IEC 62443标准_工控安全

IEC 62443标准综述
一、工业安全分为三类：功能安全（Functional Satety），物理安全(Physical Satety)，信息安全(Security)
二、ISO/IEC27002对信息安全的定义是：保持信息的保密性、完整性、可用性。

IEC62443针对工控系统信息安全的定义是：A、保护系统所采取的措施；B、由建立和维护保护系统的措施所得到的系统状态；C、能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失。

D、基于计算机系统的能力，能够保证非授权人员和系统既无法修改软件及其数据也无法访问系统功能，却保证授权人员和系统不被阻止；E、防止对工控系统的非法或有害入侵，或者干扰其正确和计划的操作。

三、工控系统实时性要求响应时间大多在1ms以内；IT系统通常在1s或数秒之内。

四、2011年5月，IEC 62443由最初的《工业通信网络与系统信息安全》改为《工业过程测量、控制和自动化网络与系统信息安全》
五、IEC 62443标准分为四个部分，12个文档。

第一部分描述了信息安全的通用方面，如术语、概念、模型、缩略语、符合性度量。

第二部分主要针对用户的信息安全程序。

主要包括整改信息安全系统的管理、人员和程序设计方面，是用户建立其信息安全程序是需要考虑的。

第三部分主要针对系统集成商保护系统所需的技术性信息
安全要求。

它主要是系统集成商在把系统组装到一起是需要处理的内容。

包括将整体工业自动化控制系统设计分配到各个区域和通道的方法，以及信息安全保障等级的定义和要求。

第四部分：主要针对制造商提供的单个部件的技术性信息安全要求。

包括系统的硬件、软件和信息部分，以及当开发或获取这些类型的部件时需要考虑的特定技术性信息安全要求。

总之，IEC62443标准通过四个部分，对资产所有者、系统集成商、组件供应商进行了相关信息安全的要求。

IEC 62443-3-3
工业过程测量、控制和自动化网络与系统信息安全》（IEC 62443）是针对工业自动化和工业安全的系列标准，指导系统集成商、产品提供商和服务提供商对他们的产品和服务进行安全性评估。

该系列标准由IEC TC65下属的WG13负责制定，主要参考了ISA99委员会的ISA99系列标准。

IEC 62443系列标准分为4个类：概述、信息安全规程、系统技术和组件技术。

IEC 62443 3-3是该系列标准第三类的第三部分，描述了7个基本（安全）需求：标识与鉴别控制（IAC）；用户控制（UC）；数据完整性（DI）；数据保密性（DC）；受限制的数据流（RDF）；事件实时响应（TRE）；资源可用性（RA）。

该部分还描述了系统的4个安全保障等级：
SAL1：抵御某些具有偶然性或巧合性的威胁攻击；
SAL2：抵御简单的故意性威胁攻击，该威胁攻击具有通用方法，使用低资源并具有低动因的特点；
SAL3：抵御复杂的故意性威胁攻击，该威胁攻击采用系统性特定的方法，使用中等资源并具有中动因的特点；
SAL4：抵御复杂的故意性威胁攻击，该威胁攻击采用系统性特定的方法，使用扩展性资源并具有高动因的特点。

IEC 62443是根据系统能抵御威胁的能力来划分等级。

IEC62443 3-3引入了“管道”（conduit）的概念，将一个工控系统划分为多个区域，对不同区域提出不同的SAL。

在表示一个系统信息安全等级时，并不采用一个简单的数字（eg：一级、二级等），而是采用一个7维的向量（SAL(IAC), SAL(UC), SAL(DI), SAL(DC), SAL(RDF), SAL(TRE), SAL(RA)），这样可以有效地反映该工控系统在不同方面的信息安全需求，选择相对应的有效的解决方案。

IEC 62443系列标准对我国工业控制系统的信息安全保障和评估具有重要的参考价值。

工控安全建设步骤：
1、对工业控制系统进行通过分析，评估工业控制系统面临的风险。

2、制定针对工业控制系统安全建设的策略、计划、方案等。

3、对相关人员进行技术和方案的培训。

4、对工业控制系统进行分区、分域。

5、对工业控制系统的访问进行控制。

（产品特性，旅客wifi上网，需要做哪方面的认证）
6、对工业控制系统进行安全配置。

7、持续监控和维护工业控制系统安全。