各国重点关注设备和产品的安全合规性、功能性、安全保证性、可控性等方面,划分功能等级和保证等级以满足不同部门、行业和用户的需求,其中功能和安全保证评估是评价认证的核心内容 。美国、欧洲和国际标准化组织都在建立基于评估的“保护剖面”,强调功能评估和安全评估,并分别进行分级 。国际标准化组织推出的国际通用标准是目前最全面的评价标准,与ITSEC一起成为通用评价方法 。此外,美国、德国等国家注重实施国防、政府、企业共享的评价体系,通过划分等级和大纲,满足不同对象的安全要求 。
在工业互联网设备的安全评价和认证方面,国际组织和一些国家已经建立了自己的认证体系 。(1) ISA Secure认证体系是由国际自动化协会安全合规协会(ISCI)推动的国际认可体系,旨在提供通用的工业设备认证,处理工业设备的安全要求,简化业主的设备采购流程和设备供应商的设备保险流程[14];ISA Secure独立认证工业自动化和控制产品和系统,以确保网络攻击防护能力并消除已知漏洞 。② NIST认证体系是指由NIST牵头,相关行业主管部门和行业协会参与的标准认证体系,涵盖国家标准、行业规范、检测认证;实施方面,推动形成涵盖电力、天然气、石油、核能等行业的安全标准认证体系,成为美国乃至国际安全界广泛认可的事实标准和权威指南 。③莱茵认证体系是指由德国技术监督协会(受德国政府授权和委托)对工业设备和技术产品进行的安全认证和质量保证评估审核;为嵌入式系统及设备、智能电子设备、工业信息技术安全检测、渗透测试、风险分析、安全手册、安全培训等服务提供认证服务,涵盖航空空航空航天、汽车运输、化工、能源、制造及工业机械、电力等领域 。
四、我国工业互联网设备安全领域的发展及问题
(一)安全监督审查的基本情况
在安全监管方面,《网络安全法》、《网络安全审查办法》等国家法律法规相继出台,逐步确立了关键信息基础设施网络安全审查办法和网络安全关键设备、专用产品的强制性测试认证要求 。《网络安全重点网络设备和专用产品目录(第一批)》要求,上市设备或产品必须按照国家相关标准的强制性要求,经有资质的机构通过安全认证或安全测试符合要求后,方可销售或提供[15] 。在政策要求方面,《关于加强工业互联网安全的指导意见》要求,加强工业生产、主机、智能终端等设备的安全接入和保护,加强控制网络协议、设备和工业软件的安全,推动设备制造商、自动化集成商和安全企业合作,提高设备和控制系统的内在安全性[16] 。
(二)安全检查和认证的基本情况
而网络安全评估认证体系主要由国家认证认可监督管理委员会管理,由国家信息安全评估认证监督管理委员会、中国网络安全审查技术与认证中心、相关实验室、评估机构共同推进实施,基本形成监管机构、国家认证实体、授权评估机构的综合推进体系 。还需要注意的是,现有的评估认证体系侧重于医疗等部分行业的通用基础设备产品和专用关键设备,对工业控制设备、大型自动化设备、工业网络通信设备等关键工业互联网设备缺乏标准化、通用化的网络安全评估认证 。
关于工业互联网设备安全相关的标准和评估,我国发布了《工业控制系统专用防火墙技术要求》、《信息安全技术》、《工业控制系统测控终端安全要求》、《电力监控系统安全保护规定》等相关国家和行业标准 。在物联网设备终端安全防护方面,我国发布了《信息安全技术》、《智能网联设备密码保护指南》、《信息安全技术》、《网络与终端设备隔离组件》等标准或指南 。近年来,中国信息通信研究院等单位推动发布《工业互联网设备安全防护要求》等标准,开展工业互联网设备安全测试评估,建立工业互联网安全评估机构和团队 。
(三)存在问题分析
【工业互联网设备的网络安全管理与防护研究 网络设备安全】一是工业互联网设备安全缺乏专门的管理方法和检测认证体系 。行业主管部门虽然制定了相关政策和标准,但强制性要求和系统性不足,对新技术、新应用形式缺乏网络安全适应性要求 。工业互联网设备的安全防护基本处于行业自律水平 。
二是重点网络设备和安全产品目录对重点工业互联网设备覆盖不足,未纳入目录的产品缺乏必要、系统的网络安全审查 。工业生产设备、关键设备、工业互联网安全专用产品等关键设备产品的安全防护能力难以保障,使得工业生产经营面临安全威胁,设备供应链存在未知风险 。
推荐阅读
- 如何利用互联网思维经营餐饮业 互联网餐饮营销模式
- 我国深圳100强企业入围名单公布 深圳互联网企业100强
- 这些经典的互联网广告创意文案你看过几个? 网络推广经典广告语
- 移动网络卡怎么设置 移动上网设置
- 赚钱最快的三种商业模式? 移动互联网盈利模式
- 如何查询网络设备的ip地址? 如何查看DNS服务器地址以及IP地址
- 工厂安全管理:方案、制度、流程、标准模板 工业安全管理
- 十大网络营销公司排名 互联网推广公司排名
- 互联网支付牌照109家信息汇总 互联网支付牌照
- 电力设备检修维护工作要点 电厂设备检修