天极按
近日,欧盟委员会联合研究中心与欧洲网络安全局联合联合发布《网络弹性法案要求标准映射》,以促进CRA规定的采用,将相关要求需要转化为制造商可以遵守的协调标准的形式。为了支持标准化工作,本研究试图确定与每个CRA要求最相关的现有网络安全标准,分析已提供的要求预期范围的覆盖范围,并强调可能需要解决的差距。
为便于采用《网络安全法》的规定,这些要求需要转化为制造商可以遵守的统一标准。为支持标准化工作,本研究试图为每项CRA 要求确定最相关的现有网络安全标准,分析已提供的要求预期范围的覆盖范围,并强调需要解决的可能差距。
2022年9 月15 日,欧盟委员会发布了《网络复原力法案》(Cyber Resilience Act,CRA)提案,这是欧盟范围内首次提出此类立法提案,旨在对具有数字元素的产品的整个生命周期引入强制性网络安全要求。
CRA提案涵盖所有投放市场、可与设备或网络连接的数字元素产品,包括其构建模块(即硬件和软件),还包括以软件即服务(SaaS) 方式提供的解决方案,如果这些解决方案符合CRA 提案第3(2)条所定义的远程数据处理解决方案的条件。
CRA提案提供了两套基本要求:
CRA 建议书附件一第1 节中的产品网络安全要求;
CRA 建议书附件一第2 部分中的漏洞处理流程要求。
这些要求应由欧洲标准化组织(ESOs)进行标准化处理,以统一标准的规格形式表达出来。
总的原则是,对于市场上的产品来说,自我评估是否符合附件I中规定的要求就足够了。对于某些更重要的产品类别,则需要采用协调标准。对于更重要的产品,则必须进行第三方评估。本报告详细介绍了主要由欧洲标准组织(ESO) 和国际标准制定组织(SDO)开展的有关产品(硬件和软件产品,包括更复杂产品的硬件和软件组件)网络安全的现有标准化成果。具体而言,该研究旨在将现有的网络安全标准与CRA 建议附件I中列出的基本要求进行映射,同时分析映射后的标准与要求之间的差距。考虑到统一标准的制定,该分析提供了关于现有规范目前对要求的覆盖情况的可能概述,突出了可能存在的不足,这些不足可通过进一步的标准化工作加以弥补。
应CNECT 总局的要求,本研究由联合研究中心(JRC) 和欧盟网络安全局(ENISA)共同完成。这也符合法规提案的预期,其中指出应考虑委员会和ENISA 在标准化方面的协同作用。
本研究的发展分为以下几个阶段。
第一步是确定与特定领域的标准相关的实体,这些实体得到了工业界和科学界的认可,优先考虑欧洲和国际标准化组织。本文考虑了以下机构:
欧洲标准化委员会
欧洲标准化委员会
ETSI
国际标准化组织
国际电工委员会
国际电信联盟
为上述每个组织确定了各自的网络安全标准委员会。对于每个已确定的委员会,都确定了标准化活动清单,包括正在进行的活动,这些活动可能与制图有关,并起草了相应的标准清单。
根据可自由获取的信息,对上述标准进行了分析,以确认其与特定主题的相关性。对于那些被认为相关的标准,我们提出了与《计算机设备安全条例》附件I中网络安全要求的暂定映射,而其他标准则被摒弃。本文件附件I汇总了与这项活动有关的一些统计数据,以说明其规模。这一高层次的概述为下一阶段的深入分析奠定了基础。
一旦我们列出了可能与第一次定量分析相关的所有标准,分析就会采用自下而上的方法。根据专家分析,我们为每个CRA需求选择了最相关的标准,从而确定了当前提供的覆盖范围和后期标准化阶段需要解决的潜在差距。图1 介绍了需求映射和分析过程,第3 部分介绍了这一阶段的总体成果。
图1:整体需求映射和分析流程
CRA网络安全基本要求以列表形式呈现,每项要求都以通用文本的形式表达。为了更好地识别和评估CRA要求中可能涉及的标准,有必要对其进行分析,并突出一些核心概念。文中为每项基本要求确定了一套子要求和关键词样本。这些要素主要用于指导识别与CRA相关的标准,但并不代表子要求的全面清单,因为要求的具体细分可能取决于产品和应用的特殊性。需要注意的是,如果一个已确定的标准同时以国际标准和欧洲标准的形式存在,我们将根据后者进行引用。
除要求-标准映射外,由于安全要求可能适用于产品生命周期的不同阶段,因此研究中还添加了一些信息,指出某项要求与特定产品生命周期阶段可能存在的相关性。这可能有助于制造商根据产品所处的阶段,更好地浏览要求和标准。以下是适用于各种产品的高级通用生命周期作为参考。
图 2 :通用产品生命周期
下面是每个CRA要求与相关标准的映射。对于每项标准,都讨论了为需求提供的覆盖水平和可能存在的差距。对每项要求的所有分析都将在总体考虑中进行总结。下面的两个小节反映了CRA 附件I 中表述的两组要求。
应进行网络安全风险分析,并在产品的整个生命周期内进行监控
产品创建的每个步骤都应考虑到网络安全(如安全编码、安全设计原则等)
关键词:风险、风险分析、补救策略、安全编码
表 1:第1 项安全要求的映射
应针对产品的数字元素进行漏洞评估
应在产品发布前修复已知的可利用漏洞
关键词:可利用漏洞、漏洞评估
表 2:第2 项安全要求的对应关系
如果默认配置包含初始/默认凭证,则应使用复杂和随机选择的密码,每个产品都应不同;
如果默认配置涉及网络安全项目,则应为每个项目采用合理的安全级别;
默认配置应置于不可擦除的存储器中;
应实现将产品配置重置为默认配置的功能;
关键词:默认配置、随机化密码、唯一密码、不可擦除存储器、ROM、重置、默认安全性
表 3:第3a 项安全要求的对应关系
应根据产品性质和风险分析中确定的相关风险,实施适当的认证和授权系统。
只有经过认证和授权的用户才能访问个人/受保护数据和管理/配置功能。
根据产品的性质和风险分析中确定的相关风险,应禁止未经授权的物理访问。
关键词:身份验证、授权、身份和访问管理、IAM、物理访问控制、逻辑访问控制、防篡改
表 4:第3b 项安全要求的对应关系
存储在产品内部存储器中的数据应使用当前的非过时技术进行静态加密
用于发送/接收数据的传输协议应支持加密通信,并在默认情况下启用加密通信
产品应采用对称或非对称加密方案(包括PKI),以确保交换数据的机密性得到保护
关键词:对称/非对称加密、静态和动态/传输中加密、PKI、证书、敏感资产保密性、数据保密性
表 5:第3c 项安全要求的映射
应使用当前的非过时技术(如哈希算法)确保存储在产品内部存储器中的数据、程序和配置的完整性。
用于发送/接收数据的传输协议应支持确保在传输过程中发现数据更改的方法(例如MAC)
产品应采用对称或非对称加密方案(包括PKI),以确保交换数据的完整性得到保护
产品应进行自检,以验证相关代码/信息(如固件)的完整性
关键词:完整性、散列、校验和、数据损坏、PKI、证书、自检
表6:第3d项安全要求的映射
一般来说,参考GDPR 最佳实践,如
o 不应要求用户提供对执行任务或请求服务并非绝对必要的数据
o 不再需要的数据应立即删除。
关键词:隐私、GDPR、数据最小化、个人数据、数据保留
表 7:第3e 项安全要求的映射
产品应加强抵御攻击,如分布式拒绝服务攻击,除其他外,可酌情采取以下措施:
o 反向代理网络分段
o 负载均衡
o 速度限制
o冗余和高可用性解决方案
o备份站点
o 灾难恢复计划
o 尽量减少提供的服务
关键词:可用性、弹性、安全中断、备份、拒绝服务、DoS、DDoS、基于协议的攻击、连接限制
表 8:第3f 项安全要求映射
产品应将外向网络连接限制在严格需要的范围内
产品应采取超时和异常处理等措施,避免向繁忙/无响应的服务发出多个请求
关键词:网络饱和、最小化、连接限制、超时、异常处理
表 9:第3g 项安全要求的映射
产品的硬件设计应限制所有非严格要求的连接和接口,以执行产品预期执行的各种任务。
如果风险评估要求,物理产品应包括防篡改功能
作为默认配置,产品/服务应关闭所有非必要的网络端口
数字产品中的软件在设计上应避免开放不必要的入口点(如应用程序接口)供外部未经授权的调用者使用
关键词:硬件加固、防篡改、系统加固、软件加固、接口、安全设计
表 10:第3h 项安全要求的映射
产品的设计应确保未经授权访问某项功能或数据不会自动导致完全访问产品的 所有功能和数据(深度防御原则)
存储在产品内部存储器中的敏感数据应进行静态加密
产品不应存储与执行任务无关或不必要的数据(数据最小化)
关键词:纵深防御、静态加密、数据最小化、安全设计、加固、风险评估、安全架构、沙箱、安全环境
表 11:第3i 项安保要求的映射
产品应包含网络安全相关事件的日志
应记录数据、服务或功能的访问或修改情况
有权限的用户应可访问此类日志
日志应防止未经授权的修改或损坏
关键词:日志、事件监控、不可抵赖性、入侵检测、篡改检测
表 12:第3j 项安全要求的映射
分发产品或服务的公司应及时为以下用户提供产品或服务软件组件的安全更新 产品或服务的软件组件的安全更新。
应实现自动检查是否存在更新、安装更新或通知用户是否存在更新的功能。在适用情况下,这应该是默认的初始配置。初始配置。
产品应提供安装/实施更新的安全机制
分发产品的公司应通知用户是否有更新。
关键词:出错迹象、补丁、软件更新、自动更新、用户 通知、安全更新功能
表 13:第3k 项安全要求的映射
应监控整个供应链的网络安全状况,以获取产品所需的组件;
产品软件部分使用的所有库和外部组件,包括其版本号,都应在向用户提供的软件物料清单(SBOM)中列出;
此类软件物料清单(SBOM) 应符合相关标准(如ISO/IEC 5921:2021,也称为SPDX 或CycloneDX 标准)。
关键词:软件物料清单、SPDX、CycloneDX、供应链安全、机器可读、版本化、软件依赖性、可组合性
表14 漏洞处理要求映射(1)
如果发现漏洞,应根据标准的严重程度 指标(如 CVSS)
公司可直接修复的漏洞应立即修复,并根据其严重性和所造成的影响 根据其严重性和所造成的风险立即修复
如果在产品的软件组件(包括库和第三方组件)中发现漏洞,应立即更新。如果发现产品的软件组件(包括库和第三方组件)存在漏洞,应尽快准备并发布更新
开发产品或服务的公司应订阅以下机构提供的更新信息 产品或服务的公司应订阅来自 CERT和网络安全组织的更新,并对其进行分析,以发现其产品中的漏洞 产品
开发产品或服务的公司应随时了解库或第三方软件的新版本发布情况。库或其产品/服务中包含的第三方软件组件的新版本发布的最新情况 并在新版本包含安全更新时更新相关软件。
关键词:安全更新、CVSS、更新发布、漏洞管理、安全策略
表15:漏洞处理要求映射(2)
应定期进行漏洞评估,特别是针对那些风险最高的组件 子要求:应定期进行漏洞评估,特别是针对风险最高的组件
在开发或维护软件组件时,应执行自动测试 在开发或维护软件组件时,每当准备新的提交/构建/版本时,都应执行自动测试。集成/持续部署(CI/CD) 技术
每当所分析的某个维度发生重大变化(新威胁、新问题、新挑战)时,都应重新评估风险评估。新威胁、新漏洞等)或发布新产品时,都应重新评估风险评估。
关键词:漏洞评估、持续集成/持续部署、风险 评估、安全测试程序、测试
表16:漏洞处理要求映射(3)
新的 CVE指标应在相关安全更新发布或实施后立即公开发布和传播。
关键字:常见漏洞和暴露(CVE)、漏洞披露、漏洞分析
表17 漏洞处理要求映射(4)
公司应采用并执行CVD 政策
关键字:CVD政策
表 18:漏洞处理要求映射(5)
分销产品/服务的公司应该有一个专门用于收集在其产品/服务中发现的漏洞相关信息的联络点。如果公司有联络点,则该联络点应是公司的PSIRT。
分销产品/服务的公司应告知任何相关机构(如国家计算机应急小组/CSIRT)如何及时联系到他们,以便处理与漏洞相关的问题。
关键词:PSIRT发现的漏洞
表 19:漏洞处理要求映射(6)
安全更新应使用代码签名证书进行数字签名,以确保签发者的身份;
更新的哈希值应公开提供,并说明验证过程。
关键词:代码签名证书、哈希值、安全软件更新发布、数字签名、官方发布渠道、哈希值、安全软件更新发布。数字签名、官方分发渠道、哈希值公布
表 20:漏洞处理要求映射(7)
应通过自动分发、弹出窗口、通讯等方式让用户了解安全更新的存在。
通知应包含有关修复问题的信息和如何应用更新的说明
安全更新应免费发布
关键字:安全更新通知
表 21:漏洞处理要求的映射(8)
这里总结了已确定标准的总清单,并根据CRA 基本要求的两组进行了各自的映射。
表22:已确定标准的总体清单及其各自与安全要求的对应关系
表23:已确定标准的总体清单及其各自与脆弱性处理要求的对应关系
从上一节的详细分析和上述两个汇总表中得出了一些总体意见,现总结如下:
总体而言,现有标准至少部分涵盖了所有CRA 要求。这为我们在考虑已发现差距的基础上再接再厉奠定了坚实的基础;
一般来说,"横向"标准,即不针对特定的使用案例或市场部门,最能满足不同 要求的目的。唯一的例外是 EN IEC 62443系列(与工业控制系统相关)和物联网(IoT)中的一些标准,尽管我们认为针对物联网领域的标准主要是横向标准,因为如今大多数数字设备都与物联网相关;
虽然某些选定的标准与产品设计/开发没有直接关系(例如,EN ISO/IEC 27002 与启动、实施或维护信息安全管理系统的建议控制有关),但它们可能与CRA 有关,因为组织实施这些标准的情况也会反映在该组织生产的产品中;
关于 CRA 附件I 第一份清单中与产品相关的安全要求,认为ETSI EN 303 645标准是最相关的标准之一,为此专门尝试将其与所有要求进行了比对,结果发现该标准在某种程度上涵盖了所有要求,即使存在一些差距。还需注意的是,该标准是专门针对物联网系统的,因此,即使现在许多数字产品具有与物联网环境类似的不同功能,也不能想当然地认为该标准自动适用于所有类别的产品(另见下文关于要求3g 的评论)。就要求的覆盖范围而言,另一个相关标准是EN ISO/IEC 27002(信息安全控制),涵盖了13 项要求中的6 项。此外,EN IEC 62443 系列也提供了相当大的覆盖范围,但它专门针对工业控制系统。
对于漏洞处理要求,附件中的第二个清单EN ISO/IEC 30111(漏洞处理流程)是最相关的,涵盖了8 项要求中的5 项,EN ISO/IEC 29147(漏洞披露)也涵盖了4 项相同的要求。所有这些标准在应用方面都是"横向"的;
在某些情况下,如要求3(b)(通过适当的控制机制,包括但不限于身份验证、身份或访问管理系统,确保防止未经授权的访问),所选标准非常通用,而其他一些标准则更详细地涵盖了特定的使用案例。选择通用性较强的标准,可使当前和未来的使用案例更具灵活性,覆盖面更广。另一方面,具体的和部门性的标准可能更能满足特定领域的特殊限制和要求;
在其他情况下,如3(f)(保护基本功能的可用性,包括抵御和减少拒绝服务攻击),所确定的文件的重点更多的是基础设施要素,而不是用户产品或服务。尽管这些基础设施是提供服务和某些设备功能的核心,但仍需要更具体的标准规定。物联网设备已具备这些标准,但仍处于较高水平;
要求3(g)的重点是最大限度地减少对其他设备或网络所提供服务的可用性的负面影响,物联网领域的相关标准专门解决了这一问题,但同时也提出了这些标准是否具有更广泛适用性的问题。在物联网领域设备高度互联的背景下,这些标准具有明显的相关性。然而,对于其他领域,以物联网为重点的网络安全标准的具体适用性可能需要进一步评估。虽然互联性也是当今多个领域的一个特点,但具体要求、法规和风险可能各不相同,因此有必要采取量身定制的方法或额外措施,以确保充分满足网络安全需求。
数字元素的产品越来越多地出现在日常生活中。针对相关产品的网络攻击也日益增多,对社会不同方面造成了负面影响。作为应对措施,欧盟委员会提出了《网络复原力法案》,这是一个新的立法框架,规定了制造商必须在其数字产品中实施的一系列网络安全要求。
规定的要求应转化为统一的欧洲标准,成为制造商必须遵循的网络安全参考规范。鉴于这一标准化活动,本报告确定了最相关的现有网络安全标准,并将其与不同的要求进行了映射,说明了所提供的覆盖水平以及在进一步标准化工作中可能需要考虑的差距。
根据分析,对于每项已确定的要求,至少有一份文件可被视为初步参考,提供一 定的覆盖范围。然而,目前还没有一个标准能够涵盖拟议立法法案中提出的所有要求,即使某些标准确实部分涵盖了所有要求。本分析报告再次保证,国际网络安全标准化的良好基础已经到位,可以满足《网络复原力法案》的要求范围,但还需要进行协调,以确保横向覆盖的同质性,本报告中强调的一些差距仍需解决。
天极智库聚焦网络安全相关领域,聚集网络安全职能部门、行业主管部门、科研院所、相关企业和专家学者的力量,组织开展政策研判、事件分析、技术研究、学术交流,为国家网络安全工作提供支撑,增强国家网络空间安全防御能力,提升国家关键信息基础设施安全保障能力和水平。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...