近日�����,ISO、IEC制定發(fā)布了多項(xiàng)新的國(guó)際標(biāo)準(zhǔn)���。認(rèn)證君將最新標(biāo)準(zhǔn)動(dòng)態(tài)整理如下:
ISO發(fā)布首項(xiàng)關(guān)于客梯的國(guó)際標(biāo)準(zhǔn)
在任一特定時(shí)刻��,全世界都有成千上萬(wàn)的貨梯和客梯運(yùn)營(yíng)���,由于出臺(tái)了一些相當(dāng)嚴(yán)格的標(biāo)準(zhǔn)��,這些電梯才得以安全地送我們上下樓���。但適用于電梯的國(guó)家或地區(qū)規(guī)則和法規(guī)反映在不同的標(biāo)準(zhǔn)中,從而給國(guó)際貿(mào)易帶來(lái)問(wèn)題���。剛剛發(fā)布的ISO國(guó)際標(biāo)準(zhǔn)首次將這些標(biāo)準(zhǔn)協(xié)調(diào)一致起來(lái)��,從而實(shí)現(xiàn)安全性的提高和技術(shù)的發(fā)展。
電梯起源于數(shù)千年前的手動(dòng)滑輪�����,例如羅馬競(jìng)技場(chǎng)中奴隸操作的滑輪?�,F(xiàn)在有些裝置是令人驚嘆的工程技術(shù)�����,例如密蘇里州的拱門。然而�����,大多數(shù)電梯都不那么有魅力����,只是為了把我們從一個(gè)樓層運(yùn)送到另一個(gè)樓層。
世界上主要有三種標(biāo)準(zhǔn)用于概述電梯機(jī)械特征和操作特性��,這三種標(biāo)準(zhǔn)都達(dá)到了類似的安全與質(zhì)量水準(zhǔn)����。但是,這三種標(biāo)準(zhǔn)都有不同的要求���,并且與其運(yùn)作的經(jīng)濟(jì)領(lǐng)域有關(guān)聯(lián)����,這就意味著這些標(biāo)準(zhǔn)并不總能被世界其他地區(qū)所接受��。
ISO 8100人員和貨物運(yùn)輸用升降梯—第1部分:客梯及貨梯和第2部分:升降梯部件的設(shè)計(jì)規(guī)則��、計(jì)算�、檢查和檢驗(yàn)通過(guò)在所有經(jīng)濟(jì)領(lǐng)域提供符合當(dāng)?shù)胤ㄒ?guī)的國(guó)際通用標(biāo)準(zhǔn)來(lái)克服這些難題�。
制定標(biāo)準(zhǔn)的ISO技術(shù)委員會(huì)主席吉羅����?克施文德納(Gero Gschwendtner)博士表示,現(xiàn)行標(biāo)準(zhǔn)的協(xié)調(diào)消除了國(guó)際貿(mào)易壁壘�,并確保了世界所有利益相關(guān)方的安全水平。
“這不僅會(huì)減少該領(lǐng)域許多企業(yè)的管理業(yè)務(wù)���,還將為安全��、創(chuàng)新和新技術(shù)的發(fā)展提供平臺(tái)����?����!?/span>
ISO 8100-1和ISO 8100-2是由ISO/TC 178 升降梯�、自動(dòng)扶梯和自動(dòng)人行道技術(shù)委員會(huì)制定�����,其秘書處是由AFNOR(ISO的法國(guó)成員)承擔(dān)��。
ISO發(fā)布衡量城市“智能”表現(xiàn)的新國(guó)際
標(biāo)準(zhǔn)ISO 37122《可持續(xù)城市與社區(qū)–智能城市指標(biāo)》
城市生活水平不斷提高,從1950年世界人口的7.51億增加到2018年的42億���,預(yù)計(jì)到2050年將達(dá)到67億�����。城市如何適應(yīng)和準(zhǔn)備以確保提供充足的資源和可持續(xù)的未來(lái)�?他們無(wú)法改善不能衡量的事物����。ISO智能城市系列的最新標(biāo)準(zhǔn)目的就是為其提供幫助。
ISO 37100系列國(guó)際標(biāo)準(zhǔn)可幫助社區(qū)采取更具可持續(xù)性和彈性的戰(zhàn)略�。剛剛發(fā)布的該系列最新版本的ISO 37122《可持續(xù)城市與社區(qū)–智能城市指標(biāo)》,為城市提供了一套指標(biāo)��,用于衡量其在多個(gè)領(lǐng)域的績(jī)效����,使各國(guó)家和城市能夠汲取世界上其他城市發(fā)展的經(jīng)驗(yàn)教訓(xùn),找到創(chuàng)新的解決方案。
該標(biāo)準(zhǔn)是對(duì)ISO 37120《可持續(xù)城市和社區(qū)–城市服務(wù)和生活質(zhì)量指標(biāo)》的補(bǔ)充�����,其中概述了評(píng)估城市服務(wù)提供和生活質(zhì)量的關(guān)鍵衡量標(biāo)準(zhǔn)���。它們共同構(gòu)成了一套標(biāo)準(zhǔn)化指標(biāo)���,為衡量什么以及如何進(jìn)行衡量提供了可以在城市和國(guó)家之間進(jìn)行比較的統(tǒng)一的測(cè)量方法��。這些標(biāo)準(zhǔn)還指導(dǎo)各城市如何評(píng)估其在促進(jìn)聯(lián)合國(guó)可持續(xù)發(fā)展目標(biāo)����、實(shí)現(xiàn)更可持續(xù)世界的全球路線圖方面的表現(xiàn)����。
制定該標(biāo)準(zhǔn)的ISO技術(shù)委員會(huì)可持續(xù)城市和社區(qū)的ISO/TC268主席BernardGindroz說(shuō),ISO 37122定義了指標(biāo)以及方法和做法�����,可以迅速顯著改善社會(huì)���、經(jīng)濟(jì)和環(huán)境可持續(xù)性����。
他說(shuō):“當(dāng)與定義了社區(qū)可持續(xù)發(fā)展管理系統(tǒng)ISO 37101和ISO 37120結(jié)合使用時(shí)����,該標(biāo)準(zhǔn)可幫助城市在一系列領(lǐng)域?qū)嵤┲悄艹鞘许?xiàng)目。包括那些通過(guò)更好地與社會(huì)交往來(lái)應(yīng)對(duì)人口增長(zhǎng)�����、氣候變化以及政治和經(jīng)濟(jì)不穩(wěn)定等城市化問(wèn)題的國(guó)家��。它提供了有效的領(lǐng)導(dǎo)方法�、最新技術(shù)和做法,幫助其提高公民的生活質(zhì)量�����,實(shí)現(xiàn)其環(huán)境目標(biāo)��,同時(shí)促進(jìn)創(chuàng)新和增長(zhǎng)�。”
IEC制定針對(duì)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)攻擊的國(guó)際標(biāo)準(zhǔn)
關(guān)鍵基礎(chǔ)設(shè)施�����,無(wú)論是發(fā)電廠����、國(guó)家鐵路和地方地下交通系統(tǒng),還是其他形式的公共交通��,都日益成為網(wǎng)絡(luò)攻擊的目標(biāo)。網(wǎng)絡(luò)攻擊可能會(huì)切斷醫(yī)院��、家庭���、學(xué)校和工廠的電力供應(yīng)���。我們非常依賴高效的電力供應(yīng),斷電也將對(duì)其他重要服務(wù)產(chǎn)生重大影響���。近年來(lái)發(fā)生的一些事件不僅證明了威脅是切實(shí)存在的���,而且還表明,我們不止一次地從噩夢(mèng)般的后果中死里逃生�����。
以下三個(gè)例子說(shuō)明了網(wǎng)絡(luò)武器的演變����,包括旨在破壞關(guān)鍵基礎(chǔ)設(shè)施運(yùn)行的惡意軟件。網(wǎng)絡(luò)化傳感器和其他連接設(shè)備在工業(yè)環(huán)境中的使用日益增加����,雖然這提高了我們的效率��,但它也增加了攻擊面。
一��、三次讓世界屏息的時(shí)刻
2010年對(duì)伊朗納坦茲核電站的襲擊在歷史上留下特殊的一筆���。當(dāng)時(shí)����,所謂的Stuxnet惡意軟件首次公開(kāi)亮相����,并設(shè)法使核電站停止運(yùn)轉(zhuǎn)。Stuxnet蠕蟲經(jīng)過(guò)編程設(shè)計(jì)����,讓電機(jī)失控從而損壞通常用于濃縮鈾離心機(jī)的電機(jī)。該軟件成功地讓1000臺(tái)離心機(jī)暫停運(yùn)轉(zhuǎn)����。
五年后,2015年12月�����,烏克蘭遭遇了前所未有的電網(wǎng)攻擊。這次襲擊導(dǎo)致大范圍停電���。黑客侵入了三家能源公司�����,并暫時(shí)關(guān)閉了烏克蘭三個(gè)地區(qū)的發(fā)電����。在隆冬時(shí)節(jié)�,將近25萬(wàn)人斷電長(zhǎng)達(dá)6小時(shí)。攻擊者利用BlackEnergy3惡意軟件關(guān)閉了三個(gè)變電站����。據(jù)信,該惡意軟件是通過(guò)spear phishing (網(wǎng)絡(luò)釣魚)電子郵件發(fā)送的����,并隱藏在假冒的Microsoft Office附件中。
我們所知道的第三次也是最令人震驚的襲擊發(fā)生在2017年��。網(wǎng)絡(luò)恐怖分子假定遠(yuǎn)程控制一個(gè)廣為報(bào)道的位于沙特阿拉伯的工作站����。他們使用一種稱為Triton的新型惡意軟件來(lái)接管核電站的安全儀表系統(tǒng)(emSIS)��。同樣��,惡意軟件是專門為工業(yè)控制系統(tǒng)配置的�����,該系統(tǒng)也稱為操作技術(shù)(OT)。
調(diào)查人員認(rèn)為��,這是一種蓄意破壞行為�����,旨在通過(guò)破壞防止災(zāi)難性工業(yè)事故發(fā)生的安全系統(tǒng)來(lái)引發(fā)爆炸����。以前的攻擊集中在破壞數(shù)據(jù)或關(guān)閉能源工廠。根據(jù)一些報(bào)告��,只有編碼錯(cuò)誤才能防止這種情況的發(fā)生�。證據(jù)指向該事件源于另一個(gè)網(wǎng)絡(luò)釣魚或魚叉式網(wǎng)絡(luò)釣魚軟件的攻擊。
二�����、經(jīng)驗(yàn)教訓(xùn)
這些事件向我們表明,至少在過(guò)去的十年中�����,黑客一直在創(chuàng)建針對(duì)操作技術(shù)的惡意代碼��。三起事件都是由惡意軟件觸發(fā)的��,這一事實(shí)也說(shuō)明����,我們需要對(duì)網(wǎng)絡(luò)安全采取一種綜合的方法,將過(guò)程����、技術(shù)和人員結(jié)合起來(lái)。
網(wǎng)絡(luò)安全專家公司(Security in Depth)的首席執(zhí)行官邁克爾����?康納利(Michael Connory)最近告訴澳大利亞廣播公司(ABC),“全球90%的網(wǎng)絡(luò)攻擊都是從電子郵件開(kāi)始的”�����。網(wǎng)絡(luò)的安全性取決于整個(gè)鏈條中最薄弱的環(huán)節(jié),這是不言而喻的�����。
另一個(gè)關(guān)鍵問(wèn)題是理解IT和OT之間區(qū)別的重要性�����。隨著威脅向量擴(kuò)展到諸如智能恒溫器之類的基礎(chǔ)資產(chǎn)��,操作技術(shù)變得越來(lái)越容易獲得����。面臨的挑戰(zhàn)是��,網(wǎng)絡(luò)安全計(jì)劃往往由IT路徑主導(dǎo)�。事實(shí)上,能源等行業(yè)以及包括制造業(yè)��、醫(yī)療保健和運(yùn)輸業(yè)在內(nèi)的許多其他行業(yè)的運(yùn)營(yíng)限制意味著我們需要一種網(wǎng)絡(luò)安全路徑���,同時(shí)也保護(hù)OT���。
IT的主要焦點(diǎn)是數(shù)據(jù)及其自由��、安全流動(dòng)的能力��。IT存在于虛擬世界中�,數(shù)據(jù)在虛擬世界中得以存儲(chǔ)����、檢索、傳輸和操作�。它是流動(dòng)的,有許多移動(dòng)部件和網(wǎng)關(guān)����,這使其極其脆弱,并為各種不斷演變的攻擊提供了一個(gè)巨大的可攻擊表面�����。攻擊防御是指保護(hù)每一層結(jié)構(gòu)���,并不斷識(shí)別和糾正弱點(diǎn)以保持?jǐn)?shù)據(jù)流動(dòng)�。
與此相反�����,OT屬于現(xiàn)實(shí)世界,它確保了所有指令動(dòng)作的正確執(zhí)行���。雖然IT必須保護(hù)系統(tǒng)的每一層���,但OT關(guān)乎維護(hù)系統(tǒng)的控制,這些系統(tǒng)可能是打開(kāi)或關(guān)閉�����、封閉或開(kāi)放的��。OT系統(tǒng)是為特定的操作而設(shè)計(jì)的��,例如確保打開(kāi)或關(guān)閉發(fā)電機(jī)�����,或確?�;瘜W(xué)品罐充盈時(shí)溢流閥打開(kāi)��。OT屬于現(xiàn)實(shí)世界����,確保過(guò)去通常是封閉系統(tǒng)的安全以及控制。OT中的一切都是為了物理移動(dòng)��、控制設(shè)備和流程�,以保持系統(tǒng)按預(yù)期工作,主要關(guān)注安全性和效率提高�����。
隨著工業(yè)物聯(lián)網(wǎng)(IIOT)的出現(xiàn)�,以及物理機(jī)器與聯(lián)網(wǎng)傳感器和軟件的集成,IT與OT之間的界限變得越來(lái)越模糊���。隨著越來(lái)越多的對(duì)象相互連接�����、通信和交互����,網(wǎng)絡(luò)罪犯獲取網(wǎng)絡(luò)和基礎(chǔ)設(shè)施系統(tǒng)的端點(diǎn)以及潛在途徑的數(shù)量激增�。
消防隊(duì)撲滅了大火,但沒(méi)有解決根本原因����。在初始設(shè)計(jì)和開(kāi)發(fā)階段��,就開(kāi)始考慮安全威脅至關(guān)重要�。在許多情況下�����,組織只關(guān)注實(shí)施后的安全性�����,而不是從開(kāi)發(fā)生命周期開(kāi)始構(gòu)建網(wǎng)絡(luò)彈性����。IEC/TC/57技術(shù)委員會(huì)的工作為最佳實(shí)踐的標(biāo)準(zhǔn)化提供了一個(gè)很好的例子。
三��、設(shè)計(jì)安全性
IEC/TC 57成立了一個(gè)工作組(WG 15)���,通過(guò)設(shè)計(jì)確保電網(wǎng)安全�。該工作組從技術(shù)角度評(píng)估要求���,并定義了實(shí)現(xiàn)要求的標(biāo)準(zhǔn)方法,已經(jīng)確定了設(shè)計(jì)安全電力系統(tǒng)所需的組件�。其中包括端到端加密原則���、所有用戶角色的定義和身份管理,以及對(duì)系統(tǒng)本身的普遍監(jiān)控�����。
“我們今天所做的一切都將在今后繼續(xù)���,但我們需要改變我們的重點(diǎn)�,” IEC/TC 57/WG 15成員莫雷諾�����?卡魯洛(Moreno Carullo)說(shuō)����。“我們需要從尋找壞人轉(zhuǎn)向設(shè)計(jì)安全���?!?br style="BOX-SIZING: border-box !important; PADDING-BOTTOM: 0px; MARGIN: 0px; PADDING-LEFT: 0px; PADDING-RIGHT: 0px; MAX-WIDTH: 100%; WORD-WRAP: break-word !important; PADDING-TOP: 0px"/>
目前�,IEC 62351系列標(biāo)準(zhǔn)(參見(jiàn)IEC 62351-1:詳細(xì)概述簡(jiǎn)介)描述了安全電力系統(tǒng)的架構(gòu),并對(duì)其協(xié)議和組件進(jìn)行了標(biāo)準(zhǔn)化。一篇有趣的文章對(duì)其進(jìn)行了更好的概述�����,它是IEC 62351-10:TC57系統(tǒng)的安全架構(gòu)指南�。
四、標(biāo)準(zhǔn)及合格評(píng)定
IEC認(rèn)為�����,全面����、基于風(fēng)險(xiǎn)的方法是建立網(wǎng)絡(luò)彈性的最佳途徑?�;陲L(fēng)險(xiǎn)的方法可能非常有效���,尤其是在評(píng)估現(xiàn)有或潛在的內(nèi)部脆弱性并確定或可能的外部威脅的基礎(chǔ)上���。這是將標(biāo)準(zhǔn)與測(cè)試和認(rèn)證(也稱為合格評(píng)定)結(jié)合在一起的整體方法的一部分,而不是將它們視為不同的領(lǐng)域��,因此效果最好���。
這種方法不僅展示了基于最佳實(shí)踐的安全措施的使用��,而且表明組織已經(jīng)有效地實(shí)施了這些措施����,從而增強(qiáng)了利益相關(guān)者的信心�。系統(tǒng)方法通過(guò)將風(fēng)險(xiǎn)優(yōu)先化和降低到可接受的水平來(lái)工作,這需要一種中立的方法��,根據(jù)不同的風(fēng)險(xiǎn)水平����,適應(yīng)從自我評(píng)估到獨(dú)立的第三方測(cè)試等不同類型的符合性評(píng)估。
許多組織將其網(wǎng)絡(luò)安全戰(zhàn)略建立在遵守強(qiáng)制性規(guī)則和法規(guī)的基礎(chǔ)上����。這雖然可能會(huì)提高安全性,但卻無(wú)法全面滿足各個(gè)組織的需求�。最堅(jiān)固的防御系統(tǒng)同時(shí)依賴于“水平”和“垂直”標(biāo)準(zhǔn)。水平標(biāo)準(zhǔn)具有通用性和靈活性����,而垂直標(biāo)準(zhǔn)則滿足非常特殊的需求。其中兩個(gè)水平標(biāo)準(zhǔn)的例子尤其突出�����。
五、水平和垂直標(biāo)準(zhǔn)
ISO/IEC 27000系列標(biāo)準(zhǔn)有助于保護(hù)純信息系統(tǒng)(IT)�����,并確保虛擬世界中的數(shù)據(jù)自由流動(dòng)�����。它提供了一個(gè)強(qiáng)大的橫向框架��,用于在控制措施的實(shí)施�����、維護(hù)和持續(xù)改進(jìn)中對(duì)照最佳規(guī)范進(jìn)行基準(zhǔn)測(cè)試���。
IEC 62443是另一個(gè)橫向標(biāo)準(zhǔn)系列���,旨在保持OT系統(tǒng)在現(xiàn)實(shí)世界中運(yùn)行。它可以應(yīng)用于任何工業(yè)環(huán)境���,包括關(guān)鍵的基礎(chǔ)設(shè)施����,如電力設(shè)施或核電站,以及衛(wèi)生和運(yùn)輸部門�����。IECEE是電工設(shè)備和元件的IEC合格評(píng)定體系����,該體系已建立了基于IEC 62443系列標(biāo)準(zhǔn)的全球認(rèn)證服務(wù)����。
補(bǔ)充橫向標(biāo)準(zhǔn)是為滿足特定行業(yè)的需求而設(shè)計(jì)的定制解決方案?��?v向標(biāo)準(zhǔn)涵蓋了核部門�、工業(yè)通信網(wǎng)絡(luò)�����、工業(yè)自動(dòng)化和海事行業(yè)等的特定安全需求����。
六�����、彈性構(gòu)建
任何網(wǎng)絡(luò)安全戰(zhàn)略的目標(biāo)都是盡可能多地保護(hù)資產(chǎn)���,當(dāng)然也包括最重要的資產(chǎn)。由于以平等的方式保護(hù)每件事是不可行的���,因此重要的是要確定哪些東西是有價(jià)值的���,哪些東西需要最大力度的保護(hù),識(shí)別漏洞�����、然后確定優(yōu)先級(jí)����,并建立確保業(yè)務(wù)連續(xù)性的縱深防御體系結(jié)構(gòu)。
實(shí)現(xiàn)彈性在很大程度上要理解和減輕風(fēng)險(xiǎn)�,以便在系統(tǒng)的適當(dāng)點(diǎn)上應(yīng)用正確的保護(hù)。至關(guān)重要的是�,這一過(guò)程與組織目標(biāo)密切相關(guān),因?yàn)榫徑鉀Q策可能會(huì)對(duì)運(yùn)營(yíng)產(chǎn)生嚴(yán)重影響��。理想情況下,它應(yīng)該基于一種涉及整個(gè)組織利益相關(guān)者的系統(tǒng)方法����。
縱深防御的一個(gè)關(guān)鍵概念是,安全需要一套協(xié)調(diào)的措施�。在應(yīng)對(duì)網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)和后果時(shí),有四個(gè)步驟是必須實(shí)現(xiàn)的:1.了解系統(tǒng)�����,明確什么是有價(jià)值的����,什么是最需要防護(hù)的�。2.通過(guò)威脅建模和風(fēng)險(xiǎn)評(píng)估了解已知威脅。3.在國(guó)際標(biāo)準(zhǔn)的幫助下��,基于全球最佳規(guī)范�,解決風(fēng)險(xiǎn)并實(shí)施保護(hù)。4.根據(jù)要求采用適當(dāng)水平的合格評(píng)定-測(cè)試和認(rèn)證����。
另一種方式是將其視為網(wǎng)絡(luò)安全的ABC:A是評(píng)估、B是解決風(fēng)險(xiǎn)的最佳規(guī)范����、C是用于檢測(cè)和維護(hù)的合格評(píng)定�����。
基于風(fēng)險(xiǎn)的系統(tǒng)方法不僅展示了基于最佳規(guī)范的安全措施使用�,還證明一個(gè)組織已有效地實(shí)施了這一系列措施,這增強(qiáng)了所有利益相關(guān)者的信心����。也就是說(shuō)要將正確的標(biāo)準(zhǔn)與適當(dāng)?shù)暮细裨u(píng)定水平相結(jié)合�����,而不是將其視為不同的領(lǐng)域���。
合格評(píng)定的目的是評(píng)定體系的組成部分�����、人員設(shè)計(jì)����、操作和維護(hù)人員的能力,以及用于運(yùn)行該體系的過(guò)程和程序�����。這可能意味著使用不同類型的合格評(píng)定——從企業(yè)自我評(píng)定或完全依賴供應(yīng)商的聲明到獨(dú)立的第三方評(píng)定和測(cè)試——并根據(jù)不同的風(fēng)險(xiǎn)等級(jí)選擇最合適的����。
在網(wǎng)絡(luò)威脅日益普遍的世界中,能夠應(yīng)用一套特定的國(guó)際標(biāo)準(zhǔn)��,并結(jié)合專門的全球認(rèn)證計(jì)劃���,是建立長(zhǎng)期網(wǎng)絡(luò)彈性的一種行之有效的方法��。然而,標(biāo)準(zhǔn)和合格評(píng)定只能在根據(jù)威脅和漏洞的整體評(píng)估的基于風(fēng)險(xiǎn)的方法中發(fā)揮最大作用����。這種方法不僅整合了技術(shù)和過(guò)程,還整合了人員��,認(rèn)識(shí)到培訓(xùn)的重要作用�。
