多項新的國際標準制定發(fā)布
作者:admin 發(fā)表時間:2019/8/1 15:32:48 點擊:1922
近日�,ISO��、IEC制定發(fā)布了多項新的國際標準。
ISO發(fā)布首項關(guān)于客梯的國際標準
在任一特定時刻��,全世界都有成千上萬的貨梯和客梯運營��,正是由于出臺了一些相當(dāng)嚴格的標準���,這些電梯才得以安全地送我們上下樓��。但適用于電梯的國家或地區(qū)規(guī)則和法規(guī)反映在不同的標準中�����,從而給國際貿(mào)易帶來困擾。剛剛發(fā)布的ISO國際標準首次將這些標準協(xié)調(diào)一致起來�����,從而實現(xiàn)安全性的提高和技術(shù)的發(fā)展��。
電梯起源于數(shù)千年前的手動滑輪��,例如羅馬競技場中奴隸操作的滑輪。現(xiàn)在有些裝置是令人驚嘆的工程技術(shù)���,例如密蘇里州的拱門���。然而,大多數(shù)電梯都不那么有魅力�,只是為了把我們從一個樓層運送到另一個樓層。
世界上主要有三種標準用于概述電梯機械特征和操作特性���,這三種標準都達到了類似的安全與質(zhì)量水準�����。但是���,這三種標準都有不同的要求,并且與其運作的經(jīng)濟領(lǐng)域有關(guān)聯(lián)��,這就意味著這些標準并不總能被世界其他地區(qū)所接受��。
ISO 8100人員和貨物運輸用升降梯—第1部分:客梯及貨梯和第2部分:升降梯部件的設(shè)計規(guī)則���、計算����、檢查和檢驗通過在所有經(jīng)濟領(lǐng)域提供符合當(dāng)?shù)胤ㄒ?guī)的國際通用標準來克服這些難題。
制定標準的ISO技術(shù)委員會主席吉羅•克施文德納(Gero Gschwendtner)博士表示��,現(xiàn)行標準的協(xié)調(diào)消除了國際貿(mào)易壁壘���,并確保了世界所有利益相關(guān)方的安全水平�����。
“這不僅會減少該領(lǐng)域許多企業(yè)的管理業(yè)務(wù)�����,還將為安全����、創(chuàng)新和新技術(shù)的發(fā)展提供平臺���。”
ISO 8100-1和ISO 8100-2是由ISO/TC 178 升降梯���、自動扶梯和自動人行道技術(shù)委員會制定���,其秘書處是由AFNOR(ISO的法國成員)承擔(dān)���。
ISO發(fā)布衡量城市“智能”表現(xiàn)的新國際
標準ISO 37122《可持續(xù)城市與社區(qū)–智能城市指標》
城市生活水平不斷提高,從1950年世界人口的7.51億增加到2018年的42億�����,預(yù)計到2050年將達到67億�。城市如何應(yīng)對以確保提供充足的資源和可持續(xù)的未來?ISO智能城市系列的最新標準旨在為其提供幫助��。
ISO 37100系列國際標準可幫助社區(qū)采取更具可持續(xù)性和彈性的戰(zhàn)略����。剛剛發(fā)布的該系列最新版本的ISO 37122《可持續(xù)城市與社區(qū)–智能城市指標》,為城市提供了一套指標�,用于衡量其在多個領(lǐng)域的績效,使各個國家和城市能夠汲取世界上其他城市發(fā)展的經(jīng)驗教訓(xùn),找到創(chuàng)新的解決方案���。
該標準是對ISO 37120《可持續(xù)城市和社區(qū)–城市服務(wù)和生活質(zhì)量指標》的補充���,其中概述了評估城市服務(wù)提供和生活質(zhì)量的關(guān)鍵衡量標準。它們共同構(gòu)成了一套標準化指標,為衡量什么以及如何進行衡量提供了可以在城市和國家之間進行比較的統(tǒng)一的測量方法���。這些標準還指導(dǎo)各城市如何評估其在促進聯(lián)合國可持續(xù)發(fā)展目標���、實現(xiàn)更可持續(xù)世界的全球路線圖方面的表現(xiàn)。
制定該標準的ISO技術(shù)委員會可持續(xù)城市和社區(qū)的ISO/TC268主席BernardGindroz說�����,ISO 37122定義了指標以及方法和做法�����,可以迅速顯著改善社會����、經(jīng)濟和環(huán)境可持續(xù)性。
他說:“當(dāng)與定義了社區(qū)可持續(xù)發(fā)展管理系統(tǒng)ISO 37101和ISO 37120結(jié)合使用時����,該標準可幫助城市在一系列領(lǐng)域?qū)嵤┲悄艹鞘许椖俊0切┩ㄟ^更好地與社會交往來應(yīng)對人口增長����、氣候變化以及政治和經(jīng)濟不穩(wěn)定等城市化問題的國家���。它提供了有效的領(lǐng)導(dǎo)方法����、最新技術(shù)和做法,幫助其提高公民的生活質(zhì)量���,實現(xiàn)其環(huán)境目標�,同時促進創(chuàng)新和增長����。”
IEC制定針對關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)攻擊的國際標準
關(guān)鍵基礎(chǔ)設(shè)施��,無論是發(fā)電廠����、國家鐵路和地方地下交通系統(tǒng),還是其他形式的公共交通�,都日益成為網(wǎng)絡(luò)攻擊的目標。網(wǎng)絡(luò)攻擊可能會切斷醫(yī)院�、家庭、學(xué)校和工廠的電力供應(yīng)����。我們非常依賴高效的電力供應(yīng)�,斷電也將對其他重要服務(wù)產(chǎn)生重大影響���。近年來發(fā)生的一些事件不僅證明了威脅是切實存在的���,而且還表明,我們不止一次地從噩夢般的后果中死里逃生��。
以下三個例子說明了網(wǎng)絡(luò)武器的演變���,包括旨在破壞關(guān)鍵基礎(chǔ)設(shè)施運行的惡意軟件�。網(wǎng)絡(luò)化傳感器和其他連接設(shè)備在工業(yè)環(huán)境中的使用日益增加����,雖然這提高了我們的效率,但它也增加了攻擊面��。
一���、三次讓世界屏息的時刻
2010年對伊朗納坦茲核電站的襲擊在歷史上留下特殊的一筆�。當(dāng)時����,所謂的Stuxnet惡意軟件首次公開亮相���,并設(shè)法使核電站停止運轉(zhuǎn)。Stuxnet蠕蟲經(jīng)過編程設(shè)計�,讓電機失控從而損壞通常用于濃縮鈾離心機的電機���。該軟件成功地讓1000臺離心機暫停運轉(zhuǎn)����。
五年后�,2015年12月,烏克蘭遭遇了前所未有的電網(wǎng)攻擊��。這次襲擊導(dǎo)致大范圍停電���。黑客侵入了三家能源公司�,并暫時關(guān)閉了烏克蘭三個地區(qū)的發(fā)電��。在隆冬時節(jié)��,將近25萬人斷電長達6小時���。攻擊者利用BlackEnergy3惡意軟件關(guān)閉了三個變電站�����。據(jù)信���,該惡意軟件是通過spear phishing (網(wǎng)絡(luò)釣魚)電子郵件發(fā)送的����,并隱藏在假冒的Microsoft Office附件中����。
我們所知道的第三次也是最令人震驚的襲擊發(fā)生在2017年。網(wǎng)絡(luò)恐怖分子假定遠程控制一個廣為報道的位于沙特阿拉伯的工作站�。他們使用一種稱為Triton的新型惡意軟件來接管核電站的安全儀表系統(tǒng)(emSIS)。同樣���,惡意軟件是專門為工業(yè)控制系統(tǒng)配置的�,該系統(tǒng)也稱為操作技術(shù)(OT)�。
調(diào)查人員認為,這是一種蓄意破壞行為��,旨在通過破壞防止災(zāi)難性工業(yè)事故發(fā)生的安全系統(tǒng)來引發(fā)爆炸����。以前的攻擊集中在破壞數(shù)據(jù)或關(guān)閉能源工廠�����。根據(jù)一些報告��,只有編碼錯誤才能防止這種情況的發(fā)生����。證據(jù)指向該事件源于另一個網(wǎng)絡(luò)釣魚或魚叉式網(wǎng)絡(luò)釣魚軟件的攻擊��。
二���、經(jīng)驗教訓(xùn)
這些事件向我們表明,至少在過去的十年中��,黑客一直在創(chuàng)建針對操作技術(shù)的惡意代碼�。三起事件都是由惡意軟件觸發(fā)的,這一事實也說明�����,我們需要對網(wǎng)絡(luò)安全采取一種綜合的方法��,將過程、技術(shù)和人員結(jié)合起來�。
網(wǎng)絡(luò)安全專家公司(Security in Depth)的首席執(zhí)行官邁克爾•康納利(Michael Connory)最近告訴澳大利亞廣播公司(ABC),“全球90%的網(wǎng)絡(luò)攻擊都是從電子郵件開始的”��。網(wǎng)絡(luò)的安全性取決于整個鏈條中最薄弱的環(huán)節(jié)�,這是不言而喻的。
另一個關(guān)鍵問題是理解IT和OT之間區(qū)別的重要性���。隨著威脅向量擴展到諸如智能恒溫器之類的基礎(chǔ)資產(chǎn)�,操作技術(shù)變得越來越容易獲得�。面臨的挑戰(zhàn)是,網(wǎng)絡(luò)安全計劃往往由IT路徑主導(dǎo)���。事實上��,能源等行業(yè)以及包括制造業(yè)����、醫(yī)療保健和運輸業(yè)在內(nèi)的許多其他行業(yè)的運營限制意味著我們需要一種網(wǎng)絡(luò)安全路徑���,同時也保護OT����。
IT的主要焦點是數(shù)據(jù)及其自由、安全流動的能力��。IT存在于虛擬世界中����,數(shù)據(jù)在虛擬世界中得以存儲、檢索�����、傳輸和操作��。它是流動的��,有許多移動部件和網(wǎng)關(guān)��,這使其極其脆弱��,并為各種不斷演變的攻擊提供了一個巨大的可攻擊表面�。攻擊防御是指保護每一層結(jié)構(gòu)�,并不斷識別和糾正弱點以保持數(shù)據(jù)流動。
與此相反�,OT屬于現(xiàn)實世界,它確保了所有指令動作的正確執(zhí)行�。雖然IT必須保護系統(tǒng)的每一層����,但OT關(guān)乎維護系統(tǒng)的控制�,這些系統(tǒng)可能是打開或關(guān)閉、封閉或開放的���。OT系統(tǒng)是為特定的操作而設(shè)計的�����,例如確保打開或關(guān)閉發(fā)電機���,或確保化學(xué)品罐充盈時溢流閥打開����。OT屬于現(xiàn)實世界,確保過去通常是封閉系統(tǒng)的安全以及控制���。OT中的一切都是為了物理移動�、控制設(shè)備和流程�����,以保持系統(tǒng)按預(yù)期工作,主要關(guān)注安全性和效率提高����。
隨著工業(yè)物聯(lián)網(wǎng)(IIOT)的出現(xiàn),以及物理機器與聯(lián)網(wǎng)傳感器和軟件的集成���,IT與OT之間的界限變得越來越模糊���。隨著越來越多的對象相互連接、通信和交互��,網(wǎng)絡(luò)罪犯獲取網(wǎng)絡(luò)和基礎(chǔ)設(shè)施系統(tǒng)的端點以及潛在途徑的數(shù)量激增�。
消防隊撲滅了大火,但沒有解決根本原因�。在初始設(shè)計和開發(fā)階段,就開始考慮安全威脅至關(guān)重要��。在許多情況下�����,組織只關(guān)注實施后的安全性��,而不是從開發(fā)生命周期開始構(gòu)建網(wǎng)絡(luò)彈性���。IEC/TC/57技術(shù)委員會的工作為最佳實踐的標準化提供了一個很好的例子����。
三����、設(shè)計安全性
IEC/TC 57成立了一個工作組(WG 15),通過設(shè)計確保電網(wǎng)安全��。該工作組從技術(shù)角度評估要求�����,并定義了實現(xiàn)要求的標準方法�����,已經(jīng)確定了設(shè)計安全電力系統(tǒng)所需的組件��。其中包括端到端加密原則�����、所有用戶角色的定義和身份管理,以及對系統(tǒng)本身的普遍監(jiān)控���。
“我們今天所做的一切都將在今后繼續(xù)����,但我們需要改變我們的重點��,” IEC/TC 57/WG 15成員莫雷諾•卡魯洛(Moreno Carullo)說�。“我們需要從尋找壞人轉(zhuǎn)向設(shè)計安全����!
目前����,IEC 62351系列標準(參見IEC 62351-1:詳細概述簡介)描述了安全電力系統(tǒng)的架構(gòu),并對其協(xié)議和組件進行了標準化�。一篇有趣的文章對其進行了更好的概述,它是IEC 62351-10:TC57系統(tǒng)的安全架構(gòu)指南��。
四���、標準及合格評定
IEC認為�,全面�����、基于風(fēng)險的方法是建立網(wǎng)絡(luò)彈性的最佳途徑�。基于風(fēng)險的方法可能非常有效���,尤其是在評估現(xiàn)有或潛在的內(nèi)部脆弱性并確定或可能的外部威脅的基礎(chǔ)上�。這是將標準與測試和認證(也稱為合格評定)結(jié)合在一起的整體方法的一部分��,而不是將它們視為不同的領(lǐng)域����,因此效果最好。
這種方法不僅展示了基于最佳實踐的安全措施的使用��,而且表明組織已經(jīng)有效地實施了這些措施�����,從而增強了利益相關(guān)者的信心���。系統(tǒng)方法通過將風(fēng)險優(yōu)先化和降低到可接受的水平來工作�,這需要一種中立的方法,根據(jù)不同的風(fēng)險水平����,適應(yīng)從自我評估到獨立的第三方測試等不同類型的符合性評估。
許多組織將其網(wǎng)絡(luò)安全戰(zhàn)略建立在遵守強制性規(guī)則和法規(guī)的基礎(chǔ)上��。這雖然可能會提高安全性����,但卻無法全面滿足各個組織的需求。最堅固的防御系統(tǒng)同時依賴于“水平”和“垂直”標準�����。水平標準具有通用性和靈活性�����,而垂直標準則滿足非常特殊的需求��。其中兩個水平標準的例子尤其突出���。
五����、水平和垂直標準
ISO/IEC 27000系列標準有助于保護純信息系統(tǒng)(IT),并確保虛擬世界中的數(shù)據(jù)自由流動�����。它提供了一個強大的橫向框架��,用于在控制措施的實施�����、維護和持續(xù)改進中對照最佳規(guī)范進行基準測試����。
IEC 62443是另一個橫向標準系列�����,旨在保持OT系統(tǒng)在現(xiàn)實世界中運行�。它可以應(yīng)用于任何工業(yè)環(huán)境,包括關(guān)鍵的基礎(chǔ)設(shè)施��,如電力設(shè)施或核電站��,以及衛(wèi)生和運輸部門����。IECEE是電工設(shè)備和元件的IEC合格評定體系���,該體系已建立了基于IEC 62443系列標準的全球認證服務(wù)。
補充橫向標準是為滿足特定行業(yè)的需求而設(shè)計的定制解決方案����。縱向標準涵蓋了核部門�、工業(yè)通信網(wǎng)絡(luò)、工業(yè)自動化和海事行業(yè)等的特定安全需求�����。
六��、彈性構(gòu)建
任何網(wǎng)絡(luò)安全戰(zhàn)略的目標都是盡可能多地保護資產(chǎn)�,當(dāng)然也包括最重要的資產(chǎn)。由于以平等的方式保護每件事是不可行的�����,因此重要的是要確定哪些東西是有價值的��,哪些東西需要最大力度的保護,識別漏洞�����、然后確定優(yōu)先級���,并建立確保業(yè)務(wù)連續(xù)性的縱深防御體系結(jié)構(gòu)�。
實現(xiàn)彈性在很大程度上要理解和減輕風(fēng)險�����,以便在系統(tǒng)的適當(dāng)點上應(yīng)用正確的保護�。至關(guān)重要的是��,這一過程與組織目標密切相關(guān)��,因為緩解決策可能會對運營產(chǎn)生嚴重影響�����。理想情況下���,它應(yīng)該基于一種涉及整個組織利益相關(guān)者的系統(tǒng)方法����。
縱深防御的一個關(guān)鍵概念是,安全需要一套協(xié)調(diào)的措施��。在應(yīng)對網(wǎng)絡(luò)攻擊的風(fēng)險和后果時���,有四個步驟是必須實現(xiàn)的:1.了解系統(tǒng)�,明確什么是有價值的���,什么是最需要防護的���。2.通過威脅建模和風(fēng)險評估了解已知威脅。3.在國際標準的幫助下���,基于全球最佳規(guī)范���,解決風(fēng)險并實施保護。4.根據(jù)要求采用適當(dāng)水平的合格評定-測試和認證�����。
另一種方式是將其視為網(wǎng)絡(luò)安全的ABC:A是評估��、B是解決風(fēng)險的最佳規(guī)范、C是用于檢測和維護的合格評定�。
基于風(fēng)險的系統(tǒng)方法不僅展示了基于最佳規(guī)范的安全措施使用,還證明一個組織已有效地實施了這一系列措施�����,這增強了所有利益相關(guān)者的信心���。也就是說要將正確的標準與適當(dāng)?shù)暮细裨u定水平相結(jié)合��,而不是將其視為不同的領(lǐng)域�。
合格評定的目的是評定體系的組成部分�、人員設(shè)計��、操作和維護人員的能力���,以及用于運行該體系的過程和程序�。這可能意味著使用不同類型的合格評定——從企業(yè)自我評定或完全依賴供應(yīng)商的聲明到獨立的第三方評定和測試——并根據(jù)不同的風(fēng)險等級選擇最合適的�。
在網(wǎng)絡(luò)威脅日益普遍的世界中,能夠應(yīng)用一套特定的國際標準����,并結(jié)合專門的全球認證計劃,是建立長期網(wǎng)絡(luò)彈性的一種行之有效的方法。然而���,標準和合格評定只能在根據(jù)威脅和漏洞的整體評估的基于風(fēng)險的方法中發(fā)揮最大作用��。這種方法不僅整合了技術(shù)和過程��,還整合了人員�����,認識到培訓(xùn)的重要作用��。
