🚀 OT安全MCP服務器
適用於人工智能時代的IEC 62443標準解決方案
該項目可讓你直接通過Claude、Cursor或任何支持MCP的客戶端,查詢IEC 62443、NIST 800 - 82、NIST 800 - 53以及MITRE ATT&CK for ICS這些完整的OT安全框架堆棧。如果你正在為工業控制系統、製造工廠、能源基礎設施或關鍵OT環境提供安全保障,那麼這個項目將是你的安全標準參考利器。
🚀 快速開始
安裝
npm install @ansvar/ot-security-mcp
Claude桌面版
將以下內容添加到claude_desktop_config.json文件中:
- macOS:
~/Library/Application Support/Claude/claude_desktop_config.json
- Windows:
%APPDATA%\Claude\claude_desktop_config.json
{
"mcpServers": {
"ot-security": {
"command": "npx",
"args": ["-y", "@ansvar/ot-security-mcp"]
}
}
}
重啟Claude桌面版,即可完成配置。
Cursor / VS Code
{
"mcp.servers": {
"ot-security": {
"command": "npx",
"args": ["-y", "@ansvar/ot-security-mcp"]
}
}
}
✨ 主要特性
標準覆蓋範圍
- IEC 62443 - 3 - 3:涵蓋7項基礎要求下的67項系統安全要求(SRs)。
- IEC 62443 - 4 - 2:針對嵌入式設備、主機設備、網絡設備和應用程序的51項組件要求(CRs)。
- IEC 62443 - 3 - 2:包含安全風險評估、區域與管道以及普渡模型相關內容。
- NIST SP 800 - 53 Rev 5:來自12個控制族的228項與OT相關的控制措施。
- NIST SP 800 - 82 Rev 3:《運營技術安全指南》。
- MITRE ATT&CK for ICS:83種技術、52種緩解措施和331種關聯關係。
功能特點
- 全文搜索:可立即在所有標準中查找相關要求。
- 安全級別映射:可按SL - 1至SL - 4查詢IEC 62443要求。
- 區域/管道指南:基於普渡模型進行網絡分段設計。
- 要求原理說明:幫助理解要求存在的原因,而非僅僅瞭解要求內容。
- 威脅情報:將MITRE ATT&CK技術與防禦控制措施進行映射。
- 跨標準映射:展示IEC與NIST控制措施之間的關係。
- 組件類型過濾:可篩選嵌入式設備、主機、網絡或應用程序的相關要求。
數據質量
- 238項要求:包含IEC 62443基礎要求和NIST 800 - 82指南。
- 228項NIST 800 - 53控制措施:通過官方源自動進行OSCAL攝取。
- 83種MITRE ICS技術:完整的ATT&CK for ICS矩陣。
- 16項跨標準映射:經過驗證的NIST 800 - 82與800 - 53之間的映射關係。
- 每日更新:自動對NIST和MITRE源進行數據更新檢查。
詳細覆蓋範圍:docs/coverage.md
行業用例:docs/use-cases.md
可用工具:docs/tools.md
💻 使用示例
連接成功後,你可以自然地提出問題:
IEC 62443安全級別
- “IEC 62443安全級別2的要求有哪些?”
- “水處理廠應達到哪個安全級別?”
- “比較安全級別2和安全級別3的要求”
- “IEC 62443中的SR 1.1(識別和認證)是什麼?”
網絡分段與區域
- “如何使用普渡模型對我的OT網絡進行分段?”
- “普渡模型第3層應採用哪些安全控制措施?”
- “為製造工廠設計一個區域和管道架構”
- “IEC 62443 - 3 - 2中區域和管道的區別是什麼?”
威脅情報
- “哪些MITRE ATT&CK技術針對PLC?”
- “攻擊者如何在ICS環境中進行橫向移動?”
- “展示MITRE ICS技術中針對T0800(修改控制邏輯)的技術”
- “哪些緩解措施可以防止Modbus上的中間人攻擊?”
NIST指南
- “NIST對OT資產管理有哪些建議?”
- “NIST 800 - 82如何處理控制系統中的事件響應?”
- “將NIST 800 - 82指南映射到NIST 800 - 53控制措施”
跨標準映射
- “將IEC 62443 SR 1.1映射到等效的NIST控制措施”
- “哪些NIST 800 - 53控制措施支持IEC 62443安全級別3?”
- “比較IEC和NIST中的識別和認證要求”
特定行業
- “發電設施應遵循哪些安全要求?”
- “製藥製造的IEC 62443要求有哪些?”
- “水/汙水處理公用事業的安全控制措施有哪些?”
更多示例:請參閱docs/use-cases.md以瞭解特定行業場景。
📚 詳細文檔
開始使用
- 快速入門指南 — 安裝和首次查詢說明。
- IEC 62443攝取指南 — 如何攝取你已獲許可的標準。
- NIST攝取指南 — 自動設置NIST數據。
工具與功能
- 可用工具 — 所有7個MCP工具及示例。
- 工具參考:安全級別映射
- 工具參考:區域/管道指南
- 工具參考:要求原理說明
用例
- 行業用例 — 汽車、能源、製造、水/汙水處理等行業。
- 覆蓋詳情 — 完整的標準覆蓋範圍細分。
開發
- 開發指南 — 貢獻代碼、添加標準的說明。
- 架構 — 數據庫架構和工具設計。
- 故障排除 — 常見問題及解決方法。
- 隱私政策 — 數據處理和保留說明。
項目規劃
- 階段2設計 — 完整的架構設計。
- 階段2實施 — 任務分解。
- 版本0.2.0發佈說明 — 階段2的新特性。
🔧 技術細節
為何有效
權威數據源:
- IEC 62443:由用戶提供(需有許可的標準),即你需提供自己已獲許可的數據。
- NIST 800 - 53:通過官方NIST GitHub自動進行OSCAL攝取。
- NIST 800 - 82:來自官方PDF出版物的精選指南。
- MITRE ATT&CK:通過官方MITRE倉庫自動進行STIX 2.0攝取。
所有數據存儲在支持全文搜索(FTS5)的SQLite數據庫中。
智能架構:
- 安全級別過濾使用關聯表(多對多關係)。
- 區域/管道指南結合普渡模型上下文生成Markdown文檔。
- 要求原理說明包含監管驅動因素和相關標準。
- 跨標準映射使用置信度分數進行質量評估。
技術棧:
官方源 → 解析 → 驗證 → SQLite → MCP工具 → AI響應
↑ ↑ ↑
OSCAL/STIX JSON Schema FTS5搜索
示例:傳統方法與本MCP的對比
| 傳統方法 |
本MCP服務器 |
| 購買IEC 62443 PDF($500+) |
一次性攝取你已獲許可的IEC數據 |
| 瀏覽300多頁的安全級別表格 |
“安全級別2適用哪些要求?” → 即時獲得答案 |
| 手動繪製普渡模型圖 |
get_zone_conduit_guidance → 生成架構 |
| 手動交叉引用NIST和IEC |
compare_ot_requirements → 即時映射 |
| 手動搜索MITRE矩陣 |
“展示針對PLC的攻擊” → 篩選技術 |
| 使用6個不同的文檔網站 |
一個統一的查詢界面 |
傳統示例:打開IEC 62443 - 3 - 3 PDF → 查找安全級別表格 → 使用Ctrl + F搜索“SR 1” → 閱讀15頁內容 → 交叉引用IEC 62443 - 4 - 2 → 對NIST重複上述步驟。
本MCP:“針對嵌入式設備的IEC 62443安全級別2的所有要求有哪些?” → 瞬間完成查詢。
📄 許可證
代碼:採用Apache許可證2.0(詳見LICENSE)。
數據:
- IEC 62443:由用戶提供(需從ISA/IEC獲取許可)。
- NIST 800 - 53、800 - 82:屬於公共領域(美國政府作品)。
- MITRE ATT&CK for ICS:採用Apache 2.0許可證(MITRE Corporation)。
⚠️ 重要提示
⚠️ 重要提示
IEC 62443內容不包含在內
IEC 62443是由國際自動化協會(ISA)和國際電工委員會(IEC)發佈的版權標準。
本MCP服務器提供:
- IEC 62443數據的數據庫架構和攝取工具。
- 展示預期數據結構的JSON模板。
- 演示格式的示例數據(2項要求)。
你必須提供:
- 你自己已獲許可的IEC 62443標準副本。
- 根據你已獲許可的標準創建的JSON文件。
獲取IEC 62443標準的方法:
- 從ISA或IEC購買。
- 價格:每部分(3 - 3、4 - 2、3 - 2)約150 - 200美元。
攝取指南:請參閱docs/ingestion/iec62443-guide.md
🚨 本工具不提供安全諮詢或法律建議 🚨
安全要求源自官方公共標準(NIST、MITRE)和用戶提供的已獲許可標準(IEC 62443)。然而:
- 安全級別目標設定基於風險,需要進行適當的威脅建模。
- 區域/管道架構是設計輔助工具,並非規定性解決方案。
- 跨標準映射是解釋性輔助工具,並非官方指南。
- MITRE技術是威脅情報,並非漏洞評估。
始終要:
- 針對你的特定環境進行適當的風險評估。
- 聘請合格的OT安全專業人員提供實施指導。
- 對照官方標準出版物進行驗證。
- 遵循你所在組織的安全政策和程序。
NIST和MITRE數據:NIST 800 - 53、NIST 800 - 82和MITRE ATT&CK for ICS數據源自美國政府官方倉庫,屬於公共領域,使用和分發不受限制。
相關項目:Ansvar合規套件
本服務器是Ansvar用於工業和企業安全的MCP生態系統的一部分:
🏭 OT安全MCP(本項目)
查詢IEC 62443、NIST 800 - 82/53和MITRE ATT&CK for ICS
- 專門針對OT/ICS環境(製造、能源、關鍵基礎設施)。
- 支持安全級別、普渡模型、區域/管道架構。
- 提供MITRE ATT&CK for ICS威脅情報。
- 安裝:
npm install @ansvar/ot-security-mcp
查詢28個IT/OT框架中的1451項安全控制措施
- 涵蓋ISO 27001、NIST CSF、DORA、PCI DSS、SOC 2、CMMC等28個框架。
- 支持雙向框架映射和差距分析。
- 可與OT安全MCP配合使用,實現完整的IT/OT覆蓋。
- 安裝:
pipx install security-controls-mcp
查詢包括NIS2和網絡彈性法案在內的47項歐盟法規
- 涵蓋GDPR、AI法案、DORA、NIS2、MDR、CRA等47項法規。
- 對受NIS2指令約束的歐盟OT運營商至關重要。
- 安裝:
npx @ansvar/eu-regulations-mcp
查詢包括TSA管道安全在內的美國合規法律
- 涵蓋HIPAA、CCPA、SOX、GLBA、FERPA、COPPA等10項法律。
- 與美國關鍵基礎設施運營商相關。
- 安裝:
npm install @ansvar/us-regulations-mcp
它們如何協同實現OT安全
完整的OT合規工作流程:
1. “能源行業OT系統的NIS2要求有哪些?”
→ 歐盟法規MCP返回NIS2第21條要求。
2. “哪個IEC 62443安全級別能滿足NIS2第21條要求?”
→ OT安全MCP根據風險評估推薦安全級別2 - 3。
3. “將IEC 62443 - 4 - 2 SR 1.1映射到NIST 800 - 53控制措施”
→ 安全控制MCP展示與AC - 2、IA - 2等的雙向映射。
4. “哪些MITRE ATT&CK技術針對此配置?”
→ OT安全MCP展示相關的ICS攻擊技術和緩解措施。
組合使用這些服務器可滿足以下需求:
- 歐盟OT運營商(NIS2 + IEC 62443 + ISO 27001)
- 美國關鍵基礎設施(NIST + IEC 62443 +特定行業法規)
- 全球製造商(所有合規要求 + OT安全 + 框架映射)
關於Ansvar Systems
我們為汽車原始設備製造商、一級供應商、工業製造商和關鍵基礎設施運營商構建人工智能加速的威脅建模和合規工具。這個MCP服務器最初是我們內部的IEC 62443參考工具,後來發現所有保障OT環境安全的人都面臨著“6個文檔網站、12個PDF文件”的問題。
因此,我們將其開源。希望大家在處理IEC 62443安全級別時,不再需要電子表格和法律知識。
ansvar.eu — 瑞典斯德哥爾摩
我們服務的行業:
- 汽車(ISO 21434、UN R155)
- 工業製造(IEC 62443)
- 能源與公用事業(NERC CIP、IEC 62443)
- 醫療設備(IEC 81001 - 5 - 1、IEC 62443 - 4 - 2)
目錄審查說明
測試賬戶和示例數據
本服務器為只讀模式,功能審查無需登錄賬戶。進行目錄審查時,請使用捆綁的數據集和以下示例提示:
- “IEC 62443安全級別2適用哪些要求?”
- “展示與PLC操縱相關的MITRE ICS技術。”
- “將IEC 62443 SR 1.1映射到NIST控制措施。”
遠程認證(OAuth 2.0)
如果你部署遠程認證端點,請使用基於TLS的OAuth 2.0,並使用來自公認機構的證書。如果以只讀非認證模式部署,請明確記錄該部署策略。
路線圖
階段3(計劃於2026年第二季度)
- IEC 62443 - 2 - 4:供應商安全要求(與DORA/NIS2相關)。
- 豐富的跨標準映射:具有置信度分數的IEC ↔ NIST ↔ MITRE映射。
- 自動映射建議:基於機器學習的要求相似度分析。
- 比較要求工具:多標準的並排比較。
階段4(計劃於2026年第三季度)
- NERC CIP:北美能源行業要求。
- 行業適用性引擎:“哪些標準適用於我的設施?”
- 歐盟法規交叉映射:NIS2、DORA、CRA與IEC 62443的映射。
詳情請見:ROADMAP.md以查看完整的功能時間表。
Ansvar的更多開源項目
我們為合規和安全專業人員維護了一系列MCP服務器:
| 服務器 |
描述 |
安裝方式 |
| 歐盟法規 |
47項歐盟法規(GDPR、AI法案、DORA、NIS2、MiFID II、eIDAS、MDR等) |
npx @ansvar/eu-regulations-mcp |
| 美國法規 |
HIPAA、CCPA、SOX、GLBA、FERPA、COPPA、FDA 21 CFR Part 11、州隱私法 |
npx @ansvar/us-regulations-mcp |
| 安全控制 |
28個框架中的1451項控制措施(ISO 27001、NIST CSF、PCI DSS、CMMC等) |
pipx install security-controls-mcp |
| 汽車 |
適用於汽車網絡安全的UNECE R155/R156、ISO 21434 |
npx @ansvar/automotive-cybersecurity-mcp |
| 制裁 |
使用OpenSanctions進行離線制裁篩查(30多個列表) |
pip install ansvar-sanctions-mcp |
瀏覽所有項目:ansvar.eu/open-source
貢獻代碼
我們歡迎貢獻!請參閱CONTRIBUTING.md瞭解以下內容:
- 添加新的標準。
- 改進跨標準映射。
- 增強工具功能。
- 修復漏洞或改進文檔。
支持
社區支持
商業支持
如果你需要以下方面的幫助:
- 為你的設施確定IEC 62443安全級別目標?
- 為複雜的OT網絡設計自定義區域/管道架構?
- 使用MITRE ATT&CK for ICS進行威脅建模?
- 將NIS2或DORA合規要求映射到IEC 62443?
聯繫我們:info@ansvar.eu
瑞典斯德哥爾摩精心打造
%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%23061b40;%20}%20.st1%20{%20fill:%20%23306af1;%20}%20.st2%20{%20fill:%20%235ce5cf;%20}%20%3c/style%3e%3c/defs%3e%3cg%3e%3cpath%20class='st0'%20d='M55,10.5h9v3h-9v9h12V7.5h-12v3ZM64,19.5h-6v-3h6v3Z'/%3e%3cpolygon%20class='st0'%20points='69%2016.5%2078%2016.5%2078%2019.5%2069%2019.5%2069%2022.5%2081%2022.5%2081%2013.5%2072%2013.5%2072%2010.5%2081%2010.5%2081%207.5%2069%207.5%2069%2016.5'/%3e%3cpolygon%20class='st0'%20points='95%2010.5%2095%207.5%2083%207.5%2083%2022.5%2095%2022.5%2095%2019.5%2086%2019.5%2086%2016.5%2095%2016.5%2095%2013.5%2086%2013.5%2086%2010.5%2095%2010.5'/%3e%3cpath%20class='st0'%20d='M40,1.5v21h11.6l1.4-1.4v-7.6h0c0,0-1.4-1.5-1.4-1.5l1.4-1.4V2.9l-1.4-1.4h-11.6ZM50,19.5h-7v-6h7v6ZM50,10.5h-7v-6h7v6Z'/%3e%3c/g%3e%3cpath%20class='st1'%20d='M23.1,24L14.7,4.8l-4.9,11.2h3.8l-1.8,4H3.3L12.1,0H2C.9,0,0,.9,0,2v20c0,1.1.9,2,2,2h21.1Z'/%3e%3cpath%20class='st2'%20d='M34,0h-16.8l10.6,24h6.2c1.1,0,2-.9,2-2V2C36,.9,35.1,0,34,0ZM32.5,20h-4V4h4v16Z'/%3e%3c/svg%3e)
%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%230080ff;%20}%20%3c/style%3e%3c/defs%3e%3cpath%20class='st0'%20d='M16.2,11.1c.4.5.4,1.2,0,1.8l-4.7,7.1h-3.8l5.3-8L7.6,4h3.8l4.7,7.1Z'/%3e%3c/svg%3e)
