摘要

網路實體系統（Cyber-Physical Systems, CPS）是現代工業的基石，其安全風險已不再侷限於單純的故障或單一領域的攻擊。過去數十年，製程工業將網路安全與製程安全視為獨立學科的傳統觀念，在當前高度互聯的數位化環境中已變得不合時宜。儘管由ISA 99衍生的IEC 62443系列標準為工業自動化和控制系統（IACS）提供了寶貴的網路安全橫向框架，但其固有的系統中心性使其無法有效地將製程風險轉化為與後果相符的緩解要求。本報告主張，為因應網路攻擊對製程安全帶來的直接威脅，製程工業必須超越現有的橫向標準，推動ISA 99（網路安全）與ISA 84（製程安全）的垂直融合，建立一個統一的框架，以綜合方法降低風險並確保網路實體系統的營運完整性。

 

網路實體系統安全格局的演變

傳統上，網路安全被定義為保護資訊系統與數據，而製程安全則聚焦於保護人員、資產和環境免受熱力學、化學等實體危害。這種區分在控制系統隔離、安全邏輯採取硬連線的時代是合理的。然而，隨著數位化浪潮和效率壓力，這種隔離的時代已經結束。

如今，工廠的每一控制迴路、警報和停機功能都依賴於整合的自動化系統。我們曾經物理隔離的安全儀表系統（SIS），現已與工廠控制和診斷網路連接，以支援更安全的操作、協調的維護和功能測試。這些連接最初是為了提高營運可見性和可靠性而引入，現已成為經濟和環境上的必然要求。連通性在推動安全和性能的同時，也帶來了曝露的風險。

2017年的Triton（Trisis）攻擊事件成為一個重要的轉捩點。這次未遂的攻擊利用了安全儀表系統的合法介面，試圖改變停機邏輯並阻止安全跳脫。這是歷史上首次有網路攻擊直接鎖定工廠的最終保護層。此事件宣告了網路安全和製程安全界限的終結。當一個未經授權的指令可以改變設定點或抑制跳脫時，我們保護的對象已經合而為一，都是同一個製程。

 

為何橫向標準無法保護危險流程

幾十年來，製程工業領域一直將網路安全和製程安全視為獨立的學科。網路安全被認為保護系統和資料；製程安全則保護人員、資產和環境。當控制系統彼此隔離、安全邏輯採取硬連線時，這種區分是合理的，但那樣的日子已經一去不復返了。

我們的安全儀表系統 (SIS) 曾經在物理上相互隔離，如今已與工廠控制和診斷網路連接，以支援安全運行、協調維護和功能測試。

源自 ISA 99的IEC 62443 系列標準推動了工業自動化和控制系統的網路安全發展，引入了一致的術語、成熟度模型和生命週期思維，它的設計初衷是將其設計為一個服務於眾多行業的橫向框架。但是，橫向框架描述如何保護自動化系統，卻沒有描述如何保護危險流程。

IEC 62443-3-2 提倡採用基於風險的方法來定義自動化系統的安全等級 (SL)。理論上，這種方法看似結構化且合理。但在實踐中，它仍然以系統為中心，圍繞區域和管道構建，因此無法將流程風險轉化為一致、可驗證的緩解要求。安全等級定義了架構各部分內的防禦能力，但並未明確該能力與這些部分內流程後果的嚴重程度之間的關係。該框架將暴露和存取視為保護強度的驅動因素，而非流程風險的可能性。

由於無法將製程層級風險轉化為分段式、與後果相符的緩解要求，IEC 62443 目前的橫向版本與既定的製程工業風險管理原則不相容。安全完整性等級 (SIL) 將所需的可靠性與後果嚴重程度和事件頻率直接掛鉤，而安全等級 (SL) 則仍然只是架構分類，與實際風險降低或防護性能沒有量化聯繫。

只有垂直、融合的 ISA 99 / ISA 84 框架才能彌補這一差距，將網路、自動化和流程安全措施整合到一種綜合方法中，以降低風險並實現營運完整性。

 

橫向標準的局限性與風險評估的缺陷

IEC 62443系列標準作為一個橫向框架，其設計目標是跨行業的普遍適用性，這既是其優勢，也是其在製程工業應用中的限制。橫向標準描述了如何保護自動化系統，但卻無法充分反映高風險製程操作（如石化、精煉、核能）獨有的熱力學和化學現實。製程工業早就認識到，通用標準無法滿足其特定的風險結構，這正是IEC 61508（通用功能安全）催生出IEC 61511（製程行業功能安全）這一垂直衍生標準的原因。網路安全如今也需要同樣的演進：一個與IEC 61511等效的網路實體標準，將保護要求與製程後果明確連接起來。

IEC 62443-3-2所推廣的基於風險的方法論，旨在為自動化系統定義安全等級（SL）。然而，如前所述，這種方法在實踐中仍過於以系統為中心，圍繞「區域和管道」等網路架構概念構建。這導致了嚴重的缺陷：

1. 缺乏後果關聯性： 安全等級（SL）定義了架構片段內的防禦能力，但未能明確該能力與該片段內製程後果的嚴重程度之間的量化關係。框架將暴露和存取視為保護強度的驅動因素，卻忽視了製程危害的潛力。

2. 緩解措施的工程盲點： 在製程工業中，風險降低並非僅靠數位防禦。網路實體保護通常需要製程自動化或工廠設計上的變更，例如增加獨立的跳脫路徑、引入機械保障，或調整控制系統依賴性。當前的SL模型將緩解措施限制在網路安全控制上，無法表達這些非網路工程選項在降低網路引起之製程風險上的貢獻。

3. 不相容於既定原則： 製程工業風險管理中，安全完整性等級（SIL）是將所需可靠性與後果嚴重程度和事件頻率直接掛鉤的定量指標。相比之下，安全等級（SL）仍停留在架構分類層面，與實際的風險降低或防護性能沒有量化的聯繫。這種差距使得IEC 62443的橫向版本與製程工業既有的風險管理原則不相容。

 

網路實體完整性：ISA 99 / ISA 84 融合的使命

ISA 84標準已經要求安全儀表系統在其生命週期中考慮網路安全漏洞，這推動了業界意識和評估實踐的重大進展。然而，它缺乏對網路措施應如何影響安全架構或驗證方法的具體定義。反觀ISA 99/IEC 62443，則在網路治理方面提供了深度，但缺乏與製程後果的量化連結。

融合ISA 99與ISA 84將正式化這些互補的優勢，創建一個統一的框架，將網路治理的紀律與製程風險的問責制結合起來。在現代網路實體系統中，由於安全功能依賴於數位通訊，每一個數位防護措施最終都是在保護實體製程。這種相互依存性需要的不再僅是協調，而是全面的融合。

新的垂直、融合標準將圍繞一個核心目標：在所有條件下（正常、異常或對抗性）維護設計和營運意圖。這個統一的模型應建立在三個互補的支柱之上，以定義網路實體完整性：

1. 穩健性 (Robustness)：抵抗設計極限內的干擾

   • 系統在不偏離預期性能的情況下承受可預見干擾的能力。這需要透過冗餘、硬化架構和保守的安全邊際來實現。

2. 韌性 (Resilience)：從設計極限外的破壞中恢復

   • 在系統中斷、退化或遭受網路攻擊後恢復預期性能的能力。這要求系統具備適應性、受控的重建能力和自主的後備機制。

3. 製程安全整合 (Process-Safety Integration)：確保安全恢復

   • 確保恢復行動本身不會危及圍堵、超壓保護或機械完整性。缺乏製程安全考量的韌性，僅是將故障時間推遲。

 

超越隔離的迷思：經管理的連通性

在過去，人們將「氣隙」（Air-gapping）視為穩健性的象徵：隔離系統即可消除問題。然而，在追求效率、減少排放和提高可靠性的現代連網工廠中，真正的隔離既不切實際也非理想。監管機構現已期望看到以數據驅動的方式證明安全和環境性能。斷開網路雖然減少了曝光，但也使營運盲目，並透過延遲診斷和恢復而削弱了韌性。

挑戰不在於連通性本身，而在於非受控的連通性。我們必須追求經驗證、經管理的連通性，以及完整性得到保障的介面，從而使穩健性和韌性能夠共存。這種平衡不能依賴於地方性的解讀或IT政策，它需要一個正式化、融合的標準來實現。

 

邁向垂直標準的實踐路徑

製程工業的運營系統緊密耦合了數據與行動，管理著能源、化學和累積性危害，幾乎每個數據點都可能觸發實體反應。這類環境無法僅憑IEC 62443等提供通用指導的橫向標準得到充分保護。

合併的ISA 99 / ISA 84倡議，作為製程工業的垂直框架，將能夠：

• 將網路威脅直接映射到製程危害情境： 使網路風險分析與製程危險分析（如LOPA）對齊。

• 延伸LOPA和SIL驗證： 將網路引發的原因納入分層保護分析（LOPA）和安全完整性等級（SIL）的驗證中。

• 引入防禦失敗概率 (PFA)： 與需求失敗概率 (PFD) 並用，以量化網路保護措施的有效性。

• 確保統一的目標： 使網路安全和自動化措施共同支持製程安全和環境目標，而不僅僅是符合性清單。

雖然橫向標準在跨行業和供應鏈的協調方面仍具價值，但垂直、融合的標準將帶來複雜性。然而，這種複雜性是網路實體世界中保持相關性的必要成本。在當前的營運環境中，意外故障與故意干擾之間的界限已經消失。無論事件源於故障還是操縱，實體後果都是相同的，因此我們的保護策略也必須統一。我們必須啟動一項聯合的ISA 99 / ISA 84標準化計劃，將這兩個領域納入一個統一的保護架構之下，為網路實體風險的測量和降低提供所需的領導力、結構和驗證紀律。

資料來源：https://industrialcyber.co/expert/beyond-horizontal-standards-why-we-must-converge-isa-99-and-isa-84-to-protect-cyber-physical-systems/