寫在前面:為何你的智慧工廠需要一本資安說明書?
歡迎來到 IEC 62443 的世界!如果說智慧工廠、工業物聯網 (IIoT) 是現代工業的未來,那麼 IEC 62443 就是確保這個未來能夠安全、穩定運作的關鍵說明書。它被公認為全球最權威的工業控制系統 (ICS) 資安標準。
這個系列文章的目標,是帶你用最沒有壓力的方式,從零開始,一步步看懂 IEC 62443-3-3 這份重要的系統安全規範。
本系列文章規劃:
- 輕鬆讀懂工控資安聖經 IEC 62443 ← 本篇
- 系統安全需求與安全等級的選擇藝術
- 七大基礎要求 (FR) 詳解與實踐心法
- 安全保證需求 (SAR) 的深度解析
- 如何像專家一樣進行風險評估
- 邁向認證之路:準備工作與實戰指南
一、什麼是 IEC 62443?為何它如此重要?
標準的誕生故事
IEC 62443 (其前身為 ISA-99) 是由國際電工委員會 (IEC) 為了保護工業自動化與控制系統 (IACS) 而制定的網路安全標準。你可以這樣理解它的演進:
- 過去 (1990s~2000s):隔離就等於安全 工廠的控制系統自成一個封閉的小世界,與世隔絕,大家認為只要物理上不被接觸就是安全的。
- 近代 (2000s~2010s):IT 與 OT 的碰撞 為了提升效率,工廠開始將辦公室網路 (IT) 與生產線網路 (OT) 連接起來,但當時還沒有一套專為工廠環境設計的資安規則。
- 現在 (2010s~至今):智慧工廠的專業保鑣 隨著智慧製造的興起,連網設備暴增,攻擊風險也隨之而來。IEC 62443 因此應運而生,成為守護工廠的專業資安標準。
工廠的資安,為何不能直接用辦公室那套?
你可能會想:「公司不是已經有 IT 資安團隊了嗎?直接請他們來保護工廠不行嗎?」答案是:不行。因為 IT 與 OT (營運技術) 環境的 DNA 截然不同。
| 比較項目 | IT 環境 (辦公室) | OT 環境 (生產線) |
|---|---|---|
| 首要任務 | 機密性 > 完整性 > 可用性 (保護資料不外洩最重要) | 可用性 > 完整性 > 機密性 (生產線一刻都不能停) |
| 系統壽命 | 3-5 年,更新頻繁 | 10-20 年,幾乎不更新 |
| 運作時間 | 可容忍短暫停機維護 | 24 小時全年無休,極度厭惡非預期停機 |
| 環境風險 | 資料外洩、服務中斷 | 工安意外、環境污染、生產停擺、設備損壞 |
簡單來說,IT 資安保護的是數據;而 OT 資安保護的是實體世界,攸關生產、安全,甚至人命。這就是我們需要 IEC 62443 的原因。
二、拆解 IEC 62443:這本說明書是怎麼構成的?
IEC 62443 並不是單一一份文件,而是一個大家族,由四個部分組成,涵蓋了不同面向。
- 第一部分:總則 (General) 定義了整個標準家族的術語、概念和模型,是打好基礎的必讀章節。
- 第二部分:政策與程序 (Policies & Procedures) 專注於「人」與「管理」,指導企業如何建立資安計畫、管理修補程式、要求供應商等。
- 第三部分:系統 (System)
這是本系列文章的重中之重。它關注的是整個控制系統在設計時應該滿足哪些安全要求。
IEC 62443-3-3就是其中最核心的標準。 - 第四部分:組件 (Component) 關注組成系統的單一零組件,例如一台 PLC、一個人機介面 (HMI) 或一個感測器,應該具備哪些內建的安全功能。
「系統」與「組件」的差別在哪?
用一個簡單的比喻:造車。
系統層級 (Part 3-3):就像是整台車的安全設計。它要求車子必須配備安全氣囊、ABS 防鎖死煞車系統、穩固的車體結構等,來確保駕駛與乘客的整體安全。它關心的是整個系統如何協同運作以達到安全目標。
組件層級 (Part 4):就像是對單一零件的品質要求。例如,它會規定「安全氣囊」這個零件本身必須通過多少次撞擊測試、用什麼材質製造。它關心的是單個組件是否足夠安全可靠。
一個安全的系統,是由許多安全的組件,透過安全的設計整合而成的。
三、安全等級 (Security Level, SL):你的工廠需要哪種等級的保鑣?
並不是所有系統都需要固若金湯的防護。IEC 62443 很務實地提出了「安全等級 (SL)」的概念,讓我們可以根據風險來選擇合適的防護強度。
| 安全等級 | 威脅情境描述 | 典型的攻擊者 | 生活化比喻 |
|---|---|---|---|
| SL1 | 防範意外或無意的違規 | 技術小白、員工誤操作 | 防止路人不小心走進工廠管制區 |
| SL2 | 防範刻意但手段簡單的攻擊 | 心懷不滿的員工、腳本小子 | 防範小偷用簡單工具撬開門窗 |
| SL3 | 防範技巧純熟、目標明確的攻擊 | 專業駭客、資安罪犯 | 防範專業盜賊用特殊工具破解保全系統 |
| SL4 | 防範資源雄厚、技術頂尖的攻擊 | 國家級網軍、APT 組織 | 防範擁有軍規武器與情報的特務組織滲透 |
如何決定該用哪個等級?
選擇 SL 並非憑感覺,而是一個基於風險評估的決策過程。你需要思考三個問題:
- 威脅有多大? (攻擊者是誰?是 SL1 的小白還是 SL4 的國家級駭客?)
- 衝擊有多嚴重? (如果系統被攻陷,是只會造成短暫停機,還是會引發工安事故?)
- 系統有多脆弱? (系統本身是否存在已知的漏洞或防護弱點?)
將這三者的評估結果結合起來,就能判斷出系統面臨的整體風險高低,進而選擇出最適合的目標安全等級 (SL-T)。例如,一個關乎公共安全的水壩控制系統,即使漏洞不多,但因為潛在衝擊極大,且可能面對專業駭客的威脅,就可能需要設定在 SL3 或 SL4 的高防護等級。
四、基礎要求 (FR):建構資安堡壘的七大支柱
IEC 62443-3-3 定義了七個基礎要求 (Foundational Requirements, FR),這就像是建造一座安全堡壘的七根主要支柱,缺一不可。
| 編號 | 要求名稱 | 白話解釋 (它的主要目的) |
|---|---|---|
| FR1 | 識別與認證控制 (Identification and Authentication Control) | 確認身份:確保只有「對的人」才能進門。 |
| FR2 | 使用控制 (Use Control) | 控管權限:確保進門之後,每個人只能做「被允許做的事」。 |
| FR3 | 系統完整性 (System Integrity) | 防止篡改:確保系統軟體、硬體和資料沒有被偷偷修改。 |
| FR4 | 資料機密性 (Data Confidentiality) | 防止偷窺:保護敏感資料在傳輸或儲存時不被竊取。 |
| FR5 | 限制資料流 (Restricted Data Flow) | 管理交通:劃分不同的安全區域,並嚴格管制網路之間的通訊。 |
| FR6 | 及時回應事件 (Timely Response to Events) | 即時警報:當壞事發生時,要能即時偵測、記錄並做出反應。 |
| FR7 | 資源可用性 (Resource Availability) | 確保營運:抵禦阻斷服務 (DoS) 等攻擊,確保系統能持續運作。 |
這七大要求底下還會細分成更具體的子要求,我們將在後續文章深入探討。
五、認證流程概覽:如何證明我的系統符合標準?
了解標準後,最終目標是通過認證。整個流程可以簡化為以下幾個關鍵步驟:
- 定義範圍:首先要畫出地圖,明確界定要認證的是哪個系統、邊界在哪裡、包含哪些重要設備。
- 風險評估:對這個範圍內的系統進行全面的健康檢查,找出潛在的威脅和弱點。
- 選擇目標安全等級:根據風險評估的結果,決定這個系統需要達到哪個安全等級 (SL)。
- 導入安全措施:根據選擇的 SL 和七大基礎要求,開始動工,部署相對應的技術、管理和實體防護措施。
- 準備證明文件:將所有的設計、計畫、測試報告整理成冊,這是向稽核員證明的關鍵證據。
- 接受第三方評估:邀請獨立的認證機構來進行文件審查、技術測試和現場稽核,最終取得認證。
六、給新手的實務建議
剛接觸 IEC 62443 時,請記住幾個關鍵心法:
- 不要被標準嚇到:標準很厚,但精神很簡單。先理解核心概念,再逐步深入細節。
- 安全與營運需平衡:任何安全措施都不應矯枉過正,影響到正常的生產運作。找到兩者間的平衡點是最大的挑戰。
- 文件是你的好朋友:在工控領域,很多安全措施無法像 IT 一樣頻繁測試。完整、清晰的文件紀錄,就是你證明自己「有做到」的最佳證據。
成功的關鍵,不僅在技術,更在於管理與溝通:
- 管理層的支持:沒有高層的認同與資源投入,一切都是空談。
- 跨部門的合作:資安不是 IT/OT 部門自己的事,需要產線、設備、採購等各單位協同作戰。
- 從「為什麼」開始:讓所有人都理解導入資安「為何」重要,而不只是「遵守規定」。
結語與下一步
恭喜你!你已經對 IEC 62443 的基礎架構有了全面的認識。這就像是拿到了地圖,看懂了圖例。
在下一篇文章中,我們將真正走入地圖中的第一個區域,深入探討如何進行系統安全需求分析,以及如何運用風險評估來選擇最適合的安全等級。
繼續閱讀:
相關資源參考:
本系列文章將持續更新,期待在工控資安的學習路上一同成長。若有任何疑問或想法,都歡迎留言交流!