產(chǎn)品認證制度在產(chǎn)品生產(chǎn)、銷(xiāo)售以及使用中具有重要作用。企業(yè)生產(chǎn)的產(chǎn)品獲得產(chǎn)品認證證書(shū)，表明該產(chǎn)品符合相應的標準和技術(shù)要求。第三方測評機構依據產(chǎn)品評估準則和相關(guān)技術(shù)要求，對產(chǎn)品的性能進(jìn)行評價(jià)，旨在保護用戶(hù)信息安全，維護用戶(hù)利益。同時(shí)，產(chǎn)品認證標志也是企業(yè)通向市場(chǎng)的鑰匙。信息安全認證是為了證明某一種產(chǎn)品具備信息安全方面的能力及技術(shù)要求。在傳統信息安全領(lǐng)域，大多數著(zhù)名廠(chǎng)商都已經(jīng)通過(guò)相關(guān)產(chǎn)品認證，如公安部計算機系統安全產(chǎn)品質(zhì)量監督檢驗中心的銷(xiāo)售許可證，部分廠(chǎng)商還已經(jīng)獲得由中國信息安全認證中心（ISCCC）頒發(fā)的IT產(chǎn)品信息安全認證，表明其具備更高一級的信息安全保護能力。目前，和利時(shí)、匡恩、海天煒業(yè)、珠海鴻瑞等國內工控安全廠(chǎng)商的工業(yè)防火墻、工業(yè)隔離網(wǎng)關(guān)等工業(yè)信息安全產(chǎn)品均已獲得該認證。中國信息安全認證中心的IT產(chǎn)品信息安全認證也包括工業(yè)控制產(chǎn)品的部分，據悉，目前國內僅有中電聯(lián)宇裝備科技（北京）有限公司的超御N系列PLC產(chǎn)品通過(guò)了這一認證。

一、美國工業(yè)控制產(chǎn)品信息安全認證

美國工業(yè)控制產(chǎn)品信息安全認證主要是ISASecure認證。ISA是國際自動(dòng)化學(xué)會(huì )的簡(jiǎn)稱(chēng)，其為工業(yè)和關(guān)鍵基礎設施中使用的自動(dòng)控制系統提供改善管理、安全和網(wǎng)絡(luò )安全工程技術(shù)標準。ISASecure認證是ISCI基于 IEC62443 標準開(kāi)發(fā)的合規性認證，是目前工業(yè)控制領(lǐng)域最具權威安全認證。ISASecure認證包括嵌入設備安全保障認證、系統安全保障認證和安全開(kāi)發(fā)生命周期保障認證三大類(lèi)。嵌入設備安全保障認證（Embedded Device Security Assurance，EDSA），側重設備級別的安全性保障，認證對象是獨立的工控設備，比如PLC等。系統安全保障認證（System Security Assurance，SSA），側重系統級別的安全性保障，認證對象是工控系統，比如DCS、SCADA、SIS等。安全開(kāi)發(fā)生命周期保障認證（Security Development Lifecycle Assurance，SDLA），側重安全開(kāi)發(fā)過(guò)程的保障，確保安全被正確地設計和落地，認證對象是研發(fā)團隊。目前EDSA認證推廣得比較好，有9個(gè)廠(chǎng)商的19款產(chǎn)品獲得EDSA認證，包括：Honeywell、Schneider、Yokogawa、TOSHIBA、RTP、Hitachi、HIMA、Azbil、Beijing Consen。ISASecure為每一類(lèi)認證都定義了一套詳細的規范文檔及測試用例，方便廠(chǎng)家對照規范進(jìn)行自檢。所有經(jīng)過(guò)認證的產(chǎn)品或系統，都在ISASecure的官網(wǎng)（www.isasecure.org）有公布，這也方便最終工業(yè)廠(chǎng)商參考該列表進(jìn)行工控設備選型，可以有效提升整個(gè)工控產(chǎn)業(yè)的安全保障。

二、歐洲工業(yè)控制產(chǎn)品信息安全認證

全球領(lǐng)先的第三方檢測認證機構TüV南德意志集團（以下簡(jiǎn)稱(chēng)“TüV南德”）根據IEC 62443系列標準為西門(mén)子過(guò)程控制系統——Simatic PCS 7頒發(fā)證書(shū)，這是世界范圍內首個(gè)產(chǎn)品獲得此類(lèi)TüV證書(shū)。該證書(shū)的頒發(fā)證明西門(mén)子產(chǎn)品符合IEC 62443-4-1及IEC 62443-3-3安全標準的要求。Simatic PCS 7是一個(gè)可對持續制造過(guò)程進(jìn)行監控的過(guò)程控制系統，必須具備功能安全和工業(yè)信息安全的高要求。國際標準IEC 62443的出臺首次為工業(yè)自動(dòng)化和控制系統方面的工業(yè)信息安全認證提供了基礎，該系列標準針對工廠(chǎng)/系統，集成商/服務(wù)提供商以及制造商的工業(yè)信息安全提出了嚴格要求，其中，對制造商的認證基于IEC 62443-4-1，對系統集成商的認證基于62443-2-4，而對系統安全功能的評估則依據IEC 62443-3-3。西門(mén)子此次獲得的基于IEC 62443-4-1及63443-3-3標準的認證，表明TüV南德專(zhuān)家確認Simatic PCS 7過(guò)程控制系統符合IEC 62443-4-1及63443-3-3標準的相關(guān)要求。同時(shí)，TüV南德專(zhuān)家也根據IEC 62443-3-3標準，對Simatic PCS 7已實(shí)現的安全功能進(jìn)行了評估。之后定期進(jìn)行的審查則將確保Simatic PCS 7在未來(lái)仍滿(mǎn)足工業(yè)信息安全的相關(guān)要求。通過(guò)IEC 62443認證過(guò)程，西門(mén)子對其工業(yè)自動(dòng)化產(chǎn)品的安全方法進(jìn)行了文檔記錄，為集成商和運營(yíng)商提供關(guān)于工業(yè)安全措施方面的指導。

三、我國工業(yè)控制產(chǎn)品信息安全認證

在工業(yè)信息安全產(chǎn)品，如工業(yè)防火墻、工業(yè)隔離網(wǎng)關(guān)等方面，我國目前比較通用性的證書(shū)有CCC產(chǎn)品認證，計算機信息安全產(chǎn)品銷(xiāo)售許可證、中國信息安全認證中心頒發(fā)的IT信息產(chǎn)品安全認證，其他比較具有行業(yè)特殊性的如電力行業(yè)中國電科院頒發(fā)的電力行業(yè)信息安全產(chǎn)品認證、國家保密科技測評中心頒發(fā)的涉密系統信息安全產(chǎn)品認證、解放軍信息安全測評認證中心頒發(fā)的《軍用信息安全產(chǎn)品認證證書(shū)》等，但是以上均為針對信息安全產(chǎn)品的測評認證，目前為止，除中國信息安全認證中心外，均無(wú)對于工業(yè)控制產(chǎn)品的信息安全認證。

四、我國工業(yè)控制產(chǎn)品信息安全認證展望

我國在工業(yè)信息安全領(lǐng)域起步較晚，但是發(fā)展較快，這在很大程度上得益于政策支持。隨著(zhù)《網(wǎng)絡(luò )安全法》的實(shí)施，2017年6月，國家互聯(lián)網(wǎng)信息辦公室、工信部、公安部、認監委四部門(mén)聯(lián)合出臺了《關(guān)于發(fā)布<網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄（第一批）>的公告》，PLC作為名錄中唯一的工業(yè)控制產(chǎn)品榜上有名，據此推測，在不久的將來(lái)，工業(yè)控制產(chǎn)品的信息安全認證市場(chǎng)將會(huì )迎來(lái)快速增長(cháng)。

美國和歐洲的認證制度以及認證方式對我國產(chǎn)品認證具有重要借鑒意義，但是我們需要結合目前我國產(chǎn)品認證的現狀，制定針對我國市場(chǎng)的認證體系。筆者結合自身的經(jīng)驗，對未來(lái)產(chǎn)品認證提出以下幾點(diǎn)注意事項：

第一，充分認識標準在產(chǎn)品認證中的作用。

標準作為產(chǎn)品認證的主要依據，在產(chǎn)品認證體系中具有基礎性和標桿性作用?！爱a(chǎn)品認證，標準先行”，只有具有比較可靠的標準，才能在實(shí)際檢測認證過(guò)程中具有影響力和說(shuō)服力。目前國外工控安全領(lǐng)域比較著(zhù)名的標準如NIST SP 800-82以及IEC62443系列標準，國內的如全國信息安全技術(shù)標準化委員會(huì )（TC260）發(fā)布的《GB/T 32919-2016 信息安全技術(shù) 工業(yè)控制系統安全控制應用指南》等均可以進(jìn)行借鑒。

第二，加強產(chǎn)品認證能力及隊伍建設。

產(chǎn)品認證能力作為政府部門(mén)以及第三方測評機構提供社會(huì )公信力的一個(gè)有效手段，代表著(zhù)國家在此方面的總體技術(shù)實(shí)力。此外我們還要加強產(chǎn)品認證隊伍建設，保證認證過(guò)程以及認證結果的可信性。

第三，推進(jìn)產(chǎn)品認證培訓。使生產(chǎn)者、銷(xiāo)售者及使用者廣泛了解相關(guān)的認證制度及認證體系。產(chǎn)品認證的最終受益者是產(chǎn)品的使用者、銷(xiāo)售者以及生產(chǎn)者，在認證初期，要加大宣傳力度，對產(chǎn)品使用者以及生產(chǎn)者加強引導，提高其對產(chǎn)品認證的目的以及意義的認識。

如果您想要了解更多有關(guān)于工業(yè)控制產(chǎn)品認證業(yè)務(wù)，歡迎來(lái)電業(yè)務(wù)咨詢(xún)：010-64102322，010-64102327