IEC 62443 系列教學 (四):安全保證需求 (SAR) 的深度解析

寫在前面:如何證明你蓋的堡壘真的很堅固?

在前面的文章中,我們已經學會了如何選擇目標安全等級 (SL),並了解了為了達標,必須實作哪些基礎要求 (FR)。這就像我們已經拿到了一份詳細的「堡壘設計藍圖」,上面標明了需要多厚的牆 (FR3)、多堅固的門 (FR1)、多嚴密的崗哨 (FR2) 等等。

現在,一個更深層次的問題來了:你如何證明這座堡壘是嚴格按照藍圖建造的?你怎麼能相信建造過程沒有偷工減料?當堡壘建成後,你又如何確保它能被妥善地維護,而不是逐漸荒廢?

回答這些問題的核心,就是我們今天的主角——安全保證需求 (Security Assurance Requirements, SAR)。SAR 關乎的不是「有什麼功能」,而是「這些功能的品質與可信度有多高」。


一、FR 與 SAR 的根本區別:建材 vs. 施工品質

為了徹底理解 SAR,我們必須先釐清它與 FR 的根本不同。讓我們用「建造一棟大樓」來比喻:

比較項目基礎要求 (FR)安全保證需求 (SAR)
核心焦點技術功能 (The “What”)流程與證據 (The “How Well”)
回答問題「大樓用了哪些建材?」施工品質如何?有沒有偷工減料?」
具體例子是否用了防火門?(FR1)
是否有監視器?(FR6)
防火門的檢驗報告在哪?
監視器系統的測試紀錄
工地的施工日誌
最終目標具備安全「能力」證明安全能力是「可信賴」且「可持續」的

簡單來說,FR 是產品規格書上的功能列表,而 SAR 則是證明這些功能被正確設計、嚴謹測試、並被妥善維護的全套「履歷與證明文件」。只有 FR,沒有 SAR,就相當於一個宣稱自己很安全的「口說無憑」的系統。


二、SAR 的核心支柱:建立信任的流程

IEC 62443-3-3 中定義的 SAR,可以被歸納為三大核心支柱,它們共同構成了從設計到維運的完整信任鏈。

支柱一:安全的設計與文件 (Secure by Design)

精神:安全不是事後補救,而是從一開始就內建於 DNA 中。

這要求在專案的最初階段就把安全考慮進去,並留下完整的文件紀錄。

  • 安全需求規格書 (SAR-1): 明確寫下這個系統需要達到哪些安全目標和要求。這就是一切的起點。
  • 安全設計文件 (SAR-2): 針對上述需求,提出具體的設計方案。例如,「為了滿足 FR1 的 MFA 要求,我們設計採用 TOTP 演算法搭配後端驗證伺服器」。

支柱二:嚴謹的測試與驗證 (Rigorous Verification & Validation)

精神:「信任,但更要驗證。」光說不練假把戲,拿出證據來。

這要求對實作出的安全功能進行徹底的測試,證明它們確實有效。

  • 安全實作審查 (SAR-3): 檢查程式碼或系統設定,確保其實作方式符合安全設計。
  • 安全驗證與確認測試 (SAR-4): 這是最關鍵的一步,包含功能測試、弱點掃描、甚至滲透測試等,並產出正式的測試報告來證明「我們測過了,它真的行」。

支柱三:健全的變更與維運管理 (Robust Management of Change & Issues)

精神:安全是一個持續的旅程,不是一次性的專案。

這要求在系統上線後,仍有健全的流程來應對新的威脅與變化。

  • 安全問題管理 (SAR-5): 建立一個流程,當發現新的安全漏洞時,如何追蹤、修補並通知客戶。
  • 安全更新管理 (SAR-6): 具備發布安全修補程式 (Patch) 的能力與計畫。
  • 安全指南 (SAR-7): 提供給使用者(例如工廠操作員)一份清晰的安全操作手冊,指導他們如何正確、安全地使用與維護這個系統。

三、SAR 如何與安全等級 (SL) 掛鉤?

SAR 的要求強度,會隨著你追求的安全等級 (SL) 而大幅提升。對「施工品質」的要求,自然是蓋一間茅草屋和蓋一棟摩天大樓完全不同。

  • SL 1 (基本保證):
    • 可能只需要有非正式的設計文件和測試紀錄即可。重點是「有做」。
  • SL 2 (強化保證):
    • 需要有正式的文件,且文件之間要有可追溯性(例如,測試案例要能對應到設計需求)。
  • SL 3 (專業保證):
    • 文件需要非常詳盡,且測試過程需要更為嚴謹(例如,更廣泛的測試覆蓋率)。可能需要有獨立的團隊來進行驗證。
  • SL 4 (最高保證):
    • 要求最為嚴苛,除了極為詳盡的文件與測試外,通常還需要第三方的獨立稽核與驗證,來提供最高等級的信心。

四、SAR 為何對你如此重要?

你可能會覺得 SAR 聽起來很繁瑣,都是文件和流程,但它能帶來實質的價值。

  • 對於資產擁有者 (工廠/業主) 來說: 當你採購一套宣稱符合 IEC 62443 的系統時,SAR 就是你的「照妖鏡」。你可以要求供應商提供相關的 SAR 證明文件(如測試報告、安全設計文件),來判斷他們是真槍實彈,還是只是在市場行銷上喊口號。它讓你從一個被動的買家,變成一個懂門道的專家。

  • 對於系統整合商/產品供應商來說: 遵循 SAR 的流程,雖然前期投入較高,但能打造出更穩定、更安全的產品,大幅減少事後修補漏洞的成本。更重要的是,通過 SAR 的考驗,相當於獲得了一張高品質的「認證標章」,能在市場競爭中建立客戶的信任,脫穎而出。

結語與下一步

我們今天學到了一個關鍵觀念:FR (功能) + SAR (保證) = 可信賴的安全。FR 告訴我們需要哪些武器,而 SAR 確保我們擁有的這些武器是精良、可靠且隨時能上戰場的。

至此,我們已經深入探討了系統層級的安全要求 (FR) 與保證要求 (SAR)。然而,驅動這一切決策的源頭是什麼?是風險

在下一篇文章**「如何像專家一樣進行風險評估」**中,我們將回歸原點,但會用更深入、更結構化的方式,帶你一步步走過完整的風險評估流程。這將是整合前四篇文章知識,並將其應用於真實世界的第一步。


本系列文章將持續更新,期待在工控資安的學習路上一同成長。若有任何疑問或想法,都歡迎留言交流!

聯絡作者

歡迎透過以上方式與我交流資安技術與 CTF 心得!