台灣 | 中文(繁體)

IEC 62443 資訊安全系列標準

國際標準系列 IEC 62443「工業通訊網路 - 網路及系統安全」負責自動化的 IT 安全。其主題遍佈風險分析、安全操作要求,乃至產品的安全開發(資訊安全設計)。因此,IEC 62443 現在成為工廠營運者及裝置製造商有效實施資訊安全的最佳指南。
考量的範圍共有五大領域:資訊安全基本要求、地區和管道原則、資訊安全等級、資訊安全生命週期與風險分析。

IEC 62443 資訊安全系列標準

標準關鍵部分總覽:

適用於元件製造商 適用於系統整合商 適用於營運者
62443-4-1 開發流程 62443-2-4 準則及程序 62443-2-4 準則及程序
62443-4-2 適用元件的資訊安全功能 62443-3-2 適用於自動化及控制系統的資訊安全功能 62443-2-1 操作及服務
62443-3-3 適用於全自動化及控制系統的資訊安全功能

62443-3-3 適用於全自動化及控制系統的資訊安全功能

 

 

基本資訊安全要求

資訊安全要求

基本資訊安全要求 (基礎要求) 包括:

  • 識別及驗證
  • 用量追蹤
  • 系統完整性
  • 資料機密性
  • 受限資料流動
  • 及時反應事件
  • 資源可用性

有關這些各項基本要求,可使用定義的進一步系統要求作為資訊安全措施落實的基礎。

資訊安全等級

資訊安全等級

資訊安全等級定義工廠營運者或製造商想要使用安全措施達到的安全等級。由進階風險評估提供資訊。這定義了要保護的項目,並判斷此資產受攻擊的可能性。據此選擇資訊安全等級 (SL)。SL-2,防止「使用低資源、泛用技巧和低度動機等簡易方式的蓄意違規」,應視為目前的最低標準。若要維持此最低標準,公司需要一個特定的資訊安全成熟等級。若公司員工持續在便利貼上寫下密碼並貼在電腦螢幕上或不執行更新,就算有最佳防火牆也無用武之地。越是以資訊安全為核心的公司,整體的防護也會越高。因此,整體資訊安全概念非常重要。防火牆應用 SecurityBridge 可協助在整體概念中達到高資訊安全等級。

資訊安全等級一覽:
資訊安全等級 1:防止隨意或巧合違規
資訊安全等級 2:防止使用簡易方式的蓄意違規。
資訊安全等級 3:防止使用複雜方式的蓄意違規
資訊安全等級 4:防止使用擴張資源且複雜方式的蓄意違規

資訊安全風險評估

資訊安全開發流程屬於一般產品開發流程的延伸。其中一個遵循標準開發流程 (依 IEC 62443-4-1 – 安全產品開發生命週期要求) 的基本觀點為執行風險評估。這揭示了產品受到「網路空間」所帶來的危險與風險,以及採取措施將其降至最低限度。

在下列 6 步驟中應務必執行資訊安全風險評估:

  1. 識別資產:我要保護什麼?
  2. 分析威脅:我要保護資產的風險為何?
  3. 判斷相關保護目標:我要達成什麼目標?
  4. 分析及評估風險:發生風險的可能性為何?
  5. 選擇並實施保護措施:我能如何預防可能的風險?
  6. 彈性管理:遭受攻擊後該怎麼做?我可以如何更確保公司的資訊安全?
資訊安全風險評估

資訊安全生命週期

資訊安全生命週期

資訊安全是一種「移動目標」,亦即資訊安全會隨著專案的生命週期變化。攻擊者會開發越來越好的方式來攻克防禦措施,因此因應網路威脅的防禦措施必須持續改進。這項責任絕大部分要仰賴工廠的營運者。有效的安全策略可延長您工廠的使用壽命。機器建置商與元件製造商應立即通知營運者新的安全問題。您必須為您的裝置軟體提供更新,以讓客戶補救任何弱點。若流程與系統整合商有關,則整合商在製造商與營運者之間擔任中間人的角色。各方在整個產品生命週期中務必密切配合。唯有如此才能達到高度保護。

更多有關資訊安全 4.0

Contact

臺灣皮爾磁有限公司
10559
台北市松山區八德路三段36號10樓
台灣

電話號碼: +886 2 25700068
電子郵件: info@pilz.tw

技術支援

電話號碼: +886 2 2570 0068
電子郵件: info@pilz.tw