作技術(shù)（OT）環(huán)境的網(wǎng)絡安全提供基于風險的整體方法。IEC 62443標準廣泛適用，可應用于系統(tǒng)內(nèi)的組件或更精密的設備內(nèi)的嵌入式部件（例如單個微處理器）。然而，這套標準也介紹了如何保護整個系統(tǒng)和設施，包括工廠、加工廠、樓宇自動化系統(tǒng)、化學設施、醫(yī)療系統(tǒng)設施等。

IEC 62443標準有助于確保整個系統(tǒng)和設施的安全。

標準分為四個部分，每個部分分別涉及IACS和其他OT環(huán)境的安全問題。具體如下：

第一部分

定義了標準其他部分使用的術(shù)語、概念和模型。它為利益相關(guān)者在IACS生命周期的不同階段合作提供了共同的基礎(chǔ)。這部分定義的術(shù)語和概念支持相關(guān)方之間進行高效的溝通。

第二部分

介紹與IACS安全有關(guān)的方法和流程的角色和要求。它指定資產(chǎn)所有者如何建立IACS安全計劃、如何評估IACS的安全保護效果以及如何修補IACS。它還提出了集成商和維護服務提供商的安全計劃應支持的安全功能要求。

第三部分

重點介紹系統(tǒng)層面的網(wǎng)絡安全要求。它使用第一部分定義的區(qū)域和管道（zones and conduits）的概念?；诎踩L險將系統(tǒng)分為較小的區(qū)域，有助于重點保護系統(tǒng)風險最高的部分。風險水平取決于影響后果的嚴重程度。

第四部分

介紹安全開發(fā)組件的技術(shù)要求，以及每個組件的安全功能，旨在確保工業(yè)系統(tǒng)使用的產(chǎn)品能夠安全運行。除了定義組件的技術(shù)要求外，第四部分還描述了組件必須滿足的4個通用組件網(wǎng)絡安全約束（CCSC），以符合IEC 62443-4-2標準要求。CCSC 4規(guī)定，產(chǎn)品開發(fā)流程必須符合IEC 62443-4-1。

IEC 62443還描述了IACS系統(tǒng)所能達到的不同安全級別。對于每個安全級別，系統(tǒng)或組件都必須滿足一組特定的要求。最低級別SL0適用于不需要特殊保護的系統(tǒng)。相比之下，最高級別SL4則適用于需要使用復雜手段和擴展資源來防止蓄意安全違規(guī)行為的系統(tǒng)。例如，對于易受勒索軟件攻擊的系統(tǒng)而言，建議使用SL4。勒索軟件攻擊由具有高級設備或其他資源的專業(yè)黑客發(fā)起。

安全級別用于確定產(chǎn)品或組件是否滿足系統(tǒng)或系統(tǒng)內(nèi)部區(qū)域的安全需求。例如，符合SL2 62443-4-2的產(chǎn)品不能用于要求最低SL3安全級別的系統(tǒng)或系統(tǒng)內(nèi)的區(qū)域。這種依賴性可能會影響產(chǎn)品開發(fā)，因為使用需要SL3保護的系統(tǒng)的客戶會選擇符合SL3安全要求的產(chǎn)品或組件。

恩智浦為嵌入式系統(tǒng)提供可信的解決方案。了解有關(guān)保護工業(yè)物聯(lián)網(wǎng)的詳情，請下載并閱讀此白皮書>>

如何助力實現(xiàn)IEC 62443合規(guī)?

規(guī)劃和設計符合IEC 62443的產(chǎn)品可能既費時又費錢，因為它需要在網(wǎng)絡安全方面同時了解標準和產(chǎn)品。這意味著，開發(fā)人員需要從一開始就考慮安全性，并遵循安全設計模式?？墒褂梅袭a(chǎn)品安全相關(guān)要求的組件來加快這一流程。

恩智浦定義了一套安全原語 ，目的是在工業(yè)物聯(lián)網(wǎng)領(lǐng)域為安全術(shù)語建立共同基礎(chǔ)。文檔介紹了多個級別的安全功能，并闡述了一個框架，該框架允許開發(fā)人員以結(jié)構(gòu)化方式考慮其產(chǎn)品的安全需求。系統(tǒng)設計人員可使用此方法將認證和標準以及用例要求與產(chǎn)品功能一一對應，反之亦然。該框架幫助工程師選擇和整合滿足其要求的解決方案，同時自動實現(xiàn)IEC 62443-4-2合規(guī)。

除了幫助工程師找到符合其安全相關(guān)要求的組件外，恩智浦還在生產(chǎn)中積極踐行以安全為中心的文化，以提高工業(yè)物聯(lián)網(wǎng)安全。例如，恩智浦安全成熟度業(yè)務和事件響應流程已通過IEC 62443-4-1：安全產(chǎn)品開發(fā)生命周期要求的認證。恩智浦產(chǎn)品根據(jù)62443-4-1標準設計和開發(fā)，可集成到旨在符合62443-4-2的產(chǎn)品中，因為它們已經(jīng)滿足CCSC 4的要求。

使用符合產(chǎn)品安全相關(guān)要求的組件有助于實現(xiàn)IEC 62443合規(guī)性。

某些按照62443-4-1認證流程設計和開發(fā)的恩智浦產(chǎn)品具有滿足62443-4-2要求的安全功能。因此，只需集成恩智浦產(chǎn)品作為組件，旨在符合62443-4-2的產(chǎn)品便能夠滿足更新標準的各種要求。

我們名為《借助EdgeLock SE05x簡化ISA/IEC 62443合規(guī)流程》的應用筆記概要介紹了恩智浦產(chǎn)品如何幫助實現(xiàn)62443-4-2合規(guī)。點擊下載閱讀>>

此外，特定的恩智浦組件（如EdgeLock SE051安全元件）已通過62443-4-2（IACS組件的技術(shù)安全要求）認證。使用經(jīng)過認證的方法和組件有助于促進合規(guī)性，對于集成了這些組件的更復雜的最終產(chǎn)品而言尤為如此。

總而言之，工業(yè)4.0普及率與日俱增，這意味著網(wǎng)絡攻擊對每一家現(xiàn)代企業(yè)都是日益嚴重的威脅。這些網(wǎng)絡攻擊很常見，而恢復工作往往繁重、耗時長且成本高昂。IEC 62443是一套通用標準，旨在應對各種機構(gòu)（從工業(yè)設施到醫(yī)療使用場景）中不斷增加的網(wǎng)絡攻擊威脅。

為了幫助工程師達到IEC 62443合規(guī)，恩智浦提供了一個框架，將認證和標準以及用例要求與產(chǎn)品功能一一對應，反之亦然。此外，許多恩智浦生產(chǎn)工藝和設備已通過了IEC 62443認證，這進一步縮短了開發(fā)時間，并簡化了通過IEC 62443認證所需的工作。

如果您對此安全標準或工業(yè)物聯(lián)網(wǎng)的安全方面感興趣，希望了解有關(guān)IEC 62443工業(yè)網(wǎng)絡安全標準的更多信息, 可觀看視頻>>

▼▼▼

本文作者

Joppe W. Bos是恩智浦半導體公司技術(shù)總監(jiān)兼CTO機構(gòu)的密碼與安全能力中心（CCC&S）的譯碼員。他常駐比利時，是后量子密碼學團隊的技術(shù)負責人，擁有20多項專利，發(fā)表過50篇學術(shù)論文。他是IACR Cryptoology ePrint Archive的聯(lián)合編輯。

本文作者

Christine Cloostermans是恩智浦半導體公司CTO機構(gòu)的密碼與安全能力中心（CCC&S）的高級譯碼員。她在圖埃因霍溫大學（TU Eindhoven）獲得了基于晶格的密碼學相關(guān)的博士學位。Christine參與發(fā)布過10多篇科學文章，并發(fā)表過多場后量子密碼學領(lǐng)域的公開演講。除了PQC，她還積極參與多項標準化工作，包括工業(yè)領(lǐng)域的IEC 62443、移動駕駛執(zhí)照的ISO 18013以及連接標準聯(lián)盟的訪問控制工作組。

本文作者

Sara Aylin Buyruk是恩智浦半導體公司CTO機構(gòu)的密碼與安全能力中心（CCC&S）的成員。她現(xiàn)居荷蘭，擁有埃因霍溫理工大學（Eindhoven University of Technology）網(wǎng)絡安全碩士學位，從事工業(yè)和物聯(lián)網(wǎng)安全領(lǐng)域的工作。

本文作者

Daniel Kiraly是恩智浦半導體公司CTO機構(gòu)的密碼與安全能力中心（CCC&S）站點與流程認證安全經(jīng)理。他現(xiàn)居奧地利，負責確保多個站點和流程認證的合規(guī)性，包括ISO/IEC 62443-4-1、ISO/SAE 21434、TISAX和ISO 27001。他是經(jīng)過意大利IT安全認證機構(gòu)（OCSI）認證的合格評估員，并成功通過了德國聯(lián)邦信息安全局（BSI）的認證通用標準評估員考試。