★机械工业仪器仪表综合技术经济研究所张鑫，张亚彬，郭苗，刘瑶，王麟琨

★国家石油天然气管网集团有限公司油气调控中心孙铁良

★国家管网集团西南管道有限责任公司陈小华，高仕玉

1　引言

在数字化时代，工业自动化和控制系统（Industrial Automation and Control Systems，IACS）成为了关键基础设施的核心。然而，其互联互通也带来了信息安全攻击事件。例如，2010年Stuxnet事件直接针对IACS攻击，导致物理设备损毁，凸显了工业环境中安全漏洞带来的严重后果。随后全球多个国家发生的关键基础设施信息安全攻击事件，推动形成了关键基础设施保护的国际共识。工业运营技术（Operation Technology，OT）与信息技术（Information Technology，IT）在性能需求、风险优先级上存在差异。例如，OT更强调系统可用性和物理安全，而IT则侧重保密性。传统IT安全标准无法满足工业环境对系统实时性和可用性的特殊要求，亟需面向IACS的统一跨行业信息安全标准协调OT与IT的安全需求[1]。在此背景下，国际自动化协会和国际电工委员会综合考虑利益相关方的关注点，制定了覆盖多维安全措施的标准体系IEC 62443《工业过程测量、控制和自动化网络与系统信息安全》。其核心目标是通过技术、流程、人员的综合管理，构建适应工业场景的网络安全体系，最终保障关键基础设施的可靠性和韧性。

IEC 62443标准体系的结构复杂且内容庞大，对使用者的理论知识和投入精力提出了较高要求。宏观把控标准体系的关键要点是针对性研读标准内容、高效理解标准体系的基础。目前，部分学者已从宏观层面解析了IEC 62443的关键要点。例如，文献[2]阐释了IACS信息安全与传统IT信息安全的区别，并介绍了IEC 62443标准体系的结构。文献[3]介绍了IEC 62443系列标准框架的发展过程。文献[4]介绍了标准体系的主体内容、七项基本要求、安全等级（SL）等。文献[5]对比了IEC 62443-3-3中的系统安全要求与GB/T 22239-2019中的等级保护基本要求。然而，上述研究更多的是从系列标准构成、关键条款知识点的角度介绍标准体系，缺少从标准体系所解决的行业需求、体系优势这一角度的解读。因此，本团队根据多年来在IACS信息安全标准领域的研究与实践，着重介绍了IEC 62443标准体系的适用范围、解决的核心问题以及体系特点，与现有文献形成互补，共同为领域从业者提供了完整的解析视图。

2　标准体系概述

2.1　参考模型

IEC 62443系列标准定义了一个五层参考模型，为IACS提供了逻辑分层的通用视图。该模型自底向上分别为：受控设备层（第0层），包含传感器、执行器等直接执行物理过程的设备；基本控制层（第1层），包含PLC、RTU等负责向受控设备发送控制命令的装置；监视控制层（第2层），包含SCADA、DCS、HMI等用于监督、监测和控制物理过程的系统；运营管理层（第3层），包含MES、数据历史库等管理车间生产工作流的OT系统；以及企业管理层（第4层），即典型的IT网络，承载ERP等业务功能。IEC 62443系列标准特别关注与生产工艺直接相关的受控设备、基本控制、监视控制和运营管理，并为这些层级的安全防护提供了框架基础。

2.2　总体构成

IEC 62443标准体系分为五个部分，如图1所示。由于IACS自身复杂性以及所有相关利益方的不同诉求，IEC 62443标准体系涵盖了组织政策、程序、系统级安全、组件级安全，以及专项评估的综合架构，契合了当前IACS安全防护的多维需求，具有较强的适用性。其每个部分包含若干子标准，共计17项子标准，其中已经发布了12项。

图1 IEC 62443标准体系的总体构成图

2.3　适用范围

2.3.1　行业领域

IEC 62443标准体系主要适用于工业自动化和控制系统，涵盖制造业（如钢铁、石油、化工）、公共事业（电力、天然气）、轨道交通、建筑环境控制等[4]。具体场景包括工业物联网（IIoT）、电力基础设施（如电网）、石油管线、工厂自动化系统等。例如，在钢铁行业，标准被用于轧钢产线及炼钢产线的信息安全设计[6]。

2.3.2　适用角色

工业自动化和控制系统的参与者包括资产所有者、系统集成商、产品供应商、服务提供商和认证机构等。IEC 62443标准体系为这些参与者提供了差异化的实施框架，不同角色需选择对应的子标准（见表1）。IEC 62443标准体系实现了从组件到系统的全链条安全覆盖。例如，资产所有者定义安全等级后，系统集成商设计符合该等级的系统，产品供应商提供通过认证的组件，最终形成完整的合规链条[7]。

表1 不同角色的关键标准

2.4　解决的核心问题

IEC 62443标准体系重点解决了IACS领域面临的三个核心问题，具体描述如下。

（1）解决了以往防护策略头痛医头、脚痛医脚的问题

题在IEC 62443标准体系问世之前，没有专门针对工业自动化和控制系统的信息安全标准。企业借鉴其他领域的信息安全标准或者通用的IT安全标准（如ISO/IEC 27000系列的ISO/IEC 27001和27002、NIST SP 800系列的NIST SP 800-53和NIST SP 800-82）制定孤立的解决方案（如仅部署防火墙或物理隔离），亦或者系统出现信息安全事件之后采取事后补救措施，存在信息安全防护策略头痛医头、脚痛医脚的问题。由于IACS是典型的OT与IT网络融合的系统，传统解决方案缺乏系统性设计，无法系统性地兼顾管理层面、技术层面、供应链层面的信息安全要求，导致防护成本高、协同性差。IEC 62443系列标准从产品安全开发生命周期出发，从七项基本要求（标识和鉴别控制、使用控制、系统完整性、数据保密性、受限数据流、对事件的及时响应、资源可用性）入手提出了体系化的防护策略，解决了以往防护策略头痛医头、脚痛医脚的问题。

（2）解决了业务连续性与安全投入之间存在的冲突

在IEC 62443标准体系问世之前，企业往往会牺牲信息安全（如延迟关键设备补丁更新）保障“生产连续性”，或因过度的信息安全（如高频安全扫描）而导致生产控制系统运行卡顿。此类问题在于无法区分关键系统和非关键系统，无法有效地根据资产重要性划分保护等级，难以实现安全防护资源的动态高效分配，导致关键系统和非关键系统的信息安全防护缺乏适配性，难以解决业务连续性与安全防护机制之间存在的冲突。IEC 62443标准体系提出了区域与管道的概念，同时给出了信息安全等级，在有效区分关键系统的基础上较好地解决了业务连续性与安全防护机制之间存在的冲突[8]。

（3）解决了信息安全防护生态链中各方责任不清的问题

在IEC 62443标准体系问世之前，设备供应商、系统集成商、服务提供商、资产拥有者责任边界模糊，一旦出现信息安全漏洞或网络攻击，无法明确具体的责任人，导致修复延迟甚至无人担责，本质原因在于信息安全防护标准的碎片化或缺失，未明确定义角色的安全要求，亟需推动供应商、系统集成商、资产拥有者共同实现安全生态的协同发展。IEC 62443标准体系通过多个部分，涵盖了所有的利益相关方，通过定义不同角色的责任和要求，明确了不同角色的责任，有效解决了信息安全防护生态链中各方责任不清的问题。

3　标准体系特点

3.1　提出了IACS安全开发生命周期的过程要求

安全开发生命周期是IEC 62443标准体系的核心理念之一，通常包含需求、设计、实施、验证&确认、运行、维护以及退役阶段，强调了将安全视为贯穿系统/产品全生命周期的过程要求，而非头痛医头、脚痛医脚的孤立性安全策略，能够有效解决传统信息安全防护碎片化、滞后性的问题，同时为明确生态链各方责任提供了划分依据。IEC 62443-4-1主要聚焦于产品安全开发生命周期要求，通过定义8个核心实践，确保安全活动贯穿产品生命周期。例如安全需求定义阶段需明确产品在运行、维护和退役阶段的安全要求，确保安全目标与系统功能同步规划。设计阶段采用纵深防御等原则，建立适配的安全策略、安全架构。实施阶段遵循安全编码实践、静态代码分析及配置管理等。验证与确认阶段要求进行渗透测试、安全验证及自动化测试等。运行与维护阶段强调了持续监控、响应事件，并通过补丁管理和缺陷跟踪维持系统安全性等。退役阶段则涉及到了数据清除和系统终止的安全管理，防止遗留风险。

3.2　建立了融合管理与技术的网络安全综合框架

IEC 62443系列标准为IACS网络安全提供了一个综合框架，融合了管理要求与技术规范。其管理核心在于建立有效的网络安全管理系统（CSMS），强调通过系统化的风险分析、策略制定、措施实施及持续改进来识别、应对和优化风险，确保系统安全运行。该框架（特别是IEC 62443-2-1）强调CSMS需根据组织的业务特性、风险状况和资源进行定制，涵盖风险分析、风险处置以及CSMS监控与改进三大关键要素，以提升实用性和有效性。在技术要求方面，IEC 62443系列标准（尤其是IEC 62443-1-1）定义了保障IACS安全的七项基本要求（FR），具体包括：标识和鉴别控制（FR1）、使用控制（FR2）、系统完整性（FR3）、数据保密性（FR4）、基于区域与管道的网络分区以限制数据流（FR5）、安全事件及时响应（FR6）以及资源可用性保障（FR7）。而管理要求则确保其有效执行与维护。两者协同作用，共同构成了一个全面的技术与管理框架，显著提升了IACS整体网络安全防御能力，降低了遭受网络攻击的风险。

3.3　建立了风险评估驱动的安全等级分配机制

IEC 62443标准体系强调以风险管理为导向的信息安全防护，其贯穿系统/组件的全生命周期，根据风险评估结果分配安全等级，以降低风险至可接受水平。例如，对于存在网络攻击风险的系统，需要部署防火墙、入侵检测系统等技术措施；而对于存在人为操作风险的环节，需要加强员工的安全培训和强化操作规程。这种方法不仅有助于组织有效管理安全风险，还能确保信息安全防护的合理性，从而提高IACS的安全性。子标准IEC 62443-3-2专注于信息安全风险评估，其通过“区域和管道”模型及目标安全等级（SL-T）来指导IEC 62443-3-3的具体技术实施，也是IEC 62443-2-1CSMS中不可或缺的重要参考。IEC 62443-4-1规定了安全开发生命周期要求，确保了产品开发过程符合62443-3-2中定义的风险分类和安全目标。IEC 62443-4-2则针对子系统及组件的技术安全要求，其具体要求需参考62443-3-2的系统级风险评估结果。IEC 62443-2-4服务提供商的认证需结合62443-3-2的风险评估框架，确保其服务符合资产所有者的安全策略。

基于风险评估的信息安全等级分配是一个持续改进的过程。实施信息安全防护并非一劳永逸，IACS运营商需要持续监控系统运行情况，并定期重新评估风险，不断优化安全管理体系。这是因为威胁环境和系统自身都可能发生变化，例如新的漏洞被发现、攻击手段不断演变、系统配置发生改变等。通过持续的风险监控和评估，组织能够及时发现新的风险，并进行新的信息安全防护等级分配，确保系统的安全性始终保持在可接受的水平。

3.4　构建了灵活的安全等级体系

鉴于不同企业的自身风险承受能力和可投入资源的不同，IEC 62443标准体系定义了安全等级体系，通过灵活的分级机制适应不同IACS的安全需求。IEC 62443定义了从SL0到SL4的五个安全等级，如表2所示，等级越高所需的安全防护越严格。

表2 安全等级划分依据

为了确保安全等级从系统/产品的设计到实施的完整性和一致性，IEC 62443标准体系定义了三类SL类型，分别是SL-T、SL-A和SL-C，详细信息如表3所示。SL-T表示目标安全等级，其在系统设计阶段根据风险评估确定并记录在安全要求规范中。SL-A代表实际安全等级，是指在系统调试完或投入运行时达到的安全。SL-C代表能力安全等级，是指系统或组件在设计上的最大安全等级。三者通过有序结合，能够确保系统安全能力从设计到实施再到运行的一致性。安全等级的核心评估依据是七项基础要求。IEC 62443-3-3和IEC 62443-4-2分别规定了系统和组件在不同SL下的详细安全要求。

表3 安全等级类型

3.5　强调了多重安全防护的纵深防御理念

IEC 62443标准体系中的纵深防御强调提供多重安全措施和技术，实现攻击的阻止或延缓。“多重”包括了管理与技术的融合、安全措施和技术的多样性，以及被防护对象的全层级架构。因此，为了实现多重安全防护，资产拥有者、系统集成商、设备供应商的多方协作是不可或缺的。根据参考模型，IEC 62443标准体系强调了信息安全防护需覆盖从企业管理层到现场受控设备层的所有层级，包括网络、系统、应用和数据等多个维度。同时，应形成多道安全防线，避免依赖单一防护手段。例如，防火墙、入侵检测系统、访问控制、物理安全措施以及安全策略需协同工作，实现联动综合治理。即使某一层防护被突破了，其他层仍能阻止或延缓攻击。此外，IEC 62443将IACS划分为逻辑上的“区域”和“管道”，限制攻击扩散。每个区域根据业务关键性和风险分配不同的SL，高安全等级区域需限制与低等级区域的直接交互[9]。

4　结论

本文系统分析了IEC 62443标准体系解决的核心问题与体系特点，揭示了其在工业自动化和控制系统信息安全领域的创新性与实践价值。在创新性方面，IEC 62443针对传统防护策略碎片化、业务连续性与安全投入冲突、责任边界模糊等痛点，通过提出覆盖产品生命周期的安全开发流程、基于风险评估的动态安全等级分配机制，以及多方角色协同的责任框架，实现了从孤立防护到系统化治理的转型。基于“纵深防御”理念的多层防护架构和支持差异化防护策略的安全等级体系，平衡了关键基础设施的业务连续性与安全性。未来，为了应对日益复杂的工业信息安全威胁，可进一步探索IEC 62443在新兴技术发展路径中的适用性。

★基金项目：国家重点研发计划项目（2023YFB3107705）

作者简介：

张　鑫（1990-），男，山东聊城人，高级工程师，博士，现就职于机械工业仪器仪表综合技术经济研究所，主要研究方向为风险评估等共性关键技术研究及标准研制。

张亚彬（1986-），男，河北保定人，高级工程师，博士，现就职于机械工业仪器仪表综合技术经济研究所，主要研究方向为智能制造与工控安全共性关键技术及标准研制。

郭苗（1985-），女，山西运城人，正高级工程师，硕士，现就职于机械工业仪器仪表综合技术经济研究所，主要研究方向为工控安全关键技术相关课题研究、标准研制及工程化应用。

刘　瑶（1987-），女，江苏泰州人，正高级工程师，学士，现就职于机械工业仪器仪表综合技术经济研究所，主要研究方向为功能安全、工控信息安全及安全一体化。

王麟琨（1974-），男，黑龙江人，教授级高工，博士，现就职于机械工业仪器仪表综合技术经济研究所，主要研究方向为现场总线、机电控制。

孙铁良（1967-），男，山东德州人，高级工程师，学士，现就职于国家石油天然气管网集团有限公司油气调控中心，主要研究方向为自动化控制、通信和工控系统网络安全等。

陈小华（1986-），男，四川彭州人，高级工程师，硕士，现就职于国家管网集团西南管道有限责任公司，主要研究方向为仪表自动化和网络安全管理。

高仕玉（1986-），男，四川绵阳人，高级工程师，学士，现就职于国家管网集团西南管道有限责任公司，主要研究方向为输油气生产技术管理。

参考文献：

[1] CYBERSECURITY. U.S. National Committee of the IEC et al. 2024-01-01

[2] 欧阳劲松, 丁露. IEC 62443工控网络与系统信息安全标准综述[J]. 信息技术与标准化, 2012, (03) : 24 - 27.

[3] 王玉敏. IEC62443系列标准概述和SA介绍[J]. 仪器仪表标准化与计量, 2012, (01) : 26 - 30.

[4] 肖曼茜, 王剑亮. 工业自动化和控制系统中IEC 62443标准的解析及应用[J]. 电子产品可靠性与环境试验, 2023, 41 (05) : 76 - 80.

[5] 王建, 王天屹, 翟亚红, 等. IEC 62443系统安全要求与等级保护基本要求对比研究[J]. 华电技术, 2021, 43 (02) : 72 - 76.

[6] 马霄. 基于行为基线的钢铁行业工业控制系统解决方案[J]. 信息技术与标准化, 2019, (09) : 27 - 32.

[7] IoT Security Maturity Model: ISA/IEC 62443 Mappings for Asset Owners, Product Suppliers and System Integrators. An Industry IoT Consortium and ISA Whitepaper. 2023-08-09.

[8] A. Shaaban, Sebastian Chlup et al. Towards Optimized Security Attributes for IoT Devices in Smart Agriculture Based on the IEC 62443 Security Standard. Applied Sciences (2022).

[9] Mugarza I, Flores J L, Montero J L. Security Issues and Software Updates Management in the Industrial Internet of Things (IIoT) Era[J]. Sensors, 2020, 20 (24).

摘自《自动化博览》2025年9月刊