一、論文概覽
論文標題
– 英文:Security Service Architecture Design Based on IEC 62443 Standard
– 中文:基於 IEC 62443 標準之安全服務架構設計
作者與機構
Jung-Hsing Wang、Chien-Yao Huang、Hsiao-Yu Chou、Chung-Ying Wang、Hui-Jean Kuo、Vipin Ting,來自國家實驗研究院台灣儀器科技研究中心(TIRI, NARLabs)
發表資訊
2023 IEEE 3rd International Conference on Electronic Communications, Internet of Things and Big Data (ICEIB),2023 年 4 月 14-16 日,台中
二、這篇論文在說什麼?
研究背景:智慧工廠的資安困境
智慧製造帶來了效率與彈性的提升,但當越來越多自動化設備連上網路,工業控制系統(Industrial Control Systems, ICS)也逐漸暴露在網路攻擊的威脅之下。傳統的 IT 資安思維往往難以直接套用在營運技術(Operational Technology, OT)環境,因為 OT 系統更強調可用性與即時性,停機代價極高。
為解決這類安全漏洞,國際電工委員會(IEC)制定了 IEC 62443 系列標準,針對工業自動化與控制系統(IACS)提供完整的資安框架。本研究聚焦於 IEC 62443-2-4,這部分標準規範了「服務提供者」在整合與維護自動化解決方案時,應具備的安全能力要求。
核心方法:以 IEC 62443-2-4 為骨幹的實作框架
研究團隊以 TIRI 的工控實驗場域為基礎,依循 IEC 62443-2-4 中 SP.01 至 SP.10 的安全計畫要求(SP.05 因適用於石化與核能產業而排除),建構了一套完整的安全服務架構。
實作重點包括:
縱深防禦架構(Defense-in-Depth): 採用多層次的安全保護機制,從實體網路到應用層層把關。
網路分段與介面管理: 識別並記錄場域中的網路區段及其介面,建立信任邊界,透過防火牆、資料二極體(Data Diode)、入侵偵測系統等設備進行保護。
漏洞處理程序: 結合弱點掃描、模糊測試(Fuzz Testing)、CVSS 評估,並參照 CVE、OWASP TOP 10 等公開資訊,建立系統性的漏洞管理流程。
最小功能原則: 停用不必要的軟體、服務與通訊介面(如 USB、藍牙),僅保留經資產擁有者同意的功能。
存取控制與帳號管理: 確保資料傳輸需經帳號權限驗證,網路設備僅授予維運所需的最小管理權限。
主要成果:通過認證的安全服務指南
研究團隊透過與 IEC 62443-2-4 資安顧問的定期會議,完成現況分析、差異分析報告與不符合報告。最終識別出 11 項安全計畫需求,涵蓋人員配置、安全保證、架構設計、無線通訊、組態管理、遠端存取、事件管理、帳號管理、惡意程式防護、修補管理、備份復原等面向。
所有要求文件化後,團隊產出了一份「強化服務指南」,為服務提供者提供工控安全防護與操作程序,涵蓋部署、維運、維護到除役的完整生命週期。該場域最終取得 IEC 62443-2-4 認證。
三、啟發與觀點
對資安產業的影響
IEC 62443 已逐漸成為 OT 資安的國際通用語言。這篇論文展示了台灣本土研究機構如何將國際標準落地實作,對於正在評估導入 IEC 62443 的企業而言,提供了具體的參考案例。
對資安從業人員的啟示
OT 資安與 IT 資安的最大差異在於「資產擁有者」的角色。論文中反覆強調各項措施需經資產擁有者同意,這反映了工控環境中「可用性優先」的現實。資安人員在 OT 場域工作時,溝通協調能力與對製程的理解,往往與技術能力同等重要。
此外,文中提到的 RASIC 矩陣(Responsible, Approving, Supporting, Informed, Consulted)是一個值得借鏡的權責釐清工具,能有效避免資安工作中常見的責任模糊問題。
可能的應用場景
- 製造業導入智慧製造時的資安規劃參考
- 系統整合商(SI)建立 OT 資安服務能力的框架依據
- 資安顧問進行 IEC 62443 差異分析(Gap Analysis)的實務參照
延伸思考
論文結論提到未來可朝零信任架構(Zero Trust Architecture)發展,這確實是 OT 資安的下一個重要課題。然而,零信任在 OT 環境的落地仍面臨不少挑戰,例如許多老舊設備不支援現代驗證機制、即時控制迴路難以承受額外的驗證延遲等。
另一個值得關注的方向是 IEC 62443 與其他資安框架(如 NIST CSF、ISO 27001)的整合。對於同時擁有 IT 與 OT 環境的組織而言,如何建立統一的治理框架,避免資安孤島,將是持續演進的議題。
四、來源引用
IEEE 格式
J.-H. Wang, C.-Y. Huang, H.-Y. Chou, C.-Y. Wang, H.-J. Kuo, and V. Ting, “Security Service Architecture Design Based on IEC 62443 Standard,” in 2023 IEEE 3rd International Conference on Electronic Communications, Internet of Things and Big Data (ICEIB), Taichung, Taiwan, 2023, pp. 1-4, doi: 10.1109/ICEIB57887.2023.10169989.
DOI
https://doi.org/10.1109/ICEIB57887.2023.10169989
相關資源
– IEC 62443 系列標準官方頁面:https://www.iec.ch/
– ISASecure IEC 62443 認證計畫:https://isasecure.org/
