首款工控设备成功通过威努特ISASecure安全测试
作者: 日期:2019年10月25日 阅:2,172

2019年10月21日,北京龙鼎源科技股份有限公司(以下简称“龙鼎源”)小型可编程一体化控制器DRAC-200设备通过了北京威努特技术有限公司的ISAsecure EDSA测试,获得工业控制产品安全认证证书

自威努特为广大工控系统厂商提供限时、免费的ISASecureEDSA、SSA安全性测试服务以来,包括龙鼎源、MOXA、艾默生、广利核等国内外知名的设备厂商已送检了多款设备。依托于威努特的漏洞挖掘设备(VHunter IVM),双方积极配合,历经三个月的时间,经过六轮的回归测试,每轮回归测试执行用例100+,龙鼎源最终通过严格的通讯健壮性测试,成为了首个获得该认证的厂商,证实了其工业控制器设备(DRAC-200)的网络安全性、设备安全性及协议健壮性达到国际认可水准,同时此次认证也为客户降低了故障率,提升了业务综合运营效益。

【北京龙鼎源科技股份有限公司(新三板股票代码:837651)成立于2000年,是一家专门服务于石油、石化、天然气、LNG等行业的高科技企业。公司致力于把龙鼎源打造成为中国顶级的能源行业自控系统服务商。】

我国建立工控产品安全认证迫在眉睫

工业控制系统作为国家关键基础设施的重要组成部分,其安全性已经成为涉及国家安全稳定的重要战略问题。近年来,全球每年发生的大型工业网络安全事件数量都超过300起。工控系统脆弱的安全状况以及日益严重的攻击威胁引起了各国的高度重视,美国、日本等主要发达国家已将安全认证作为降低工控系统安全风险的有效手段之一,开展了相应的认证实践。

任何网络都是由设备组成,设备的安全性直接关系到网络的安全性。“千里之堤,毁于蚁穴”,漏洞则是工业互联网安全大坝中的“蚁穴”。要保证工业互联网的安全,最根本的措施就是针对这些“蚁穴”进行加固,而加固的前提就是需要找到这些漏洞。目前很多已知漏洞都已建立在漏洞库,大部分厂商已经发布了补丁或弥补措施,比较容易防护加固。而未知漏洞则没有补丁,甚至厂家并不知道存在该漏洞,在网络攻防对抗中属于秘密武器,危害极大。所以未知漏洞的挖掘对于工业互联网安全意义重大,开展工控设备和系统安全检测认证工作刻不容缓。

国际最权威的ISASecure EDSA、SSA认证体系

ISAsecure认证是国际最具权威的ISCI(ISA Security Compliance Institute 国际自动化协会安全合规学会)基于IEC62443 标准开发的认证体系,ISASecure认证包括:EDSA(Embedded Device Security Assurance)嵌入设备安全保障认证、SSA(System Security Assurance)系统安全保障认证、SDLA(Security Development LifecycleAssurance)安全开发生命周期保障认证共3大类:

1. EDSA(Embedded Device Security Assurance)认证:嵌入设备安全保障认证,侧重设备级别的安全性保障,认证对象是独立的工控设备,比如PLC等。

2. SSA(System Security Assurance)认证:系统安全保障认证,侧重系统级别的安全性保障,认证对象是工控系统,比如DCS、SCADA、SIS等。

3. SDLA(Security Development Lifecycle Assurance)认证:安全开发生命周期保障认证,侧重安全开发过程的保障,确保安全被正确的设计和落地,认证对象是研发团队。

其中EDSA是ICSI的第一个ISASecure 认证项目,也是目前最受认可的安全认证。其目的在于促进工业行业加强工业自动化和控制系统(IACS)网络安全,项目提供一套通用的业界公认的设备及过程规范,从设备开发、生产、采购等各阶段保障嵌入式设备安全。

EDSA侧重设备级别的安全性保障,认证对象是独立的工控设备,比如PLC、RTU、DCS控制器等。EDSA认证共包括4个评估项:ERT(EmbeddedDeviceRobustness Testing)、FSA-E(FunctionalSecurity Assessment for Embedded Device)、SDLPA(Security Development Lifecycle ProcessAssessment)、SDA-E(SecurityDevelopment Artifacts forEmbedded Devices),其中ERT评估项的CRT(Communication Robustness Testing)部分是EDSA、SSA认证的基础。

威努特ISASecure EDSA、SSA认证服务

威努特用于支撑ERT评估的CRT工具是国内首款自主研发全面通过ISCI(国际自动化协会安全合规学会)EDSA和SSA双重认证的工控漏洞挖掘平台 VHunter IVM(全球范围内仅六家获得CRT Test Tool安全认证证书的机构)。

 

威努特提供的测试内容包括PLC或控制器设备通信随机度检查、TCP/IP协议以及工业通信协议健壮性测试,提供符合IEC62443标准的测试报告,提供引发控制器设备异常状态的原始测试报文等,送检单位只需按照标准流程提交申请及被测设备即可享受到“全托式”服务。具体流程如下:

1. 送检申请:送检单位填写送检申请表,进行测试前的沟通,提交设备的使用说明书等相关资料。

2. 设备送检:通过邮寄或者专人配送的方式把设备送到威努特的实验室,实验室进行设备接收登记,并把设备放入待检区保存。

3. 设备测试前:设备测试前需要和送检单位沟通设备使用的注意事项,届时可能需要送检单位进行设备的现场组装和调试,保证设备可以正常测试。

4. 设备测试:在调试好设备后进入测试流程,整个测试按事先准备好的测试模板进行测试用例的检测,根据设备的类型进行监视器的配置,通过测试规则进行测试结果的判定。过程中可能会发现若干问题,需要送测单位配合修改,然后升级固件后进行回归测试。

5. 设备测试后:完成测试后,威努特会根据测试结果给出相应的测试报告,如果测试完全通过,将出具相关的证书。

     

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章