IEC Guide 120 安全方面标准化编写指南

1. Guide 120与安全标准化概述

IEC Guide 120（安全方面——将其纳入出版物的指南）是IEC指南系列中较新的成员，解决了电气电子产品和服务中日益重要的安全问题。随着物联网、工业互联网和智能电网技术的普及，电气设备的安全与传统安全考量变得同等重要。该指南提供了一种结构化方法，用于在IEC标准制定过程中识别和处理安全方面的需求。没有统一的安全标准化框架，各自为政的安全方案将导致互操作性问题和安全防护的盲区。

该指南将IEC工作中的安全定义为包含三个主要维度：保密性——确保信息只能被授权方访问；完整性——确保信息和系统功能不被未经授权的方式修改；可用性——确保系统在需要时可访问和正常运行。这三个维度——通常称为CIA三元组——构成了指南安全框架的基础。此外，该指南还涉及可追溯性（行为可追溯到相关实体）和隐私（个人信息保护）两个额外维度。

Guide 120还强调了安全威胁的独特性。与通常由物理过程引起的无意的安全危险不同，安全威胁往往是有意的、自适应的，由主动寻求绕过保护措施的智能对手实施。这意味着安全风险管理不能仅仅依赖静态的方法，而必须考虑对手的学习和适应能力。这种”猫鼠游戏”的特性要求安全措施具有持续演进的能力。

2. 安全风险评估方法

Guide 120的核心是一套结构化的安全风险评估方法，该方法与Guide 104的安全风险评估方法并行，但针对安全威胁的独特特征进行了调整。与通常无意的安全危险不同，安全威胁往往是有意为之且不断演变的。

该指南强调安全风险评估必须考虑产品的整个生命周期，包括开发、部署、运行、维护和退役。开发阶段引入的漏洞（如导致缓冲区溢出的编码错误）可能在多年后产品部署到联网环境中时才可被利用。这种长尾风险特征要求在整个生命周期中持续考虑安全问题，这与传统以硬件为中心的产品开发有显著不同。

Guide 120引入的一个重要概念是与功能安全中使用的性能级别类似的安全级别。该指南定义了四个安全级别，从基本（低影响、低可能性威胁）到非常高（关键基础设施、国家安全）。每个级别对应逐渐严格的安全要求、设计实践和验证方法。这种分级方法使标准制定者能够指定与实际风险成比例的安全要求，既避免保护不足也避免过度工程化。

3. 实施指导与工程实践

Guide 120为在产品标准中选择和规定安全措施提供了实用指导。这些措施按技术类别组织：身份识别和认证、访问控制、密码学、通信安全、软件安全、物理安全和安全管理。对于每个类别，该指南引用了既有的安全标准，如IEC 62443（工业通信网络安全）、ISO/IEC 27001（信息安全管理）和ISO/IEC 15408（安全评估通用准则）。通过这种交叉引用方式，Guide 120形成了一个整合的安全标准化生态系统。

来自Guide 120的一个关键工程洞见是”深度防御”原则——不应依赖单一安全措施提供完全保护。相反，应实施多层安全控制，以便在一层被突破时仍有其他层保护系统。例如，工业控制系统可能结合网络分段、防火墙规则、应用层认证、加密通信和物理访问控制来提供全面保护。深度防御的核心思想是：没有银弹，多层重叠的安全措施是唯一现实的安全策略。

该指南还涉及安全开发生命周期这一重要主题。包含安全要求的产品标准应引用安全编码实践、安全测试（包括渗透测试和漏洞扫描）和安全更新机制。Guide 120要求规定密码机制的标准化必须根据安全级别指定最低密码强度（密钥长度、算法），并考虑产品预期寿命和计算能力的演进（包括量子计算对当前密码算法的威胁）。

对于设计工程师，Guide 120提供了几个实用检查清单和设计模式。安全要求检查清单涵盖：安全启动和认证固件更新、安全调试接口控制、硬件安全模块集成、安全密钥存储、可信执行环境实现和安全通信协议选择。每个检查清单项目包括相关ISO/IEC或IEC安全标准的引用、实施指导和常见陷阱提示。

该指南还涉及安全与安全（Safety与Security）之间的关键关系——有时称为”安全-安保协同工程”。安全措施不能损害安全功能，安全措施不能引入可被利用的安全漏洞。例如，紧急停止按钮即使在网络攻击期间也必须保持功能，安全联锁装置不能创建未经授权系统访问的向量。Guide 120提供了解决安全与安保要求之间冲突的规则，明确规定在电气设备标准中安全始终优先于安保。

Guide 120还展望了未来的安全挑战，包括人工智能安全、量子计算对密码学的影响、供应链安全以及隐私增强技术。该指南虽然主要关注当前的标准制定需求，但也提供了面向未来的框架，使IEC标准能够适应不断变化的安全威胁环境。

4. 常见问题