Evolution analysis on security program requirements for operation and maintenance service providers in IEC 62443

doi:10.3969/j.issn.1674-1951.2021.02.013

Abstract

Abstract:

Standard IEC 62443-2-4 in promotion has vague contents,as well as differences among various editions.Making contrast on the items in 2015 edition and 2017 edition,the updated requirement description,basic principles and documents in the body and appendix A of the standard are summarized.Meanwhile,the ratios of new items and different updating ways are calculated,and the classic items are listed.The influence brought by the later edition and the causes of the update are concluded,which facilitates users' understanding and application,and alleviates the potential mistakes made in the course of referring to IEC 62443.

Key words: IEC 62443, operation and maintenance service providers, security procedure, standard comparison, evolution analysis

CLC Number:

TP309：TK323

GONG Gangjun, MENG Zhiruo, TIAN Huiwen, LIU Ren, JIN Lu. Evolution analysis on security program requirements for operation and maintenance service providers in IEC 62443[J]. Huadian Technology, 2021, 43(2): 77-82.

Figures/Tables 7

Fig.2

Tab.1

Fig.3

Fig.4

Tab.2

Tab.3

Comparison of the basic principles in 2015 and 2017 edition

修改条款	2015版	2017版
SP.01.04 BR	由于缺乏适用法律,进行背景调查并非总是可行	由于缺乏支持,进行背景调查并非总是可行。可能有国家不禁止也不支持背景调查,使服务提供商无法执行审查
SP.05.03 BR	旧版文件中没有该段内容	SP.05.02 BR要求能够保护SIS通信不受其他自动化解决方案通信的影响,而此规定则要求能够保护SIS免受自动化解决方案外部通信的影响
SP.05.06 BR	具有这种能力意味着服务提供者有可识别的流程,以确保SIS物理上仅连接到:（1）SIS EWS和/或;（2）仅用于提供从级别2访问SIS的网关。如果第1种情况没有被使用,那么SIS EWS连接到网关并且网关代表SIS EWS向SIS发出请求	具备此能力意味着服务提供商有一个可识别的流程,确保对SIS的访问控制在SIS的接口上实现,例如通过一个仅用于从BPCS访问SIS的网关。该网关的实施可以由BPCS或SIS提供
SP.05.08 BR	由于无线设备不受物理安全边界和物理实现的限制,因此BR指定的能力用于防止对SIS的无线攻击。如果一台工作站/服务器类机器位于物理安全范围之外,配置无线设备接口,连接无线设备网络,会对SIS构成威胁	BR指定的能力用于防止通过未经授权的无线设备对SIS的攻击。因为无线设备既不受物理安全边界限制,也不受物理实现限制,它会对SIS构成威胁
SP.05.07 BR	具有此能力意味着服务提供商具有一个可识别的流程,以确保SIS工程工作站专用于SIS,而不被用作控制系统内的其他用途的工作站	具备此能力意味着服务提供商具有一个可识别的流程,确保在SIS EWS中运行的安全相关软件免受SIS EWS中运行的其他软件的危害
SP.10.02 BR	为服务提供商负责的自动化解决方案硬件安装,更新和配置反恶意软件	为服务提供商所负责的自动化解决方案的硬件平台应用、管理防恶意软件,包括安装、更新防恶意软件,保持其恶意软件定义文件最新,维护其运行配置设置

Tab.3

References 15

[1]	刘晓曼, 于广琛, 吴雨霖. 工控系统典型安全标准解读与思考[J]. 信息通信技术与政策, 2019(2):40-44.
[2]	FRANCESCHETT A L, SOUZA P R A, BARROS F L P, CARVALHO V R. A holistic approach-how to achieve the state-of-art in cybersecurity for a secondary distribution automation energy system applying the IEC 62443 standard[J]. 2019 IEEE PES Innovative Smart Grid Technologies Conference,Gramado,Brazil, 2019, 1-5.
[3]	隋爱芬. 工业信息安全标准概述[J]. 自动化博览, 2014(10):94-97.
	SUI Aifen. Overview of industrial information security standards[J]. Automation Panorama, 2014(10):94-97.
[4]	欧阳劲松, 丁露. IEC 62443工控网络与系统信息安全标准综述[J]. 信息技术与标准化, 2012(3):24-27.
	OUYANG Jinsong, DING Lu. Review on IEC 62443 industrial control network & system security standardization[J]. Information Technology and Standardization, 2012(3):24-27.
[5]	张浏骅, 刘克松. 国内外典型工控系统安全标准的概述与思考[J]. 科技创新与应用, 2019(26):81-82,85.
[6]	Renesas electronics to release RZ/G Linux platform solution supporting IEC 62443 international standard for protection of industrial control systems against cyber attacks by EO2019[EB/OL].（2019-04-02）[2020-08-19]. https://www.edomtech.com/en/news/ins.php?index_id=1257.
[7]	范科峰, 周睿康, 李琳. 工业控制系统信息安全标准体系研究[J]. 信息技术与标准化, 2016(6):17-21.
	FAN Kefeng, ZHOU Ruikang, LI Lin. Research on information security standard system of industrial control system[J]. Information Technology and Standardization, 2016(6):17-21.
[8]	Siemens gains IEC 62443 certification for secure system integration services [EB/OL].(2018-11-29)[2020-08-19]. https://press.siemens.com/global/en/pressrelease/siemens-gains-iec-62443-certification-secure-system-integration-services.
[9]	IEC 62443-2-4-2015_en Security for industrial automation and control systems,part 2-4：Security program requirements for IACS service providers-Edition 1.0[EB/OL].（2015-06-01）[2020-08-19]. https://www.antpedia.com/standard/1140768005.html.
[10]	IEC 62443-2-4-2017 Security for industrial automation and control systems,part 2-4：Security program requirements for IACS service providers-Edition1.1[EB/OL].（2017-01-01）[2020-08-19]. https://infostore.saiglobal.com/en-us/Standards/CSA-IEC-62443-2-4-2017-362492_SAIG_CSA_CSA_826725/.
[11]	PIGGIN R S H. Development of industrial cyber security standards：IEC 62443 for SCADA and industrial control system security [J]. IET Conference on Control and Automation 2013：Uniting Problems and Solutions Uniting Problems and Solutions, 2013(1-6).
[12]	王鑫刚. 工业控制设备安全测试技术的运用与实施要点研究[J]. 中国新通信, 2017,19(6):80.
[13]	FDA recognizes ISA/IEC 62443 cyber security standards[EB/OL].（2014-03-05）[2020-08-19]. https://www.automation.com/en-us/articles/2014-1/fda-recognizes-isaiec-62443-cyber-security-standar.
[14]	MAIDL M, KROSELBERG D, CHRIST J, et al. A comprehensive framework for security in engineering projects-based on IEC 62443[C]// 2018 IEEE International Symposium on Software Reliability Engineering Workshops (ISSREW).IEEE, 2018:42-47.
[15]	黄鹏, 肖鹏, 吴志强, 等. 基于IEC 62443-3-1的核电厂DCS身份认证技术方法[J]. 上海交通大学学报, 2018,52(S1):152-155.
	HUANG Peng, XIAO Peng, WU Zhiqiang, et al. Technical method of DCS identity authentication for nuclear power plant based on IEC 62443-3-1[J]. Journal of Shanghai Jiaoton University, 2018,52(S1):152-155.

修改位置	2015版	2017版
5.5.7需求说明	旧版文件中没有该段内容	“确保”一词用于表示“提供高置信度”。当服务提供商需要采取某些方式来展示这种置信度时,方可使用此词
5.1	旧版文件中没有该段内容	资产所有者可以要求服务提供商执行附表A所要求能力的子集,且包含能力子集的概述文件可被自定义
范围	定义了在自动化解决方案的集成和维护活动中服务提供商可以向资产所有者提供的安全能力的要求	定义了在自动化解决方案的集成和维护活动中IACS服务提供商可以向资产所有者提供的安全能力的一系列综合要求
5.5.3功能域列	附件A中的许多要求在短语中提到网络或应用程序级别。IEC 62443-3-2所描述的区域和管道模型被附件A中的要求引用,独立于IEC 62264-1层次模型级别,定义了信任边界,将自动化解决方案细分为分区	提供了该要求的顶层组织。本列中的功能域可以被用来提供服务提供商声明一致的功能域的高级别总结。但是,因为架构功能域的范围很广,有一定局限性。根据主题列架构的值划分成3个总结层：网络安全、解决方案强化、数据保护

修改位置	2015版	2017版
SP.01.04 BR	该服务提供商应具有能力确保自动化解决方案相关活动只分配给服务提供商人员,在法律允许的范围内,这些人员已成功通过安全相关背景审查	该服务提供商应具有能力：在可行的情况下,确保自动化解决方案相关活动只分配给服务提供商人员,在法律允许的范围内,这些人员已成功通过安全相关背景审查
SP.05.09 BR	服务提供商应有能力确保自动化解决方案提供启用和禁用SIS配置模式的用户界面。禁用时,接口禁止配置SIS	服务提供商应有能力确保自动化解决方案可以启用和禁用SIS配置模式。禁用时,接口禁止配置SIS
SP.05.03 BR	服务提供商应有能力确保应用程序,包括远程访问应用程序（如可靠数据报协议在级别3及以上不能与SIS建立连接）	服务提供商应有能力确保自动化解决方案以外的通信,包括远程访问通信不能干扰SIS的运行
SP.08.04 BR	服务提供商应该有能力确保自动化解决方案能够承受几乎同时发生的大量事件（通常称事件风暴）	服务提供商应有能力将自动化解决方案所能承受的近乎同时发生的大量事件（通常称为事件风暴）的能力进行文档化。健壮性测试和压力测试结果通常用来保证这种能力