针对:工控产品供应商、研发部门、产品部门
认证:产品,研发流程
认证类型
认证对象
参考标准
流程
通用研发流程
IEC62443-4-1
产品或系统
产品
工业通讯模块、工业主机、控制器、工控软件、嵌入式工控设备等
IEC62443-4-2
产品级系统
空调控制系统,工业机器人等
IEC62443-3-3
针对:工控集成供应商、工程部门
认证:集成系统/方案,集成能力
集成流程
IEC62443-2-4
典型的集成系统
变电站自动化系统、核电DCS系统、汽车工业生产系统等
项目案例:全球首批IEC62443认证
其中,X公司工业集团的工控系统及组件PCS7获得产品认证,X能源集团获得变电站自动化解决方案认证。
截止2017年8月,X公司共有18个研发及制造中心获得基于通用的产品全生命周期研发管理流程的认证。
证书持有者
X公司(产品生产商)
工业自动化产品:
SIMATICPCS7
认证企业
X公司(作为设备厂家)全球18个研发制造中心
通用的产品全生命周期研发管理流程
SecureProductDevelopmentLifeCycle
参照标准
X公司(系统集成商)
安全变电站自动化系统,包括变电站自动化设备:
SICAMPAS/PQS,AK3
HMI:SICAMSCC
ProtectionRelay:SIPROTEC5
Router/Firewall:RUGGEDCOM
Switch:RUGGEDCOM
HW电子电气网络安全白皮书
ETSIEN303645物联网安全要求
一、标准介绍
目前ETSI(欧洲电信标准化协会)已发布针对消费类物联网安全的基线标准ETSIEN303645和评估标准ETSITS103701。标准总共包括68个测评项目,被分成14块领域,其中33项为暂定强制项目,35项为推荐项目。标准体系如图1所示,这14个章节为:不允许通用缺省密码、管理漏洞报告的实施方法、维持软件更新、安全地存储敏感安全参数、通信安全性、最小暴露攻击面、软件完整性保证、个人数据安全保证、系统对于中断的恢复、检查系统遥测数据、用户数据删除的便利性、安装和维护设备的便利性、验证输入数据、消费类IOT个人隐私数据的保护:
ETSIEN303645提供了一套适用于所有消费者物联网设备的基线规定。旨在通过其他标准对其进行补充,如ETSITS103701。这些标准定义了更具体的规定以及特定装置的完全可测试和/或可验证的要求,与标准一起,将有助于制定设计及验证计划。
注1:消费者物联网设备通常也用于商业环境。这些设备仍被归类为消费物联网设备。
注2:消费者物联网设备通常可供消费者在零售环境中购买。消费者物联网设备也可以进行专业调试和/或安装。
从用户熟悉行业认知看,消费者物联网普遍分布于家电、安防、影视娱乐、旅行等行业,这些行业跟消费者个人生活更为紧密,影响也更为直接。
从第三方评测的角度而言,标准对于该类产品定义了一个标准框架,如图所示:
二、针对该领域的HW方向
这其中,有一部分厂商鉴于自身技术限制,希望借助第三方测评机构的主导,站在最终使用者的角度理解差距,发现产品漏洞。我们建议此类用户进行黑盒测评,最终获取黑盒测评报告。黑盒测试只需要厂商提供最小必要文档及样品,完整的导入文档及最小必要文档将会在第3章进行详细介绍。
白盒测评按照测试属性分为概念测试和功能测试,概念测试的宗旨是检查制造商是否通过设计出的架构、功能逻辑来满足标准要求;功能测试的宗旨是检查设备的实现情况,检查设计实施是否正确。按照测试手段进行区分,网络安全测试通常包括渗透测试、Fuzzing测试、抓包、漏洞扫描等。渗透测试是通过模拟恶意黑客的攻击方式,来评估网路系统安全性的方法,这个过程包括对系统的任何弱点、技术缺陷或者漏洞的主动分析。尤其在厂商提供了基础技术材料额前提下,渗透测试基本能够掌握产品的网络安全防护能力,从而给用例判定提供支撑。
三、实现路径与材料指南
在整个认证及测评过程中,HW鼓励采取灵活及形式多样的取证方式,包括:文档、截图、脚本程序的执行、模拟运行环境及功能、会议纪要等。这些活动需要厂商的网络安全小组成员与测评机构共同配合完成。以下是完整导入文档和最小必要文档涉及的活动主题:
活动主题1:不能用通用缺省密码
对鉴权机制的设计是保证产品安全的关键一环,首先我们需要清楚知道哪些环节涉及鉴权需求,有时这些环节不仅仅存在于WEB页面,还在设备配对环节出现。申请厂商需要能够详细描述所有缺省密码的生成、加密、设置、修改、报废的原则,这些原则最终能够抵御暴力破解等形式的攻击。这就要求密码应当具备一定的复杂性(长度、大小写、不包含公开信息、不在通常预设密码的常识内、多因素鉴权)。同时,利用最新标准通信协议所固有的安全算法,或者自研符合行业最佳实践的加密机制,都是对用户密码在传输保存过程中的一种保护。
活动主题2:漏洞报告及预警
活动主题3:保持软件更新
越来越多的物联网终端产品采用OTA技术来升级以满足消费者日新月异的需求。同时,自动更新机制也成为黑客攻击物联网设备的优选路径,申请厂商应格外重视该项功能的机制建设。测评时需要对以下问题进行具体描述澄清:
a)哪些软件组件需要进行更新;
b)软件(固件)更新的频率、是否是自动更新(关闭、开启及推迟)、用户设置路径、错误提示、等;
c)软件更新安全保护策略,是否使用密钥或签名机制,所依赖的协议安全性等;
d)是否有防回滚的机制;
e)更新对现有功能运行的影响。
一个OTA最佳实践往往与用户使用、安全流程及产品底层架构很好地配合,而测评机构更需要从概念及功能两方面入手验证其安全性。
活动主题4:安全地存储安全敏感参数
活动主题5:最小暴露攻击面
就像一场精彩的足球比赛,攻和防是永恒的主题。黑客就像敌军的前锋,时刻准备着给我们的防线撕开一条裂口。而更少的攻击面暴露,无疑能达到我们事半功倍的效果。设备的接口暴露包含着众多类型和层次,包括:
a)调试接口;
b)网络端口、逻辑接口(API)、物理接口及缝隙。
厂商需要排摸清楚哪些接口是有足够理由必要开启的,它们的缺省情况,以及开启的接口是否释放了一些不能公开的信息和数据。这些活动的重点在于不能有遗漏与特殊情况,第三方测评机构的参与也是帮助开发小组进行必要梳理活动的极大推动。
硬件的防护在网络安全中扮演着特殊的角色,就如同应对新冠疫情所采用物理隔离一样,必要时必须采取非常手段,如树脂密封,外壳封闭等。
随着技术深入发展及产业化落地,很多高级设计师认识到低代码开发的重要性,第三方测评机构将会评估这些低代码政策的实际效果,是否真的有效减少了安全漏洞,而不是使得攻击变得更加容易。
安全开发流程的搭建也有助于减小暴露风险,安全开发流程注重前期的培训、中期的第三方插件管理及后期的安全验证。安全流程与传统开发流程发融合无疑给厂商带来了新的契机与挑战。
活动主题6:通信安全性
本章同时也是对所有涉及通信传输的内容的梳理,试验室注重对这些存在的传输通道,尤其涉及对外通信的部分进行抓包测试。一般情况下,测评人员比较信任最新的标准通信协议所附带的安全性,因为其算法相对过时协议更加复杂,也更为可靠。另外,对私有协议的开发可以在一定程度上规避脚本小子们的普通攻击,但这不意味着私有协议就不需要安全算法,相反,技术保障何时都是适宜的。
活动主题7:保证软件完整性
软件完整性是一个非常庞大的课题,标准希望引导厂商能够对此进行深一步的思考。简单的说,高完整性意味着代码:运作良好、能经受测试、有安全功能、规避安全漏洞、易于理解并遵循逻辑、易于修改和扩展而不会引入新的错误。在梳理清楚软件组件清单以后,任何启动时检出的错误,或经由SECURE-BOOT机制产生的完整性问题都需要报警并停止进一步读取。
活动主题8:保证个人数据的安全性
欧盟通过GDPR法规保证了个人隐私数据主体在现代互联应用中受到保护地位。ETSIEN303645在编写过程中考虑了GDPR的落地与引导。因此,厂商应当描述清楚个人数据的产生、类型、传输、存储及管理的具体方式,证明其过程的安全性。尤其是一些带传感器件的产品,如麦克风及摄像头,是否收集了如人脸会议录音的记录。数据主体的权利会在下面章节中继续说明。
活动主题9:确保系统能够容灾恢复
ETSI将系统需要能够从中恢复的破环灾害列举了电源中断、网络中断、Dos攻击中恢复等情形。厂商应当思考如何设计一个网络连接管理机制,能够科学安排大量连接中断后的有序重连,使得遭受攻击和频繁渗透骚扰的系统能够延续可用性。
活动主题10:检查系统遥测数据
活动主题11:用户删除个人数据的便捷性
根据欧盟GDPR的要求,用户需要能够方便明晰地删除其个人数据,这里需要厂商注意的是,删除个人数据具体体现在用户交互界面上有一系列具体的要求,包括用户在删除前需要确认点击,删除后需要有删除完成的提示等。这些操作方法需要用户在操作手册等文件中清晰获得。在实践过程中,一般App开发者能够通过交互设计满足以上要求,而个人数据一旦进入物联模组甚至控制模组时,就需要进一步设计其擦除机制。
活动主题12:安装和维护的便捷性
在本活动中厂商需要梳理并总结在设备安装、初始化、运行和维护中的所有用户交互决定的明细。在排摸这些明细的过程中,第三方测评机构将评估这些决定的必要性,便捷性及是否遵循安全实践。对于在说明书等公开信息内没有出现的安全操作提示,需要进一步补充。
活动主题13:验证输入数据
ETSIEN303645中的输入数据通常指可有外部应用程序使用的开放API及设备服务之间的API接入的数据,对于此类接口,厂商需要设置验证机制。
1.工业安全
1.1关键基础设施和信息物理系统
工业组织是我们社会的命脉。无论你经营的是能源公司、油气公司、水务公司、化工厂还是铁路:所有这些关键基础设施都通过运营技术(OT)和信息技术(IT)系统进行控制。
在工业组织中,安全性、可靠性和可用性至关重要。HW认为,对于OT和IT系统,如果没有网络安全,安全性、可靠性和可用性便无从谈起。因此,必须防止这些系统受到黑客攻击,包括那些企图破坏国家安全的人。
由于越来越多的OT/IT系统(PLC、ICS/SCADA设备和支持组件)连接到IP网络,例如,为了监控流程或者出于(预测性)维护或计费目的,数字安全变得愈发重要。而且,随着“工业4.0”(工业物联网)的发展,我们看到许多新的、智能的、数据驱动的系统和基础设施正在开发,它们虽然优势显著,但也带来了巨大的风险。
您的所有系统、传感器和网络都需要得到充分保护。网络犯罪不断增长,特别是在工业基础设施领域。国家支持的黑客实施网络攻击,破坏工业基础设施,例如,破坏能源生产(乌克兰)或石油生产(沙特阿拉伯)等。勒索软件犯罪团伙也进入了工业领域。
1.2工业(OT)
人员
安全意识和行为
网络钓鱼测试
社会工程学
培训课程:ICS/SCADA安全和实践培训
安全软件开发生命周期(SSDLC)
NIS/WBNI符合性审查和评估
设计评审/威胁建模/代码评审
定义OT管理(策略、政策和流程)
定义事件响应计划和业务连续性计划
支持建立OT网络安全团队和管理机构
支持OT网络投标:RFP技术规范、报价评估等。
供应商(第三方)审查/评估
航运网络安全评估和分类
OT红队测试
红队测试可以在OT环境中模拟各种网络攻击。通过这一模拟,可以详细了解外部黑客的攻击路径,并训练网络防御者。
黑客如何接近我们的关键基础设施,我们能否尽早发现这一威胁,我们存在的漏洞是什么,应该如何补救?如果您的工业环境中需要解决这些问题,可以通过OT红队测试找到答案。
OT站点评估
OT站点安全评估遵循国际公认的标准和最佳实践,如IEC62443、NISTSP800-82和ALARP,这些都是专门为工业控制、自动化和其他系统量身定制的。
OT站点评估是专门为识别站点层级风险而设计的,而不是组织层级风险。OT风险评估服务是根据IEC62443标准的基本要求定制的,涉及的主题领域包括内部威胁、外部暴露、OT网络流量分析、网络弹性、数据泄漏风险和网络/系统安全。
科技
威胁建模、设计/能力评审、配置评审、代码评审
在OT环境中进行红队测试
检测和响应能力及成熟度测试
GDPR隐私保护
BS327California&Oregon法规
2.互联产品安全(IoT)
目前,有许多国际公认的标准、框架和认证方案可以帮助制造商决定在他们的产品中加入哪些安全功能。例如,IEC62443系列标准已成为工业网络安全的参考标准,涵盖组件和系统。最近出台的ETSIEN303645标准被视为消费类物联网产品的主要参考标准。此外,ISOSAE21434正逐渐成为互联汽车网络安全流程和功能的公认标准。
从监管的角度来看,网络安全也是一个重要议题,首批法规已出台,或即将完稿。互联车辆的网络安全和软件更新流程和功能需遵守国际UNECE法规的规定。
最后,针对消费品领域的监管要求将通过无线电设备指令(RED)制定。
HW积极投身物联网领域的研究,对该领域的标准和法规形成了成熟的观点和视角。因此,我们很乐意为物联网产品制造商提供最优的安全合规服务,满足他们的特定需求。
总结:HW提供咨询服务,帮助您在产品开发的每个阶段验证其网络安全,并提供互联设备的网络安全评估项目,解决您的后顾之忧。