干货|轨道交通网络安全中等保2.0与IEC 62443-3-3的对比和探讨
注:每日专栏发布上限5篇,更多资讯欢迎进群了解。
文章来源:
源网址:https://mp.weixin.qq.com/s/_qry6rzv-LQbL9p7BXDW1A
华晟
卡斯柯信号有限公司高级工程师,高级网络安全工程师,持有CISSP等信息安全类证书,IEEE ComSoc等协会会员,长期从事国内外地铁信号系统网络安全的设计及开发工作,包括厦门地铁2号线、南通地铁1号线、埃及斋月十日城线等项目。
我国于2017年6月开始施行《中华人民共和国网络安全法》,随后轨道交通行业开始按照GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》系列标准(等保1.0)进行网络安全建设和测评工作,2019年该标准更新为GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》(等保2.0),之后各行业依照此标准继续开展网络安全相关工作。
欧盟于2019年6月开始施行《欧盟网络安全法》,陆续开始要求在工程项目上按IEC 62443来实施网络安全建设。2020年全球首张IEC 62443-3-3 CB证书颁发,2022年全球轨交行业首张IEC 62443-3-3 VOC证书颁发。
随着“一带一路”的推行,与网络安全相关的海外项目也越来越多,例如笔者参与的项目中,埃及、澳大利亚等地已要求按IEC 62443来进行网络安全的建设,并由第三方机构来做认证或审计。那么IEC 62443-3-3和国内的等保2.0各自有何特点?下文将做简要对比。
一、关于IEC 62443-3-3
IEC 62443系列标准从2009年开始陆续发布,全称为工业通信网络--网络和系统安全(2015年开始称为工业自动化和控制系统的安全),是全球公认的针对工业信息安全的系列标准,在兼顾ISO 27001(信息安全管理体系)、NIST SP800(美国信息安全指南系列)等多个行业或地区标准的情况下,形成了一个完备的标准体系,分四大部分,共14个标准(目前已发布9个),如下图所示:
IEC 62443-3-3是系统安全需求和安全标准,它是针对系统的认证,也是3系中唯一可进行认证的部分。它划分了5个安全等级(Security Levels,SLs):
● SL0:没有特定的要求或安全保护需要。
● SL1:抵御某些具有偶然性或巧合性的威胁攻击。
● SL2:抵御简单的故意性威胁攻击,该威胁攻击具有通用方法,使用低资源并具有低动机的特点。
● SL3:抵御复杂的故意性威胁攻击,该威胁攻击采用系统性特定的方法,使用中等资源并具有中动机的特点。
● SL4:抵御复杂的故意性威胁攻击,该威胁攻击采用系统性特定的方法,使用扩展性资源并具有高动机的特点。
从以上5个安全等级可以看到,它是按照抵御攻击的能力来划分等级的。目前,轨交行业全球各大系统集成商多以SL2为近期目标、以SL3为中远期目标进行研究、开发、设计和部署,业主单位一般需求为SL2或者没有明确的需求(与系统集成商协商),从实际需求内容来看有的已达到SL3的要求。
IEC 62443-3-3从识别与认证控制、使用控制、系统完整性、数据保密性、数据流限制、事件实时响应、资源可用性这7个维度阐述了系统安全的基础需求(Foundational Requirements,FRs)。在基础需求下是系统需求(System Requirements,SRs),SL2共有60个系统需求,SL3有90个系统需求,均为技术类需求。这些系统需求大多描述比较模糊,一般描述为在某种场景下需具备某种功能,并且不提供测试用例。
IEC 62443-3-3的认证就是按照这些系统需求进行审计和测试,任意一条系统需求未通过就无法拿证。结合轨交行业的特点,整个认证主要分为审计、工厂测试(FAT)和现场测试(SAT)这三大环节,整个认证周期一般为12个月。
二、等保2.0
等保2.0是个系列标准,主要由GB/T 22239基本要求、GB/T 22240定级指南、GB/T 25058实施指南、GB/T 25070安全设计技术要求、GB/T 28448测评要求、GB/T 28449测评过程指南这些标准组成,参考文献中包含了IEC 62443、ISO 2700x、NIST SP800。城市轨道交通行业从2017年底开始进行网络安全建设和测评至今已约5年,业内都比较熟悉该系列标准。
等级保护定义了6个角色,即等保管理部门、主管部门、运营及使用单位、网络安全服务机构、网络安全等级测评机构、网络安全产品供应商。后三者都需具备一定的资质,如网络安全等级测评机构需要具备公安部第一研究所颁发的网络安全等级测评与检测评估机构服务认证证书。产品供应商一般也具备服务资质,因此一般身兼安全设备供应和网络安全服务两个角色。网络安全服务实际上一般是由产品供应商和系统集成商共同提供的,因为系统集成商提供的业务软件和硬件也需满足网络安全的功能要求,并且要基于系统的特点做整体的架构设计。
等级保护的实施和测评分为技术和管理两方面,技术主要由系统集成商和产品供应商来完成,管理方面由系统集成商和产品供应商协助运营及使用单位来完成。
等保划分了5个等级,城市轨道交通行业内各系统一般定级为二级或三级:
● 一级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益。
● 二级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全。
● 三级:等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害。
● 四级:等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害。
● 五级:等级保护对象受到破坏后,会对国家安全造成特别严重危害。
等保2.0定义了10个通用安全要求,分别为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。等保2.0还新增了四类安全扩展要求,分别为云计算、移动互联、物联网和工业控制系统安全扩展要求,需要按等级保护对象的形式来选择。在每个安全要求下都有一些安全控制点(也即测评要求),每个控制点下还有若干个测评单元。
等保测评的流程为:定级及备案、差距分析(审计及初测)、整改、测评、报告出具。有三种官方测评方式:访谈、核查、测试,按要求至少需采用其中的一种,实际三种都会实施,其中测试只有现场测试。一般两到三个月能完成测评拿到测评报告。三级需要每年复测一次,二级为每两年一次。
三、差异对比分析
综上可知IEC 62443 -3-3和等保2.0各有各的特点,它们之间的主要差异归纳总结如下表所示:
四、结束语
不管是国内的等保2.0还是国际上的IEC 62443都借鉴了ISO 2700x和NIST SP800,所以两者虽然有差异但是也有相似的部分。EN 50129-2018是国内外轨道交通行业信号系统在线路开通前必须取得的第三方功能安全(Safety)认证的三个欧标之一,在该标准中提到了物理安全和IT安全(Security)可参考IEC 62443,如果未来EN 50129中升级为强制要求,就会反过来要求国内也做IEC 62443认证。因此需要与时俱进,在掌握国标的同时,也时刻跟踪学习国际标准,不仅为了走出国门时更好地运用标准,也为未来在国内实施时做好准备。
