【ISO發(fā)布】開展網(wǎng)絡(luò)安全反擊戰(zhàn)

   網(wǎng)絡(luò)攻擊給企業(yè)、政府和社會帶來損失、破壞以及日益嚴(yán)重的威脅。幸運(yùn)的是，我們可以拿起標(biāo)準(zhǔn)這一武器打贏這場戰(zhàn)爭。
   網(wǎng)絡(luò)犯罪率不斷攀升。在我們大踏步邁進(jìn)數(shù)字時代，即第四次工業(yè)革命時代的同時，網(wǎng)絡(luò)犯罪變得更加復(fù)雜、惡劣，后果十分嚴(yán)重。由于網(wǎng)絡(luò)不法分子越來越狡猾，網(wǎng)絡(luò)犯罪也在以各種方式滲透進(jìn)所有人的生活。
   網(wǎng)絡(luò)攻擊涉及的范圍很廣，包括入侵系統(tǒng)和社交媒體、釣魚式攻擊以及惡意軟件，如：勒索軟件、身份信息盜用、社會工程攻擊和拒絕服務(wù)攻擊等。網(wǎng)絡(luò)攻擊會讓個人和經(jīng)濟(jì)遭受打擊，造成難以估量的損害和破壞，使社會和民眾岌岌可危。計算機(jī)安全軟件公司McAfee的調(diào)查顯示，網(wǎng)絡(luò)攻擊造成的損失越來越大，僅在2020年就高達(dá)約一萬億美元。    
   日益嚴(yán)重的全球風(fēng)險
   新冠肺炎疫情讓我們愈加依賴數(shù)字系統(tǒng)，因此《2022年全球風(fēng)險報告》再次將網(wǎng)絡(luò)安全威脅列為全世界面臨的日益嚴(yán)重的風(fēng)險之一，這也在意料之中。該報告認(rèn)為，網(wǎng)絡(luò)安全防御失效的情況愈演愈烈，威脅到長期的繁榮穩(wěn)定。
   但我們?nèi)绾乌A得這場戰(zhàn)爭呢？建立良好的網(wǎng)絡(luò)防御系統(tǒng)和預(yù)測風(fēng)險都是打擊網(wǎng)絡(luò)犯罪的重要方法，但如果沒有先進(jìn)、可信的網(wǎng)絡(luò)風(fēng)險管理計劃，網(wǎng)絡(luò)安全的治理和韌性就無從談起�！熬W(wǎng)絡(luò)犯罪在國家和國際層面蔓延速度極快，會影響到企業(yè)、政府甚至整個社會。由于網(wǎng)絡(luò)罪犯使用技術(shù)基礎(chǔ)設(shè)施實(shí)施跨國犯罪，這種犯罪活動范圍廣、情況錯綜復(fù)雜，其影響深遠(yuǎn)，后果嚴(yán)重�！本W(wǎng)絡(luò)安全專家愛德華·漢弗萊斯博士（Dr    Edward Humphreys）說。
   因此，國際協(xié)作非常重要，國際標(biāo)準(zhǔn)對全球網(wǎng)絡(luò)防護(hù)而言必不可少，他補(bǔ)充道。這是漢弗萊斯博士基于多年從業(yè)經(jīng)驗(yàn)得出的結(jié)論。他身為網(wǎng)絡(luò)風(fēng)險、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)心理研究以及信息安全管理體系創(chuàng)新研究領(lǐng)域的高級研究員，也是ISO/IEC信息安全管理體系工作組的召集人。該工作組負(fù)責(zé)制定、管理和維護(hù)ISO/IEC    27000信息安全管理體系系列標(biāo)準(zhǔn)。
   解決方案和控制手段
   漢弗萊斯博士認(rèn)為，國際標(biāo)準(zhǔn)提供了解決方案，使組織機(jī)構(gòu)可以建立用于評估、管理的框架和體系，以此保護(hù)信息，確保應(yīng)用、服務(wù)以及國家基礎(chǔ)設(shè)施安全。
   打擊網(wǎng)絡(luò)犯罪的第一步是了解風(fēng)險，然后決定采取哪些控制手段來減輕風(fēng)險。漢弗萊斯指出，對于尋求健全的解決方案來打擊網(wǎng)絡(luò)犯罪的組織機(jī)構(gòu)來說，ISO與國際電工技術(shù)委員會（IEC）共同制定的ISO/IEC    27000等標(biāo)準(zhǔn)是絕佳選擇。該系列標(biāo)準(zhǔn)詳細(xì)規(guī)定了一套管理體系，該體系可以融入評估風(fēng)險和確定風(fēng)險控制手段的風(fēng)險管理流程。
   “ISO/IEC 27001有一系列的配套標(biāo)準(zhǔn)，例如ISO/IEC 27005信息安全風(fēng)險管理標(biāo)準(zhǔn)和ISO/IEC    27003實(shí)施指南標(biāo)準(zhǔn)�！彼�說，“此外，還有很多其他標(biāo)準(zhǔn)能為ISO/IEC    27001提供技術(shù)支撐，如：保障聯(lián)網(wǎng)安全，將安全功能嵌入技術(shù)、服務(wù)和應(yīng)用程序之中�！�
   時刻做好準(zhǔn)備
   漢弗萊斯博士再次強(qiáng)調(diào)，企業(yè)要做好應(yīng)對攻擊的準(zhǔn)備。他說：“網(wǎng)絡(luò)攻擊隨時隨地都可能發(fā)生，我們可以肯定的是攻擊一定會發(fā)生，但無法確定具體的時間或地點(diǎn)。做足準(zhǔn)備、未雨綢繆才是企業(yè)的生存之道。這要求企業(yè)建立一套流程，能預(yù)測、識別、發(fā)現(xiàn)和報告攻擊事件，對其進(jìn)行分析以制定應(yīng)對策略。”響應(yīng)要快速、及時，以減少攻擊事件帶來的影響。    
   那么，如何更好地防患于未然呢？一旦發(fā)現(xiàn)惡意代碼攻擊或拒絕服務(wù)攻擊，企業(yè)采取適當(dāng)安全措施的響應(yīng)速度越快，遏制攻擊擴(kuò)散、減少影響和破壞的可能性就越大。漢弗萊斯博士認(rèn)為，標(biāo)準(zhǔn)能幫助企業(yè)做好準(zhǔn)備，更好地應(yīng)對，這些標(biāo)準(zhǔn)包括ISO/IEC    27035信息安全事件管理標(biāo)準(zhǔn)、ISO 22301業(yè)務(wù)連續(xù)性管理標(biāo)準(zhǔn)和ISO/IEC 27031信息和通信技術(shù)業(yè)務(wù)連續(xù)性準(zhǔn)則標(biāo)準(zhǔn)。
   一起行動
   在這個充滿不確定性的世界，網(wǎng)絡(luò)犯罪會在經(jīng)濟(jì)上對企業(yè)經(jīng)營和國家基礎(chǔ)設(shè)施造成極大破壞，還會影響到社會和公民。例如：對供應(yīng)鏈某一環(huán)節(jié)的攻擊可能會蔓延開來，給其他環(huán)節(jié)也造成影響和破壞。為了建立更安全、更具韌性的網(wǎng)絡(luò)安全系統(tǒng)，漢弗萊斯博士認(rèn)為，供應(yīng)鏈所有環(huán)節(jié)都應(yīng)采取行動以確保安全。因此，供應(yīng)鏈管理是齊心合力一起行動的例證。
   “當(dāng)然，標(biāo)準(zhǔn)也能保障供應(yīng)鏈安全，例如：ISO 28000和ISO/IEC    27036�！彼�說道，“在與其他組織機(jī)構(gòu)建立各種業(yè)務(wù)關(guān)系和溝通時，也需要采取共同行動。很多管理標(biāo)準(zhǔn)能幫助企業(yè)增加韌性來應(yīng)對業(yè)務(wù)中斷，并確保企業(yè)保持生命力和治理體系穩(wěn)固。此類標(biāo)準(zhǔn)包含ISO    22301業(yè)務(wù)連續(xù)性管理體系標(biāo)準(zhǔn)、ISO/IEC 27001信息安全管理體系標(biāo)準(zhǔn)和ISO/IEC 27014信息安全治理標(biāo)準(zhǔn)�！�
   隨著企業(yè)越發(fā)依賴互聯(lián)性，提供支撐的基礎(chǔ)設(shè)施、互聯(lián)網(wǎng)和移動設(shè)備也逐漸增加，這對系統(tǒng)安全和韌性提出了更高的要求。漢弗萊斯博士坦言，標(biāo)準(zhǔn)也需要不斷更新，才能趕上技術(shù)飛速發(fā)展的步伐�！芭e個例子，第三版ISO/IEC    27002于2022年一季度發(fā)布。這項(xiàng)備受矚目的標(biāo)準(zhǔn)旨在提供信息安全控制措施，修訂后更符合技術(shù)進(jìn)步、業(yè)務(wù)發(fā)展實(shí)踐以及新法律和法規(guī)的要求。”
   他補(bǔ)充道，2021年很多其他方面的標(biāo)準(zhǔn)化工作也取得了進(jìn)展，如：物聯(lián)網(wǎng)安全和隱私、大數(shù)據(jù)安全和隱私、人工智能安全與隱私以及生物識別信息保護(hù)。除此之外，近期還發(fā)布了多個技術(shù)規(guī)范，包括提供智慧城市生態(tài)系統(tǒng)隱私保護(hù)指南的ISO/IEC    TS 27570，以及指導(dǎo)如何建立或完善強(qiáng)健網(wǎng)絡(luò)系統(tǒng)來應(yīng)對網(wǎng)絡(luò)攻擊的ISO/IEC TS 27100。ISO/IEC    27000系列標(biāo)準(zhǔn)及上述技術(shù)規(guī)范為建立和管理更安全的未來奠定了基礎(chǔ)。