【網安智庫】縱覽全球IoT安全可信認證

如今，安全是大規模物聯網部署最重要的障礙之一。IoT設備生產商正在為推出下一代更安全、更規範的智能化設備而積極探尋標準化之路，而IoT設備的安全認證尚處於開放討論階段。一個合適的IoT產品認證方案將有助於評估和比較不同的安全技術，以便為終端消費者提供更加一致的物聯網安全視圖。目前一些國家及相關組織針對IoT設備終端信息和技術安全認證的方法和標準已經建立並逐步完善，本文將選取介紹部分具有代表性的IoT安全認證方案與標準。

CSPN是2008年法國國家網路安全機構(ANSSI)採用的認證方案，CSPN認證的主要目標是從以下三個方面驗證特定產品是否符合相關安全要求：

1）驗證產品安全規範的符合情況；

2）評估類似產品的原理和已知漏洞；

3）產品安全功能繞過測試。

這種評估進行的是符合度分析（驗證產品符合其安全規範，將產品作為一個整體進行相關分析）和效率分析（評定安全功能和安全機制的理論強度，並確定漏洞）。

對於評估目標（通用準則中的TOE），CSPN會分析其安全性，然後對TOE合規進行不同程度的入侵測試。需要重點強調的是，CSPN主要對適配產品開發生命周期進行短期評估。如有強安全需求時，則要考慮協調新產品進入物聯網市場時間。

CSPN評估由ANSSI許可的測試實驗室進行，以此確保競爭力和獨立性。

CSPN方法的主要步驟為：

• 準確描述安全對象評估範圍（需要時，產品的部分功能可從評估項中排除），這一步由開發人員和評估者共同完成。

• ANSSI檢驗安全目標。

• 開發人員將所有評估材料交給評估者。這個評估材料可不包括源代碼，但至少應包括一個完整功能版本的產品，並詳細描述所實施的加密協議。

• 產品評估。首選，雙方會協商整體產品評估時間。在這一步中，評估者和開發人員之間會進一步交流。開發商可能需向評估人員提供額外材料，或者回答評估人員的部分提問。這個步驟結束后，評估者會提供列出所有測試評估結果的詳細報告，以及所有未披露的安全問題清單。

• 驗證ANSSI報告的結論。

• 由ANSSI交付CSPN證書。

CSPN是CC的互補而不是替代，其主要在受限時間內完成對TOE的安全分析並發現安全漏洞（典型CSPN認證需時為25天左右，明顯低於典型的CC認證）。

UL是一家提供電氣、建築、消防、機械和其他代碼測試和安全認證的企業，確保消費者使用安全產品，並遵循UL標準。其在2016年宣布使用UL網路安全保障計劃（Cybersecurity Assurance Program，CAP）2900標準，這一系列標準旨在發現被測試IoT聯網設備的網路安全漏洞和弱點，使用戶可以購買到獲得UL安全認證的產品，且符合相關安全標準。UL分別針對軟體、硬體、組織與流程四個維度提供了用於測試和評估的技術標準。

物聯網DDoS攻擊所導致的美國東部大規模斷網事件，讓美國政府發現物聯網危機四伏，掌控安全是唯一的出路。美國白宮政府特別委託UL協同制定相關網路安全標準，即 UL 2900系列。其中包括針對軟體的UL 2900-1、針對硬體的UL 2900-2、以及分別聚焦組織與流程（執行）的UL 2900-3和UL 2900-4四項各有專攻的認證服務。

美國國家標準學會(ANSI)於7月5日批准了UL 2900-1「聯網產品軟體網路安全通用要求」。其提供了如何評估和測試聯網產品軟體安全的指導方針，包括軟體分析的標準方法，根除嵌入式惡意軟體的安全建議，以及要求產品在架構、設計和長期風險管理中建立物聯網安全風險控制的過程。此外，UL 2900-2-1醫療保健系統聯網組件要求和 UL 2900-2-2工業控制系統聯網組件要求兩項標準也已制定，UL 2900系列標準為聯網產品和系統的安全性測試與評估定義了技術準則，以評估軟體漏洞與弱點，降低攻擊風險，處置已知的惡意軟體。

值得一提的是，針對硬體所規範的UL 2900-2標準目前首推醫療設備(UL 2900-2-1)和工業控制系統(UL 2900-2-2)，其原因在於，醫療物聯網與工業控制物聯網與傳統人聯網路最大的差別是必須更加看重時間延遲度與數據資料的準確度。傳統信用卡付費若因系統錯誤造成資料傳遞延遲，在資料未被竊取的情況下，一般不會給人身乃至國家帶來過於重大的危害。但是對於醫療物聯網與工業控制物聯網安全來說，準時與精確絕對是無法忽視的關鍵因素。

商業產品認證（Commercial Product Assurance ,CPA）是英國政府通信總部（GCHQ）下屬的電子通信安全工作組（CESG）所使用的物聯網安全認證方法，其提高了商業產品在信息安全方面的可信度。CPA旨在確定產品符合物聯網安全要求，英國政府相關機構會根據已發布的CPA安全特徵對產品的軟硬體進行安全測試和認證，以確保敏感數據和信息的安全性。此外，其主要目標之一是通過提供基於證書的安全產品認證，鞏固以前的CESG計劃。

CPA對通過評估的安全產品會授予認證證書，證書意味著該產品被證明表現出良好的商業性安全實踐，適合較低的威脅環境。CPA認證有效期兩年，並允許產品在認證期限內進行必要的更新。

雖然CPA旨在取代其他物聯網安全認證方法，如通用準則CC。但由於沒有CPA的互認協議(MRA)，這意味著在英國測試的產品通常不會在其他市場被接受。

CSA STAR雲安全評估是基於國際權威非盈利組織雲安全聯盟（CloudSecurity Alliance，CSA）推出的雲控制矩陣(Cloud Control Matrix，CCM)，滿足雲計算安全領域特定要求，針對雲計算安全特性的一項國際性認證。同時它也是ISO/IEC 27001信息安全管理體系的增強版本，將雲安全的特有問題可視化，為雲服務商的安全管控能力提供了直觀的評估框架。

CSA與行業工作組共同開發出雲控制矩陣CCM，規定了雲安全相關的常用控制措施，填補了相關空白。英國標準協會BSI與CSA通力合作，基於該矩陣開發出全新的安全、信任和保證註冊(Security,Trust & Assurance Registry，STAR）雲安全評估。該評估分為三個層級，每個層級為雲服務供應商提供增量級別的信任和融合度，也為雲用戶提供更高安全級別的安全保障。開放認證框架構成如下圖所示。

圖 CSA開放認證框架

三個級別的認證描述分別為：

（1）第一級：自我評估。由雲端服務提供商填寫自我評鑒問卷，自我宣告對於CCM的遵循程度，並上傳至CSA的官方網站供公眾查閱。

（2）第二級：獨立第三方認證。由第三方機構依據ISO 27001、CCM及管理能力模型進行認證，確保供應商滿足CSA的CCM要求。

（3）第三級：持續監控。雲服務提供商公布基於CSA雲計算信任協議的安全監控結果，對雲服務相關安全要求進行持續的審計和評估。

CSA STAR評估方案在企業採用雲服務方面提供協助，擁有更高的透明度，使雲服務供應商(CSP)能夠增強其利益相關方的信心，使用戶相信供應商已部署了必要的控制措施來確保雲端數據安全。

在歐洲網路安全戰略中，目前的主要目標之一是建立平台，提供統一的安全指導方針來培育開發和採用安全ICT產品。產業與公共部門融合催生了歐洲網路安全組織(ECSO)，它將歐洲公共和私人利益攸關方彙集在一起。

ECSO分為6個任務工作組。其中，WG1（標準化、認證、標籤和供應鏈管理）的目標是通過對安全標準的支持和對歐盟範圍特定領域援助認證方案的促進銜接，構建歐盟信息和通信技術安全認證框架（與委員會聯絡並為2020年底之前公布的歐洲ICT安全認證框架提案作出貢獻），以便開展網路安全評估認證制度，維護和保障歐洲公民的利益。WG1分為四個工作組：

• SWG1.1：產品和組件供應商

• SWG1.2：ICT基礎設施運營商

• SWG1.3：服務提供商/集成商

• SWG1.4：基礎層（為其他SWG提供背景研究和支持）。

在WG1內，標籤和認證的一些基本要素和指導原則已被視為以前目標的基準，其原因為：標籤和認證將明確確定評估的對象，這包括所考慮的組件、基礎設施、服務或系統，以及其操作環境的描述。標籤和認證將定義各個級別的評估，每級都有不同的保證要求。

1993年6月，美國政府同加拿大及歐共體共同起草單一通用準則（CommonCriteria，CC）並將其樹立為國際標準。制定CC標準的目的是建立一個各國都能接受的通用的信息安全產品和系統安全性評估準則，評估結果具有可比性，有助於消費者確定這些IT產品是否滿足其安全需求。

CC在評估中具有很大的靈活性，因此不受通常所理解的IT產品界限的限制。在評估背景下CC使用評估目標（TOE，TOE被定義為一組軟體、固件和/或硬體的任意組合），它給消費者（特別是消費群體和感興趣的社區）實施獨立結構，稱為保護輪廓(PP)，以明確的方式表達其安全要求。這些要求被包含在稱為安全目標(ST)的實現依賴結構中。這個ST可以基於一個或多個PP來顯示其符合安全性消費者對這些PP所規定的要求。而ST總是描述特定的TOE（例如MinuteGap v18.5防火牆），PP旨在描述TOE類型（例如防火牆）。因此，相同的PP可以用作許多不同ST的模板。

CC主要包括兩項內容：保護輪廓PP和評估保障級EAL。保護輪廓PP為具體產品規定一套標準的安全要求，如防火牆。評估保障級EAL規定產品安全可信度指標。評估保障級從1級到7級，1級為最低級別，7級為最高級別。等級越高，表示通過認證需要滿足的安全保障要求越多，系統的安全特性越可靠。

提交評估產品之前，供應商首先要完成一項安全目標(ST)描述，這其中包括產品概述與安全特徵、潛在安全威脅評估，以及供應商在已選評估保護等級EAL基礎上詳述產品與相關保護輪廓相符程度的自我評價。接著，檢驗室通過核實產品安全特徵、評估它與保護輪廓PP規定標準的相符程度來檢測產品。積極的評估結果是構成產品官方認證的基礎。

GB/T 18336國家標準等同CC，在GB/T 18336中定義了以下7個評估認證級（分別對應EAL1-7）：

(1) 評估保障級1——功能測試；

(2) 評估保障級2——結構測試；

(3) 評估保障級3——系統地測試和檢查；

(4) 評估保障級4——系統地設計、測試和複查；

(5) 評估保障級5——半形式化設計和測試；

(6) 評估保障級6——半形式化驗證的設計和測試；

(7) 評估保障級7——形式化驗證的設計和測試。

CC是國際通行的信息技術產品安全性評價規範，它基於保護輪廓和安全目標提出安全需求，具有靈活性和合理性，基於功能要求和保證要求進行安全評估，能夠實現分級評估目標，不僅考慮了保密性評估要求，還考慮了完整性和可用性多方面安全要求。

但是CC評估費用高、周期長、操作複雜且認證具有一定局限性。CC會在某些配置中驗證產品的特定版本，配置的任何變化或產品的任何更新都將影響評估目標(TOE)，這不是一個理想的情況。產品發展並以瘋狂的速度更新，認證不能被凍結到產品的特定版本。其次，準備評估證據和其他評估相關文件所需的努力和時間是如此繁瑣，在工作完成之後，評估中的產品通常是過時的。另外，CC的評估費用高，卻僅側重於評估文件，而不是產品本身的實際安全性、技術正確性或優點。

梆梆安全研究院針對車聯網、智能家居等物聯網產品或系統的安全進行了長期深入的研究，下設的物聯網安全實驗室根據國際上的IoT安全可信認證方法制定了聯網設備安全基線檢測方案，並已應用在實際的物聯網終端設備安全檢測中。目前在智能網聯車的實車、車機終端T-BOX、IVI以及其他組件滲透測試和智能家居設備的安全檢測中，通過此安全基線檢測方案發現了產品、系統的脆弱環節和可被利用的安全漏洞。梆梆安全物聯網安全實驗室不僅採用系統的方法來發現漏洞，同時會針對發現的安全問題提供修復建議，為保障物聯網安全、保護用戶的智能生活提供全方位的安全服務。

網 絡 強 國 建 設 的 思 想 庫

—— 安 全 產 業 發 展 的 情 報 站 ——

創 新 企 業 騰 飛 的 動 力 源