IEC 62443 工控安全思路
按 IEC 62443-4-1(开发流程)与 4-2(设备能力)的思路设计安全模型;不声称已通过认证。
DETAIL覆盖 SDLC、威胁建模、安全编码、漏洞响应、补丁分发。第三方审计可按客户要求另行安排。
EdgeOS 在安全上诚实声明:以下是设计原则,正式行业认证按客户具体要求另行评估。
按 IEC 62443-4-1(开发流程)与 4-2(设备能力)的思路设计安全模型;不声称已通过认证。
DETAIL覆盖 SDLC、威胁建模、安全编码、漏洞响应、补丁分发。第三方审计可按客户要求另行安排。
所有 OTA 固件包发布前签名,目标设备启动时校验签名与哈希;签名密钥与发布流水线分离。
DETAILEd25519 + SHA-256。密钥存离线 HSM,发布服务器只持有公钥。撤销列表实时下发到设备。
每台设备出厂或激活时绑定唯一证书;MQTT / HTTPS 接入均基于设备证书,不使用共享密钥。
DETAILX.509 证书链。私钥可选 TPM/SE 存储。证书有效期 1-5 年可配,到期前 30 天提示。
License 激活、OTA 操作、远程运维命令全程审计;日志可上报到客户审计系统。
DETAILJSON Lines 格式。包含 actor、action、entity、before/after、ip、timestamp。可配 syslog / HTTP webhook 转发。
远程运维通道按命令粒度授权;高危操作(重启、配置写、抓包)需二次授权。
DETAILRBAC 矩阵按命令分组。高危命令要求 step-up auth(如 TOTP)。操作有冷却时间防爆破。
签名密钥与发布流水线分离。设备本地校验通过才能进 A/B 分区切换。
X.509 证书链。私钥可存 TPM/SE。
JSON Lines 格式,可转发到客户审计系统。
{"ts":"2026-05-13T08:14:22Z","actor":"ops@z-energy.tech","action":"ota.deploy","entity":"firmware:1.5.0","cohort":"5%","ip":"10.0.0.42"}
{"ts":"2026-05-13T08:14:55Z","actor":"system","action":"license.activate","entity":"device:zel80-a1b2c3d4","project":"PRJ-2026-042"}
{"ts":"2026-05-13T08:15:11Z","actor":"ops@z-energy.tech","action":"remote.serial_read","entity":"device:zel80-a1b2c3d4","port":"/dev/ttyS1","approved_by":"sam@z-energy.tech"}高危操作要求 step-up auth。所有命令有冷却时间。
按客户具体需求评估第三方审计。