IEC 62443运维服务提供商的安全程序要求演化分析

龚钢军，孟芷若*，田惠文，刘韧，金璐

（1.北京市能源电力信息安全工程技术研究中心（华北电力大学），北京102206；2.中国网络安全审查技术与认证中心，北京100020；3.北京华电云博科技有限公司，北京102206）

0 引言

IEC 62443 是面向各种工业自动化控制系统的安全程序要求，包括一系列标准［1］。制定工业控制安全程序要求对保护工业控制信息安全有着十分重要的意义［2］。IEC 62443 标准充分考虑了工业领域不同参与方的不同需求，比较符合各工业行业对信息安全标准的需要［3］。运维服务提供商通常是独立于资产所有者的组织，根据合同及资产所有者的要求执行自动化解决方案的维护和服务活动。

在IEC 62443-2-4 标准中，工业自动化和控制系统（IACS）安全第2―4 部分是针对IACS 服务提供商的安全程序要求，分为2 个部分：正文和附表A，而附表A 的修改部分又主要分为“需求说明”和“基本原理（BR）”2个部分。

IEC 62443-2-4 正文的开头部分对该标准的主要使用范围进行了叙述，接着阐述了该标准相关文件的引用规范。对涉及到的关键性术语给出了相关定义、缩略语和缩写。对文件涉及到的相关概念和成熟度模型进行了详细的说明，最后给出了该标准的要求综述。

IEC 62443-2-4的附表A是规范性附录，包含安全要求的12项详细内容：（1）解决方案的人员配置，描述了服务提供商向自动化解决方案相关活动指派人员的相关要求；（2）保证部分，描述了保证自动化解决方案安全策略强制实施的相关要求；（3）结构部分，描述了自动化解决方案设计方面的相关要求；（4）无线部分，描述了在自动化解决方案中使用无线的相关要求；（5）安全仪表系统（Safety Instrumented System，SIS）部分，描述了在自动化解决方案中集成SIS 的相关要求；（6）配置管理部分，描述了自动化解决方案配置控制方面的相关要求；（7）远程访问部分，描述了自动化解决方案远程访问的相关要求；（8）事件管理部分，描述了自动化解决方案中事件处理的相关要求；（9）账户管理部分，描述了自动化解决方案中人员账户管理的相关要求；（10）恶意软件防护部分，描述了自动化解决方案中使用防恶意软件的相关要求；（11）补丁管理部分，描述了关于批准和安装软件补丁的安全要求；（12）备份∕恢复部分，提供了数据备份和恢复的安全要求。

由于IEC 62443 标准的原文为英文，中文翻译版本较少，同时英文词汇在翻译时存在一定的理解偏差，致使IEC 62443-2-4 标准在推广应用中有些内容研究不够深入［4］，尤其是对于不同版本的标准内容理解有所差异［5-8］。为了让使用者能够更好地理解标准，并加强推广这一标准，对2015 版和2017版标准进行了梳理，对整体内容的更新进行了统计和分析，然后逐条进行分析，归纳出典型的更新类型，并对典型的具体条款进行举例分析。

1 正文部分的更新内容

1.1 正文更新比例与类型统计分析

IEC 62443-2-4 的正文部分共分为要求综述，范围，规范性引用文件，概念，术语、定义、缩略语和缩写5个部分，除了规范性引用文件没有变化外，其他部分都做了更新。具体的修改占比如图1所示。

图1 IEC 62443-2-4标准正文修改占比Fig.1 Proportion of the revised part in the body of IEC 62443-2-4

从图中可以很直观地看出，正文部分主要对要求综述进行了更新。要求综述是正文部分的重点内容，通过更新可以使IEC 62443 标准更加完善。其次是对概念部分进行了修改，相关概念的意义在很大程度上决定了使用者对标准要求的理解，对相关概念准确且详细的理解是更好地使用该标准的基础。

对于正文部分不同修改类型的数量如图2 所示。由图2可见，正文部分主要增添了关键词条、注释的补充说明。这是因为当缺乏关键词条的词义解释时，使用者对相关条款的理解容易出现偏差。同时对于条款在使用过程中的效果，新版标准进行了适当的放宽或者加强要求。最后，2017 版的标准文件还解决了2015版文件中存在的问题。

图2 2017版IEC 62443标准正文更新类型与数量Fig.2 Type and quantity of various updating ways in the body of 2017 edition IEC 62443

1.2 正文更新综合分析

IEC 62443标准的正文部分更新如下。

（1）对标准的词条解释、作用进行补充，或者对相关内容进行注释补充。例如5.5.7需求说明的第2 段后插入了对于“确保”一词的解释以及该词的使用范围［9-10］，该词适用于提供高置信度，对于该类词汇进行补充定义说明可以提高该文件的准确性。

（2）放宽对相关条款的要求。例如对于5.1 部分的修改内容，是在第1 段和注释之间插入一段新内容［9-10］，说明附表A的要求并不都适用于所有服务提供商，资产所有者可以要求服务提供商执行附表A中的部分要求。这一修改大大提高了该标准的适用范围和灵活性，在我国实施过程中如遇到不适用情况，可根据实际情况进行适当调整。在实施的过程中，服务提供商、资产所有者可以根据实际情况修改概述文件。

（3）与此同时，标准的正文也加强了对部分条款的要求，例如范围修改第1 部分，修改内容为：将第1 段“服务提供商可以向资产所有者提供的安全能力要求”改为“……提供安全能力的一系列综合要求”［9-10］。这项修改表明了服务商提供的安全能力要求并不是单一片面的，而是综合能力的要求。

（4）相关问题的解决和完善。如5.5.3 的功能域列部分指出因为架构功能域的范围很广，所以存在一定的局限性，给出了主题列（5.5.4）架构的值划分的3 个总结层［9-10］。与2015 版相比，2017 版对于附件A的更新解决了架构功能域存在局限性的问题，使该标准适用性更好、更加完备。

2015 版和2017 版条款具体修改内容对比见表1。

表1 2015版和2017版正文内容修改对比Tab.1 Comparison of the updated items in the body of 2015 and 2017 edition

2 附表A部分的更新分析

2.1 附表A部分更新占比与类型

附表A 共有124 条需求条款，2017 版文件在2015 版文件基础上共修改了21 条需求条款。其中修改占比最高的是SP.05.XX 中的SIS 部分，其次是SP.01.XX 解决方案的人员配置部分、SP.03.XX 结构部分、SP.10.XX 恶意软件防护部分，具体修改占比如图3所示。

图3 附表A修改占比Fig.3 Ratios of new items in the appendix A

新版文件与旧版文件相比较，对于SP. 05. XX修改的占比最大，分别对网络设计、设备级安全要求、无线连接、用户接口配置模式中的条款都进行了修改。

2017 版标准主要对“基本原理”和“需求说明”列进行增添、删除或者修改，极少部分对“文档？”列进行修改。增添、删除、修改类型与数量如图4所示。

图4 2017版IEC 62443标准附表A更新类型与数量Fig.4 Type and quantity of various updating ways in IEC 62443 appendix A of 2017 edition

“基本原理”列是对“需求说明”列进行补充说明和解释，附表A 对此列内容进行修改可以让使用者更好地理解和实施“需求说明”列的内容。此外，附表A 主要的更新类型是对2015 版文件进行修改，因为2 版文件距离较近，所以大幅度的改动较少。最后，相较于删除部分内容而言，对相关条款进行补充说明的修改占比较大。

2.2 需求说明部分更新分析

需求说明部分一共更新了14个相关条款，其中SIS部分更新了9个条款。具体更新类型内容如下。

（1）放宽条款的要求，例如条款SP. 01.04 BR，2017 版标准在2015 版标准的基础上对于“需求说明”一列中的“服务商应该具有的能力：”后增添了“在可行的情况下”［9-10］。对比于旧版条款，新版条款增强了文件的可适用性。对于一些情况特殊的地区，该条款的要求可以有所放松。

（2）加强条款的要求，例如条款SP.05.09 BR 的“需求说明”部分，新版文件删除了第1段“服务提供者应有能力确保自动化解决方案提供启用和禁用SIS 配置模式的用户界面”中的“用户界面”［9-10］，新版文件的这一修改加强了对服务提供商的要求。服务提供商不仅需要有能力确保用户界面的启用和禁用，而且要确保整个SIS 配置模式的启用和禁用。

（3）从结果出发列出基本原理和需求说明，可以使该文件实施起来更加方便，减少了差错的产生。例如条款SP. 05.03 BR，旧版文件要求在3 级以上不能与SIS 建立连接，而新版文件改为“不能干扰SIS 的运行”［9-10］。因为不与SIS 建立连接并不能完全避免干扰SIS 运行。新版文件直接从要求的结果出发，将结果要求列出，这样保证服务提供商具有完全符合要求的能力。

（4）添加文档化的要求，例如条款SP. 08.04 BR，旧版标准要求确保自动化解决方案能够承受事件风暴，而新版文件则是要求对这种应对大量事件同时发生的能力进行文档化［9-10］。文档化在一定程度上能够很好地对服务提供商的能力进行验证和判断，同时使判断标准更加规范化［11］。

需求说明部分一共更新了14 个条款，其中有7个条款放宽了要求；2 个条款加强要求；3 个条款从要求改为直接从结果切入；2 个条款进行了文档化分析。总体来看，需求说明部分中很大一部分的条款都进行了放宽要求的修改，使得IEC 62443 条款的适用性更强。在不同国家进行推广的时候会遇到很多特殊情况，相对放宽要求能够方便使用者适时调整。对于从结果切入、增添文档化要求、加强对相关条款的要求，某种程度上都可以使得相关条款在执行、判断的过程中更加清晰，结果更加贴合要求。

2015 版和2017 版需求说明具体修改对比见表2。

表2 2015版和2017版需求说明修改对比Tab.2 Comparison of the requirement descriptions in 2015 and 2017 edition

2.3 基本原理部分更新分析

基本原理是对需求说明部分进行详细的解释和理解，描述要求的背景、理由和其他方面的文本，有助于读者理解标准内容。基本原理的修改很多是根据需求说明的修改而修改的，有些是根据旧版条款使用过程中需求说明中存在的理解偏差进行一定的补充，使IEC 62443更加容易理解。

基本原理部分共更新了19处条款，与需求说明相似，同样是以SIS 部分的更新条款数最多，具体更新类型内容如下（见表3）。

（1）根据需求说明部分的增添、修改进行相应修改，可以帮助使用者理解需求说明的修改。如SP.01.04 BR 条款，2017 版标准对于2015 版标准在“需求说明”一列中“服务商应该具有的能力：”之后增加了“在可行的情况下”［9-10］。同时对应“基本原理”一列中增添了2 处，一处是对应补充了“进行背景调查的方法并非总是可行”的原因，另一处补充了相关的示例［9-10］。这部分需求说明的更新说明了为什么对需求说明放宽要求，并增加了“在可行的情况下”这一前提条件。

（2）基本原理部分增加了对相似条款的对比，列出相似条款编号且清晰地指出两者之间的区别。如条款SP.05.03 BR，新版本在原有的第1 段与第2段之间插入新的段落，补充说明了条款SP. 05.02 BR 与SP.05.03 BR 的区别［9-10］。因为两者要求比较近似，补充说明两者的区别可以让使用者更加直观地理解本条款“基本原理”中的内容，同时在实施过程中更加准确地遵循标准。

（3）基本原理部分还更新了相关条款的举例，如条款SP.05.06 BR“基本原理”部分，旧版本的第二段是对SIS 物理连接的规定，而新版本的文件则将该部分改为确保对SIS 的访问控制在SIS 的接口上实现，并且举了一个相关例子［9-10］。新版本文件的该部分和“需求说明”的修改内容相对应，更加概括、清晰和全面。同时，新版文件的很多条款增添了相关的例子，在理解基本原理时更加直观。

（4）基本原理部分也对部分示例进行删除、精简，如条款SP. 05.08 BR 第1 段内容删除了旧版文件中的示例［9-10］，使第1段的内容更加精简。

（5）从结果切入，直接对服务提供商提供服务的结果进行要求，避免结果不符合要求。如条款SP. 05.07 BR 第2 段的最后一句，旧版文件是要求SIS 内嵌Web 服务器（EWS）专用于SIS，而新版文件则只要求在SIS EWS 运行中的安全相关软件免受SIS EWS 运行的其他软件的危害［4-5］。此部分的更新就是从结果出发，避免服务提供商提供的服务达不到预期的效果。

（6）加强条款的要求，如条款SP.10.02 BR 的基本原理部分第二段，对服务提供商提供的可识别流程进行了详细补充，除了指明服务提供商所需要做的相应行为，还指出了此行为需要带来的相应效果和目的，也是加强对服务提供商的要求。

基本原理部分共更新了16 个条款，其中5 处条款增加了示例，帮助使用者更好地理解基本原理和需求说明；6 处条款加强了基本原理的要求；2 处条款增添了对相似条款的对比分析，减少使用过程中出现不必要的混淆；2 处条款的基本原理从结果切入，避免服务提供商达不到预期的结果；1 处条款删除了不必要的示例，使基本原理的重点更明确、更容易理解，避免推广时产生不必要的错误［12-13］。

表3 2015版和2017版基本原理条款修改对比Tab.3 Comparison of the basic principles in 2015 and 2017 edition

2.4 “文档？”部分更新分析

“文档？”列的含义是指交付文档是否需要提供给资产所有者。某些要求可能需要服务提供商维护交付之外的文档［11］。然而，资产所有者可以与服务提供商达成协议，以查阅或获得这些文档。

对于此部分只有条款SP. 08.04 BR 进行了修改，在2015 版的安全程序中此列为“否”，而2017 版的文档将此列更新为“是”［9-10］。这一更新增强了对服务提供商的要求。就SP.08.04 BR条款的内容来看，需求说明部分对服务提供商的要求就是将自动化解决方案所能承受的同时发生的大量事件（通常称为事件风暴）的能力进行文档化，便于对能力进行判断。相应的，SP. 08.04 BR 条款的基本原理部分也提出了相应的文档化的要求，此修改使“文档？”“需求说明”和“基本原理”的内容更加统一，同时健壮性测试也常被用于证明此功能［14-15］。

3 结束语

通过对比研究分析2015版和2017版IEC 62443标准中运维服务提供商的安全程序要求，梳理了安全程序要求的基本框架和主要内容。IEC 62443 标准的推广还需要进一步加强，尤其是在国内。因为推广过程中存在使用者对标准内容掌握不够透彻的问题，不同版本的安全程序要求在推广和使用的过程中存在一定的理解偏差。为了更好地理解和推广此安全程序要求，对两者正文部分、附表部分的需求说明和基本原理进行了对比分析，总结出了更新的类型和相关示例：对2015版的标准进行要求加强或者放宽；对服务提供商的能力进行文档化的要求；对非典型的示例进行删减；对缺乏示例的条例进行补充；补充了相似条款的对比分析，减少了不必要的混淆；将很多容易出错的条款更新为从结果切入，让服务提供商能够更好地满足相关需求等。通过分析和总结，IEC 62443标准运维服务提供商的安全程序理解起来更加容易且准确，避免推广过程中产生不必要的错误。同时基于对2015 版和2017 版的对比分析，给以后安全程序要求的更新提供了基本的参考。