今日頭條
官方微信
官方抖音
資訊頻道產品認證制度在產品生產、銷售以及使用中具有重要作用。企業生產的產品獲得產品認證證書,表明該產品符合相應的標準和技術要求。第三方測評機構依據產品評估準則和相關技術要求,對產品的性能進行評價,旨在保護用戶信息安全,維護用戶利益。同時,產品認證標志也是企業通向市場的鑰匙。信息安全認證是為了證明某一種產品具備信息安全方面的能力及技術要求。在傳統信息安全領域,大多數著名廠商都已經通過相關產品認證,如公安部計算機系統安全產品質量監督檢驗中心的銷售許可證,部分廠商還已經獲得由中國信息安全認證中心(ISCCC)頒發的IT產品信息安全認證,表明其具備更高一級的信息安全保護能力。目前,和利時、匡恩、海天煒業、珠海鴻瑞等國內工控安全廠商的工業防火墻、工業隔離網關等工業信息安全產品均已獲得該認證。中國信息安全認證中心的IT產品信息安全認證也包括工業控制產品的部分,據悉,目前國內僅有中電聯宇裝備科技(北京)有限公司的超御N系列PLC產品通過了這一認證。
一、美國工業控制產品信息安全認證
美國工業控制產品信息安全認證主要是ISASecure認證。ISA是國際自動化學會的簡稱,其為工業和關鍵基礎設施中使用的自動控制系統提供改善管理、安全和網絡安全工程技術標準。ISASecure認證是ISCI基于 IEC62443 標準開發的合規性認證,是目前工業控制領域最具權威安全認證。ISASecure認證包括嵌入設備安全保障認證、系統安全保障認證和安全開發生命周期保障認證三大類。嵌入設備安全保障認證(Embedded Device Security Assurance,EDSA),側重設備級別的安全性保障,認證對象是獨立的工控設備,比如PLC等。系統安全保障認證(System Security Assurance,SSA),側重系統級別的安全性保障,認證對象是工控系統,比如DCS、SCADA、SIS等。安全開發生命周期保障認證(Security Development Lifecycle Assurance,SDLA),側重安全開發過程的保障,確保安全被正確地設計和落地,認證對象是研發團隊。目前EDSA認證推廣得比較好,有9個廠商的19款產品獲得EDSA認證,包括:Honeywell、Schneider、Yokogawa、TOSHIBA、RTP、Hitachi、HIMA、Azbil、Beijing Consen。ISASecure為每一類認證都定義了一套詳細的規范文檔及測試用例,方便廠家對照規范進行自檢。所有經過認證的產品或系統,都在ISASecure的官網(www.isasecure.org)有公布,這也方便最終工業廠商參考該列表進行工控設備選型,可以有效提升整個工控產業的安全保障。
二、歐洲工業控制產品信息安全認證
全球領先的第三方檢測認證機構TüV南德意志集團(以下簡稱“TüV南德”)根據IEC 62443系列標準為西門子過程控制系統——Simatic PCS 7頒發證書,這是世界范圍內首個產品獲得此類TüV證書。該證書的頒發證明西門子產品符合IEC 62443-4-1及IEC 62443-3-3安全標準的要求。Simatic PCS 7是一個可對持續制造過程進行監控的過程控制系統,必須具備功能安全和工業信息安全的高要求。國際標準IEC 62443的出臺首次為工業自動化和控制系統方面的工業信息安全認證提供了基礎,該系列標準針對工廠/系統,集成商/服務提供商以及制造商的工業信息安全提出了嚴格要求,其中,對制造商的認證基于IEC 62443-4-1,對系統集成商的認證基于62443-2-4,而對系統安全功能的評估則依據IEC 62443-3-3。西門子此次獲得的基于IEC 62443-4-1及63443-3-3標準的認證,表明TüV南德專家確認Simatic PCS 7過程控制系統符合IEC 62443-4-1及63443-3-3標準的相關要求。同時,TüV南德專家也根據IEC 62443-3-3標準,對Simatic PCS 7已實現的安全功能進行了評估。之后定期進行的審查則將確保Simatic PCS 7在未來仍滿足工業信息安全的相關要求。通過IEC 62443認證過程,西門子對其工業自動化產品的安全方法進行了文檔記錄,為集成商和運營商提供關于工業安全措施方面的指導。
三、我國工業控制產品信息安全認證
在工業信息安全產品,如工業防火墻、工業隔離網關等方面,我國目前比較通用性的證書有CCC產品認證,計算機信息安全產品銷售許可證、中國信息安全認證中心頒發的IT信息產品安全認證,其他比較具有行業特殊性的如電力行業中國電科院頒發的電力行業信息安全產品認證、國家保密科技測評中心頒發的涉密系統信息安全產品認證、解放軍信息安全測評認證中心頒發的《軍用信息安全產品認證證書》等,但是以上均為針對信息安全產品的測評認證,目前為止,除中國信息安全認證中心外,均無對于工業控制產品的信息安全認證。
四、我國工業控制產品信息安全認證展望
我國在工業信息安全領域起步較晚,但是發展較快,這在很大程度上得益于政策支持。隨著《網絡安全法》的實施,2017年6月,國家互聯網信息辦公室、工信部、公安部、認監委四部門聯合出臺了《關于發布<網絡關鍵設備和網絡安全專用產品目錄(第一批)>的公告》,PLC作為名錄中唯一的工業控制產品榜上有名,據此推測,在不久的將來,工業控制產品的信息安全認證市場將會迎來快速增長。
美國和歐洲的認證制度以及認證方式對我國產品認證具有重要借鑒意義,但是我們需要結合目前我國產品認證的現狀,制定針對我國市場的認證體系。筆者結合自身的經驗,對未來產品認證提出以下幾點注意事項:
第一,充分認識標準在產品認證中的作用。
標準作為產品認證的主要依據,在產品認證體系中具有基礎性和標桿性作用。“產品認證,標準先行”,只有具有比較可靠的標準,才能在實際檢測認證過程中具有影響力和說服力。目前國外工控安全領域比較著名的標準如NIST SP 800-82以及IEC62443系列標準,國內的如全國信息安全技術標準化委員會(TC260)發布的《GB/T 32919-2016 信息安全技術 工業控制系統安全控制應用指南》等均可以進行借鑒。
第二,加強產品認證能力及隊伍建設。
產品認證能力作為政府部門以及第三方測評機構提供社會公信力的一個有效手段,代表著國家在此方面的總體技術實力。此外我們還要加強產品認證隊伍建設,保證認證過程以及認證結果的可信性。
第三,推進產品認證培訓。使生產者、銷售者及使用者廣泛了解相關的認證制度及認證體系。產品認證的最終受益者是產品的使用者、銷售者以及生產者,在認證初期,要加大宣傳力度,對產品使用者以及生產者加強引導,提高其對產品認證的目的以及意義的認識。
如果您想要了解更多有關于工業控制產品認證業務,歡迎來電業務咨詢:010-64102322,010-64102327
北京市公安局海淀分局備案號:11010802023656號