龔鋼軍，孟芷若*，田惠文，劉韌，金璐

（1.北京市能源電力信息安全工程技術(shù)研究中心（華北電力大學(xué)），北京102206；2.中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心，北京100020；3.北京華電云博科技有限公司，北京102206）

0 引言

IEC 62443 是面向各種工業(yè)自動(dòng)化控制系統(tǒng)的安全程序要求，包括一系列標(biāo)準(zhǔn)［1］。制定工業(yè)控制安全程序要求對(duì)保護(hù)工業(yè)控制信息安全有著十分重要的意義［2］。IEC 62443 標(biāo)準(zhǔn)充分考慮了工業(yè)領(lǐng)域不同參與方的不同需求，比較符合各工業(yè)行業(yè)對(duì)信息安全標(biāo)準(zhǔn)的需要［3］。運(yùn)維服務(wù)提供商通常是獨(dú)立于資產(chǎn)所有者的組織，根據(jù)合同及資產(chǎn)所有者的要求執(zhí)行自動(dòng)化解決方案的維護(hù)和服務(wù)活動(dòng)。

在IEC 62443-2-4 標(biāo)準(zhǔn)中，工業(yè)自動(dòng)化和控制系統(tǒng)（IACS）安全第2―4 部分是針對(duì)IACS 服務(wù)提供商的安全程序要求，分為2 個(gè)部分：正文和附表A，而附表A 的修改部分又主要分為“需求說(shuō)明”和“基本原理（BR）”2個(gè)部分。

IEC 62443-2-4 正文的開(kāi)頭部分對(duì)該標(biāo)準(zhǔn)的主要使用范圍進(jìn)行了敘述，接著闡述了該標(biāo)準(zhǔn)相關(guān)文件的引用規(guī)范。對(duì)涉及到的關(guān)鍵性術(shù)語(yǔ)給出了相關(guān)定義、縮略語(yǔ)和縮寫。對(duì)文件涉及到的相關(guān)概念和成熟度模型進(jìn)行了詳細(xì)的說(shuō)明，最后給出了該標(biāo)準(zhǔn)的要求綜述。

IEC 62443-2-4的附表A是規(guī)范性附錄，包含安全要求的12項(xiàng)詳細(xì)內(nèi)容：（1）解決方案的人員配置，描述了服務(wù)提供商向自動(dòng)化解決方案相關(guān)活動(dòng)指派人員的相關(guān)要求；（2）保證部分，描述了保證自動(dòng)化解決方案安全策略強(qiáng)制實(shí)施的相關(guān)要求；（3）結(jié)構(gòu)部分，描述了自動(dòng)化解決方案設(shè)計(jì)方面的相關(guān)要求；（4）無(wú)線部分，描述了在自動(dòng)化解決方案中使用無(wú)線的相關(guān)要求；（5）安全儀表系統(tǒng)（Safety Instrumented System，SIS）部分，描述了在自動(dòng)化解決方案中集成SIS 的相關(guān)要求；（6）配置管理部分，描述了自動(dòng)化解決方案配置控制方面的相關(guān)要求；（7）遠(yuǎn)程訪問(wèn)部分，描述了自動(dòng)化解決方案遠(yuǎn)程訪問(wèn)的相關(guān)要求；（8）事件管理部分，描述了自動(dòng)化解決方案中事件處理的相關(guān)要求；（9）賬戶管理部分，描述了自動(dòng)化解決方案中人員賬戶管理的相關(guān)要求；（10）惡意軟件防護(hù)部分，描述了自動(dòng)化解決方案中使用防惡意軟件的相關(guān)要求；（11）補(bǔ)丁管理部分，描述了關(guān)于批準(zhǔn)和安裝軟件補(bǔ)丁的安全要求；（12）備份∕恢復(fù)部分，提供了數(shù)據(jù)備份和恢復(fù)的安全要求。

由于IEC 62443 標(biāo)準(zhǔn)的原文為英文，中文翻譯版本較少，同時(shí)英文詞匯在翻譯時(shí)存在一定的理解偏差，致使IEC 62443-2-4 標(biāo)準(zhǔn)在推廣應(yīng)用中有些內(nèi)容研究不夠深入［4］，尤其是對(duì)于不同版本的標(biāo)準(zhǔn)內(nèi)容理解有所差異［5-8］。為了讓使用者能夠更好地理解標(biāo)準(zhǔn)，并加強(qiáng)推廣這一標(biāo)準(zhǔn)，對(duì)2015 版和2017版標(biāo)準(zhǔn)進(jìn)行了梳理，對(duì)整體內(nèi)容的更新進(jìn)行了統(tǒng)計(jì)和分析，然后逐條進(jìn)行分析，歸納出典型的更新類型，并對(duì)典型的具體條款進(jìn)行舉例分析。

1 正文部分的更新內(nèi)容

1.1 正文更新比例與類型統(tǒng)計(jì)分析

IEC 62443-2-4 的正文部分共分為要求綜述，范圍，規(guī)范性引用文件，概念，術(shù)語(yǔ)、定義、縮略語(yǔ)和縮寫5個(gè)部分，除了規(guī)范性引用文件沒(méi)有變化外，其他部分都做了更新。具體的修改占比如圖1所示。

圖1 IEC 62443-2-4標(biāo)準(zhǔn)正文修改占比Fig.1 Proportion of the revised part in the body of IEC 62443-2-4

從圖中可以很直觀地看出，正文部分主要對(duì)要求綜述進(jìn)行了更新。要求綜述是正文部分的重點(diǎn)內(nèi)容，通過(guò)更新可以使IEC 62443 標(biāo)準(zhǔn)更加完善。其次是對(duì)概念部分進(jìn)行了修改，相關(guān)概念的意義在很大程度上決定了使用者對(duì)標(biāo)準(zhǔn)要求的理解，對(duì)相關(guān)概念準(zhǔn)確且詳細(xì)的理解是更好地使用該標(biāo)準(zhǔn)的基礎(chǔ)。

對(duì)于正文部分不同修改類型的數(shù)量如圖2 所示。由圖2可見(jiàn)，正文部分主要增添了關(guān)鍵詞條、注釋的補(bǔ)充說(shuō)明。這是因?yàn)楫?dāng)缺乏關(guān)鍵詞條的詞義解釋時(shí)，使用者對(duì)相關(guān)條款的理解容易出現(xiàn)偏差。同時(shí)對(duì)于條款在使用過(guò)程中的效果，新版標(biāo)準(zhǔn)進(jìn)行了適當(dāng)?shù)姆艑捇蛘呒訌?qiáng)要求。最后，2017 版的標(biāo)準(zhǔn)文件還解決了2015版文件中存在的問(wèn)題。

圖2 2017版IEC 62443標(biāo)準(zhǔn)正文更新類型與數(shù)量Fig.2 Type and quantity of various updating ways in the body of 2017 edition IEC 62443

1.2 正文更新綜合分析

IEC 62443標(biāo)準(zhǔn)的正文部分更新如下。

（1）對(duì)標(biāo)準(zhǔn)的詞條解釋、作用進(jìn)行補(bǔ)充，或者對(duì)相關(guān)內(nèi)容進(jìn)行注釋補(bǔ)充。例如5.5.7需求說(shuō)明的第2 段后插入了對(duì)于“確保”一詞的解釋以及該詞的使用范圍［9-10］，該詞適用于提供高置信度，對(duì)于該類詞匯進(jìn)行補(bǔ)充定義說(shuō)明可以提高該文件的準(zhǔn)確性。

（2）放寬對(duì)相關(guān)條款的要求。例如對(duì)于5.1 部分的修改內(nèi)容，是在第1 段和注釋之間插入一段新內(nèi)容［9-10］，說(shuō)明附表A的要求并不都適用于所有服務(wù)提供商，資產(chǎn)所有者可以要求服務(wù)提供商執(zhí)行附表A中的部分要求。這一修改大大提高了該標(biāo)準(zhǔn)的適用范圍和靈活性，在我國(guó)實(shí)施過(guò)程中如遇到不適用情況，可根據(jù)實(shí)際情況進(jìn)行適當(dāng)調(diào)整。在實(shí)施的過(guò)程中，服務(wù)提供商、資產(chǎn)所有者可以根據(jù)實(shí)際情況修改概述文件。

（3）與此同時(shí)，標(biāo)準(zhǔn)的正文也加強(qiáng)了對(duì)部分條款的要求，例如范圍修改第1 部分，修改內(nèi)容為：將第1 段“服務(wù)提供商可以向資產(chǎn)所有者提供的安全能力要求”改為“……提供安全能力的一系列綜合要求”［9-10］。這項(xiàng)修改表明了服務(wù)商提供的安全能力要求并不是單一片面的，而是綜合能力的要求。

（4）相關(guān)問(wèn)題的解決和完善。如5.5.3 的功能域列部分指出因?yàn)榧軜?gòu)功能域的范圍很廣，所以存在一定的局限性，給出了主題列（5.5.4）架構(gòu)的值劃分的3 個(gè)總結(jié)層［9-10］。與2015 版相比，2017 版對(duì)于附件A的更新解決了架構(gòu)功能域存在局限性的問(wèn)題，使該標(biāo)準(zhǔn)適用性更好、更加完備。

2015 版和2017 版條款具體修改內(nèi)容對(duì)比見(jiàn)表1。

表1 2015版和2017版正文內(nèi)容修改對(duì)比Tab.1 Comparison of the updated items in the body of 2015 and 2017 edition

2 附表A部分的更新分析

2.1 附表A部分更新占比與類型

附表A 共有124 條需求條款，2017 版文件在2015 版文件基礎(chǔ)上共修改了21 條需求條款。其中修改占比最高的是SP.05.XX 中的SIS 部分，其次是SP.01.XX 解決方案的人員配置部分、SP.03.XX 結(jié)構(gòu)部分、SP.10.XX 惡意軟件防護(hù)部分，具體修改占比如圖3所示。

圖3 附表A修改占比Fig.3 Ratios of new items in the appendix A

新版文件與舊版文件相比較，對(duì)于SP. 05. XX修改的占比最大，分別對(duì)網(wǎng)絡(luò)設(shè)計(jì)、設(shè)備級(jí)安全要求、無(wú)線連接、用戶接口配置模式中的條款都進(jìn)行了修改。

2017 版標(biāo)準(zhǔn)主要對(duì)“基本原理”和“需求說(shuō)明”列進(jìn)行增添、刪除或者修改，極少部分對(duì)“文檔？”列進(jìn)行修改。增添、刪除、修改類型與數(shù)量如圖4所示。

圖4 2017版IEC 62443標(biāo)準(zhǔn)附表A更新類型與數(shù)量Fig.4 Type and quantity of various updating ways in IEC 62443 appendix A of 2017 edition

“基本原理”列是對(duì)“需求說(shuō)明”列進(jìn)行補(bǔ)充說(shuō)明和解釋，附表A 對(duì)此列內(nèi)容進(jìn)行修改可以讓使用者更好地理解和實(shí)施“需求說(shuō)明”列的內(nèi)容。此外，附表A 主要的更新類型是對(duì)2015 版文件進(jìn)行修改，因?yàn)? 版文件距離較近，所以大幅度的改動(dòng)較少。最后，相較于刪除部分內(nèi)容而言，對(duì)相關(guān)條款進(jìn)行補(bǔ)充說(shuō)明的修改占比較大。

2.2 需求說(shuō)明部分更新分析

需求說(shuō)明部分一共更新了14個(gè)相關(guān)條款，其中SIS部分更新了9個(gè)條款。具體更新類型內(nèi)容如下。

（1）放寬條款的要求，例如條款SP. 01.04 BR，2017 版標(biāo)準(zhǔn)在2015 版標(biāo)準(zhǔn)的基礎(chǔ)上對(duì)于“需求說(shuō)明”一列中的“服務(wù)商應(yīng)該具有的能力：”后增添了“在可行的情況下”［9-10］。對(duì)比于舊版條款，新版條款增強(qiáng)了文件的可適用性。對(duì)于一些情況特殊的地區(qū)，該條款的要求可以有所放松。

（2）加強(qiáng)條款的要求，例如條款SP.05.09 BR 的“需求說(shuō)明”部分，新版文件刪除了第1段“服務(wù)提供者應(yīng)有能力確保自動(dòng)化解決方案提供啟用和禁用SIS 配置模式的用戶界面”中的“用戶界面”［9-10］，新版文件的這一修改加強(qiáng)了對(duì)服務(wù)提供商的要求。服務(wù)提供商不僅需要有能力確保用戶界面的啟用和禁用，而且要確保整個(gè)SIS 配置模式的啟用和禁用。

（3）從結(jié)果出發(fā)列出基本原理和需求說(shuō)明，可以使該文件實(shí)施起來(lái)更加方便，減少了差錯(cuò)的產(chǎn)生。例如條款SP. 05.03 BR，舊版文件要求在3 級(jí)以上不能與SIS 建立連接，而新版文件改為“不能干擾SIS 的運(yùn)行”［9-10］。因?yàn)椴慌cSIS 建立連接并不能完全避免干擾SIS 運(yùn)行。新版文件直接從要求的結(jié)果出發(fā)，將結(jié)果要求列出，這樣保證服務(wù)提供商具有完全符合要求的能力。

（4）添加文檔化的要求，例如條款SP. 08.04 BR，舊版標(biāo)準(zhǔn)要求確保自動(dòng)化解決方案能夠承受事件風(fēng)暴，而新版文件則是要求對(duì)這種應(yīng)對(duì)大量事件同時(shí)發(fā)生的能力進(jìn)行文檔化［9-10］。文檔化在一定程度上能夠很好地對(duì)服務(wù)提供商的能力進(jìn)行驗(yàn)證和判斷，同時(shí)使判斷標(biāo)準(zhǔn)更加規(guī)范化［11］。

需求說(shuō)明部分一共更新了14 個(gè)條款，其中有7個(gè)條款放寬了要求；2 個(gè)條款加強(qiáng)要求；3 個(gè)條款從要求改為直接從結(jié)果切入；2 個(gè)條款進(jìn)行了文檔化分析。總體來(lái)看，需求說(shuō)明部分中很大一部分的條款都進(jìn)行了放寬要求的修改，使得IEC 62443 條款的適用性更強(qiáng)。在不同國(guó)家進(jìn)行推廣的時(shí)候會(huì)遇到很多特殊情況，相對(duì)放寬要求能夠方便使用者適時(shí)調(diào)整。對(duì)于從結(jié)果切入、增添文檔化要求、加強(qiáng)對(duì)相關(guān)條款的要求，某種程度上都可以使得相關(guān)條款在執(zhí)行、判斷的過(guò)程中更加清晰，結(jié)果更加貼合要求。

2015 版和2017 版需求說(shuō)明具體修改對(duì)比見(jiàn)表2。

表2 2015版和2017版需求說(shuō)明修改對(duì)比Tab.2 Comparison of the requirement descriptions in 2015 and 2017 edition

2.3 基本原理部分更新分析

基本原理是對(duì)需求說(shuō)明部分進(jìn)行詳細(xì)的解釋和理解，描述要求的背景、理由和其他方面的文本，有助于讀者理解標(biāo)準(zhǔn)內(nèi)容?；驹淼男薷暮芏嗍歉鶕?jù)需求說(shuō)明的修改而修改的，有些是根據(jù)舊版條款使用過(guò)程中需求說(shuō)明中存在的理解偏差進(jìn)行一定的補(bǔ)充，使IEC 62443更加容易理解。

基本原理部分共更新了19處條款，與需求說(shuō)明相似，同樣是以SIS 部分的更新條款數(shù)最多，具體更新類型內(nèi)容如下（見(jiàn)表3）。

（1）根據(jù)需求說(shuō)明部分的增添、修改進(jìn)行相應(yīng)修改，可以幫助使用者理解需求說(shuō)明的修改。如SP.01.04 BR 條款，2017 版標(biāo)準(zhǔn)對(duì)于2015 版標(biāo)準(zhǔn)在“需求說(shuō)明”一列中“服務(wù)商應(yīng)該具有的能力：”之后增加了“在可行的情況下”［9-10］。同時(shí)對(duì)應(yīng)“基本原理”一列中增添了2 處，一處是對(duì)應(yīng)補(bǔ)充了“進(jìn)行背景調(diào)查的方法并非總是可行”的原因，另一處補(bǔ)充了相關(guān)的示例［9-10］。這部分需求說(shuō)明的更新說(shuō)明了為什么對(duì)需求說(shuō)明放寬要求，并增加了“在可行的情況下”這一前提條件。

（2）基本原理部分增加了對(duì)相似條款的對(duì)比，列出相似條款編號(hào)且清晰地指出兩者之間的區(qū)別。如條款SP.05.03 BR，新版本在原有的第1 段與第2段之間插入新的段落，補(bǔ)充說(shuō)明了條款SP. 05.02 BR 與SP.05.03 BR 的區(qū)別［9-10］。因?yàn)閮烧咭蟊容^近似，補(bǔ)充說(shuō)明兩者的區(qū)別可以讓使用者更加直觀地理解本條款“基本原理”中的內(nèi)容，同時(shí)在實(shí)施過(guò)程中更加準(zhǔn)確地遵循標(biāo)準(zhǔn)。

（3）基本原理部分還更新了相關(guān)條款的舉例，如條款SP.05.06 BR“基本原理”部分，舊版本的第二段是對(duì)SIS 物理連接的規(guī)定，而新版本的文件則將該部分改為確保對(duì)SIS 的訪問(wèn)控制在SIS 的接口上實(shí)現(xiàn)，并且舉了一個(gè)相關(guān)例子［9-10］。新版本文件的該部分和“需求說(shuō)明”的修改內(nèi)容相對(duì)應(yīng)，更加概括、清晰和全面。同時(shí)，新版文件的很多條款增添了相關(guān)的例子，在理解基本原理時(shí)更加直觀。

（4）基本原理部分也對(duì)部分示例進(jìn)行刪除、精簡(jiǎn)，如條款SP. 05.08 BR 第1 段內(nèi)容刪除了舊版文件中的示例［9-10］，使第1段的內(nèi)容更加精簡(jiǎn)。

（5）從結(jié)果切入，直接對(duì)服務(wù)提供商提供服務(wù)的結(jié)果進(jìn)行要求，避免結(jié)果不符合要求。如條款SP. 05.07 BR 第2 段的最后一句，舊版文件是要求SIS 內(nèi)嵌Web 服務(wù)器（EWS）專用于SIS，而新版文件則只要求在SIS EWS 運(yùn)行中的安全相關(guān)軟件免受SIS EWS 運(yùn)行的其他軟件的危害［4-5］。此部分的更新就是從結(jié)果出發(fā)，避免服務(wù)提供商提供的服務(wù)達(dá)不到預(yù)期的效果。

（6）加強(qiáng)條款的要求，如條款SP.10.02 BR 的基本原理部分第二段，對(duì)服務(wù)提供商提供的可識(shí)別流程進(jìn)行了詳細(xì)補(bǔ)充，除了指明服務(wù)提供商所需要做的相應(yīng)行為，還指出了此行為需要帶來(lái)的相應(yīng)效果和目的，也是加強(qiáng)對(duì)服務(wù)提供商的要求。

基本原理部分共更新了16 個(gè)條款，其中5 處條款增加了示例，幫助使用者更好地理解基本原理和需求說(shuō)明；6 處條款加強(qiáng)了基本原理的要求；2 處條款增添了對(duì)相似條款的對(duì)比分析，減少使用過(guò)程中出現(xiàn)不必要的混淆；2 處條款的基本原理從結(jié)果切入，避免服務(wù)提供商達(dá)不到預(yù)期的結(jié)果；1 處條款刪除了不必要的示例，使基本原理的重點(diǎn)更明確、更容易理解，避免推廣時(shí)產(chǎn)生不必要的錯(cuò)誤［12-13］。

表3 2015版和2017版基本原理?xiàng)l款修改對(duì)比Tab.3 Comparison of the basic principles in 2015 and 2017 edition

2.4 “文檔？”部分更新分析

“文檔？”列的含義是指交付文檔是否需要提供給資產(chǎn)所有者。某些要求可能需要服務(wù)提供商維護(hù)交付之外的文檔［11］。然而，資產(chǎn)所有者可以與服務(wù)提供商達(dá)成協(xié)議，以查閱或獲得這些文檔。

對(duì)于此部分只有條款SP. 08.04 BR 進(jìn)行了修改，在2015 版的安全程序中此列為“否”，而2017 版的文檔將此列更新為“是”［9-10］。這一更新增強(qiáng)了對(duì)服務(wù)提供商的要求。就SP.08.04 BR條款的內(nèi)容來(lái)看，需求說(shuō)明部分對(duì)服務(wù)提供商的要求就是將自動(dòng)化解決方案所能承受的同時(shí)發(fā)生的大量事件（通常稱為事件風(fēng)暴）的能力進(jìn)行文檔化，便于對(duì)能力進(jìn)行判斷。相應(yīng)的，SP. 08.04 BR 條款的基本原理部分也提出了相應(yīng)的文檔化的要求，此修改使“文檔？”“需求說(shuō)明”和“基本原理”的內(nèi)容更加統(tǒng)一，同時(shí)健壯性測(cè)試也常被用于證明此功能［14-15］。

3 結(jié)束語(yǔ)

通過(guò)對(duì)比研究分析2015版和2017版IEC 62443標(biāo)準(zhǔn)中運(yùn)維服務(wù)提供商的安全程序要求，梳理了安全程序要求的基本框架和主要內(nèi)容。IEC 62443 標(biāo)準(zhǔn)的推廣還需要進(jìn)一步加強(qiáng)，尤其是在國(guó)內(nèi)。因?yàn)橥茝V過(guò)程中存在使用者對(duì)標(biāo)準(zhǔn)內(nèi)容掌握不夠透徹的問(wèn)題，不同版本的安全程序要求在推廣和使用的過(guò)程中存在一定的理解偏差。為了更好地理解和推廣此安全程序要求，對(duì)兩者正文部分、附表部分的需求說(shuō)明和基本原理進(jìn)行了對(duì)比分析，總結(jié)出了更新的類型和相關(guān)示例：對(duì)2015版的標(biāo)準(zhǔn)進(jìn)行要求加強(qiáng)或者放寬；對(duì)服務(wù)提供商的能力進(jìn)行文檔化的要求；對(duì)非典型的示例進(jìn)行刪減；對(duì)缺乏示例的條例進(jìn)行補(bǔ)充；補(bǔ)充了相似條款的對(duì)比分析，減少了不必要的混淆；將很多容易出錯(cuò)的條款更新為從結(jié)果切入，讓服務(wù)提供商能夠更好地滿足相關(guān)需求等。通過(guò)分析和總結(jié)，IEC 62443標(biāo)準(zhǔn)運(yùn)維服務(wù)提供商的安全程序理解起來(lái)更加容易且準(zhǔn)確，避免推廣過(guò)程中產(chǎn)生不必要的錯(cuò)誤。同時(shí)基于對(duì)2015 版和2017 版的對(duì)比分析，給以后安全程序要求的更新提供了基本的參考。