多項(xiàng)新的國(guó)際標(biāo)準(zhǔn)制定發(fā)布
作者:admin 發(fā)表時(shí)間:2019/8/1 15:32:48 點(diǎn)擊:1855
近日,ISO、IEC制定發(fā)布了多項(xiàng)新的國(guó)際標(biāo)準(zhǔn)����。
ISO發(fā)布首項(xiàng)關(guān)于客梯的國(guó)際標(biāo)準(zhǔn)
在任一特定時(shí)刻�����,全世界都有成千上萬(wàn)的貨梯和客梯運(yùn)營(yíng),正是由于出臺(tái)了一些相當(dāng)嚴(yán)格的標(biāo)準(zhǔn)�����,這些電梯才得以安全地送我們上下樓�����。但適用于電梯的國(guó)家或地區(qū)規(guī)則和法規(guī)反映在不同的標(biāo)準(zhǔn)中�����,從而給國(guó)際貿(mào)易帶來困擾����。剛剛發(fā)布的ISO國(guó)際標(biāo)準(zhǔn)首次將這些標(biāo)準(zhǔn)協(xié)調(diào)一致起來�����,從而實(shí)現(xiàn)安全性的提高和技術(shù)的發(fā)展�����。
電梯起源于數(shù)千年前的手動(dòng)滑輪�����,例如羅馬競(jìng)技場(chǎng)中奴隸操作的滑輪。現(xiàn)在有些裝置是令人驚嘆的工程技術(shù)����,例如密蘇里州的拱門。然而�����,大多數(shù)電梯都不那么有魅力����,只是為了把我們從一個(gè)樓層運(yùn)送到另一個(gè)樓層。
世界上主要有三種標(biāo)準(zhǔn)用于概述電梯機(jī)械特征和操作特性����,這三種標(biāo)準(zhǔn)都達(dá)到了類似的安全與質(zhì)量水準(zhǔn)。但是����,這三種標(biāo)準(zhǔn)都有不同的要求,并且與其運(yùn)作的經(jīng)濟(jì)領(lǐng)域有關(guān)聯(lián)����,這就意味著這些標(biāo)準(zhǔn)并不總能被世界其他地區(qū)所接受����。
ISO 8100人員和貨物運(yùn)輸用升降梯—第1部分:客梯及貨梯和第2部分:升降梯部件的設(shè)計(jì)規(guī)則����、計(jì)算、檢查和檢驗(yàn)通過在所有經(jīng)濟(jì)領(lǐng)域提供符合當(dāng)?shù)胤ㄒ?guī)的國(guó)際通用標(biāo)準(zhǔn)來克服這些難題�����。
制定標(biāo)準(zhǔn)的ISO技術(shù)委員會(huì)主席吉羅•克施文德納(Gero Gschwendtner)博士表示�����,現(xiàn)行標(biāo)準(zhǔn)的協(xié)調(diào)消除了國(guó)際貿(mào)易壁壘�����,并確保了世界所有利益相關(guān)方的安全水平����。
“這不僅會(huì)減少該領(lǐng)域許多企業(yè)的管理業(yè)務(wù)�����,還將為安全、創(chuàng)新和新技術(shù)的發(fā)展提供平臺(tái)���������!
ISO 8100-1和ISO 8100-2是由ISO/TC 178 升降梯、自動(dòng)扶梯和自動(dòng)人行道技術(shù)委員會(huì)制定����,其秘書處是由AFNOR(ISO的法國(guó)成員)承擔(dān)。
ISO發(fā)布衡量城市“智能”表現(xiàn)的新國(guó)際
標(biāo)準(zhǔn)ISO 37122《可持續(xù)城市與社區(qū)–智能城市指標(biāo)》
城市生活水平不斷提高����,從1950年世界人口的7.51億增加到2018年的42億,預(yù)計(jì)到2050年將達(dá)到67億����。城市如何應(yīng)對(duì)以確保提供充足的資源和可持續(xù)的未來?ISO智能城市系列的最新標(biāo)準(zhǔn)旨在為其提供幫助�����。
ISO 37100系列國(guó)際標(biāo)準(zhǔn)可幫助社區(qū)采取更具可持續(xù)性和彈性的戰(zhàn)略�����。剛剛發(fā)布的該系列最新版本的ISO 37122《可持續(xù)城市與社區(qū)–智能城市指標(biāo)》,為城市提供了一套指標(biāo)����,用于衡量其在多個(gè)領(lǐng)域的績(jī)效,使各個(gè)國(guó)家和城市能夠汲取世界上其他城市發(fā)展的經(jīng)驗(yàn)教訓(xùn),找到創(chuàng)新的解決方案����。
該標(biāo)準(zhǔn)是對(duì)ISO 37120《可持續(xù)城市和社區(qū)–城市服務(wù)和生活質(zhì)量指標(biāo)》的補(bǔ)充,其中概述了評(píng)估城市服務(wù)提供和生活質(zhì)量的關(guān)鍵衡量標(biāo)準(zhǔn)����。它們共同構(gòu)成了一套標(biāo)準(zhǔn)化指標(biāo),為衡量什么以及如何進(jìn)行衡量提供了可以在城市和國(guó)家之間進(jìn)行比較的統(tǒng)一的測(cè)量方法����。這些標(biāo)準(zhǔn)還指導(dǎo)各城市如何評(píng)估其在促進(jìn)聯(lián)合國(guó)可持續(xù)發(fā)展目標(biāo)、實(shí)現(xiàn)更可持續(xù)世界的全球路線圖方面的表現(xiàn)�����。
制定該標(biāo)準(zhǔn)的ISO技術(shù)委員會(huì)可持續(xù)城市和社區(qū)的ISO/TC268主席BernardGindroz說����,ISO 37122定義了指標(biāo)以及方法和做法,可以迅速顯著改善社會(huì)�����、經(jīng)濟(jì)和環(huán)境可持續(xù)性����。
他說:“當(dāng)與定義了社區(qū)可持續(xù)發(fā)展管理系統(tǒng)ISO 37101和ISO 37120結(jié)合使用時(shí),該標(biāo)準(zhǔn)可幫助城市在一系列領(lǐng)域?qū)嵤┲悄艹鞘许?xiàng)目�����。包括那些通過更好地與社會(huì)交往來應(yīng)對(duì)人口增長(zhǎng)����、氣候變化以及政治和經(jīng)濟(jì)不穩(wěn)定等城市化問題的國(guó)家。它提供了有效的領(lǐng)導(dǎo)方法����、最新技術(shù)和做法,幫助其提高公民的生活質(zhì)量����,實(shí)現(xiàn)其環(huán)境目標(biāo),同時(shí)促進(jìn)創(chuàng)新和增長(zhǎng)�����!
IEC制定針對(duì)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)攻擊的國(guó)際標(biāo)準(zhǔn)
關(guān)鍵基礎(chǔ)設(shè)施�����,無(wú)論是發(fā)電廠�����、國(guó)家鐵路和地方地下交通系統(tǒng)�����,還是其他形式的公共交通����,都日益成為網(wǎng)絡(luò)攻擊的目標(biāo)。網(wǎng)絡(luò)攻擊可能會(huì)切斷醫(yī)院�����、家庭�����、學(xué)校和工廠的電力供應(yīng)����。我們非常依賴高效的電力供應(yīng),斷電也將對(duì)其他重要服務(wù)產(chǎn)生重大影響�����。近年來發(fā)生的一些事件不僅證明了威脅是切實(shí)存在的����,而且還表明,我們不止一次地從噩夢(mèng)般的后果中死里逃生�����。
以下三個(gè)例子說明了網(wǎng)絡(luò)武器的演變�����,包括旨在破壞關(guān)鍵基礎(chǔ)設(shè)施運(yùn)行的惡意軟件�����。網(wǎng)絡(luò)化傳感器和其他連接設(shè)備在工業(yè)環(huán)境中的使用日益增加,雖然這提高了我們的效率����,但它也增加了攻擊面。
一����、三次讓世界屏息的時(shí)刻
2010年對(duì)伊朗納坦茲核電站的襲擊在歷史上留下特殊的一筆。當(dāng)時(shí)�����,所謂的Stuxnet惡意軟件首次公開亮相����,并設(shè)法使核電站停止運(yùn)轉(zhuǎn)。Stuxnet蠕蟲經(jīng)過編程設(shè)計(jì)�����,讓電機(jī)失控從而損壞通常用于濃縮鈾離心機(jī)的電機(jī)�����。該軟件成功地讓1000臺(tái)離心機(jī)暫停運(yùn)轉(zhuǎn)����。
五年后�����,2015年12月,烏克蘭遭遇了前所未有的電網(wǎng)攻擊����。這次襲擊導(dǎo)致大范圍停電。黑客侵入了三家能源公司�����,并暫時(shí)關(guān)閉了烏克蘭三個(gè)地區(qū)的發(fā)電�����。在隆冬時(shí)節(jié)����,將近25萬(wàn)人斷電長(zhǎng)達(dá)6小時(shí)。攻擊者利用BlackEnergy3惡意軟件關(guān)閉了三個(gè)變電站����。據(jù)信�����,該惡意軟件是通過spear phishing (網(wǎng)絡(luò)釣魚)電子郵件發(fā)送的����,并隱藏在假冒的Microsoft Office附件中����。
我們所知道的第三次也是最令人震驚的襲擊發(fā)生在2017年。網(wǎng)絡(luò)恐怖分子假定遠(yuǎn)程控制一個(gè)廣為報(bào)道的位于沙特阿拉伯的工作站�����。他們使用一種稱為Triton的新型惡意軟件來接管核電站的安全儀表系統(tǒng)(emSIS)�����。同樣�����,惡意軟件是專門為工業(yè)控制系統(tǒng)配置的�����,該系統(tǒng)也稱為操作技術(shù)(OT)。
調(diào)查人員認(rèn)為�����,這是一種蓄意破壞行為����,旨在通過破壞防止災(zāi)難性工業(yè)事故發(fā)生的安全系統(tǒng)來引發(fā)爆炸�����。以前的攻擊集中在破壞數(shù)據(jù)或關(guān)閉能源工廠�����。根據(jù)一些報(bào)告����,只有編碼錯(cuò)誤才能防止這種情況的發(fā)生。證據(jù)指向該事件源于另一個(gè)網(wǎng)絡(luò)釣魚或魚叉式網(wǎng)絡(luò)釣魚軟件的攻擊�����。
二����、經(jīng)驗(yàn)教訓(xùn)
這些事件向我們表明�����,至少在過去的十年中�����,黑客一直在創(chuàng)建針對(duì)操作技術(shù)的惡意代碼����。三起事件都是由惡意軟件觸發(fā)的�����,這一事實(shí)也說明�����,我們需要對(duì)網(wǎng)絡(luò)安全采取一種綜合的方法�����,將過程�����、技術(shù)和人員結(jié)合起來。
網(wǎng)絡(luò)安全專家公司(Security in Depth)的首席執(zhí)行官邁克爾•康納利(Michael Connory)最近告訴澳大利亞廣播公司(ABC)�����,“全球90%的網(wǎng)絡(luò)攻擊都是從電子郵件開始的”�����。網(wǎng)絡(luò)的安全性取決于整個(gè)鏈條中最薄弱的環(huán)節(jié)����,這是不言而喻的�����。
另一個(gè)關(guān)鍵問題是理解IT和OT之間區(qū)別的重要性����。隨著威脅向量擴(kuò)展到諸如智能恒溫器之類的基礎(chǔ)資產(chǎn),操作技術(shù)變得越來越容易獲得�����。面臨的挑戰(zhàn)是,網(wǎng)絡(luò)安全計(jì)劃往往由IT路徑主導(dǎo)�����。事實(shí)上�����,能源等行業(yè)以及包括制造業(yè)�����、醫(yī)療保健和運(yùn)輸業(yè)在內(nèi)的許多其他行業(yè)的運(yùn)營(yíng)限制意味著我們需要一種網(wǎng)絡(luò)安全路徑����,同時(shí)也保護(hù)OT。
IT的主要焦點(diǎn)是數(shù)據(jù)及其自由����、安全流動(dòng)的能力。IT存在于虛擬世界中����,數(shù)據(jù)在虛擬世界中得以存儲(chǔ)、檢索、傳輸和操作����。它是流動(dòng)的,有許多移動(dòng)部件和網(wǎng)關(guān)�����,這使其極其脆弱�����,并為各種不斷演變的攻擊提供了一個(gè)巨大的可攻擊表面�����。攻擊防御是指保護(hù)每一層結(jié)構(gòu)�����,并不斷識(shí)別和糾正弱點(diǎn)以保持?jǐn)?shù)據(jù)流動(dòng)�����。
與此相反����,OT屬于現(xiàn)實(shí)世界,它確保了所有指令動(dòng)作的正確執(zhí)行�����。雖然IT必須保護(hù)系統(tǒng)的每一層�����,但OT關(guān)乎維護(hù)系統(tǒng)的控制����,這些系統(tǒng)可能是打開或關(guān)閉、封閉或開放的�����。OT系統(tǒng)是為特定的操作而設(shè)計(jì)的�����,例如確保打開或關(guān)閉發(fā)電機(jī)�����,或確保化學(xué)品罐充盈時(shí)溢流閥打開����。OT屬于現(xiàn)實(shí)世界,確保過去通常是封閉系統(tǒng)的安全以及控制�����。OT中的一切都是為了物理移動(dòng)����、控制設(shè)備和流程,以保持系統(tǒng)按預(yù)期工作�����,主要關(guān)注安全性和效率提高�����。
隨著工業(yè)物聯(lián)網(wǎng)(IIOT)的出現(xiàn)����,以及物理機(jī)器與聯(lián)網(wǎng)傳感器和軟件的集成����,IT與OT之間的界限變得越來越模糊����。隨著越來越多的對(duì)象相互連接����、通信和交互,網(wǎng)絡(luò)罪犯獲取網(wǎng)絡(luò)和基礎(chǔ)設(shè)施系統(tǒng)的端點(diǎn)以及潛在途徑的數(shù)量激增����。
消防隊(duì)撲滅了大火,但沒有解決根本原因����。在初始設(shè)計(jì)和開發(fā)階段,就開始考慮安全威脅至關(guān)重要�����。在許多情況下�����,組織只關(guān)注實(shí)施后的安全性����,而不是從開發(fā)生命周期開始構(gòu)建網(wǎng)絡(luò)彈性�����。IEC/TC/57技術(shù)委員會(huì)的工作為最佳實(shí)踐的標(biāo)準(zhǔn)化提供了一個(gè)很好的例子����。
三����、設(shè)計(jì)安全性
IEC/TC 57成立了一個(gè)工作組(WG 15),通過設(shè)計(jì)確保電網(wǎng)安全�����。該工作組從技術(shù)角度評(píng)估要求�����,并定義了實(shí)現(xiàn)要求的標(biāo)準(zhǔn)方法����,已經(jīng)確定了設(shè)計(jì)安全電力系統(tǒng)所需的組件。其中包括端到端加密原則�����、所有用戶角色的定義和身份管理����,以及對(duì)系統(tǒng)本身的普遍監(jiān)控。
“我們今天所做的一切都將在今后繼續(xù)�����,但我們需要改變我們的重點(diǎn)����,” IEC/TC 57/WG 15成員莫雷諾•卡魯洛(Moreno Carullo)說����!拔覀冃枰獜膶ふ覊娜宿D(zhuǎn)向設(shè)計(jì)安全����!
目前,IEC 62351系列標(biāo)準(zhǔn)(參見IEC 62351-1:詳細(xì)概述簡(jiǎn)介)描述了安全電力系統(tǒng)的架構(gòu)�����,并對(duì)其協(xié)議和組件進(jìn)行了標(biāo)準(zhǔn)化。一篇有趣的文章對(duì)其進(jìn)行了更好的概述����,它是IEC 62351-10:TC57系統(tǒng)的安全架構(gòu)指南。
四�����、標(biāo)準(zhǔn)及合格評(píng)定
IEC認(rèn)為�����,全面����、基于風(fēng)險(xiǎn)的方法是建立網(wǎng)絡(luò)彈性的最佳途徑�����;陲L(fēng)險(xiǎn)的方法可能非常有效�����,尤其是在評(píng)估現(xiàn)有或潛在的內(nèi)部脆弱性并確定或可能的外部威脅的基礎(chǔ)上。這是將標(biāo)準(zhǔn)與測(cè)試和認(rèn)證(也稱為合格評(píng)定)結(jié)合在一起的整體方法的一部分����,而不是將它們視為不同的領(lǐng)域,因此效果最好����。
這種方法不僅展示了基于最佳實(shí)踐的安全措施的使用����,而且表明組織已經(jīng)有效地實(shí)施了這些措施,從而增強(qiáng)了利益相關(guān)者的信心����。系統(tǒng)方法通過將風(fēng)險(xiǎn)優(yōu)先化和降低到可接受的水平來工作,這需要一種中立的方法����,根據(jù)不同的風(fēng)險(xiǎn)水平,適應(yīng)從自我評(píng)估到獨(dú)立的第三方測(cè)試等不同類型的符合性評(píng)估����。
許多組織將其網(wǎng)絡(luò)安全戰(zhàn)略建立在遵守強(qiáng)制性規(guī)則和法規(guī)的基礎(chǔ)上。這雖然可能會(huì)提高安全性����,但卻無(wú)法全面滿足各個(gè)組織的需求����。最堅(jiān)固的防御系統(tǒng)同時(shí)依賴于“水平”和“垂直”標(biāo)準(zhǔn)�����。水平標(biāo)準(zhǔn)具有通用性和靈活性�����,而垂直標(biāo)準(zhǔn)則滿足非常特殊的需求�����。其中兩個(gè)水平標(biāo)準(zhǔn)的例子尤其突出����。
五、水平和垂直標(biāo)準(zhǔn)
ISO/IEC 27000系列標(biāo)準(zhǔn)有助于保護(hù)純信息系統(tǒng)(IT)����,并確保虛擬世界中的數(shù)據(jù)自由流動(dòng)。它提供了一個(gè)強(qiáng)大的橫向框架����,用于在控制措施的實(shí)施�����、維護(hù)和持續(xù)改進(jìn)中對(duì)照最佳規(guī)范進(jìn)行基準(zhǔn)測(cè)試����。
IEC 62443是另一個(gè)橫向標(biāo)準(zhǔn)系列����,旨在保持OT系統(tǒng)在現(xiàn)實(shí)世界中運(yùn)行����。它可以應(yīng)用于任何工業(yè)環(huán)境,包括關(guān)鍵的基礎(chǔ)設(shè)施����,如電力設(shè)施或核電站,以及衛(wèi)生和運(yùn)輸部門�����。IECEE是電工設(shè)備和元件的IEC合格評(píng)定體系����,該體系已建立了基于IEC 62443系列標(biāo)準(zhǔn)的全球認(rèn)證服務(wù)����。
補(bǔ)充橫向標(biāo)準(zhǔn)是為滿足特定行業(yè)的需求而設(shè)計(jì)的定制解決方案����������?v向標(biāo)準(zhǔn)涵蓋了核部門����、工業(yè)通信網(wǎng)絡(luò)、工業(yè)自動(dòng)化和海事行業(yè)等的特定安全需求�����。
六����、彈性構(gòu)建
任何網(wǎng)絡(luò)安全戰(zhàn)略的目標(biāo)都是盡可能多地保護(hù)資產(chǎn),當(dāng)然也包括最重要的資產(chǎn)�����。由于以平等的方式保護(hù)每件事是不可行的,因此重要的是要確定哪些東西是有價(jià)值的�����,哪些東西需要最大力度的保護(hù)����,識(shí)別漏洞、然后確定優(yōu)先級(jí)�����,并建立確保業(yè)務(wù)連續(xù)性的縱深防御體系結(jié)構(gòu)�����。
實(shí)現(xiàn)彈性在很大程度上要理解和減輕風(fēng)險(xiǎn)����,以便在系統(tǒng)的適當(dāng)點(diǎn)上應(yīng)用正確的保護(hù)�����。至關(guān)重要的是,這一過程與組織目標(biāo)密切相關(guān)�����,因?yàn)榫徑鉀Q策可能會(huì)對(duì)運(yùn)營(yíng)產(chǎn)生嚴(yán)重影響����。理想情況下,它應(yīng)該基于一種涉及整個(gè)組織利益相關(guān)者的系統(tǒng)方法�����。
縱深防御的一個(gè)關(guān)鍵概念是�����,安全需要一套協(xié)調(diào)的措施����。在應(yīng)對(duì)網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)和后果時(shí),有四個(gè)步驟是必須實(shí)現(xiàn)的:1.了解系統(tǒng)����,明確什么是有價(jià)值的,什么是最需要防護(hù)的�����。2.通過威脅建模和風(fēng)險(xiǎn)評(píng)估了解已知威脅。3.在國(guó)際標(biāo)準(zhǔn)的幫助下����,基于全球最佳規(guī)范,解決風(fēng)險(xiǎn)并實(shí)施保護(hù)����。4.根據(jù)要求采用適當(dāng)水平的合格評(píng)定-測(cè)試和認(rèn)證。
另一種方式是將其視為網(wǎng)絡(luò)安全的ABC:A是評(píng)估����、B是解決風(fēng)險(xiǎn)的最佳規(guī)范、C是用于檢測(cè)和維護(hù)的合格評(píng)定����。
基于風(fēng)險(xiǎn)的系統(tǒng)方法不僅展示了基于最佳規(guī)范的安全措施使用,還證明一個(gè)組織已有效地實(shí)施了這一系列措施����,這增強(qiáng)了所有利益相關(guān)者的信心�����。也就是說要將正確的標(biāo)準(zhǔn)與適當(dāng)?shù)暮细裨u(píng)定水平相結(jié)合,而不是將其視為不同的領(lǐng)域�����。
合格評(píng)定的目的是評(píng)定體系的組成部分�����、人員設(shè)計(jì)�����、操作和維護(hù)人員的能力�����,以及用于運(yùn)行該體系的過程和程序�����。這可能意味著使用不同類型的合格評(píng)定——從企業(yè)自我評(píng)定或完全依賴供應(yīng)商的聲明到獨(dú)立的第三方評(píng)定和測(cè)試——并根據(jù)不同的風(fēng)險(xiǎn)等級(jí)選擇最合適的�����。
在網(wǎng)絡(luò)威脅日益普遍的世界中����,能夠應(yīng)用一套特定的國(guó)際標(biāo)準(zhǔn)�����,并結(jié)合專門的全球認(rèn)證計(jì)劃�����,是建立長(zhǎng)期網(wǎng)絡(luò)彈性的一種行之有效的方法����。然而�����,標(biāo)準(zhǔn)和合格評(píng)定只能在根據(jù)威脅和漏洞的整體評(píng)估的基于風(fēng)險(xiǎn)的方法中發(fā)揮最大作用����。這種方法不僅整合了技術(shù)和過程,還整合了人員����,認(rèn)識(shí)到培訓(xùn)的重要作用�����。
