公告&动态 第17页

2020年，恶意黑客入侵了美国网络安全公司SolarWinds开发的一款广泛使用的网络管理软件。它使他们能够访问SolarWinds客户的计算机网络，包括美国政府部门、核设施、It公司和世界各地的许多其他组织。

据报道，一位安全分析师在一年前的2019年警告SolarWinds，任何人都可以使用密码“solarwinds123”访问他们的更新服务器。人们普遍认为，密码管理薄弱可能是此次攻击背后的促成因素。

在2021年的另一起独立且无关事件中，当网络犯罪分子入侵提供摄像头的安全公司Verkada时，糟糕的密码管理再次发挥了重要作用。他们入侵了安装在学校、医院和财富500强企业的多达15万个安全摄像头。

攻击者使用了一个“超级管理员”密码，该密码授予了对Verkada系统的广泛访问权限。该密码可以在100多名内部用户之间共享。

由于缺少多因素身份验证，攻击者更容易利用被泄露的凭据。此外，Verkada没有基于角色的访问策略。

IT系统的网络安全

国际公认的最佳做法是将网络访问限制在个人完成工作所需的水平。它被称为最小权限原则，是ISO/IEC 27001建议的关键措施之一：“只应向用户提供对他们已被特别授权使用的网络和网络服务的访问权限。”

另一项国际标准ISO/IEC 27002就IT系统的密码管理提供多项实用建议，强调了强大而唯一的密码、安全的分发机制和定期更改密码对于保护用户账户的重要性。它确定了密码管理的三个关键领域：密码创建和分发、用户责任和密码管理系统：

密码创建和分发

密码应复杂、唯一且不易猜测。

密码必须安全地传输给用户。

在提供密码信息之前，应验证用户身份。

厂商提供的默认密码必须立即更改。

用户责任

用户必须对密码保密，不得与他人共享。

如果密码被泄露，应立即更改。

用户应该使用混合字符创建复杂的密码。

密码管理系统

用户应该能够选择和更改他们的密码。

建议使用多因素身份验证。

密码应定期失效，特别是在安全事件或员工变更后。

应防止重复使用以前的密码。

密码应安全存储和传输。

国际标准中的建议总是切合实际的。例如，ISO/IEC 27002警告密码疲劳的危险，指出频繁更改密码可能会令人沮丧，并可能导致密码较弱。

操作技术(OT)网络安全

IEC 62443是世界上最著名的关键基础设施和其他工业自动化和控制系统（IACS）网络安全标准。这种操作技术(OT)曾经是离线的，但现在通过工业物联网(IIoT)连接起来。

对于访问控制，IEC 62443-2-1还推荐采用最小权限原则，以防止未经授权的访问。 

IEC 62443-3-3是确保密码完整性和安全性的措施的大多数建议。它包括复杂性、唯一性、安全存储和定期更新的准则。 

IEC 62443中描述的安全级别直接影响密码管理。很简单，安全级别越高，对密码管理的要求就越严格。

2024年8月6日，国际电工委员会(IEC)宣布，IEC发布了第一个完全使用创新的在线标准制定(OSD)平台开发的国际标准。IEC 60512-28-100：2024的发布是国际标准界的一项里程碑式的成就。

它为未来的国际标准制定开发提供了一条更具协作性、更高效的道路，并展示了IEC致力于为每个人现代化和简化标准制定过程的承诺。

IEC 60512-28-100：2024《电气和电子设备连接器 试验和测量 第28-100部分：高达2000 MHz的信号完整性试验 试验28a至28g》是IEC/TC 48/SC 48B的工作成果。该标准为信号完整性测试设定了新的基准，该文件确保了电气和电子设备连接器的高性能和可靠性。

OSD平台是IEC和国际标准化组织(ISO)的联合倡议，平台为标准制定人员提供了新的数字工具，并简化国际标准的起草和编辑过程。该平台提高了从标准制定到最终发布的整个过程的效率和协作。

IEC秘书长Philippe Metzger对这一里程碑发表了评论：“IEC 60512-28-100:2024在OSD平台上的发布证明了IEC对创新和卓越的奉献精神。这一成就不仅突显了OSD平台的能力，也为未来的标准制定树立了先例”。

SC 48B项目负责人Peter Fischer表示：“很高兴能参与OSD平台的开发过程，从早期的适配器到完全在线开发的第一个IEC标准。”。学习曲线陡峭，与IEC OSD团队的合作总是非常富有成效，因为我们可以直接影响进一步的发展，这非常有动力。

“SC 48B能够成功地使用这个工具，我相信每个团队都能成功。我们期待着很快在OSD平台上启动下一个项目”，Fischer补充道。

OSD平台通过促进实时协作、简化文档管理和集成工具，提高了标准的准确性和质量，同时简化了制定过程。在OSD平台上工作的好处包括：

使作者能够专注于内容

简化创作过程

促进协作和建立共识

完全融入IEC生态系统

在一个在线工具中拥有完整的标准制定工作流程

更容易提出评议和处理评议。

OSD现在是IEC提供的核心，并将继续形成旨在解决电气技术领域挑战的新标准开发的基础。OSD的使用将有助于确保能够以及时和有效地综合国际技术专门知识的方式制定世界需要的安全和可持续使用电气和电子技术的标准。

美国国家标准与技术研究院（NIST）发布了《美国政府关键和新兴技术国家标准战略（USG NSSCT）实施路线图》。《美国政府关键和新兴技术国家标准战略》于2023年5月发布，概述了美国政府的目标，即提高美国的竞争力，保护标准制定生态系统的完整性，并确保美国创新生态系统的长期成功，重点是关键和新兴技术（CET）。

该实施路线图是在7月23日举办的白宫标准峰会之后发布的，这次峰会汇集了标准化领域的政府和私营部门领导人，包括负责标准和技术的商务部副部长兼NIST总裁Laurie E.Locascio、ANSI负责政府关系和公共政策的高级副总裁Mary Saunders，以及代表联邦机构、行业和技术部门的与会者。

该路线图强调了支持美国私营部门主导的标准化体系的公私伙伴关系。根据情况说明书，“《美国政府关键和新兴技术国家标准战略》补充了ANSI发布的《美国标准战略》（USSS），并支持、补充和进一步传达了美国政府在CET标准制定方面的优先事项。在美国政府、学术界、工业界和民间社会团体的大力支持下，通过标准制定组织，美国私营部门在全球范围内领导标准化活动，以响应市场需求。行业协会、财团和其他私营部门团体在这一体系内共同制定标准，以解决具体挑战并响应国家优先事项。”

洛卡西奥博士说：“这个计划是一个行动呼吁。”。现在是时候让我们所有人 —美国政府、我们的伙伴和盟友、私营部门、学术界、专业协会和民间社会组织团结起来共同努力，维持我们久经考验的、自愿的、共识驱动的、私营部门主导的标准体系。简而言之，实施路线图的发布是我们努力的开始，而不是结束。”

桑德斯说：“我们的美国体系是开放的、市场驱动的、私营部门主导的，这一事实对于实现美国在全球舞台上扩大领导力和创新这一广泛共享的政策目标至关重要。”。“ANSI支持美国政府采取行动，加强联邦政府在技术和政策层面的标准协调，并为CET研发提供强有力的持续资金。政府各部门加强教育工作也将有助于建立更强大、更明智的公私伙伴关系和健全的标准化体系。我们还强烈支持美国政府加强与私营部门在标准制定前和标准制定过程中的沟通与协调，并欢迎政府专家作为利益相关者直接参与标准活动。”

IEC和ISO国际标准反映了来自世界各地广泛而多样化的专家的智慧。这些标准提供了全球最佳做法，这些做法本可以帮助防止最近仍在影响全球医院、机场、银行和其他企业的IT中断。

分析人士认为，缺乏严格的测试、增强的监控和有效的沟通这三种保障措施，加剧了软件故障所造成的的影响。为此，IEC和ISO网络安全标准解决了这三个问题。

例如，ISO/IEC 27002为信息安全控制提供了全面的指南，包括与管理优化和软件更新相关的指南。另一个标准ISO/IEC 27017建立在ISO/IEC 27002的基础上，为云提供了额外的安全指导。

它强调了管理流程正式的变更的重要性，包括在实施之前对变更进行彻底的规划、风险评估和批准。

ISO/IEC标准建议沙盒:在受控环境中进行广泛测试，以检测任何可能存在的潜在问题。很容易看出，这一步对于防止因未经测试的更新而造成广泛的中断是至关重要的。

ISO/IEC 27002建议在系统更新后进一步对系统进行持续监测和审查，以帮助快速解决任何错误。它还强调了更新过程的文档，以及与利益相关者进行清晰沟通，是至关重要的。

这一步骤确保每个人都能知道这些变化，并能做出适当的反应。例如，在用户端，如果许多受影响的组织实施了该标准，以使他们可以更快地恢复。除此之外，它还建议保持最新的备份并制定恢复计划。备份和恢复计划可确保在更新失败的情况下，系统可以快速恢复到以前的稳定状态。实施最佳做法将使受影响的组织能够更快地从事件中恢复过来。

什么是ISO/IEC 27002？

ISO/IEC 27002支持并建立在世界上最著名的IT网络安全标准ISO/IEC 27001中规定的对策之上。它旨在使各种类型和规模的组织能够有效地管理其IT风险。

ISO/IEC 27002描述了数十种信息安全控制措施及其实施指南。与其他IEC和ISO网络安全标准一样，它采用基于风险管理的方法来管理人员、流程、服务和技术。

其核心是，试图平等保护一切既不高效也不可持续。因此，重要的是确定并集中资源来保护最有价值的资产，以确保业务连续性。

合格评定

除了ISO/IEC 27001中建议的按计划间隔进行的内部审核外，独立的第三方认证同样重要。

本标准是已批准的过程计划的一部分，该计划规定对已证明遵守相关出版物的组织进行独立评估和颁发国际IECQ合格证书。其目的是提供充分满足ISO/IEC 27001要求的信心。

许多人将全球IT中断称为历史上最严重的网络事件。据微软估计，全球有超过800万台电脑瘫痪。

2024年7月25日，BSI启动了一项新计划，以帮助组织向净零排放过渡，此前发表的研究报告指出，缺乏清晰度和指导是阻碍许多组织在预算内按时实现净零排放目标的关键障碍，并与英国政府2050年净零排放目标保持一致。

通过使用ISO发布的国际标准和指南，“净零途径”提供了一种透明和一致的方法。它遵循ISO净零排放指南（IWA42:2022）的关键原则，并辅以正式的数据验证和持续的审计，以帮助组织克服阻碍其实现净零排放目标的障碍。

该途径由BSI发布，使用组织经过验证的碳足迹数据、碳减排计划和对计划业务增长的考虑来评估目标是否现实和可实现，并将在2050年或更早实现净零排放。

该计划将分三个阶段进行，包括一个初步的可选发现研讨会，以帮助企业准备计算其碳足迹，包括范围3的排放量。然后，根据温室气体排放标准（ISO 14064-1）的量化和报告要求，验证该组织的碳足迹。这确保了减排目标是根据一个经过独立验证的准确基线设定的，以确保所有相关排放都得到了考虑，从而确保了一个组织实现净零排放的准确读数。最后，企业可以实施其碳减排计划，BSI可以根据ISO净零排放指南（IWA 42:2022）的关键原则对这些计划进行审计。在整个过程中，BSI可以提供其他差距评估、培训或认证，如能源管理（ISO 50001），作为实现净零的过程的一部分。

由于缺乏共同的方法，与净零相关的各种产品和工具的激增导致了市场上的混乱。BSI的净零晴雨表2024年的研究表明，23%的组织缺乏对净零意味着什么和如何采取行动的指导的清晰度，这正在阻碍进展。

BSI的研究发现，尽管大多数组织（83%）致力于实现英国具有法律约束力的净零排放目标，但92%的组织表示，阻碍行动的障碍仍然存在。内部技能和知识的差距也阻碍了组织知道如何采取行动(19%)，只有15%的人表示他们清楚抵消市场是如何运作的，这表明在对组织如何采取行动的总体理解方面存在持久的知识差距。

BSI英国和爱尔兰保证总经理Matt Page表示：“BSI自己的研究表明，到2050年实现净零的愿望是存在的，但十分之九的人表示，阻碍组织采取行动的障碍仍然存在“。

“帮助组织了解他们在这一旅程中的位置，以及这种转变对他们、他们的供应链和利益相关者意味着什么，可以帮助弥合这一差距，并最终建立社会对正在取得的进展的信心。净零排放途径是一个独立的过程，确保根据准确的基线设定减排目标，该基线是经过验证的，以确认所有相关排放都得到了考虑。这是为了在一个组织实现并保持净零状态的过程中建立信誉，并最终加快气候转型的行动，造福人类和地球。”

“BSI净零途径“是一个总体方案，包括根据ISO 14064-1进行的认证验证和ISO《净零指南》IWA 42:2022的关键要素。

在日益数字化的世界中，信息技术（IT）在几乎所有生活领域都发挥着核心作用。然而，IT设备因高能耗和较短使用寿命，往往对环境影响很大。因此，为了尽量减少对环境的负面影响，可持续的IT战略至关重要。通过使用节能技术和资源节约做法，企业不仅可以降低运营成本，还可以为环境保护做出宝贵贡献。

绿色IT背景下的绿色软件

绿色IT追求覆盖整个IT基础设施的整体方案，而绿色软件则专门专注于开发和使用节能和节约资源的软件。绿色软件旨在通过优化算法、高效编程和降低硬件要求来降低能耗。这两个概念相辅相成，有助于创造一个更可持续的IT环境。

标准和规范支持绿色IT

规范和标准可以支持软件和IT的可持续性。它们有助于统一术语和接口，例如，定义产品需求。此外，规范和标准有助于实现广泛的社会接受。

资源节约型软件利益相关者研讨会

我们诚挚地邀请您参加我们即将于8月3日举行的虚拟活动“资源高效软件”。在活动中，您将有机会与其他专业人士交流想法，并深入了解绿色IT的标准化。此外，该活动将有助于确定和讨论标准化需求，以进一步改善可持续IT的框架条件，为更环保、更高效的IT未来树立标志。

“第22届东北亚标准合作论坛”于7月15日(星期一)至7月17日(星期三)在韩国首都首尔举行。本次论坛由产业通商资源部国家技术标准院主办，来自韩国、日本和中国的政府部门负责标准化工作的负责人和标准化专家等120余人参加了论坛。

作为韩、日、中三国标准化领域官方和民间代表机构参与的国际标准化合作的交流渠道，东北亚标准合作论坛从2002年开始，每年韩、日、中三国循环举办，通过国家标准化推进战略共享及各领域民间标准化专家交流等方式，曾取得29项国际标准制定合作成果。此外，配合论坛，韩国国家技术标准研究院、日本经济产业省、中国国家市场监督管理总局举行了司长级三方会议和双边会议，为韩日中标准合作提供政府层面的支持进行协商。

在本次论坛上，韩国、日本、中国深入讨论了虚拟医疗服务等18项新合作项目以及货运集装箱等9项现有合作任务。对于新合作课题，决定讨论组成由三国专家参与的工作组。此外，通过政府间会议，韩国请求中日专家参与国际电工委员会（IEC）提出并选定的中压直流配电（MVDC）技术白皮书项目，韩国请求中日两国的国际标准化组织（ISO）专家支持韩国提出的六项国际标准提案，包括服务机器人的测试方法等。

标准政策局局长吴光海表示，“与国际标准化的两大强者——美国和欧洲的合作固然重要，但通过加强东北亚的地位，努力将合作结构多元化，形成美国、欧洲、东北亚三强体系，很有必要。”他说。“我们将构建全方位的合作体系，维护韩国在国际标准化竞争中的利益。”

调查人员最初认为Mirai恶意软件的幕后黑手是一个流氓国家，该恶意软件在2016年攻击了网络上一些最大的网站和服务，包括Netflix、PayPal和Slack等。尽管这款恶意软件很复杂，但最终被证明是三名十几岁或二十出头年轻人的作品。

他们设计Mirai是为了利用物联网设备薄弱的安全性，将其转变为能够发动大规模分布式拒绝服务(DDoS)攻击的僵尸网络军队。这三个年轻人和其他黑客利用Mirai实施了一些历史上最臭名昭著的DDoS攻击。

目标包括安全记者Brian Krebs的网站和DNS提供商Dyn，这些网站扰乱了美国各地的互联网接入。Mirai及其变种也在非洲、亚洲、欧洲和南美造成了严重破坏。

近年来，随着黑客调整策略以抵消常用的防护技术，DDoS攻击的数量一直在增加。有证据表明，随着IT管理员越来越习惯于处理最常见的网络攻击类型，网络威胁行为者正变得越来越有创造力。

随着物联网的持续扩张，涵盖了从智能家居设备到工业机械的一切，确保人员、系统和数据传输渠道的安全至关重要。国际标准为物联网安全提供了一个通用的框架。

例如，ISO/IEC 30141提供了一个标准化的物联网参考架构，旨在创建更安全、更有弹性的连接系统。该框架帮助物联网应用程序设计人员和开发人员构建安全、隐私友好的系统。它强调数据和设备管理等功能要求，以及可维护性、可靠性和可扩展性等非功能要求。

ISO/IEC 27400和ISO/IEC 27402为物联网安全和隐私提供了指南和基线要求。ISO/IEC 30149中概述的特定行业架构的发展进一步提高了物联网系统和服务的可信度。

ISO/IEC 30165和ISO/IEC 21823等标准解决了实时功能和互操作性挑战，以确保物联网系统即使在复杂的大规模环境中也能安全运行。

工业自动化和控制系统（IACS）与工业物联网（IIoT）的集成给电网、水管理系统和制造厂等关键基础设施带来了网络安全挑战。IEC 62443等标准旨在通过提供保护IACS并确保其在IIoT环境中安全可靠运行的指导方针来应对这些挑战。

IECEE合格评定确保IEC 62443的正确实施。IECEE还为消费者物联网网络安全提供ETSI EN 303 645认证。其范围内的物联网产品包括互联儿童玩具和婴儿监视器、互联安全产品，如烟雾探测器、智能摄像头、电视和扬声器、可穿戴健康跟踪器、互联电器等。

Mirai事件鲜明地提醒人们，在一个联系日益紧密的世界里，网络安全漏洞。在这个世界里，大多数实施攻击的人只需要有限的IT技能，而不是依赖像Mirai创建者这样的开发人员来提供可供购买或免费下载的恶意代码。

CEN和CENELEC很高兴在下一个立法周期分享他们的声明。在声明中，这两个组织呼吁欧洲机构致力于优先事项，以实现一个由强大的欧洲标准化体系支持的运作良好的单一市场。

2022年2月的《欧洲标准化战略》肯定了欧洲标准在促进创新、确保产品质量和安全以及促进全球贸易方面所发挥的重要作用。欧洲标准化体系提供了一个框架，以更好地支持欧洲的竞争力和战略自主性，促进欧洲创新成果的传播，并确保欧洲和国际标准符合欧洲的利益和价值观。

《CEN和CENELEC声明》概述了一项行动议程，该议程利用标准来促进欧洲的进步、增长和可持续发展。欧洲必须通过开发欧洲标准作为宝贵的知识和创新资源，努力创造一个更稳健、更具竞争力的未来。

《声明》确定了新立法周期（2024-2029年）的三个关键支柱，以“重新承诺、转型和加强”单一市场。此外，还为每个支柱确定了具体的行动呼吁。

欧洲标准有助于确保整个欧洲大陆消费者的安全、质量、创新和效率，同时支持经济增长和促进国际贸易。CEN和CENELEC呼吁欧洲机构认识到标准的价值，并确保公民在下一个立法周期中能够继续受益于标准提供的优势。

当ISO/IEC 30141第一版于2018年发布时，IEC和ISO都知道他们正在为物联网相关技术在从工业物联网到汽车和消费应用等许多不同领域的应用铺平道路。正如委员会主席弗朗索瓦·科利尔当时所解释的那样，“我们面临的挑战之一是，由于越来越强大的计算机系统以及传感器价格和其他设备价格的降低，物联网市场正在快速增长和发展，但技术在许多方面仍然不成熟。我们必须跟踪所有这些发展，并在发布之前达成全球共识。”

但他也承认，随着物联网领域的技术迅速发展，该文件必须定期更新。“即使在我们出版的时候，我们也为已经开始的修订工作留下了许多要点。我们知道，必须不断更新这份关键文件，以跟上快速变化的技术格局。”

从单一架构到模块化设计

备受期待的这一基础标准的第二版现在即将出版。

据参与该文件制定的专家表示，新标准基于模块化设计的理念，而不是一个无所不包的架构，使其更能适应不断发展的物联网环境。这是一次全面的修订，考虑到了各国IEC国家委员会的1500多条修改意见。

项目负责人Torbjörn Lahrin解释道：“物联网的技术环境正在迅速变化。系统变得越来越复杂，其架构也越来越多样化。第一版试图用一个模型来捕捉物联网架构的多样性，因此其方法是单一的。第二版支持现代架构的多样性，使系统架构师在构建新系统时能够更好地利用现有知识。”。

根据专家们的说法，他们还在编写一份技术报告，解释如何使用该标准，“模快化可以被理解为特定问题的可重复使用的解决方案。它们反映了从过去的经验中获得的知识，并允许将这种专业知识有效地用于新的设计。”通过提供一组可以轻松组合成不同架构的模块，ISO/IEC 30141-2使利用现有知识解决新的和未来的系统设计问题变得容易。

Antonio Kung是新版标准制定的主要专家之一。他列举了“第二版中的一些模块示例是企业模式、物联网组件能力模式和数字孪生模式”。

新版已经在酝酿之中。该项目的主要专家之一Eric Simmon说：“ISO/IEC 30141-3正在制定中。主结构将保持不变，同时将添加一个模块存储库。我们还建立了一个在短周期内添加新模块的结构，而不需要每次更新标准，“这将使该标准能够跟上物联网领域新发展的快速步伐。