什么是工业网络安全标准IEC 62443?
IEC 62443是在国际上被广泛采纳和认可的系统标准,旨在降低部署和操作IACS(工业自动化控制系统)的风险,其针对资产所有者、服务提供商、产品供应商分别有不同角色定位及功能介绍。各国、各行业制定工控安全相关标准政策都会参考和吸收该标准提供的概念、方法、模型。
为什么需要考虑工业网络安全IEC 62443标准?
IEC 62443系列标准,面向资产所有者、服务提供商、产品供应商,对工业自动化和控制系统(IACS)各层级的系统、产品及产品供应商所采用的安全开发生命周期进行安全要求,不同角色通过采用IEC 62443子标准,可以获得切合自身的网络安全收益。
- l对资产所有 者:IEC 62443能够更好的设置网络安全政策以及衡量服务提供商所提供的产品的安全性。
- l 对服务提供商:IEC 62443具有双向意义。
- 一是能够让服务提供商清楚客户的需求;
- 二是能够让服务提供商来衡量厂商所提供的产品是否能够满足客户在安全方面的功能需求。
- l 对产品提供商:IEC 62443能够更加清晰的提供设计和生产标准,以满足资产所有者的需求。
我们的服务范畴是?
MUNIK秒尼科专业的网络安全技术团队,由国内外的专业网络公司核心骨干和汽车研发的专业技术团队共同组成,我们提供从IEC 62443工业网络安全的全程技术服务,这包括:
- 建立工业自动化和控制系统安全程序;
- IACS服务提供商的安全程序要求;
- 系统设计的安全风险评估;
- 系统安全要求和安全等级;
- 安全产品的开发生命周期要求;
- IACS组件的技术安全要求;
MUNIK提供的服务步骤有哪些?我们的服务包括:
通过我们的人员资质培训、差距分析、咨询及技术交流、审核服务,确保您的IEC62443流程及产品通过相关的评估及网络测试要求,保证了我们的产品具有抵御网络风险和攻击的能力,以减少工控网络信息安全的风险。
工业网络安全服务:基于MUNIK的标准化服务流程,我们建议以下服务类型供工业网络安全技术人员选择:
1.培训. 通过体系化和实战化的工业网络安全培训,旨在既帮助客户解决人员资质证书问题,又以实例化的问题讲解,让客户开发人员积累工业网络安全的实际流程实施经验,以及实际的项目开发细化和研发经验。
MUNIK将基于IEC62443工业网络安全培训教材,以内训的方式在甲方进行2天的培训课程。培训课程以实践导向和展示为目的,系统化为客户提供专业的IEC62443工业网络安全专业知识。确保客户充分理解IEC62443标准的要求及思路,为以工程化的思维切入IEC62443工业网络安全项目实施中打下扎实基础。
2. 差距分析. 基于差距分析模板和项目实施流程,实施差距分析,以识别现有开发流程和IEC62443标准要求之间的差异,并基于此制定后续的项目计划和任务分配。
基于客户当前的产品开发流程或网络安全管理流程(如有),以标准化的检查流程及模板,采用现场技术交流的形式检查出甲方当前流程和IEC62443标准要求之间的差异,并出具差距分析报告以帮助客户进行后续改进。
差距分析开展前,甲方需提前约定差距分析的人员,可包括项目经理,网络安全经理,系统架构,研发和测试,生产部门,质保和运维等人员,以完成当前项目的人力资源配置,整个差距分析的持续时间预估需要两到三天。
差距分析步骤:
Step1: MUNIK将和甲方召开项目启动会,以了解技术服务的实施要求和当前项目的配置及实施计划。
Step2: MUNIK将主导差距分析阶段的工作任务,通过差距分析模板,完成标准相关内容的确认和裁剪,并确定项目中甲方所需人员的分配和时间计划。
Step3: MUNIK将整理并发送Gap Analysis report到甲方。
Step4: 基于差距分析的结果,甲方将确定项目安全计划并推进下一阶段的网络安全开发流程工作。
3.技术咨询. 通过本项服务,旨在帮助客户建立起符合IEC 62443标准的开发流程体系,或者在具体开发体系下实施功能安全产品的开发。
通过本项服务,旨在帮助甲方建立起符合IEC 62443标准的开发流程体系,服务涵盖以下内容:
根据IEC 62443提供流程建设技术支持服务。基于差距分析的结果,指导客户完善现有的开发管理流程并建立符合IEC 62443标准的开发体系,对于资产所有者、服务供应商、产品供应商分别如下图形式展开。
IEC62443标准分为四个部分。
● 第一部分描述了网络安全的通用方面,如术语、概念、模型、缩略语、符合性度量。
● 第二部分主要针对用户的网络安全程序,主要包括整改网络安全系统的管理、人员和程序设计方面,是用户建立其网络安全程序时需要考虑的。
● 第三部分主要针对系统集成商保护系统所需的技术性网络安全要求。它主要是系统集成商在把系统组装到一起时需要处理的内容。包括将整体工业自动化控制系统设计分配到各个区域和通道的方法,以及网络安全保障等级的定义和要求。
● 第四部分主要针对制造商提供的单个部件的技术性网络安全要求。包括系统的硬件、软件和网络部分,以及当开发或获取这些类型的部件时需要考虑的特定技术性网络安全要求。
4. 评估认证. 通过本项服务,对客户的IEC 62443流程实施独立网络安全审核,以确定所审核的客户体系网络安全IEC 62443开发流程体系/产品符合IEC 62443标准要求,并基于审核评估结果颁发对应安全开发流程体系/产品证书。
如果您需要技术交流,欢迎和我们邮件联系!Shmunik@munik.com
交流内容如下但不限于以下内容 :
1.对于资产所有者、服务提供商、产品供应商各类角色,分别要做IEC 62443哪些系列标准认证?
2.IEC62443认证流程及所需提供的文件是什么?
3.我们的产品是控制软件,适用于IEC 62443认证吗?