ISASecure 工業控制資安產品符合性評鑑制度之簡介
近年來,隨著工業4.0、物聯網(Internet of Things,簡稱IoT)、智慧機械與智慧製造等技術演進,聯網自動化控制系統已逐漸大量使用於製造工廠端與關鍵(如油、水、電、交通)基礎設施(Critical Infrastructure,簡稱CI)上。在資訊系統效率大幅提升的同時,以往僅出現在個人與企業電腦上的資安威脅,也開始影響到工業自動化控制系統的資訊安全,如烏克蘭電廠大停電及國內某大型半導體產業之資安事件。在今(2020)年5月,國營企業也發生公司系統遭駭客入侵,導致加油站營運受到影響之事件。這些事件,都顯示駭客的攻擊目標,已不再以個人電腦或企業電腦為滿足,而是鎖定國際間及各國大型企業與關鍵基礎設施業者。
依據我國行政院國家資通安全會報所提出之「國家資通安全發展方案」,由行政院資通安全處主導強化關鍵基礎設施之資訊安全防護。經濟部也在今(2020)年4月20日正式發布「經濟部能源及水資源領域工業控制系統資安防護基準」,針對前述關鍵基礎設施訂定系統防護需求分級。本會為因應政府資訊安全政策之方向,相關工作包括蒐集國際工業控制資訊安全產業技術標準,以及國際間對於資安檢測實驗室與驗證機構之符合性評鑑之要求與做法,以期未來可以協助國內工業自動化控制系統業者能在地測試及驗證,提升國內資安產品之國際市場競爭力。
工業自動化資訊安全產品驗證方案(ISASecure Scheme,下稱 ISASecure 方案)是由國際自動化協會(International Society of Automation,簡稱ISA)發展的工業控制系統資訊安全認證/驗證制度,目前負責管理的單位是國際自動化協會資訊安全符合性機構(ISA Security Compliance Institute,下稱ISCI)。ISCI本身屬非營利性機構,是全球第一家採用IEC 62443 系列標準設計認證/驗證制度的單位。ISASecure 方案採用IEC 62443 系列標準作為測試與驗證之標準,IEC 62443 系列標準依據不同的應用範疇,如:元件(Component)、系統(System)及政策(含程序),對應不同適用標準(如圖一所示),而ISASecure 方案設計也因應上述不同應用範疇,設計三種驗證方案,如:
- 元件安全性保障(Component Security Assurance, CSA)
- 系統安全性保障(System Security Assurance, SSA)
- 開發生命周期安全性保障(Security Development Lifecycle Assurance, SDLA)
圖一: ISASecure方案應用IEC 62443標準範疇
資料來源: 引用ISASecure網站 (請參考相關連結)
在ISASecure 方案的符合性評鑑制度中,包括認證機構(Accreditation Body)及驗證機構(Certification Bodies)等角色(如圖二所示)。認證機構具備ISO/IEC 17011認證資格,且提供ISO/IEC 17025(測試實驗室)與ISO/IEC 17065(產品驗證機構)之認證服務者,可以向ISCI申請成為其接受之認證機構。而實驗室需經ISCI認可之認證機構所核發的ISO/IEC 17025 認證證書、產品驗證機構需取得ISCI認可之認證機構所核發的ISO/IEC 17065 認證證書,後續才能對產品進行測試,並審查核發產品驗證證書。整體而言,本制度希望透過與各國認證機構、實驗室及產品驗證機構之共同合作,推動ISASecure 方案,以期透過認可實驗室及產品驗證機構出具的測試報告及驗證證書,提升國際間工業控制系統資安產品之防護能力。
圖二 ISASecure 方案制度
本會(TAF)現為國內唯一符合國際標準ISO/IEC 17011要求,以及簽署國際實驗室認證聯盟(International Laboratory Accreditation Cooperation; 簡稱ILAC) 國際相互承認協議及國際認證論壇(International Accreditation Forum;簡稱IAF) 多邊相互承認協議之認證機構。自2015年起,本會配合國家資安政策的發展方向,陸續開放「行動應用App基本資安檢測實驗室」、「物聯網資安認證驗證制度認可實驗室」、「智慧型手機系統內建軟體資通安全檢測實驗室」及「通傳設備及物聯網射頻設備資通安全測試實驗室」等認證服務。截至2020年5月底為止,國內已有13家資訊安全測試實驗室通過本會認證(如圖三),且持續有新實驗室申請中。
圖三 TAF資安測試實驗室認證現況
展望未來,本會將持續與國內主管機關及相關資訊安全產業協會合作,預計於2021年與ISCI建立聯絡管道,並配合主管機關政策面與產業面的需求,評估及建立國內符合性評鑑機構(驗證機構、實驗室等)管理與技術能力之評鑑標準。促使我國工業控制系統資訊安全符合性評鑑制度能與國際接軌,檢測與驗證結果為國際所接受,也期望能間接推動我國相關資訊安全測試標準邁向國際。同時也能協助業者產品成功推向國際,提升業者競爭力。
