智慧城市承诺从大数据和分析中创造价值。但是,对于每个新连接,都有一个攻击者希望利用它。要让智慧城市真正兑现其承诺,我们不应忘记——与所有基础设施一样——安全和安保是重中之重。
SGS颁发轨道交通领域全球首张IEC 62443网络安全认证证书
网络安全攻击是对铁路安全和运营的主要威胁
轨交系统作为重大基础设施,一直被全球各大地区视为可持续经济发展的基石。而随着轨道交通网格规模不断扩大,大规模数据通信的发生越发频繁,铁路行业逐渐被被视为网络犯罪的可行目标,网络攻击的次数和严重程度都在增加。信号系统、牵引系统、列车控制系统、乘客信息系统和车站基础设施等均存在潜在风险。网络安全攻击可能会对铁路和地铁系统造成经济与运营上的毁灭性破坏。
目前世界多地的铁路和地铁已经出现网络安全漏洞并遭受网络攻击,即便一些未被防护的小型网络袭击也会造成比较严重的后果,影响铁路运营,泄露乘客隐私数据。例如,费城交通局花了数月时间才从2020年的恶意软件攻击中恢复过来,包括阻止员工访问其电子邮件,阻止地铁系统与乘客共享实时信息;同年七月份,以色列的铁路基础设施遭受一些列网络攻击,导致28个火车站和地铁站十天内无法正常运行,造成重大的经济损失。2020年至今已公开的铁路网络安全事件已有十余例。
IEC 62443系列国际标准,IACS – IIOT网络安全必经之路
迅速发展的现代轨道交通技术使得轨交系统基础建设有更多的安全保障,同时也使得轨交系统成为网络安全攻击的目标。除了轨道交通设施安全,功能安全SIL,RAMS等成熟的安全技术外,一种新的规范模式:网络安全,已经逐渐被纳入各国轨交系统监督管理要求,并作为基本准入条件出现在轨交项目招投标要求中。IEC62443系列标准是针对自动化及控制系统的信息安全标准,旨在指导系统集成商、产品提供商和服务提供商对他们的产品和服务进行安全性评估,是近10年来最重要的工业信息安全研究和实践的总结。
IEC62443系列标准包含以下部分:
General(通用部分)
o 1-1:术语和概念
o 1-2:主要词汇表
o 1-3:系统安全认证指南
o 1-4:安全生命周期与使用案例
Policies& Procedures (政策与流程,适用于资产所有者及运维方)
o 2-1:建立IACS的安全计划
o 2-2:实施指南
o 2-3:补丁管理
o 2-4:IACS服务提供商的安全计划要求
System(系统,适用于系统整合商)
o 3-1:IACS的安全技术
o 3-2:安全风险评估和系统设计
o 3-3:系统安全要求和级别
Component(零组件,适用于零部件供应商)
o 4-1:产品开发生命周期安全要求
o 4-2:零组件的安全技术要求、
其中IEC62443-3针对系统级别的系列标准,适用于轨道交通领域绝大多数专业。IEC 62443-3-1与-3-2为技术基础理论与风险评估方案,-3-3作为认证标准,提出安全级别(security level)概念,用于评估每个系统的网络安全风险以助于应对各项风险措施。SL(security level)一共有五个安全级别,其中SL0是最低安全级别,无特殊要求与安全防护;SL1,表明系统能抵御某些具有偶然性或巧合性的威胁攻击;SL2,表明系统具有抵御简单的故意性威胁攻击的能力,该威胁攻击具有通用方法,使用低资源并具有低动因的特点;SL3,表明系统可以抵御复杂的故意性威胁攻击,该威胁攻击采用系统性特定的方法,使用中等资源并具有中动因的特点;SL4为最高安全级别,表明系统有抵御复杂的故意性威胁攻击的能力,该威胁攻击采用系统性特定的方法,使用扩展性资源并具有高动因的特点。从SL1到SL4,系统都需要满足七个基本要素,每个要素要求都包含有多个需要满足的基本条件,以及一系列的增强条件(RE),满足条件的多少具体取决于目标SL,即为目标SL越高,基本要求必须满足的条件就越多。
七个基本要求为:
IAC(标识与鉴别控制Identificationand authentication control)、UC(使用控制Use control)、DI(数据完整性Data Integrity)、DC(数据保密性Data Confidentiality)、RDF(受限制的数据流Restrict Data Flow)、TRE(事件实时响应Timely Response to Event)、RA(资源可用性Resource Availability)
SGS颁发轨道交通领域全球首张IEC 62443认证证书
2022年6月,SGS正式颁发全球轨道交通领域首张IEC62443认证证书。在此项目合作期间,SGS工业信息安全团队与委托方的产品与项目团队密切合作,从标准培训,信息安全需求与概念理解,信息安全系统搭建,到工厂测试及现场测试(系统最终使用目的地为中东地区)等环节均有深入技术交流。
通过全面的安全评估以及大量测试用例的验证测试,并审核相关技术文档,最终确认委托方所开发的系统符合IEC 62443-3-3要求,并为其颁发认证证书,最终此系统所应用的地铁线也如期顺利开通。
SGS作为国际公认的第三方测试认证机构,在工业自动化、轨道交通、道路车辆、消费电子、医疗器械、安全支付等领域大力推广信息安全技术。凭借专业、高效的一站式解决方案,SGS助力企业提升信息安全能力建设,有效减少部署与操作系统的风险,促进企业的可持续发展。