通用資安標準進階至工控安全標準淺談IEC 62443-2-4

在國內因資通安全法的通過與施行，普遍對ISMS(資訊安全管理系統)已有一定的認知，而在製造或工業生產為主的產業，通用的資訊安全標準ISO/CNS 27001，只提供適用資訊安全管理的大架構，對於提升產品安全如何更貼切的引用？這就需要從規劃、分析、設計、開發實作、測試及整合、上線及維運等階段，全面導入安全概念，設計且融入安全要求，並周而復始的循環改進才能達到提升產品安全的目的，例如增加安全功能列表、進行威脅建模分析(Threat Modeling Analysis)、弱點掃描與滲透測試等，採用工業自動化和控制系(IACS)安全標準ISA/IEC 62443應是適合的方向。

IEC 62443標準著重於產品開發的流程、服務及系統整合，而ISO 27001適用於組織所使用的系統、資訊風險管理。雖然兩個標準的著重面向不同，但在部分的安全控制項目(安全要求)可對照使用，即ISO 27001可以協助用於保護IACS的資訊安全，並確保開發過程可以有效地實施IEC 62443定義的安全控制。關於IEC 62443-2-4與ISO 27001的控制項對照，摘錄部分供參考。

Domain	ISO 27001 controls	Compliance review
SP.01: 安全解決方案人員編組	A6, A7	• OT作業人員資安保密協定、訓練時數，如: 強化OT對IEC 62443系列標準與資安人員Cybersecurity相關訓練
SP.03: 架構	A11, A12, A13	• OT系統風險評估，建立定期風險管控並建立評量指標等，如: 制訂被授權的軟/硬體清單，並建立應用程式憑證管理
SP.06: 組態管理	A12	• OT組態管理的文件，如: 組態管理流程與組態更新狀態偵測等
SP.08: 事件管理	A16, A18	• 針對OT系統安全建立事件偵測、事件衝擊評估與事件處理管理作業

不同以往IEC 61508 Functional safety of electrical/electronic/programmable electronic safety-related systems標準將所有的內容放進同一個文件，IEC 62443將內容更有結構性地分成四大部份，每一部分又拆分到不同的文件中(如下圖)。由於資訊安全領域常有新的技術出現，新的文件架構的好處是每個部份都可以快速發布及更新，這對資安標準來說是很重要的優點。

IEC 62443標準，是基於ISA 99 series標準文件修訂的，申請IEC 62443-2-4以服務/系統供應商為主，並非資產擁有者，適用情境如下圖：

IEC 62443-2-4重點摘要

一、建立工控系統資安計劃的步驟有：

風險分析：包括業務說明、風險判別、分類與評估。
風險說明：包括資安政策、組織和意識、選擇緩解措施與產品部署。
監控與改進：合規性、審查與維護CSMS。

二、資安要求可細分為「資訊資產擁有者」與「服務/系統供應者」二個面向

資訊資產擁有者(Asset Owner)的資安要求。

資訊資產擁有者可要求服務/系統供應者依IEC 62443-3-2的需求定義提供SOW(Statement Of Work)，並將SOW之要求載明於合約內。
若資訊資產擁有者沒有具體指明安全需求，服務/系統供應者應依照其安全分析結果與資訊資產擁有者討論。
IEC 62443-2-4 的要求分為基礎要求(BR)及進階要求(RE)，資訊資產擁有者應依照IEC 62443-2-4附件，選擇適合的安全要求並提出PROFILE 並作成TRs (Technical Report )。

服務/系統供應者的資安要求

參照IEC 62443-2-4 Security program requirements for IACS service provider。
依照資訊資產擁有者要求的資安能量定義資安需求。
工控系統整合商可以依IEC 62443-2-4 建構並改進資安計劃。
服務/系統供應者可使用IEC 62443-3-3與IEC 62443-4-2。
可以同時參考IEC 62443-2-4 (Asset Owner Profile)。
服務/系統供應者應有能力對資訊資產擁有者安全需求客制化。

三、 IEC62443-2-4的安全要求

ISO 27001之流程、方法、文件化及記錄，共有35個控制目標114個控制措施。
Function area測試要求：包含Assurance, Architecture, Account Management面向，並需要將要求轉為檢測項目，使用自動化測試工具。
文件化要求：需提供執行的佐證紀錄或文件。
安全要求附錄列表如下(Annex A - Security Program Requirement)：

SR Req ID	Domain	Description
SP.01.XX	安全解決方案人員編組	服務提供商為工業自動化控制解決方案相關活動指派人員並符合相關要求，包含人員訓練、背景調查
SP.02.XX	安全確保	為工業自動化控制解決方案的相關活動提出強而有力的保證如服務供應商提供相關技術說明給資產擁有者，闡明將接受資產擁有者風險評估完後的建議改善措施，並配合改善
SP.03.XX	結構	工業自動化解決方案設計的相關要求，包含網路架構設計、設備與工作站的佈署、資料保護等
SP.04.XX	無線	在工業自動化解決方案設計中對於無線的安全要求
SP.05.XX	SIS (Safety Instrumented System)	在工業自動化解決方案中系統整合商對於安全儀表系統的相關要求
SP.06.XX	配置管理	在工業自動化解決方案中針對配置管理的相關要求，包含連線配置、設備與設備間的驗證
SP.07.XX	遠端存取	1. 在工業自動化解決方案中遠端存取的相關要求，包含連線要求、資料加密保護、使用安全工具/軟體的細節描述(安裝、設定與運作) 2. 連線資訊描述，其資訊應涵蓋：連線目的、如何連線(e.g. 透過VPN)、連到哪些Client端在工業自動化解決方案中事件處理的相關要求，包含示警機制、稽核日誌的保存與容量測試
SP.08.XX	事件管理	在工業自動化解決方案中事件處理的相關要求，包含示警機制、稽核日誌的保存與容量測試
SP.09.XX	帳戶管理	在工業自動化解決方案中事件處理的相關要求，包含一般使用者帳號、特權帳號管理與文件化其資訊、最小化權限處理要求、帳戶使用軌跡的留存、密碼安全政策(設置、變更、重複使用)
SP.10.XX	惡意程式防護	在工業自動化解決方案中使用防毒軟體的相關要求，包含安裝、病毒碼偵測、病毒定義檔與安全更新、可攜式媒體的管制政策
SP.11.XX	Patch管理	定義Patch的管理政策以協助資產擁有者(Asset owner)符合 IEC 62443-2-3 Patch管理政策之安全要求，實作的部份可參考 IEC 62443-2-3附錄C: IACS Product supplier/ service provider guidance on patching
SP.12.XX	備份/復原	在工業自動化解決方案對於備份/復原機制的相關要求，包含日常性的備份作業原則、系統備份與還原流程並文件化其資訊提供給資產擁有者

四、成熟度(Maturity levels)

在 IEC 62443-2-4的成熟度定義，引用CMMI-SVC (Capability Maturity Model Integration for Service)的五個等級，將ML 4 (Quantitatively Managed)與ML 5 (Optimizing)合併，重新定義成熟度分為ML 1 (Initial)、ML 2 (Managed)、ML 3 (Defined)、ML 4 (Improving)，詳細說明如下表。

Maturity Level	Category	IEC 62443-2-4 Description / Comparison to CMMI-SVC
ML 1	Initial	服務提供商常以臨時的方式來進行，並且通常未有記錄（或記錄不完全）對所提供的服務，通常僅在與資產擁有者簽訂的合約(工作說明書)中指定，其結果，可能難有一致性。註：此處”已記錄”指執行服務時遵循的過程，例如，向服務提供商提供詳細說明，並非僅指執行服務的結果。而是包括所有因執行服務任務產生的變更紀錄。
ML 2	Managed	因定義服務與執行（實踐）間，可能會有很大的延遲。因此，可能會將CMMI-SVC 2級別與執行相關面向推遲到第3級。服務提供者有能力根據書面政策（包括目標）管理服務的交付和性能。服務提供者須提供證據，以顯示執行服務的人員具有專業知識及訓練，有能力依據書面程序執行服務內容。在成熟度第2級，可確保依據文件計畫執行服務時，即使在極大壓力下也是可被重複執行和管理的。
ML 3	Defined (Practiced)	在成熟度第3級，代表至少執行過一次以上成熟度第2級的服務流程，並可證明在整個服務提供商的組織中都是可重複的，且可以根據合約與資產擁有者的工作說明文件，為各別項目量身定制成熟度第3級的服務。
ML 4	Improved	(IEC 62443-2-4將CMMI-SVC第4級與第5級合併) 服務提供商使用適當的處理程序評估指標來確保服務有效性，並不斷改進，例如更好的處理效率或更高安全級別的系統安裝 (參閱IEC 62443-3-3)。這個安全程序透過資訊技術、處理程序及變革管理來改善服務執行結果。有關評估指標請參IEC 62443-1-3。

※註：IEC 62443-4-1的成熟度描述係引用CMMI-DEV(Capability Maturity Model Integrationfor Development)同樣有五個等級，且同樣將ML 4與ML 5合併成一個等級。

準備導入IEC 62443應俱備的思維

一、如何透過導入IEC 62443強化產品開發安全? 先由「差異分析」到「改善與輔導」，最後「取得認證」三大階段的作法逐步進行。建議可由專業的外部顧問進行合規輔導，藉由顧問團隊針對導入範圍內的現況訪談，並與標準進行比對，產出差異分析報告，再對尚未達成標準要求之部分，進行調整改善，此期間須與顧問進行密切的交流，最後申請國際認證，並通過、取得認證。

二、將軟體/產品的開發流程加入安全的整體考量，以完整的產品開發生命週期，從「計畫」(Planning)、「分析」(Analysis)、「設計」(Design)、「開發實作」(Implementation)、「測試及整合」(Testing & Integration)及「維運」(Maintenance)，對開發的安全進行不斷循環的改善，最終融入到企業日常的運作，成為安全文化，才是導入標準方法論的精隨。

善用顧問經驗導入工控安全標準為最佳之道

安華聯網自成立以來，已成功協助數十家廠商導入包含資訊安全管理系統(ISMS)、軟體安全開發流程(SSDLC)、歐盟個人資料保護法(GDPR)、美國食品藥品管理局(FDA)對資安要求、共同準則(ISO 15408)以及工控安全(IEC 62443-4-1、4-2)等，特別在IEC 62443-4-1與4-2的標準上，安華聯網已成功協助多個客戶完成標準的導入與建置。

此外在協助廠商導入過程中，我們發現工控設備開發商在開發安全流程上常見的問題包括：未管控軟體／靭體安全開發流程或需求、使用有已知弱點的套件管理、未建立安全事件回覆與追蹤機制等；針對上述設備開發商常見之產品安全問題，安華聯網的物聯網資安合規解決方案可對症下藥，量身訂作合適的資安管理流程與取得國際物聯網資安認驗證，同時輔以「HERCULES產品資安合規自動化平台」，可節省客戶時間與人力成本，快速滿足合規要求。透過旗下「HERCULES SecSAM產品資安管理系統」，讓研發團隊在軟體設計與開發階段，就能透過開放原始碼風險管理(Open Source Risk Management)的方式，確認系統是否存在重大資安漏洞，從源頭加修正。同時可配合「HERCULES SecDevice弱點檢測自動化工具」，提供連網產品檢測環境配置與安全性評估等自動化功能，在超過140個測試項目中發掘已知與未知弱點，讓團隊可在設計與檢測階段雙管齊下，進行雙重安全把關，有效為產品在上市前，降低資安風險。

熱門新聞