🚀 OT安全MCP服务器
适用于人工智能时代的IEC 62443标准解决方案
该项目可让你直接通过Claude、Cursor或任何支持MCP的客户端,查询IEC 62443、NIST 800 - 82、NIST 800 - 53以及MITRE ATT&CK for ICS这些完整的OT安全框架堆栈。如果你正在为工业控制系统、制造工厂、能源基础设施或关键OT环境提供安全保障,那么这个项目将是你的安全标准参考利器。
🚀 快速开始
安装
npm install @ansvar/ot-security-mcp
Claude桌面版
将以下内容添加到claude_desktop_config.json文件中:
- macOS:
~/Library/Application Support/Claude/claude_desktop_config.json
- Windows:
%APPDATA%\Claude\claude_desktop_config.json
{
"mcpServers": {
"ot-security": {
"command": "npx",
"args": ["-y", "@ansvar/ot-security-mcp"]
}
}
}
重启Claude桌面版,即可完成配置。
Cursor / VS Code
{
"mcp.servers": {
"ot-security": {
"command": "npx",
"args": ["-y", "@ansvar/ot-security-mcp"]
}
}
}
✨ 主要特性
标准覆盖范围
- IEC 62443 - 3 - 3:涵盖7项基础要求下的67项系统安全要求(SRs)。
- IEC 62443 - 4 - 2:针对嵌入式设备、主机设备、网络设备和应用程序的51项组件要求(CRs)。
- IEC 62443 - 3 - 2:包含安全风险评估、区域与管道以及普渡模型相关内容。
- NIST SP 800 - 53 Rev 5:来自12个控制族的228项与OT相关的控制措施。
- NIST SP 800 - 82 Rev 3:《运营技术安全指南》。
- MITRE ATT&CK for ICS:83种技术、52种缓解措施和331种关联关系。
功能特点
- 全文搜索:可立即在所有标准中查找相关要求。
- 安全级别映射:可按SL - 1至SL - 4查询IEC 62443要求。
- 区域/管道指南:基于普渡模型进行网络分段设计。
- 要求原理说明:帮助理解要求存在的原因,而非仅仅了解要求内容。
- 威胁情报:将MITRE ATT&CK技术与防御控制措施进行映射。
- 跨标准映射:展示IEC与NIST控制措施之间的关系。
- 组件类型过滤:可筛选嵌入式设备、主机、网络或应用程序的相关要求。
数据质量
- 238项要求:包含IEC 62443基础要求和NIST 800 - 82指南。
- 228项NIST 800 - 53控制措施:通过官方源自动进行OSCAL摄取。
- 83种MITRE ICS技术:完整的ATT&CK for ICS矩阵。
- 16项跨标准映射:经过验证的NIST 800 - 82与800 - 53之间的映射关系。
- 每日更新:自动对NIST和MITRE源进行数据更新检查。
详细覆盖范围:docs/coverage.md
行业用例:docs/use-cases.md
可用工具:docs/tools.md
💻 使用示例
连接成功后,你可以自然地提出问题:
IEC 62443安全级别
- “IEC 62443安全级别2的要求有哪些?”
- “水处理厂应达到哪个安全级别?”
- “比较安全级别2和安全级别3的要求”
- “IEC 62443中的SR 1.1(识别和认证)是什么?”
网络分段与区域
- “如何使用普渡模型对我的OT网络进行分段?”
- “普渡模型第3层应采用哪些安全控制措施?”
- “为制造工厂设计一个区域和管道架构”
- “IEC 62443 - 3 - 2中区域和管道的区别是什么?”
威胁情报
- “哪些MITRE ATT&CK技术针对PLC?”
- “攻击者如何在ICS环境中进行横向移动?”
- “展示MITRE ICS技术中针对T0800(修改控制逻辑)的技术”
- “哪些缓解措施可以防止Modbus上的中间人攻击?”
NIST指南
- “NIST对OT资产管理有哪些建议?”
- “NIST 800 - 82如何处理控制系统中的事件响应?”
- “将NIST 800 - 82指南映射到NIST 800 - 53控制措施”
跨标准映射
- “将IEC 62443 SR 1.1映射到等效的NIST控制措施”
- “哪些NIST 800 - 53控制措施支持IEC 62443安全级别3?”
- “比较IEC和NIST中的识别和认证要求”
特定行业
- “发电设施应遵循哪些安全要求?”
- “制药制造的IEC 62443要求有哪些?”
- “水/污水处理公用事业的安全控制措施有哪些?”
更多示例:请参阅docs/use-cases.md以了解特定行业场景。
📚 详细文档
开始使用
- 快速入门指南 — 安装和首次查询说明。
- IEC 62443摄取指南 — 如何摄取你已获许可的标准。
- NIST摄取指南 — 自动设置NIST数据。
工具与功能
- 可用工具 — 所有7个MCP工具及示例。
- 工具参考:安全级别映射
- 工具参考:区域/管道指南
- 工具参考:要求原理说明
用例
- 行业用例 — 汽车、能源、制造、水/污水处理等行业。
- 覆盖详情 — 完整的标准覆盖范围细分。
开发
- 开发指南 — 贡献代码、添加标准的说明。
- 架构 — 数据库架构和工具设计。
- 故障排除 — 常见问题及解决方法。
- 隐私政策 — 数据处理和保留说明。
项目规划
- 阶段2设计 — 完整的架构设计。
- 阶段2实施 — 任务分解。
- 版本0.2.0发布说明 — 阶段2的新特性。
🔧 技术细节
为何有效
权威数据源:
- IEC 62443:由用户提供(需有许可的标准),即你需提供自己已获许可的数据。
- NIST 800 - 53:通过官方NIST GitHub自动进行OSCAL摄取。
- NIST 800 - 82:来自官方PDF出版物的精选指南。
- MITRE ATT&CK:通过官方MITRE仓库自动进行STIX 2.0摄取。
所有数据存储在支持全文搜索(FTS5)的SQLite数据库中。
智能架构:
- 安全级别过滤使用关联表(多对多关系)。
- 区域/管道指南结合普渡模型上下文生成Markdown文档。
- 要求原理说明包含监管驱动因素和相关标准。
- 跨标准映射使用置信度分数进行质量评估。
技术栈:
官方源 → 解析 → 验证 → SQLite → MCP工具 → AI响应
↑ ↑ ↑
OSCAL/STIX JSON Schema FTS5搜索
示例:传统方法与本MCP的对比
| 传统方法 |
本MCP服务器 |
| 购买IEC 62443 PDF($500+) |
一次性摄取你已获许可的IEC数据 |
| 浏览300多页的安全级别表格 |
“安全级别2适用哪些要求?” → 即时获得答案 |
| 手动绘制普渡模型图 |
get_zone_conduit_guidance → 生成架构 |
| 手动交叉引用NIST和IEC |
compare_ot_requirements → 即时映射 |
| 手动搜索MITRE矩阵 |
“展示针对PLC的攻击” → 筛选技术 |
| 使用6个不同的文档网站 |
一个统一的查询界面 |
传统示例:打开IEC 62443 - 3 - 3 PDF → 查找安全级别表格 → 使用Ctrl + F搜索“SR 1” → 阅读15页内容 → 交叉引用IEC 62443 - 4 - 2 → 对NIST重复上述步骤。
本MCP:“针对嵌入式设备的IEC 62443安全级别2的所有要求有哪些?” → 瞬间完成查询。
📄 许可证
代码:采用Apache许可证2.0(详见LICENSE)。
数据:
- IEC 62443:由用户提供(需从ISA/IEC获取许可)。
- NIST 800 - 53、800 - 82:属于公共领域(美国政府作品)。
- MITRE ATT&CK for ICS:采用Apache 2.0许可证(MITRE Corporation)。
⚠️ 重要提示
⚠️ 重要提示
IEC 62443内容不包含在内
IEC 62443是由国际自动化协会(ISA)和国际电工委员会(IEC)发布的版权标准。
本MCP服务器提供:
- IEC 62443数据的数据库架构和摄取工具。
- 展示预期数据结构的JSON模板。
- 演示格式的示例数据(2项要求)。
你必须提供:
- 你自己已获许可的IEC 62443标准副本。
- 根据你已获许可的标准创建的JSON文件。
获取IEC 62443标准的方法:
- 从ISA或IEC购买。
- 价格:每部分(3 - 3、4 - 2、3 - 2)约150 - 200美元。
摄取指南:请参阅docs/ingestion/iec62443-guide.md
🚨 本工具不提供安全咨询或法律建议 🚨
安全要求源自官方公共标准(NIST、MITRE)和用户提供的已获许可标准(IEC 62443)。然而:
- 安全级别目标设定基于风险,需要进行适当的威胁建模。
- 区域/管道架构是设计辅助工具,并非规定性解决方案。
- 跨标准映射是解释性辅助工具,并非官方指南。
- MITRE技术是威胁情报,并非漏洞评估。
始终要:
- 针对你的特定环境进行适当的风险评估。
- 聘请合格的OT安全专业人员提供实施指导。
- 对照官方标准出版物进行验证。
- 遵循你所在组织的安全政策和程序。
NIST和MITRE数据:NIST 800 - 53、NIST 800 - 82和MITRE ATT&CK for ICS数据源自美国政府官方仓库,属于公共领域,使用和分发不受限制。
相关项目:Ansvar合规套件
本服务器是Ansvar用于工业和企业安全的MCP生态系统的一部分:
🏭 OT安全MCP(本项目)
查询IEC 62443、NIST 800 - 82/53和MITRE ATT&CK for ICS
- 专门针对OT/ICS环境(制造、能源、关键基础设施)。
- 支持安全级别、普渡模型、区域/管道架构。
- 提供MITRE ATT&CK for ICS威胁情报。
- 安装:
npm install @ansvar/ot-security-mcp
查询28个IT/OT框架中的1451项安全控制措施
- 涵盖ISO 27001、NIST CSF、DORA、PCI DSS、SOC 2、CMMC等28个框架。
- 支持双向框架映射和差距分析。
- 可与OT安全MCP配合使用,实现完整的IT/OT覆盖。
- 安装:
pipx install security-controls-mcp
查询包括NIS2和网络弹性法案在内的47项欧盟法规
- 涵盖GDPR、AI法案、DORA、NIS2、MDR、CRA等47项法规。
- 对受NIS2指令约束的欧盟OT运营商至关重要。
- 安装:
npx @ansvar/eu-regulations-mcp
查询包括TSA管道安全在内的美国合规法律
- 涵盖HIPAA、CCPA、SOX、GLBA、FERPA、COPPA等10项法律。
- 与美国关键基础设施运营商相关。
- 安装:
npm install @ansvar/us-regulations-mcp
它们如何协同实现OT安全
完整的OT合规工作流程:
1. “能源行业OT系统的NIS2要求有哪些?”
→ 欧盟法规MCP返回NIS2第21条要求。
2. “哪个IEC 62443安全级别能满足NIS2第21条要求?”
→ OT安全MCP根据风险评估推荐安全级别2 - 3。
3. “将IEC 62443 - 4 - 2 SR 1.1映射到NIST 800 - 53控制措施”
→ 安全控制MCP展示与AC - 2、IA - 2等的双向映射。
4. “哪些MITRE ATT&CK技术针对此配置?”
→ OT安全MCP展示相关的ICS攻击技术和缓解措施。
组合使用这些服务器可满足以下需求:
- 欧盟OT运营商(NIS2 + IEC 62443 + ISO 27001)
- 美国关键基础设施(NIST + IEC 62443 +特定行业法规)
- 全球制造商(所有合规要求 + OT安全 + 框架映射)
关于Ansvar Systems
我们为汽车原始设备制造商、一级供应商、工业制造商和关键基础设施运营商构建人工智能加速的威胁建模和合规工具。这个MCP服务器最初是我们内部的IEC 62443参考工具,后来发现所有保障OT环境安全的人都面临着“6个文档网站、12个PDF文件”的问题。
因此,我们将其开源。希望大家在处理IEC 62443安全级别时,不再需要电子表格和法律知识。
ansvar.eu — 瑞典斯德哥尔摩
我们服务的行业:
- 汽车(ISO 21434、UN R155)
- 工业制造(IEC 62443)
- 能源与公用事业(NERC CIP、IEC 62443)
- 医疗设备(IEC 81001 - 5 - 1、IEC 62443 - 4 - 2)
目录审查说明
测试账户和示例数据
本服务器为只读模式,功能审查无需登录账户。进行目录审查时,请使用捆绑的数据集和以下示例提示:
- “IEC 62443安全级别2适用哪些要求?”
- “展示与PLC操纵相关的MITRE ICS技术。”
- “将IEC 62443 SR 1.1映射到NIST控制措施。”
远程认证(OAuth 2.0)
如果你部署远程认证端点,请使用基于TLS的OAuth 2.0,并使用来自公认机构的证书。如果以只读非认证模式部署,请明确记录该部署策略。
路线图
阶段3(计划于2026年第二季度)
- IEC 62443 - 2 - 4:供应商安全要求(与DORA/NIS2相关)。
- 丰富的跨标准映射:具有置信度分数的IEC ↔ NIST ↔ MITRE映射。
- 自动映射建议:基于机器学习的要求相似度分析。
- 比较要求工具:多标准的并排比较。
阶段4(计划于2026年第三季度)
- NERC CIP:北美能源行业要求。
- 行业适用性引擎:“哪些标准适用于我的设施?”
- 欧盟法规交叉映射:NIS2、DORA、CRA与IEC 62443的映射。
详情请见:ROADMAP.md以查看完整的功能时间表。
Ansvar的更多开源项目
我们为合规和安全专业人员维护了一系列MCP服务器:
| 服务器 |
描述 |
安装方式 |
| 欧盟法规 |
47项欧盟法规(GDPR、AI法案、DORA、NIS2、MiFID II、eIDAS、MDR等) |
npx @ansvar/eu-regulations-mcp |
| 美国法规 |
HIPAA、CCPA、SOX、GLBA、FERPA、COPPA、FDA 21 CFR Part 11、州隐私法 |
npx @ansvar/us-regulations-mcp |
| 安全控制 |
28个框架中的1451项控制措施(ISO 27001、NIST CSF、PCI DSS、CMMC等) |
pipx install security-controls-mcp |
| 汽车 |
适用于汽车网络安全的UNECE R155/R156、ISO 21434 |
npx @ansvar/automotive-cybersecurity-mcp |
| 制裁 |
使用OpenSanctions进行离线制裁筛查(30多个列表) |
pip install ansvar-sanctions-mcp |
浏览所有项目:ansvar.eu/open-source
贡献代码
我们欢迎贡献!请参阅CONTRIBUTING.md了解以下内容:
- 添加新的标准。
- 改进跨标准映射。
- 增强工具功能。
- 修复漏洞或改进文档。
支持
社区支持
商业支持
如果你需要以下方面的帮助:
- 为你的设施确定IEC 62443安全级别目标?
- 为复杂的OT网络设计自定义区域/管道架构?
- 使用MITRE ATT&CK for ICS进行威胁建模?
- 将NIS2或DORA合规要求映射到IEC 62443?
联系我们:info@ansvar.eu
瑞典斯德哥尔摩精心打造
%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%23061b40;%20}%20.st1%20{%20fill:%20%23306af1;%20}%20.st2%20{%20fill:%20%235ce5cf;%20}%20%3c/style%3e%3c/defs%3e%3cg%3e%3cpath%20class='st0'%20d='M55,10.5h9v3h-9v9h12V7.5h-12v3ZM64,19.5h-6v-3h6v3Z'/%3e%3cpolygon%20class='st0'%20points='69%2016.5%2078%2016.5%2078%2019.5%2069%2019.5%2069%2022.5%2081%2022.5%2081%2013.5%2072%2013.5%2072%2010.5%2081%2010.5%2081%207.5%2069%207.5%2069%2016.5'/%3e%3cpolygon%20class='st0'%20points='95%2010.5%2095%207.5%2083%207.5%2083%2022.5%2095%2022.5%2095%2019.5%2086%2019.5%2086%2016.5%2095%2016.5%2095%2013.5%2086%2013.5%2086%2010.5%2095%2010.5'/%3e%3cpath%20class='st0'%20d='M40,1.5v21h11.6l1.4-1.4v-7.6h0c0,0-1.4-1.5-1.4-1.5l1.4-1.4V2.9l-1.4-1.4h-11.6ZM50,19.5h-7v-6h7v6ZM50,10.5h-7v-6h7v6Z'/%3e%3c/g%3e%3cpath%20class='st1'%20d='M23.1,24L14.7,4.8l-4.9,11.2h3.8l-1.8,4H3.3L12.1,0H2C.9,0,0,.9,0,2v20c0,1.1.9,2,2,2h21.1Z'/%3e%3cpath%20class='st2'%20d='M34,0h-16.8l10.6,24h6.2c1.1,0,2-.9,2-2V2C36,.9,35.1,0,34,0ZM32.5,20h-4V4h4v16Z'/%3e%3c/svg%3e)
%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%230080ff;%20}%20%3c/style%3e%3c/defs%3e%3cpath%20class='st0'%20d='M16.2,11.1c.4.5.4,1.2,0,1.8l-4.7,7.1h-3.8l5.3-8L7.6,4h3.8l4.7,7.1Z'/%3e%3c/svg%3e)
