Remove ads
来自维基百科,自由的百科全书
網絡安全標準(Cybersecurity standards)[1]是已用文件方式發佈,為了保護使用者或組織之電腦網絡環境而訂定的技術[2]。此處的「環境」包括使用者本身、網絡,或是會直接或間接連接網絡的設備、所有軟件、程序、儲存或是傳輸的資訊、應用程式、服務以及系統。
網絡安全標準的主要目的是降低風險,包括預防及緩解網絡攻擊。這些發佈的資料中包括了許多工具、策略、安全概念、安全保障、指引、風險管理工具、行動、訓練、最佳實務、確保以及技術。
網絡安全標準在數十年前即已存在,是由使用者以及網絡供應商在許多國內或跨國論壇合作,列出必要的能力、策略以及實務,許多是1990年代史丹福大學信息安全與政策研究聯盟的工作中出現的[3]。
2016年美國安全框架導入研究指出,受訪的組織中,有70%認為NIST網絡安全框架是資訊科技電腦安全中最受歡迎的最佳實務,但也有許多受訪者表示這需要相當大金額的投資[4]。執法者面對跨國界網絡滲透活動的執法,對抗暗網的國際犯罪行為的舉動,產生了複雜的執法權問題,有些甚至到現在都還無解[5][6]。各國執法部門為了對抗跨國界網絡滲透活動,以及國際執法機關之間的緊張關係,也會讓網絡安全標準可以繼續的改善[5][7]。
以下章節列出一些常用的國際標準。
ISO/IEC 27001是ISO/IEC 27000系列的一部份,是資訊安全管理系統(ISMS)標準,最新版是在2022年由國際標準化組織(ISO)及國際電工委員會(IEC)發佈。其全名是《資訊科技—安全技術—資訊安全管理系統—要求》(Information technology — Security techniques — Information security management systems — Requirements)。
ISO/IEC 27001正式的說明一個以明確的管理控制方式加入資訊安全的管理系統。
ISO/IEC 27002主要整合了BS 7799良好安全管理實務標準的第一部份。BS 7799的最新版本是BS 7799-3。有時會用ISO/IEC 27002來指稱ISO 17799或BS 7799 第1部份,有時則指第1部份以及第7部份。BS 7799第1部份提供了網絡安全管理的良好實務指引,而BS 7799第2部份以及ISO/IEC 27001是規範性的,提供認證的框架。ISO/IEC 27002是網絡安全的高階指引。針對要取得ISO/IEC 27001認證的單位而言,最適合做為說明用的指引。認證取得後,可以維持三年。依稽核單位的不同,三年內可能不用再稽核,也可能需要有期中的稽核。
ISO/IEC 27001(ISMS)取代了BS 7799第2部份,但若組織在BS 7799第2部份的基礎上工作,法規有向後相容,讓正在取得BS 7799第2部份的組織可以比較容易轉換到ISO/IEC 27001的認證流程。也有轉換用的稽核,讓取得BS 7799第2部份認證的組織可以轉換為ISO/IEC 27001的認證。ISO/IEC 27002提供資訊安全系統的最佳實務,包括資訊安全管理系統(ISMS)的初始、實現以及維護。其中提到了資訊安全系統需實現ISO/IEC 27002的控制目標(controls objectives)。若沒有ISO/IEC 27001,ISO/IEC 27002的控制目標無法達到效果。ISO/IEC 27002的控制目標,整合在在ISO 27001的附錄A中。
ISO/IEC 21827(SSE-CMM – ISO/IEC 21827)是依系統資安工程能力成熟度模型(SSE-CMM)為基礎的國際標準,也可以量測ISO控制目標的成熟度,
此一標準的全名是《資訊技術安全評估共同準則》(Common Criteria for Information Technology Security Evaluation),簡稱為Common Criteria,是電腦安全認證的標準。可以讓不同的軟件及硬件產品進行整合,以安全的方式進行測試。
IEC 62443網絡安全標準是依IEC標準產生流程所訂定的,而ANSI/ISA-62443提案是提交給美國的委員會並且進行審核,也在委員會中提出意見。IEC 62443中的許多委員會會審核修訂意見,也會在委員會中討論,若大家同意即進行更改。IEC委員會中的許多成員也是ISA S99委員會的成員。迄今為止,已經使用了ANSI/ISA 62443原始文件的基礎概念[8]。
這些標準會由許多不同產業的從業人員使用,以此來設計和評估自動化系統,以提高網絡安全性。許多標準已用在個人、工程流程、產生以及系統網絡安全驗證計劃(cybersecurity certification programs,也稱為合格評定計劃,conformity assessment program)中。
ISA-62443的標準及技術報告會分為四類,分別是通則(General)、政策及流程(Policies and Procedures)、系統(System)及元件(Component)[9]。
ANSI/ISA 62443是一系列有關實現安全工業自動化控制系統(IACS)的標準、技術報告及相關資料。
這些文件由是國際自動化學會(ISA)所寫,以美國國家標準協會(ANSI)文件公開發佈,因此最早稱為ANSI/ISA-99或ISA99標準。在2010年時,重新編號為ANSI/ISA-62443標準。
ISA99仍然是ISA工業自動化及控制系統安全委員會(Industrial Automation and Control System Security Committee)的名稱。2002年起,此委員會在針對IACS安全性主題,訂定一系列的標準以及技術報告。這些文件會由國際自動化學會核可,最後以ANSI文件發行。這些文件也會提交給IEC,依循IEC的標準開發程序,這些會是IEC62443國際標準的輸入。
ISO/SAE 21434《道路車輛-網絡安全工程》(Road vehicles - Cybersecurity engineering)是國際標準化組織(ISO)和國際汽車工程師學會(SAE)工作組聯合開發的新型網絡安全標準,是依道路車輛的開發週期進行網絡安全的措施。其國際標準草案(Draft international standard、DIS)階段已在2019年12月期滿,最終標準計劃在2020年11月發佈[10]。
此一標準和目前正在發展的歐洲聯盟網絡安全法規有關。為了和歐盟協調,聯合國歐洲經濟委員會(UNECE)的世界車輛法規協調論壇(WP.29)已在2020年6月發佈網絡安全管理系統(UNECE R 155,CSMS)的規範,相關認證是型式認可的強制條件之一。ISO/SAE 21434是汽車開發的技術標準,可以證明符合R155的規範。
NERC(北美電力可靠性公司)在2003年建立了電力產業的資訊安全標準,是最早期的相關標準,稱為NERC CSS(北美電力可靠性公司網絡安全標準)[11]。在網絡安全標準指引之後,NERC在這些要求上持續的改進及強化。目前最廣為使用的現代NERC安全標準是NERC 1300,是由NERC 1200修改及更新後的內容。NERC 1300的最新版本稱為CIP-002-3至CIP-009-3(CIP為關鍵基礎設備保護的簡稱)。這些標準的目的是要保護大宗電力系統,NERC也有在其他領域訂定標準。大宗電力系統標準提供網絡安全的管理,也有工業程序上的最佳實務 。
隸屬於美國商務部的國家標準技術研究院 (NIST) 負責制定與資訊安全相關的標準與規範。
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.