CNCERT工控物联网安全测试介绍

1、背景

为贯彻落实《网络安全法》，加强对网络关键设备和网络安全专用产品的管理，2017年6月，网信办会同工信部、公安部、认监委（以下简称“四部委”）共同发布了《网络关键设备和网络安全专用产品目录（第一批）》，首次将工控设备PLC列为网络关键设备，要求应检测认证合格后，方可销售或者提供。同时，一些重要行业也陆续出台了相关的配套法规，如2017年国家食药监总局发布了《医疗器械网络安全注册技术审查指导原则》，2018年南方电网发布了《南方电网电力监控系统网络安全送样检测标准》。

《网络安全法》及相关配套法规的出台，为各关键领域具备联网功能的专用计算机系统的网络安全性提出了要求，工控设备、医疗设备、物联网设备等都成为潜在的网络关键设备和安全检测对象。“震网病毒”、“乌克兰电厂攻击”、“WannaCry勒索软件”等一系列事件，也在不断提醒人们，安全漏洞已成为影响社会稳定、甚至危及国家安全的重要因素。安全检测是减少漏洞、提升产品网络安全性的重要手段，其在本质上与传统的功能测试、性能测试一样，都是保证产品质量的一种手段，产品的网络安全性是产品自身品质的一部分。而随着互联网对人们日常生活影响的不断深入和人们安全意识的提升，产品的网络安全认证未来可能像产品的3C认证、节能环保认证一样，成为一种常规性的产品检测认证项。

2、检测能力和资质

为支撑监管、服务行业，自2013年以来，CNCERT主导研发了一系列工控物联网安全检测工具，如工控漏洞挖掘平台Acheron、嵌入式固件安全分析工具Firmcheck、工业私有协议自动化逆向工具NetPRA等。其中Acheron于2017年3月通过了国际自动化协会ISASecure权威认可，成为国内第一款、全球第五款通过该认可的安全检测工具。

2016年，CNCERT取得了中国合格评定国家认可委员会（CNAS）关于“工控设备通信健壮性”和“工控网络安全防护产品”的检测能力认可资质，开始正式对外开展工控安全检测业务，检测对象覆盖PLC、数控系统、工控安全审计系统等主流工控设备和安全产品。

2018年3月，四部委又公布了第一批承担网络关键设备安全检测任务的机构名录，国家计算机网络与信息安全管理中心（以下简称“CNCERT”）位列其中。

3、Acheron认证

为建立我国自主可控的工控安全认证体系，引导厂商提升产品安全性，同时满足其关于安全合规和市场宣传的需求，CNCERT于2018年2月基于Acheron检测平台正式推出了Acheron安全认证品牌，面向工业控制产品（PLC、RTU、电力保护装置等）、物联网产品（网络摄像机、家用路由器、智能家居等）和工业网络安全专用产品（工业防火墙、工业网络安全监测产品等）开展安全测评认证。

Acheron认证测试由达标测试、通信健壮性测试和固件安全测试三部分组成，其中达标测试主要参照相关国家标准、行业标准和权威机构对网络关键设备的安全要求，对产品进行标准符合性测试。通信健壮性测试主要依据IEC 62443-4-2国际标准，基于Acheron测试平台，对产品通信协议组件进行模糊测试（含私有通信协议的逆向分析和安全测试）；固件安全测试主要基于固件安全分析工具Firmcheck，从硬编码口令发现、信息泄露、已知漏洞扫描、核心代码逆向分析等角度对产品进行深度安全检测。

作为一个第三方、非强制性网络安全认证，Acheron认证得到了较好的市场响应，包括西门子、国电南自、天融信、中国网安在内的多家知名厂商都申请了该认证，认证测试以严谨和专业深度得到了厂商的一致认可。截至目前，已有18款主流工控产品和安全产品通过了Acheron安全认证。近期，CNCERT正在探索面向轨道交通、医疗器械领域的专用设备开展安全测评认证。

4、典型案例

Acheron认证测试：从2018年至今，CNCERT已完成了对西门子全系列PLC的检测和认证。同时，我们还对天融信、中国网安、信联科汇等公司的工控防火墙、数据防泄漏产品等工控安全防护产品进行了检测和认证。在上述企业根据CNCERT检测结果修复其产品存在的漏洞后，其产品的安全性和稳定得到显著提升。相应认证证书和检测报告已经在ICS-CERT官网（www.ics-cert.org.cn）可查询。

电网设备测试：2018年，受南方电网集团委托，CNCERT对部分重要电力二次设备进行了网络安全入网检测，整个测试历时半年，涉及电力保护装置、智能远动机、态势感知采集装置等五大类、70余个型号装置，国电南瑞、四方继保、许继电气等28个主流电力厂商参与了该测试。测试分为三个阶段，其间发现了大量安全漏洞和隐患，尤其SISCO MMS协议开发套件漏洞，作为一个行业性漏洞，几乎影响到每一款支持MMS协议的电力装置，显示了严重的产品供应链风险。南网集团对测试结果非常重视，在其指导下，参与厂商对发现的漏洞和隐患进行了积极整改，截至目前大多数漏洞已得到修复，相关设备的网络安全性得到大幅提升。

物联网产品测试：CNCERT国家中心联合重庆分中心，对中移物联网公司的4G执法仪、禹路由器、DTU等物联网产品及相关云服务平台进行了深度安全检测。整体而言，中移物联网公司的产品无论在安全设计还是代码实现，较传统工控设备有较大提升，所有被测设备和系统在测试过程中都展现了良好的安全性。

声明：本文来自工业互联网安全应急响应中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。