IEC62443工业自动化和控制系统（IACS）网络安全认证

安全已成为所有行业领域中的一个至关重要的问题。随着生活和工业数字化和自动化的发展，日益普及的物理网络系统在交通、物流、电网、家居等更行业的应用，网络病毒或恶意攻击的威力和影响也随之增加。21世纪以来，陆续发生了制造业、电网、工业领域以及医疗产业的网络信息安全事件，让许多网络信息安全厂商纷纷针对重大民生基础设施的网络信息安全风险与因应策略投入研究。国际电工组织委员会自2013年开始陆续发布了IEC 62443的系列标准，国内制造厂商也被国际客户或国内制造大厂要求需符合IEC 62443系列工控标准并取得证书，以减少工控网络信息安全的风险。

IEC 62443 标准介绍：

2005年，国际自动化学会(International Society of Automation)ISA成立了ISA99 -工业自动化和控制系统安全委员会，负责制定工业自动化和控制系统 (Industry Automation & Control System)的网络安全标准。2007年，ISA99与IEC TC 65 WG 10成立联合工作组，共同制定并继续开发ISA/IEC 62443系列标准和技术报告(Technical Report，TR)，并陆续发布了IEC 62443系列标准。2018年底，联合国欧洲经济委员会(UNECE)在其年会上确认，将把广泛使用的ISA/IEC 62443系列纳入其即将推出的网络安全共同监管框架(CRF)。CRF将作为联合国在欧洲的官方政策立场声明，为欧盟贸易市场内的网络安全实践建立一个共同的立法基础。IEC 62443 逐渐成为国际通行的工控网络安全标准，并在不同工业行业和领域实现了应用。我国由也由全国工业过程测量和控制标准化技术委员会在开展相关标准的全国性标准化技术工作。

IEC 62443工业自动化和控制系统安全作为一个国际标准，全面涵盖了自动化领域的信息安全问题，正逐步被越来越多的国际制造商、系统集成商、运维商、业主、设计单位所采用，以确保其产品、系统在整个生命周期中的网络安全。为工厂运营商和设备制造商有效实施安全防护提供了方向性指导，IEC 62443 系列标准一共分为四个部分，共计十四个文档。


第一部分描述了工业自动化和控制系统（IACS）信息安全的通用方面，如术语、概念、模型、缩略语、系统符合性度量及工控设备的安全生命周期。

第二部分描述了针对用户的信息安全程序，主要包括建立IACS安全管理系统的要求、安全管理系统实施指南、环境中补丁更新管理 以及IACS 供应商的安装和维护要求。

第三部分描述了针对系统集成商保护系统所需的技术性信息安全要求。它主要是系统集成商在把系统组装到一起时需要处理的内容。包括将整体工业自动化控制系统设计分配到各个区域(Zone)和管道 (Conduit) 的方法，以及安全等级(Security Level)的定义和要求。

第四部分描述了针对制造商提供的单个部件的技术性信息安全要求。包括系统的硬件、软件和信息部分，以及当开发或获取这些类型的部件时需要考虑的特定技术性信息安全要求。

目前应用较多的子标准，介绍如下：

● IEC 62443-1-1：术语、概念和模型，该技术规范介绍了整个IEC 62443系列标准所使用的概念和模型，特别描述了IEC 62443系列标准所涉及的基础要求，用来组织整个系列的技术要求。

● IEC 62443-2-1：建立工业自动化和控制系统安全程序，该国际标准规定了对IACS资产所有者的要求，如何实施安全有效的安全程序。安全程序必须适用于IACS安全操作的安全功能，这些安全功能的实施通常需要服务提供商和产品供应商的支持。然而，资产所有者仍然对IACS的安全负责。

● IEC 62443-2-4 IACS服务提供商的安全程序要求，该国际标准为集成或维护IACS相关的所有类型的服务提供商详细规定了一套全面的安全能力要求。由于多数安全要求与具体行业和领域相关，该标准提供了“配置文件”的开发，可用于解决具体行业和领域特定环境的安全特征。

● IEC 62443-3-2 系统设计的安全风险评估，该国际标准规定了设计IACS系统的要求，将系统(SuC)划分为区域(Zone)和管道(Conduit)，评估每个区域和管道的风险，并建立各自的目标安全等级。

● IEC 62443-3-3 系统安全要求和安全等级，该国际标准定义了适用于自动化和控制系统的网络安全要求。这些安全要求基于IEC 62443-1-1中定义的7个基本要求(FR1-7)，包括①标识和鉴别控制；②使用控制；③系统完整性；④数据保密性；⑤受限的数据流；⑥对事件的及时响应；⑦资源可用性。IEC 62443-3-3中的安全等级(Security Level)是IEC 62443-3-2网络安全风险评估的输出。

● IEC 62443-4-1 安全产品的开发生命周期要求， 该国际标准描述了与工业自动化和控制系统环境中适用的产品、网络安全有关的产品的开发生命周期要求。该标准中涉及的产品生命周期包括安全管理、安全需求、安全设计、安全实施、验证和确认、缺陷管理、安全升级/补丁管理和安全指南等注意事项。

● IEC 62443-4-2 IACS组件的技术安全要求，该国际标准将IEC 62443-3-3中提出的安全要求和安全等级应用于IACS组件，这些组件类型包括应用软件、嵌入式设备(如PLC)、网络设备(如防火墙)、主机设备。该标准的目的是规定组件的安全能力，以减轻特定安全级别的威胁，而无需额外采取特定的安全补偿措施和对策。

IEC 62443系列标准在工业自动化和控制系统 (IACS)整个生命周期中，采用基于风险的和基于设计安全的理念，以提高IACS系统的安全性、完整性、可用性和保密性。

IEC 62443系列标准，面向资产所有者、服务提供商、产品供应商，对工业自动化和控制系统(IACS)各层级的系统、产品及产品供应商所采用的安全开发生命周期进行安全要求，典型的如DCS、SCADA等IACS系统，以及应用软件、嵌入式设备、网络设备、主机设备等IACS组件。

同时，根据IEC 62443系列标准，我们将工业自动化和控制系统生命周期划分为需求阶段、设计阶段、实施阶段、验证&确认阶段、运行阶段、维护阶段以及退役阶段。在应用IEC 62443 系列标准时，SGS工业服务工控网络安全团队建议，企业可以结合自身在工业自动化和控制系统生命周期的角色和职责，考虑标准的具体应用：


SGS 作为网络安全的认证机构，支持安全产品开发、实施和集成安全功能和应用程序，以通过各种建议和测试来保护组件和通信。SGS 作为网络安全的认证机构，支持您的开发、实施和集成安全功能和应用程序，通过各种建议和测试来保护产品和通信安全。SGS工业服务可针对制造、轨交，能源，石化等多个领域，提供预评估，测试，评估，认证等全面的网络安全服务。基于工控网络安全全球最佳应用和实践标准IEC 62443，我们可提供如下全面的服务：

 SGS是国际公认的第三方检验、鉴定、测试和认证机构。
 依靠SGS全球功能安全&网络信息安全的技术支持中心，SGS拥有60~70名功能安全专家，10+名以上网络安全专家，超过百名的测试工程师，具有丰富的专业知识及实操案例。
 SGS工业服务部能为您提供快捷的服务，及时反馈您的需求。
 SGS作为整体服务供应商，能在全球市场支持产品开发，为产品整个系统和部件提供全生命周期服务。

1、功能安全认证及培训
2、IEC61508 SIL（安全完整性等级）认证
3、功能安全人员资质证书培训服务