IEC 62443 系列教學 (三):七大基礎要求 (FR) 詳解與實踐心法

寫在前面:拿到藥方後,該如何精準用藥?

在前面的文章中,我們學會了如何「診斷病情」(風險評估)並開立「藥方」(選擇目標安全等級 SL-T)。現在,我們手上拿著一張寫著「SL2」或「SL3」的藥方,接下來最關鍵的問題是:這張藥方對應的具體藥物和劑量是什麼?

這篇文章,就是這份「用藥說明書」。我們將逐一拆解七大基礎要求(Foundational Requirements, FR),詳細說明在不同的安全等級(SL)下,每一個要求需要做到什麼程度。

可以這樣比喻: 這 7 個 FR 就像學校裡的 7 個科目(國文、數學、英文…),而安全等級 SL 就像是你需要達成的成績目標(及格、良好、優秀)。想拿到「優秀 (SL3)」的成績,你在每個科目上需要付出的努力和達到的標準,自然遠高於「及格 (SL1)」。


七大基礎要求的 SL 等級演進

以下,我們將深入探討每個 FR 從 SL1 到 SL4 的要求是如何層層遞進的。

FR 1 - 識別與認證控制 (Identification and Authentication Control)

核心精神:「確認你是誰,並驗證你的身份。」

  • SL 1 (基本要求)
    • 為每位使用者(包含操作員、維護人員)提供唯一的帳號
    • 使用密碼進行身份驗證。
  • SL 2 (強化要求)
    • 實施強密碼原則(例如:長度、複雜度、定期更換)。
    • 導入角色為基礎的存取控制 (RBAC),不同角色(如操作員 vs. 工程師)擁有不同帳號。
  • SL 3 (專業要求)
    • 強制使用多因子認證 (MFA),例如:密碼 + 手機驗證碼。
    • 具備集中式的帳號管理機制(如:整合 Active Directory)。
  • SL 4 (最高要求)
    • 使用更先進的 MFA(如:生物辨識、智慧卡)。
    • 對所有遠端連線強制執行 MFA。
    • 嚴格的連線逾時與工作階段管理。

FR 2 - 使用控制 (Use Control)

核心精神:「即使你進了門,也只能做你被允許做的事。」

  • SL 1 (基本要求)
    • 能限制使用者對系統功能的存取(例如:某帳號只能觀看,不能修改參數)。
  • SL 2 (強化要求)
    • 基於使用者角色,提供更細緻的權限劃分(Read, Write, Execute)。
    • 支援職責分離 (Separation of Duties) 原則。
  • SL 3 (專業要求)
    • 嚴格執行最小權限原則 (Principle of Least Privilege),只給予完成任務所需的最小權限。
    • 對權限的變更和使用進行稽核記錄。
  • SL 4 (最高要求)
    • 對特權帳號的使用進行即時監控與審核。
    • 支援動態的權限管理。

FR 3 - 系統完整性 (System Integrity)

核心精神:「保護系統軟硬體與資料,不被未經授權的竄改。」

  • SL 1 (基本要求)
    • 具備基本的實體防護,防止未授權人員接觸設備。
  • SL 2 (強化要求)
    • 安裝並定期更新防毒軟體或惡意程式防護機制。
    • 能透過機制(如:雜湊值/校驗碼)檢查軟體或韌體的完整性。
  • SL 3 (專業要求)
    • 導入應用程式白名單,只允許被認可的程式執行。
    • 在系統啟動時進行安全驗證(Secure Boot)。
  • SL 4 (最高要求)
    • 透過硬體信任根(Hardware Root of Trust)來確保開機過程與韌體的絕對完整性。
    • 對任何系統設定的變更進行即時監控與告警。

FR 4 - 資料機密性 (Data Confidentiality)

核心精神:「保護敏感的資訊,防止被偷窺或竊取。」

  • SL 1 (基本要求)
    • 識別需要保護的敏感資訊,並限制其存取。
  • SL 2 (強化要求)
    • 儲存中 (at rest) 的敏感資料(如:儲存在硬碟中的配方)進行加密。
  • SL 3 (專業要求)
    • 傳輸中 (in transit) 的敏感資料(如:透過網路傳輸的控制指令)使用強加密協定(如 TLS 1.2+)進行保護。
  • SL 4 (最高要求)
    • 實施端到端的加密。
    • 具備防止資料外洩 (DLP) 的機制。

FR 5 - 限制資料流 (Restricted Data Flow)

核心精神:「建立清晰的網路邊界,嚴格控管跨區的交通。」

  • SL 1 (基本要求)
    • 在 IT 與 OT 網路之間部署防火牆,進行基本的網路隔離。
  • SL 2 (強化要求)
    • 明確劃分區域 (Zones) 與管道 (Conduits),並在區域邊界上實施存取控制規則。
    • 建立一個可信的非軍事區 (DMZ)。
  • SL 3 (專業要求)
    • 在關鍵區域邊界使用具備深度封包檢測 (DPI) 功能的工業防火牆。
    • 針對需要極高安全性的區域,考慮使用單向閘道 (Unidirectional Gateway)
  • SL 4 (最高要求)
    • 對最關鍵的區域實施完全的網路隔離,或僅透過資料二極體 (Data Diode) 進行單向通訊。

FR 6 - 及時回應事件 (Timely Response to Events)

核心精神:「能及早發現異常,並在事件發生時迅速做出反應。」

  • SL 1 (基本要求)
    • 系統能產生安全事件日誌 (Log),並有人工定期審查。
  • SL 2 (強化要求)
    • 將各設備的日誌集中到一台日誌伺服器(如 SIEM),以便統一分析。
    • 對重要的安全事件能產生告警。
  • SL 3 (專業要求)
    • 具備即時的自動化告警機制。
    • 建立並演練正式的事件應變計畫 (Incident Response Plan)
  • SL 4 (最高要求)
    • 具備主動威脅獵捕 (Threat Hunting) 的能力。
    • 保留完整的鑑識 (Forensics) 證據,以便事後追蹤溯源。

FR 7 - 資源可用性 (Resource Availability)

核心精神:「確保系統服務不會中斷,能抵抗攻擊或容忍故障。」

  • SL 1 (基本要求)
    • 具備基本的實體與環境保護(如:穩定的電力供應)。
  • SL 2 (強化要求)
    • 能抵禦基本的阻斷服務 (DoS) 攻擊。
    • 關鍵組件具備備援電源(如 UPS)。
  • SL 3 (專業要求)
    • 具備更強的 DoS 防護能力。
    • 關鍵的伺服器或網路路徑具備備援機制 (Redundancy / Failover)
  • SL 4 (最高要求)
    • 系統設計具備容錯能力 (Fault Tolerant),無單點故障風險。
    • 具備異地備援的災難復原計畫。

實踐心法:給實作人員的四個建議

  1. 善用「補償性控制 (Compensating Controls)」 在 OT 環境,你不可能為了修補漏洞就隨意升級或更換一台運作了 20 年的 PLC。當你無法直接在設備本身滿足要求時(例如無法安裝防毒軟體),可以透過「補償性控制」來達到目的。例如,在 PLC 前端加裝一台工業防火牆,嚴格限制誰能存取它,這同樣能降低風險。

  2. 不要重新發明輪子 市面上許多成熟的資安產品(如:工業防火牆、SIEM、MFA 解決方案)就是為了滿足這些要求而設計的。了解標準能幫助你更精準地選擇合適的工具。

  3. 從「皇冠上的寶石」開始 一次到位是理想,但分階段實施更實際。利用在第二篇文章學到的風險評估方法,找出你系統中「風險最高、衝擊最大」的關鍵區域(皇冠上的寶石),優先將資源投入,把它的安全等級提升到目標。

  4. 記住:人與流程是防線的基石 再好的技術,如果沒有好的管理流程(如:變更管理、帳號審核)和訓練有素的人員,效果都會大打折扣。IEC 62443 的成功導入,技術、流程、人員三者缺一不可。

結語與下一步

到此為止,我們已經將抽象的「安全等級」目標,轉化為了一份詳盡的「行動清單」。你現在應該非常清楚,為了達到特定的 SL,需要在七大基礎要求上分別做到什麼程度。

但故事還沒結束。做到這些要求是一回事,如何向稽核員或客戶「證明」你確實做到了,並且能「持續、可靠地」維持下去? 這就涉及到了標準的另一大支柱:安全保證需求 (SAR)。

在下一篇文章**「安全保證需求 (SAR) 的深度解析」**中,我們將探討如何建立一個值得信賴的開發與維護流程,確保你的安全不是曇花一現。


本系列文章將持續更新,期待在工控資安的學習路上一同成長。若有任何疑問或想法,都歡迎留言交流!

聯絡作者

歡迎透過以上方式與我交流資安技術與 CTF 心得!