IEC 62443标准体系结构

综述基于IEC6244系列标准的信息安全IEC6244系列标准（International Electrotechnical Commission6244 series）是国际电工委员会推出的信息安全管理体系标准，旨在规范企业信息安全管理体系的建设和运行。

该系列标准涵盖了信息安全管理的各个方面，并提供了可操作性很强的实施指南，是企业信息安全管理的重要参考依据。

IEC6244系列标准包括IEC62443-1-1、IEC62443-2-1、IEC62443-3-1、IEC62443-4-1和IEC62443-5-1等多个标准，具体内容如下：IEC62443-1-1：引言和总则，对信息安全管理的基本概念、原则、术语等进行了详细介绍，为后续标准的实施提供了基础。

IEC62443-2-1：建立和运行信息安全管理体系，详细讲解了信息安全管理体系的设计、运行、维护等各个环节，包括规划、组织、实施、检查、改进等方面，提供了信息安全体系建设的指南。

IEC62443-3-1：系统设计和安全验证，主要介绍了系统设计和开发过程中的安全要求和措施，以及对系统安全性进行评估和验证的方法和流程，提供了实现信息安全目标的技术指南。

IEC62443-4-1：组织和人力资源安全，该标准着重强调了组织和人力资源对信息安全的重要性，对招聘、培训、离职等各个环节中的安全管理需求进行了阐述。

IEC62443-5-1：安全特性，通过定义和描述安全特性，帮助企业实现安全目标，并为产品和系统设计提供了参考依据。

IEC6244系列标准所涉及的内容较全面，确保了信息安全管理体系的完整性和稳健性。

同时，IEC62443系列标准还提供了可操作性很强的实施指南，为企业信息安全管理和实践提供了有力支持。

因此，对于企业信息安全管理的重要性日益凸显的今天，IEC6244系列标准不仅是企业信息安全管理的参考标准，也是确保企业信息安全运行的必备工具。

IEC 62443标准综述一、工业安全分为三类：功能安全（Functional Satety），物理安全(Physical Satety)，信息安全(Security)二、ISO/IEC27002对信息安全的定义是：保持信息的保密性、完整性、可用性。

IEC62443针对工控系统信息安全的定义是：A、保护系统所采取的措施；B、由建立和维护保护系统的措施所得到的系统状态；C、能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失。

D、基于计算机系统的能力，能够保证非授权人员和系统既无法修改软件及其数据也无法访问系统功能，却保证授权人员和系统不被阻止；E、防止对工控系统的非法或有害入侵，或者干扰其正确和计划的操作。

三、工控系统实时性要求响应时间大多在1ms以内；IT系统通常在1s或数秒之内。

四、2011年5月，IEC 62443由最初的《工业通信网络与系统信息安全》改为《工业过程测量、控制和自动化网络与系统信息安全》五、IEC 62443标准分为四个部分，12个文档。

第一部分描述了信息安全的通用方面，如术语、概念、模型、缩略语、符合性度量。

第二部分主要针对用户的信息安全程序。

主要包括整改信息安全系统的管理、人员和程序设计方面，是用户建立其信息安全程序是需要考虑的。

第三部分主要针对系统集成商保护系统所需的技术性信息安全要求。

它主要是系统集成商在把系统组装到一起是需要处理的内容。

包括将整体工业自动化控制系统设计分配到各个区域和通道的方法，以及信息安全保障等级的定义和要求。

第四部分：主要针对制造商提供的单个部件的技术性信息安全要求。

包括系统的硬件、软件和信息部分，以及当开发或获取这些类型的部件时需要考虑的特定技术性信息安全要求。

总之，IEC62443标准通过四个部分，对资产所有者、系统集成商、组件供应商进行了相关信息安全的要求。

IEC 62443-3-3工业过程测量、控制和自动化网络与系统信息安全》（IEC 62443）是针对工业自动化和工业安全的系列标准，指导系统集成商、产品提供商和服务提供商对他们的产品和服务进行安全性评估。

基于iec 62443-4-2标准的工控组件特有安全技术要求
的检测技术方法研究
针对工控组件的特有安全技术要求，本文研究采用基于IEC62443-4-
2标准的相关检测技术方法。

根据IEC62443-4-2标准，特有安全技术要
求包括四个方面：（1）功能安全；（2）安全配置；（3）系统安全；（4）通信安全。

针对功能安全，可采用白盒测试、灰盒测试和代码审计等方法，来实
现功能的安全测试。

其中，白盒测试是指在程序的源代码级别进行测试，
以发现潜在的安全漏洞；灰盒测试则是根据协议标准对程序进行静态、动
态测试，以期发现潜在的安全漏洞；代码审计是指人工运用编程技术，对
源代码进行审查，以发现潜在的安全漏洞。

针对安全配置，事先可以通过系统本身的安全性设计确保满足安全配
置要求，以期确保系统的安全性。

同时，可以采用安全审计的方法对安全
配置进行检测，以确保配置的准确性和完整性。

针对系统安全，可以利用护卫程序和访问控制技术等，通过限制用户
访问系统资源，增强系统安全性。

此外，可以采用软件攻击技术，如黑客
攻击和病毒攻击，通过模拟现实的网络安全环境，对系统的安全性进行测试。

IEC 62443系列标准概述和SAL 介绍Overview of the IEC 62443 Serial Standards and the Introduction of SAL王玉敏（机械工业仪器仪表综合技术经济研究所，北京市 100055）Wang Yumin(Instrumentation Technology & Economy Institute, Beijing 100055)【摘 要】【关键词】Abstract: The paper inroduas of the IEC 62443 series structure and the overview of the IEC 62443 series, including the de fi nition of the security assurance level, the types of SALs and the foundational requirements.Key words: Standard Infrastructure Security Assurance Level (SAL) Foundational Requirements (FR)本文描述了IEC62443系列标准框架的发展过程，系列标准的主要内容和信息安全保证等级的定义，类型以及基本要求。

标准框架 信息安全保证等级 基本要求1 IEC 62443历史介绍国际电工委员会第65技术委员会（简称：IEC/TC65）主要负责工业过程测量、控制和自动化方面的标准制定工作。

该技术委员会共包括4个分技术委员会（SC65A ，SC65B ，SC65C 和SC65E ），由于标准IEC 61784-4涉及到了信息安全的内容，因此2003年9月成立了IEC/SC65C/WG13工作组，在2003年至2005年之间主要负责赛博信息安全（Cyber security ）标准方面的工作，2005年后该工作组处于停滞状态。

工控安全政策系列导读：国际标准IEC 62443 标准系列，一是IEC 62443，二是SP 800-82，两者有一个共同的源头ISA-99。

仪器仪表、自动控制、过程测量与控制重视工控系统安全由来已久，但对工控安全的关注局限在专业领域。

当自动控制系统被广泛地应用于能源、交通等基础设施以后，SCADA系统大量出现，工控系统的规模变大，分布变广泛，对国家、社会安全产生巨大影响，从而引起广泛关注。

SP 800-82 由于重点关注国家的关键基础设施安全，非常重视SCADA 系统安全问题，而且具有鲜明的美国国家特色。

对于国内的制造业来说，工控安全更多的是DCS 的安全，IEC 62443 非常适用。

该标准突出了供应商在工控安全领域的重要作用。

工控系统安全问题比通用信息系统安全问题相比，涉及到更多的专业性，因此，严重依赖供应商。

对于自动化设备的供应商来说，是机遇，也是挑战。

对于用户来说，要充分意识到工控系统安全，从规划、设计、建设、使用管理等生命周期的各环节，是需要供应商互动的过程。

标准还提出了信息中转(CONDUITS)与流转通道(CHANNELS)的概念。

虽然没有做非常充份的阐述，而且多有含混之处，但已经隐约提出了应对工控系统安全的两项必然措施，一是信息交换与边界的管控，二是从应用安全着手。

阅读建议建议每个从事工控安全、有英语基础的人员阅读62443-1-1。

没有英语基础的朋友可以找一找相关中文资料，并关注该标准被采纳为国标的进展情况。

建议从事制造业工控安全的朋友阅读GB/T 20720.1，深入了解制造业的运行规律与工控系统，才能做好制造业工控系统安全工作。

IACS 概念模型是。

iec 62443 标准IEC 62443标准。

IEC 62443标准是针对工业控制系统安全的国际标准，旨在确保工业控制系统的安全性和可靠性。

随着工业互联网的发展，工业控制系统的网络化和智能化程度越来越高，安全问题也日益突出，因此IEC 62443标准的重要性日益凸显。

IEC 62443标准主要包括四个方面的内容，安全管理系统、安全策略和程序、安全技术要求和安全系统评估。

其中，安全管理系统是指组织和管理安全工作的体系，包括安全政策、安全目标、安全责任和安全程序等。

安全策略和程序是指制定和执行安全策略的具体方法和步骤，包括风险评估、安全培训、安全审计和应急响应等。

安全技术要求是指工业控制系统的安全功能和安全性能要求，包括网络安全、数据安全、设备安全和通信安全等。

安全系统评估是指对工业控制系统安全性的评估和验证，包括安全性能测试、安全性能评估和安全性能认证等。

IEC 62443标准的实施对于工业控制系统的安全至关重要。

首先，它可以帮助组织建立健全的安全管理体系，明确安全责任和安全程序，提高安全意识和安全素养。

其次，它可以帮助组织建立完善的安全策略和程序，识别和评估安全风险，制定有效的安全措施，提高安全防护和安全应对能力。

再次，它可以帮助组织实施有效的安全技术要求，确保工业控制系统的安全功能和安全性能，防范和抵御各种安全威胁和攻击。

最后，它可以帮助组织进行全面的安全系统评估，验证工业控制系统的安全性能和安全性能认证，提高安全保障和安全可靠性。

在实施IEC 62443标准的过程中，组织需要重视以下几个方面的工作。

首先，需要建立高层领导的安全意识，明确安全责任和安全目标，推动安全管理体系的建立和落实。

其次，需要开展全面的安全风险评估，识别和评估工业控制系统的安全风险，制定相应的安全策略和程序。

再次，需要加强安全技术的研发和应用，提高工业控制系统的安全功能和安全性能，保障工业控制系统的安全可靠性。

最后，需要进行全面的安全系统评估，验证工业控制系统的安全性能和安全性能认证，提高安全保障和安全可靠性。

Academic Research船舶网络安全领域主要国际标准分析吴笑风，石 瑶，岳 宏，冯书桓（中国船舶信息中心，北京 100101）摘要：为了提升网络安全管理水平，增强风险防范意识，国际海事组织（IMO）提出将波罗的海航运公会（BIMCO）发布的《网络安全指南》、国际标准化组织（ISO）和国际电工组织（IEC）发布的ISO/IEC 27001《信息安全管理系统》系列和美国国家标准研究院（NIST）发布的《提升关键基础设施网络安全框架》等文件纳入参考的建议。

对NIST框架、ISO和IEC中网络安全相关的标准进行分析，认为现有的网络安全类国际标准多为通用类，可供各类航运和船舶工业机构选用以提升自身或产品应对网络风险的水平。

在此基础上结合如ISO 23806和ISO 23799这类船舶领域专用国际标准的开发和应用，对IMO要求的落实和船舶网络安全的提升具有积极意义。

关键词：网络安全；网络风险；智能船舶；标准化；国际标准中图分类号：TN915 文献标志码：A DOI：10.14141/j.31-1981.2021.02.002Analysis of Major International Standardsin Ship Cyber Security FieldWU Xiaofeng, SHI Y ao, YUE Hong, FENG Shuhuan(Shipbuilding Information Center of China, Beijing 100101, China)Abstract:In order to raise the cyber security management level and enhance the risk prevention awareness, the International Maritime Organization (IMO) has proposed that the “Cyber Security Guidelines” issued by the Baltic and International Maritime Council (BIMCO), the ISO/IEC 27001 “Information Security Management System” serial issued by the International Organization for Standardization (ISO) and the International Electrotechnical Organization (IEC) and the “Enhancement of Critical Infrastructure Network Security Framework” issued by National Institute of Standards and T echnology (NIST) are adopted into the recommendations. The NIST framework and ISO and IEC standards relating with the cyber security are analyzed. It is thought that the existing international cyber security standards are mostly generic, which can be selected and used by various shipping and shipbuilding industry organizations to improve their own level or their products' level of cyber risk. On the basis, combined with the development and application of the special international standards in the marine field such as ISO 23860 and ISO 23799, it will be of positive significance to the implementation of IMO requirements and the improvement of ship network security.Key words:cyber security; cyber risk; intelligent ship; standardization; international standard基金项目：国家重点研发计划课题（项目编号：2017YFF0208902）。