工业网络安全：迈向 IEC 62443 合规之路

by Canonical on 3 July 2025

随着制造商们努力进行 IT 与 OT 融合以提升自身效率和生产力，工业网络安全已成为每一位首席信息安全官（CISO）的关注焦点。然而，随着连接性的增强，风险也随之增加。保障设备、网络及系统的安全便成为了一项关键的挑战。作为 Ubuntu 发行商的 Canonical 深知这一需求，并致力于依照工业自动化与控制系统网络安全综合框架 IEC 62443 标准提升自身的能力。

本篇文章中将简要概述 IEC 62443 标准的适用范围，并阐述它与 Canonical 同样积极响应的其他标准之间的联系。文中将重点介绍，Canonical 在汽车标准方面投入的大量工作以及其对行业倡议所做出的贡献，由于在功能安全、设备稳固和安全生命周期管理等方面遵循相同的原则，如何与 IEC 62443 合规性息息相关。文中还将探讨 Canonical 如何凭借自身优势，填补 IT 与 OT 融合的安全鸿沟，助力工业企业采用稳健合规的网络安全框架。文章最后将阐明工业企业如何与这款最热门 Linux 发行版的发行商携手迈向合规征程，并保障其软件开发生命周期的安全。

致力于 IEC 62443 合规性——我们的专业知识是一切之基础

IEC 62443 标准提供了一套针对工业系统从设计到退役的整个生命周期中网络安全风险管理的结构化方法。它建立了一个分层认证体系，涵盖技术控制、安全网络架构、设备稳固以及事件响应策略等方面。聚焦这些关键方面，满足 IEC 62443 合规要求，企业则能够保护自身系统免受恶意行为者的攻击。

为了让 Linux 系统继续成为驱动工业领域创新的工具，我们不仅要确保其具备在安全关键型应用中稳定运行所需的稳健性，同时还要满足 IEC 62443 合规要求。在 Canonical，我们利用自身的优势，通过与 ELISA（安全应用中 Linux 系统赋能项目）合作，助力推动汽车等领域的发展。合作对于确立最佳实践来为整个用户群体提供帮助指导而言至关重要。

与汽车行业必须满足关于车辆完整性的严格安全要求一样，工业环境也需要能够确保关键基础架构安全的解决方案，而且这些环境往往复杂且相互连通，一旦遭到破坏，可能会对运营和安全造成重大影响。正因如此，知识转移极其重要。

知识转移不仅仅意味着向外拓展，也包括向内思考。我们不断反思如何调整已经在做的工作，在我们的解决方案中实现 IEC 62443 合规就绪。好消息是，企业已在遵循的诸多最佳实践与 IEC 62443 将有所重叠。就 Canonical 而言，其在满足诸如 ISO 26262 等汽车标准方面的经验就是一个很大的优势。虽然 ISO 26262、ISO 21434 和 IEC 62443 各自聚焦于特定的领域，但它们的核心原则具有跨行业的普适性。它们的共通之处在于都着重强调生命周期管理、风险评估以及安全与保障措施的融合。实施威胁建模和安全开发实践等原则，与 IEC 62443 标准的要求相契合，使得一个领域的专业知识能够转而应用于其他领域。

工业功能安全

对于 Canonical 而言，汽车安全与工业安全之间的知识重叠为其提供了一个围绕功能安全和网络安全向工业领域提出切实可行建议的契机。在当前网络安全威胁激增的形势下，工厂老板、制造企业以及工业公司都迫切需要保障自身资产的安全。工业环境中的信息物理系统，从现代化物联网设备到传统基础架构和 OT 解决方案，都与汽车领域的这些系统具有同样的功能安全要求，因为它们都依赖于安全性和可靠性至为重要的自动化流程。

Canonical 面向汽车领域推出的解决方案中包含同样适用于工业安全的功能。长期支持版本可以确保安全维护不会在短时间内中断；针对特定框架的自动化加固工具，能在保障合规性的同时，确保其他其他优先事项不受影响；可视化的设备管理流程有助于企业证明并审核自身的合规情况。尽管这些措施的具体实施方式会因行业而异，但它们属于开源措施，企业因此能够根据自身需求调整这些措施。我们将在后文中对此进行探讨。

Canonical 致力于打造卓越的工业网络安全开源软件

在 Canonical，我们专注于合规性，致力于强化开源软件在工业网络安全中发挥的作用。开源软件具有显著的优势。透明代码意味着企业组织能够灵活定制解决方案，以满足自身特定需求。这对安全保障而言也大有助益，全球贡献者社区成员共同努力，不断修复和保护大家共同关注的代码。Canonical 致力于构建开源网络安全解决方案，旨在为制造商们提供透明且可灵活调整的安全框架，以满足他们的合规需求。

Canonical 推出 Ubuntu，这是一个专为处理工业工作负载、边缘计算以及物联网环境而设计的安全且经认证的平台。我们的操作系统支持大量不同的设备，其可扩展的安全架构非常适用于管理工业物联网设备和保护关键基础架构。

以协作创新推动工业网络安全体系建设

我们全心致力于为工业领域的先锋企业提供无与伦比的开源软件使用体验，为其数字化旅程助力。我们携手芯片企业以及领先的工业企业，提供解决方案帮助工业企业部署安全且合规的系统，既能提高生产力，又能保障安全性。我们的目标是助力企业在各类计算以及各类应用中实现端到端的开源，为此，我们与领先的半导体公司合作，将开源技术应用与创新优化相结合，让每一款新芯片充分发挥出性能优势。我们与半导体领域合作伙伴共同绘制联合产品路线图，仍然依托于一流的 Ubuntu 系统，支持差异化硬件，并在产品生命周期内提供强有力的支持。

如大家所见，Canonical 积极参与行业倡议活动和标准组织工作，为网络安全框架的发展和最佳实践的确定贡献一己之力。我们通过与领域中其他领军企业携手合作，确保所提供的解决方案不仅符合现行标准，还能应对未来挑战，助力工业企业从开源安全领域的持续进步中受益。

携手 Canonical，拥抱安全合规的工业解决方案

我们同样可以围绕您的需求展开合作。Canonical 致力于为工业企业提供可靠且可扩展的网络安全解决方案，因而专注于 IEC 62443 合规性。凭借在功能安全领域的专业知识，我们在满足工业领域特定安全需求方面具有独特优势。我们以安全保障为核心设计的开源平台，可以为工业企业提供从容应对日益复杂的网络安全形势所需要的灵活性和弹性。Canonical 推出的 Ubuntu 系统遵循 IEC 62443 标准的各项准则，并集成先进的安全功能，能够帮助工业企业满足合规要求，并增强其资产的韧性。

如果您希望强化自身的网络安全并实现 IEC 62443 合规性，Canonical 期待与您合作。我们携手共进，能够助力您构建安全且合规的工业系统，为创新开启全新可能性的同时，还能确保强大的防御能力，应对不断演变的网络威胁。

如需进一步了解开放标准以及这些标准如何让制造业务受益，请观看 Canonical 和 Bosch Rexroth 的网络研讨会，探索软件定义方案为灵活性和自动化带来的可能性。

【视频】推动工业自动化的未来发展 – Canonical X Bosch Rexroth
【视频】实时 Linux 如何加速工业转型
【白皮书】《网络弹性法案》：嵌入式设备采用 Yocto 还是 Ubuntu Core？