作者：Joppe W. Bos，Christine Cloostermans ，Aylin Buyruk，Daniel Kiraly

工業物聯網（IIoT）技術是工業4.0革命的基礎。智能技術可提高生產力和效率，降低制造成本。然而，如果保護不當，智能技術的自動化性質也會增加潛在的攻擊面。

每臺互聯設備都是攻擊者進入工業系統的潛在入口點。以勒索軟件為例。生產線停機造成的損失可能高達每分鐘數千美元。研究表明，如果勒索軟件網絡攻擊成功，超過一半的案例中支付了贖金，其中超過50%的案例至少支付50萬美元。同樣發生在這些工業領域的其他類型的網絡恐怖攻擊可能帶來災難性的環境影響，甚至造成人員傷亡。顯然，隨著全世界的數字化轉型，工業網絡安全領域變得非常重要。

IEC 62443的重要性和結構

這就是IEC 62443的用武之地。IEC 62443是由安全專家制定的一套標準，旨在為工業自動化和控制系統（IACS）與操作技術（OT）環境的網絡安全提供基于風險的整體方法。IEC 62443標準廣泛適用，可應用于系統內的組件或更精密的設備內的嵌入式部件（例如單個微處理器）。然而，這套標準也介紹了如何保護整個系統和設施，包括工廠、加工廠、樓宇自動化系統、化學設施、醫療系統設施等。

標準分為四個部分，每個部分分別涉及IACS和其他OT環境的安全問題。具體如下：

第一部分定義了標準其他部分使用的術語、概念和模型。它為利益相關者在IACS生命周期的不同階段合作提供了共同的基礎。這部分定義的術語和概念支持相關方之間進行高效的溝通。

第二部分介紹與IACS安全有關的方法和流程的角色和要求。它指定資產所有者如何建立IACS安全計劃、如何評估IACS的安全保護效果以及如何修補IACS。它還提出了集成商和維護服務提供商的安全計劃應支持的安全功能要求。

第三部分重點介紹系統層面的網絡安全要求。它使用第一部分定義的區域和管道（zones and conduits）的概念。基于安全風險將系統分為較小的區域，有助于重點保護系統風險最高的部分。風險水平取決于影響后果的嚴重程度。

第四部分介紹安全開發組件的技術要求，以及每個組件的安全功能，旨在確保工業系統使用的產品能夠安全運行。除了定義組件的技術要求外，第四部分還描述了組件必須滿足的4個通用組件網絡安全約束（CCSC），以符合IEC 62443-4-2標準要求。CCSC 4規定，產品開發流程必須符合IEC 62443-4-1。

IEC 62443還描述了IACS系統所能達到的不同安全級別。對于每個安全級別，系統或組件都必須滿足一組特定的要求。最低級別SL0適用于不需要特殊保護的系統。相比之下，最高級別SL4則適用于需要使用復雜手段和擴展資源來防止蓄意安全違規行為的系統。例如，對于易受勒索軟件攻擊的系統而言，建議使用SL4。勒索軟件攻擊由具有高級設備或其他資源的專業黑客發起。

安全級別用于確定產品或組件是否滿足系統或系統內部區域的安全需求。例如，符合SL2 62443-4-2的產品不能用于要求最低SL3安全級別的系統或系統內的區域。這種依賴性可能會影響產品開發，因為使用需要SL3保護的系統的客戶會選擇符合SL3安全要求的產品或組件。

恩智浦如何助力客戶實現62443合規

規劃和設計符合IEC 62443的產品可能既費時又費錢，因為它需要在網絡安全方面同時了解標準和產品。這意味著，開發人員需要從一開始就考慮安全性，并遵循安全設計模式。可使用符合產品安全相關要求的組件來加快這一流程。

恩智浦定義了一套安全原語 ，目的是在工業物聯網領域為安全術語建立共同基礎。文檔介紹了多個級別的安全功能，并闡述了一個框架，該框架允許開發人員以結構化方式考慮其產品的安全需求。系統設計人員可使用此方法將認證和標準以及用例要求與產品功能一一對應，反之亦然。該框架幫助工程師選擇和整合滿足其要求的解決方案，同時自動實現IEC 62443-4-2合規。

除了幫助工程師找到符合其安全相關要求的組件外，恩智浦還在生產中積極踐行以安全為中心的文化，以提高工業物聯網安全。例如，恩智浦安全成熟度業務和事件響應流程已通過IEC 62443-4-1：安全產品開發生命周期要求的認證。恩智浦產品根據62443-4-1標準設計和開發，可集成到旨在符合62443-4-2的產品中，因為它們已經滿足CCSC 4的要求。

某些按照62443-4-1認證流程設計和開發的恩智浦產品具有滿足62443-4-2要求的安全功能。因此，只需集成恩智浦產品作為組件，旨在符合62443-4-2的產品便能夠滿足更新標準的各種要求。我們名為“借助EdgeLock SE05x簡化ISA/IEC 62443合規流程”的應用筆記概要介紹了恩智浦產品如何幫助實現62443-4-2合規。

此外，特定的恩智浦組件（如 EdgeLock SE051安全元件）已通過62443-4-2（IACS組件的技術安全要求）認證。使用經過認證的方法和組件有助于促進合規性，對于集成了這些組件的更復雜的最終產品而言尤為如此。

總而言之，工業4.0普及率與日俱增，這意味著網絡攻擊對每一家現代企業都是日益嚴重的威脅。這些網絡攻擊很常見，而恢復工作往往繁重、耗時長且成本高昂。IEC 62443是一套通用標準，旨在應對各種機構（從工業設施到醫療使用場景）中不斷增加的網絡攻擊威脅。為了幫助工程師達到IEC 62443合規，恩智浦提供了一個框架，將認證和標準以及用例要求與產品功能一一對應，反之亦然。此外，許多恩智浦生產工藝和設備已通過了IEC 62443認證，這進一步縮短了開發時間，并簡化了通過IEC 62443認證所需的工作。

審核編輯：郭婷