Acheron 安全測評認證服務指南

1. 目的和意義

隨著「兩化融合」、「互聯網+」等國家戰略的推進，工業系統面臨的網路安全威脅日益嚴峻，工業互聯網產品的安全性直接影響用戶利益、關係國家安全。開展工業互聯網產品和網路安全專用產品的安全測評認證有助於提高網路產品可控水平，防範網路安全風險，維護國家安全和公共利益。

國家互聯網應急中心是 CNAS 認可的第三方測評機構，以擁有自主知識產權、目前國內唯一通過 ISA Secure 國際權威認可的 Acheron 測試平台為依託，面向工業互聯網領域的產品供應商和行業用戶開展 Acheron 安全測評認證服務。

2. 業務範圍

• 工業控制設備：對可編程邏輯控制器（PLC）、離散控制系統（DCS）、遠程終端單（RTU）、數控系統等用於生產控制的工控產品安全性進行測評認證。

• 物聯網設備：對工業物聯網網關、網路攝像頭，智能家庭網關、智能電子設備等物聯網設備安全性進行測評認證。

• 網路安全專用產品：對工業防火牆、工業網路安全監測預警系統、安全隔離與信息交換產品等用於安全防護的工業網路安全專用產品進行測評認證。

3. 業務實施

3.1 測試內容

Acheron 安全測評由達標測試、通信健壯性測試兩部分組成：

• 達標測試：對於工控類產品和物聯網設備， 參照相應國際標準、 國家標準和權威機構針對其安全性的要求， 對產品進行信息安全達標測試。對於工業網路安全專用產品， 根據產品類別， 依據相應標準， 進行標準符合性測試。

• 通信健壯性測試：參照 IEC 62443 國際標準，基於 Acheron 安全測試平台，對產品的通信健壯性進行測試。測試的通信協議範圍包括 TCP/IP 基礎通信協議、工業控制協議和其他通用協議。

3.2 測試依據

Acheron 安全測評參照但不限於以下標準：

1) IEC 62443 《工業過程測量、控制和自動化 網路與系統信息安全》

2) GB/T 18336-2015 《信息技術 安全技術 信息技術安全性評估準則》

3) GB/T 33008.1-2016《工業自動化和控制系統網路安全 可編程序控制器（PLC）第 1 部分：系統要求》

4) GB/T 30976.1-2014《工業控制系統信息安全 第 1 部分：評估規範》

5) OL-NP-003 國家互聯網應急中心《工控網路安全防護產品測試規範》

3.3 認證等級

Acheron 安全測評認證分為基礎級 Acheron Level 1 和增強級 Acheron Level 2，獲取認證證書的條件如下：

• Acheron Level 1：通過達標測試和 TCP/IP 基礎通信協議健壯性測試；

• Acheron Level 2：通過達標測試和產品支持的所有通信協議的健壯性測試。

3.4 證據需求

根據業務內容的要求，申請方需提交的證據包括：

1）《測評申請書》

2）《文檔編寫指南》中所列文檔

3）測試樣品

3.5 業務流程

測評流程分為以下四個階段：申請階段、預測評階段、測評階段和報告與證書發放階段（如下圖所示）。

1）申請階段

申請委託人向中心提出工控產品測評申請。由受理部門對申請方提交的申請材料進行審查。通過審查後，將進入下一階段。如果未通過審查，受理部門會根據提交資料的實際情況提出書面反饋意見，申請方應根據反饋意見進行補充或修改，並於 10 個工作日內，提交修改後資料。

2）預測評階段

受理完成後，相關文檔將被轉給技術部門，技術部門對文檔資料進行技術審查，來判定提交的資料內容是否符合要求。如果未通過審查，技術部門會根據提交資料的實際情況提出書面反饋意見，申請方應根據反饋意見進行補充或修改，並於 10 個工作日內，提交修改後的文檔。通過審查後，技術部門根據申請類別、參照相關標準制定檢測方案，同時申請方需向技術部門提交被測產品。

3）測評階段

• 產品測評的總體流程可分為現場核查、技術測試和綜合評定三個階段。

• 現場核查：根據提交文檔核查配置管理、開發安全、交付運行等。

• 技術測試：根據測試方案進行達標測試和通信健壯性測試。

• 綜合評定：測評人員根據各項測評結果，進行綜合評定，並出具測評報告。

4）報告與證書發放階段

製作並發放測評報告和 Acheron 認證證書。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！