芯耀
761
一、当前安全背景
信息技术的快速发展和全球化进程正在使网络安全成为全球性挑战。传统上,企业主要关注IT系统的安全防护。但随着工业控制系统(ICS)和物联网(IoT)的普及,网络安全的复杂性和影响范围显著扩大。工业控制系统广泛应用于电力、能源、交通、医疗等关键基础设施,一旦遭受攻击,可能导致数据泄露、运营中断、设备损坏,甚至威胁人身安全。
为此,各国政府不断加强网络安全监管。例如,欧盟推出《网络安全弹性法案》(CRA),对带有数字元素的产品提出强制性安全要求,并将于2027年全面实施。企业需构建全面的网络安全策略,确保工业控制系统、物联网设备及供应链的安全,这不仅关乎风险防控,也是产品进入市场的基本要求。
身处 CRA 合规窗口期,在 CRA 部分协调标准尚不明确的情况下,提前采用 IEC 62443标准,可为企业合规抢占先机。
二、法规要点介绍
1. 欧盟 CRA
CRA 是欧盟在网络安全领域的重要立法,旨在提升所有网络设备和产品的安全性。其目标是减少网络安全漏洞并强化供应链的防护。CRA 法规于2024年12月正式通过并生效,将于2026年9月正式生效漏洞通报的义务,于2027年12月生效全部义务。CRA 对制造商的要求主要聚焦在以下的维度:
1.过程安全:产品的设计、开发和生产过程需要保证安全。制造商必须在其开发生命周期中引入安全保障措施,确保产品从概念阶段到生产阶段都符合安全标准。这包括对供应链的管理、产品开发的流程控制以及在产品设计、测试和发布过程中进行严格的安全评估。
2.产品设计安全:产品本身必须具备内置的安全防护功能。这要求制造商在产品设计中融入安全功能,如加密、认证、漏洞修复机制等,确保在产品投入市场后能够抵御潜在的网络攻击。同时,产品需具备及时更新和补丁管理的能力,确保能够应对新的安全威胁。
3.漏洞管理和报告义务:制造商必须建立漏洞发现和报告机制。在产品发布后,如果发现产品中存在安全漏洞,制造商必须在规定的时间内向监管机构报告,并采取适当措施进行修复。此外,CRA要求制造商提供漏洞修复的时间表,并确保在产品生命周期内能够持续进行安全更新和修补。
4.监管和合规要求:CRA的合规要求将由各国的网络安全监管机构进行监督。制造商需要提供合规证据,证明其产品在设计、开发和生产过程中符合CRA的安全要求。监管机构将定期检查企业的合规情况,并可能对不符合要求的制造商处以罚款或其他惩罚。
2. IEC 62443
IEC 62443是由国际电工委员会(IEC)与国际自动化协会(ISA)共同制定的工业控制系统与自动化控制系统的网络安全国际标准体系,其核心思想是将安全性贯穿到工业控制系统的全周期,以多层防御的方式减少安全风险。该标准由多个子标准部分构成:
简而言之,62443-1系列就像 IEC 62443的字典和地图,解释标准中的关键术语、模型、生命周期和风险评估方法; 62443-2系列面向组织管理层,重点是让运营方(Asset Owner)建立系统化的网络安全管理体系;62443-3系列旨在指导系统集成商如何去设计安全的工业控制系统;62443-4则是针对设备和软件制造商,确保安全覆盖产品从开发到测试的每一步
三、IEC 62443到CRA法规的映射
IEC 62443虽然是设计之初是为了工业控制系统与自动化控制系统,但其提供的网络安全框架和最佳实践已经被广泛应用于其他行业,并深度影响了 CRA 的制定。
风险管理与安全设计要求
- IEC 62443:
IEC 62443标准要求企业在产品设计阶段就进行全面的安全风险评估。强调通过采取安全控制措施(如访问控制、身份验证、加密等),确保产品的硬件、软件、网络架构等方面具备坚固的防护。IEC 62443还要求通过持续的风险评估,确保系统在面临新兴威胁时依然能保持安全。
- CRA法规:
CRA法规规定制造商在设计、开发、生产和维护阶段都必须考虑产品的安全性。特别是对于联网产品,CRA要求制造商在设计阶段进行风险评估,并在产品中内置防护措施,以降低安全漏洞的发生。法规强调制造商还需确保产品在生命周期中持续符合安全标准,特别是在产品不断面临外部威胁和新的攻击技术时。
- 映射:
IEC 62443与CRA在风险管理和安全设计方面的要求高度契合。二者都强调从设计阶段开始进行全面的安全控制,确保产品在其生命周期内能始终保持高水平的安全性。
供应链管理
- IEC 62443:
IEC 62443格外重视涉及工业控制系统(ICS)的供应链安全。该标准要求供应商对其产品所依赖的所有第三方组件,包括硬件、软件以及外部供应商提供的服务进行严格的安全验证与合规性审查,有效预防由不安全组件或外部供应商引发的供应链安全漏洞。
- CRA法规:
CRA也明确要求供应商在产品的设计与生产过程中确保供应链安全。法规要求供应商确保其供应链中的每一环节,包括所有原材料、外部服务和第三方组件,符合严格的网络安全标准,管控供应链中所有的风险源。
- 映射:
IEC 62443与CRA在供应链安全方面有着高度的相似性。两者都要求制造商不仅要保障自身产品的安全性,还要确保供应链中的所有组件和环节符合安全标准,确保安全漏洞不会通过外部组件进入产品,防止供应链攻击带来的安全风险。
安全生命周期管理与更新
- IEC 62443:
IEC 62443标准要求供应商对产品的各个阶段进行安全管理,尤其是在产品上市后,供应商有责任提供定期的安全更新和漏洞修复,以应对不断变化的安全威胁。此外,IEC 62443强调,制造商必须保证产品在生命周期内保持安全,通过持续的风险评估和漏洞修复,防止已知的安全问题对产品造成影响。
- CRA法规:
CRA同样要求制造商在产品的整个生命周期内进行安全管理,尤其是要求产品在销售后持续进行安全评估和漏洞修复,确保产品具备持续适应网络安全环境并应对新兴安全威胁的能力。CRA要求制造商定期对产品进行安全更新,并修复已发现的漏洞,确保产品持续符合规定的安全标准。
- 映射:
IEC 62443与CRA在安全生命周期管理方面有着高度一致的要求。无论是定期的安全更新,还是漏洞修复,二者都要求供应商为产品的长期安全负责,确保即便在产品发布后,仍能抵御不断变化的威胁。
简而言之,IEC 62443为工业控制系统的安全提供了详细的技术要求和实施框架,而CRA法规则为所有涉及网络安全的产品提供了一个全面的合规要求。通过提前布局IEC 62443标准体系的构建,企业可以在CRA的合规工作中抢占先机,还能为未来的合规工作提前做好充分的准备。
四、ONEKEY解决方案的价值
ONEKEY作为一个合规和安全解决平台,可以帮助企业有效应对合规挑战这些挑战,确保从设计到生产的全生命周期都保证安全。具体能力如下:
全面漏洞管理与追踪: ONEKEY提供了一个集中管理的漏洞平台,涵盖从漏洞发现到修复和合规报告的完整流程。
- 通过与研发、安全和运维系统的无缝集成,自动化地收集并关联来自不同渠道的漏洞信息,打破信息孤岛。
- 采用统一的漏洞数据格式,方便后续生成详细报告与开展风险分析。
标准化风险评估与可视化决策支持:ONEKEY内置的漏洞风险评估引擎结合威胁情报、CVSS评分以及影响范围分析,自动对漏洞的风险等级进行评估。
- 提供实时的风险仪表板,清晰展示漏洞的数量、风险趋势、修复优先级等关键指标。
- 支持多维度分析(如按产品、时间等维度),为企业管理层提供可操作的决策依据。
- 通过数据可视化,帮助企业快速识别并定位重要风险点,在复杂的漏洞环境中做出有效响应。
自动化报告生成与合规对接能力:针对法规对漏洞报告的格式和时效性要求,ONEKEY具备自动化生成合规报告的能力。
- 内置合规差距分析引擎,根据扫描到的漏洞、组件依赖关系和固件状态,自动与选定的合规标准或法规条款进行比对,识别出未达标或存在偏差的条款。
- 在完成合规检查并确认条款差异后,用户可以通过ONEKEY将当前固件/系统的合规结果打包生成完整的合规报告,确保符合相关法规的要求。
