设为首页收藏本站
首页>国际标准化>国际动态
为网络安全而战 时间:2022-05-20部门:标准信息研究所

  网络犯罪持续攀升。随着我们深度融入数字时代,即所谓的第四次工业革命时代,网络犯罪也变得越来越复杂和严重,并带来严重的后果。随着网络犯罪手段越来越成熟,网络犯罪以各种方式影响着人们的生活。

  网络攻击的范围包括黑客侵入系统和社交媒体、网络钓鱼攻击、包括恶意软件在内的勒索软件、身份盗窃、社交工程和拒绝服务攻击。这对个人和经济来说都是痛苦的,造成了无法估量的损坏和破坏,并使社会和公民变得脆弱。 根据计算机安全软件公司McAfee的数据,这些网络攻击的成本正在上升,到2020年已达约1万亿美元。

  

  日益增长的全球风险

  新冠病毒大流行进一步加深我们对数字系统的依赖。《2022年全球风险报告》再次将网络安全威胁列为世界面临的日益增长的风险之一也就不足为奇了。 报告说,网络安全故障已经严重恶化,并威胁到长期繁荣。

  但我们如何能保持领先一步?建立一个良好的网络防御系统以及预测威胁是打击网络犯罪的关键因素,但如果没有可信的、可靠和复杂的网络风险管理计划,弹性和治理都不可能实现。“网络犯罪是一种国家和国际性的事件,正在迅速蔓延,影响着企业、政府和整个社会。这种犯罪活动的规模和复杂性具有深远而有害的后果,随着网络犯罪分子使用技术基础设施跨界运作,情况变得很模糊”,网络安全专家爱德华·汉弗莱斯博士说。

  他补充说,因此,国际合作是至关重要的,而国际标准对于全球保护是必不可少的。汉弗莱斯博士讲述了他多年的商业经验。他是网络风险、安全和网络心理学研究和ISMS创新研究领域的高级研究员,也是ISO/IEC 27000“信息安全管理体系(ISMS)”系列标准“管理、开发和维护”工作组的召集人。

  

  解决方案和控制

  汉弗莱斯指出,国际标准提供了解决方案,使组织能够建立框架和体系对保护信息、保护应用程序和服务、保护国家基础设施的状况进行评估和管理。

  应对网络犯罪的第一步是了解你所面临的风险,然后决定需要实施的管控方案来降低这些风险。汉弗莱斯指出,由ISO和IEC制定的ISO/IEC 27000系列标准,是任何希望建立打击网络犯罪的强大解决方案的组织必然的选择。这套国际标准规定了包括风险评估、风险控制在内的全部风险管理过程的一个管理体系。

  打击网络犯罪的第一步是了解你所面临的风险。

  他说:“有一系列的标准支持ISO/IEC 27001,比如关于信息安全风险管理的ISO/IEC 27005和关于实施指南的ISO/IEC 27003。”“还有许多其他标准为ISO/IEC 27001提供了技术支持,例如保护网络安全,并将安全特性嵌入到技术、服务和应用程序中。”

  

  做好准备

  汉弗莱斯博士重申,公司需要做好准备,准备应对这些攻击。他说:“网络攻击可以随时随地发生,但我们永远不能确定何时何地发生,可以肯定的是,这些攻击一定会发生。”“做好准备是企业生存必不可少的。它要求企业具备一个流程,能够预测、识别、检测和报告攻击事件,并分析这些事件,以决定如何应对攻击。” 这一切都需要迅速和及时地进行,以尽量减轻攻击事件给企业可能造成的影响。

  那么,企业如何才能做好充分的准备呢?一旦企业检测到恶意代码攻击或拒绝服务攻击,它使用适当的安全措施的响应速度越快,阻止这些攻击的传播以及限制影响和损害的可能性就越大。而且,正如汉弗莱斯博士所说,有一些标准可以帮助企业做好准备,并更好地做好应对准备,比如突发事件管理标准ISO/IEC 27035、业务连续性管理标准ISO 22301和ICT为业务连续性做好准备的准则标准ISO/IEC 27031。

  

  集体行动

  在一个不确定的世界里,网络犯罪可造成经济上毁灭性的破坏,破坏商业运营和国家基础设施,影响公民和社会。例如,对供应链的一部分的攻击可能会传播、破坏和损害该链的其他部分。汉弗莱斯博士说,为了培育更安全和更有弹性的网络安全系统,比如供应链的管理系统,就需要在供应链的各个部分采取集体行动来确保其安全。

  他再次强调说,“有一些标准有助于实现供应链安全,如ISO 28000和ISO/IEC 27036”。在涉及到业务关系和与其他组织的沟通的各种场景中,也需要采取集体行动。有一组管理标准,将有助于构建弹性,以应对业务中断,并确保可生存性和治理系统。这些系统包括ISO 22301(业务连续性管理系统)和ISO/IEC 27001(信息安全管理系统)和ISO/IEC 27014(信息安全治理)。”

  随着业务的增长和依赖、支持它的基础设施的使用,以及互联网和移动设备的使用,对系统安全性和弹性的需求加大。汉弗莱斯博士承认,标准需要不断发展,以适应技术的快速发展。例如,ISO/IEC 27002的第三版已于2022年第一季度出版。这个备受瞩目的标准涉及信息安全控制,通过修订更新以适应技术进步、业务发展和实践,以及新的法律法规。

  他补充说,2021年,在标准化方面还有许多其他的发展,包括物联网(IoT)的安全和隐私、大数据安全和隐私、人工智能安全和隐私,以及生物特征信息保护。这些领域都制定了最新的技术规范,如ISO/IEC TS 27570,它提供了智慧城市隐私保护的指导,以及ISO/IEC TS 27100规定了如何创建或完善健康强壮的网络系统,以防止网络攻击。完整的ISO/IEC 27000系列标准和这些以技术为中心的规范是建立和管理一个安全的未来的基础。

  

  原标题:Counter-attacks on cybersecurity

  原网址:https://www.iso.org/contents/news/2022/05/counter-attacks-on-cybersecurity.html   

附件:

版权所有:中国标准化研究院    技术支持:标新科技(北京)有限公司    联系我们
京ICP备10046988号-34 京公海网安备110108001709号