工業自動化和控制系統多運用在軌道交通, 電力, 再生能源, 智慧城市以及工廠中. 以往相關系統多為內網, 且使用特有通訊協定以及設備. 但隨著資訊風潮以及 IIoT 技術發展, 讓許多系統中的設備都有連網能力. 單用 firewall 是很難有效處理整體安全議題.

“Almost 80 percent of firewalls allow both the “Any" service on inbound rules and insecure access to the firewalls. These are gross mistakes by any account.” [1]

更有甚之, 現在有許多線上課程 [2]來教導如何操作 IACS 系統內設備. 這也大大降低了有心人士攻擊上的技術門檻.

ISA/ IEC 62443

為了解決上述問題, 以確保工業自動化和控制系統安全 Cyber Security for Industrial Automation and Control (IACS). 於是 ISA/ IEC 62443 標準就因此誕生. 此標準原本為 ISA 99 工作小組所制定, 後來被 IEC 組織所採納. 其中有趣的是 IEC-62443-2-4 為 IEC 工作小組制定, 並送回 ISA. 同時 ISA 99 也一併更名為 ISA 62443, 兩者標準一制, 故可稱為 ISA/ IEC 62443.

下圖為 ISA/ IEC 62443 的規格表, 關於 62443 的基本介紹, 網路上可查到許多資料 [3][4], 這邊就不多贅述.

img src: https://www.isa.org/isa99/

---

ISA/ IEC 62443 認證

ISA/ IEC 62443 認證可分為

1. 產品認證

   產品認證可分為 ISASecure or IEC 發證

   1. ISASecure

      • 為 ISA 相關組織, 現今許多大廠都是採用此認證
      • CB: 可參考 ISA 網頁
      • 相關資訊可參考這邊,但 2019 年六月有進行小改版.

   2. IEC certification body (CB)

      • CB: 可參考 IEC 網頁

2. 個人認證

   個人認證網頁在這  發證單位為 ISA 官方組織

   ISA/ IEC 62443 共有四張證照, 主題分別為基礎概念, 評估, 設計以及維護. 若能集滿四張證照, 則能成為 Cybersecurity 專家 (expert).

img src: https://www.isa.org/isa-certification/certificate-programs/

1. 認證的基本要求：

• 想要考取認證, 一定要報名 ISA 的課程. 課程分為實體以及線上, 實體課程主要位於美國, 所以除非有地緣關係, 通常都會報名線上課程.
• Certificate 1: ISA/IEC 62443 Cybersecurity Fundamentals Specialist 為基本必要證照, 需考過才能報考 Certificate 2, 3, 4. 但 Certificate 2,3,4 彼此之間沒有依賴限制.
• Certificate 1 的線上課程費用為 USD: 2000 (加入 ISA 會員費用會打折), ISA 官方會提供課程講義以及一位導師定期提供諮詢服務.

2. 認證考試範圍

考試範圍涵蓋了下列十個領域

• Introduction to Control Systems Security and the ISA/IEC 62443 Standards
• ISA/IEC 62443-1-1 Terminology, Concepts, Models and Metrics
• Industrial Networking Basics L1-L7
• Network Security Basics 101
• Industrial Protocols
• Establishing an Industrial Automation and Control Systems Security Program
• Security Risk Assessment and System Design
• The IACS Cybersecurity Lifecycle and Security Program Requirements for IACS Service Providers
• Developing Secure Products and Systems
• Evolving Security Standards and Practices

3. 報考資格

並沒有特別限制. 但官方建議有 3 ~ 5 年以上的 IT cybersecurity 以及至少兩年在工業控制相關領域經驗.

4. 考試報名流程

完成課程後, ISA 會發出資格代碼 (eligibility code). 接著拿這一個代碼上 Prometric 網站進行預約考試的動作.

目前 Prometric 全臺灣只有一個考場, 位於臺大校園內的 LTTC 財團法人語言訓練測驗中心

<2021/9/5 更新> 感謝 Michael Cheng 的資訊, ISA 考試夥伴已換成 Scantron, 詳情可參考此網頁. 除了考試中心之外也提供了線上監考, 完成登記後最快 24 小時就能考試.

試題內容為全英文單一選擇題, 本身大約花了一個多小時完成作答即交卷.

最後最重要的是記得帶護照且一定要提早到考場.

5. 認證之申請資格與流程

考完出來, 就會收到 Prometric 即時寄出成績單通知是否通過考試, 如下圖

等一陣子後就能在 ISA 網站上查詢證照記錄

ISA 的證照以三年為限, 超過三年要做額外的動作來延長期限.

---

ISA/ IEC 62443 應試心得

個人認為試題內容相當的靈活, 再加上沒有考古題的輔助資訊, 所以準備上需要對整體融會貫通而不是死背規範.

應試內容有三大主要準備方向

• 網路概念
• 工業協定以及應用概念
• 基礎安全概念

對我來說, 前兩項已具備相當程度的觀念.  所以針對第三項來加強. 準備時間為: 四月初開始使用下班時間以及週末上課並學習, 五月中通過認證考試. 很幸運的成為臺灣第一個取證的人.

ISA 提供課程教材相當完整, 好好細讀課程教材, 相信就能夠具備工業自動化和控制系統安全的觀念.

---

References:

[1] https://www.eng.tau.ac.il/~yash/computer2004.pdf

[2] https://www.udemy.com/nfi-plc-online-leaning/

[3] https://en.wikipedia.org/wiki/Cyber_security_standards#ANSI/ISA_62443_(Formerly_ISA-99)

[4] https://nicst.ey.gov.tw/Page/7CBD7E79D558D47C/9d5d35a2-d8b2-44ce-9bf1-562ddafe33db