IEC 62443 系列教學 (二):風險評估與安全等級的選擇藝術

寫在前面:拿到地圖後,如何決定目的地?

在上一篇文章中,我們一起認識了 IEC 62443 這張工控資安的「世界地圖」,了解了它的基本構成、七大基礎要求 (FR) 以及四個安全等級 (SL)。

現在,我們手握地圖,但問題來了:我的系統究竟該前往哪個目的地?是需要輕裝簡行的 SL1,還是固若金湯的 SL4?

這篇文章的核心任務,就是教您如何像一位專業的領航員,透過「風險評估」這項工具,為您的系統選擇出最恰當、最不浪費資源的目標安全等級 (Security Level Target, SL-T)。這不僅是技術,更是一門權衡的藝術。


一、風險導向:工控資安的核心哲學

在開始之前,我們必須先建立一個核心觀念:沒有所謂「100% 的安全」

資安的目標不是打造一個絕對無法入侵的系統 (那不切實際且成本極高),而是將風險降低到一個可接受的程度。這就是「風險導向 (Risk-Based)」方法的精髓。

想像一下醫生看診:一位病人只是輕微感冒,另一位是心臟病發。醫生絕不會給兩者開立相同的藥方。他會先診斷病情 (評估風險),然後對症下藥 (給予相應的防護)

在工控資安中,這個「診斷」過程,就是風險評估。一個基本的風險概念可以這樣理解:

風險 = 衝擊 (Impact) × 可能性 (Likelihood)

  • 衝擊 (Impact):如果壞事發生了,後果有多嚴重?(例如:產線停擺、工安意外、環境污染)
  • 可能性 (Likelihood):這件壞事發生的機率有多高?(取決於威脅來源與系統的脆弱性)

我們的目標,就是找出那些「高衝擊、高可能性」的環節,並投入最多的資源去保護它。


二、第一步:劃分區域,精準防護 (Zoning)

在評估整個工廠的風險之前,直接把整座工廠當成一個單位來分析,會非常困難且不精確。IEC 62443 提供了一個聰明的方法:區域與管道 (Zones and Conduits)

  • 區域 (Zone):將功能類似、資安需求相近的設備圈在一起,形成一個個獨立的「安全區域」。
  • 管道 (Conduit):連接不同區域的網路通訊路徑,就像是區域之間的「橋梁」或「通道」。

生活化比喻:設計一棟安全的豪宅

  • 整棟豪宅:就是你的整個工廠系統 (System under Consideration, SUC)。
  • 區域 (Zones)
    • 臥室/書房 (Zone 1):存放個人貴重物品,需要較高的安全防護。
    • 客廳/廚房 (Zone 2):訪客可以進入,安全需求相對較低。
    • 車庫 (Zone 3):有獨立的出入口,需要特別的管理。
  • 管道 (Conduits):連接各個房間的走廊、門、窗戶。你需要確保門是鎖好的,窗戶是堅固的。

為什麼要這麼做? 因為你可以為「臥室」設定 SL3 的高防護等級,同時為「客廳」設定 SL1 的基本防護。這樣既能確保重點區域的安全,又不會把成本浪費在不必要的地方。分區管理,是實現成本效益最大化的關鍵第一步。


三、第二步:系統化的風險評估流程

當區域劃分好之後,我們就可以針對每一個區域 (Zone) 進行風險評估。這個過程像是一次系統性的健康檢查,主要包含以下幾個步驟:

1. 衝擊分析 (Impact Analysis)

問自己:「在這個區域裡,最不希望發生什麼事?」

從最壞的情況開始思考,並根據對業務的影響程度來評分。通常會考量:

  • 人員安全 (Health & Safety):是否會導致人員傷亡?
  • 環境衝擊 (Environmental):是否會造成環境污染?
  • 營運衝擊 (Operational):是否會導致生產中斷?產品品質下降?
  • 財務損失 (Financial):是否會造成設備損壞?訂單延遲?

2. 威脅識別 (Threat Identification)

問自己:「誰會來攻擊?他們為什麼要這麼做?」

回想我們在第一篇文章提到的攻擊者類型,並判斷哪一類最可能對這個區域構成威脅。

  • SL1 (意外):員工不小心點了釣魚郵件。
  • SL2 (簡單攻擊):心懷不滿的離職員工想搞破壞。
  • SL3 (專業駭客):為了勒索贖金或竊取商業機密的駭客組織。
  • SL4 (國家級):針對關鍵基礎設施的網軍。

3. 弱點評估 (Vulnerability Assessment)

問自己:「我們的防禦有哪些漏洞?」

誠實地檢視目前的安全狀況,找出潛在的弱點。

  • 系統是否使用預設密碼?
  • 是否有設備從未更新過修補程式?
  • 網路存取權限是否過於寬鬆?
  • 是否有實體的防護漏洞?(例如機櫃沒上鎖)

四、最終決策:從風險到目標安全等級 (SL-T)

當我們完成了對「衝擊」、「威脅」和「弱點」的分析後,就可以做出最終的決策了。這通常是一個團隊討論的過程,將評估結果對應到一個風險矩陣上。

風險矩陣的簡化邏輯:

衝擊大小事件發生的可能性風險等級建議的目標安全等級 (SL-T)
非常低SL 0 或 SL 1
SL 1
SL 2
SL 3
非常高 (災難性)任何可能性極高SL 3 或 SL 4

這不是絕對的公式,而是一個決策輔助工具。

實際案例:一座化學反應槽的控制系統

讓我們用一個具體例子來走一遍流程:

  1. 劃分區域:我們將「化學反應槽的 PLC 控制系統」劃分為一個獨立的 Zone
  2. 衝擊分析
    • 如果比例失控,可能導致化學品外洩,危害現場人員安全 (衝擊:非常高)。
    • 生產會立即中斷,造成巨大財務損失 (衝擊:高)。
  3. 威脅與弱點
    • 此系統透過網路與中央監控室連接,存在遠端入侵的可能 (可能性:中)。
    • 經檢查,PLC 仍在使用出廠預設密碼 (弱點:高)。
    • 綜合來看,一個具備 SL2 等級能力的攻擊者,就很有可能成功入侵 (可能性:高)。
  4. 決策
    • 我們面臨的是「非常高的衝擊」和「高的可能性」。
    • 從風險矩陣來看,這屬於「極高」風險。
    • 結論:此區域的目標安全等級 (SL-T) 應設定為 SL3,以確保有足夠的防護能力來應對此風險。

五、常見的誤區與提醒

  1. 「一刀切」的懶人做法:試圖為整個工廠設定同一個安全等級。這是最常見的錯誤,會導致重點區域防護不足,或是在次要區域浪費過多預算。
  2. 設定了目標卻不知現況:選擇了 SL-T 後,還需要評估系統當前的安全等級 (SL-A, Achieved)。SL-T 與 SL-A 之間的差距,就是你需要執行的改善項目清單
  3. 好高騖遠,追求完美:不是每個系統都需要 SL4。選擇一個符合實際風險、公司能負擔且可維護的等級,才是明智之舉。安全是一個持續的旅程,不是一次性的專案。

結語與下一步

恭喜你,現在你已經學會了如何為你的系統「診斷病情」和「決定藥方」,也就是如何透過風險評估來選擇合適的安全等級。這是從理論邁向實踐最關鍵的一步。

但是,決定了要達到 SL3 之後,具體該做哪些事呢? FR1 (身分識別) 在 SL3 下有什麼要求?FR5 (資料流限制) 又該如何實作?

在下一篇文章**「七大基礎要求 (FR) 詳解與實踐心法」**中,我們將深入探討這七大支柱在不同安全等級下的具體要求,將抽象的目標轉化為可執行的行動指南。


本系列文章將持續更新,期待在工控資安的學習路上一同成長。若有任何疑問或想法,都歡迎留言交流!

聯絡作者

歡迎透過以上方式與我交流資安技術與 CTF 心得!