今日頭條
官方微信
官方抖音
資訊頻道產(chǎn)品認(rèn)證制度在產(chǎn)品生產(chǎn)、銷售以及使用中具有重要作用。企業(yè)生產(chǎn)的產(chǎn)品獲得產(chǎn)品認(rèn)證證書,表明該產(chǎn)品符合相應(yīng)的標(biāo)準(zhǔn)和技術(shù)要求。第三方測(cè)評(píng)機(jī)構(gòu)依據(jù)產(chǎn)品評(píng)估準(zhǔn)則和相關(guān)技術(shù)要求,對(duì)產(chǎn)品的性能進(jìn)行評(píng)價(jià),旨在保護(hù)用戶信息安全,維護(hù)用戶利益。同時(shí),產(chǎn)品認(rèn)證標(biāo)志也是企業(yè)通向市場(chǎng)的鑰匙。信息安全認(rèn)證是為了證明某一種產(chǎn)品具備信息安全方面的能力及技術(shù)要求。在傳統(tǒng)信息安全領(lǐng)域,大多數(shù)著名廠商都已經(jīng)通過相關(guān)產(chǎn)品認(rèn)證,如公安部計(jì)算機(jī)系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心的銷售許可證,部分廠商還已經(jīng)獲得由中國信息安全認(rèn)證中心(ISCCC)頒發(fā)的IT產(chǎn)品信息安全認(rèn)證,表明其具備更高一級(jí)的信息安全保護(hù)能力。目前,和利時(shí)、匡恩、海天煒業(yè)、珠海鴻瑞等國內(nèi)工控安全廠商的工業(yè)防火墻、工業(yè)隔離網(wǎng)關(guān)等工業(yè)信息安全產(chǎn)品均已獲得該認(rèn)證。中國信息安全認(rèn)證中心的IT產(chǎn)品信息安全認(rèn)證也包括工業(yè)控制產(chǎn)品的部分,據(jù)悉,目前國內(nèi)僅有中電聯(lián)宇裝備科技(北京)有限公司的超御N系列PLC產(chǎn)品通過了這一認(rèn)證。
一、美國工業(yè)控制產(chǎn)品信息安全認(rèn)證
美國工業(yè)控制產(chǎn)品信息安全認(rèn)證主要是ISASecure認(rèn)證。ISA是國際自動(dòng)化學(xué)會(huì)的簡(jiǎn)稱,其為工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施中使用的自動(dòng)控制系統(tǒng)提供改善管理、安全和網(wǎng)絡(luò)安全工程技術(shù)標(biāo)準(zhǔn)。ISASecure認(rèn)證是ISCI基于 IEC62443 標(biāo)準(zhǔn)開發(fā)的合規(guī)性認(rèn)證,是目前工業(yè)控制領(lǐng)域最具權(quán)威安全認(rèn)證。ISASecure認(rèn)證包括嵌入設(shè)備安全保障認(rèn)證、系統(tǒng)安全保障認(rèn)證和安全開發(fā)生命周期保障認(rèn)證三大類。嵌入設(shè)備安全保障認(rèn)證(Embedded Device Security Assurance,EDSA),側(cè)重設(shè)備級(jí)別的安全性保障,認(rèn)證對(duì)象是獨(dú)立的工控設(shè)備,比如PLC等。系統(tǒng)安全保障認(rèn)證(System Security Assurance,SSA),側(cè)重系統(tǒng)級(jí)別的安全性保障,認(rèn)證對(duì)象是工控系統(tǒng),比如DCS、SCADA、SIS等。安全開發(fā)生命周期保障認(rèn)證(Security Development Lifecycle Assurance,SDLA),側(cè)重安全開發(fā)過程的保障,確保安全被正確地設(shè)計(jì)和落地,認(rèn)證對(duì)象是研發(fā)團(tuán)隊(duì)。目前EDSA認(rèn)證推廣得比較好,有9個(gè)廠商的19款產(chǎn)品獲得EDSA認(rèn)證,包括:Honeywell、Schneider、Yokogawa、TOSHIBA、RTP、Hitachi、HIMA、Azbil、Beijing Consen。ISASecure為每一類認(rèn)證都定義了一套詳細(xì)的規(guī)范文檔及測(cè)試用例,方便廠家對(duì)照規(guī)范進(jìn)行自檢。所有經(jīng)過認(rèn)證的產(chǎn)品或系統(tǒng),都在ISASecure的官網(wǎng)(www.isasecure.org)有公布,這也方便最終工業(yè)廠商參考該列表進(jìn)行工控設(shè)備選型,可以有效提升整個(gè)工控產(chǎn)業(yè)的安全保障。
二、歐洲工業(yè)控制產(chǎn)品信息安全認(rèn)證
全球領(lǐng)先的第三方檢測(cè)認(rèn)證機(jī)構(gòu)TüV南德意志集團(tuán)(以下簡(jiǎn)稱“TüV南德”)根據(jù)IEC 62443系列標(biāo)準(zhǔn)為西門子過程控制系統(tǒng)——Simatic PCS 7頒發(fā)證書,這是世界范圍內(nèi)首個(gè)產(chǎn)品獲得此類TüV證書。該證書的頒發(fā)證明西門子產(chǎn)品符合IEC 62443-4-1及IEC 62443-3-3安全標(biāo)準(zhǔn)的要求。Simatic PCS 7是一個(gè)可對(duì)持續(xù)制造過程進(jìn)行監(jiān)控的過程控制系統(tǒng),必須具備功能安全和工業(yè)信息安全的高要求。國際標(biāo)準(zhǔn)IEC 62443的出臺(tái)首次為工業(yè)自動(dòng)化和控制系統(tǒng)方面的工業(yè)信息安全認(rèn)證提供了基礎(chǔ),該系列標(biāo)準(zhǔn)針對(duì)工廠/系統(tǒng),集成商/服務(wù)提供商以及制造商的工業(yè)信息安全提出了嚴(yán)格要求,其中,對(duì)制造商的認(rèn)證基于IEC 62443-4-1,對(duì)系統(tǒng)集成商的認(rèn)證基于62443-2-4,而對(duì)系統(tǒng)安全功能的評(píng)估則依據(jù)IEC 62443-3-3。西門子此次獲得的基于IEC 62443-4-1及63443-3-3標(biāo)準(zhǔn)的認(rèn)證,表明TüV南德專家確認(rèn)Simatic PCS 7過程控制系統(tǒng)符合IEC 62443-4-1及63443-3-3標(biāo)準(zhǔn)的相關(guān)要求。同時(shí),TüV南德專家也根據(jù)IEC 62443-3-3標(biāo)準(zhǔn),對(duì)Simatic PCS 7已實(shí)現(xiàn)的安全功能進(jìn)行了評(píng)估。之后定期進(jìn)行的審查則將確保Simatic PCS 7在未來仍滿足工業(yè)信息安全的相關(guān)要求。通過IEC 62443認(rèn)證過程,西門子對(duì)其工業(yè)自動(dòng)化產(chǎn)品的安全方法進(jìn)行了文檔記錄,為集成商和運(yùn)營商提供關(guān)于工業(yè)安全措施方面的指導(dǎo)。
三、我國工業(yè)控制產(chǎn)品信息安全認(rèn)證
在工業(yè)信息安全產(chǎn)品,如工業(yè)防火墻、工業(yè)隔離網(wǎng)關(guān)等方面,我國目前比較通用性的證書有CCC產(chǎn)品認(rèn)證,計(jì)算機(jī)信息安全產(chǎn)品銷售許可證、中國信息安全認(rèn)證中心頒發(fā)的IT信息產(chǎn)品安全認(rèn)證,其他比較具有行業(yè)特殊性的如電力行業(yè)中國電科院頒發(fā)的電力行業(yè)信息安全產(chǎn)品認(rèn)證、國家保密科技測(cè)評(píng)中心頒發(fā)的涉密系統(tǒng)信息安全產(chǎn)品認(rèn)證、解放軍信息安全測(cè)評(píng)認(rèn)證中心頒發(fā)的《軍用信息安全產(chǎn)品認(rèn)證證書》等,但是以上均為針對(duì)信息安全產(chǎn)品的測(cè)評(píng)認(rèn)證,目前為止,除中國信息安全認(rèn)證中心外,均無對(duì)于工業(yè)控制產(chǎn)品的信息安全認(rèn)證。
四、我國工業(yè)控制產(chǎn)品信息安全認(rèn)證展望
我國在工業(yè)信息安全領(lǐng)域起步較晚,但是發(fā)展較快,這在很大程度上得益于政策支持。隨著《網(wǎng)絡(luò)安全法》的實(shí)施,2017年6月,國家互聯(lián)網(wǎng)信息辦公室、工信部、公安部、認(rèn)監(jiān)委四部門聯(lián)合出臺(tái)了《關(guān)于發(fā)布<網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄(第一批)>的公告》,PLC作為名錄中唯一的工業(yè)控制產(chǎn)品榜上有名,據(jù)此推測(cè),在不久的將來,工業(yè)控制產(chǎn)品的信息安全認(rèn)證市場(chǎng)將會(huì)迎來快速增長(zhǎng)。
美國和歐洲的認(rèn)證制度以及認(rèn)證方式對(duì)我國產(chǎn)品認(rèn)證具有重要借鑒意義,但是我們需要結(jié)合目前我國產(chǎn)品認(rèn)證的現(xiàn)狀,制定針對(duì)我國市場(chǎng)的認(rèn)證體系。筆者結(jié)合自身的經(jīng)驗(yàn),對(duì)未來產(chǎn)品認(rèn)證提出以下幾點(diǎn)注意事項(xiàng):
第一,充分認(rèn)識(shí)標(biāo)準(zhǔn)在產(chǎn)品認(rèn)證中的作用。
標(biāo)準(zhǔn)作為產(chǎn)品認(rèn)證的主要依據(jù),在產(chǎn)品認(rèn)證體系中具有基礎(chǔ)性和標(biāo)桿性作用。“產(chǎn)品認(rèn)證,標(biāo)準(zhǔn)先行”,只有具有比較可靠的標(biāo)準(zhǔn),才能在實(shí)際檢測(cè)認(rèn)證過程中具有影響力和說服力。目前國外工控安全領(lǐng)域比較著名的標(biāo)準(zhǔn)如NIST SP 800-82以及IEC62443系列標(biāo)準(zhǔn),國內(nèi)的如全國信息安全技術(shù)標(biāo)準(zhǔn)化委員會(huì)(TC260)發(fā)布的《GB/T 32919-2016 信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》等均可以進(jìn)行借鑒。
第二,加強(qiáng)產(chǎn)品認(rèn)證能力及隊(duì)伍建設(shè)。
產(chǎn)品認(rèn)證能力作為政府部門以及第三方測(cè)評(píng)機(jī)構(gòu)提供社會(huì)公信力的一個(gè)有效手段,代表著國家在此方面的總體技術(shù)實(shí)力。此外我們還要加強(qiáng)產(chǎn)品認(rèn)證隊(duì)伍建設(shè),保證認(rèn)證過程以及認(rèn)證結(jié)果的可信性。
第三,推進(jìn)產(chǎn)品認(rèn)證培訓(xùn)。使生產(chǎn)者、銷售者及使用者廣泛了解相關(guān)的認(rèn)證制度及認(rèn)證體系。產(chǎn)品認(rèn)證的最終受益者是產(chǎn)品的使用者、銷售者以及生產(chǎn)者,在認(rèn)證初期,要加大宣傳力度,對(duì)產(chǎn)品使用者以及生產(chǎn)者加強(qiáng)引導(dǎo),提高其對(duì)產(chǎn)品認(rèn)證的目的以及意義的認(rèn)識(shí)。
如果您想要了解更多有關(guān)于工業(yè)控制產(chǎn)品認(rèn)證業(yè)務(wù),歡迎來電業(yè)務(wù)咨詢:010-64102322,010-64102327
北京市公安局海淀分局備案號(hào):11010802023656號(hào)