1.1. 什么是CRA？

1.2. 提前應(yīng)對(duì)CRA有哪些技術(shù)參考標(biāo)準(zhǔn)？

目前CRA的協(xié)調(diào)標(biāo)準(zhǔn)正在制定中，預(yù)計(jì)2026年8月份之后完成通用標(biāo)準(zhǔn)的制定。在2026年8月份之前，避免“被動(dòng)應(yīng)對(duì)”CRA 合規(guī)，需“提前布局”，而非等待 2027 年生效，行業(yè)普遍將IEC 62443（工業(yè)自動(dòng)化控制系統(tǒng)安全）、ETSI EN 303645、EUCC等通用標(biāo)準(zhǔn)視為重要技術(shù)參考標(biāo)準(zhǔn)，提前評(píng)估，這樣可以更好的提前應(yīng)對(duì)CRA合規(guī)，助力搶占安全先機(jī)。

所以，在CRA過渡期間，制造商需要做好如下應(yīng)對(duì)措施：

1）針對(duì)無線電產(chǎn)品，符合RED-DA范圍內(nèi)的產(chǎn)品，嚴(yán)格按照RED-DA的要求合規(guī)。

2）符合具有數(shù)字元素并能直接或間接連接到設(shè)備或網(wǎng)絡(luò)的產(chǎn)品，立刻對(duì)照IEC 62443（62443-4-1、62443-4-2）、ETSI EN 303645、EUCC的合規(guī)要求，找出差異點(diǎn)，并修復(fù)差異點(diǎn)，提前應(yīng)對(duì)CRA的合規(guī)要求。

3）找第三方安全檢測(cè)機(jī)構(gòu)開展專業(yè)的評(píng)估。目前信測(cè)標(biāo)準(zhǔn)具備IEC 62443（62443-4-1、62443-4-2）、ETSI EN 303645、EUCC標(biāo)準(zhǔn)的評(píng)估能力，生成專業(yè)的測(cè)試報(bào)告和差異點(diǎn)分析報(bào)告。其中ETSI EN 303645具備CNAS資質(zhì)。

1.3. 62443可以更好提前應(yīng)對(duì)CRA：

IEC 62443具備非常科學(xué)的安全體系框架。這和CRA的理念和目標(biāo)一致。所以可先重點(diǎn)從IEC 62443（62443-4-1、62443-4-2）標(biāo)準(zhǔn)要求出發(fā)，找出差異點(diǎn)，更好的應(yīng)對(duì)CRA的合規(guī)要求。

下面是針對(duì)IEC 62443解讀。以便更好的應(yīng)對(duì)和理解關(guān)于CRA對(duì)安全設(shè)計(jì)、安全生命周期管理等的核心內(nèi)容要求。

IEC 62443是針對(duì)工業(yè)自動(dòng)化與控制系統(tǒng)（IACS）提出的“縱深防御”防護(hù)體系，是一系列的體系標(biāo)準(zhǔn)，目的是構(gòu)建 “設(shè)計(jì) - 實(shí)施 - 管理 - 維護(hù)”全流程安全框架的體系安全保護(hù)堡壘，標(biāo)準(zhǔn)覆蓋開發(fā)、部署、運(yùn)行到退役各環(huán)節(jié)。

1.4. IEC 62443角色定義

(1) 資產(chǎn)所有者：資產(chǎn)所有者指的是那些擁有和運(yùn)營(yíng)工業(yè)自動(dòng)化和控制系統(tǒng)(IACS)的公司或組織。

(2) 系統(tǒng)集成商：系統(tǒng)集成商指的是提供系統(tǒng)集成和維護(hù)服務(wù)的公司。

(3) 產(chǎn)品供應(yīng)商：產(chǎn)品供應(yīng)商指的是那些開發(fā)和制造用于工業(yè)自動(dòng)化和控制系統(tǒng)(IACS)的組件，包括硬件和軟件產(chǎn)品的公司，即平時(shí)所說的設(shè)備廠商。

1.5. IEC 62443體系剖析

IEC 62443共分為四大部分，分別是：

(1) 通用(IEC 62443-1-x)：涵蓋術(shù)語、概念、模型、縮略語、系統(tǒng)符合性度量及安全生命周期等內(nèi)容，為理解和實(shí)施標(biāo)準(zhǔn)提供基礎(chǔ)。適用于所有 IACS 相關(guān)企業(yè)或角色。

(2) 政策和規(guī)程(IEC 62443-2-x)：規(guī)定IACS安全管理系統(tǒng)(SMS)的要求、實(shí)施指南、補(bǔ)丁更新管理以及資產(chǎn)所有者和服務(wù)提供商的安全程序(SP)要求。

(3) 系統(tǒng)(IEC 62443-3-x)：提供系統(tǒng)安全要求、安全等級(jí)定義、安全風(fēng)險(xiǎn)管理以及區(qū)域(Zone)和管道(Conduit)劃分的指導(dǎo)。含等級(jí)劃分、風(fēng)險(xiǎn)評(píng)估、“區(qū)域 - 管道” 分段策略。

(4) 組件(IEC 62443-4-x)：包含兩份文件，IEC 62443-4-1規(guī)定安全產(chǎn)品開發(fā)生命周期要求，IEC 62443-4-2規(guī)定系統(tǒng)組件的技術(shù)安全要求。

1.6. IEC 62443角色和標(biāo)準(zhǔn)體系的主要關(guān)系

在實(shí)施過程中，每個(gè)企業(yè)都可根據(jù)自身的角色定位，選擇合適的子標(biāo)準(zhǔn)來實(shí)施合規(guī)或者提升工業(yè)自動(dòng)化與控制系統(tǒng)的安全能力：

(1) 資產(chǎn)所有者。可以采用的子標(biāo)準(zhǔn)包括: IEC 62443-2-1，IEC 62443-2-3，IEC 62443-2-4，IEC 62443-3-2，IEC 62443-3-3。

(2) 系統(tǒng)集成商?？梢圆捎玫淖訕?biāo)準(zhǔn)包括: IEC 62443-2-1，IEC 62443-2-3，IEC 62443-2-4，IEC 62443-3-2，IEC 62443-3-3。

(3) 產(chǎn)品供應(yīng)商。可以采用的子標(biāo)準(zhǔn)包括:IEC 62443-4-1，IEC 62443-4-2，IEC 62443-3-3，IEC 62443-3-2。

IEC 62443-4-1（安全產(chǎn)品的開發(fā)生命周期）是產(chǎn)品供應(yīng)商的核心標(biāo)準(zhǔn)和依據(jù)，產(chǎn)品供應(yīng)商首先要獲得4-1的認(rèn)證，意味著產(chǎn)品供應(yīng)商首先要建立安全產(chǎn)品的開發(fā)聲明周期管理體系。4-1包含8大類內(nèi)容，分別是：

1. SM：Security management（安全管理，核心實(shí)踐是明確責(zé)任與目標(biāo)）

2. SR：Specification of security requirements（安全要求的規(guī)范，核心實(shí)踐是轉(zhuǎn)化為具體要求）

3. SD：Secure by design （設(shè)計(jì)安全，核心實(shí)踐是融入架構(gòu)）

4. SI：Secure implementation（安全實(shí)施，核心實(shí)踐是落實(shí)方案）

5. SVV：Security verification and validation testing（安全驗(yàn)證和驗(yàn)證測(cè)試）

6. DM：Management of security-related issues（安全問題管理，核心實(shí)踐是漏洞響應(yīng)）

7. SUM：Security update management（安全更新管理，核心實(shí)踐是補(bǔ)丁計(jì)劃）

8. SG：Security guidelines（安全指南，核心實(shí)踐是用戶手冊(cè)）

這8大類標(biāo)準(zhǔn)內(nèi)容中，每個(gè)大類下又分為多個(gè)小類。每個(gè)小類通過成熟度模型滿足這些需求的基準(zhǔn)。

成熟度模型共有5個(gè)級(jí)別（ML1~ML5）：

1. ML1 - Initial（初始級(jí)）：產(chǎn)品供應(yīng)商可以提供產(chǎn)品，不過沒有依照流程，沒有文件或是只有部分文件。

2. ML2 - Managed（已管理級(jí)）: 產(chǎn)品供應(yīng)商可以依照文件化的準(zhǔn)則來管控產(chǎn)品的開發(fā)。準(zhǔn)則的敘述方式需要讓進(jìn)行該程序的人有適當(dāng)?shù)膶I(yè)知識(shí)，訓(xùn)練人員依照文件中的程序作業(yè)，程序需要是可重復(fù)的。

3. ML3 - Defined（已定義級(jí)）：程序在供應(yīng)商的組織內(nèi)是可以復(fù)制重現(xiàn)的。程序已實(shí)做過，而且有已實(shí)做過的證據(jù)。

4. ML4 & ML5 - Improving（改進(jìn)級(jí)）：供應(yīng)商用適合的程序評(píng)量方式來監(jiān)控程序的有效性及效果，并且進(jìn)行持續(xù)改善。

每個(gè)成熟度等級(jí)的評(píng)定，必須要求4-1的所有需求大于等于所評(píng)定的級(jí)別。成熟度等級(jí)ML2表示公司已建立SDLC流程，成熟度等級(jí)ML3表示公司已經(jīng)將SDLC流程應(yīng)用到實(shí)際產(chǎn)品中。

IEC 62443-4-2（組件的技術(shù)安全要求）是產(chǎn)品供應(yīng)商的核心標(biāo)準(zhǔn)和依據(jù)，產(chǎn)品供應(yīng)商獲得4-1的認(rèn)證之后，方可申請(qǐng)獲得4-2的認(rèn)證。4-2包含如下內(nèi)容：

以上每個(gè)安全大類均定義了多個(gè)CR和RE（增強(qiáng)）來映射到不同的安全級(jí)別SL中，安全級(jí)別越高，安全需求要求也越高。IEC 62443-4-2中定義了四種安全級(jí)別SL，如下：

那么CR和RE如何映射不同的SL安全級(jí)別呢？舉例如下：

上面截圖所示，當(dāng)要達(dá)到安全級(jí)別3級(jí)，需要同時(shí)滿足CR 1.1、RE(1)的要求。當(dāng)要達(dá)到安全級(jí)別4級(jí)，需要同時(shí)滿足CR 1.1、RE(1)、RE(2)的要求。