近几年 , 全球范围内工业信息安全事件频发 , 形势日益严峻 , 因此 , 中国关于工业信息安全的政策逐步增加 , 标准实施加快 。 2021年2月20日 , 中国市场监督管理总局发布了关于网络关键设备检测的强制性标准 , 并将于2021年8月1日实施 。 根据相关新闻报道显示 , 此次网络关键设备覆盖可编程逻辑控制器(PLC设备) , 因此 , MIR 睿工业针对新国标发布后 , 各PLC设备供应商的应对情况 , 以及供应商最关注的PLC设备符合新国标的检测事宜进行了深入调查 , 供大家参考 。
强制性国家标准发布 , 中国工业信息安全标准趋严:
2021年2月20日 , 中国市场监督管理总局发布2021年第1号公告 , 正式发布工业信息安全领域强制性国家标准:GB 40050-2021《网络关键设备安全通用要求》 , 将于2021年8月1日起实施 。
新国标主要从安全功能要求和安全保障要求两大方面保障网络关键设备的安全性:
1.安全功能要求聚焦于保障和提升设备的安全技术能力 , 主要包括设备标识安全、冗余备份恢复与异常检测、漏洞和恶意程序防范、预装软件启动及更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全、数据安全以及密码要求10个部分 。
2.安全保障要求聚焦于规范网络关键设备提供者在设备全生命周期的安全保障能力 , 主要包括设计和开发、生产和交付、运行和维护三个环节的要求 。
对于这项新标准 , 我们最应该关注的是 , 《网络关键设备安全通用要求》是为落实《中华人民共和国网络安全法》中有关网络关键设备安全的规定 。 根据《中华人民共和国网络安全法》第二十三条规定 , 网络关键设备应当按照相关国家标准的强制性要求 , 由具备资格的机构安全认证合格或者安全检测符合要求后 , 方可销售或者提供 。
而早在2016年10月国家质检总局、国家标准委发布过的《工业自动化和控制系统网络安全》系列标准(包含GB/T33007-2016《工业通信网络 网络和系统安全 建立工业自动化和控制系统安全程序》、GB/T33008.1-2016《工业自动化和控制系统网络安全 可编程序控制器(PLC)》、GB/T33009.1-2016《工业自动化和控制系统网络安全 集散控制系统(DCS) 第1部分:防护要求》等6个标准) , 虽然也从工业自动化和控制系统的不同网络层次和组成部分规定了网络安全的检测、评估、防护和管理等要求 , 但《工业自动化和控制系统网络安全》属于推荐性国家标准 , 并没有对产品的检测和认证做强制性要求 。
新国标涉及PLC设备:
网络关键设备是指支持联网功能 , 在同类网络设备中具有较高性能的设备 , 此类设备通常作为重要网络节点 , 安装在重点部位或重要系统中 , 一旦遭到破坏 , 可能引发重大网络安全问题 。 2017年 , 网信办等四部门联合发布《网络关键设备和网络安全专用产品目录(第一批)》的公告 , 明确路由器、交换机、服务器和PLC设备纳入第一批网络关键设备目录 。 2021年2月20日发布的《网络关键设备安全通用要求》覆盖了第一批全部四类设备:
文章图片
(信息来源:MIR 睿工业根据公开资料整理)
MIR 睿工业针对新国标发布后 , 各PLC设备供应商的应对情况的调查:
2021年5月 19日-21日 , MIR 睿工业针对强制性国家标准《网络关键设备安全通用要求》发布后 , 各PLC设备供应商的应对情况进行了调查 , 访问对象为业内主流的PLC设备供应商的相关PLC设备管理人员(中国) 。 调查结果表明:
1. 各PLC设备供应商均已知晓新发布的强制性国家标准《网络关键设备安全通用要求》;
2. 部分PLC设备供应商已采取应对措施 , 例如西门子的研发部门 , 已经开始开发相关产品 , 大概率会在2021年8月1日之前 , 推出满足最新国家标准的产品;
3. 目前 , 各PLC设备供应商对于检测机构和检测流程较为关注 , 但所知信息较少 。
MIR 睿工业针对可以检测/认证符合新国标的PLC设备的机构调查:
虽然 , 2021年2月20日中国市场监督管理总局发布《网络关键设备安全通用要求》后 , 至今并未再发布标准相关的检测方法和检测机构名录 , 但2021年5月25日 , MIR 睿工业对国家认监委、工业和信息化部、公安部、国家互联网信息办公室于2018年6月发布的可以承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)里的企业 , 进行了是否可以针对证符合新国标的PLC设备进行检测/认证的调查 , 调查结果表明:
1. 此名录里的机构均可针对《网络关键设备安全通用要求》对PLC设备进行检测/认证;
2. PLC设备检测或认证后均可进行销售 , 二者的法律效益相同(检测后才可以进行认证);
3. 检测周期大概3周 , 需要样品邮寄和PLC设备供应商的技术支持 , 如有问题 , 还需增加整改时间 。
总结:
结合以上的两个调查结果来看 , 目前还未有PLC设备供应商推出符合新国标的PLC设备新品 , 加之后续符合新国标的PLC设备检测周期较长 , 所以在2021年8月1日之前将符合新国标且检测合格的PLC设备成功上市销售 , 时间较为紧张 。
但大家也不必过度担心 , 据业内专业人士透漏:根据以往经验 , 相关政府机构会给各PLC设备供应商准备较长的产品过渡时间 , 2021年8月1日后 , 不符合新国标的PLC设备 , 也不会立刻被禁止在中国市场销售 。 供应商可以和相关部门协商具体的产品认证检测的时间表 。
承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)(部分):
【国标|MIR 睿工业:新国标即将实施,各PLC设备供应商的应对情况如何?】
文章图片
(信息来源:MIR 睿工业根据公开资料整理)
推荐阅读
- Intel|Intel 12代酷睿20款新品百分百实锤:赛扬升级、i5混乱
- 硬件|Intel 11代酷睿4核15瓦超迷你平台 仅有信用卡大小
- Intel|12代酷睿i7-12700F跑分数据:性能力压锐龙7 5800X还更便宜
- 硬件|AAEON推出NanoCOM-TGU嵌入式开发板 搭载11代酷睿处理器
- Intel|英特尔酷睿i5-1250P跑分曝光 性能超AMD Ryzen 9 5980HX
- 硬件|奥睿科推出TB3-S2雷电扩展坞与生物指纹识别移动硬盘新品
- 用电|电小方多孔位安全排插带USB版新国标安全有保障
- 宇宙|ORICO奥睿科探路元宇宙,从硬件NAS开始
- Intel|[图]英特尔酷睿i3-12100/i3-12300和酷睿i5-12400性能测试
- Intel|12代酷睿i3-12300、i3-12100测试数据偷跑