Login
logo
比较

NIS2 要求:如何使用 IEC 62443 实现工业远程访问合规性(第 2 部分)

13 5月 2025
Ewon
我们系列的第二篇文章探讨了 IEC 62443 标准如何帮助组织满足 NIS2 合规性,特别是针对安全的工业远程访问。 请留意 - 我们很快将提供根据 IEC 62443 和 NIS2 配置 Ewon 远程访问服务的详细指南。

驾驭不断变化的网络安全形势 

NIS2 指令解决了欧盟成员国面临的日益增长的网络安全风险。它引入了一个基于风险的框架,对事件报告、供应链监督和业务连续性提出了更严格的要求。不合规可能会导致重大处罚,因此工业组织实施成熟、可审计的安全计划至关重要。 

IEC 62443 是保护工业自动化和控制系统 (IACS) 的全球标准。该框架最初由国际电工委员会 (IEC) 与国际自动化协会 (ISA) 合作开发,为资产所有者、服务提供商、系统集成商和组件制造商提供全面指导。它概述了一种分层防御方法,该方法对于保护网络、系统和远程访问通道特别有效。  

IEC 62443 远程访问安全的关键组件

IEC 62443 系列包括几个基本标准:

  • IEC 62443-2-1:为资产所有者建立网络安全风险管理计划和事件响应计划。 
  • IEC 62443-2-4:定义服务提供商的安全要求,包括安全设计、部署、维护和远程访问。 
  • IEC 62443-3-2:指导组织进行风险评估并建立必要的安全级别。 
  • IEC 62443-3-3:详细说明强制性技术安全控制措施,包括特定于远程访问的控制措施。 
  • IEC 62443-4-1 / 4-2:侧重于安全的产品开发和组件级安全性。 

这些标准协同工作,以确保整个 OT 网络安全生命周期的端到端问责制。 

IEC 62443 如何与 NIS2 要求保持一致

下表概述了 IEC 62443 的关键组件如何与特定的 NIS2 安全义务相对应。这种实际一致性支持结构化的合规性方法:

1. 风险管理和安全措施 

NIS2 要求:实施基于风险的安全措施。

IEC 标准说明
IEC 62443-2-1 标准概述网络安全风险管理计划。
IEC 62443-3-2 标准帮助评估风险并定义工业系统的安全级别。
IEC 62443-4-2 标准提供各个组件的安全要求。


2. 供应链安全

NIS2 要求:确保供应链中的网络安全。

IEC 标准说明
IEC 62443-2-4 标准定义服务提供商(例如,集成商、供应商)的安全要求。
IEC 62443-4-1 标准建立安全的产品开发实践。
IEC 62443-3-3 标准系统和网络安全控制。


3. 事件报告和响应 

NIS2 要求:在 24 小时(初始报告)和 72 小时内(详细报告)向国家当局报告事件。 

IEC 标准
>描述IEC 62443-2-1 标准要求资产所有者制定事件响应和恢复计划。IEC 62443-2-4 标准要求服务提供商制定事件响应和恢复计划。


4. 访问控制和身份管理 

NIS2 要求:实施强访问控制和身份管理。 

IEC 标准说明
IEC 62443-3-3 标准对系统和网络实施安全控制。
IEC 62443-4-2 标准提供各个组件的安全要求。


5. 业务连续性和弹性 

NIS2 要求:确保网络事件期间的作连续性。 

IEC 标准说明
IEC 62443-2-1 标准要求资产所有者对 IACS 环境进行备份、灾难恢复和业务连续性规划。
IEC 62443-2-4 标准要求服务提供商对 IACS 环境进行备份、灾难恢复和业务连续性规划。


实用的IEC 62443 & NIS2映射用于工业远程访问 

为了有效地保护工业远程访问,组织可以直接将 IEC 62443 实践映射到特定的 NIS2 指令。键映射包括: 

章节类别测量NIS2 第 21 条IEC62443-2-1IEC62443-2-4IEC62443-3-3
3.1访问控制确保身份验证的强度合适(g) 基本的网络卫生实践和网络安全培训;用户1.11SP.09.05SR1.7
3.2访问控制使用多重身份验证(j) 在适当的情况下,在实体内使用多重身份验证或持续身份验证解决方案、安全的语音、视频和文本通信以及安全的紧急通信系统。
用户1.9SP.03.07 RE(1)SR1.1 RE(2)3.3访问控制最初更改身份验证凭据(g) 基本的网络卫生实践和网络安全培训;用户1.1SP.09.07SR1.5 系列3.4访问控制基于最小权限原则实施身份验证过程(i) 人力资源安全、访问控制政策和资产管理;用户1.5SP.03.08SR2.1 系列3.5访问控制需要重置身份验证凭证,并在预定义的登录尝试失败次数后阻止用户(g) 基本的网络卫生实践和网络安全培训;用户1.15----SR1.113.6事件处理使用工具监控和记录活动(b) 事故处理;事件1.6SP.08.02SR2.83.7访问控制确保在使用每个远程访问连接之前获得资产所有者的批准(g) 基本网络卫生措施NET3.2SP.07.04SR1.13 RE(1)3.8网络安全网络分段(e) 网络和信息系统采购的安全性NET1.1SP.03.02 RE(2)SR5.1 SR5.2(带 RE)3.9网络安全安全补丁 管理(g) 基本网络卫生措施COMP3.2SP11.xx----3.10网络安全停用不需要的连接和服务(g) 基本网络卫生措施COMP1.1SP.03.05SR7.7 系列3.11网络安全防止未经授权的软件(g) 基本网络卫生措施COMP2.1SP.10.05SR3.23.12网络安全仅允许授权设备访问网络(e) 网络和信息系统采购的安全性用户 1.19SP.03.08 RE(3)SR1.2 系列3.13政策和程序建立、实施和应用与密码学相关的政策和程序(h) 有关使用密码学和加密(如适用)的政策和程序;数据1.5SP.07.04 RE(1)SR4.33.14政策和程序自动化解决方案中使用的应用程序被安全和工业自动化社区普遍接受(g) 基本网络卫生措施----SP.07.01----3.15政策和程序提供有关远程访问的安装、配置、作和终止的详细说明(g) 基本网络卫生措施NET3.2SP.07.02SR1.133.16政策和程序定期检查身份,如果不再需要,请停用(g) 基本网络卫生措施SP.09.03SR1.33.17政策和程序维护特权帐户和系统管理帐户的管理策略(i) 人力资源安全、访问控制政策和资产管理;用户1.1SP.09.01SR1.3

 

结论

使 IEC 62443 与 NIS2 指令保持一致为保护工业远程访问提供了一个强大的框架。凭借其符合标准的架构,HMS Networks的Ewon为工业组织提供了一种实用且安全的方式来实施这些要求,支持监管合规,降低网络安全风险,并确保运营连续性。

在第 3 部分中,我们将深入探讨实际实施:如何配置 Ewon 远程访问服务以满足 NIS2 和 IEC 62443 要求。

敬请期待!

_________________________________

 

https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards
https://www.hms-networks.com/ewon