最近几天，ISO、IEC制定宣布了多项新的国际标准。证明君将最新标准动态收拾如下所述：

 

 

 

   ISO宣布首项关于客梯的国际标准

 

在任一尤其指定时刻，全世界都有结果千累万的货梯和客梯运营，由于颁布了一些相当严明的标准，这些个电梯才得以安全地送我们上下楼。但符合运用于电梯的国度或地区规则和法令规则反映在不同的标准中，因此给国际经济活动活动带来问题。刚刚宣布的ISO国际标准首次将这些个标准协调绝对一样起来，因此成功实现安全性的提升和技术的发展。

 

电梯起源于数千年前的手动滑轮，例如罗马体育运动比赛场中奴工操作的滑轮。现在有些装置是令人惊叹的工程技术，例如密苏里州的拱门。但是，大部分数电梯都不那末有吸引力，只是为了把我们从一个楼层运送到另一个楼层。

 

世界上主要有三种标准用于大略叙述电梯机械特点标志和操作尤其的性质，这三种标准都达到了大致相是的安全与品质水平。但是，这三种标准都有不同的要求，况且与其运作的经济领域有关联，这就意味着这些个标准并不总能被世界其他地区所接受。

 

ISO 8100担担任职务务的上下团结货物运送用上升下降梯—第1部分：客梯及货梯和第2部分：上升下降梯部件的预设规则、计算、检查和检检查验看看通过在整个经济领域供给符合当地法令规则的国际通用标准来克服这些个困难的问题。

 

制定标准的ISO技术委员会主席吉罗?克施文德纳（Gero Gschwendtner）博士表示，现行标准的协调消除了国际经济活动活动壁垒，并保证了世界整个帮助益有关方的安全水平。

 

“这不止会减少该领域很多公司的管理业务，还将为安全、创新和新技术的发展供给平台。”

 

ISO 8100-1和ISO 8100-2是由ISO/TC 178 上升下降梯、自动扶梯和自动步走道技术委员会制定，其受雇为较高等级处置事务的人处是由AFNOR（ISO的法国人员）承担。

 

 

   ISO宣布衡量城市“智能”表示的新国际

标准ISO 37122《可连续不断城市与社区–智能城市指标》

 

   

      城市生存水平不断提升，从1950年世界人口的7.51亿增加到2018年的42亿，预计到2050年将达到67亿。城市怎么样符合和准备以保证供给充足的资源和可连续不断的未来？她们没有方法改善不可以以衡量的物质。ISO智能城市系列的最新标准目的就是为其供给帮助。

 

　　ISO 37100系列国际标准可帮助社区采取更具可连续不断性和弹性的战略。刚刚宣布的该系列最新版本的ISO 37122《可连续不断城市与社区–智能城市指标》，为城市供给了一套指标，用于衡量其在多个领域的成绩，使各国度和城市能够吸取世界上其他城市发展的经验教训,找到创新的解决方案。

 

　　该标准是对ISO 37120《可连续不断城市和社区–城市服务和生存品掷敫标》的填充，那边边大略叙述了评估城市服务供给和生存品质的关键衡量标准。她们共同构成了一套标准化指标，为衡量什么以及怎么样进行衡量供给了可以在城市和国度之间进行比较的统一的测量方法。这些个标准还引导各城市怎么样评估其在增进联合国可连续不断发展目的、成功实现更可连续不断世界的全世界路线图方面的表示。

 

　　制定该标准的ISO技术委员会可连续不断城市和社区的ISO/TC268主席BernardGindroz说，ISO 37122定义了指标以及方法和作法，可以迅速显著改善社会、经济和环境可连续不断性。

 

　　他说：“当与定义了社区可连续不断发展管理系统ISO 37101和ISO 37120联系运用时，该标准可帮助城市在一系列领域实行智能城市项目。含有那一些通过更好地与社会互相来和去来应付人口提升、气候变化以及政治和经济不牢稳等城市化问题的国度。它供给了有效的领导方法、最新技术和作法，帮助其提升公民的生存品质，成功实现其环境目的，同时增进创新和提升。”

 

 

IEC制定针对关键基础设备网络攻击的国际标准

 

关键基础设备，不论是发电厂、国度铁路和地方地下交通系统，或者其他方式的公共交通，都一天比一天变成网络攻击的目的。网络攻击有可能会切断医院、家庭、学校和工厂的电力供应。我们非常依赖高效的电力供应，断电也将对其他重要服务产生重大影响。近年来发生的一些大事不止证清楚威胁是切合实际存在的，并且还表明，我们接着不停一次地从可怕的梦般的后果中死里逃命。

 

以下三个例子解释清楚了网络武器的演变，含有旨在破坏关键基础设备运行的恶意软件。网络化传感器和其他联接设备在工业环境中的运用一天比一天增加，固然这提升了我们的效率，但它也增加了攻击面。

 

一、三次让世界屏气的时刻

 

2010年对伊朗纳坦兹核电站的袭击在历史上留下特殊的一笔。当时，所说的的Stuxnet恶意软件首次公开亮相，并想方法使核电站停止运转。Stuxnet蠕虫通过编程预设，让电机失控因此损伤一般用于反应铀离心思的电机。该软件成功地让1000台离心思暂停运转。

 

五年后，2015年十二月，乌克兰遭遇了前所未有的电网攻击。这次袭击造成大范围停电。黑客进入了境内了三家能+量物质公司，并短时间之内关闭了乌克兰三个地区的发电。在隆冬时节，将近25万人断电长达6小时。攻击者利用BlackEnergy3恶意软件关闭了三个变电站。据信，该恶意软件是通过spear phishing （网络钓鱼）电子邮件送出的，并隐藏在假冒的Microsoft Office附件中。

 

我们所知道的第三次也是最令人震惊的袭击发生在2017年。网络恐怖分子假定远程控制一个广为报导的位于沙特阿拉伯的工作站。她们运用一种称为Triton的新型恶意软件来接收并管理核电站的安全仪表系统（emSIS）。一样，恶意软件是专门为工业控制系统配备安置的，该系统也称为操作技术（OT）。

 

调查担担任职务务的人觉得，这是一种存心破坏行为，旨在通过破坏防止灾难性工业意外发生的安全系统来引发爆炸。以前的攻击集中在破坏数值或关闭能+量物质工厂。根据一些报告陈说，只有编码不准确才能防止这种物质情形的发生。证据指向该大事源于另一个网络钓鱼或鱼叉式网络钓鱼软件的攻击。

 

二、经验教训

 

这些个大事向我们表明，至少在过去的十年中，黑客一直在建立针对操作技术的恶意代码。三起大事都是由恶意软件被触动引发的，这一物质的真实物质情形也解释清楚，我们需求对网络安全采取一种综合的方法，将过程、技术和担担任职务务的人联系起来。

 

网络安全资深专家公司（Security in Depth）的首席执行官迈克尔?康纳利（Michael Connory）最近告诉澳大利亚广播公司（ABC），“全世界90%的网络攻击都是从电子邮件着手的”。网络的安全性决定于于整个儿链条中最薄弱的环节，这是不言而喻的。

 

另一个关键问题是熟悉IT和OT之间区别的重要性。随着威胁向量扩展到诸如智能恒温器之类的基础资产，操作技术变得越来越容易得到。面对的挑战是，网络安全规划往往由IT路径主导。物质的真实物质情形上，能+量物质等行业以及含有制造业、医疗催进健康和运送业在内的很多其他行业的运营限制意味着我们需求一种网络安全路径，同时也尽量照顾OT。

 

IT的主要焦点是数值及其自由、安全流动的有经验。IT存在于虚拟世界中，数值在虚拟世界中得以储存、检索、传道输送和操作。它是流动的，有很多移动部件和网关，这使其非常薄弱，并为各种不断演变的攻击供给了一个很大的可攻击表面。攻击防御是指尽量照顾每一层结构，并不断辨别和改正弱项以维持数值流动。

 

与此相反，OT属于现实世界，它保证了整个指令动作的准确执行。固然IT必须尽量照顾系统的每一层，但OT涉及维护系统的控制，这些个系统有可能是掀开或关闭、封闭或开放的。OT系统是为尤其指定的操作而预设的，例如保证掀开或关闭发电机，或保证化学品罐充盈时溢流阀掀开。OT属于现实世界，保证过去一般是封闭系统的安全以及控制。OT中的一切都是为了物理移动、控制设备和流程，以维持系统按预先希望工作，主要关心注视安全性和效率提升。

 

随着工业物联网（IIOT）的显露出来，以及物理机器与联网传感器和软件的集成，IT与OT之间的界限变得越来越模糊。随着越来越多的对象互相联接、通信和交互，网络罪犯得到网络和基础设备系统的端点以及隐藏路径的数目激增。

 

救火队扑消除灭了大火，但没有解决根本原因。在最初预设和研发阶段，就着手思索问题安全威胁至关重要。在很多物质情形下，团体只关心注视实行后的安全性，而不是从研发生命周期着手构建网络弹性。IEC/TC/57技术委员会的工作为最佳实践的标准化供给了一个很好的例子。

 

三、预设安全性

 

IEC/TC 57成立了一个工作组（WG 15），通过预设保证电网安全。该工作组从技术角度评估要求，并定义了成功实现要求的标准方法，已经确定了预设安全电力系统所需的组件。那边边含有端到端加密原则、整个用户角色的定义和身分管理，以及对系统本身的存在广泛监控。

 

“我们今天所做的一切都将在从今以后接着，但我们需求改变我们的重点，” IEC/TC 57/WG 15人员莫雷诺?卡鲁洛（Moreno Carullo）说。“我们需求从寻找坏人转向预设安全。”

 

到现在截止，IEC 62351系列标准（参阅IEC 62351-1：周密大略叙述简介）描述了安全电力系统的架构，并对其协议和组件进行了标准化。一篇有趣儿的文章对其进行了更好的大略叙述，它是IEC 62351-10:TC57系统的安全架构指南。

 

四、标准及符合标准核定

 

IEC觉得，各个方面、基于风险的方法是竖立网络弹性的最佳路径。基于风险的方法有可能非常有效，尤其是在评估现有或隐藏的内里薄弱性并确定或有可能的外部威胁的基础上。这是将标准与测试和证明（也称为符合标准核定）联系在一块儿的整体方法的一小批，而不是将她们视为不同的领域，由于这个效果最好。

 

这种方法不止展示了基于最佳实践的安全处购置法的运用，并且表明团体已经有效地实行了这些个处购置法，因此加强了好处有关者的信心。系统方法通过将风险优先化和下降到可接受的水平来工作，这需求一种中立的方法，根据不同的风险水平，符合从自我评估到独立的第三方测试等不同类型的符合性评估。

 

很多团体将其网络安全战略竖立在遵守逼迫性规则和法令规则的基础上。这固然有可能会提升安全性，但却没有方法各个方面称心各个团体的需求。最联系紧密的防御系统同时依赖于“水平”和“垂直”标准。水平标准具有通用性和灵活性，而垂直标准则称心非常特殊的需求。那边边两个水平标准的例子尤其突出。

 

五、水平和垂直标准

 

ISO/IEC 27000系列标准有助于尽量照顾纯信息系统（IT），并保证虚拟世界中的数值自由流动。它供给了一个坚强雄厚的横向框架，用于在控制处购置法的实行、维护和连续不断改进中对照最佳规范进行基准测试。

 

IEC 62443是另一个横向标准系列，旨在维持OT系统在现实世界中运行。它可以应用于无论什么工业环境，含有关键的基础设备，如电力设备或核电站，以及卫生和运送部门。IECEE是电工设备和元件的IEC符合标准核定整体体系，该整体体系已竖立了基于IEC 62443系列标准的全世界证明服务。

 

填充横向标准是为称心尤其指定行业的需求而预设的定制解决方案。纵向标准含有了核部门、工业通信网络、工业自动化和海事行业等的尤其指定安全需求。

 

六、弹性构建

 

无论什么网络安全战略的目的都是尽有可能多地尽量照顾资产，当然也含有最重要的资产。由于以平等的方式尽量照顾每件事是不可以以得通的，由于这个重要的是要确定哪一些东西是有价值的，哪一些东西需求最大力量的尽量照顾，辨别漏洞、之后确定优先级，并竖立保证业务连续性的纵深防御整体体系结构。

 

成功实现弹性在非常大程度上要熟悉和减轻风险，以便在系统的合适点上应用准确的尽量照顾。至关重要的是，这一过程与团体目的关系近有关，由于缓解决策有可能会对运营产生严重影响。理想物质情形下，它应该基于一种涉及到整个儿团体好处有关者的系统方法。

 

纵深防御的一个关键概念是，安全需求一套协调的处购置法。在应付网络攻击的风险和后果时，有四个步骤是必须成功实现的：1.熟悉系统，明确什么是有价值的，什么是最需求防备尽量照顾的。2.通过威胁建模和风险评估熟悉已知威胁。3.在国际标准的帮助下，基于全世界最佳规范，解决风险并实行尽量照顾。4.根据要求觉得合适而运用合适水平的符合标准核定-测试和证明。

 

另一种方式是将其视为网络安全的ABC：A是评估、B是解决风险的最佳规范、C是用于检检查验看看测定和维护的符合标准核定。

 

基于风险的系统方法不止展示了基于最佳规范的安全处购置法运用，还证明一个团体已有效地实行了这一系列处购置法，这加强了整个帮助益有关者的信心。也就是说要将准确的标准与合适的符合标准核定水平相联系，而不是将其视为不同的领域。

 

符合标准核定的目的是核定整体体系的组成部分、担担任职务务的人预设、操作和维护担担任职务务的人的有经验，以及用于运行该整体体系的过程和程序。这有可能意味着运用不同类型的符合标准核定——从公司自我核定或绝对依赖供应商的声明到独立的第三方核定和测试——并根据不同的风险等级挑选最合适的。

 

在网络威胁一天比一天存在广泛的世界中，能够应用一套尤其指定的国际标准，并联系专门的全世界证明规划，是竖立长时期网络弹性的一种行之有效的方法。但是，标准和符合标准核定只能在根据威胁和漏洞的整体评估的基于风险的方法中发挥最大作用。这种方法不止整合了技术和过程，还整合了担担任职务务的人，认识到培养训练的重要作用。