中国内地高清大毛片_中文字幕乱码亚洲2019_性激烈的欧美三_中文字幕视频久久_欧美午夜免费观看福利片_波多无码在线_97在线视频播放免费观看不卡_国产精品第一页亚洲天堂_欧美高清一级_国产成人亚洲精品77

歐盟CRA網(wǎng)絡(luò)彈性法案及技術(shù)合規(guī)要求——提前應(yīng)對CRA合規(guī),助力搶占安全先機(jī)!

日期: 2025-12-01

01


CRA & 62443的關(guān)系

1.1. 什么是CRA?


CRA是歐盟發(fā)布的網(wǎng)絡(luò)彈性法案(Cyber Resilience Act, CRA)。CRA于2024年11月正式發(fā)布,并將于2027年12月起正式實(shí)施。詳細(xì)的CRA解讀見信測公眾號中關(guān)于“歐盟網(wǎng)絡(luò)彈性法案CRA重點(diǎn)解讀——業(yè)務(wù)出海您要了解的產(chǎn)品網(wǎng)絡(luò)安全認(rèn)證”。


根據(jù)CRA要求,制造商是產(chǎn)品網(wǎng)絡(luò)安全的第一責(zé)任人,必須履行以下幾點(diǎn)核心義務(wù):

1)安全始于設(shè)計(jì)(Security by Design)

制造商必須將網(wǎng)絡(luò)安全措施融入產(chǎn)品從規(guī)劃、設(shè)計(jì)、開發(fā)到生產(chǎn)的全流程,并確保產(chǎn)品以“安全默認(rèn)配置”交付。這意味著,安全必須成為產(chǎn)品的內(nèi)在基因,而非事后的補(bǔ)救措施。


2)全生命周期漏洞管理(Vulnerability Handling)

在產(chǎn)品預(yù)設(shè)的“明確支持期(Support Period)”(默認(rèn)不少于5年)內(nèi),制造商必須建立并維護(hù)漏洞處理流程,以“毫不延遲”的速度提供免費(fèi)安全更新。這要求企業(yè)具備從漏洞發(fā)現(xiàn)、評估、修復(fù)到發(fā)布的閉環(huán)管理能力。


3)建立軟件物料清單(Software Bill of Materials,SBOM)

制造商需以機(jī)器可讀的格式,建立并維護(hù)產(chǎn)品的軟件物料清單,清晰識別所有軟件組件及其依賴關(guān)系。此舉旨在實(shí)現(xiàn)軟件供應(yīng)鏈的透明化,是管理日益復(fù)雜的供應(yīng)鏈安全風(fēng)險的基礎(chǔ)。


1.2. 提前應(yīng)對CRA有哪些技術(shù)參考標(biāo)準(zhǔn)?


目前CRA的協(xié)調(diào)標(biāo)準(zhǔn)正在制定中,預(yù)計(jì)2026年8月份之后完成通用標(biāo)準(zhǔn)的制定。在2026年8月份之前,避免“被動應(yīng)對”CRA 合規(guī),需“提前布局”,而非等待 2027 年生效,行業(yè)普遍將IEC 62443(工業(yè)自動化控制系統(tǒng)安全)、ETSI EN 303645、EUCC等通用標(biāo)準(zhǔn)視為重要技術(shù)參考標(biāo)準(zhǔn),提前評估,這樣可以更好的提前應(yīng)對CRA合規(guī),助力搶占安全先機(jī)。


所以,在CRA過渡期間,制造商需要做好如下應(yīng)對措施:

1)針對無線電產(chǎn)品,符合RED-DA范圍內(nèi)的產(chǎn)品,嚴(yán)格按照RED-DA的要求合規(guī)。

2)符合具有數(shù)字元素并能直接或間接連接到設(shè)備或網(wǎng)絡(luò)的產(chǎn)品,立刻對照IEC 62443(62443-4-1、62443-4-2)、ETSI EN 303645、EUCC的合規(guī)要求,找出差異點(diǎn),并修復(fù)差異點(diǎn),提前應(yīng)對CRA的合規(guī)要求。

3)找第三方安全檢測機(jī)構(gòu)開展專業(yè)的評估。目前信測標(biāo)準(zhǔn)具備IEC 62443(62443-4-1、62443-4-2)、ETSI EN 303645、EUCC標(biāo)準(zhǔn)的評估能力,生成專業(yè)的測試報(bào)告和差異點(diǎn)分析報(bào)告。其中ETSI EN 303645具備CNAS資質(zhì)。


1.3. 62443可以更好提前應(yīng)對CRA:


IEC 62443具備非常科學(xué)的安全體系框架。這和CRA的理念和目標(biāo)一致。所以可先重點(diǎn)從IEC 62443(62443-4-1、62443-4-2)標(biāo)準(zhǔn)要求出發(fā),找出差異點(diǎn),更好的應(yīng)對CRA的合規(guī)要求。


下面是針對IEC 62443解讀。以便更好的應(yīng)對和理解關(guān)于CRA對安全設(shè)計(jì)、安全生命周期管理等的核心內(nèi)容要求。


02


什么是IEC 62443?

IEC 62443是針對工業(yè)自動化與控制系統(tǒng)(IACS)提出的“縱深防御”防護(hù)體系,是一系列的體系標(biāo)準(zhǔn),目的是構(gòu)建 “設(shè)計(jì) - 實(shí)施 - 管理 - 維護(hù)”全流程安全框架的體系安全保護(hù)堡壘,標(biāo)準(zhǔn)覆蓋開發(fā)、部署、運(yùn)行到退役各環(huán)節(jié)。


1.4. IEC 62443角色定義


(1) 資產(chǎn)所有者:資產(chǎn)所有者指的是那些擁有和運(yùn)營工業(yè)自動化和控制系統(tǒng)(IACS)的公司或組織。

(2) 系統(tǒng)集成商:系統(tǒng)集成商指的是提供系統(tǒng)集成和維護(hù)服務(wù)的公司。

(3) 產(chǎn)品供應(yīng)商:產(chǎn)品供應(yīng)商指的是那些開發(fā)和制造用于工業(yè)自動化和控制系統(tǒng)(IACS)的組件,包括硬件和軟件產(chǎn)品的公司,即平時所說的設(shè)備廠商。


1.5. IEC 62443體系剖析


IEC 62443共分為四大部分,分別是:


(1) 通用(IEC 62443-1-x):涵蓋術(shù)語、概念、模型、縮略語、系統(tǒng)符合性度量及安全生命周期等內(nèi)容,為理解和實(shí)施標(biāo)準(zhǔn)提供基礎(chǔ)。適用于所有 IACS 相關(guān)企業(yè)或角色。


(2) 政策和規(guī)程(IEC 62443-2-x):規(guī)定IACS安全管理系統(tǒng)(SMS)的要求、實(shí)施指南、補(bǔ)丁更新管理以及資產(chǎn)所有者和服務(wù)提供商的安全程序(SP)要求。


(3) 系統(tǒng)(IEC 62443-3-x):提供系統(tǒng)安全要求、安全等級定義、安全風(fēng)險管理以及區(qū)域(Zone)和管道(Conduit)劃分的指導(dǎo)。含等級劃分、風(fēng)險評估、“區(qū)域 - 管道” 分段策略。


(4) 組件(IEC 62443-4-x):包含兩份文件,IEC 62443-4-1規(guī)定安全產(chǎn)品開發(fā)生命周期要求,IEC 62443-4-2規(guī)定系統(tǒng)組件的技術(shù)安全要求。


1.6. IEC 62443角色和標(biāo)準(zhǔn)體系的主要關(guān)系


在實(shí)施過程中,每個企業(yè)都可根據(jù)自身的角色定位,選擇合適的子標(biāo)準(zhǔn)來實(shí)施合規(guī)或者提升工業(yè)自動化與控制系統(tǒng)的安全能力:

(1) 資產(chǎn)所有者。可以采用的子標(biāo)準(zhǔn)包括: IEC 62443-2-1,IEC 62443-2-3,IEC 62443-2-4,IEC 62443-3-2,IEC 62443-3-3。

(2) 系統(tǒng)集成商。可以采用的子標(biāo)準(zhǔn)包括: IEC 62443-2-1,IEC 62443-2-3,IEC 62443-2-4,IEC 62443-3-2,IEC 62443-3-3。

(3) 產(chǎn)品供應(yīng)商。可以采用的子標(biāo)準(zhǔn)包括:IEC 62443-4-1,IEC 62443-4-2,IEC 62443-3-3,IEC 62443-3-2。


03


IEC 62443-4-1(安全產(chǎn)品的開發(fā)生命周期)的解讀

IEC 62443-4-1(安全產(chǎn)品的開發(fā)生命周期)是產(chǎn)品供應(yīng)商的核心標(biāo)準(zhǔn)和依據(jù),產(chǎn)品供應(yīng)商首先要獲得4-1的認(rèn)證,意味著產(chǎn)品供應(yīng)商首先要建立安全產(chǎn)品的開發(fā)聲明周期管理體系。4-1包含8大類內(nèi)容,分別是:


1. SM:Security management(安全管理,核心實(shí)踐是明確責(zé)任與目標(biāo))

2. SR:Specification of security requirements(安全要求的規(guī)范,核心實(shí)踐是轉(zhuǎn)化為具體要求)

3. SD:Secure by design (設(shè)計(jì)安全,核心實(shí)踐是融入架構(gòu))

4. SI:Secure implementation(安全實(shí)施,核心實(shí)踐是落實(shí)方案)

5. SVV:Security verification and validation testing(安全驗(yàn)證和驗(yàn)證測試)

6. DM:Management of security-related issues(安全問題管理,核心實(shí)踐是漏洞響應(yīng))

7. SUM:Security update management(安全更新管理,核心實(shí)踐是補(bǔ)丁計(jì)劃)

8. SG:Security guidelines(安全指南,核心實(shí)踐是用戶手冊)


這8大類標(biāo)準(zhǔn)內(nèi)容中,每個大類下又分為多個小類。每個小類通過成熟度模型滿足這些需求的基準(zhǔn)。

成熟度模型共有5個級別(ML1~ML5):

1. ML1 - Initial(初始級):產(chǎn)品供應(yīng)商可以提供產(chǎn)品,不過沒有依照流程,沒有文件或是只有部分文件。

2. ML2 - Managed(已管理級): 產(chǎn)品供應(yīng)商可以依照文件化的準(zhǔn)則來管控產(chǎn)品的開發(fā)。準(zhǔn)則的敘述方式需要讓進(jìn)行該程序的人有適當(dāng)?shù)膶I(yè)知識,訓(xùn)練人員依照文件中的程序作業(yè),程序需要是可重復(fù)的。

3. ML3 - Defined(已定義級):程序在供應(yīng)商的組織內(nèi)是可以復(fù)制重現(xiàn)的。程序已實(shí)做過,而且有已實(shí)做過的證據(jù)。

4. ML4 & ML5 - Improving(改進(jìn)級):供應(yīng)商用適合的程序評量方式來監(jiān)控程序的有效性及效果,并且進(jìn)行持續(xù)改善。

每個成熟度等級的評定,必須要求4-1的所有需求大于等于所評定的級別。成熟度等級ML2表示公司已建立SDLC流程,成熟度等級ML3表示公司已經(jīng)將SDLC流程應(yīng)用到實(shí)際產(chǎn)品中。


04


IEC 62443-4-2(組件的技術(shù)安全要求)的解讀:

IEC 62443-4-2(組件的技術(shù)安全要求)是產(chǎn)品供應(yīng)商的核心標(biāo)準(zhǔn)和依據(jù),產(chǎn)品供應(yīng)商獲得4-1的認(rèn)證之后,方可申請獲得4-2的認(rèn)證。4-2包含如下內(nèi)容:


1. 識別和認(rèn)證控制 (IAC):確保只有經(jīng)過授權(quán)的用戶可以訪問系統(tǒng)。

2. 使用控制 (UC):限制用戶對系統(tǒng)資源的使用。

3. 系統(tǒng)完整性 (SI):確保系統(tǒng)在運(yùn)行過程中不被篡改或破壞。

4. 數(shù)據(jù)保密性 (DC):保護(hù)數(shù)據(jù)不被未授權(quán)訪問。

5. 受限數(shù)據(jù)流 (RDF):控制數(shù)據(jù)在系統(tǒng)中的流動,防止數(shù)據(jù)泄露。

6. 對事件的及時響應(yīng) (TRE):確保系統(tǒng)能夠及時響應(yīng)安全事件。

7. 資源可用性 (RA):確保系統(tǒng)資源在需要時可用,防止服務(wù)中斷。

8. 通用控制系統(tǒng)安全約束:確保所有組件符合基本的安全標(biāo)準(zhǔn)。

9. 軟件應(yīng)用要求:針對應(yīng)用軟件的安全性進(jìn)行規(guī)定。

10. 嵌入式設(shè)備要求:確保嵌入式設(shè)備(如PLC)的安全性。

11. 網(wǎng)絡(luò)設(shè)備要求:確保網(wǎng)絡(luò)設(shè)備(如防火墻)的安全性。

12. 主機(jī)設(shè)備要求:確保主機(jī)設(shè)備的安全性。


以上每個安全大類均定義了多個CR和RE(增強(qiáng))來映射到不同的安全級別SL中,安全級別越高,安全需求要求也越高。IEC 62443-4-2中定義了四種安全級別SL,如下:


那么CR和RE如何映射不同的SL安全級別呢?舉例如下:


上面截圖所示,當(dāng)要達(dá)到安全級別3級,需要同時滿足CR 1.1、RE(1)的要求。當(dāng)要達(dá)到安全級別4級,需要同時滿足CR 1.1、RE(1)、RE(2)的要求。


04


信測標(biāo)準(zhǔn)的能力和CRA落地措施

目前信測標(biāo)準(zhǔn)具備IEC 62443(62443-4-1、62443-4-2)、ETSI EN 303645、EUCC標(biāo)準(zhǔn)的評估能力,生成專業(yè)的測試報(bào)告和差異點(diǎn)分析報(bào)告,其中ETSI EN 303645具備CNAS資質(zhì)。助力企業(yè)更好應(yīng)對CRA,并形成了信測標(biāo)準(zhǔn)的CRA評估解決方案,詳細(xì)可聯(lián)系我們進(jìn)行咨詢。


05


信測標(biāo)準(zhǔn)優(yōu)勢和服務(wù)

我們的優(yōu)勢:

1. 具備EN 18031、ESTI EN 303 645、PSTI、IEC 62443、澳洲網(wǎng)絡(luò)安全規(guī)則、汽車網(wǎng)絡(luò)安全、關(guān)鍵網(wǎng)絡(luò)設(shè)備認(rèn)證、安全滲透、安全功能檢測等眾多豐富的安全認(rèn)證經(jīng)驗(yàn),特別熟悉IOT領(lǐng)域的安全認(rèn)證。具備EN 18031、ESTI EN 303 645、PSTI的CNAS資質(zhì)。

2. 擁有眾多安全專家,涵蓋數(shù)據(jù)安全、物聯(lián)網(wǎng)安全滲透、SDLC、無線技術(shù)安全、反編譯/逆向、威脅建模等領(lǐng)域的專家和工程師。

3. 深厚的安全技術(shù)積累:眾多安全標(biāo)準(zhǔn)檢測SOP、強(qiáng)大技術(shù)庫、強(qiáng)大團(tuán)隊(duì)力量、專業(yè)測試工具鏈。


我們的服務(wù):

提供咨詢、預(yù)評估,測試,評估,認(rèn)證等全面的網(wǎng)絡(luò)安全服務(wù)。


如果您想進(jìn)一步了解,歡迎聯(lián)系咨詢

EMTEK

郵箱:Security@emtek.com.cn

電話:0755-26954280-840



新聞資訊

聯(lián)系方式丨CONTACT

  • 全國熱線:4008-838-258
  • 郵箱:cs.rep@emtek.com.cn