网络安全法规与标准:最佳实践与最新挑战 智能应用 影音
D Book
繁体版 简体版
评估申请
登入
231
researchmember
DForum0704

网络安全法规与标准:最佳实践与最新挑战

  • 台北讯

网络安全标准的发展,旨在因应产品生命周期中多层次的保护需求,可分为环境安全与功能安全。华邦

网络安全标准的发展,旨在因应产品生命周期中多层次的保护需求,可分为环境安全与功能安全。华邦

物联网(IoT)技术带动了连接设备的迅速成长。此一市场的快速发展,需要新的安全认证方法,以应对不断变化的产品。

网络安全标准

覆盖范围类型 - 环境标准与功能标准化:为了对此领域进行标准化,学术界与专业人士通力合作,致力于制定基本指导原则、政策与产业标准。

网络安全标准的发展,旨在因应产品生命周期中多层次的保护需求,这些保护大致可划分为两个互补的领域:环境安全与功能安全实作。

在如物联网(IoT)这类结构复杂且易受攻击的生态系统中,采取分层式的安全策略尤为关键,因为开发基础设施与内嵌的安全功能经常成为攻击目标。此分类反映出一项基本认知:要达成有效的网安防护,既需在开发阶段奠定安全基础,也需于产品本身设计中导入强固的保护机制。

(1)环境安全标准:保护开发、测试和制造环境,通过保护工具、原始码和知识产权,并建立信息安全管理系统(ISMS)。(2)功能安全标准:确保产品嵌入安全功能,如安全启动、加密、权限控制和防篡改检测,并在设计阶段应用,使安全要求可以进行测试和验证。这两个领域并不是相互排斥的,而是深度相互依赖的。

标准化类别治理层级

这些标准在多个治理层级上开发并应用—国际、区域和国家(特定国家)层级—以应对不同的法规环境、技术生态系统和地缘政治考量。每个层级在塑造框架、合规机制和技术规范方面发挥着独特的作用,并负责信息资产保护:

(1)在国际层级,标准通常由国际认可的机构(如 ISO/IEC)制定,旨在实现全球协调,促进国际贸易、跨境数据流通和跨国组织的共同安全保障框架。(2)区域标准通常由经济或政治联盟提出,旨在使成员国的做法达成一致。它们通常基于或改编国际标准,同时考虑区域法律和政策。(3)在国家层级,各国根据其特定的基础设施、威胁环境和法规优先事项,开发并执行量身定制的安全标准。

水平与垂直框架的适用性

网安与资通讯技术(ICT)领域中的标准,策略性地被发展为跨产业框架(水平标准)或是针对特定领域的规范(垂直标准):(1) 水平标准:针对各行各业,利用风险评估方法来管理产品和过程中的一般网络安全风险。(2)垂直标准:针对特定行业(如汽车或医疗)量身定制,专注于满足基于水平框架的行业特定要求。

水平(基于风险评估的)方法和垂直(基于产品的)方法的主要区别在于过程的重点:前者专注于管理潜在风险,而后者专注于提供符合特定要求的产品。

评估方法

在网络安全标准中,有三种主要的评估方法:(1)自我声明—制造商自行声明符合要求,无需外部审查。(2)符合性声明(DoC)—正式声明符合法律和技术要求。(3)第三方评估—独立机构通过测试、审查和审核来验证符合性。

对于某些标准,定义了最低的评估方法论,同时评估赞助商/制造商可自由选择使用更严格的评估方法,例如:对于符合性声明,可使用第三方评估来证明符合性。在测试证据的情况下,尤其是渗透测试,这种做法较为常见。

网络安全IT标准的分类与分析

根据与网络安全、法规遵从性和行业特定采用的相关性,选择了几个广泛认可的 IT 标准进行分析。在这一部分,这些标准从关键维度进行分类和分析,包括评估方法论(例如,自我声明、符合性声明、第三方认证)、覆盖范畴(功能性 vs. 环境性)、标准化类别治理层级以及在水平和垂直框架中的适用性:

网络安全IT标准。华邦

网络安全IT标准。华邦

根据覆盖范围类型—无论是功能性还是环境性—对所选标准进行评估,结果如下:

标准的覆盖范围类型。华邦

标准的覆盖范围类型。华邦

如图所示,大多数分析的标准主要针对功能性安全要求,仅有10%专门关注环境方面。值得注意的是,20%的标准同时考虑了环境和功能安全要求。对治理层级的分析如下:

标准的区域与治理分布。华邦

标准的区域与治理分布。华邦

在此分析中,35%的标准具有国际范畴,40%是区域性的,其余25%是各个国家制定的国家标准。标准适用性的分析显示,40% 为水平标准,提供信息与通信技术(ICT)产品或加密演算法实作的一般性要求。

相对地,60% 为垂直标准,针对特定市场领域(例如汽车与工业领域)量身打造。值得注意的是,在所有标准中,有 45% 专门聚焦于物联网(IoT)领域。

标准的适用性。华邦

标准的适用性。华邦

检视各项标准所采用的认证方法类型,可得出以下观察结果:

评估方法。华邦

评估方法。华邦

有 75% 的标准要求第三方评估,仅有 15% 的标准允许自我声明。这些要求显示大多数资通讯产品可能需经过第三方认证。然而,若要准确评估其影响,还需考量这些标准中哪些为强制性。目前的情况是,仅有 35% 的网安标准为强制要求。

挑战

由于物联网(IoT)革命的推动,所有设备的互联互通,国家和市场面临的挑战是如何通过制定适当的法规来保护公民免受网络威胁、攻击和网络犯罪的影响。这些挑战可能成为实现有效且全面的网络安全法规的障碍:

(1)威胁不断演变:网络攻击手法部段演变,并持续利用新的漏洞,这需要具备弹性的法规来因应。(2)全球协调:不同的法律体系使得国际网络安全法规的对接变得复杂,但这是至关重要的。(3)法规碎片化:不同国家的标准可能会增加全球企业的负担,并阻碍合作。(4)技术进步:AI、量子计算和物联网的快速成长挑战着监管机构的应对能力。

(5)隐私与安全的平衡:如何在数据保护和网络安全需求之间找到平衡,仍然是持续存在的问题。(6)资源差距:较小的企业可能缺乏资源来遵守复杂的法规。(7)技能短缺:全球网安专业人力的缺乏已成为有效落实网安规范的一大挑战。

(8)合规负担:因应多重监管框架,将增加企业的成本与作业复杂度。(9)AI驱动的威胁:攻击者越来越多地使用AI,这要求防御措施更智能。(10)新兴领域:如智能城市和自驾车等新兴领域需要量身定制的网络安全规则。

因应这些未来挑战,将需要政府、产业利害关系人、国际组织及网安专家的协力合作。未来若欲建构具韧性且安全的数码生态系,关键在于前瞻性法规、技术创新与有效执法之间是否能取得适当平衡。

请造访华邦安全快闪存储器网页或直接与华邦联系。详情下载最新硬件网安安全白皮书

关键字
商情专辑-硬件网安专栏