國際自動化學會(ISA)的ISA99委員會和IEC技術委員會65工作組10多年來一直在合作開發ISA/IEC 62443工業自動化和控製係統(IACS)網絡安全標準。自ISA於2003年發布第一個標準以來,根據潛在後果定義標準的範圍一直是一個基本概念。
雖然廣泛的適用性一直是目的,但人們普遍認為它們最適合於化工和煉油等過程工業。盡管如此,在其他領域也有一些成功應用的例子,如交通運輸、樓宇自動化、金屬和采礦以及離散製造業。與此同時,一些行業針對其情況製定了具體的標準。也許其中最著名的是NERC CIP係列標準。
與特定部門標準相關的挑戰之一是,許多大型企業在多個部門都有設施。例如,如果一家大型化學加工公司有一個電力和蒸汽聯產工廠,他們是否必須根據多個標準來製定網絡安全計劃?現實情況是,雖然過程的性質在各個部門可能有所不同,但用於過程自動化的產品和技術實際上可能是相同的。分布式控製係統(DCS)、可編程邏輯控製(PLC)、監控和數據采集(SCADA)由其供應商設計用於廣泛的應用。
IEC指定62443為水平標準
國際電工委員會(IEC)最近通過正式指定IEC 62443標準為“橫向”,這意味著它們適用於廣泛的行業,承認了這一點。引用自IEC網站IEC技術委員會65 (TC 65)發布了IEC 62443,用於工業和關鍵基礎設施的操作技術,包括但不限於電力公用事業、水管理係統、醫療保健和運輸係統。這些水平標準,也稱為基礎標準,與技術無關。它們可以應用於許多技術領域。”
雖然這可能被許多人視為一個過程或程序細節,但它將產生重大影響。代表特定行業需求和利益的其他各種IEC技術委員會可能會根據62443標準的內容開展網絡安全相關工作,重點是定義在特定情況下如何解釋和應用這些標準。這幾乎肯定會導致為此目的創建一組特定於行業的概要文件。為了幫助實現這一目標,TC65 WG10正在製定如何製定此類概要文件的指南,而不是追求特定行業的、可能不一致的標準。指南、框架、培訓材料和其他資源也可以更廣泛地關注,納入許多部門的需求。
如上例所述,這種方法將使在多個部門存在或接觸的最終用戶和資產所有者受益。他們將擁有與自動化係統網絡安全相關的基本原則和要求的單一來源,使他們能夠專注於這些原則和要求如何應用於他們的特定情況。據推測,這將有助於減少目前出現的一些困惑,當人們問“適用什麼標準?”,並將稀缺資源集中用於實施全麵的網絡安全計劃。
自動化係統供應商也將受益,因為他們將能夠使用一套基於62443的通用一致性規範,為更廣泛的應用認證他們的產品。IEC TC65 WG10和ISA99委員會將繼續密切合作,為所有潛在利益相關者推進62443標準。雖然這些標準已經成熟並得到驗證,但麵對工業物聯網、傳感器級安全以及供應鏈等領域的當前需求和限製,仍有許多工作要做。
雖然仍有許多細節需要解決,但我們應該讚揚這一決定,因為它對自動化網絡安全社區有益。