IEC62443工業自動化和控制系統（IACS）網絡安全認證

安全已成為所有行業領域中的一個至關重要的問題。隨著生活和工業數字化和自動化的發展，日益普及的物理網絡系統在交通、物流、電網、家居等更行業的應用，網絡病毒或惡意攻擊的威力和影響也隨之增加。21世紀以來，陸續發生了制造業、電網、工業領域以及醫療產業的網絡信息安全事件，讓許多網絡信息安全廠商紛紛針對重大民生基礎設施的網絡信息安全風險與因應策略投入研究。國際電工組織委員會自2013年開始陸續發布了IEC 62443的系列標準，國內制造廠商也被國際客戶或國內制造大廠要求需符合IEC 62443系列工控標準并取得證書，以減少工控網絡信息安全的風險。

IEC 62443 標準介紹：

2005年，國際自動化學會(International Society of Automation)ISA成立了ISA99 -工業自動化和控制系統安全委員會，負責制定工業自動化和控制系統 (Industry Automation & Control System)的網絡安全標準。2007年，ISA99與IEC TC 65 WG 10成立聯合工作組，共同制定并繼續開發ISA/IEC 62443系列標準和技術報告(Technical Report，TR)，并陸續發布了IEC 62443系列標準。2018年底，聯合國歐洲經濟委員會(UNECE)在其年會上確認，將把廣泛使用的ISA/IEC 62443系列納入其即將推出的網絡安全共同監管框架(CRF)。CRF將作為聯合國在歐洲的官方政策立場聲明，為歐盟貿易市場內的網絡安全實踐建立一個共同的立法基礎。IEC 62443 逐漸成為國際通行的工控網絡安全標準，并在不同工業行業和領域實現了應用。我國由也由全國工業過程測量和控制標準化技術委員會在開展相關標準的全國性標準化技術工作。

IEC 62443工業自動化和控制系統安全作為一個國際標準，全面涵蓋了自動化領域的信息安全問題，正逐步被越來越多的國際制造商、系統集成商、運維商、業主、設計單位所采用，以確保其產品、系統在整個生命周期中的網絡安全。為工廠運營商和設備制造商有效實施安全防護提供了方向性指導，IEC 62443 系列標準一共分為四個部分，共計十四個文檔。


第一部分描述了工業自動化和控制系統（IACS）信息安全的通用方面，如術語、概念、模型、縮略語、系統符合性度量及工控設備的安全生命周期。

第二部分描述了針對用戶的信息安全程序，主要包括建立IACS安全管理系統的要求、安全管理系統實施指南、環境中補丁更新管理 以及IACS 供應商的安裝和維護要求。

第三部分描述了針對系統集成商保護系統所需的技術性信息安全要求。它主要是系統集成商在把系統組裝到一起時需要處理的內容。包括將整體工業自動化控制系統設計分配到各個區域(Zone)和管道 (Conduit) 的方法，以及安全等級(Security Level)的定義和要求。

第四部分描述了針對制造商提供的單個部件的技術性信息安全要求。包括系統的硬件、軟件和信息部分，以及當開發或獲取這些類型的部件時需要考慮的特定技術性信息安全要求。

目前應用較多的子標準，介紹如下：

● IEC 62443-1-1：術語、概念和模型，該技術規范介紹了整個IEC 62443系列標準所使用的概念和模型，特別描述了IEC 62443系列標準所涉及的基礎要求，用來組織整個系列的技術要求。

● IEC 62443-2-1：建立工業自動化和控制系統安全程序，該國際標準規定了對IACS資產所有者的要求，如何實施安全有效的安全程序。安全程序必須適用于IACS安全操作的安全功能，這些安全功能的實施通常需要服務提供商和產品供應商的支持。然而，資產所有者仍然對IACS的安全負責。

● IEC 62443-2-4 IACS服務提供商的安全程序要求，該國際標準為集成或維護IACS相關的所有類型的服務提供商詳細規定了一套全面的安全能力要求。由于多數安全要求與具體行業和領域相關，該標準提供了“配置文件”的開發，可用于解決具體行業和領域特定環境的安全特征。

● IEC 62443-3-2 系統設計的安全風險評估，該國際標準規定了設計IACS系統的要求，將系統(SuC)劃分為區域(Zone)和管道(Conduit)，評估每個區域和管道的風險，并建立各自的目標安全等級。

● IEC 62443-3-3 系統安全要求和安全等級，該國際標準定義了適用于自動化和控制系統的網絡安全要求。這些安全要求基于IEC 62443-1-1中定義的7個基本要求(FR1-7)，包括①標識和鑒別控制；②使用控制；③系統完整性；④數據保密性；⑤受限的數據流；⑥對事件的及時響應；⑦資源可用性。IEC 62443-3-3中的安全等級(Security Level)是IEC 62443-3-2網絡安全風險評估的輸出。

● IEC 62443-4-1 安全產品的開發生命周期要求， 該國際標準描述了與工業自動化和控制系統環境中適用的產品、網絡安全有關的產品的開發生命周期要求。該標準中涉及的產品生命周期包括安全管理、安全需求、安全設計、安全實施、驗證和確認、缺陷管理、安全升級/補丁管理和安全指南等注意事項。

● IEC 62443-4-2 IACS組件的技術安全要求，該國際標準將IEC 62443-3-3中提出的安全要求和安全等級應用于IACS組件，這些組件類型包括應用軟件、嵌入式設備(如PLC)、網絡設備(如防火墻)、主機設備。該標準的目的是規定組件的安全能力，以減輕特定安全級別的威脅，而無需額外采取特定的安全補償措施和對策。

IEC 62443系列標準在工業自動化和控制系統 (IACS)整個生命周期中，采用基于風險的和基于設計安全的理念，以提高IACS系統的安全性、完整性、可用性和保密性。

IEC 62443系列標準，面向資產所有者、服務提供商、產品供應商，對工業自動化和控制系統(IACS)各層級的系統、產品及產品供應商所采用的安全開發生命周期進行安全要求，典型的如DCS、SCADA等IACS系統，以及應用軟件、嵌入式設備、網絡設備、主機設備等IACS組件。

同時，根據IEC 62443系列標準，我們將工業自動化和控制系統生命周期劃分為需求階段、設計階段、實施階段、驗證&確認階段、運行階段、維護階段以及退役階段。在應用IEC 62443 系列標準時，SGS工業服務工控網絡安全團隊建議，企業可以結合自身在工業自動化和控制系統生命周期的角色和職責，考慮標準的具體應用：


SGS 作為網絡安全的認證機構，支持安全產品開發、實施和集成安全功能和應用程序，以通過各種建議和測試來保護組件和通信。SGS 作為網絡安全的認證機構，支持您的開發、實施和集成安全功能和應用程序，通過各種建議和測試來保護產品和通信安全。SGS工業服務可針對制造、軌交，能源，石化等多個領域，提供預評估，測試，評估，認證等全面的網絡安全服務。基于工控網絡安全全球最佳應用和實踐標準IEC 62443，我們可提供如下全面的服務：

 SGS是國際公認的第三方檢驗、鑒定、測試和認證機構。
 依靠SGS全球功能安全&網絡信息安全的技術支持中心，SGS擁有60~70名功能安全專家，10+名以上網絡安全專家，超過百名的測試工程師，具有豐富的專業知識及實操案例。
 SGS工業服務部能為您提供快捷的服務，及時反饋您的需求。
 SGS作為整體服務供應商，能在全球市場支持產品開發，為產品整個系統和部件提供全生命周期服務。

1、功能安全認證及培訓
2、IEC61508 SIL（安全完整性等級）認證
3、功能安全人員資質證書培訓服務