IEC 62443工业信息安全认证:产品供应商
针对:工控产品供应商、研发部门、产品部门
认证:产品,研发流程
认证类型 |
认证对象 |
参考标准 |
流程 |
通用研发流程 |
IEC 62443-4-1 |
产品或系统 |
产品 工业通讯模块、工业主机、控制器、工控软件、嵌入式工控设备等 |
IEC 62443-4-1 IEC 62443-4-2 |
产品或系统 |
产品级系统 空调控制系统,工业机器人等 |
IEC 62443-4-1 IEC 62443-3-3 |
针对:工控集成供应商、工程部门
认证:集成系统/方案,集成能力
认证类型 |
认证对象 |
参考标准 |
流程 |
集成流程 |
IEC 62443-2-4 |
产品或系统 |
典型的集成系统 变电站自动化系统、核电DCS系统、汽车工业生产系统等 |
IEC 62443-2-4 IEC 62443-3-3 |
项目案例:全球首批IEC 62443认证
其中,X公司工业集团的工控系统及组件PCS7 获得产品认证,X能源集团获得变电站自动化解决方案认证。
截止2017年8月,X公司共有18个研发及制造中心获得基于通用的产品全生命周期研发管理流程的认证。
证书持有者
▪ X公司(产品生产商)
认证对象
工业自动化产品:
▪ SIMATIC PCS 7
参考标准
▪ IEC 62443-4-1
▪ IEC 62443-3-3
认证企业
▪ X公司(作为设备厂家) 全球18个研发制造中心
认证对象
通用的产品全生命周期研发管理流程
▪ Secure Product Development Life Cycle
参照标准
▪ IEC 62443-4-1
▪ X公司(系统集成商)
认证对象
安全变电站自动化系统,包括变电站自动化设备:
▪ SICAM PAS/PQS, AK3
▪ HMI: SICAM SCC
▪ Protection Relay: SIPROTEC 5
▪ Router/Firewall: RUGGEDCOM
▪ Switch: RUGGEDCOM
参考标准
▪ IEC 62443-2-4
▪ IEC 62443-3-3
HW电子电气网络安全白皮书
ETSI EN 303 645 物联网安全要求
一、标准介绍
近日,欧洲委员会通过了一项 RED 指令补充授权草案,制造商在相关产品的设计和生产中必须考虑到相关的网络安全要求。该草案旨在确保所有无线设备在进入欧盟市场前都是安全的,保护公民隐私和个人数据,降低金融欺诈风险,并确保通信网络有更好的弹性。如果欧洲理事会和议会没有异议,该草案将在两个月的审查期后生效。当法案正式生效后,制造商将有 30 个月的过渡期去满足新法案,即预计将于 2024 年中旬以后,规定的产品须符合要求。
目前 ETSI(欧洲电信标准化协会)已发布针对消费类物联网安全的基线标准 ETSI EN 303 645 和评估标准 ETSI TS 103 701。标准总共包括 68 个测评项目,被分成 14 块领域,其中 33 项为暂定强制项目,35 项为推荐项目。标准体系如图 1 所示,这 14 个章节为:不允许通用缺省密码、管理漏洞报告的实施方法、维持软件更新、安全地存储敏感安全参数、通信安全性、最小暴露攻击面、软件完整性保证、个人数据安全保证、系统对于中断的恢复、检查系统遥测数据、用户数据删除的便利性、安装和维护设备的便利性、验证输入数据、消费类IOT 个人隐私数据的保护:
ETSI EN 303 645提供了一套适用于所有消费者物联网设备的基线规定。旨在通过其他标准对其进行补充,如 ETSI TS 103 701。这些标准定义了更具体的规定以及特定装置的完全可测试和/或可验证的要求,与标准一起,将有助于制定设计及验证计划。
对于标准所囊括的范围,从文本定义角度描述即为:网络连接(和网络可连接)设备,与相关服务有关系,消费者通常在家中或作为电子可穿戴设备使用。
注 1:消费者物联网设备通常也用于商业环境。这些设备仍被归类为消费物联网设备。
注 2:消费者物联网设备通常可供消费者在零售环境中购买。消费者物联网设备也可以进行专业调试和/或安装。
从用户熟悉行业认知看,消费者物联网普遍分布于家电、安防、影视娱乐、旅行等行业,这些行业跟消费者个人生活更为紧密,影响也更为直接。
从第三方评测的角度而言,标准对于该类产品定义了一个标准框架,如图所示:
一般而言,ETSI EN 303 645 关注框架左侧家庭内部的部分,相关认证也是基于这部分及对这部分有影响的部分展开。同时,设备模组等与 App 应用有时也会分开考量其适用性。而对于云端或平台端的安全要求,一般不在评测的范围内。
二、针对该领域的HW方向
针对不同客户在网络安全领域的不同需求,HW设计了多种形式的方案。对于需要定义自己网络安全技术开发策略的客户,我们鼓励通过厂商及关键人员参与 HW的研讨会/培训及咨询来积累相关技术概念; 而对于正在开发涉及网络安全产品的厂商,尽早启动认证准备,有助于减少整改成本及建立行业优势。 而如果要最终通过认证,就需要通过 HW的白盒测试方案。白盒测评需要客户填写完整的导入文档,并且测评机构会有完整的测试用例。HW最终会帮助客户获取经由欧洲签署的符合性证书。
这其中,有一部分厂商鉴于自身技术限制,希望借助第三方测评机构的主导,站在最终使用者的角度理解差距,发现产品漏洞。我们建议此类用户进行黑盒测评,最终获取黑盒测评报告。黑盒测试只需要厂商提供最小必要文档及样品,完整的导入文档及最小必要文档将会在第 3 章进行详细介绍。
白盒测评按照测试属性分为概念测试和功能测试,概念测试的宗旨是检查制造商是否通过设计出的架构、功能逻辑来满足标准要求;功能测试的宗旨是检查设备的实现情况,检查设计实施是否正确。按照测试手段进行区分,网络安全测试通常包括渗透测试、Fuzzing 测试、抓包、漏洞扫描等。渗透测试是通过模拟恶意黑客的攻击方式,来评估网路系统安全性的方法,这个过程包括对系统的任何弱点、技术缺陷或者漏洞的主动分析。尤其在厂商提供了基础技术材料额前提下,渗透测试基本能够掌握 产品的网络安全防护能力,从而给用例判定提供支撑。
三、实现路径与材料指南
在整个认证及测评过程中,HW鼓励采取灵活及形式多样的取证方式,包括:文档、截图、脚本程序的执行、模拟运行环境及功能、会议纪要等。这些活动需要厂商的网络安全小组成员与测评机构共同配合完成。以下是完整导入文档和最小必要文档涉及的活动主题:
活动主题 1:不能用通用缺省密码
对鉴权机制的设计是保证产品安全的关键一环,首先我们需要清楚知道哪些环节涉及鉴权需求,有时这些环节不仅仅存在于WEB 页面,还在设备配对环节出现。申请厂商需要能够详细描述所有缺省密码的生成、加密、设置、修改、报废的原则,这些原则最终能够抵御暴力破解等形式的攻击。这就要求密码应当具备一定的复杂性(长度、大小写、不包含公开信息、不在通常预设密码的常识内、多因素鉴权)。同时,利用最新标准通信协议所固有的安全算法,或者自研符合行业最佳实践的加密机制,都是对用户密码在传输保存过程中的一种保护。
活动主题 2:漏洞报告及预警
漏洞报告及预警制度是消除用户对网络安全风险担忧的一种有效途径,同时也彰显了产品厂商的技术自信。ETSI EN 303645 需要申请厂商能够建立起这样一个制度,具体包括有能够公开漏洞修复情况的网页,在有相关人员提交漏洞报告后的具体流程步骤,以及及时响应的时间框架等。这些漏洞修复记录也持续性展现了产品网络安全的优化,给第三方测评提供了参考依据。
活动主题 3:保持软件更新
越来越多的物联网终端产品采用OTA 技术来升级以满足消费者日新月异的需求。同时,自动更新机制也成为黑客攻击物联网设备的优选路径,申请厂商应格外重视该项功能的机制建设。测评时需要对以下问题进行具体描述澄清:
a) 哪些软件组件需要进行更新;
b) 软件(固件)更新的频率、是否是自动更新(关闭、开启及推迟)、用户设置路径、错误提示、等;
c) 软件更新安全保护策略,是否使用密钥或签名机制,所依赖的协议安全性等;
d) 是否有防回滚的机制;
e) 更新对现有功能运行的影响。
一个 OTA 最佳实践往往与用户使用、安全流程及产品底层架构很好地配合,而测评机构更需要从概念及功能两方面入手验证其安全性。
活动主题 4:安全地存储安全敏感参数
标准中提出了安全敏感参数的概念,目前的物联网架构涉及的具体体现包括密钥、密码、证书、签名等,内容虽然与别的章节有交集,但标准专门针对此类内容进行要求,目的是通过本次认证进一步进行审核,但安全参数作为重要信息载体及载体获取手段,必须加以重视。厂商的安全小组应当能够具体描述其如何生成的、传输及存储的(硬编码或其他提供方式),存储的同时是否设置了防篡改及防监听机制以保证其完整性和安全性等。同时,厂商应能够配合测评机构搜集齐相关证据,以证明与设计的一致性。
活动主题 5:最小暴露攻击面
就像一场精彩的足球比赛,攻和防是永恒的主题。黑客就像敌军的前锋,时刻准备着给我们的防线撕开一条裂口。而更少的攻击面暴露,无疑能达到我们事半功倍的效果。设备的接口暴露包含着众多类型和层次,包括:
a) 调试接口;
b) 网络端口、逻辑接口(API)、物理接口及缝隙。
厂商需要排摸清楚哪些接口是有足够理由必要开启的,它们的缺省情况,以及开启的接口是否释放了一些不能公开的信息和数据。这些活动的重点在于不能有遗漏与特殊情况,第三方测评机构的参与也是帮助开发小组进行必要梳理活动的极大推动。
硬件的防护在网络安全中扮演着特殊的角色,就如同应对新冠疫情所采用物理隔离一样,必要时必须采取非常手段,如树脂密封,外壳封闭等。
随着技术深入发展及产业化落地,很多高级设计师认识到低代码开发的重要性,第三方测评机构将会评估这些低代码政策的实际效果,是否真的有效减少了安全漏洞,而不是使得攻击变得更加容易。
安全开发流程的搭建也有助于减小暴露风险,安全开发流程注重前期的培训、中期的第三方插件管理及后期的安全验证。安全流程与传统开发流程发融合无疑给厂商带来了新的契机与挑战。
活动主题 6:通信安全性
本章同时也是对所有涉及通信传输的内容的梳理,试验室注重对这些存在的传输通道,尤其涉及对外通信的部分进行抓包测试。一般情况下,测评人员比较信任最新的标准通信协议所附带的安全性,因为其算法相对过时协议更加复杂,也更为可靠。另外,对私有协议的开发可以在一定程度上规避脚本小子们的普通攻击,但这不意味着私有协议就不需要安全算法,相反,技术保障何时都是适宜的。
活动主题 7:保证软件完整性
软件完整性是一个非常庞大的课题,标准希望引导厂商能够对此进行深一步的思考。简单的说,高完整性意味着代码:运作良好、能经受测试、有安全功能、规避安全漏洞、易于理解并遵循逻辑、易于修改和扩展而不会引入新的错误。在梳理清楚软件组件清单以后,任何启动时检出的错误,或经由SECURE-BOOT 机制产生的完整性问题都需要报警并停止进一步读取。
活动主题 8:保证个人数据的安全性
欧盟通过GDPR 法规保证了个人隐私数据主体在现代互联应用中受到保护地位。ETSI EN 303 645 在编写过程中考虑了 GDPR 的落地与引导。因此,厂商应当描述清楚个人数据的产生、类型、传输、存储及管理的具体方式,证明其过程的安全性。尤其是一些带传感器件的产品,如麦克风及摄像头,是否收集了如人脸会议录音的记录。数据主体的权利会在下面章节中继续说明。
活动主题 9:确保系统能够容灾恢复
ETSI 将系统需要能够从中恢复的破环灾害列举了电源中断、网络中断、Dos 攻击中恢复等情形。厂商应当思考如何设计一个网络连接管理机制,能够科学安排大量连接中断后的有序重连,使得遭受攻击和频繁渗透骚扰的系统能够延续可用性。
活动主题 10:检查系统遥测数据
对于设计了通过从不同运行部件收集数据的功能的设备,厂商应当能够明晰这些功能和机制是否能够读出错误的登录尝试,失败的更新尝试以及其他异常行为监测。
活动主题 11:用户删除个人数据的便捷性
根据欧盟GDPR 的要求,用户需要能够方便明晰地删除其个人数据,这里需要厂商注意的是,删除个人数据具体体现在用户交互界面上有一系列具体的要求,包括用户在删除前需要确认点击,删除后需要有删除完成的提示等。这些操作方法需要用户在操作手册等文件中清晰获得。在实践过程中,一般 App 开发者能够通过交互设计满足以上要求,而个人数据一旦进入物联模组甚至控制模组时,就需要进一步设计其擦除机制。
活动主题 12:安装和维护的便捷性
在本活动中厂商需要梳理并总结在设备安装、初始化、运行和维护中的所有用户交互决定的明细。在排摸这些明细的过程中,第三方测评机构将评估这些决定的必要性,便捷性及是否遵循安全实践。对于在说明书等公开信息内没有出现的安全操作提示,需要进一步补充。
活动主题 13:验证输入数据
ETSI EN 303 645 中的输入数据通常指可有外部应用程序使用的开放 API 及设备服务之间的 API 接入的数据,对于此类接口,厂商需要设置验证机制。
1. 工业安全
1.1 关键基础设施和信息物理系统
工业组织是我们社会的命脉。无论你经营的是能源公司、油气公司、水务公司、化工厂还是铁路:所有这些关键基础设施都通过运营技术(OT)和信息技术(IT)系统进行控制。
在工业组织中,安全性、可靠性和可用性至关重要 。HW认为,对于OT和IT系统,如果没有网络安全,安全性、可靠性和可用性便无从谈起。因此,必须防止这些系统受到黑客攻击,包括那些企图破坏国家安全的人。
由于越来越多的OT/IT系统(PLC、ICS/SCADA设备和支持组件)连接到IP网络,例如,为了监控流程或者出于(预测性)维护或计费目的,数字安全变得愈发重要。而且,随着“工业4.0”(工业物联网)的发展,我们看到许多新的、智能的、数据驱动的系统和基础设施正在开发,它们虽然优势显著,但也带来了巨大的风险。
您的所有系统、传感器和网络都需要得到充分保护 。网络犯罪不断增长,特别是在工业基础设施领域 。国家支持的黑客实施网络攻击,破坏工业基础设施,例如,破坏能源生产(乌克兰)或石油生产(沙特阿拉伯)等。勒索软件犯罪团伙也进入了工业领域。
监管机构认识到加强工业组织网络安全的必要性。在欧洲,欧盟议会于2016年通过了网络和信息安全(NIS)指令,大部分欧洲国家在2018年将该指令转变为法律。后续又补充出台了ENISA指南和IEC 62443标准。在美国,NIST、NERC和DHS发布了针对OT和ICS/SCADA领域的若干指南和标准。在航运业方面,IMO也发布了几个针对在役船舶的指南,这些指南应该很快会增加对新建船舶的要求。从这一法规发展轨迹来看,在如何评估和改善工业基础设施的网络安全方面,存在着相关法规,并有足够的标准和指南支持。
1.2 工业(OT)
安全服务有许多遗留系统,它们从来没有被设计成连接到网络和/或互联网。许多装置需要不间断地运行。有时,给系统打补丁要耗费数年时间。这给工业基础设施带来了许多挑战。HW的工业安全服务基于“人员”、“流程”和“技术”三大支柱, 涵盖IT和OT服务。
▶ 人员
▪ 安全意识和行为
▪ 网络钓鱼测试
▪ 社会工程学
▪ 培训课程:ICS/SCADA安全和实践培训
▪ 安全软件开发生命周期(SSDLC)
▶ 流程
▪ NIS / WBNI符合性审查和评估
▪ 设计评审/威胁建模/代码评审
▪ 定义OT管理(策略、政策和流程)
▪ 定义事件响应计划和业务连续性计划
▪ 支持建立OT网络安全团队和管理机构
▪ 支持OT网络投标:RFP技术规范、报价评估等。
▪ 供应商(第三方)审查/评估
▪ 航运网络安全评估和分类
☀ OT红队测试
红队测试可以在OT环境中模拟各种网络攻击。通过这一模拟,可以详细了解外部黑客的攻击路径,并训练网络防御者。
黑客如何接近我们的关键基础设施,我们能否尽早发现这一威胁,我们存在的漏洞是什么,应该如何补救?如果您的工业环境中需要解决这些问题,可以通过OT红队测试找到答案。
☀ OT站点评估
OT站点安全评估遵循国际公认的标准和最佳实践,如IEC 62443、NIST SP 800-82和ALARP,这些都是专门为工业控制、自动化和其他系统量身定制的。
OT站点评估是专门为识别站点层级风险而设计的,而不是组织层级风险。OT风险评估服务是根据IEC 62443标准的基本要求定制的, 涉及的主题领域包括内部威胁、外部暴露、OT网络流量分析、网络弹性、数据泄漏风险和网络/系统安全。
▶ 科技
▪ 威胁建模、设计/能力评审、配置评审、代码评审
▪ 在OT环境中进行红队测试
▪ 检测和响应能力及成熟度测试
▪ GDPR隐私保护
▪ BS327 California & Oregon 法规
2. 互联产品安全(IoT)
2.1 相关标准、认证和法规
随着物联网(IoT)的兴起和持续发展,世界变得愈加互联互通。“智能”设备以及与之交互的移动或WEB应用程序,还有支持它们互连的云服务,共同促进了重叠物联网生态系统的发展。物联网产品领域曾一度在功能的驱动下迅速发展。而现在,与这些产品相关的网络安全问题已不再只停留在理论层面,而会极大地影响我们在日常生活中使用这些产品。
目前,有许多国际公认的标准、框架和认证方案可以帮助制造商决定在他们的产品中加入哪些安全功能。例如,IEC 62443 系列标准已成为工业网络安全的参考标准,涵盖组件和系统。最近出台的ETSI EN 303645标准被视为消费类物联网产品的主要参考标准。此外,ISO SAE 21434 正逐渐成为互联汽车网络安全流程和功能的公认标准。
从监管的角度来看,网络安全也是一个重要议题,首批法规已出台,或即将完稿。互联车辆的网络安全和软件更新流程和功能需遵守国际UNECE法规的规定。
最后,针对消费品领域的监管要求将通过无线电设备指令(RED )制定。
HW积极投身物联网领域的研究,对该领域的标准和法规形成了成熟的观点和视角。因此,我们很乐意为物联网产品制造商提供最优的安全合规服务,满足他们的特定需求。
总结:HW提供咨询服务,帮助您在产品开发的每个阶段验证其网络安全,并提供互联设备的网络安全评估项目,解决您的后顾之忧。
2.2.1 消费品
|
▪ 设计评审 |
▪ ETSI EN 303 645 |
▪ BV IoT 1、2、3级 |
|
▪ 安全要求制定 |
▪ P-SCAN(产品漏洞扫描) |
▪ OWASP |
|
▪ 威胁建模 |
|
▪ IoXT |
|
▪ 硬件、软件和基础设施 |
|
▪ CTIA |
|
的漏洞评估和渗透测试 |
|
▪ ETSI EN 303645 |
|
|
|
▪ 通用标准(CC) |
|
|
|
▪ 无线电设备指令(RED) |
|
|
|
▪ EUROSMART IoT认证 |
2.2.2. 网络和电信设备
|
▪ 设计评审 |
▪ IEC 62443合规 |
▪ 通用标准(CC) |
|
▪ 验证和渗透测试 |
|
▪ BSPA认证 |
2.2.3. 互联汽车
|
▪ 流程评审以及起草/实施 方面的咨询服务 |
▪ ISO/SAE 21434 合规差距分析 |
▪ UNECE网络安全(R155)和软件 更新(R156)合规差距分析 |
|
▪ 有关网络安全和监管要求 的研讨会 |
|
▪ UNECE网络安全(R155)和软件 更新(R156)型式认证 |
|
▪ 车辆及其零部件的风险/ 评估 |
|
▪ 通用标准(CC) |
|
▪ 组件和系统的渗透评估 |
|
|
2.2.4. 工业产品
|
▪ 设计评审 |
▪ IEC 62443合规 |
▪ IECEE认证(IEC62443) |
|
▪ 验证和渗透测试 |
|
▪ 通用标准(CC) |
|
▪ 开发流程评审 |
|
|
|
▪ IEC 62443研讨会 |
|
|