注：每日專欄發(fā)布上限5篇，更多資訊歡迎進(jìn)群了解。

文章來源：?上海軌交無人駕駛工程技術(shù)中心

源網(wǎng)址：https://mp.weixin.qq.com/s/_qry6rzv-LQbL9p7BXDW1A

華晟

卡斯柯信號(hào)有限公司高級(jí)工程師，高級(jí)網(wǎng)絡(luò)安全工程師，持有CISSP等信息安全類證書，IEEE ComSoc等協(xié)會(huì)會(huì)員，長(zhǎng)期從事國(guó)內(nèi)外地鐵信號(hào)系統(tǒng)網(wǎng)絡(luò)安全的設(shè)計(jì)及開發(fā)工作，包括廈門地鐵2號(hào)線、南通地鐵1號(hào)線、埃及齋月十日城線等項(xiàng)目。

我國(guó)于2017年6月開始施行《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，隨后軌道交通行業(yè)開始按照GB/T 22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》系列標(biāo)準(zhǔn)（等保1.0）進(jìn)行網(wǎng)絡(luò)安全建設(shè)和測(cè)評(píng)工作，2019年該標(biāo)準(zhǔn)更新為GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（等保2.0），之后各行業(yè)依照此標(biāo)準(zhǔn)繼續(xù)開展網(wǎng)絡(luò)安全相關(guān)工作。

歐盟于2019年6月開始施行《歐盟網(wǎng)絡(luò)安全法》，陸續(xù)開始要求在工程項(xiàng)目上按IEC 62443來實(shí)施網(wǎng)絡(luò)安全建設(shè)。2020年全球首張IEC 62443-3-3 CB證書頒發(fā)，2022年全球軌交行業(yè)首張IEC 62443-3-3 VOC證書頒發(fā)。

隨著“一帶一路”的推行，與網(wǎng)絡(luò)安全相關(guān)的海外項(xiàng)目也越來越多，例如筆者參與的項(xiàng)目中，埃及、澳大利亞等地已要求按IEC 62443來進(jìn)行網(wǎng)絡(luò)安全的建設(shè)，并由第三方機(jī)構(gòu)來做認(rèn)證或?qū)徲?jì)。那么IEC 62443-3-3和國(guó)內(nèi)的等保2.0各自有何特點(diǎn)？下文將做簡(jiǎn)要對(duì)比。

一、關(guān)于IEC 62443-3-3

IEC 62443系列標(biāo)準(zhǔn)從2009年開始陸續(xù)發(fā)布，全稱為工業(yè)通信網(wǎng)絡(luò)--網(wǎng)絡(luò)和系統(tǒng)安全（2015年開始稱為工業(yè)自動(dòng)化和控制系統(tǒng)的安全），是全球公認(rèn)的針對(duì)工業(yè)信息安全的系列標(biāo)準(zhǔn)，在兼顧ISO 27001（信息安全管理體系）、NIST SP800（美國(guó)信息安全指南系列）等多個(gè)行業(yè)或地區(qū)標(biāo)準(zhǔn)的情況下，形成了一個(gè)完備的標(biāo)準(zhǔn)體系，分四大部分，共14個(gè)標(biāo)準(zhǔn)（目前已發(fā)布9個(gè)），如下圖所示：

IEC 62443-3-3是系統(tǒng)安全需求和安全標(biāo)準(zhǔn)，它是針對(duì)系統(tǒng)的認(rèn)證，也是3系中唯一可進(jìn)行認(rèn)證的部分。它劃分了5個(gè)安全等級(jí)（Security Levels，SLs）：

●?SL0：沒有特定的要求或安全保護(hù)需要。

●?SL1：抵御某些具有偶然性或巧合性的威脅攻擊。

●?SL2：抵御簡(jiǎn)單的故意性威脅攻擊，該威脅攻擊具有通用方法，使用低資源并具有低動(dòng)機(jī)的特點(diǎn)。

●?SL3：抵御復(fù)雜的故意性威脅攻擊，該威脅攻擊采用系統(tǒng)性特定的方法，使用中等資源并具有中動(dòng)機(jī)的特點(diǎn)。

●?SL4：抵御復(fù)雜的故意性威脅攻擊，該威脅攻擊采用系統(tǒng)性特定的方法，使用擴(kuò)展性資源并具有高動(dòng)機(jī)的特點(diǎn)。

從以上5個(gè)安全等級(jí)可以看到，它是按照抵御攻擊的能力來劃分等級(jí)的。目前，軌交行業(yè)全球各大系統(tǒng)集成商多以SL2為近期目標(biāo)、以SL3為中遠(yuǎn)期目標(biāo)進(jìn)行研究、開發(fā)、設(shè)計(jì)和部署，業(yè)主單位一般需求為SL2或者沒有明確的需求（與系統(tǒng)集成商協(xié)商），從實(shí)際需求內(nèi)容來看有的已達(dá)到SL3的要求。

IEC 62443-3-3從識(shí)別與認(rèn)證控制、使用控制、系統(tǒng)完整性、數(shù)據(jù)保密性、數(shù)據(jù)流限制、事件實(shí)時(shí)響應(yīng)、資源可用性這7個(gè)維度闡述了系統(tǒng)安全的基礎(chǔ)需求（Foundational Requirements，F(xiàn)Rs）。在基礎(chǔ)需求下是系統(tǒng)需求（System Requirements，SRs），SL2共有60個(gè)系統(tǒng)需求，SL3有90個(gè)系統(tǒng)需求，均為技術(shù)類需求。這些系統(tǒng)需求大多描述比較模糊，一般描述為在某種場(chǎng)景下需具備某種功能，并且不提供測(cè)試用例。

IEC 62443-3-3的認(rèn)證就是按照這些系統(tǒng)需求進(jìn)行審計(jì)和測(cè)試，任意一條系統(tǒng)需求未通過就無法拿證。結(jié)合軌交行業(yè)的特點(diǎn)，整個(gè)認(rèn)證主要分為審計(jì)、工廠測(cè)試（FAT）和現(xiàn)場(chǎng)測(cè)試（SAT）這三大環(huán)節(jié)，整個(gè)認(rèn)證周期一般為12個(gè)月。

二、等保2.0

等保2.0是個(gè)系列標(biāo)準(zhǔn)，主要由GB/T 22239基本要求、GB/T 22240定級(jí)指南、GB/T 25058實(shí)施指南、GB/T 25070安全設(shè)計(jì)技術(shù)要求、GB/T 28448測(cè)評(píng)要求、GB/T 28449測(cè)評(píng)過程指南這些標(biāo)準(zhǔn)組成，參考文獻(xiàn)中包含了IEC 62443、ISO 2700x、NIST SP800。城市軌道交通行業(yè)從2017年底開始進(jìn)行網(wǎng)絡(luò)安全建設(shè)和測(cè)評(píng)至今已約5年，業(yè)內(nèi)都比較熟悉該系列標(biāo)準(zhǔn)。

等級(jí)保護(hù)定義了6個(gè)角色，即等保管理部門、主管部門、運(yùn)營(yíng)及使用單位、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)機(jī)構(gòu)、網(wǎng)絡(luò)安全產(chǎn)品供應(yīng)商。后三者都需具備一定的資質(zhì)，如網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)機(jī)構(gòu)需要具備公安部第一研究所頒發(fā)的網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)與檢測(cè)評(píng)估機(jī)構(gòu)服務(wù)認(rèn)證證書。產(chǎn)品供應(yīng)商一般也具備服務(wù)資質(zhì)，因此一般身兼安全設(shè)備供應(yīng)和網(wǎng)絡(luò)安全服務(wù)兩個(gè)角色。網(wǎng)絡(luò)安全服務(wù)實(shí)際上一般是由產(chǎn)品供應(yīng)商和系統(tǒng)集成商共同提供的，因?yàn)橄到y(tǒng)集成商提供的業(yè)務(wù)軟件和硬件也需滿足網(wǎng)絡(luò)安全的功能要求，并且要基于系統(tǒng)的特點(diǎn)做整體的架構(gòu)設(shè)計(jì)。

等級(jí)保護(hù)的實(shí)施和測(cè)評(píng)分為技術(shù)和管理兩方面，技術(shù)主要由系統(tǒng)集成商和產(chǎn)品供應(yīng)商來完成，管理方面由系統(tǒng)集成商和產(chǎn)品供應(yīng)商協(xié)助運(yùn)營(yíng)及使用單位來完成。

等保劃分了5個(gè)等級(jí)，城市軌道交通行業(yè)內(nèi)各系統(tǒng)一般定級(jí)為二級(jí)或三級(jí)：

●?一級(jí)：等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)相關(guān)公民、法人和其他組織的合法權(quán)益造成一般損害，但不危害國(guó)家安全、社會(huì)秩序和公共利益。

●?二級(jí)：等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)相關(guān)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害或特別嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成危害，但不危害國(guó)家安全。

●?三級(jí)：等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重危害，或者對(duì)國(guó)家安全造成危害。

●?四級(jí)：等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重危害，或者對(duì)國(guó)家安全造成嚴(yán)重危害。

●?五級(jí)：等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重危害。

等保2.0定義了10個(gè)通用安全要求，分別為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理。等保2.0還新增了四類安全擴(kuò)展要求，分別為云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)安全擴(kuò)展要求，需要按等級(jí)保護(hù)對(duì)象的形式來選擇。在每個(gè)安全要求下都有一些安全控制點(diǎn)（也即測(cè)評(píng)要求），每個(gè)控制點(diǎn)下還有若干個(gè)測(cè)評(píng)單元。

等保測(cè)評(píng)的流程為：定級(jí)及備案、差距分析（審計(jì)及初測(cè)）、整改、測(cè)評(píng)、報(bào)告出具。有三種官方測(cè)評(píng)方式：訪談、核查、測(cè)試，按要求至少需采用其中的一種，實(shí)際三種都會(huì)實(shí)施，其中測(cè)試只有現(xiàn)場(chǎng)測(cè)試。一般兩到三個(gè)月能完成測(cè)評(píng)拿到測(cè)評(píng)報(bào)告。三級(jí)需要每年復(fù)測(cè)一次，二級(jí)為每?jī)赡暌淮巍?/p>

三、差異對(duì)比分析

綜上可知IEC 62443 -3-3和等保2.0各有各的特點(diǎn)，它們之間的主要差異歸納總結(jié)如下表所示：

四、結(jié)束語(yǔ)

不管是國(guó)內(nèi)的等保2.0還是國(guó)際上的IEC 62443都借鑒了ISO 2700x和NIST SP800，所以兩者雖然有差異但是也有相似的部分。EN 50129-2018是國(guó)內(nèi)外軌道交通行業(yè)信號(hào)系統(tǒng)在線路開通前必須取得的第三方功能安全（Safety）認(rèn)證的三個(gè)歐標(biāo)之一，在該標(biāo)準(zhǔn)中提到了物理安全和IT安全（Security）可參考IEC 62443，如果未來EN 50129中升級(jí)為強(qiáng)制要求，就會(huì)反過來要求國(guó)內(nèi)也做IEC 62443認(rèn)證。因此需要與時(shí)俱進(jìn)，在掌握國(guó)標(biāo)的同時(shí)，也時(shí)刻跟蹤學(xué)習(xí)國(guó)際標(biāo)準(zhǔn)，不僅為了走出國(guó)門時(shí)更好地運(yùn)用標(biāo)準(zhǔn)，也為未來在國(guó)內(nèi)實(shí)施時(shí)做好準(zhǔn)備。