网路安全标准

网路安全标准(Cybersecurity standards)[1]是已用文件方式发布,为了保护使用者或组织之电脑网路环境而订定的技术[2]。此处的“环境”包括使用者本身、网路,或是会直接或间接连接网路的设备、所有软体、程序、储存或是传输的资讯、应用程式、服务以及系统。

网路安全标准的主要目的是降低风险,包括预防及缓解网络攻击。这些发布的资料中包括了许多工具、策略、安全概念、安全保障、指引、风险管理工具、行动、训练、最佳实务、确保以及技术。

历史

网路安全标准在数十年前即已存在,是由使用者以及网路供应商在许多国内或跨国论坛合作,列出必要的能力、策略以及实务,许多是1990年代史丹佛大学信息安全与政策研究联盟的工作中出现的[3]

2016年美国安全框架导入研究指出,受访的组织中,有70%认为NIST网络安全框架是资讯科技电脑安全中最受欢迎的最佳实务,但也有许多受访者表示这需要相当大金额的投资[4]。执法者面对跨国界网路渗透活动的执法,对抗暗网的国际犯罪行为的举动,产生了复杂的执法权问题,有些甚至到现在都还无解[5][6]。各国执法部门为了对抗跨国界网路渗透活动,以及国际执法机关之间的紧张关系,也会让网路安全标准可以继续的改善[5][7]

国际标准

以下章节列出一些常用的国际标准。

ISO/IEC 27001及27002

ISO/IEC 27001是ISO/IEC 27000系列的一部份,是资讯安全管理系统(ISMS)标准,最新版是在2022年由国际标准化组织(ISO)及国际电工委员会(IEC)发布。其全名是《资讯科技—安全技术—资讯安全管理系统—要求》(Information technology — Security techniques — Information security management systems — Requirements)。

ISO/IEC 27001正式的说明一个以明确的管理控制方式加入资讯安全的管理系统。

ISO/IEC 27002主要整合了BS 7799英语BS 7799良好安全管理实务标准的第一部份。BS 7799的最新版本是BS 7799-3。有时会用ISO/IEC 27002来指称ISO 17799或BS 7799 第1部份,有时则指第1部份以及第7部份。BS 7799第1部份提供了网路安全管理的良好实务指引,而BS 7799第2部份以及ISO/IEC 27001是规范性的,提供认证的框架。ISO/IEC 27002是网路安全的高阶指引。针对要取得ISO/IEC 27001认证的单位而言,最适合做为说明用的指引。认证取得后,可以维持三年。依稽核单位的不同,三年内可能不用再稽核,也可能需要有期中的稽核。

ISO/IEC 27001(ISMS)取代了BS 7799第2部份,但若组织在BS 7799第2部份的基础上工作,法规有向后相容,让正在取得BS 7799第2部份的组织可以比较容易转换到ISO/IEC 27001的认证流程。也有转换用的稽核,让取得BS 7799第2部份认证的组织可以转换为ISO/IEC 27001的认证。ISO/IEC 27002提供资讯安全系统的最佳实务,包括资讯安全管理系统(ISMS)的初始、实现以及维护。其中提到了资讯安全系统需实现ISO/IEC 27002的控制目标(controls objectives)。若没有ISO/IEC 27001,ISO/IEC 27002的控制目标无法达到效果。ISO/IEC 27002的控制目标,整合在在ISO 27001的附录A中。

ISO/IEC 21827(SSE-CMM – ISO/IEC 21827)是依系统资安工程能力成熟度模型(SSE-CMM)为基础的国际标准,也可以量测ISO控制目标的成熟度,

ISO 15408

此一标准的全名是《资讯技术安全评估共同准则》(Common Criteria for Information Technology Security Evaluation),简称为Common Criteria,是电脑安全认证的标准。可以让不同的软体及硬体产品进行整合,以安全的方式进行测试。

IEC 62443

IEC 62443网路安全标准是依IEC标准产生流程所订定的,而ANSI/ISA-62443提案是提交给美国的委员会并且进行审核,也在委员会中提出意见。IEC 62443中的许多委员会会审核修订意见,也会在委员会中讨论,若大家同意即进行更改。IEC委员会中的许多成员也是ISA S99委员会的成员。迄今为止,已经使用了ANSI/ISA 62443原始文件的基础概念[8]

这些标准会由许多不同产业的从业人员使用,以此来设计和评估自动化系统,以提高网络安全性。许多标准已用在个人、工程流程、产生以及系统网路安全验证计划(cybersecurity certification programs,也称为合格评定计划,conformity assessment program)中。

 
计划中及已发行的IACS安全性文件

ISA-62443的标准及技术报告会分为四类,分别是通则(General)、政策及流程(Policies and Procedures)、系统(System)及元件(Component)[9]

  1. 第一层(最上层)是一般性或是基础的资讯,例如概念、模型及术语,也包括描述IACS安全矩阵及安全生命周期的工作成果。
  2. 第二层的工作成员是针对资产所有者。其中提到有关创建及维持有效IACS安全计划的许多不同层面。
  3. 第三层包括了控制系统安全整合的系统设计指引以及要求的相关文件。其中的核心是zone及conduit design model。
  4. 第四层包括了有关特定控制系统产品的产品开发以及技术需求。主要是针对控制产品的供应商,不过也可以供整合者及资产所有者使用,以建构其安全性产品。

ANSI/ISA 62443(旧名称为ISA-99)

ANSI/ISA 62443是一系列有关实现安全工业自动化控制系统(IACS)的标准、技术报告及相关资料。

这些文件由是国际自动化学会英语International Society of Automation(ISA)所写,以美国国家标准协会(ANSI)文件公开发布,因此最早称为ANSI/ISA-99或ISA99标准。在2010年时,重新编号为ANSI/ISA-62443标准。

ISA99仍然是ISA工业自动化及控制系统安全委员会(Industrial Automation and Control System Security Committee)的名称。2002年起,此委员会在针对IACS安全性主题,订定一系列的标准以及技术报告。这些文件会由国际自动化学会核可,最后以ANSI文件发行。这些文件也会提交给IEC,依循IEC的标准开发程序,这些会是IEC62443国际标准的输入。

ISO/SAE 21434

ISO/SAE 21434《道路车辆-网路安全工程》(Road vehicles - Cybersecurity engineering)是国际标准化组织(ISO)和国际汽车工程师学会(SAE)工作组联合开发的新型网路安全标准,是依道路车辆的开发周期进行网路安全的措施。其国际标准草案(Draft international standard、DIS)阶段已在2019年12月期满,最终标准计划在2020年11月发布[10]

此一标准和目前正在发展的欧洲联盟网路安全法规有关。为了和欧盟协调,联合国欧洲经济委员会(UNECE)的世界车辆法规协调论坛(WP.29)已在2020年6月发布网路安全管理系统(UNECE R 155,CSMS)的规范,相关认证是型式认可英语Type approval的强制条件之一。ISO/SAE 21434是汽车开发的技术标准,可以证明符合R155的规范。

各国标准

NERC

NERC(北美电力可靠性公司)在2003年建立了电力产业的资讯安全标准,是最早期的相关标准,称为NERC CSS(北美电力可靠性公司网路安全标准)[11]。在网路安全标准指引之后,NERC在这些要求上持续的改进及强化。目前最广为使用的现代NERC安全标准是NERC 1300,是由NERC 1200修改及更新后的内容。NERC 1300的最新版本称为CIP-002-3至CIP-009-3(CIP为关键基础设备保护的简称)。这些标准的目的是要保护大宗电力系统,NERC也有在其他领域订定标准。大宗电力系统标准提供网路安全的管理,也有工业程序上的最佳实务[2]

NIST

隶属于美国商务部的国家标准技术研究院 (NIST) 负责制定与资讯安全相关的标准与规范。

  • NIST网络安全框架(NIST CSF)此框架是根据NIST SP800-53,并以事件风险为基础发展而成。提供美国政府关键基础设施与一套具成本效益、灵活配置,可循序渐进建立网路安全的控制措施,并针对可能面临的威胁提前制定应变计划。此框架的组成有3元素、4要素及5项持续活动(识别、保护、侦测、回应、复原),提供了网路安全成果的高层级分类,以及评估及管理成果的方法论。其目的是要帮助提供关键基础建设的私营部门,提供相关保护的指引,也有针对隐私权公民自由的保护[12]
  • Special publication 800-12是电脑安全以及控制领域的简介,其中也强调资讯安全控制的重要性,以及其实施方式。最早此文件是要给美国联邦政府使用,但在大部份的实务上,这份文件也可以帮助私营部门。其中内容是特别针对联邦政府中负责敏感系统的人员[3]
  • Special publication 800-14叙述常用的安全原则。提供了在电脑安全政策中需导入事项的高层次叙述。其中叙述了要提升安全性,需进行的事务,也说明要如何建立新的安全实务。这份文件中有8个原则以及14个实务[4]
  • Special publication 800-26提供有关IT安全管理的建议。后来被NIST SP 800-53第三版取代。此份文件强调自我评估以及风险评估的重要性[5]
  • Special publication 800-37是在2010年所更新,叙述一种新的风险评估方式:《应用风险管理框架到联邦资讯系统的指引》(Guide for Applying the Risk Management Framework to Federal Information Systems)。
  • Special publication 800-53第五版,《资讯系统及组织的安全及个人资料控管》(Security and Privacy Controls for Information Systems and Organizations),此文件是在2020年9月发布,在22020年12月10日更新,较第四版的变更处可参考MITRE所整理的比较表页面存档备份,存于互联网档案馆)。NIST的特别出版品SP800-53旨在依公法 (P.L.) 107-347 的美国联邦资讯安全管理法 (FISMA) 界定其法定责任。美国联邦资讯安全管理法属于联邦法律,规定美国政府机关须订立及审查能够优先落实资讯安全且适用于各机关的实务规范,并据此进行通报;NIST 800-53 则明定了联邦政府和重要基础架构所需的安全性和隐私权管理具体规范[13]
  • Special publication 800-63-3,《数位身份认证指引》(Digital Identity Guidelines),在2017年6月发布,在2017年12月1日更新。其中有实行数位身份认证的指引,包括用户的身份证明(identity proofing)、登记以及认证[6]
  • Special Publication 800-82第二版,《工业控制系统资讯安全指引》(Guide to Industrial Control System (ICS) Security),在2015年5月改版,其中叙述如何让不同种类的工业控制系统免于网路攻击,也同时考虑工业控制系统的性能、可靠度以及安全需求[7]

相关条目

脚注

  1. ^ Guidelines for Smart Grid Cyber Security. National Institute of Standards and Technology. 2010-08-01 [2014-03-30]. (原始内容存档于2021-04-14). 
  2. ^ 存档副本. [2020-12-16]. (原始内容存档于2021-04-24). 
  3. ^ 存档副本. [2020-12-16]. (原始内容存档于2021-04-19). 
  4. ^ NIST Cybersecurity Framework Adoption Hampered By Costs, Survey Finds. [2016-08-02]. (原始内容存档于2021-04-19). 
  5. ^ 5.0 5.1 Ghappour, Ahmed. Tallinn, Hacking, and Customary International Law. AJIL Unbound. 2017-01-01, 111: 224–228 [2020-12-16]. doi:10.1017/aju.2017.59. (原始内容存档于2021-04-20). 
  6. ^ Ghappour, Ahmed. Searching Places Unknown: Law Enforcement Jurisdiction on the Dark Web. Stanford Law Review. 2017-04-01, 69 (4): 1075 [2020-12-16]. (原始内容存档于2021-04-20). 
  7. ^ Ghappour, Ahmed. Searching Places Unknown: Law Enforcement Jurisdiction on the Dark Web. Stanford Law Review. 2017, 69 (4) [2020-12-16]. (原始内容存档于2021-04-20) (英语). 
  8. ^ Standards and References - IEC-62443. www.iec.ch. [2020-12-22]. (原始内容存档于2021-03-08). 
  9. ^ More information about the activities and plans of the ISA99 committee is available on the committee Wiki site ([1])
  10. ^ ISO/SAE DIS 21434 Road vehicles — Cybersecurity engineering. [2021-05-14]. (原始内容存档于2021-04-08). 
  11. ^ Symantec Control Compliance Suite - NERC and FERC Regulation 互联网档案馆存档,存档日期2016-10-22. Subsection: History of NERC Standards
  12. ^ NIST Cybersecurity Framework. [2016-08-02]. (原始内容存档于2021-05-01). 
  13. ^ NIST SP 800-53 Rev. 5. [2021-03-17]. (原始内容存档于2021-04-23). 

参考资料

  1. ^ Department of Homeland Security, A Comparison of Cyber Security Standards Developed by the Oil and Gas Segment. (November 5, 2004)
  2. ^ Guttman, M., Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Generally Accepted Principles and Practices for Securing Information Technology Systems (800-14). (September 1996)
  3. ^ National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., An Introduction to Computer Security: The NIST Handbook, Special Publication 800-12.
  4. ^ Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Security Self-Assessment Guide for Information Technology Systems (800-26).
  5. ^ Grassi, P.; Garcia, M.; Fenton, J.;National Institute of Standards and Technology; U.S. Department of Commerce., Digital Identity Guidelines (800-63-3).
  6. ^ Stouffer, K.; Pillitteri, V.; Lightman, S.; Abrams, M.; Hahn, A.; National Institute of Standards and Technology; U.S. Department of Commerce., Guide to Industrial Control Systems (ICS) Security (800-82).
  7. ^ The North American Electric Reliability Council (NERC). http://www.nerc.com页面存档备份,存于互联网档案馆). Retrieved November 12, 2005.
  8. ^ Federal Financial Institutions Examination Council (FFIEC). https://www.ffiec.gov页面存档备份,存于互联网档案馆). Retrieved April 18, 2018.

外部链接