資安標準系列 IEC 62443

國際標準系列 IEC 62443「工業通訊網路 – 網路及系統安全」涉及自動化的 IT 安全。其主題遍佈風險分析、安全操作要求，乃至產品的安全開發（資訊安全設計）。因此，在有效實行資安方面，IEC 62443 目前為工廠操作人員和裝置製造商提供最佳定向指南。
其著眼於五個方面：基本工業資安要求、區塊和管道的原則、資安層級、資安生命週期及風險分析。

我們是安全專家。對我們來說重要的是，我們的產品不僅安全而且可靠。因此，我們委託 TÜV Süd 詳細檢查我們的開發程序，並根據標準 IEC 62443-4-1 進行測試，該標準定義了安全產品開發，即「資訊安全開發生命週期程序」（SDL 程序）。即使在設計新產品時，此方法也會檢查潛在資訊安全特色。旨在確保藉由對威脅建模而偵測產品的所有資安風險，在理想情況下，可在開發程序期間在產品中進行修正。

此審核的結果：Pilz 的開發符合標準的要求，並符合 SDL 程序。因此，我們可以肯定：Pilz 的開發不僅安全，而且可靠！
依據 TÜV Süd 的說法，Pilz 非常重視依據 IEC 62443-4-1 開發安全產品，並為後續產品認證奠定穩固基礎。

基本資安要求（基礎要求）包含：

• 識別和身分驗證
• 使用控制
• 系統完整性
• 資料機密性
• 限制資料流量
• 對事件及時應變
• 資源可用性

針對每項基礎要求定義進一步系統要求，可用作實行資安措施的基礎。

資訊安全等級定義工廠經營者或製造商想要使用資安措施達成的資訊安全等級。資訊透過事先風險評估提供。這定義了要保護的項目，並判斷此資產受攻擊的可能性。據此選擇資訊安全等級（SL）。SL-2，即防止「使用低資源、通用技能及低動機的簡單手段故意違反行為」現今應視為最低標準。若要維持此最低標準，公司需要一個特定的資訊安全成熟等級。若公司員工持續在便利貼上寫下密碼並貼在電腦螢幕上或不執行更新，就算有最佳防火牆也無用武之地。公司在資安問題上參與越多，則整體保護將越高。因此，整體資訊安全概念非常重要。防火牆應用 SecurityBridge 可協助在整體概念中達到高資訊安全等級。

資訊安全等級一覽：
資訊安全等級 1：防止隨意或偶然違規
資訊安全等級 2：防止使用簡易方式的蓄意違規。
資訊安全等級 3：防止使用複雜方式的蓄意違規
資訊安全等級 4：防止使用擴張資源且複雜方式的蓄意違規

資訊安全開發流程屬於一般產品開發流程的延伸。 其中一個遵循標準開發流程（依 IEC 62443-4-1 – 安全產品開發生命週期要求）的基本觀點為執行風險評估。 這揭示了產品受到「網路空間」所帶來的危險與風險，以及採取措施將其降至最低限度。

在下列 6 步驟中應務必執行資訊安全風險評估：

1. 識別資產：我要保護什麼？
2. 分析威脅：我要保護資產的風險為何？
3. 判斷相關保護目標：我要達成什麼目標？
4. 分析及評估風險：發生風險的可能性為何？
5. 選擇並實施保護措施：我能如何預防可能的風險？
6. 彈性管理：遭受攻擊後該怎麼做？如何將資安理念更紮根在公司內部？

資安是「移動目標」，即資安會在產品生命週期中改變。攻擊者會開發越來越好的方式來攻克防禦措施，因此因應網路威脅的防禦措施必須持續改進。這項責任絕大部分要仰賴工廠的營運者。有效的安全策略可延長您工廠的使用壽命。機器製造商和元件製造商應立即通知操作人員新的資安問題。您必須為您的裝置軟體提供更新，以讓客戶補救任何弱點。若流程與系統整合商有關，則整合商在製造商與營運者之間擔任中間人的角色。各方在整個產品生命週期中務必密切配合。唯有如此才能達到高度保護。