寫在前面:如何證明你蓋的堡壘真的很堅固?
在前面的文章中,我們已經學會了如何選擇目標安全等級 (SL),並了解了為了達標,必須實作哪些基礎要求 (FR)。這就像我們已經拿到了一份詳細的「堡壘設計藍圖」,上面標明了需要多厚的牆 (FR3)、多堅固的門 (FR1)、多嚴密的崗哨 (FR2) 等等。
現在,一個更深層次的問題來了:你如何證明這座堡壘是嚴格按照藍圖建造的?你怎麼能相信建造過程沒有偷工減料?當堡壘建成後,你又如何確保它能被妥善地維護,而不是逐漸荒廢?
回答這些問題的核心,就是我們今天的主角——安全保證需求 (Security Assurance Requirements, SAR)。SAR 關乎的不是「有什麼功能」,而是「這些功能的品質與可信度有多高」。
一、FR 與 SAR 的根本區別:建材 vs. 施工品質
為了徹底理解 SAR,我們必須先釐清它與 FR 的根本不同。讓我們用「建造一棟大樓」來比喻:
比較項目 | 基礎要求 (FR) | 安全保證需求 (SAR) |
---|---|---|
核心焦點 | 技術功能 (The “What”) | 流程與證據 (The “How Well”) |
回答問題 | 「大樓用了哪些建材?」 | 「施工品質如何?有沒有偷工減料?」 |
具體例子 | 是否用了防火門?(FR1) 是否有監視器?(FR6) | 防火門的檢驗報告在哪? 監視器系統的測試紀錄? 工地的施工日誌? |
最終目標 | 具備安全「能力」 | 證明安全能力是「可信賴」且「可持續」的 |
簡單來說,FR 是產品規格書上的功能列表,而 SAR 則是證明這些功能被正確設計、嚴謹測試、並被妥善維護的全套「履歷與證明文件」。只有 FR,沒有 SAR,就相當於一個宣稱自己很安全的「口說無憑」的系統。
二、SAR 的核心支柱:建立信任的流程
IEC 62443-3-3
中定義的 SAR,可以被歸納為三大核心支柱,它們共同構成了從設計到維運的完整信任鏈。
支柱一:安全的設計與文件 (Secure by Design)
精神:安全不是事後補救,而是從一開始就內建於 DNA 中。
這要求在專案的最初階段就把安全考慮進去,並留下完整的文件紀錄。
- 安全需求規格書 (
SAR-1
): 明確寫下這個系統需要達到哪些安全目標和要求。這就是一切的起點。 - 安全設計文件 (
SAR-2
): 針對上述需求,提出具體的設計方案。例如,「為了滿足 FR1 的 MFA 要求,我們設計採用 TOTP 演算法搭配後端驗證伺服器」。
支柱二:嚴謹的測試與驗證 (Rigorous Verification & Validation)
精神:「信任,但更要驗證。」光說不練假把戲,拿出證據來。
這要求對實作出的安全功能進行徹底的測試,證明它們確實有效。
- 安全實作審查 (
SAR-3
): 檢查程式碼或系統設定,確保其實作方式符合安全設計。 - 安全驗證與確認測試 (
SAR-4
): 這是最關鍵的一步,包含功能測試、弱點掃描、甚至滲透測試等,並產出正式的測試報告來證明「我們測過了,它真的行」。
支柱三:健全的變更與維運管理 (Robust Management of Change & Issues)
精神:安全是一個持續的旅程,不是一次性的專案。
這要求在系統上線後,仍有健全的流程來應對新的威脅與變化。
- 安全問題管理 (
SAR-5
): 建立一個流程,當發現新的安全漏洞時,如何追蹤、修補並通知客戶。 - 安全更新管理 (
SAR-6
): 具備發布安全修補程式 (Patch) 的能力與計畫。 - 安全指南 (
SAR-7
): 提供給使用者(例如工廠操作員)一份清晰的安全操作手冊,指導他們如何正確、安全地使用與維護這個系統。
三、SAR 如何與安全等級 (SL) 掛鉤?
SAR 的要求強度,會隨著你追求的安全等級 (SL) 而大幅提升。對「施工品質」的要求,自然是蓋一間茅草屋和蓋一棟摩天大樓完全不同。
- SL 1 (基本保證):
- 可能只需要有非正式的設計文件和測試紀錄即可。重點是「有做」。
- SL 2 (強化保證):
- 需要有正式的文件,且文件之間要有可追溯性(例如,測試案例要能對應到設計需求)。
- SL 3 (專業保證):
- 文件需要非常詳盡,且測試過程需要更為嚴謹(例如,更廣泛的測試覆蓋率)。可能需要有獨立的團隊來進行驗證。
- SL 4 (最高保證):
- 要求最為嚴苛,除了極為詳盡的文件與測試外,通常還需要第三方的獨立稽核與驗證,來提供最高等級的信心。
四、SAR 為何對你如此重要?
你可能會覺得 SAR 聽起來很繁瑣,都是文件和流程,但它能帶來實質的價值。
對於資產擁有者 (工廠/業主) 來說: 當你採購一套宣稱符合 IEC 62443 的系統時,SAR 就是你的「照妖鏡」。你可以要求供應商提供相關的 SAR 證明文件(如測試報告、安全設計文件),來判斷他們是真槍實彈,還是只是在市場行銷上喊口號。它讓你從一個被動的買家,變成一個懂門道的專家。
對於系統整合商/產品供應商來說: 遵循 SAR 的流程,雖然前期投入較高,但能打造出更穩定、更安全的產品,大幅減少事後修補漏洞的成本。更重要的是,通過 SAR 的考驗,相當於獲得了一張高品質的「認證標章」,能在市場競爭中建立客戶的信任,脫穎而出。
結語與下一步
我們今天學到了一個關鍵觀念:FR (功能) + SAR (保證) = 可信賴的安全。FR 告訴我們需要哪些武器,而 SAR 確保我們擁有的這些武器是精良、可靠且隨時能上戰場的。
至此,我們已經深入探討了系統層級的安全要求 (FR) 與保證要求 (SAR)。然而,驅動這一切決策的源頭是什麼?是風險。
在下一篇文章**「如何像專家一樣進行風險評估」**中,我們將回歸原點,但會用更深入、更結構化的方式,帶你一步步走過完整的風險評估流程。這將是整合前四篇文章知識,並將其應用於真實世界的第一步。
本系列文章將持續更新,期待在工控資安的學習路上一同成長。若有任何疑問或想法,都歡迎留言交流!