工业化IT安全认证发展趋势

1、工业化IT安全认证发展趋势工业控制产品不可克隆的个人身份 安全认证/通信- 解决方案：安全元件管理运营级1控制域级以太网/ModbusTCP以太网/IP设施控制机器控制1机器控制2Web终端 WOP-3000T安全元件安全身份（eID）银行卡移动安全内置安全 智能设备轨道交通，票务2适用标准3适用标准目标保护存储/处理 的安全数据免遭 篡改和监控对已实施的安全机制进行漏洞分析（防范高潜攻击者，即时间、成本、 设备投入度高的攻击者）审计开发和生产环境（全生命周期）在硬件评估实验室开展渗透测试4方法评估周期表概念成品xxx文档评估规范设计评审实现工程样品预测试最终测试证书6至9个月53个月3个月具

2、体的时间线取决于客户可能的攻击路径逻辑攻击软件攻击物理攻击被动侧信道分析（功 耗分析）扰动攻击（故障注入）ISO接口（有接点/无接点）芯片表面电刺激（毛刺等）6通信电测量和分析（也用于非粘合垫）电刺激能源和粒子暴露（如温度）检验和逆向工程物理操作电测量和分析电磁相互作用/辐射和 分析TVIT硬件 - 实验室7侧信道攻击（简单功耗分析） 监测计算数据8确定IC上的最佳探针位置 - EM热图9操作设置：程序流程(例如跳过命令)计算数据(例如结论)内存内容(例如存储的计算方式）干扰攻击故障攻击：电磁故障注入(激光，EM-FI)10ENISA (欧洲联盟网络与信息安全局, 2004)欧洲网络安全专家评

3、定中心支持制定和执行欧盟关于网络和信息安全事务的政策和法律ECSO (欧洲网络安全组织,2016)代表行业主导合作协定者向欧盟委员会实施网络安全国家具体组织(例如德国信息安全办公室, 国家资讯科技保安部, 美国国家计算机安全中心, )欧洲情况11普遍问题来源：欧盟通讯卫星组织12信息技术安全评估通用准则(COMMON CRITERIA) 通用安全准则国际互认协 定(CCRA)证书签发国和证书消费国- 证书消费国13欧洲: SOGIS CCRA 互认协议欧盟:17 (of 28) 国家445 (of 512) 百万人口(87%)欧盟: 既不是 SOGIS 也不是CCRAEU: CCRAEU: S

4、OGISEU: SOGIS 和CCRA欧盟以外: CCRA14通用标准的重要性产品/组件应用领域必选/CC保证等级在线医疗和远程信息 处理基础设施智能能源电子签名云计算eID政府/军事用途EAL4EAL2 EAL4EAL4EAL4EAL4 EAL4 EAL4 EAL4EAL2EAL4EAL4EAL2至EAL6信息技术在线医疗智能卡在线医疗终端连接器（连至在线医疗骨干）智能抄表网关签名智能卡签名终端 签名软件时间戳服务器 证书服务器云服务器电子护照国民身份证秘密硬件、软件和加密组件可信平台模块（TPM） 防火墙数据库生物识别系统 以及更多15自愿/市场驱动EAL3EAL2至EAL4EAL2至EA

5、L4 EAL2至EAL4通用标准的重要性来源：欧洲网络与信息安全局Top 5智能卡证书分类边界保护设备和系统16网络及网络相关设备 和系统操作系统数字签名产品其他设备和系统IC、智能卡及智能卡相 关设备和系统17目前存在的收集http:/www.ecs-org.eu/documents/uploads/updated-sota.pdf18欧盟统一个人数据保护法（欧盟-GDPR）欧洲议会及欧盟理事会2016年4月27日颁布的(EU) 2016/679号 法规保护自然人个人数据处理和自由流动于2018年5月25日起生效!19EU DATENSCHUTZGRUNDVERORDNUNG (EU-DSGVO)欧盟统一个人数据保护法（欧盟GDPR）目标促进欧盟数据安全法的协调与现代化发展 创建公平竞争的条件（高于国家权利）GDPR适用于如下处理欧盟公民的个人数据公司：在欧盟内设有子公司的公司，即使数据处理发生在欧盟境外在欧盟外设有子公司的公司，且数据处理与提供产品或服务有关（市场区位原则）如违反GDPR，将面临高额罚款：罚款金额高达1000万或2000万欧元、或 全球年营业总额的2%或4%20海思(Atlanta, Boston, Chicago): CC / EMVCo认证海思麒麟980系统