網絡安全標準

網絡安全標準(Cybersecurity standards)[1]是已用文件方式發佈,為了保護使用者或組織之電腦網絡環境而訂定的技術[2]。此處的「環境」包括使用者本身、網絡,或是會直接或間接連接網絡的設備、所有軟件、程序、儲存或是傳輸的資訊、應用程式、服務以及系統。

網絡安全標準的主要目的是降低風險,包括預防及緩解網絡攻擊。這些發佈的資料中包括了許多工具、策略、安全概念、安全保障、指引、風險管理工具、行動、訓練、最佳實務、確保以及技術。

歷史

網絡安全標準在數十年前即已存在,是由使用者以及網絡供應商在許多國內或跨國論壇合作,列出必要的能力、策略以及實務,許多是1990年代史丹福大學信息安全與政策研究聯盟的工作中出現的[3]

2016年美國安全框架導入研究指出,受訪的組織中,有70%認為NIST網絡安全框架是資訊科技電腦安全中最受歡迎的最佳實務,但也有許多受訪者表示這需要相當大金額的投資[4]。執法者面對跨國界網絡滲透活動的執法,對抗暗網的國際犯罪行為的舉動,產生了複雜的執法權問題,有些甚至到現在都還無解[5][6]。各國執法部門為了對抗跨國界網絡滲透活動,以及國際執法機關之間的緊張關係,也會讓網絡安全標準可以繼續的改善[5][7]

國際標準

以下章節列出一些常用的國際標準。

ISO/IEC 27001及27002

ISO/IEC 27001是ISO/IEC 27000系列的一部份,是資訊安全管理系統(ISMS)標準,最新版是在2022年由國際標準化組織(ISO)及國際電工委員會(IEC)發佈。其全名是《資訊科技—安全技術—資訊安全管理系統—要求》(Information technology — Security techniques — Information security management systems — Requirements)。

ISO/IEC 27001正式的說明一個以明確的管理控制方式加入資訊安全的管理系統。

ISO/IEC 27002主要整合了BS 7799英語BS 7799良好安全管理實務標準的第一部份。BS 7799的最新版本是BS 7799-3。有時會用ISO/IEC 27002來指稱ISO 17799或BS 7799 第1部份,有時則指第1部份以及第7部份。BS 7799第1部份提供了網絡安全管理的良好實務指引,而BS 7799第2部份以及ISO/IEC 27001是規範性的,提供認證的框架。ISO/IEC 27002是網絡安全的高階指引。針對要取得ISO/IEC 27001認證的單位而言,最適合做為說明用的指引。認證取得後,可以維持三年。依稽核單位的不同,三年內可能不用再稽核,也可能需要有期中的稽核。

ISO/IEC 27001(ISMS)取代了BS 7799第2部份,但若組織在BS 7799第2部份的基礎上工作,法規有向後相容,讓正在取得BS 7799第2部份的組織可以比較容易轉換到ISO/IEC 27001的認證流程。也有轉換用的稽核,讓取得BS 7799第2部份認證的組織可以轉換為ISO/IEC 27001的認證。ISO/IEC 27002提供資訊安全系統的最佳實務,包括資訊安全管理系統(ISMS)的初始、實現以及維護。其中提到了資訊安全系統需實現ISO/IEC 27002的控制目標(controls objectives)。若沒有ISO/IEC 27001,ISO/IEC 27002的控制目標無法達到效果。ISO/IEC 27002的控制目標,整合在在ISO 27001的附錄A中。

ISO/IEC 21827(SSE-CMM – ISO/IEC 21827)是依系統資安工程能力成熟度模型(SSE-CMM)為基礎的國際標準,也可以量測ISO控制目標的成熟度,

ISO 15408

此一標準的全名是《資訊技術安全評估共同準則》(Common Criteria for Information Technology Security Evaluation),簡稱為Common Criteria,是電腦安全認證的標準。可以讓不同的軟件及硬件產品進行整合,以安全的方式進行測試。

IEC 62443

IEC 62443網絡安全標準是依IEC標準產生流程所訂定的,而ANSI/ISA-62443提案是提交給美國的委員會並且進行審核,也在委員會中提出意見。IEC 62443中的許多委員會會審核修訂意見,也會在委員會中討論,若大家同意即進行更改。IEC委員會中的許多成員也是ISA S99委員會的成員。迄今為止,已經使用了ANSI/ISA 62443原始文件的基礎概念[8]

這些標準會由許多不同產業的從業人員使用,以此來設計和評估自動化系統,以提高網絡安全性。許多標準已用在個人、工程流程、產生以及系統網絡安全驗證計劃(cybersecurity certification programs,也稱為合格評定計劃,conformity assessment program)中。

 
計劃中及已發行的IACS安全性文件

ISA-62443的標準及技術報告會分為四類,分別是通則(General)、政策及流程(Policies and Procedures)、系統(System)及元件(Component)[9]

  1. 第一層(最上層)是一般性或是基礎的資訊,例如概念、模型及術語,也包括描述IACS安全矩陣及安全生命週期的工作成果。
  2. 第二層的工作成員是針對資產所有者。其中提到有關創建及維持有效IACS安全計劃的許多不同層面。
  3. 第三層包括了控制系統安全整合的系統設計指引以及要求的相關文件。其中的核心是zone及conduit design model。
  4. 第四層包括了有關特定控制系統產品的產品開發以及技術需求。主要是針對控制產品的供應商,不過也可以供整合者及資產所有者使用,以建構其安全性產品。

ANSI/ISA 62443(舊名稱為ISA-99)

ANSI/ISA 62443是一系列有關實現安全工業自動化控制系統(IACS)的標準、技術報告及相關資料。

這些文件由是國際自動化學會英語International Society of Automation(ISA)所寫,以美國國家標準協會(ANSI)文件公開發佈,因此最早稱為ANSI/ISA-99或ISA99標準。在2010年時,重新編號為ANSI/ISA-62443標準。

ISA99仍然是ISA工業自動化及控制系統安全委員會(Industrial Automation and Control System Security Committee)的名稱。2002年起,此委員會在針對IACS安全性主題,訂定一系列的標準以及技術報告。這些文件會由國際自動化學會核可,最後以ANSI文件發行。這些文件也會提交給IEC,依循IEC的標準開發程序,這些會是IEC62443國際標準的輸入。

ISO/SAE 21434

ISO/SAE 21434《道路車輛-網絡安全工程》(Road vehicles - Cybersecurity engineering)是國際標準化組織(ISO)和國際汽車工程師學會(SAE)工作組聯合開發的新型網絡安全標準,是依道路車輛的開發週期進行網絡安全的措施。其國際標準草案(Draft international standard、DIS)階段已在2019年12月期滿,最終標準計劃在2020年11月發佈[10]

此一標準和目前正在發展的歐洲聯盟網絡安全法規有關。為了和歐盟協調,聯合國歐洲經濟委員會(UNECE)的世界車輛法規協調論壇(WP.29)已在2020年6月發佈網絡安全管理系統(UNECE R 155,CSMS)的規範,相關認證是型式認可英語Type approval的強制條件之一。ISO/SAE 21434是汽車開發的技術標準,可以證明符合R155的規範。

各國標準

NERC

NERC(北美電力可靠性公司)在2003年建立了電力產業的資訊安全標準,是最早期的相關標準,稱為NERC CSS(北美電力可靠性公司網絡安全標準)[11]。在網絡安全標準指引之後,NERC在這些要求上持續的改進及強化。目前最廣為使用的現代NERC安全標準是NERC 1300,是由NERC 1200修改及更新後的內容。NERC 1300的最新版本稱為CIP-002-3至CIP-009-3(CIP為關鍵基礎設備保護的簡稱)。這些標準的目的是要保護大宗電力系統,NERC也有在其他領域訂定標準。大宗電力系統標準提供網絡安全的管理,也有工業程序上的最佳實務[2]

NIST

隸屬於美國商務部的國家標準技術研究院 (NIST) 負責制定與資訊安全相關的標準與規範。

  • NIST網絡安全框架(NIST CSF)此框架是根據NIST SP800-53,並以事件風險為基礎發展而成。提供美國政府關鍵基礎設施與一套具成本效益、靈活配置,可循序漸進建立網絡安全的控制措施,並針對可能面臨的威脅提前制定應變計劃。此框架的組成有3元素、4要素及5項持續活動(識別、保護、偵測、回應、復原),提供了網絡安全成果的高層級分類,以及評估及管理成果的方法論。其目的是要幫助提供關鍵基礎建設的私營部門,提供相關保護的指引,也有針對私隱權公民自由的保護[12]
  • Special publication 800-12是電腦安全以及控制領域的簡介,其中也強調資訊安全控制的重要性,以及其實施方式。最早此文件是要給美國聯邦政府使用,但在大部份的實務上,這份文件也可以幫助私營部門。其中內容是特別針對聯邦政府中負責敏感系統的人員[3]
  • Special publication 800-14敘述常用的安全原則。提供了在電腦安全政策中需導入事項的高層次敘述。其中敘述了要提昇安全性,需進行的事務,也說明要如何建立新的安全實務。這份文件中有8個原則以及14個實務[4]
  • Special publication 800-26提供有關IT安全管理的建議。後來被NIST SP 800-53第三版取代。此份文件強調自我評估以及風險評估的重要性[5]
  • Special publication 800-37是在2010年所更新,敘述一種新的風險評估方式:《應用風險管理框架到聯邦資訊系統的指引》(Guide for Applying the Risk Management Framework to Federal Information Systems)。
  • Special publication 800-53第五版,《資訊系統及組織的安全及個人資料控管》(Security and Privacy Controls for Information Systems and Organizations),此文件是在2020年9月發佈,在22020年12月10日更新,較第四版的變更處可參考MITRE所整理的比較表頁面存檔備份,存於互聯網檔案館)。NIST的特別出版品SP800-53旨在依公法 (P.L.) 107-347 的美國聯邦資訊安全管理法 (FISMA) 界定其法定責任。美國聯邦資訊安全管理法屬於聯邦法律,規定美國政府機關須訂立及審查能夠優先落實資訊安全且適用於各機關的實務規範,並據此進行通報;NIST 800-53 則明定了聯邦政府和重要基礎架構所需的安全性和私隱權管理具體規範[13]
  • Special publication 800-63-3,《數位身份認證指引》(Digital Identity Guidelines),在2017年6月發佈,在2017年12月1日更新。其中有實行數位身份認證的指引,包括用戶的身份證明(identity proofing)、登記以及認證[6]
  • Special Publication 800-82第二版,《工業控制系統資訊安全指引》(Guide to Industrial Control System (ICS) Security),在2015年5月改版,其中敘述如何讓不同種類的工業控制系統免於網絡攻擊,也同時考慮工業控制系統的性能、可靠度以及安全需求[7]

相關條目

腳註

  1. ^ Guidelines for Smart Grid Cyber Security. National Institute of Standards and Technology. 2010-08-01 [2014-03-30]. (原始內容存檔於2021-04-14). 
  2. ^ 存档副本. [2020-12-16]. (原始內容存檔於2021-04-24). 
  3. ^ 存档副本. [2020-12-16]. (原始內容存檔於2021-04-19). 
  4. ^ NIST Cybersecurity Framework Adoption Hampered By Costs, Survey Finds. [2016-08-02]. (原始內容存檔於2021-04-19). 
  5. ^ 5.0 5.1 Ghappour, Ahmed. Tallinn, Hacking, and Customary International Law. AJIL Unbound. 2017-01-01, 111: 224–228 [2020-12-16]. doi:10.1017/aju.2017.59. (原始內容存檔於2021-04-20). 
  6. ^ Ghappour, Ahmed. Searching Places Unknown: Law Enforcement Jurisdiction on the Dark Web. Stanford Law Review. 2017-04-01, 69 (4): 1075 [2020-12-16]. (原始內容存檔於2021-04-20). 
  7. ^ Ghappour, Ahmed. Searching Places Unknown: Law Enforcement Jurisdiction on the Dark Web. Stanford Law Review. 2017, 69 (4) [2020-12-16]. (原始內容存檔於2021-04-20) (英語). 
  8. ^ Standards and References - IEC-62443. www.iec.ch. [2020-12-22]. (原始內容存檔於2021-03-08). 
  9. ^ More information about the activities and plans of the ISA99 committee is available on the committee Wiki site ([1])
  10. ^ ISO/SAE DIS 21434 Road vehicles — Cybersecurity engineering. [2021-05-14]. (原始內容存檔於2021-04-08). 
  11. ^ Symantec Control Compliance Suite - NERC and FERC Regulation 互聯網檔案館存檔,存檔日期2016-10-22. Subsection: History of NERC Standards
  12. ^ NIST Cybersecurity Framework. [2016-08-02]. (原始內容存檔於2021-05-01). 
  13. ^ NIST SP 800-53 Rev. 5. [2021-03-17]. (原始內容存檔於2021-04-23). 

參考資料

  1. ^ Department of Homeland Security, A Comparison of Cyber Security Standards Developed by the Oil and Gas Segment. (November 5, 2004)
  2. ^ Guttman, M., Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Generally Accepted Principles and Practices for Securing Information Technology Systems (800-14). (September 1996)
  3. ^ National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., An Introduction to Computer Security: The NIST Handbook, Special Publication 800-12.
  4. ^ Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Security Self-Assessment Guide for Information Technology Systems (800-26).
  5. ^ Grassi, P.; Garcia, M.; Fenton, J.;National Institute of Standards and Technology; U.S. Department of Commerce., Digital Identity Guidelines (800-63-3).
  6. ^ Stouffer, K.; Pillitteri, V.; Lightman, S.; Abrams, M.; Hahn, A.; National Institute of Standards and Technology; U.S. Department of Commerce., Guide to Industrial Control Systems (ICS) Security (800-82).
  7. ^ The North American Electric Reliability Council (NERC). http://www.nerc.com頁面存檔備份,存於互聯網檔案館). Retrieved November 12, 2005.
  8. ^ Federal Financial Institutions Examination Council (FFIEC). https://www.ffiec.gov頁面存檔備份,存於互聯網檔案館). Retrieved April 18, 2018.

外部連結