什麼是IEC 62443？深入了解工控資安的國際標準

因應工業控制系統業智慧化的發展趨勢，產業與政府紛紛提出針對工業控制系統相關的資訊安全保障法規與標準，其中最常被提出來參考引用之一的便是由國際電工委員會（International Electronical Commission）提出的IEC 62443工業網路與系統安全。

IEC 62443 是「工業自動化及控制系統」的安全標準，國際自動化學會（International Society for Automation；ISA）提出，並在美國國家標準協會（American National Standards Institute；ANSI）首次對外公開，早期稱為ANSI/ISA-99或ISA99，後來被IEC採納後，該標準同時通過ISA99和IEC（TC65WG10）的委員審核，所以在ISA發行的版本稱為ISA-62443-x-y，IEC發行的版本為IEC 62443-x-y。

工業控制系統在資訊安全上的問題有個明顯的特色，就是其影響的範圍或損害跟系統的電腦化或智慧化程度有正相關。各國政府近兩年的報告都發現網路駭客已將攻擊目標由一般商業組織轉向關鍵基礎設施及高科技製造業，藉由入侵其對外網路，逐步侵入工業控制系統所在網路，形成擴散效應。

因此，如何防止資訊安全的漏洞出現在升級後的系統，會是升級工業4.0前必須克服的一大問題。這些問題除了可能影響產品品質，甚至會影響生活與健康，進而造成非預期的損害。IEC 62443技術規範的主題是工業自動化和控制系統（Industrial Automation and Control Systems；IACS）的安全性標準，以解決因為應用所遇到的資訊安全問題。

IEC 62443簡介

此標準之技術規格適用於所有IACS的使用者 ，包括參與營運、維護、工程、元件製造等組織、以及受到控制系統影響或涉入其中的組織。該標準資訊技術（IT）與營運部門之間的協的重要性，以及工程與製造在確保企業整體安全中的關鍵角色。對於負責IACS網路管理的管理人員而言，此標準同樣至關重要。以下為本標準的結構圖，並提供簡化說明以供參考：

1. 一般（General）：所有與標準理念及其基礎概念、條款和方法有關的所有資料文件，說明自動化工業控制系統的問題與威脅，透過風險管理的概念說明資訊安全的重要性，並提出工業控制網路架構的參考模型（Reference Model） ，協助企業分層分析與提供防護機制建議。

2. 政策與步驟（Policies& Procedures）：概述了工業自動化和控制系統訊息技術安全管理體系及必要要求，針對資產擁有者（Asset Owner），也就是工廠的管理者，說明應該如何透過管理政策和流程規劃以確保生產運作的安全性。

3. 系統（System）：提出了技術規範，以系統整合商（System Integrator）的角度，說明透過需求討論、規劃設計、連線部署後的自動化運作工廠，從技術面如何確保這些整合後的自動化方案免於資訊安全攻擊的威脅，探討內容包含執行安全評估等方式作為IACS的設計指導方針。

4. 元件（Component）：控制系統元件的設計與開發要求，探討產品供應商（Product Supplier）的安全，說明如何確保導入自動化的設備機具之安全性，也就是定義與規範如何開發一個安全的產品。

IEC 62443目標和IEC 62443-4認證規範條件與設備類別簡述

IEC 62443的評估與認證包含申請人用正在開發的安全系統功能做評估、整合及維持特定產品的功能或解決辦法。其中，IEC 62443-4的IACS規範群體是資產所有者、系統整合商、產品供應商以及適當的認證機構。認證機構包括政府機構和監管機構，他們有法定權力進行審計，以驗證是否符合相關法律和法規，以下針對上表簡要闡述說明其內容精神。

系統整合商（System Integrator）使用本標準規範來協助他們採購符合IACS解決方案的控制系統元件，亦即通過IEC 62443規範的系統元件。協助的形式是幫助系統整合商指定他們所需的各個元件的適當安全能力等級。

系統整合商的主要標準是IEC 62443-2-1、IEC 62443-2-4、IEC 62443-3-2和IEC 62443-3-3，這些標準提供了安全管理系統的組織和操作要求，並指導他們定義系統的安全區域和這些區域的目標安全能力等級（Security Level - Target；SL-T）。一旦定義了每個區域的SL-T，就可以使用提供必要安全能力的元件來實現每個區域的SL-T。

產品供應商(Product Supplier)使用本標準規範來了解控制系統元件對這些元件的特定安全能力級別 （Security Level - Component；SL-C）的要求。

元件本身可能不提供所需的能力，但可能被設計成與更高層次的實體整合，從而受益於該實體的能力--例如，嵌入式設備本身可能不維護用戶目錄，但可能與系統範圍內的身份驗證和授權服務整合，從而仍然滿足提供單個用戶身份驗證、授權和管理能力的要求。

IEC 62443-4所申明的元件要求（Component Requirement；CR）源自IEC 62443-3-3中的系統要求（System Requirement；SR）。IEC 62443-3-3中的要求被稱為SR，SR是從IEC 62443-1-1中定義的總體基礎要求（Foundational Requirement；FR）衍生出來的。

CR還可以包括一組需求增強（Requirement Enhancement；RE）。 CR和RE的組合將決定一個元件能夠達到的目標安全級別。

以下列出IEC 62443-4所提供的4種類型的元件需求，即每個類別的目標安全級別。1. 軟體應用要求（Software Application Requirements；SAR）。2. 嵌入式設備要求（Embedded Device Requirement；EDR）。3. 主機設備要求（Host Device Requirement；HDR）。4. 網路設備要求（Network Device Requirement；NDR）。

華邦電子的安全快閃記憶體解決方案

華邦電子（Winbond）作為全球領先的半導體記憶體解決方案供應商，提供符合嚴格網路安全認證要求的安全快閃記憶體產品。

華邦電子的高效能、具備強大安全性的快閃記憶體支援安全啟動（Secure Boot）、安全儲存（Secure Storage），具備PQC（Post-Quantum Cryptography）的身份驗證韌體更新 （Authenticated Firmware Updates）及平台完整性驗證 等功能（Platform Integrity Verification），並符合全球安全標準，如NIST 800-193、NIST 800-208、EN18031，並已通過Common Criteria（共同準則） 及 SESIP（Security Evaluation Standard for IoT Platforms）認證。

若對應到前文所介紹的IEC 62443的標準規範，可以用下圖來做一個各種主要資訊安全標準的對照，同時也可以看到華邦電子的安全快閃記憶體系列產品W75F、W77Q和W77T可以支援完整的IEC 62443的Security Level（Target）。

結論

華邦電子的安全快閃記憶體解決方案幫助系統製造商達成產業法規合規要求，提升平台安全性，並防範針對硬體漏洞的網路攻擊。如需進一步了解華邦電子的安全快閃記憶體產品，請造訪華邦官網：華邦安全快閃記憶體。下載最新硬體資安安全白皮書。