作者:中国电子技术标准化研究院工控安全标准与测评工信部重点实验室
导语:产品认证制度在产品生产、销售以及使用中具有重要作用。企业生产的产品获得产品认证证书,表明该产品符合相应的标准和技术要求。第三方测评机构依据产品评估准则和相关技术要求,对产品的性能进行评价,旨在保护用户信息安全,维护用户利益。同时,产品认证标志也是企业通向市场的钥匙。信息安全认证是为了证明某一种产品具备信息安全方面的能力及技术要求。在传统信息安全领域,大多数著名厂商都已经通过相关产品认证,如公安部计算机系统安全产品质量监督检验中心的销售许可证,部分厂商还已经获得由中国信息安全认证中心(ISCCC)颁发的IT产品信息安全认证,表明其具备更高一级的信息安全保护能力。目前,和利时、匡恩、海天炜业、珠海鸿瑞等国内工控安全厂商的工业防火墙、工业隔离网关等工业信息安全产品均已获得该认证。中国信息安全认证中心的IT产品信息安全认证也包括工业控制产品的部分,据悉,目前国内仅有中电联宇装备科技(北京)有限公司的超御N系列PLC产品通过了这一认证。
1 美国工业控制产品信息安全认证
美国工业控制产品信息安全认证主要是ISASecure认证。ISA是国际自动化学会的简称,其为工业和关键基础设施中使用的自动控制系统提供改善管理、安全和网络安全工程技术标准。ISASecure认证是ISCI基于 IEC62443 标准开发的合规性认证,是目前工业控制领域最具权威安全认证。ISASecure认证包括嵌入设备安全保障认证、系统安全保障认证和安全开发生命周期保障认证三大类。嵌入设备安全保障认证(Embedded Device Security Assurance,EDSA),侧重设备级别的安全性保障,认证对象是独立的工控设备,比如PLC等。系统安全保障认证(System Security Assurance,SSA),侧重系统级别的安全性保障,认证对象是工控系统,比如DCS、SCADA、SIS等。安全开发生命周期保障认证(Security Development Lifecycle Assurance,SDLA),侧重安全开发过程的保障,确保安全被正确地设计和落地,认证对象是研发团队。目前EDSA认证推广得比较好,有9个厂商的19款产品获得EDSA认证,包括:Honeywell、Schneider、Yokogawa、TOSHIBA、RTP、Hitachi、HIMA、Azbil、Beijing Consen。ISASecure为每一类认证都定义了一套详细的规范文档及测试用例,方便厂家对照规范进行自检。所有经过认证的产品或系统,都在ISASecure的官网(www.isasecure.org)有公布,这也方便最终工业厂商参考该列表进行工控设备选型,可以有效提升整个工控产业的安全保障。
2 欧洲工业控制产品信息安全认证
全球领先的第三方检测认证机构TÜV南德意志集团(以下简称“TÜV南德”)根据IEC 62443系列标准为西门子过程控制系统——Simatic PCS 7颁发证书,这是世界范围内首个产品获得此类TÜV证书。该证书的颁发证明西门子产品符合IEC 62443-4-1及IEC 62443-3-3安全标准的要求。Simatic PCS 7是一个可对持续制造过程进行监控的过程控制系统,必须具备功能安全和工业信息安全的高要求。国际标准IEC 62443的出台首次为工业自动化和控制系统方面的工业信息安全认证提供了基础,该系列标准针对工厂/系统,集成商/服务提供商以及制造商的工业信息安全提出了严格要求,其中,对制造商的认证基于IEC 62443-4-1,对系统集成商的认证基于62443-2-4,而对系统安全功能的评估则依据IEC 62443-3-3。西门子此次获得的基于IEC 62443-4-1及63443-3-3标准的认证,表明TÜV南德专家确认Simatic PCS 7过程控制系统符合IEC 62443-4-1及63443-3-3标准的相关要求。同时,TÜV南德专家也根据IEC 62443-3-3标准,对Simatic PCS 7已实现的安全功能进行了评估。之后定期进行的审查则将确保Simatic PCS 7在未来仍满足工业信息安全的相关要求。通过IEC 62443认证过程,西门子对其工业自动化产品的安全方法进行了文档记录,为集成商和运营商提供关于工业安全措施方面的指导。
3 我国工业控制产品信息安全认证
在工业信息安全产品,如工业防火墙、工业隔离网关等方面,我国目前比较通用性的证书有CCC产品认证,计算机信息安全产品销售许可证、中国信息安全认证中心颁发的IT信息产品安全认证,其他比较具有行业特殊性的如电力行业中国电科院颁发的电力行业信息安全产品认证、国家保密科技测评中心颁发的涉密系统信息安全产品认证、解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》等,但是以上均为针对信息安全产品的测评认证,目前为止,除中国信息安全认证中心外,均无对于工业控制产品的信息安全认证。
4 我国工业控制产品信息安全认证展望
我国在工业信息安全领域起步较晚,但是发展较快,这在很大程度上得益于政策支持。随着《网络安全法》的实施,2017年6月,国家互联网信息办公室、工信部、公安部、认监委四部门联合出台了《关于发布<网络关键设备和网络安全专用产品目录(第一批)>的公告》,PLC作为名录中唯一的工业控制产品榜上有名,据此推测,在不久的将来,工业控制产品的信息安全认证市场将会迎来快速增长。
美国和欧洲的认证制度以及认证方式对我国产品认证具有重要借鉴意义,但是我们需要结合目前我国产品认证的现状,制定针对我国市场的认证体系。笔者结合自身的经验,对未来产品认证提出以下几点注意事项:
4.1 充分认识标准在产品认证中的作用
标准作为产品认证的主要依据,在产品认证体系中具有基础性和标杆性作用。“产品认证,标准先行”,只有具有比较可靠的标准,才能在实际检测认证过程中具有影响力和说服力。目前国外工控安全领域比较著名的标准如NIST SP 800-82以及IEC62443系列标准,国内的如全国信息安全技术标准化委员会(TC260)发布的《GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南》等均可以进行借鉴。
4.2 加强产品认证能力及队伍建设
产品认证能力作为政府部门以及第三方测评机构提供社会公信力的一个有效手段,代表着国家在此方面的总体技术实力。此外我们还要加强产品认证队伍建设,保证认证过程以及认证结果的可信性。
4.3 推进产品认证培训
使生产者、销售者及使用者广泛了解相关的认证制度及认证体系。产品认证的最终受益者是产品的使用者、销售者以及生产者,在认证初期,要加大宣传力度,对产品使用者以及生产者加强引导,提高其对产品认证的目的以及意义的认识。
来源:工业信息安全产业联盟
转载请注明出处
