江苏龙网

  1. 主页 > 生活百科 > >

工业互联网设备的网络安全管理与防护研究 网络设备安全( 三 )


各国围绕设备产品的安全符合性、功能、安全保证、可控性等方面构建评价认证标准,划分功能级和保证级,以满足不同部门、行业和用户的需求,其中功能和安全保证的评价是评价认证的核心内容 。美国、欧洲、国际标准化组织都在建立基于评价的“防护档案”,分别强调功能评价、安全评价、分级 。国际标准化组织推出的国际通用标准是目前最全面的评估标准,与ITSEC一起成为通用评估方法 。此外,美国、德国等 。注重实施国防、政府、商业共享的评价体系,通过划分等级和大纲,满足不同对象的安全需求 。
在工业互联网设备的安全评估和认证方面,国际组织和一些国家建立了自己的认证体系 。① ISA安全认证体系是国际自动化协会ISCI推动的一套国际认可体系,旨在提供通用工业设备认证,处理工业设备安全要求,简化业主设备采购流程和设备供应商设备保险流程[14];ISA独立认证工业自动化和控制产品和系统,以确保网络攻击保护和消除已知漏洞 。② NIST认证体系是指由NIST主导,相关行业主管部门和行业协会参与建立的标准认证体系,涵盖国家标准、行业规范和检测认证;在实施方面,推动形成了涵盖电力、天然气、石油、核能等行业的安全标准认证体系,成为美国乃至国际安全界广泛认可的事实标准和权威指南 。③莱茵认证体系是指德国技术监督协会(德国政府授权和委托)对工业设备和技术产品进行的安全认证和质量保证评价审核;为嵌入式系统及设备、智能电子设备、工业信息技术安全检测、渗透测试、风险分析、安全手册、安全培训等服务提供认证服务,涵盖航空航天、汽车运输、化工、能源、制造和工业机械、电力等领域 。
四 。中国工业互联网设备安全的发展与问题
(一)安全监管和审查的基本情况
在安全监管方面,网络安全法、网络安全审查办法等国家法律法规陆续出台,关键信息基础设施网络安全审查办法和关键网络设备、网络安全产品强制检测认证要求逐步建立 。《网络关键设备和网络安全专用产品目录(第一批)》要求,列入目录的设备或产品,根据相关国家标准的强制性要求,经有资质的机构安全认证或安全检验符合要求后,方可销售或提供[15] 。在政策要求上,《关于加强工业互联网安全的指导意见》要求,加强工业生产、主机、智能终端等设备的安全接入和防护,加强控制网络协议、设备和工业软件的安全,促进设备制造商、自动化集成商和安全企业的合作,提高设备和控制系统的本质安全性[16] 。
(二)安全检查和认证的基本情况
并且网络安全测评认证体系主要由国家认证认可监督管理委员会管理,由国家信息安全测评认证管理委员会、中国网络安全审查技术与认证中心、相关实验室和测评机构共同推进,基本形成监管机构、国家认证主体、授权测评机构的综合推进体系 。还需要注意的是,现有的评估认证体系侧重于以医疗为代表的部分行业的通用基础设备产品和特殊关键设备,缺乏对工业控制设备、大型自动化设备、工业网络通信设备等关键工业互联网设备的规范性、普适性的网络安全评估认证 。
在工业互联网设备安全相关标准和评估方面,我国发布了《工业控制系统专用防火墙技术要求》、《信息安全技术工业控制系统测控终端安全要求》、《电力监控系统安全保护规定》等国家和行业相关标准 。在物联网设备终端安全保护方面,我国发布了《智能联网设备信息安全技术密码保护指南》、《信息安全技术网络与终端设备隔离组件安全技术要求》等标准或指南 。近年来,中国信息通信研究院等单位推动发布了《工业互联网设备安全防护要求》等标准,开展了工业互联网设备安全检测和评估,成立了工业互联网安全评估机构和团队 。
(3)存在问题的分析
一是工业互联网设备安全缺乏专门的管理措施和检测认证体系 。虽然行业主管部门制定了相关政策和标准,但强制性要求和系统化程度不足,缺乏对新技术、新应用形式的网络安全适应性要求 。工业信息资源网络中联网设备的安全保护基本处于行业自律的层面 。
二是《网络关键设备及安全产品目录》对工业互联网关键设备覆盖不充分,未纳入目录的产品缺乏必要、系统的网络安全审查 。工业设备、关键设备、工业互联网安全产品等关键设备产品的安全防护能力难以保障,使得工业生产经营面临安全威胁,设备供应链存在未知风险 。
三是工业互联网设备种类多、数量大,目前的安全防护能力和保障水平不能满足产业转型升级的需要 。对PLC、工业主机、工业防火墙等工业设备的安全运行要求尚未明确,设备在网络化、数字化应用过程中的安全标准和规范相对缺乏 。需要改进专门的评价标准和执行制度 。现有的网络安全检测和认证系统不能满足实际应用、市场需求、其他国家网络安全审查等要求 。


推荐阅读


上一篇:|被网暴到性格大变,张瀚出席活动全程谨慎小心,自大狂傲再也不见!

下一篇:王思聪|王思聪带女友慎婕餐厅吃饭,脸部浮肿亲密热聊